Комментарии 93
Вообще не понимаю, почему люди просто игнорируют KeePassXC? Вот тут его просто вскользь упомянули.
Берём KeePassXC, ставим вместе с SyncThing и радуемся жизни. У меня не было проблем с тем, чтобы синхронизировать базы между разношёрстными устройствами. Два ноутбука на Linux, один на Windows и телефон на Andorid. База синхронизируется по P2P протоколу. Ни на какие сайты её заливать не надо. Можно шарить через шару. Можно попробовать onion.
В базе есть OTP, так что не надо отчитываться дяде Гуглу о том, какие у вас есть OTP. И бесконечное количество замечательных рюшечек, которые можно спокойно себе игнорировать.
Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux. Более того, есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь. Но при этом, программа пять раз спросит, прежде чем выдавать ваши пароли кому попало.
У вас обзор какой-то странный вышел. Вы рассказали про четыре альтернативы, а тему по ним раскрыли только по одной.
Вообще не понимаю, почему люди просто игнорируют KeePassXC?
Вещь хорошая, но не для всех. Неоднократно пользователи теряли сертификат и на этом всё :) По СМС не восстановить.
По СМС не восстановить.
Там где доступ можно восстановить только по СМС, пароль как первый фактор авторизации становится не нужен и безопасность определяется только четырьмя цифрами передающимися по открытому каналу.
В тех же битварден и 1пасс тоже не восстановить (в персональной редакции), ибо пасс юзается как часть ключа для шифрования, так что его тоже не следует терять (и секрет с сервера тоже, который придумываете не вы)
поправьте, если ошибаюсь:
в битвардене с виду также https://bitwarden.com/help/forgot-master-password/
было бы странно иначе
почему люди просто игнорируют KeePassXC?
потому что у платных решений – хорошая платная маркетинговая кампания, их имена на слуху/в топе поисковой выдачи
Вероятно авторы статей плотненько с подобным и не поработали
Более того, он умеет добавлять ключи в ssh-агент, а при блокировке базы удалять. Что, по моему мнению, тоже повышает безопасность, так как с диска его уже не прочитать.
У их форка вроде до сих пор внешнего аудита безопасности не было.
>Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.
Не можете какую-то готовую инструкцию порекомендовать на эту тему?
KepassXC + Syncthing давно использую на разных устройствах, в Linux и ssh ключи из него в агент автоматом добавляются. А вот как системный менеджер секретов - было бы интересно попробовать.
KeePassXC
телефон на Andorid
А оно разве под андроид есть (именно XC)?
А если нет, то какой андроидный клиент лучше?
Ой. Извините. Пользую Keepass2Android. У него хорошо с синхронизацией парольных фаилов.
У меня из него когда-то на спор вытащили все пароли, правда при условии наличия физического доступа к девайсу и без сопоставления логин-пароль-url. Как - не признались) но по идее если бы тупо сбрутфорсили мастер пароль, то получили бы и логины и urlы
Тут просматривается еще два вектора атаки.
Менеджер буфера обмена (внутренний или сторонний). Если пароли вставляются через него, то все они прекрасно видны в истории этого менеджера. А потому не забывайте эту историю за собой чистить.
Если доступ к хранилищу паролей закрыт не паролем, а ключевым файлом, который хранится на устройстве, особенно если для удобства он автоматически подставляется в диалоге ввода пароля/ключевого файла. Но тогда тот же вопрос, что и к подбору мастер-пароля (получили бы полный доступ).
Первое кстати может быть, продемонстрировали мне только доступ к одному конкретному аккаунту... на десктопе у меня KeePassXC чистит историю буфера, не знаю умеет ли он это на телефоне
Второе мимо, там был ключевой файл+пароль
Тогда у меня еще был включен QuickUnlock, возможно это как-то с ним связано (может он хранить в памяти расшифрованную базу? И возможно ли ее выдернуть оттуда, если девайс не рутован?)
Попробуйте KeePassDX
Если очень хорошо заморочится, то можно вставить его вместо дефолтового менеджера ключей в Linux.
использовать базу своего kdbx в качестве kwallet базы - мечта. но не осуществимая..
ИЛИ НЕТ? может я просто отстал от жизни?? что означает ваше сообщение выше?
Есть вкладка "Settings - Secret Service Integration". Это не оно?
У меня она задизейблена "Another secret service is running (PID: 1234, Executable: /usr/bin/kwalletd5). Please stop/remove it before re-enabling the Secret Service Integration....", на основной оси не хочу проверять, а виртуалки нет в данный момент под рукой.
На всякий случай оставлю тут ссылку на https://keeweb.info/
Оно сейчас скорее мертво чем живо, активно ищется мейнтейнер. Ну и в README сказано что реализованы базовые вещи.
https://github.com/keeweb/keeweb/issues/2022
Не обязательно KeePassXC, он мне показался жутко неудобным, хотя может UI и улучшили, конечно со старых времён, когда хотел смигрировать. Пользуюсь 10+ лет оригинальным KeePass, Linux+изредка Windows параллельно. Конечно с синхронизацией вот тут не сильно удобно, KeePassXC в этом плане намного лучше. Собственно по этой причине и хотел перейти на него несколько лет назад.
Пользуюсь keepass2 (портабл версия, которую даже не обновляю). Сейчас узнал о существовании keepassXC.
Это продукт от какой то другой конторы, форк, или исходный софт ребрендинг сделал? Вдруг вы а курсе.
Спасибо!
Я использую и все прекрасно. А раз все прекрасно, то нечего и комментировать. :DDDD
есть удобный плагин для Лисы. Пароли вбиваются автоматически, по нажатию на сочетание клавишь.
Давно присматриваюсь к KeePass(XC).
Смущает то, что для автоматического ввода паролей нужно перед открытием браузера запускать десктоп-клиент.
"Родной" менеджер паролей в Firefox не требует дополнительных телодвижений.
И сочетание клавиш нажимать не требуется.
Автоматический ввод паролей это дыра, вообще-то. Был прецедент, когда на страницу сайта инжектили невидимое поле для ввода пароля - ну браузер пароль и вставлял туда автоматически.
Может и дыра. Но за примерно 25 лет я ни разу в нее не угодил )
Функциональность, комфорт и экономия времени для меня гораздо важнее, чем забота о безопасности, которая, на мой взгляд, больше похожа на происки маркетологов, чем на реальную опасность.
Разумеется, я не пользуюсь менеджером паролей для доступа к банку.
А всё остальное — пусть эти хакеры хоть обсмотрятся, например, моими фотками в облаке, если угонят аккаунт.
У меня на всё двойное резервирование на разных планетах сервисах и континентах ))
Разумеется, я не пользуюсь менеджером паролей для доступа к банку.
То есть для банка (или даже нескольких банков) у вас пароль, который можно запомнить? Это храбро.
А в чем проблема запомнить 10 знаков, включая заглавные буквы, цифры и спец. символы?
И как работаете с паролями вы, если считаете, что менеджер паролей — это дыра, а собственная память — это храбро?
Проблема в том, что и десять знаков по хорошему маловато, и паролей больше чем один. У меня не очень стандартный случай с большим количеством счетов, но наверное у большинства людей на хабре этих паролей хотя бы два-три и некоторые вводятся ну может пару раз в год. Запомнить что-то сложнее "названиебанка123" при таких раскладах безнадёжная затея.
И вы не поняли, менеджер паролей это отличная идея, а не дыра. Дыра - это автозаполнение паролей. Менеджером я пользуюсь уже давно, но никаких безкликовых интеграций нет.
Я тоже не заморачивался.
Потом у меня ломанули и зашифровали два совершенно разных сервера на разных площадках.
Общего у них бывало только одно: доступы, логины и пароли к ним лежали в Evernote (сам дурак, конечно).
Но знаю людей, у которых банковские флешки постоянно воткнуты в комп, а файлик с паролями в.txt лежит на рабочем столе. Там, правда, еще код по СМС должен приходить, но тем не менее.
За 23 года практики я встретил использование менеджеров паролей два раза, оба - it-специалисты. А вот у бухгалтеров - ни разу. Две попытки научить - ни к чему не привели. Им удобнее текстовый файлик или вообще бумажки (потом любимая игра "угадай пароль").
На Андроид устройствах он есть? Я так сходу не нашёл.
А еще можно купить самый дешевый "вечный" VPS по цене годовой подписки 1password и этот kdbx файлик синхронизировать со всем зоопарком своих устройств по SSH.
Я вот его не использую в том числе потому что на момент когда последний раз делался анализ на что мигрировать, с KeePass выяснилось что:
- под каждую клиентскую платформу — свое приложение
- не все они полностью совместимы между собой
- интеграция через что-то вроде SyncThing внезапно работает не везде (не работала например на браузерных расширениях даже на Windows не говоря про ChromeOS), а где работает — различается функционал (простейший поиск сайтов — не везде)
- даже там где оно работает — получилось поймать конфликты синхронизации(!)
- андроид-версия (уж не помню что именно из рекомендованного на сайте) тупит часто, и вообще не хочет работать в DeX-режиме. Вне DeX — не поддерживается штатный autofill андроида а только accessibility services.
Да, весьма возможно что за 4 года хоть что-то из этого — поправили. Только вот зачем если был найден Bitwarden? Ничего из описанных проблем — нет, opensource, включая серверную часть, с минимальной абоненткой, с возможностью вообще по-сути-официальную-пиратку использовать с VaultWarden'ом в качестве сервера которому плевать на оплату.
Ну да — возможно ситуация изменилась, как с XMPP, недавно попросили в том числе меня написать список того почему XMPP НЕ использую а использую Matrix, а потом была серия комментариев (не факт что корректных но все же) которые сводились к тому что чуть ли не половина пунктов "ну да, это была проблема, но уже нет, см ссылку Y/потому что X".
Спасибо, добрый человек, за связку KeePassXC + SyncThing. Наконец-то смогу "переехать" с Keepass2Android на комп. А вот в существующую базу KeePassXC можно "вкачать" пароли накопленные в Chrome?
Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков.
Передавать пароль третьей стороне - это серьезное отношение к безопасности? Ну не знаю, не знаю...
Моя паранойя не доверяет облачным хранилищам любой степени надёжности. В лучшем случае зашифрованный бэкап.
Любой сторонний сервис может также попасть как LastPass.Поэтому если рассматривать для работы, то лучшее решение это полный контроль своей базы даных на собственном ресурсе. Тогда и утечек не будет, а если ушло, то сам виноват. По юзабилити в команде я бы сказал, что ServiceLockBox удобнее всего и на marketplace azure еще у них версия есть. Мы развернули у себя и живем спокойно.
Как пользовался KeePass, так и пользуюсь. Он с плагином ещё и TOTP умеет, вообще замечательно стало.
А какой плагин выбрали, если не секрет?
С гитхабом работает хорошо, со стимом не пробовал - там гемморойно добывать secret, чтобы пароли генерились.
Bitwarden — не только парольный менеджер, но и музыкальный стриминговый сервис
Тут даже не сам факт волнует, а то как просто встроить бэкдор в хранилище паролей.
А собственно что именно защищает KeePass (любой из клиентов) от таких вот сюрпризов? Особенно с учетом что конкретный мейнтейнер может решить что время проявить активную общественную позицию (и плевать на в том числе и на новостные статьи что обнаружен бэкдор) и только форкать. Ну так Bitwarden'овские клиенты тоже форкаются.
Кстати вот у меня оный стриминговый сервис НЕ работает и не работал. Хотя судя по условиям активации — должен бы.
@ru_vds Как активный пользователь Bitwarden, призываю вас упомянуть в статье этот факт. По моему, по рискам для пользователей он сравним с атакой на LastPass.
Спасибо, добавили информацию в статью.
Однако есть «интересный» момент: с недавних пор разработчики добавили на сайт Bitwarden скрипт, который автоматически проигрывает гимн Украины при определённых условиях (например, если в браузере установлен русский язык).
Не совсем так. Разработчики Bitwarden скрипт не добавляли, его добавил автор либы, которую использует Bitwarden для отрисовки web-интерфейса.
Дополните еще, пожалуйста, что не разработчики Bitwarden добавили, а разработчик js библиотеки sweetalert2, которая теперь позиционируется как naziware protestware. В Bitwarden просто обновили версию библиотеки. Если веб-версией не пользоваться, то ничего страшного случиться не должно, хотя кто знает, какие ещё они там зависимости в нативном клиенте и бэкенде используют.
Кстати, опенсорсный форк проекта Vaultwarden использует тот же фронтенд, так что там проблема тоже наблюдается.
Это не отменяет факта, что в Bitwarden очень неохотно что-то по этому поводу делают.
Самое худшее в ситуации — то, что помимо воспроизведения гимна (что само по себе относительно безобидно), либа блокирует всю навигацию на странице, если она решила, что вы из России/Беларуси. А может и пароли на pastebin постить.
Вот вам и грязная сторона опенсорса.
NordPass навсегда
Про хваленый BitWarden забыли сказать самое важное - без ВПН не работает на терретории богоспасаемой
В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.
История учит, что ничему не учит. Казалось бы, после такой компроментации проект закрываться должен, но нет… пользователи ценят удобство в первую очередь, а не безопасность)
Хочу упомянуть SafeinCloud, есть версии для любых мобильных систем, MAC и Windows, Linux увы нет, синхронизация между устройствами, я настроил базу паролей в своём NAS облаке.
Парольные менеджеры 2023 года: что нового?
а собственно ничего нового то и нет. на манеже всё те же.
битварден для тех кому нужен сервер и шаринг сИкретов между несколькими УЗ (а так же для тех кого не воротит от убогого электроноклиента), keepass{,x,xc} для тех кому просто нужен непробиваемый, удобный, функциональный, безопасный личный менеджер паролей. ну а все остальные если честно не заслуживают внимания, особенно те которые позволяют забить на первый фактор аутентификации и сбросить его через СМС которое как известно являет собой не второй фактор аутентификации а дыру в безопасности.
Задумался куда импортировать пароли с хрома и что бы менеджер паролей сам вставлял пароли в хром, после фразы учетку могут внезапно заблокировать и доступ к паролям и отп будет недоступен. Использую макпасс, базу храню в айклауде, ключ в другом аблаке и пароль только в голове.
Пользуюсь GNU pass (https://passwordstore.org) много лет. Использует gpg для шифрования, умеет в гит, умеет в OTP, умеет autotype в любое приложение, имеются клиенты и плагины под разные платформы.
Аналогично. К нему еще куча интеграций! Я к примеру использую его с плагином к браузеру, а сами пароли веду через плагин в GNU/Emacs. Есть клиенты для терминала и GUI. По сути pass это больше соглашение, как и в каком формате хранить секретные данные, клиента можно написать полностью своего.
Но упоминают это решение редко, видимо потому, что за ним не стоит никаких компаний, которые всячески продвигают свои saas или приложения.
Можно ещё упомянуть teampass. Пробовал его лет 5-6 тому назад. Тогда было ощущение недоделанности.
Использую PasswordSafe, беда есть только под WIN на маке приходится держать виртуалку. Авто вставки чего бы то ни было, отключены напрочь.
А вот как по мне, при выборе менеджеров паролей многие не смотрят на очень важную особенность - способ организации базы данных. У всех, кроме почившего "Сейф+" (автор оставил разработку) база хранится в одном файле, что есть проблема если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации (доки, и прочие файлы) раздувают БД до неприличных размеров и когда это один файл - это начинает быть проблемой.
Я вот ищу уже который год, и нет ничего на замену Сейфа :(
1Password standalone (т.е. не клауд по подписке). Разбивает базу на несколько файлов (+аттачи отдельно).
если пользователь хочет использовать менеджер не только как менеджер паролей, а менеджер личной информации
А стоит ли на такой сценарий смотреть? Менеджер личной информации - отдельные требования к нему есть. Довольно обширные - смотри обсуждения прямо тут на хабре. А пароль к нему же (если он сам шифрует) или к шифрованному контейнеру можно уже в менеджере паролей хранить.
В обратную сторону - когда пароли хочешь хранить в каком-нибудь таком менеджере еще можно как-то понять, но использовать базу данных парольного менеджера - как то странно выглядит?
А можно ссылку на обсуждение пожалуйста
А можно ссылку на обсуждение пожалуйста
Я имел в виду приблизительно такие. Они тут регулярно появляются.
А так алгоритм приблизительно такой: ищем на том же alternativeto.net алтернативы этому самому Obsidian или какому еще знакомому названию. Или сразу по тегу Note-taking Tools.
А потом поиском ищем в Хабре все, что нашлось:
Obsidian, Joplin, Evernote ну и так далее.
enpass
Только unix pass (это который git + gpg + bash).
Почему разработчики браузеров не сделают стандратное api для всех пассоврд менеджеров, чтобы по нему эти менежджеры могли коннектиться с браузерами и передавать приватные данные. А то нажимать хоткеи в keepass для авторизации на страницах и гонять пароли через буфер ос, как то прошлым веком попахивает.
Сейчас - уже смысла нет. Точнее, я бы предпочел, чтобы всякие интерфейсы для WebAuthn и Passkeys активнее писали. Последние, кстати, ну вот в явном виде та информация, что в 'менеджер паролей' просится.
[sarcasm]Потому что юзеры должны использовать менеджер паролей в самом браузере, и обязательно с облачной синхронизацией, а не сторонние небезопасные приблуды.[/sarcasm]
Пользуюсь KeePass в связке с яндекс.диском в принципе устраивает, на телефоне KeePassDroid в связке с этим же файлом на я.диске
Здесь упомянуто, что доступ к паролям, хранящимся в Гугле, можно утратить, если Гугл забанит. Но не упомянуто, что то же самое возможно и с другими сервисами. Меня вот пару лет назад LastPass забанил. Результат тот же самый: полная потеря всех паролей. Интересно, как с этим обстоят дела у Протона и у других.
Минус ProtonPass в том, что он похоже не работает в РФ (требует VPN)
Никто никогда почему-то не упоминает такую важную штуку для парольного менеджера, как история и история комментариев записей.
Любимый всеми bitwarden хранит внезапно только историю паролей. То есть если сайт поменял вам авторизацию с аккаунта на почту - в историю это не попадет. А так же не попадет в историю изменение комментариев к записи в виде обязательных контрольных вопросов. Некоторые сайты упорно требуют их задавать про создании аккаунта. Поменяли кв - битварден прошлый вам не покажет....
Парольные менеджеры 2023 года: что нового?