Почему необходимо использовать менеджер паролей, какой из них лучше

Ага, если родной bitwarden сервак самому хостить, там куча контейнеров, а vaultvarden хоть на одноплатник ARM в докер ставь.

Есть идея суффиксы придумывать по своему правилу, типа такого: **********gmail+88 *********pornhub+88 **********gosuslugi+88

Можно ещё запаролировать файл с заготовками паролей. Или пароли - цифрами, а в столе - неприметный 15 том сочинений В.И.Ленина...

... Нет, ты неправ X Æ A-12

типа j7yDf3$×/;frF23%/6¿

Отличный анекдот.

а какой там алгоритм encryption?

круто но очевидно сама почта это тоже уязвимость

Я допускаю использование менеджеров паролей. Но осторожно. Да, это удобно, но много нюансов, поэтому без восторга.
Меня больше отталкивает идея с генерацией паролей, про которую так все упоенно жужжат. Имхо, пароли нужно помнить самому, чтобы не остаться у разбитого корыта, если менеджер подохнет (обанкротится, ограничит доступ для вашей страны и т.п.) или бэкап потеряется\профукается. А для этого пароли нужно придумывать строго самому по мнемоническому алгоритму, а не генерировать незапоминаемый мусор из случайных символов. Т.е. всегда представляю, что может наступить такой день, когда у меня не осталось ни доступа к менеджеру, ни бэкапов, ни записанных паролей.

Я не запомню пароли к ~ 300 сайтам. И не запомню столько мнемонических правил, даже если их будет всего несколько.

Придумать пароль - лично для меня сложно. Фантазия буксует.

Ну ОК, придумал при регистрации, запомнил.

Проблема в том, что все это в "быстрой" памяти. И если постоянно не пользоваться и не вспоминать - быстро сотрется, вытесненное более актуальными для мозга данными.

Использовать одинаковые/похожие пароли для разных учеток - откровенно плохая идея.

Менеджер паролей в этом плане - хороший инструмент, глупо им не пользоваться... сейчас.

В детстве многие по 50-100 телефонных номеров помнили, я тоже.

А сейчас не помню ни номер жены, ни свой рабочий мобильник.

Это плохо, но это факт, и, подозреваю, я не один такой.

А вы говорите - пароли...

++

Одинаковые да, но почему похожие плохая идея?

в сериале Зеленое Крыло была классная сцена, где Мак и Гай рассказывают Мартину, который трясется перед экзаменом, как легче запоминать сложные наборы данных (там речь идет о перечне лицевых костей, если не ошибаюсь).. жаль, не могу найти на ютубе.. хорошая демонстрация предлагаемой вами схемы 😄

о! сезон 1, серия 6, 24:21
нашел здесь: ссылка
там несколько кусочков.. второй 25:30 - там самая соль

Вспомнились пресловутые "Майк" и "Ник":

Сразу вспоминается цитата из "Швейка" про запоминание номера паровоза...

Или так: берем фразу, из нее - только согласные буквы, если буква первая в слове - она становится заглавной. Получается последовательность строчных и заглавных букв, она не должна быть короче 13 символов. Этого уже достаточно для надежного пароля, но если сайт требует более сложный пароль, то к последовательности букв добавляем пару цифр и любой из допустимых спецсимволов. Этот хвост нужно запомнить, он будет одинаковым для всех паролей.
Запоминаем фразу и наличие или отсутствие "хвоста".

Это работает, если надо запоминать один пароль в год. А не 20 разных на 20 разных сайтов. И в конторе заставляют пароль менять раз в месяц.

Можно взять любую фразу или слово и посчитать контрольную сумму типа MD5, SHA256 и т.д., использовать её в качестве пароля, который всегда легко восстановить. Остаётся добавить 1-2 символа для удовлетворения требования «сложности».
Например, слову exler соответсвует MD5: 9a0a2c08c6fc6aa928c0865ecc037e58.
Команда для Unix: echo -n exler | md5
Для Windows: certutil -hashfile file.txt md5 (file.txt - файл с текстом)

Одну фразу на все сайты??? Так это получится один пароль.
Это для мастер-пароля подходит но никак не для сайтов.

Разные фразы? Как запоминать? Как привязывать к сайтам?

Дома в строю темнели сквозь ажур,
Рассвет уже играл на мандолине.
Краснела дева
В дальний Сингапур
Вы уносились в гоночной машине.
Повержен в пыль надломленный тюльпан.
Умолкла страсть Безволие... Забвенье
О шея лебедя!
О грудь!
О барабан и эти палочки -
трагедии знаменье!

Так там ещё лучше была история. Про то, как зашифровали, используя как ключ второй том двухтомника "Грехи отцов", а расшифровать пытались первым.

Обычно запоминать, как вы запоминаете любые другие данные вроде имен, адресов или номеров телефонов. Поскольку речь об осмысленных фразах, а не о случайном наборе символов, то запоминать несложно.

Уж тогда купить себе домен. Какой-нибудь pupkin.me обойдется в 12 - 15 долларов в год.
Примотайте его к loadBalancer - и забудьте про мирскую суету. В гугл можно еще и бесплатный сертификат наладить.

А что даст злоумышленнику подмена DNS, если тогда клиентское приложение просто никуда не подключится?

Селфхостинг битвардена. И регулярные бекапы.

Обычно данные храняться у вас локально, в облаке только синхронизация и бэкап. Тот же Roboform всё хранит локально, поэтому отлично работает без интернета.

думаю KeePassXC

А куда вы вводите пароли без интернета?

Вопрос был не "вводить", а как иметь доступ без интернета. Тем не менее, парольные менеджеры хороши ещё тем, что наряду с паролями в таком же зашифрованном виде там можно и иную информацию хранить. Например, пины к банковским карточкам.

База того же bitwarden доступна локально, синхронизируется только через сервер, а если еще и хостится на своих серверах, то проблемы "утечек практически решены. Останется только вариан "дыры" в самом софте, но даже при таком раскладе - твой сервер еще должны "нащупать".

это форк серверной части, интерес может вызвать у тех кто собирается поднимать свой сервер где-то на клауде или еще что-то подобное

Через импорт в файл и экспорт этого файла, вам там уже выше (ниже) дали инструкцию.

"раньше" 😄

Совершенно верно. Нам оно совершенно не нужно за исключением редких случаев необходимости запоминания отдельных и не связанных с вводом на сайты данных. Но не у всех Эпол…

Sounds reassuring.

Да, и в этом случае тоже. И что потом делать? Если дядя всё профукал, все твои пароли у дяди, а ты их не знаешь.

Так как раз лучше, чтобы показывал! Альтруизм в голове не укладывается: разработать отличную программу, держать место под данные пользователей (а это точно стоит денег!) - и всё нахаляву, за бульон от яиц?..

У нас она используется для хранения паролей всех клиентов - включая несколько федеральных министерств.

Но у нее база не в облаках. Ну разве как физический файл ее туда можно.

Вы ничего не слышали про Open Source? В мире достаточно много проектов, которые за базовые вещи денег не берут, это их реклама (на которую они так же "не тратят денег", работает сарафанное радио).
Они зарабатывают на корпоративщиках и тех, кому базовых функций мало.

Вы же сейчас вписались доказывать параноику, что за ним не следят! 😉 Причем на уровне "зуб даю!", причем мы даже не знакомы... Только без обид, оке?
И фамилие Мешка не Петров и не Боширов, и 90% его логинов-паролей можно написать на ближайшем заборе, никакого урона это не причинит. Но отдать дяде оставшиеся 10... 😡

KeePass - программа с доступным открытым исходным кодом. Если не веришь разработчику, можешь сам проверить код и собрать бинарники, что делает достаточно большое количество народа.
Базу KeePass хранит локально, т.ч ни о каких деньгах под данные пользователей речи не идет. С другой стороны это позволяет хранить базу на любом облачном сервисе.

У Мешка есть заветная флешка с честно купленным RoboformToGo - локальнее некуда! Её перестали поддерживать, заменив облачной EveryWhere, она перестала интегрироваться в браузеры, но пока еще дышит.
А в посте у Алекса всё про несколько устройств, что без хранения "у дяди" невозможно...

А я разве говорил что за ним не следят? Я говорил что если люди что то предлагают бесплатно, это не значит что оно реально бесплатно, это значит что оно оплачено кем то другим.

Надо стать "дядей" и поставить свой локальный хостинг с блекджеком и прочим.

Занадто!
О, KeePass нашелся! Который 2android. Надо бы сесть базы синхронизировать. Вручную...

А что ты будешь делать, если воры квартиру обнесут? Без облаков никак.

Несколько устройств без хранения у дяди с синхронизацией - возможно. Гуглите Syncthing.

Да и просто зашифрованный локально файл хранить в облаках.

мало того, есть OSS'ная замена их совершенно неприлично жирному серверу: VaultWarden называется

github.com

Да, читал про него.

статья на хабре, как раз про установку своего self-hosted сервера
может кому понадобится, чтобы совсем отвязаться от чужих серверов

Я Вам вчера письмо отправил. Волнуюсь, дошло ли.

Так в чём заключена примитивность?

так это все основные браузеры тоже умеют. зачем экзотический браузер для этого использовать.

В возможностях.

Видимо, не дошло. Лучше повторить на toffler@gmail.com.

Не вижу ничего экзотического в Vivaldi. Пользуюсь им достаточно давно, почему и упомянул.

в Опере (из старых версий которой и растут корни Вивальди) точно также

Про браузер Opera я предпочитаю не вспоминать. Ну его... 😉

Повторил в 11:36 по Москве.

Ничего там не вижу.

В спаме ничего нет? У меня оно точно ушло (сужу по почтовому клиенту).

Хренова 😄

Я им никогда не пользовался, я его пробовал и пришел к выводу, что он сильно уступает Roboform'у. Кроме того, у них база утекала неоднократно, так что в топку LastPass.

Печаль, а я чёт юзаю его столько лет и даже не подозревал, что они дырявые 😒

Несколько раз их ломали. Я бы не рисковал.

Неудивительно, потому что LastPass сто лет уже существует, и он бесплатный. Но дырявый. Но бесплатный.

неее нафиг нафиг

да где же он бесплатный! я за него много лет платил.

Т.е. если пассворд из условных 25 символов, может, норм? Судя, по описанию, такое может прозойти с кем угодно.

"The threat actor may attempt to use brute force to guess your master password and decrypt the copies of vault data they took. Because of the hashing and encryption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for those customers who follow our password best practices. We routinely test the latest password cracking technologies against our algorithms to keep pace with and improve upon our cryptographic controls. "

вот что там написано в очень много слов )

Я согласен, но я не понимаю, чем принципиально отличаyuтся другие пассворд-манагеры. Любого супер-админа можно "компромайз", если очень надо. Может, потому, что у ластпасса просто больше людей (см гистограмму ВОРОНОК)?

теща упала на ножик и так 3 раза
en.wikipedia.org

"The threat actor first gained unauthorized access to portions of their development environment, source code, and technical information through a single compromised developer's laptop."

Написано, что в 2022 году через лаптоп девелопера взломали. Думаю, всё-таки, их ломали потому, что у них тупо больше людей "бесплатно". Tакое может произойти со всеми (если задались целью взломать... может, какой-то юзер с миллионами в крипте засел). Если мастер-пароль супер-длинный, то не декриптили бы.

не каждый! всего через год! )
en.wikipedia.org