LastPass наконец подтвердили, что у них слили хранилище паролей. Ну надо же. Всё, что я об этом думаю я в сентябре расписал, все ещё актуально. LastPass и другие навороченные менеджеры паролей не нужны и опасны. Не используйте их. Лучше используйте что-нибудь открытое, локальное и примитивное. То, что можно глазами просмотреть и проконтролировать как оно на самом деле работает. Например мой Barapass.
Архив метки: passwordmanager
Там в очередной раз то ли поломали, то ли не поломали LastPass
Там в очередной раз то ли поломали, то ли не поломали LastPass. Поэтому не грех поворчать про менеджеры паролей. Менеджер паролей штука безусловно полезная, поскольку позволяет использовать пароли достаточной длины и сложности. Однако, к популярным, даже среди безопасников, менеджерам паролей есть вопросики.
1. Это странно, если менеджер паролей проприетарный, т.к. непонятно как фактически пароли хранятся и нет ли там бекдора/универсального ключа/тайного способа делать перебор мастер-пароля очень быстро. Если инструмент популярный и понятно кто его разрабатывает и где этот кто-то живет, то в отсутствие этого всего поверить тем более сложновато.
2. Это странно, когда менеджер паролей опенсурсный, но настолько навороченный, что просмотреть его код глазами за разумное время невозможно. Чем больше сложного кода, тем выше вероятность, что там что-то есть из п.1
3. Это странно, когда менеджер паролей хранит какие-то данные в облаке вендора.
Лично я пользуюсь своим проектом Barapass, который накидал года 2 назад (подробнее в блоге 1,2). Консольный. Работает в Windows, Linux, MacOS. Команд минимум: расшифровать и использовать файлик, искать параметр в файле с последовательным копированием найденных значений в буфер, расшифровать файл в текстовый для редактирования, зашифровать текстовый файл. Честно скажу, редактировать и добавлять новые параметры не особо удобно, но в остальном вполне норм.
По умолчанию шифруется AES-ом, но можно вообще любую комбинацию из алгоритмов накинуть, хоть американских, хоть российских, хоть китайских, хоть каких. Комбинировать даже предпочтительно, т.к. вероятность того, что кто-то возьмется восстанавливать файл честно зашифрованный AES-ом и так-то не высока, а уж в вашей личной матрешке разбираться так и точно будут себе дороже. Проще расшифрованный пароль в буфере или в памяти незаметно поймать. Ну или использовать более грубые методы, от которых менеджеры паролей не защитят. 🙂