Альтернативы LastPass. Сравнительная оценка шести парольных менеджеров

Автор оригинала: Jonathan Kamens
  • Перевод
UPD: первоначальная версия статьи включала оценку пяти парольных менеджеров, что отражено в URL и по тексту. Позже в таблицу сравнительной оценки добавили ещё Zoho Vault.

Восемь с половиной лет дома и на работе я использовал парольный менеджер LastPass, установив его всего через пару лет после выхода первой версии. Поэтому логично, что заступив на должность вице-президента по управлению деятельности компании Quantopian (а потом директора IT-безопасности), я внедрил LastPass в качестве корпоративного менеджера паролей. В течение нескольких лет он удовлетворял нас и по функциональности, и по качеству поддержки, оказываемой компанией.

Однако в 2015 году LogMeIn приобрела LastPass, и ситуация начала меняться. И качество продукта, и поддержка стали ухудшаться с момента приобретения, так что теперь наступил момент, когда мы решили отказаться от этой программы и оценить альтернативы.

Мы создали подробный чеклист и проверили по нему пять парольных менеджеров: LastPass, 1Password, Dashlane, Bitwarden и Keeper. В итоге мы решили, что наилучшим выбором для нашей компании будет Bitwarden, и мы начали процесс миграции с LastPass на Bitwarden.

Очевидно, что наши приоритеты и требования могут не совпадать с вашими, поэтому ниже приводится описание функциональности, на которой мы сосредоточились в своей оценке.

Даже если наши приоритеты отличаются от ваших, вы всё равно можете воспользоваться нашей оценкой! Ниже приведена таблица с результатами [в оригинальной версии статьи есть интерактивная сетка, которую можно настроить, чтобы оставить только те требования, которые вам нужны и сравнить любые 2−6 продуктов по конкретным характеристикам — прим. пер.].

Приоритеты системы управления паролями Quantopian


Мы используем парольный менеджер на Mac OS, Windows, Linux, Android и iOS. Он должен поддерживать все эти платформы. Самое главное, что полная функциональность не может зависеть от приложения, которое доступно только в Mac OS и/или Windows. Другими словами, отсутствие полной поддержки Linux сразу ставит крест на программе. Это исключает 1Password и Dashlane.

Недавно мы начали выдавать всем сотрудникам токены Yubikey с требованием использовать их для двухфакторной аутентификации во всех возможных приложениях и сервисах. Хотя поддержка YubiKey не рассматривалась как жёсткое требование, но тоже влияла на наш выбор. Конечно, мы отклонили бы любой парольный менеджер вообще без поддержки 2FA. К счастью, все пять продуктов обладают такой поддержкой в той или иной форме.

Кроме рабочих паролей, мы рекомендуем сотрудникам использовать парольный менеджер и для личных паролей, и стараемся упростить эту задачу. Несмотря на различные проблемы с LastPass, должны признать, что их функциональность «связанного личного аккаунта» — золотой стандарт для этой конкретной проблемы. Поэтому мы оценивали другие продукты в сравнении с LastPass по данному вопросу. Dashlane и Keeper плохо решают проблему, остальные предлагают вполне адекватные решения.

Очевидно, поскольку мы собирались перейти с LastPass на новый сервис, то важной была возможность импортировать данные из LastPass. К счастью, у всех продуктов есть такая возможность.

Ряд функций, которые мы рассмотрели, актуальны только в корпоративной (т. е. деловой) среде. Например, для личного использования, вероятно, вы не будете заботиться о связанных личных учётных записях, детальном контроле доступа или о том, какие возможности есть у администратора компании, но для нас это тоже важно.

Не в последнюю очередь имеет значение, чтобы наш парольный менеджер активно поддерживался, и чтобы люди из техподдержки реагировали на вопросы поддержки, запросы функций и отчёты об ошибках. Мы определённо подтверждаем это в случае с Bitwarden. Например, в какой-то момент во время нашей оценки мы представили отчёт об ошибке Bitwarden через их Github; один из мейнтенеров исправил баг через 17 минут, а всего через несколько дней патч ушёл в релиз.

Интерактивная сетка со сравнительными оценками


В интерактивной таблице со сравнительными оценками по умолчанию отображаются все пункты контрольного списка. Но если прокрутить вниз, то можно снять флажки с ненужных характеристик и/или выбрать для сравнения две конкретные программы.



Результаты


Функция 1Password Dashlane Bitwarden LastPass Keeper Zoho Vault
Поддержка Chrome да да да да да да
Поддержка Firefox да да да да да да
Поддержка Edge да да да да да нет
Поддержка Safari да да да да да да
Поддержка Mac OS да да да да да да
Поддержка Windows да да да да да да
Поддержка Linux слабо слабо да да да да
Консольный клиент Mac OS слабо нет да слабо да нет
Консольный клиент Windows слабо нет да слабо да нет
Консольный клиент Linux слабо нет да слабо да нет
Поддержка Android, с автозаполнением да да да да да слабо
Автозаполнение Android в Chrome да да да да да нет
Автозаполнение Android, рабочий профиль да да нет да да да
Автозаполнение Android показывает полные имена пользователей да да да да нет нет
Поддержка iOS, включая автозаполнение да да да да да да
Двухфакторная аутентификация да да да да да да
Поддержка YubiKey в браузере (Enterprise) нет нет да да да нет
Поддержка YubiKey в браузере (Personal) нет нет да да да нет
Поддержка YubiKey в Android нет нет да да нет нет
Поддержка YubiKey в iOS нет нет да да нет нет
Сохранение паролей в Android да да да да да да
Сохранение паролей в iOS да да да да да да
Вход по отпечатку пальца в Android да да да да да да
Вход по отпечатку пальца в iOS да да да да да да
Синхронизация между устройствами да да да да да да
Импорт из LastPass да да да да да да
Различие рабочих и личных профилей при импорте из LastPass нет нет нет да нет нет
Сохранение папок LastPass folders в каком-то виде при импорте да сомнительно да да да да
Привязка личного аккаунта (или эквивалент) да слабо да да нет нет
Сохранение местоположения (работа/дом) в момент создания да нет да да нет нет
Сохранение местоположения (папка/коллекция/постранство) редактируется в веб-приложении да нет да да да да
Осмысленная проверка силы мастер-пароля да нет да да да да
История паролей в Linux да нет да да да да
История паролей в Windows да да да да да да
История паролей в Mac OS да да да да да да
Безопасные заметки да да да да да слабо
Вложения к заметкам в Linux нет нет да да да да
Вложения к заметкам в Windows да да да да да да
Вложения к заметкам в Mac OS да да да да да да
Общие папки с контролем доступа на Linux да нет да да да да
Общие папки с контролем доступа на Windows да да да да да да
Общие папки с контролем доступа на Mac OS да да да да да да
Разные группы с настраиваемым контролем доступа нет нет да нет да да
Вложенные папки нет нет да да да слабо
Противостояние невидимым формам автозаполнения да да да нет да неизвестно
Плагин браузера заполняет только указанную форму нет неизвестно нет нет неизвестно да
Плагин браузера отображает иконку на полях формы да да нет да да да
Плагин браузера предлагает сохранить новые сайты на Linux нет да да да да да
Плагин браузера предлагает сохранить новые сайты на Windows неизвестно да да да да да
Плагин браузера предлагает сохранить новые сайты на Mac OS неизвестно да да да да да
Поддержка 2FA при авторизации в хранилище паролей нет нет да нет нет нет
Автозаполнение в браузере отключено по умолчанию да нет да нет нет да
Автозаполнение в браузере можно отключить да нет да да да да
Администратор может переустановить пароли да да нет да нет нет
У администратора есть доступ к приватным данным других пользователей да нет нет да да нет
Админы могут переустановить 2FA пользователей да нет нет да нет да
2FA можно принудительно внедрить на корпоративном уровне нет нет нет да да да
Есть возможность аудита 2FA на уровне организации да нет да да да нет
Экспорт под Linux нет нет да да да да
Экспорт под Windows да да да да да да
Экспорт под Mac OS да да да да да да
Экспорт аттачментов неизвестно неизвестно нет нет нет нет
Отклик на баг-репорты и запросы новых функций нет неизвестно да нет нет неизвестно
Open source нет нет да нет нет нет
Есть функция self-host слабо нет да нет нет нет
Корпоративная лицензия, месяц 7,99 4 3 6 3,75 3,6
Стоимость для одного пользователя, месяц (без аттачментов или YubiKey) 2,99 4,99 0 2 2,5 0
Стоимость для одного пользователя, месяц (с аттачментами и YubiKey) 2,99 4,99 0,84 2 2,5 0
Информативна ли страница со статусом сервиса да да нет да нет да
Количество падений сервиса за последние 6 месяцев 1 12 0 12 0 2

Что думаете?


Вы проводили аналогичную оценку для себя или своей компании? Если да, то каков был окончательный выбор и каковы решающие факторы?

Да пребудет с вами безопасность!

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Каким менеджером паролей пользуетесь вы?

Поддержать автора
Поделиться публикацией

Комментарии 131

    0
    Roboform рассматривали?
      0
      Это перевод статьи.
      +6
      >Что думаете?
      >Количество падений сервиса за последние 6 месяцев
      Онлайн хранилки паролей? Спасибо — не надо.

      Я еще удивился почему keepassx нет в таблице.
        0
        Когда я с телефона хочу зайти на сайт, а он не пускает, потому что у меня другой IP — Lastpass как онлайн хранилка хорошо мне помогает, т.к. я буквально клацаю одну кнопку и вход выполнен.

        Подскажите, как это работает у keepassx?
          +2
          Синхронизация БД через syntching
            0

            Можете рассказать подробнее?
            Я использую на винде KeePass с плагином для синхронизации с GoogleDrive, на андроиде Keepass2Android, который из коробки умеет синхронизироваться с Google Drive (Dropbox, OneDrive, OwnCloud, sftp, ftp, http), но вот с линуксом беда. Там использую KeePassX, который плагинов не имеет, а в KeePass (с mono) тот плагин для GoogleDrive не работает.

              0
              Да, тоже по линуксу интересует вопрос, плагины к dropbox оказались нерабочими.
                +2
                Не вполне понимаю, о каких плагинах речь, у меня база KeePassXC просто лежит в папке Dropbox'а и синхронизирована со всеми устройстами, где мне нужно. В папке кроме файла хранилища также всякое прочее барахло, которое мне хотелось бы иметь под рукой, причем в актуальной версии.
                  0
                  Да просто беда в том, что не использую дропбокс (а яндекс диск, там места больше), вот и приходится извращаться. Хотя, конечно, можно использовать оба, и дропбокс чисто для синхронизации паролей…
                  0
                  Что подробнее? Есть syntching на телефоне/пк/nas в нем лежит файлик от keepassx ну в общем все.
                    0
                    Кстати, подскажите, как в KeePass сделать сохранение заполненной формы в Chrome/FF? Поставил KeePass, поставил плагин chromeIPass и AutoTypeSearch, а он ни в какую не предлагает мне сохранить только что заполненную в хроме форму. И кнопок никаких типа сохранить текущее содержимое броузера (типа Robofrom) как форму в KeePass не вижу. Как это делается?
                    0
                    И мне самому надо где то хостить этот самый syntching?
                      0
                      нет, отдельный сервер не нужен. peer-to-peer
                        0
                        Так а кто будет вторым пиром? Мне комп и телефон надо иногда по времени пересекать, чтобы на телефон синхронизировало? ~_~

                        ПС: просто ветка начинается с того, что онлайн хранилки не нужны. А как синхронизировать адекватно — я что-то не понимаю.
                          0
                          да, надо иногда по времени пересекать, чтобы на телефон синхронизировало.
                          или ставьте третий хост.
                            0
                            На самом деле не обязательно пересекать. У syncthing есть публичные релеи, если у вас нет своего, только скорость трансфера через них не очень, данные там шифруются до пересылки. т.е. 3ий хост не нужен.
                      +2

                      Я для себя нашёл следующий вариант: на десктопе keepassxc, по умолчанию выставленный на файл в директории синхронизации, а на Android — оффлайн файл в Google Drive + ярлык на домашний экран.

                        +3
                        Или аналогично, но с dropbox.
                          0
                          Немного не в тему: какой клиент под линукс для Google drive используете?
                    –4
                    Мне менеджеры паролей кажутся ещё одним очагом уязвимости. Лучше доверять своей памяти, и быть уверенным что пароля в открытом виде нет нигде.
                    У меня уникальный пароль от почты и соответственно от гуглоакка, плюс двухфакторная авторизация, и уникальные с небольшими изменениями пароли от самых важных вещей, вроде пейпала, и стандартный пароль от всего остального. Даже если этот стандартный пароль угонят, я смогу всё восстановить на почту.

                    Кстати говоря, однажды этот стандартный пароль попал в открытый доступ после взлома твиттера. Но не беда, спустя пару дней я провёл ревизию всех аккаунтов и поменял пароль абсолютно везде. Всё равно это по хорошему нужно делать раз в пару лет.
                      +3

                      По мне, так техника всегда надежней человека.

                        –2
                        Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски. Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным. Если пароль из 18 символов, на брутфорс уйдёт несколько сотен лет при любом раскладе.
                          +5
                          Сохраняя свои пароли дополнительно в программу, вы неизбежно увеличиваете риски.

                          Почему неизбежно? Странное утверждение.


                          Профит в виде того, что пароль может быть из совершенно не связанных между собой символов мне представляется сомнительным

                          Профит не только в этом. Например, никогда не введется пароль на фишинговый сайт-двойник какого-либо сервиса, удобная автозамена паролей, отсутствие человеческого фактора наконец.

                            –1
                            Потому что все ваши пароли хранятся в каком-то месте. Пусть это и зашифровано мастер паролем. Утечёт мастер-пароль, и все, все без исключения пароли будут скомпрометированы. Обнаружится дыра в безопасности, 0-day, или что-то ещё — аналогично.

                            Я и так не ввожу пароли на сайты двойники :)

                            Я признаю, что пассворд менеджер очень удобен для казуалов, но для продвинутых пользователей он не нужен.
                              +1

                              Да, они хранятся в одном месте, но все-таки 21й век на дворе и 2FA никто не отменял.


                              Я и так не ввожу пароли на сайты двойники :)

                              От ошибок никто не застрахован, излишняя самоуверенность плохой товарищ параноика (а ведь быть лайт-параноиком обязательно, когда столько всего храниться в сети).


                              А на счет нужности/ненужности было бы интересно какие-нибудь исследования почитать — наверняка проводились. Может кто и поделится ссылкой.

                                0
                                Ну вот у меня например больше сотни логинов/паролей на всяких железках (да да, они у меня разные), пароли от разных почт на разных почтовых серверах (внешне не связанные друг с другом) и т.п… И все это только для работы. Плюс ко всему часть паролей нужно шарить между коллегами (те же пароли от железок).

                                Я подхожу под Ваше определение казуала?

                                И да, я не везде хожу по паролю. Там где можно я использую SSO и сертификаты, но на случай отказа SSO всегда нужен пароль от локаладмина.
                                  0
                                  Да, в случае если пароли нужно часто шарить, то понимаю Вас. Я не предполагал такой вариант использования, он имеет мест быть.
                                    0

                                    семейный человек?
                                    Я шарю часть паролей даже с супругой — зачем для тех же магазинов заводить разные учётки?


                                    OFF: а ещё шарю адресную книгу и календарь, чтобы так же не заморачиваться на ручную синхронизацию

                                      0
                                      Я шарю часть паролей даже с супругой

                                      Пароли от жены должны быть скрыты в первую очередь! Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.
                                      для тех же магазинов заводить разные учётки?

                                      Так может вообще не проходить авторизацию? Зачем париться то?
                                      а ещё шарю адресную книгу и календарь

                                      Ну это вполне не оффтоп — объясняет Вашу позицию. Вы находитесь в суперпозиции «неуловимого Джо». Потому Вам и скрывать нечего. Не все такие безобидные, как Вы. Да и поймать тот момент, когда Джо станет кому-то интересен довольно сложно, так что лучше перебдеть.
                                        0
                                        Пароли от жены должны быть скрыты в первую очередь!

                                        Так не все пароли шарятся же. В рамках 1password заведены несколько сейфов, часть из которых пошарена с супругой, отдельные сейфы под каждого заказчика/работодателя (чтобы не путаться и можно было грохнуть одним махом), один для мамы, другой для тёщи и т.д. — так проще помогать или обновлять "устаревшие" пароли.


                                        Просто потому, что ей потом (без негатива) не предъявить претензий(в отличии от коллег) за утечку. Не говоря уже о том, что невинная (реально) шутка коллеги или подруги может вызвать фонтан ненависти к Вам.

                                        те, кому я пошарил сейф, вполне просвещены на тему отсылки "на сторону" приватных данных. Родители "курс молодого бойца" прошли уже несколько лет как и обеспечена удалённая поддержка и прочее. Супруге я доверяю — если ей не доверять, то кому тогда?


                                        Так может вообще не проходить авторизацию? Зачем париться то?

                                        Это позволяет одному накидать в корзину, а второму сделать заказ. Или накидать в одну корзину каждому что хочется и сделать единый заказ. Плюс накопление всяких бонусов от магазина и прочие плюшки


                                        Вы находитесь в суперпозиции...

                                        Да нет — есть несколько календарей. У каждого персональный и один общий. Так удобнее планировать — если что-то затрагивает более чем одного, то заносится в общий, а если только одного, то в личный. Например рабочие события в рабочее время нужны только мне — их кладу в личный календарь.
                                        С контактами иначе — тут единый список.

                                          0
                                          Супруге я доверяю — если ей не доверять, то кому тогда?

                                          "… должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе." Возможно у меня просто проф. деформация.
                                          Это позволяет одному накидать в корзину, а второму сделать заказ.

                                          А, Вы в этом смысле…
                                          У каждого персональный и один общий.

                                          Ну т.е. он не свободно расшарен, а расшарен ограниченному списку лиц. Наподобие календаря в MS exchange/Zimbra? Ну тогда в принципе норм.
                                  0
                                  но для продвинутых пользователей он не нужен.


                                  А что нужно для продвинутых пользователей чтобы хранить 2300 форм, заполнявшихся в разное время в течение 14 лет?
                                    0
                                    Утечет пароль от Вашей почты, дальше сценарий?)
                                      0
                                      Я его сменю. Потому что восользоваться не смогут — двухфакторная авторизация. А гугл меня оповестит о попытке логина на новом устройстве.
                                  0
                                  Если эти 18 символов состоят из слов с некоторыми вариациями, на подбор его уйдет несколько минут) ну, может быть, часов)
                                    0
                                    Если знать какие слова использовать. Но generally, вы не правы. Пароль вида "&Fd(^3Kf{" — 9 символов и для суперкомпьютера это было бы действительно пара минут (если не учесть что от триллионов запросов в секунду упадёт от ддоса гугл, упадёт интернет на всей планете и взорвётся оптоволокно. Но если взять пароль вида «elhijodelagranputa» — 18 символов, его даже суперкомпьютер не подберёт за пару тысяч лет. Потому что геометрическая прогрессия, потому что слова можно использовать из любого языка (тут испанский), миксовать, и достаточно вставить всего один символ или цифру между словами, как весь алгоритм сломается. А если сделать намеренную ошибку, вообще никогда не угадает. Стандартный брутфорс почти всегда будет эффективнее мудрёных алгоритмов.
                                      0

                                      чем 18символьный пароль из случайного набора букв, знаков и цифр хуже 18символьного пароля из слов "на разных языках", но использующий те же латинские буквы? или предполагается, что не только слова, но и сами символы тоже из используемого языка? Но если так, то какова вероятность, что система умеет хранить не-ANSCII символы корректно? Только проверкой сразу же после регистрации "чистой" авторизации.

                                +2
                                Лучше использовать хэши от пароля+соли+домена :)
                                addons.mozilla.org/firefox/addon/art-password
                                Приложение под Андроид (без разрешений сети) тоже есть.
                                  +3
                                  Лучше доверять своей памяти

                                  Нет проблем, если вы пользуетесь всего одним-двумя сервисом в интернете.
                                  Проблемы с запоминанием паролей в памяти начинаются, если таких сервисов становится десятки и сотни. Тут кроме запоминания самих паролей встает вопрос запоминания и адресов этих сервисов.
                                    –3
                                    Честно, у меня крайне редко возникают проблемы. У меня 2 почты, основная и фейковая. На основной стоит уникальный пароль, он не используется больше нигде. Есть 2 пароля, под которыми я регистрируюсь на большинстве сайтов. На фейковой почте вообще простой. Вида eeeeee123. Угонят — плевать, это аккаунты на один раз. Основной пароль тоже из 9 символов, и используется для большинства аккаунтов. Вроде тут, на хабре. Ну даже если угонят, я всё равно смогу восстановить через почту. Ставить уникальные пароли для каждого сайта — оверкилл.

                                    Так что с запоминанием тоже проблем нет. Максимум с 3 раза ввожу правильный пароль.

                                    Да всё время использования этой системы, менял пароль 2 раза. Один из них для безопасности, один раз база паролей твиттер утекла, вместе с моим паролем. Больше никогда не было никаких инцидентов.
                                      +1
                                      То есть если угонят пароль от одного сервиса, угонят от всех?
                                      Что вы делаете, если регистрируетесь на новом сервисе и вдруг обнаруживаете, что ваш основной пароль (9 символов) этот сервис не принимает и требует чего-то другого. Вот у вас уже 2 основных пароля.
                                      Вот я скорее казуал, а вовсе не продвинутый, как вы, юзер. Но в моём менеджере паролей порядка 300 записей. Некоторые из них (порядка 5-7) по требованию безопасности меняются раз в 3-12 месяца (не я эти требования писал). Что мне делать с ними?
                                      Моё мнение, осутствие менеджера паролей заставляет людей выворачиваться и использовать более простые пароли (те же 9 символов, слова, инкрементные части). С менеджером я спокойно генерю пароли любой сложности и не парюсь сложностью их запоминания.
                                      Помнить пароли конечно тоже надо. У меня есть несколько таких — от самого менеджера (15 символов — комбинация словарной части и случайно сгенерённого куска), от почты основной (аналогично почти) и ещё несколько несложных от несильно критичных вещей.
                                        –1
                                        От всех не критически важных аккаунтов, в теории. Всё это восстанавливается через почту.
                                        Если я захожу и мой основной пароль не подходит, то я попробую ещё один вариант. Это если я уверен, что регистрировался. Потом восстановлю пароль на почту. Но такое на практике ещё не было.
                                        Скорее бывает «так, тут вроде я фейковый аккаунт регистрировал», пробую, и подходит. Не всегда, но приятно использовать фейковую почту/пароль для большинства аккаунтов, которые не требуют защищённости. И не получать рассылки, спам, и так далее.
                                          +4
                                          Я точно на технопортале?
                                          –1
                                          От каких всех?
                                          Во первых где взять списки этих «всех» сервисов?

                                          Во вторых что при использовании памяти, что при использовании интернет-хранилок. Пароль везде ОДИН. Все эти ластпасы и прочая ересь(имхо) хоть и создают зилионозначные ультра-хардкор-ватерпруф-ноускоп-360-пог пароли, но для доступа к этим паролям нужен все тотже мастер пароль.

                                          Еще одно неудобство которое я испытал когда пробовал пользоватся паролехранилками то что они не универсальны. Однажды я пытался на заправке посреди Германии войти в почту пароль от которой был сгенерирован в хранилке. Для этого нужно возить с собой либо устройство где УЖЕ установлена эта хранилка, либо опятьже вводить один пароль для доступа ко всем паролям что как по мне — глупо.

                                          В итоге Ваш сценарий прекрасно работает — угоняем мастер пароль, и получаем как все пароли так и список всех сервисов к которым эти пароли привязаны.

                                          Конечно в ситуации когда у вас 1000 КОРПОРАТИВНЫХ паролей это может быть удобно. Но безопасности данные системы ни капли не добавляют.
                                            0

                                            это не безопасность со стороны владельца пароля, а безопасность, что если ваш логин/пароль угонят с сервиса M, то он не будет подходить к сервису K.

                                      +2
                                      Если перейдёте на фишинговый сайт, то приложение просто откажется вводить логин и пароль, а вот вручную можно ввести даже не заметив, что сайт-то ненастоящий. Рассказы про то, что нужно быть внимательне бла-бла-бла не принимаются. И на старуху бывает проруха, и опытные пользователи ошибаются, причин может быть масса.
                                      Выше прочитал, что у вас не очень много сервисов, которыми вы пользуетесь. Я вот посмотрел, у меня в базе паролей почти 200 записей. Держать это всё в голове, да к чёрту, хватает более важной информации, которую приходится постоянно держать в голове.
                                        –2
                                        Я ни разу не попадал на фишинговый сайт. Вообще ни разу.

                                        Не десяток, думаю около 40 основных. То, что на фейковой почте не считаю, там легко может быть пара сотен однодневных аккаунтов, которые время от времени пригождаются.

                                        Я забыл упомянуть, что пользуюсь встроенным в хром менеджером паролей. Это заметно меняет картину, наверное. Я стараюсь минимизировать количество программ, сервисов которыми пользуюсь. То есть ставить программу и сервис ради того, что возможно слегка лучше того что есть — это слабая причина.
                                          0
                                          В Хроме можно довольно просто посмотреть пароли, которые он там сохранил.
                                            0
                                            Для этого нужно знать пароль от системы. Считайте это таким же мастер паролем, как в паспорте менеджерах.
                                              0

                                              Не совсем так. Не скажу за текущую версию хрома, но в прошлом было несколько случаев, когда выяснялось, что надёжность шифрования паролей в браузерах мастер-паролем, скажем так, была очень не на высоте. Доверия им в этом смысле уже нет. Кроме того, хранить пароли в браузере не очень хорошая идея, потому что пароли бывают не только от веб-сайтов, и браузер бывает не только один.

                                        0
                                        Ну не знаю, у меня только в основной базе паролей ~450 записей. А ещё есть отдельные базы по разным рабочим проектам, и там в каждом от 10 до 30 записей.
                                        Помимо паролей есть необходимость сохранять ключевые файлы, резервные коды, данные логинов, почт (у меня не 1 email), адреса сайтов, ключи от программ, доп. информацию о секретных вопросах, на какой номер телефона привязано, адрес сервера, автонаборы VNC/RDP, ключи от ssh и т.д.
                                        Провести ревизию по списку из менеджера тоже удобнее, чем вспоминать что и где из головы)

                                        У меня голова бы уже лопнула от таких запоминаний)
                                        Использую исключительно KeePass, т.к. не доверяю хранение паролей внешним сервисам
                                          0
                                          Ну с кипасом один тонкий момент: хранить нужно надежно и в непубличном доступе. Если используете чужое_облако, то есть маленький шанс, что по дифам файла будет восстановлен секретный ключ со всеми вытекающими.
                                          А раз в случае целенаправленного взлома со стороны сервиса может быть уязвим и кипас, то разницы между кипасом и ластпасом/etc в этом смысле особой нет.
                                            0
                                            Восстановить ключ по diff`ам баз на данный момент слишком сложно (подобная уязвимость была в старых версиях KeePass) и не всегда возможно (я бы даже сказал, в 99% случаев невозможно)

                                            Разница в том, что «взломав» LastPass/etc злоумышленник получает доступ к данным многих пользователей без необходимости расшифровывать их данные.
                                            А взломав облако с кучей шифрованых баз ему нужно будет потратить слишком большое кол-во средств на взлом лишь одной базы, и с очень маленьким шансом на успех. На его месте проще установить keylogger или memory grabber на целевую систему, но от этого уже мало что может спасти.

                                            А в целом верно, идеального инструмента нет, у всех свои уязвимости)
                                          +1
                                          Если ты заменишь «один пароль для всего остального» на рандомные в менеджере, то твоя защищённость резко увеличится. А которые в голове, те пусть в голове и будут.

                                          Кроме того, для многих ресурсов LastPass может регулярно менять пароль автоматически, да хоть раз в неделю.
                                            0
                                            В смысле, автоматически? А по какому принципу? Ведь нет универсального способа смены пароля в разных сервисах/сайтах/приложениях. Как они такого добились?
                                              0
                                              Написали скрипты для многих популярных сайтов. В фоне открывается броузер и LastPass там сам кликает нужные кнопки, вписывает старые-новые пароли и т.д.
                                          +3
                                          Однажды за довольно немалую сумму купил 1password — пользовался и всё нравилось. Но тут вышла новая версия, программулина обновилась (ну или я неглядя обновил) и она стала работать по подписочной системе. Платить за уже купленную прогу не хотелось, поэтому я попытался откатиться, но не тут-то было — все данные заморозились (стали доступны только для чтения), уже месяц бодаюсь с суппортом — у них там малосвязанная между собой тикет-система, поэтому после каждого сообщения они у меня запрашивают багрепортный файлик из приложения ) В общем, или платите за подписку, или не обновляйтесь, или пользуйтесь чем-то другим, иначе рискуете тоже попасть на квест.
                                            +5
                                            >иначе рискуете тоже попасть на квест
                                            вся суть облачных сервисов/приложений — владелец может в любой момент поменять правила и данные накроются медным тазом…
                                              0
                                              Вполне себе существует standalone версия (7я), которая прекрасно работает без подписки. Видимо так же «навечно» (=
                                                0
                                                Если я правильно понял, то апгрейд до него платный (качается с сайта). Либо из апстора качается бесплатная версия, которая только через подписку. Из общения с поддержкой я понял, что у меня из вариантов — только вернуться к 6-ой версии, но для этого надо в неё как-то перенести данные с 7 версии (которые они заморозили). Ну либо делать экспорт и ручками всё переносить, но это каменный век и как последний вариант.
                                                  0
                                                  ммм, не могу согласиться. standalone версия (которая просто так не лежит в открытом доступе, но которую можно приобрести в итоге, у них же с сайта) нормально ставится, нормально обновляется уже год (или сколько там прошло с момента релиза 7). Проблем не возникало. Это кроме вариантов с сайта обычной версии и через аппстор, но там все подписки в итоге. Постараюсь нагуглить, как я покупал standalone.

                                                  upd: Вспомнил! При первой установке 1password 7 без лицензии, он выдавал окошечко, где предлагал или оформить подписку или купить standalone версию. Стоила она на 20 июня 2018 около $46.
                                                    +1
                                                    Но в целом да, купившим <=6ю версию, пришлось/придется купить 7ю. Иначе никак. Жадность, она такая
                                                      0
                                                      Если не изменяет память, 46$ это за 1 год
                                                        0
                                                        Больше года прошло, полет нормальный. Никаких подписок, standalone версия как работала так и работает.
                                                  0
                                                  Была такая же ситуация — апдейтнулся случайно на новую версию по подписке, которая открыла мой файл с паролями в режиме read only. Поняв ошибку, без проблем скачал 6.8.9 (мак), и продолжил ей пользоваться, по своему старому купленному ключу. Файл с паролями не побился, все работает. Система — Mojave.
                                                  0
                                                  До появления Bitwarden не пользовался менеджерами паролей, но теперь не знаю ничего удобнее)
                                                    0
                                                    У него есть как у Робоформа менеджер личностей (имя, адрес, паспорт), менеджер кредитных карт?
                                                      0

                                                      Да. Есть все вышеперечисленное.

                                                    +3
                                                    Несколько лет использую Enpass — не понимаю, почему его нигде не упоминают :(
                                                    Поддерживает все платформы, в том числе Chrome.
                                                    Разовая плата для снятия ограничения на количество записей.
                                                      +1
                                                      Ранее долгое время пользовался KeePassX, всем устраивал. Но затем возникла необходимость в удобном кроссплатформенном клиенте и пришлось делать аналогичное сравнение всех доступных менеджеров паролей. Основными требованиями были кроссплатформенность и отсутствие привязки к проприетарному облаку менеджера паролей, возможность синхронизации между клиентами (через разные облака, так сказать, общего доступа) и возможность запрета доступа к сети. Перепробовал много, включая Dashlane. В итоге тоже остановился на Enpass и на 100% им доволен. Плата за мобильный клиент компенсируется удобством и стабильностью. Единственное, не уверен что он также хорошо подойдет автору статьи, т.к. у него весьма строгие требования к поддержке корпоративных функций, а я их не использую и в рассмотрение не брал.
                                                        0
                                                        А что скажите о синхронизации по ftp, умеет?
                                                          0
                                                            0
                                                            Да, уже увидел, тестирую сейчас.
                                                            Пока не понял, как работает автозаполнение в браузере на Android. И ценник в 400 рублей за мобильное приложение немного смущает.
                                                              0
                                                              Я в браузере обычно автозаполняю через их клавиатуру. А 400 рублей единожды — это не подписка каждый месяц :)
                                                        0
                                                        раньше пользовался 1password, после того, как они подались в облако — сижу на старой версии, плавно переезжая на enpass
                                                        У enpass интерфес фиговатый, но работает неплохо.
                                                        При этом оба синхронизируются через дропбокс и другие облака.
                                                        0

                                                        Замените Yubikey на "Ключ Безопасности". Yubikey это продукт компании Yubico, который так же поддерживает U2F/FIDO2. Стандартный термин "Ключ Безопасности"

                                                          –1
                                                          Имелся в виду именно Yubikey, а не абстрактный «ключ безопасности», не надо ничего менять.
                                                            0

                                                            Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2

                                                              –1
                                                              Dashlane поддерживает именно ключ безопасности. FIDO U2F/FIDO2

                                                              И что? Если Yubikey поддерживает эту технологию, и Dashlane ее тоже поддерживает, то я не вижу никаких противоречий.
                                                                +1

                                                                Представьте себе если бы все называли все стандарты по своему, на примере WIFI:


                                                                • Пользуйтесь Циснетов в нашем кафе!
                                                                • Устройство с поддержкой Хуавейфай
                                                                • Наш телефон работает совместим со всеми устройствами поддерживающими Гуглвейвы

                                                                Точно так же с ключами безопасности. Все FIDO ключи безопасности могут делать все тоже. Но из за того что люди используют именно название продукта одноименной компании, это вводит людей в замешательство что только Юбикий работает с этим сайтом, когда у тебя всегда есть десятки альтернатив, которые еще и стоят дешевле в большинстве случаев

                                                                  0
                                                                  Я оценил ваши минусы в мою карму и комментарии, благодарю.
                                                                  Теперь по делу. Запомнить «Yubikey» проще, чем малопонятные аббревиатуры, обозначающие технологии, и среднестатистическому (не гику) потребителю будет проще ориентироваться, если будет написано «поддерживается работа с Yubikey», нежели «поддерживает стандарт FIDO U2F/FIDO2». Те, кто «шарит» — и так поймут, что есть альтернативы, а условный некто с Yubikey в кармане прочитает, что его устройство поддерживается, и будет пользоваться. Он ни сном ни духом не разбирается в стандартах, ему достаточно знания, что у него в кармане лежит устройство для двухфакторной аутентификации, а уж какие там у него внутри стандарты — это для специалистов и интересующихся.

                                                                  всегда есть десятки альтернатив

                                                                  Ну и кто им, этим альтернативам, виноват, что Yubikey на слуху и упоминается в таблице, а они — нет?
                                                                    0

                                                                    Та же судьба, что у Ксерокса (который вообще Зиракс), Полароида и других бессменных лидеров

                                                            –1
                                                            Онлайн-менеджерами паролей вообще пользоваться не безопасно. Например, в том же Bitwarden его разработчики видят прямым текстом, к каким сайтам у вас сохранены пароли, могут их редактировать и выборочно удалять. А то, что слабые пароли можно сбрутфорсить при взломе онлайн-базы, и так очевидно.
                                                              0

                                                              Bitwarden можно хостить в собственной инфраструктуре

                                                                0
                                                                Как-то мутно описана эта функция: на главной написано, что это платно ($1/month self-hosting), в справке указано, что даже на своём хостинге нужно оплачивать premium features, хотя в чём конкретно они заключаются — не ясно.
                                                                0
                                                                Можно, пожалуйста, поподробнее про Bitwarden, с источниками? Они на своём сайте в описании крипто утверждают, что шифруется практически всё (https://help.bitwarden.com/article/what-information-is-encrypted/).
                                                                  0
                                                                  В прошлом году тестировал его, нужно было удалить много записей за один запрос, а такой функции вообще не было. Написал разработчикам, они ответили, что такой функции пока что действительно нет, но они могут вручную удалить те записи, которые я им укажу. Собственно на этом ознакомление и закончилось, если они с тех пор начали шифровать данные более полно — отлично.
                                                                0
                                                                Для себя выбрал KeePassXC.
                                                                  0
                                                                  SafeInCloud, ушел на него с LastPass, функционал весь есть, все устраивает. Так же имеется псевдоспокойствие что шифрованный файлик с паролями не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
                                                                    +1
                                                                    не у непонятного дяди в облаке, а в твоем личном облаке дропбокса, гугла и тп.
                                                                    Ничего не замечаете? ;)
                                                                      0
                                                                      Вот мне тоже интересно, люди отказываются от облачных хранилищ паролей, но аккуратно хранят файл с паролями в гуглах-дропбоксах…
                                                                        +1

                                                                        Файл с паролями KeePass имеет открытый формат, использует правильные современные и стойкие алгоритмы, так что никакой проблемы если к нему получат доступ взломав dropbox/etc. просто нет — если на нём стоит достаточно сложный мастер-пароль то ломать его брутфорсом можно до бесконечности.


                                                                        Проблема же облачных сервисов вроде LastPass в том, что зачастую они либо не обеспечивают аналогичный KeePass уровень защиты (т.е. сервису известно о паролях клиента значительно больше информации, чем просто "они есть" — как в случае с базой KeePass в dropbox), либо защита обеспечивается чем-то вроде веб-клиента/плагина, который может быть легко обновлён/подменён на лету (в т.ч. конкретно для отдельного пользователя) самим сервисом, что позволит сервису получить полный доступ к паролям как только юзер в следующий раз введёт мастер-пароль.

                                                                        0
                                                                        И, всё же, разница есть. Поскольку имеется возможность сменить облако или вообще на свой сервер лить (я про правильные менеджеры паролей, про SafeInCloud не в курсе.)
                                                                          0

                                                                          На личном NAS тоже можно разместить файл базы safeincloud.
                                                                          Имхо неспециализированные облака более безопасны для хранения защищенных файлов, т.к. кроме них содержат миллиарды других файлов, а тот же ластпасс при взломе общего хранилища сливает конкретно базы пользователей с логинами и паролями, пусть и зашифрованными

                                                                            0

                                                                            Это как хранить деньги не в специализированном банковском хранилище, а в подвале на даче.


                                                                            Да, если будут грабить банк, то уж точно ради денег, а на дачу, авось, и не полезут...

                                                                              0
                                                                              Неверная аналогия, тут скорее сравнивать надо банковскую ячейку в частном банке (еще неизвестно кто к ней имеет доступ из сотрудников банка) и личное бомбоубежище с гермоворотами (в случае с домашним самостоятельно собранным NAS) или же иголкой в стоге сена в случае хранения в дропбоксе и аналогах.
                                                                          0
                                                                          Замечаю следующее: «за безопасность хранилища отвечаю сам».
                                                                          Аналогично перешёл на SafeInCloud с Pocket.
                                                                          Принципиальная разница с «облачниками» в том, что здесь шифруют и хранят разные, не связанные люди. То есть тот, кто хранит, узнать и прое̶фукать узнанное не может. Про утечку моих паролей с этими всеми облачниками я в новостях не прочту :-D
                                                                          С другой стороны, конечно, более известные и проверенные, вроде keepassx ещё и морально надёжнее, так как их математика проверена большей толпой экспертов.
                                                                          Но последний раз, когда я проверял keepassx эндцать лет назад — это было user hostile… непотребство. Именно с него я убежал на Pocket.
                                                                        +1
                                                                        В статье рассмотрены комбайны, а не парольные менеджеры.

                                                                        FYI: pass / tpm. Вся дополнительная функциональность или добавляется внешними средствами, или возможно не нужна:

                                                                        — нужна поддержка usb токена? шифруем PGP ключом, привязанным к токену
                                                                        — нужна синхронизация? прямое копирование, rsync, rcp, как угодно
                                                                        — поддержка разных профилей? это вообще задача пользователя, а не менеджера паролей
                                                                        — администратор имеет доступ к моим данным? В топку такой парольный менеджер сразу
                                                                        — нужна вставка в браузер? xclip + вставка из системного буфера обмена (pass умеет его чистить) и не морочить себе голову, не такая уж это проблема с безопасностью, тк если у вас скомпрометирован clipboard, то сохранность паролей в менеджере является лишь одной из проблем.
                                                                          +3
                                                                          KeePass под Windows и KeePassX под macOS. Устраивает всем, кроме интерфейса из конца девяностых.
                                                                            0

                                                                            Под macOS есть macpass, который не выглядит в ней инородно, но к сожалению, не умеет многие фичи, доступные в KeePass и KeePassXC, такие как новые алгоритмы и TOTP. Хотя, может быть, уже умеет, я не следил за ним где-то около года.

                                                                            +1
                                                                            Для чего-то важного: онлайн-банкинга, госуслуг, работы — keepass. Не понимаю как такую инфомацию можно доверить внешней системе, к которой ты имеешь доступ только как к услуге.
                                                                            Для того что не жалко потерять (99% сайтов) — любая бесплатная софтина. Лишь бы была функция автозаполнения и плагины для лисы и хрома. LastPass пока устраивает.
                                                                              0

                                                                              KeePass умеет автозаполнение. Я использую KeePassXC под Linux и Keepass2Android на телефоне — оба отлично это умеют. Причём KeePassXC даже двумя способами — по хоткею и через браузерный плагин. Так что никакого смысла какие-либо пароли держать не в KeePass (исключая мастер-пароль в голове) — просто нет.

                                                                              0
                                                                              SafeInCloud. Версии для linux правда нет.
                                                                                0
                                                                                Общался в свое время с разработчиком SafeInCloud по поводу версии под Linux, в результате он сказал переходить на Enpass. Видимо, версии под Linux не просто нет, но и не предвидится.
                                                                                0
                                                                                Kaspersky Password Manager
                                                                                  0
                                                                                  давно пользовался LastPass. последние несколько лет доверяю свою жизнь гуглу. в последнем хроме интеграции довольно таки неплохая, да и генерация паролей для логин форм мне понравилась
                                                                                    0
                                                                                    KeePass для Win
                                                                                    Для андройд тоже KeePass
                                                                                    И для linux тоже keepass. Только не помню точное название пакета.

                                                                                    Файл лежит в дропбоксе и синхронизируется со всеми с кем потребуется.

                                                                                    А раньше тоже lastpass пользовался, да.
                                                                                      +1
                                                                                      Для рабочих нужд сделал self-hosted KeeWeb с доступом к базе через WebDAV. Есть веб-интерфейс и идентичное ему электрон-приложение.
                                                                                        –1

                                                                                        1Password поддерживает работу с YubiKey. Но кажется поддержку добавили не так давно.

                                                                                          +1

                                                                                          пару лет уж как точно есть


                                                                                          А если про статью — то там про 1Password ещё частично "наврали" — и сохраниться предлагает под Linux и автоподстановка в нужную форму есть. Не хватает только GUI клиента

                                                                                          0
                                                                                          Поковырял Enpass, умеет всё то же самое, что и KeePass, только красивый. А также Enpass завёлся на q4os. KeePass тоже заводился, но плагин для Dropbox не работал, поэтому пользоваться было неудобно. Но вот $7 за мобильное приложение — многовато, как по мне. KeePass — открытый проект, и кто-нибудь его подхватит в случае чего, а с Enpass никаких гарантий. Стоит ли оно $7?
                                                                                            0
                                                                                            У меня на ArchLinux работает Keepass через wine c плагином KeeAnywhere все прекрасно синхронизируется с Google Drive. Для автодополнения в браузерах стоит плагин KeePassHttpX(спец версия для linux). Префикс wine без mono, нативный net framework.
                                                                                              +1

                                                                                              Зачем вайн когда есть keepassxc?

                                                                                                0
                                                                                                Keepassxc не поддерживает плагины, насколько я понял.
                                                                                                А у меня в том же префиксе wine еще foobar2000 и Winbox для Mikrotik стоит :)
                                                                                                  0

                                                                                                  А какие плагины нужны? BTW, вообще сама идея плагинов, особенно не от автора оригинального приложения, для менеджера паролей — меня немного напрягает.

                                                                                                    0
                                                                                                    У меня конкретно связь с google drive, так как там лежит база
                                                                                                      0

                                                                                                      А чего просто не положить файл с базой Keepass в каталог, который синхронизируется с google drive любой доступной утилитой, ничего не знающей про Keepass? У меня так лежит файл в каталоге дропбокса.

                                                                                                        0
                                                                                                        А потому что на андроиде keepass нативно поддерживает gdrive и берет базу оттуда, точно также на ноутбуке. Т.е. у меня одна база на gdrive и разные устройства её от туда берут, а потом сохраняют :)
                                                                                                          0
                                                                                                          Но причина использования KeePass с плагином под Wine, а не KeePassXC с тем же grive2, так и не раскрыта :)
                                                                                                            0
                                                                                                            Сейчас изучу что за grive2, спасибо за наводку.
                                                                                                              0
                                                                                                              Перехожу на KeePassXC + grive2 :)
                                                                                                                0
                                                                                                                А какую утилиту для синхронизации в Windows использовать? Есть что-то кроме «installbackupandsync» от google,
                                                                                                                  0
                                                                                                                  Использую плагин GoogleSyncPlugin к KeePass. За пару лет проблем не было. Главное, чтобы файл, который синхронизируется лежал вне досягаемости синхронизации «installbackupandsync», иначе конфликт будет.
                                                                                                  0
                                                                                                  Многие комментирующие перешли с LP на другой менеджер паролей.
                                                                                                  Может кто-нибудь поделиться почему?
                                                                                                  Например,
                                                                                                  1. выше безопасность из-за таких-то фич
                                                                                                  2. выше юзабельность из-за таких-то фич
                                                                                                  3. уменьшилось доверие к бренду LP (по важности это, пожалуй, номер 1)

                                                                                                  А то ощущение, что народ просто устал от бренда lastpass и хочет что-нибудь новенькое.
                                                                                                  Я пользуюсь LP много лет, вроде все было нормально. Но недавно произошел инцидет, вызвавший задумчивость: с помощью кода, присланного на секретный email не удалось сбросить 2FA. Не знаю, в чем дело, надо проверить еще раз.
                                                                                                  0
                                                                                                  Для личного пользования использую KeePass. В компании решили довериться Passwork. Отношусь пока со скепсисом. Ребята из техподдержки с пеной у рта доказывают, что его сделали русские ребята и с ними всегда можно связаться.

                                                                                                  Читаю комментарии и вижу, что народ рекомендует другие менеджеры. Вообщем, что думаете о Passwork? Подключили пробный период, поэтому можно еще все поменять.
                                                                                                    0
                                                                                                    Декстопные клиенты Bitwarden на Electron, что сильно снижает интерес к нему.
                                                                                                      –1
                                                                                                      Это так критично?
                                                                                                        +2
                                                                                                        Корпоративный чатик на электроне, хранилка паролей на электроне, IDE на электроне — так вот зачем мы покупаем ноутбуки с 16Gb оперативки :)

                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                    Самое читаемое