m-danya's blog
Блог Проекты
Почему каждому человеку нужен менеджер паролей, и как его настроить

Почему каждому человеку нужен менеджер паролей, и как его настроить

4 min read

Правильно ли вы обращаетесь с паролями? Спойлер — скорее всего нет, но это легко исправить.

Для каждого сайта нужно иметь уникальный пароль, причём эти пароли по-хорошему должны быть длинными и рандомными. Почему пароли на всех сайтах должны быть разными? Мы не можем знать, как с нашими паролями обращаются сайты. Чтобы при сливе базы данных одного сайта все ваши аккаунты разом не стали скомпрометированы, пароли и должны быть разными.

Очевидно, что запомнить такое количество паролей невозможно, поэтому придётся куда-то их записывать. Рассмотрим возможные варианты.

Плохие варианты хранения паролей

Блокнот + ручка

notebook

Плюсы: все пароли доступны только вам (пока вы не потеряете блокнот)

Минусы: нужно везде таскать блокнот с собой, вручную вбивать длинные и сложные пароли на всех устройствах, нет встроенного генератора паролей, одним словом, неудобно.

Текстовый файл с паролями, возможно, залитый в Dropbox

Плюсы: я не смог придумать плюсов

Минусы:

  • никакого удобства использования (копировать пароли руками, лол)
  • все пароли лежат в открытом виде (очень плохо)

Запоминать пароли в браузере стандартным способом

firefox example

Плюсы: работает из коробки, синхронизируется с такими же браузерами на других компьютерах. Например, Google Smart Lock, встроенный в хром, действительно удобен для использования: он сохраняет все пароли, предлагает их не только в Хроме, но и в приложениях на Android

Минусы:

  • такие решения работают только внутри своей экосистемы, они не универсальны!

    Например, Связка ключей от Apple не поможет вам на любом неяблочном устройстве, а сохранение паролей в Хроме не будет работать в любом другом браузере.

  • Такие решения не отличаются гибкостью: они умеют хранить только пары “логин-пароль”, а ведь у вас, наверняка, есть множество другой секретной информации! Пин-коды от карт, корпоративные пароли, документы, данные от серверов и т.д.

  • исходный код этих утилит закрыт, поэтому у вас нет никакой возможности узнать, действительно ли ваши пароли в безопасности. Теоретически, что мешает гуглу иметь доступ ко всем вашим паролям?

Решение всех бед

Знакомьтесь, open-source кроссплатформенное общепризнанное решение для хранения паролей — Bitwarden.

Bitwarden — крутое приложение, потому что оно:

  • кроссплатформенное. Работает везде, в том числе в телефонах:
  • полностью безопасное (см. ниже)
  • бесплатное для личного пользования
  • open-source (в отличие от 1Password и LastPass)
  • супер-гибкое: можно давать аккаунтам имена, можно хранить любую текстовую информацию, а не только пары “логин-пароль”
  • удобно в использовании (!!!), в отличие от некоторых других open-source решений. В том числе можно хранить и быстро доставать пароли для десктопных приложений (Zoom, Teamviewer, Steam, …)
  • легко перейти на него с любого менеджера паролей. За пару кликов можно импортировать все ранее сохранённые пароли

Пример

Почему Bitwarden безопасен?

Программа получает и отдаёт данные только в зашифрованном виде, дешифровка происходит локально на вашей машине с помощью мастер-ключа.

Программы-клиенты (которые вы ставите себе на устройства) имеют открытый код, поэтому каждый может убедиться в том, что они работают так, как должны.

В теории хорошо бы ещё иметь собственный сервер, на котором вы развернёте docker с серверной частью (инструкция, как это сделать, есть на их сайте с готовым образом). Это даст ещё один слой защиты, но я не вижу в нём особого смысла — vds ведь тоже не резиновые.. Для надёжности можно просто делать бэкапы всей базы паролей.

features

У Bitwarden есть расширения для всех браузеров, десктопные версии для Windows/Mac/Linux, приложения для iOS и Android, веб-версия и даже консольный интерфейс.

img

Итак,

План действий

(для избавления от проблем с паролями навсегда)

  1. Зарегистрироваться. Потребуется придумать мастер-пароль — отныне это будет единственный пароль, который вам придётся помнить. Он будет открывать доступ ко всем вашим данным, поэтому должен быть как можно сложнее. Также можно указать подсказку для него.
  2. Скачать с официального сайта программу. Начать можно с установки расширения для вашего браузера.
  3. Импортировать все свои сохранённые пароли. Сделать это можно здесь
  4. Стереть все пароли из прошлого менеджера паролей и отключить его (!), чтобы всё было в одном месте. Если сохраняли пароли в браузере — ищите в его настройках что-то вроде “предлагать сохранять пароли” и “автозаполнение”.

Дополнительные фишки

  • есть встроенный генератор паролей
  • когда входишь на сайте в аккаунт, Bitwarden предлагает запомнить пароль (если пользуетесь расширением для браузера)
  • На телефоне можно использовать биометрию (сканер отпечатка пальца), чтобы не вводить мастер-пароль. Такой же фокус работает и на ноутбуках с биометрией.
  • возможность поделиться паролем с другим человеком с помощью одноразовой ссылки (как альтернатива пересылки текстом в мессенджере)
  • можно проверять пароли на утечки. Естественно, всё это происходит локально, то есть на устройство скачивается база с известными слитыми паролями. Ваш пароль в открытом виде никуда не передаётся

Послесловие

У программы есть куча настроек, но изучив их, я не поменял ни одной, всё из коробки стоит как надо. Например, при перезапуске браузера вам надо будет заново вводить мастер-пароль, что довольно разумно в плане компромисса между удобством и безопасностью.

Я был очень рад, когда за вечер перешёл с Google Smart Lock на Bitwarden по выше описанным причинам. Надеюсь, что и ваша жизнь станет проще! Отпишитесь в лс / в комментах, если перешли на Bitwarden, порадуюсь и за вас :)