Почему необходимо использовать менеджер паролей, какой из них лучше
Специалисты постоянно говорят о том, что совершенно недопустимо использовать простые пароли, которые легко взломать, также предельно порочная практика - использовать один и тот же пароль для разных сервисов.
Я писал статью о том, как придумывать и запоминать устойчивые пароли, однако обычно нет смысла запоминать разные пароли, тем более что это достаточно непросто, потому что давным-давно придумали такие полезные приложения, как менеджеры паролей, так что самое правильное и предельно логичное решение - придумать один-единственный устойчивый пароль к менеджеру паролей, а пароли ко всяким сервисам генерировать с помощью самого менеджера паролей (они все предоставляют такую возможность) и запоминать в учетной записи менеджера.
Есть, конечно, и всякие промежуточные решения, вроде менеджера паролей, встроенного в браузер, но это не очень хорошая идея, потому что дома на ПК, на работе на ПК, в смартфоне могут использоваться разные браузеры, так что это никак не универсальное решение, к тому же - довольно примитивное.
Поэтому нужно подобрать для себя хороший, надежный и безопасный менеджер паролей, и использовать именно его на всех платформах. Этот менеджер будет хранить ваши пароли в облаке, и они будут вам доступны на любых устройствах и любых платформах.
Начать использовать менеджер паролей можно в любой момент, и вам не придется долго заниматься его настройкой и переносить туда все свои логины-пароли. Потому что это все можно делать постепенно. Если вы храните логины-пароли в голове, или же они у вас трогательно записаны на листочке, то нужно просто установить менеджер паролей, а когда в процессе работы вы будете заходить на какие-то сервисы, то там нужно будет разлогиниться, затем залогиниться, введя пароль/логин, и разрешить менеджеру паролей запомнить эти данные.
Если вы понимаете, что используете неустойчивый пароль для какого-то сервиса, а хороший менеджер паролей сам вам подскажет, насколько устойчив тот или иной пароль, то нужно сразу же сгенерировать новый пароль в менеджере, поменять на него старый пароль в сервисе, а менеджер при этом запомнит новые данные для входа.
Также нужно хорошо понимать, что при использовании менеджера паролей вы, по сути, отдаете в чужие руки очень конфиденциальную информацию, поэтому ни в коем случае не нужно использовать какие-то непонятные менеджеры паролей, а также менеджеры, откуда утекали данные или их взламывали.
На самом деле вполне достаточно известных, надежных и хорошо себя зарекомендовавших менеджеров паролей - как платных, так и бесплатных, - чтобы использовать именно их, а не какие-то подозрительные поделки.
Давайте же в данной статье и рассмотрим, какие именно основные менеджеры паролей сейчас существуют, какие возможности они предоставляют, и какие у них плюсы и минусы.
Один из лучших, если не самый лучший, менеджер паролей. Он имеет полностью открытый исходный код, который проверяется различными сторонними компаниями по кибербезопасности. И этим Bitwarden в лучшую сторону отличается от менеджеров с закрытым кодом, в случае которых вы не можете на сто процентов быть уверенными в том, что ваши данные там надежно защищены.
Еще один важный момент - бесплатная версия (а точнее, бесплатный тарифный план) позволяет хранить неограниченное количество паролей и использовать менеджер на неограниченном количестве устройств. Почти у всех остальных известных менеджеров паролей бесплатный тарифный план предполагает серьезные ограничения и на количество логинов-паролей, и на число устройств, где этот менеджер используется.
При этом для бесплатного тарифного плана доступные такие важные функции, как генератор логинов/паролей, двухфакторная аутентификация, безопасный обмен текстом с использованием сквозного шифрования, функция автоматического удаления данных, экспорт ваших данных, импорт данных из большинства других менеджеров паролей и систем хранения паролей в браузерах.
Премиум-подписка вам обойдется в совершенно смешные $10 в год, а там уже будет доступен защищенный обмен файлами (не только текстом), анализ логинов-паролей на уязвимость, немедленный доступ, многоуровневая идентификация и другие возможности.
Ну и всего $40 в год - это уже семейный план до 6 пользователей, что тоже очень удобно.
Менеджер паролей от компании, создавшей NordVPN. У него тоже есть привлекательный бесплатный план для одного пользователя, который не ограничивает количество сохраненных логинов/паролей и количество используемых устройств, и там доступно автозаполнение, импорт и экспорт, заполнение форм личными данными, генератор паролей, автоматическая синхронизация всех устройств и многоуровневая аутентификация. Также бесплатный план позволяет в течение месяца тестировать премиальный план со всеми его функциями.
Премиальный план обойдется в €36 в год, но это только для первых двух лет, после этого в год уже нужно будет платить €72. Расширенные функции включают анализ уязвимости паролей, доступ на случай чрезвычайных ситуаций, защита от фишинга, безопасный обмен файлами через облачное хранилище.
Менеджер доступен для всех основных платформа, имеет расширения для браузеров Chrome, Firefox, Edge, Brave, Safari и Opera.
Учитывая наличие бесплатного плана без серьезных ограничений, я бы, пожалуй, поставил его на второе место по привлекательности после Bitwarten.
Известный и популярный менеджер паролей (я сам его раньше использовал много лет, но потом перешел на Bitwarden), обладающий очень продвинутыми возможностями, однако бесплатный тарифный план ограничен одним устройством и небольшим количеством логинов-паролей, так что им пользоваться практически невозможно.
Впрочем, обычная подписка стоит всего $24 в год, что никак не выглядит разорительным, особенно учитывая тот факт, насколько важно использовать хороший менеджер паролей и что можно потерять, если его не использовать.
Этот менеджер существует практически под все платформы и имеет плагины для всех основных браузеров, там есть мощный генератор паролей, анализ паролей на безопасность, автоматический бэкап ваших данных, возможность хранения персональных карточек для заполнения различных экранных форм, защищенное хранение данных банковских карт, идентификация по биометрии (это очень удобно и для ПК, и для смартфона) и другие возможности.
Безопасный и удобный менеджер паролей с красивым интерфейсом и некоторыми полезными и даже уникальными функциями. Правда, тут уже никакого бесплатного тарифного плана нет, но есть 14-дневный пробный период. Индивидуальная лицензия обойдется в $36 в год. Кроме стандартного набора функций - возможность безопасно делиться паролями, возможность сохранять данные банковских карт, анализ безопасности сохраненных паролей.
И одна из уникальных возможностей этого менеджера - режим путешествия. При включении этого режима все элементы хранилища, которые вы не пометили как "Безопасные для путешествий", надежно скрываются, и посторонние не смогут получить доступ к вашим данными даже если смартфон попадет к ним в руки.
Бесплатного тарифного плана здесь нет, но годовой доступ премиального плана обойдется всего в $34.
Приложения для Windows, MacOS, Linux, Android и iOS, плагины для браузеров Chrome, Firefox, Safari, Edge и Opera.
Безопасный обмен паролями, безопасный обмен данными, анализ уязвимости хранимых паролей, функция BreathWatch, которая осуществляет мониторинг даркнета на предмет скомпроментированных учетных данных, автономный доступ к данным без подключения к Сети.
Вот такой краткий обзор основных менеджеров паролей. Какие выводы? Главный вывод - менеджер паролей обязательно нужно использовать! Запомнить один-единственный устойчивый пароль - совершенно точно несложно, зато пароли ко всем остальным сервисам будут разные и реально устойчивые.
Один из лучших менеджеров паролей, к тому же еще и имеющий вполне пристойный бесплатный тарифный план - Bitwarden. За ним идет NordPass, у которого тоже нормальный бесплатный план. Остальные менеджеры платные, но стоят недорого, и как минимум Roboform и 1Password вполне заслуживают внимания.
Любой менеджер паролей можно попробовать в деле, а потом решить - нравится или нет, стоит за него платить или нет.
Тут главное - в любом случае начать использовать менеджер паролей, потому что без него - никуда!
Как происходил переход Robo -> Bitw?
Есть какой то инструмент по переносу?
Заметки тоже перенеслись? Каких то проблем при переносе не было?
После использования и того и другого почему Битварден? Какие у него преимущества?
Если сравнивать робоформ и битварден по прошествии времени какие у каждого плюсы-минусы?
По цитате runcyclexcski
В файле пароль "Feb21!abc", а действительности надо вводить "Feb21!abc+88". И не нужно лишних программ.
После этого возникает вопрос - где хранить суффиксы? В парольном менеджере? Тогда почему не сами пароли?
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань...
- Hу почему же - у нас, индейцев, тоже есть очень красивые имена: Ястребиный Коготь, Расщепленный Дуб, Бегущая Лань... Так что ты не прав, Бычий Хрен!
описание проекта на хабре - habr.com
1. платный (у меня было такое требование) - но не подписка, а одноразовая покупка, где-то было $20-30
2. никаких серверов, всё локально, синхронизация лаптоп-телефон через мой Dropbox (шифрованный файл)
3. все нужные примочки и масса мне ненужных (избыточных)
4. удобно и быстро
Угу-угу!
А потом что-нибудь случится с менеджером паролей и все ваши мощные но незапомненные пароли улетают коту под хвост. Например, очень даже реальный вариант:
Менеджер паролей вводит ссанкции против всех жителей России и обрубает доступ. Легко! Примеров с другими сервисами и сайтами уже куча.
Не, ну его к лешему. Лучше по старинке: или запоминать или хотя бы держать все свои пароли в записанном виде оффлайн. Я предпочитаю придумывать пароли по алгоритму, чтобы легко запоминались, но одновременно были сложными.
П.С. Я допускаю использование менеджера параллельно для удобства. Но генерация бессмысленных паролей, которые сам хрен запомнишь -- это плохая идея, как по мне.
Придумать пароль - лично для меня сложно. Фантазия буксует.
Ну ОК, придумал при регистрации, запомнил.
Проблема в том, что все это в "быстрой" памяти. И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.
Использовать одинаковые/похожие пароли для разных учеток - откровенно плохая идея.
Менеджер паролей в этом плане - хороший инструмент, глупо им не пользоваться... сейчас.
В детстве многие по 50-100 телефонных номеров помнили, я тоже.
А сейчас не помню ни номер жены, ни свой рабочий мобильник.
Это плохо, но это факт, и, подозреваю, я не один такой.
А вы говорите - пароли...
Меня больше отталкивает идея с генерацией паролей, про которую так все упоенно жужжат. Имхо, пароли нужно помнить самому, чтобы не остаться у разбитого корыта, если менеджер подохнет (обанкротится, ограничит доступ для вашей страны и т.п.) или бэкап потеряется\профукается. А для этого пароли нужно придумывать строго самому по мнемоническому алгоритму, а не генерировать незапоминаемый мусор из случайных символов. Т.е. всегда представляю, что может наступить такой день, когда у меня не осталось ни доступа к менеджеру, ни бэкапов, ни записанных паролей.
Нет, пароли надо держать в голове. Рекомендую мнемонику. Придумываем правило для своих паролей. Например: [Слово1-Слово2(МесяцГод)Слово3-Слово4]. МесяцГод - когда заставили поменять пароль. Откуда брать слова? Можно наугад, из любимых фраз, из предложений книги в общественном достоянии. Например,
[I-Hope(0912)This-Helps]
Или так:
^^mY^^favoritE_09_12_sitE^^exleR^^
Главное, придумав, не менять это правило.
Рассвет уже играл на мандолине.
Краснела дева
В дальний Сингапур
Вы уносились в гоночной машине.
Повержен в пыль надломленный тюльпан.
Умолкла страсть Безволие... Забвенье
О шея лебедя!
О грудь!
О барабан и эти палочки -
трагедии знаменье!
Это для мастер-пароля подходит но никак не для сайтов.
Разные фразы? Как запоминать? Как привязывать к сайтам?
Например, слову exler соответсвует MD5: 9a0a2c08c6fc6aa928c0865ecc037e58.
Команда для Unix: echo -n exler | md5
Для Windows: certutil -hashfile file.txt md5 (file.txt - файл с текстом)
Запоминаем фразу и наличие или отсутствие "хвоста".
Слова то разные для разных сайтов? Если одинаковые то какой смысл а если разные то как запоминать слова?
Записывать? Ну и чем это лучше запоминания паролей?
Держать под рукой "книгу в общественном достоянии" это класс совет 😄...
Тогда придется записывать "для пароля взять слово 5 на странице 20, потом слово 12 на странице 36, потом ..."
Припоминаю какой то старый фильм про разведчиков, где шифровальщики сидели и слушали стихи какого то запрещенного поэта, чтоб ключевую фразу вычислить.
Если кому хочется полностью бесплатно - always free tier сервер оракла или Гугла, плюс dyndns (я использую попклярный afraid.org), чтобы не надо было помнить ip.
Основное преимущество - генерация totp-паролей для двухфакторной аутентификации.
Примотайте его к loadBalancer - и забудьте про мирскую суету. В гугл можно еще и бесплатный сертификат наладить.
Пока пароль у меня утек один, вместе с небезывестной базой данных ЛинкедИН в ~2013 году.
Это не только к паролям относится.
Для себя лично пользуюсь Bitwarden, все клиетские логины-пароли-учетки-ip-лицензии лежат в KeePassXC, синхронизация между моими устройствами настроена через Syncthing.
У Bitwarden, кстати, можно серверную часть развернуть на своем сервере.
А то я уже много лет на платном (позже семейном) Roboform, и хочется понять, чем BitWarden выиграл в гонке.
Теперь собираюсь с духом, чтобы захостить базу данных паролей на своей Synology через VaultWarden...
1) ни слова о лидере локального менеджера паролей Keepass и продвинутом форке keepassXC
2) в списке bitwarden , но ни слова не сказано о его полностью бесплатном форке к тому же более производительным vaultwarden
Я думаю, Vaultwarden хорош в качестве хост-программы для базы паролей, но не как клиент; например, "Bitwarden clients save the vault locally so if my server goes down I still have access to all my password. They just wont sync", а Vaultwardenовский клиент такого, вроде бы, не умеет.
Ну а ещё на офф-сайте пишут русским по белому:
"This is a community project. We can not guarantee 100% uptime!
This is not an official vaultwarden instance, maintained by the repository owners.
We are currently running on a HA Kubernetes Cluster.
But power loss, network outages or human errors can not be excluded.
Be sure to make regular encrypted backups!
We make regular 3-2-1 backups of the server, but we are not responsible for data loss!"
Такшта вот..
А тут - инструкции на русском: www.comss.ru
Разве у Гугла нет чего-то подобного?
Борьба меча и щита будет вечной.
PS ага, расширение надо поставить, тогда будет предлагать сохранить
Расширение для ГуглХрома, например, находится тут.
Бесплатный сыр, бесплатный сыр
Бесплатный сыыыр захватит мииир!
Ну хотя бы рекламу показывает?
Да и просто зашифрованный локально файл хранить в облаках.
О, KeePass нашелся! Который 2android. Надо бы сесть базы синхронизировать. Вручную...
А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...
Базу KeePass хранит локально, т.ч ни о каких деньгах под данные пользователей речи не идет. С другой стороны это позволяет хранить базу на любом облачном сервисе.
И фамилие Мешка не Петров и не Боширов, и 90% его логинов-паролей можно написать на ближайшем заборе, никакого урона это не причинит. Но отдать дяде оставшиеся 10... 😡
Они зарабатывают на корпоративщиках и тех, кому базовых функций мало.
Но у нее база не в облаках. Ну разве как физический файл ее туда можно.
github.com
Насчёт примитивности - не знаю.
Не знала, что можно пароли импортировать из браузера. Надо будет поразбираться. Спасибо за статью!
Написано, что в 2022 году через лаптоп девелопера взломали. Думаю, всё-таки, их ломали потому, что у них тупо больше людей "бесплатно". Tакое может произойти со всеми (если задались целью взломать... может, какой-то юзер с миллионами в крипте засел). Если мастер-пароль супер-длинный, то не декриптили бы.
en.wikipedia.org
неее нафиг нафиг
"The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "
