August 30, 2020

Открытые менеджеры паролей

Хранение в голове паролей к многочисленным аккаунтам сетевых сервисов может соревноваться с созданием brain wallet на звание самых не безопасных практик в цифровом мире. Каждый находит свои рецепты для работы с большим количеством паролей. Это может быть использование какой-либо эвристики, один сильный пароль на все случаи жизни, сохранение паролей в заметки. Если вы сохраняете пароли в "Заметки", то очень рекомендуем Standard Notes, в этом случае они могут быть зашифрованы, и если вы уверены в этом способе, то дальше можно не читать.

У этой статьи две причины: повышение личной безопасности при использовании онлайн сервисов и реальный наблюдаемый в жизни случай утечки данных, который привёл к попыткам мошеннических действий с банковским счётом, открытию многочисленных аккаунтов в сервисах, имеющих внутренние виртуальные деньги. Поводом для статьи послужил твит пен-тестера ниже. Мы используем его для рассмотрения примеров открытых менеджеров паролей Encryptr, KeePass, BitWarden, padloc. Также, небольшой список доступен здесь.

Криптовалютный кошелёк Trezor имеет отличный функционал менеджера паролей, но мы не будем его рассматривать, потому что мы будем говорить о программах для персонального компьютера/мобильного телефона и потому что менеджер паролей Trezor работает только в браузере Chrome.

Для генерации паролей можно действительно пользоваться кубиком, можно, как в случае с BitBox или Trezor, пользоваться встроенными аппаратными генераторами случайных чисел.

Пользователи Linux также имеют примерно 10 разных способов создания пароля из командной строки. Затем эти пароли должны быть помещены в менеджер, который зашифрует их одним мастер-паролем.

Encryptr

Github Page

Google PlayStore, Apple AppStore

Для самостоятельной сборки этот менеджер неудобен только тем, что используется менеджер пакетов и библиотек JavaScript, npm (у авторов как правило не получается собирать приложения с его использованием). В то же время, npm даёт кросс-платформенность, что может быть полезно для активных пользователей разнообразной техники.

На самом деле все рассматриваемые менеджеры используют тот или иной фреймворк JavaScript и npm, просто для того чтобы сделать программу красивой и доступной на разных операционных системах. Например это хранилище на Python работает исключительно из консоли и требует клавиатуры. Консоль и установка библиотеки на каком-либо языке программирования это неприемлемый путь для многих пользователей.

Encryptr для своей работы требует только 2 разрешения, и не требует почты для регистрации. При старте задаётся только юзернейм и мастерпароль, что весьма просто и быстро. Приложение шифрует платёжные карты, пароли и текстовый ввод, при необходимости оно копирует пароль в буфер обмена.

Bitwarden

Github Page

Google PlayStore, Apple AppStore

Имеет проработанный интерфейс и функционал на порядок шире и более детализированный по сравнению с Encryptr. Например, менеджер не просто генерирует пароль, но и позволяет настроить символы, которые должны в него входить, может избегать символов двойной трактовки (0 и О). Это всё имеет цену: базовые функции бесплатны, продвинутые опции, вроде подключения Yubikey ключей для 2FA аутентификации — только для премиум аккаунтов (1 доллар в месяц, 10$ в год).

При установке Bitwarden запросит почту и мастер-пароль. У этого открытого менеджера паролей есть интересный минус: страница релизов на GitHub не содержит обычных способов верификации сборок, контрольных сумм и подписей, только имеет шильдик "verified", установленный ресурсом.

Тестирование приложения совпало с техническими проблемами Cloudflare

Аккаунты пользователей синхронизируются через серверы Bitwarden (есть веб интерфейс https://vault.bitwarden.com/#/) и если ваш браузер (ПК) не нравится Cloudflare, у вас могут быть проблемы с входом в аккаунт на приложении для ПК.

Так выглядит приложение для ПК Bitwarden в Linux, когда Cloudflare доступен и оно может синхронизироваться

KeePass

Оригинал KeePass

Форк KeePassXC

Утилитой поддерживаются операционные системы Windows, macOS и Linux. Она имеет графический интерфейс и большое количество "продвинутых" функций вроде настройки конкретного способа хранения ключей и метода шифрования базы данных. Генерация паролей тоже может гибко задаваться, как в Bitwarden.

KeePassXC поддерживает импорт базы данных из других программ и из простых текстовых файлов, поддерживаются аппаратные ключи 2FA авторизации типа Yubikey. При использовании аппаратного ключа база может быть зашифрована простым паролем, который будет усилен устройством по схеме challenge-response (практически, означает что "пароль" устройства будет соединяться с вашим паролем и хэшироваться для разблокировки базы данных). При удалении пароли помещаются в корзину (т.е. не удаляются сразу безвозвратно).

Этот менеджер имеет "клоны" для Android, которые поддерживают старые версии базы данных (в последней версии программы сообщается, что они, или их использование, не безопасны). Приложение для ПК может взаимодействовать с браузерным расширением для всех браузеров, включая Tor, SSH-агентом, подгружая ключи в агент при активации менеджера, доступна "тёмная" цветовая гамма.

Другие форки KeePass:

Padloc

GitHub Page

Security Whitepaper

Открытый менеджер с платными функциями. Поддерживается на всех платформах и имеет расширения для Chrome и Firefox. Сервис имеет предложения для бизнеса и команд, с возможностью организации доступа к хранилищам. Бесплатными будут 50 паролей, кредитных карт или других шифрованных объектов, два устройства. Т.е. на уровне бесплатного аккаунта функционал будет таким же как у Bitwarden. Премиальный аккаунт будет дороже Bitwarden, но в него входит также 1Гб хранилище, 2FA и неограниченное количество подключаемых устройств.

Заключение

Даже ограничившись только приложениями с открытым исходным кодом, мы можем найти достаточное количество менеджеров паролей с самыми разнообразными функциями. Более профессиональный пользователь скорее всего предпочтёт KeePassXC, благодаря его богатому функционалу и интеграции с полезными инструментами (вероятно python-keepassx имеет доступ к стандартной базе KeePass приложения для ПК с gui). Если есть менеджер паролей на смартфоне, поддерживаемый вендором, синхронизация между аккаунтами может быть излишней и пользователю KeePassXC остаётся только позаботиться о резервировании базы данных.

Компромиссным удобным вариантом выглядит Bitwarden: он подходит как для "продвинутого" пользователя, так и для тех, кто не работает с SSH ключами и кому нужна только удобная синхронизация между разными устройствами и программами. Padloc должен быть интересен для команд и самым простым менеджером из всех рассмотренных будет Encryptr.

Поддержите автора!

Шлите ваши сатоши, используя эту LNURL ссылку

LNURL1DP68GURN8GHJ7MRWW3UXYMM59E3XJEMNW4HZU7RE0GHKCMN4WFKZ7URP0YLH2UM9WFHXZMT9843NXUPSWFESSLK458

Используя страничку, либо просто пользователю @c3p0rs через @lntxbot.

Если вы ещё не знаете как использовать сатоши в Лайтнинг сети, прочитайте руководство для кошелька BLW или исследуйте Телеграм-бот @lntxbot.