Чому менеджери паролів такі базовані? §
Якщо ви маєте багато облікових записів чи паролів до різних штук, то я можу припустити таке:
- або ви маєте багато “складних” (настільки, наскільки вам вистачає терпіння) паролів та записуєте їх на папері (безпека залежить, звісно, від складності паролів та того, де ви їх зберігаєте)
- або ви маєте складніші паролі, але зберігаєте їх у текстовому файлі (небезпечно та безвідповідально)
- або прості паролі, які легко пам’ятати (нашо вам тоді паролі)
- або один пароль на все (я б хотів вам поспівчувати, але нема сили)
Або ви вже користуєтеся менеджером паролів, бо розумієте, що це втілення безпеки та простоти.
Із менеджером паролів ваші дані в безпеці §
- Паролі зберігаються в зашифрованому вигляді (зазвичай ви можете змінити алгоритм шифрування на складніший/простіший)
- Ви використовуєте один (безумовно складний) пароль для отримання доступу до них.
- Через це нема потреби використовувати той самий пароль для різних акаунтів, отже, якщо десь станеться витік даних, не потрібно буде через це перейматись.
Значно краще за модні Touch/Face ID §
Face і Touch ID — це те саме, що мати один пароль, який не можна змінити (пересадка пальців чи голови, обирайте), до всіх облікових записів. Крім того, ці технології:
- толерують неточності у сканах (бо різні фізичні фактори серйозно впливають на результати) — через це достатньо фотографії та кількох інструментів для того, щоб обдурити сканер;
- дозволяють злодіям силою чи хитрістю розблокувати ваш пристрій (якщо вас скрутять, то що краще: пароль на тілі чи в пам’яті?);
Використовуючи ці штуки замість паролів, ви робите величезну послугу зловмисникам.
Також автентифікація за біометрією робить вас іще більш залежними від технологічних гігантів, і вони можуть заблокувати вас у будь-який момент.
Менеджер паролів — це зручність §
- Усі паролі в одному місці. Мати можна безліч, пам’ятати — лише один.
- Часто менеджери паролів мають багато неочікуваних приємностей, наприклад
- аналіз ентропії згенерованих паролів
- можливість двофакторної автентифікації за допомогою OTP (одноразових паролів)
- Необмежена креативність. Можете зберігати паролі на власному сервері (дійсно краще на власному) і синхронізувати їх на різних пристроях за потреби. А можете тримати їх на флешці, пришитій до пупка.
Якщо ви ще не хочете використовувати менеджер паролів, то я не знаю, чим вам допомогти.
Як обрати менеджер паролів? §
- !!НІКОЛИ НЕ ВИКОРИСТОВУЙТЕ ПРОПРІЄТАРНИЙ!! Інакше в подальших діях нема сенсу — це те саме, що подумати, що незручно тримати багато важливої інформації в голові, виписати її на листку й віддати незнайомцеві. Виписування нічого поганого не передбачає, а от чужа людина може вам зробити дуже погано, хоча негарантовано.
- Оцініть його актуальність та власні вимоги до функціоналу.
Щоб не лити воду й не брехати, розповім тільки про ті, якими користувався.
KeePassXC §
Вільний менеджер паролів зі зручним графічним інтерфейсом та широким функціоналом.
Я ним користувався, поки не зловив себе на тому, що вжиткую keepassxc-cli,
інтерфейс якого мені не зовсім подобається, тож я перейшов на…
Pass §
Фактично це просто скрипт, який використовує GnuPG для шифрування паролів. І саме через це він дуже крутий. Важить мало, робить свою справу добре, і легко поєднується з іншими програмами.
Міграція з Keepass до Pass пройшла дуже просто, ось пакунки, які я використовував для цього, та стислі вказівки:
- pass-import
- розширення pass для іморту даних із інших менеджерів паролів
- pykeepass
- бібліотека python для взаємодії з базами keepass
також ви можете використати pam-gnupg, щоб розблоковувати ключ gpg (відповідно, базу паролів) під час входу.
gpg --full-gen-key ## згенерувати ключі PGP
pass init <ключ gpg або пошта, яку ви вказали> ## ініціалізувати базу pass
pass import keepassxc <шлях до бази keepass> ## Всьо
- більше про міграцію тут і на сайті Pass. Бо ця стаття на іншу тему
- Двофакторна автентифікація (OTP) в pass
- Якщо ви використовуєте dmenu, то pinentry-dmenu може вам сподобатись.
- https://gist.github.com/abtrout/d64fb11ad6f9f49fa325
Ще трохи про паролі §
Треба скласти довгий пароль, який легко запам’ятати. Наприклад, з вигаданих слів (щоб словникова атака мала менше шансів спрацювати без додаткової соціальної інженерії). Якщо туди ще напхати довільних символів, то взагалі супер