Как вы организуете хранение аккаунтов и паролей?

 Публичный пост

Никогда не пользовался парольными менеджерами, но сейчас накопилось много аккаунтов/ключей/паролей в связи с чем задумался об организации, хранению и безопасности.

  • Стоит ли использовать парольные менеджеры? (какие?)
  • Как вы переезжали из хаоса в менеджер?
  • Как лучше бэкапить/хранить/обновлять ?

Интересен любой опыт работы с парольными менеджерами.

Связанные посты
57 комментариев 👇

Для хранения паролей использую 1Password, перед этим был дефолтный Key Chain в MacOS / iOS. Перешел так как 1Password не привязан к конкретной платформе и предлагает более гибкий и удобный функционал.

Из хаоса в менеджер переезжал постепенно - поставил плагины для браузеров и каждый раз когда логинился в какой либо сайт он предлагал сохранить пароль. Так и переехал :)

1Password делает бекап в iCloud, можно настроить в Dropbox

  Развернуть 1 комментарий
  • за 1Password.
  Развернуть 1 комментарий

Сейчас 1Password по-умолчанию подразумевает подписку с облачным сервисом хранения паролей.

Чтобы получить классическую лицензию нужно сначала поставить версию с сайта или brew (не из аппстора), затем купить из интерфейса приложения ($49.99, lifetime)

Мак/виндовз покупается отдельно, каждую можно ставить на неограниченное количество своих компьютеров.

Есть несколько способов синхронизации, у каждого свои недостатки https://support.1password.com/sync-options/

  Развернуть 1 комментарий

Использую Bitwarden, там храню все пароли. Есть приложения и расширения для всех браузеров.

Для 2FA использую Authy.

  Развернуть 1 комментарий

Сервер для него хостишь сам?

  Развернуть 1 комментарий

@42nd, нет, пользуюсь тем что дает Bitwarden.

  Развернуть 1 комментарий

+1 к битвардену: удобный менеджер с плагинами и приложениями для всех популярных платформ.

  Развернуть 1 комментарий

Как-то это тревожно, когда твои пароли хранятся на чужом сервере

  Развернуть 1 комментарий

@salimonov, они зашифрованы твоим мастер паролем, сервер видит набор байтов.

  Развернуть 1 комментарий

скачал себе, но не разобрался как из keychain macOS забрать пароли.... можешь подсказать

  Развернуть 1 комментарий

@MaksimKolbin, не пользовался этой функцией, не могу помочь, увы.

  Развернуть 1 комментарий
Вова Backend (.Net + SQL) разработчик 4 июня 2020

KeePass, а файл(ы) в dropbox, соответсвенно на любом устройстве все up to date.

  Развернуть 1 комментарий

Я издревле на чистом Lastpass сижу на всех компах и мобильных устройствах, вполне достаточно.

  Развернуть 1 комментарий

KeepassX про синхронизация файла между устройствами

  Развернуть 1 комментарий

Пользуюсь enpass, так как можно хранить на своём гугл-диске базу, и раньше была одноразовая плата небольшая. Там же храню разные документы и т.п, к которым нужно иметь доступ время от времени. (типа коды 2FA, или данные карточек, страховок)
Так как пользуюсь разными браузерами на разных устройствах, то сторонний сервис даёт возможность иметь пароли везде (а не только в Хроме).

  Развернуть 1 комментарий

Пробовал 1Password, Bitwarden
Остановился на KeePassX

  Развернуть 1 комментарий

Как там дела с бекапами?

  Развернуть 1 комментарий

Стоит глянуть на KeePassXC. Если не путаю, KeepassX подзабросили, а KeePassXC подхватили знамя.

  Развернуть 1 комментарий

@42nd, тут у тебя есть один файл-БД. Для него сделать бэкап-скрипт не сложно

  Развернуть 1 комментарий

Сам я храню его в папке, которая синхронизируется с моим облаком

  Развернуть 1 комментарий

Увидел тут в комментах к другим постам Bitwarden, перелез на него.
До этого пароли были в хроме и эпловских связках (больше всего бесило, что две разные связки на рабочем и домашнем компе).
Переехал за пару вечеров:

  1. Экспорт паролей из хрома (изи), кейченов (найденный в интернете скрипт, который по одному доставал пароли из сафари лол) и импорт всего этого добра в битварден.
  2. Битварден напомнил мне что я любитель использовать везде одну и ту же связку из набора цифр и слова, в итоге весь вечер я менял все свои 150 паролей на безопасные, а заодно подключал 2FA где возможно
  Развернуть 1 комментарий

Я посмотрел - битварден бесплатный, а на чем он зарабатывает?
Я бы не стал доверять бесплатному решению по паролям, если оно не self-hosted

  Развернуть 1 комментарий

😱 Комментарий удален его автором...

  Развернуть 1 комментарий

@rufus111, Там есть платная подписка - 10$/год, как раз за всякие плюшки вроде 2FA и аналитику паролей. Ну и, при желании, его можно заселфхостить.

  Развернуть 1 комментарий

@rufus111 Bitwarden неплохо заточен под командное храенение паролей, и именно такие лицензии у него ощутимо более платные. Персональное же хранение у него бесплатное именно, чтоб пощупать.

  Развернуть 1 комментарий

можешь поделиться скриптом для переноса из кейчейн? сам не нашел(

  Развернуть 1 комментарий

@MaksimKolbin, если честно, не могу вспомнить чем именно переносил, но что-то из этого:
https://discussions.agilebits.com/discussion/30286/mrcs-convert-to-1password-utility/p1
https://gist.github.com/jonycgn/fa8bb9f1513af54baa95aecfa2e569eb

  Развернуть 1 комментарий
Valerii Ovchinnikov TeamLead, наверное 3 июня 2020

Использую lesspass (не lastpass!)
Хранит только сайт-логин-настройки пароля. Сам пароль генерируется локально по масетрпаролю

  Развернуть 1 комментарий
  1. Пароли нигде не хранятся вообще
  2. Логины для сайтов хранятся в базе last pass (НО МОЖНО ХОСТИТЬ У СЕБЯ)
  3. Бесплатно
  4. Есть расширяния для браузеров и аппы на мобилки
  5. Открытый код на гитхабе лежит

Мой идеал вообще
https://lesspass.com/

  Развернуть 1 комментарий

@OVal, выглядит очень круто, но правильно ли я понял, что если хочешь изменить мастер-пароль, нужно менять и все "хранимые" пароли?

  Развернуть 1 комментарий

@HhTzCzHpCUBPXC3g, да! Поэтому выбирай с умом и никуда не записывай мастер пароль.
Для доступа к базе профилей можно энериптить мастер пароль н раз.

  Развернуть 1 комментарий

@OVal, выглядит очень круто, но чтобы переехать на такое решение, нужно вручную поменять пароли я даже затруднюсь сходу назвать примерное количество ресурсов :)
Как вы это решали?

  Развернуть 1 комментарий

@hakim, постепенно переезжал
обновил за вечер, что вспомнил, а потом по мере работы уже
смотрю, что в профиле нет пароля для сайта -- добавляю

  Развернуть 1 комментарий

Кстати, в критических отзывах по решению, которое как бы не нуждается в синхронизации, упомянули важную, как мне кажется, вещь:

Truth is, you must synchronize devices.
If you ever change the password for a site, then the counter field must be synchronized across all your “sync-free” devices.

  Развернуть 1 комментарий

@hakim, ну ты можешь не синхронизироваться
Тогда надо помнить счётчик пароля просто ("просто")
Если страшно синхронизироваться через сущие сервера, то можно self hosted сервер поднять

  Развернуть 1 комментарий

нахер менеджеры. придумал мнемоническое правило для сложных паролей к почте и айклауду. все остальные пароли выдумывает и запоминает браузер.

для сложных случаев есть кнопка "забыли пароль?"

  Развернуть 1 комментарий

Есть корпоративные аккаунты к которым пароль придумал не ты. У меня например таких полно.

  Развернуть 1 комментарий

@wCtlHRqamCtz2nJf, нет же никакой проблемы добавить их в нативную "связку ключей", не?

  Развернуть 1 комментарий

а в браузере вообще безопасно сейчас пароли хранить? Еще несколько лет назад, помнится, любой самый тупой троян вытаскивал все пароли из любого популярного браузера.

  Развернуть 1 комментарий
Arthur Kreyn Пилю фронтенд 3 июня 2020

Примерно года два назад озадачился тем же вопросом - различных доступов и аккаунтов, генерируемых на работе становилось всё больше, доверять всё встроенному в браузер хранилищу хотелось всё меньше, а привычную схему "пара выученных паролей для всего помимо работы" сильно хотелось изменить.

Критерии выбора менеджера были следующими:

  • желательно опенсорс
  • использование какого-либо общепринятого формата или возможность экспорта в оный
  • бесплатность
  • хотелось иметь возможность пользоваться одной и той же репликой/версией БД с паролями с любого устройства и из любой точки мира и в случае чего не оказаться беспомощным в ситуации, когда вовремя не синхронизированная меж устройствами база паролей осталась на любимом домашнем ноутбуке, который находится далеко от тебя.

Различные популярные проприетарные решения навроде 1password сразу были отметены. Сначала пробовал связку KeePass + Google Drive(личный сервер/bitbucket/iCloud/вставить нужное). В целом юзабельно, но требует многовато ручных действий.

В итоге случайно наткнулся на KeeWeb и пользуюсь им до сих пор: https://github.com/keeweb/keeweb . У них есть клиенты для десктопа и PWA. Синхронизация выполняется через одно из доступных решений (я использую гуглодиск, но есть и возможность self-host'а), в облаке хранится .kdb файл, совместимый с "классическим" KeePass.

По итогу в абсолюте ситуация свелась к необходимости помнить два пароля - от гугл диска и от БД с паролями.

  Развернуть 1 комментарий

А чем google passwords не хорош?) Ну хранит себе пароли и хранит, даже suggest есть, если воображения не хватает

  Развернуть 1 комментарий

Разные устройства с разными браузерами, невозможность хранить что либо кроме паролей.

  Развернуть 1 комментарий

@Zefir, так, аккаунты и пароли он хранит, какие устройства с разными браузерами?) - что, сафари грейт эген?

  Развернуть 1 комментарий

@StepanPotapov, ну на телефоне самсунг браузер (адблок + чёрная тема всем сайтам)
На компе обычно хром, но иногда сафари. На айпаде в основном сафари. Не забываем про стенд-элоун апликейшены, разные инстаграмы и т.п.,в которых логинишься не через браузер.

  Развернуть 1 комментарий

Перешла на 1Password. До этого был LastPass, но порядком поднадоел своей глючностью и интерфейсом.

  Развернуть 1 комментарий
Alex V ORM (интернет репутация) 3 июня 2020

😱 Комментарий удален его автором...

  Развернуть 1 комментарий
Никита Якунин Системный администратор 3 июня 2020

Использую встроеный в google chrome менеджер паролей. Для сервисов которые требуют все таки защиты использую 2FА авторизацию.

  Развернуть 1 комментарий

Дык это, поиск же теперь есть

  Развернуть 1 комментарий

эх да недолистал, ну судя по всему не я один недолистал

  Развернуть 1 комментарий

так я и говорю шо можно не листать уже
ну это я так
https://vas3k.club/search/?q=пароли

  Развернуть 1 комментарий

С 3-й попытки начал пользоваться 1Password. До этого везде использовал 2-3 вариации одного пароля, но с возрастом приходит паранойя. Бесплатные сервисы не рассматривал, ввиду возможности очевидной монетизации)

  Развернуть 1 комментарий
Eugene Makarenko Product marketing manager 4 июня 2020

Использую Bitwarden без бэкапов.

Это простой и удобный менеджер паролей. Он бесплатен, есть категоризатор и генератор паролей.

  Развернуть 1 комментарий

Раньше использовал связку ключей, но спустя пару лет понял, что пароли из неё и пароли из гуглоакка были в разной степени актуальности. Решил это дело как-то привести в чувства и тогда первый раз попробовал Enpass. После него перешёл на 1Password, который почти забросил, но как только узнал что он умеет в отп просто влюбился. Считаю это его киллер фичей

  Развернуть 1 комментарий

он умеет в отп

Enpass также умеет в отп. Могу ошибаться, но вроде все, которые не заброшены, умеют

  Развернуть 1 комментарий
Evgeni Pochechuev Предприниматель, Разработчик 5 августа 2020

Пару месяцев с 1Password.
Впечатления очень положительные
Освоение совпало с экспериментальным переездом с Chrome на Firefox. И я просто менял пароль везде где логинился=) т. к. до этого пароли были не такие секьюрные как хотелось, а с 1Password ставлю везде им-же сгенерированные.

  Развернуть 1 комментарий

Bitwarden. Переехал с KeePass. Очень нравится. Есть все для всего. Очень удобно.

  Развернуть 1 комментарий

1Password, Dashlane, Bitwarden, Keepass — тысячи их. Зависит лишь от желания платить 😊

Для себя юзать Оленя чисто из-за dirty invite hacks — наклацал премиум на несколько лет вперёд. Но и 1pass по работе

  Развернуть 1 комментарий

Могу зашарить инвайт с 6мес премиума, но вряд ли он кому-то нужен когда есть open source

  Развернуть 1 комментарий

Сижу на Bitwarden + интеграция bitwarden cli в Alfred

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб