Тред лучшего Open Source софта для хранения паролей
Аноним (Microsoft Windows 10: Chromium based)
27/07/20 Пнд 00:55:51
№1
Офф.сайт - https://keepass.info
Плагины - https://keepass.info/plugins.html
Обсуждаем, делимся советами использования, интересными плагинами и их настройкой.
От себя:
1) Не поленитесь распечатать копию базы данных на листочек и закопать где-нибудь в огороде.
2) Не выставляйте автоблокировку программы дольше чем на пару минут.
3) В дополнении к мастер-паролю обязательно подключите OTP, например из Google Auth.
4) Откажитесь от всякого ненужного вам софта на комплюктере, чем меньше всякой лишней хуйни, тем меньше вероятность рандомных утечек (хотя наверное спорно).
Для винды норм, но он же написан на C#. Так что для unix лучше форк KeePassXC на нашем любимом C++.
LastPass
закрывайте этот тухлый тред нахуй
На своем Manjaro уже редко сижу, поэтому даже не искал порт, но надо будет закрепить потом следующем оп-посте (если будет)
>>2828786
Там кажется нет emergency кода в бесплатной версии.
>>2828804
Открою секрет, что иногда там хранят пароли от своих облачных хранилищ или какие-то корпоративные пароли, при проебе которых тебе нихуево настучат по шапке. Но обычной веб-макаке это вряд ли дано понять...
Не нужен, когда есть божественный Bitwarden. Почему? Потому, что KeePass не проходит периодический аудит (последний был в 2016 году), когда тот же Bitwarden прошёл дополнительный аудит безопасности 5 дней назад. KeePass не имеет клиента под Android/iOS. Да-да, именно оригинальный KeePass, а не те поделия из говна и палок от нонейм васянов без аудита.
Ой сразу нахуй эту дроч с первого оп-пика. Как-то зашифровал пароли пизда им всем пришла, а оказалось толи версии мажорные не совместимы были толи минорные... Короче кал полнейший.
Ну то что этот Bitwarden прошел какой-то аудит это конечно хорошо. Но Bitwarden это продукт с платной составляющий и вроде бы сами разработчики делают запрос и вероятно платят за этот аудит, а в KeePass кто будет платить? Но вероятно в ближайшее время попробую поюзать.
То что нет версии под Android/iOS - это скорее даже плюс (для меня), меньше возможности для утечек, мобилами особо не пользуюсь.
>>2828827
>>2828830
Не видел подобных проблем ни на форуме, ни в issues.
>Но Bitwarden это продукт с платной составляющий
Бесплатной версии хватает с головой. Платная там только бизнес подписка. У тебя есть своя фирма?
>а в KeePass кто будет платить
Никто, потому что автору нечем кроме как из собственного кармана. Да и шанс у KeePass скурвится больше, так как его пишет всего 1 человек.
>То что нет версии под Android/iOS - это скорее даже плюс (для меня)
Но не для меня, мне важна кроссплатформенность у продукта ибо перебирать костыли постоянно я заебался. Хочется взять и использовать один продукт везде.
>меньше возможности для утечек
С таким мышлением тебе лучше и вовсе не сидеть в интернете.
Кто-нибудь здесь пользуется pass? https://www.passwordstore.org/
На данный момент использую KeePass 2, но слышал очень хорошие слова о pass.
> KeePassXC
Собственно на нем и на венде можно сидеть, а оригинальный кипас обновляется раз в год и делается непонятно кем и где хостится. В общем мутная история. Из плюсов только что он за те 20 лет что существует несколько раз аудит безопасности проходил.
Ну не сказал бы, вполне честные лица. И они хотя бы есть. А вот кто стоит за кипасом, это большой вопрос.
Зачем если есть божественный битварден?
>У Bitwarden пароли хранятся на ИХ серверах
https://bitwarden.com/help/article/install-on-premise/
>с KeePass же они у тебя на локалке и их никто не трогает
Откуда ты знаешь? Когда я последний раз сидел на нём в 2018, я прогонял трафик и было видно, что он связывается с 1-2 доменами. Твой швятой KeePass не имеет повторного аудита и не будет, а Bitwarden его проходит периодически.
>Можно вообще в виртуалку это запихнуть какую-нибуд
Костыли вместо человеческого решения? Спасибо, но нет.
> Откуда ты знаешь? Когда я последний раз сидел на нём в 2018, я прогонял трафик и было видно, что он связывается с 1-2 доменами.
С каким? Прогонял трафик, и никакого трафика не было кроме тех случаев, когда установленный мной плагин скачивал иконки сайтов.
> https://bitwarden.com/help/article/install-on-premise/
> RECOMMENDED MINIMUM SYSTEM REQUIREMENTS
> Processor: x64, 2 GHz dual core
> Memory: 4 GB RAM (system memory)
> Storage: 25 GB
> Docker: Engine 19+ and Compose 1.24+
И это просто хранилка паролей. Ну не знаю.
Какой положняк за этот менеджер?
https://keeweb.info/
Сорцы: https://github.com/keeweb/keeweb
Поссал на это поделие после пяти лет использования. Ушёл на битварден. Теперь чувствую себя человеком.
Школьник, плз. Тут же есть тред. Почитай, аргументируй свои против.
>>2825975 (OP)
Куда у вас эти базы вечно утекают или какой там трафик куда уходить. Если бы это было так - уже было бы куча тем и постов хотя бы на том же хабре или другом подобном ресурсе, но там нихуя нет, потому что у мамкиных фантазеров все утекает только в их головах
Windows, Linux, macOS - https://keepassxc.org/
Android - https://www.keepassdx.com/
iOS - https://keepassium.com/
НОУДИСКАСС
/thread
Нашёл тут статью от автора.
https://habr.com/ru/post/269895/
>Error message says: The file header is corrupted
Вся суть этого поделия.
https://github.com/PhilippC/keepass2android/issues/1242
>спервадобейся!1адын
>1) Не поленитесь распечатать копию базы данных на листочек и закопать где-нибудь в огороде.
Лол, это как? Через od -t x1 file.kdbx чтоли?
>Храните либо в голове
У меня 100+ плюс паролей, в каждом из которых 20+ абсолютно рандомных символов. Ни один человек в мире не сможет это запомнить.
>либо в виде ключей на флешке
А как я вставлю флешку, например, в телефон?
>Можно даже запороленным текстовым файлом
Это и есть kdbx.
>Можно даже простым текстовым файлов в запороленном архиве. Зачем кормить свои пароли непонятно чему.
А скармливать свои пароли это норм, получается? В KeePass хотя бы исходный код полностью открыт. Если у тебя прям шиза на счёт безопасности, ты можешь его проверить и убедиться, что в нём нет никаких закладок. И даже вручную собрать себе программу из этого кода.
>>2829956
>У меня 100+ плюс паролей
У меня тоже, те которыми пользуюсь чаще - помню на изусть.
>в телефон?
Есть двухсторонние флешки, если очень надо. И замеч тебе пароли в телефоне. Пароли от соцсетей сейчас и браузеры прекрасно хранят.
> kdbx
Сомнительно.
>скармливать свои пароли архиватору
Ок. Это лишнее. Архиваторы лучше юзать только по назначению.
>которые меняют безопаснрсть на удобство
Показывай, где Bitwarden небезопасен. Исходники открыты, аудит проводили (при чём последний раз 22 июля). А пока будешь ходить в пиздаболах.
>отправляют свои пароли васянам на сервер
Между прочим над Bitwarden работает компания специалистов из 50 человек, которые имеют знания в определённых сферах. А вот у KeepAss действительно васяны, о которых в интернете нет информации вообще. Да ещё и без аудита, сорт оф блокнот.
>Небось ещё и 10$ за подписку на про платят
Сейчас бы платить за опенсорс...
>У меня тоже, те которыми пользуюсь чаще - помню на изусть.
Ну у тебя там пароли наверное Qwerty123456, чё там запоминать-то. Из своих я смогу запонить максимум 2, да и то на завтра я их наверняка забуду.
>Пароли от соцсетей сейчас и браузеры прекрасно хранят.
У меня на некоторых сайтах несколько аккаунтов. А так как сайтов много, то часто бывает такое, что я на него захожу, а я там ещё не залогинен. На счёт двухсторонних флешек не знаю, что это такое, никогда не встречал, да и не нужны эти костыли. Гораздо проще хранить на microSD.
Выучи полезное. Займись делом. Нахуй тебе эти схемы. На вк все еще можно как-то поднять больше 0.1 бакса в час?
>>2830007
Ты ебанутый блядь? Если у тебя не хватает мозгов не покупать всякую хуйню, зачем тебе кейкипер сдался? Вот что ты на нем будешь хранить? Впарашу, тиндер и еще какую-то хуйню для школоты?
>Ты ебанутый блядь
Токсичное быдло, спок.
>Если у тебя не хватает мозгов не покупать всякую хуйню, зачем тебе кейкипер сдался
>Вот что ты на нем будешь хранить
Тебя волновать это не должно.
>Впарашу, тиндер и еще какую-то хуйню для школоты
А ты что там хранишь, ядерные ключи что ли, нитакойкакфсе?
>Выучи полезное
Я уже всё выучил. У меня учёная степень и красный диплом.
>Займись делом
Я и занимаюсь наукой в университете. Но сейчас же лето, никто не работает... Мне и самому эти аккаунты пригодятся - если заморозят одну страницу - сразу перейду на другую.
Не прогуливай больше уроки.
>лучшего Open Source софта для хранения паролей
KeePassXC. На телефоне не за чем, один раз вошёл и забыл.
>у меня красный диплом
>держу фейки вк для заработка
>Показывай, где Bitwarden небезопасен.
Само хранение паролей на сервере у васяна уже не безопасно. А если ещё и за шифрование твоей инфы отвечает васян - тут уж без комментариев. Но он тебе обещал, что всё будет заябись. Верь. Не забудь про гигиену паролей и здоровье аккаунта
Если сомневаешься, подними свой. Ещё вопросы?
https://bitwarden.com/help/article/install-on-premise/
>Ну, вот, нигде не палится, именем не светит, значит в ИБ уже шарит
Не факт.
>Или ты что-то против анонимности имеешь? Предал нас?
Ничего не имею против, но доверять пароли неизвестному васяну с протухшим аудитом архаичной версии (считай, что его нет) такое себе удовольствие.
Надо читать маны
https://bitwarden.com/help/
Есть ещё такое
https://bitwarden.com/help/article/import-data/
Больше ничего не нашёл
> Тред лучшего Open Source софта для хранения паролей
Текстовый файл и gpg
Можно пердольно поднять свой сервак у себя на компе и указать его клиенту. Мануала и однокнопочной утилиты для этого нет, нужно пердолиться, хотя встречал готовый бат файл для этого. Кстати, в таком случае и премиум функции начинают работать
> Ну, вот, нигде не палится, именем не светит, значит в ИБ уже шарит. Или ты что-то против анонимности имеешь? Предал нас?
Толсто.
Ну так напиши им, пусть оправдываются или просят опцию.
/тхреад
Расскажите, зачем вообще хранить пароли где-то кроме собственной головы?
Ну так и с битварденом распечатай.
Я не пользовался битварденом. >>2834669 написал что при восстановлении в битвардене стираются пароли (от чего восстановление теряет смысл). Ниже ему ответили >>2834765, на что я и сказал про бумажку. Логика на месте? Заявления про то что в кипасе тоже нельзя восстановить пароли — полный бред.
Голова.
>KeePass-2.45-Source.zip
Попизди мне тут, он к каждой версии сорцы выкладывает.
Маня ты же не знаешь откуда взялся этот билд. Просто какой-то аноним выложил его у себя а ты скачал. Ещё и такие денжища где-то нашел на несколько аудитов, а васяны с другими кипасом почему-то не нашли. Очень мутная история как по мне. А ты просто взял и доверился репутации как последняя маня.
Какой же ты тупой. Сорцы есть на официальном сайте от самого автора KeePass. Читать умеешь? (пикрил)
>Source code packages, containing everything you need to build your own KeePass.exe and plugins
Что ты там мне кукарекал про то, что не компилируется?
>Ещё и такие денжища где-то нашел на несколько аудитов
На какие несколько? У него аудит был единожды, в 2016 году.
>васяны с другими кипасом почему-то не нашли
Потому что считают, раз код открыт значит любой сможет его провести. Вот только не понимают, что этим мало кто занимается и легче прочитать отчёт в несколько страниц.
>Очень мутная история как по мне
Не мутнее твоих васянов.
>А ты просто взял и доверился репутации как последняя маня
Ну не доверять же какому-то рандому важную информацию. С таким же успехом, можно выйти на улицу и рассказывать всем подряд инфу о себе.
P.S. для особо "одарённых", ссылка введёт на оф. страничку в SF автора KeePass. Вот тут >>2835227 выше показал. Так что это не какой-то аноним или неизвестное происхождения билда.
А сколько аудит стоит?
Средний прайслист около 10000 долларов. Это у контор с репутацией. Но судя по странице с наградами кипаса, его аудитом занимались какие-то попенсорс васяны-самоучки. Доверять компетентности таких отбросов это расписаться в собственной умственной отсталости.
>Средний прайслист около 10000 долларов
В твоём манямирке?
>Но судя по странице с наградами кипаса, его аудитом занимались какие-то попенсорс васяны-самоучки
>European Commission's Free and Open Source Software Auditing
Вот ты и спалился, клован. Ты и понятия не имеешь ничего про аудит.
В том, что ты не разбираешься в аудите. Этого достаточно. Ты уже доказал, что ты ссыкло и пиздабол не умеющий даже читать код. А я ещё надеялся, что в тебе остались зачатки разума. Зато громче всех скулишь, как побитая псина. В этом ты мастер, да. А так, больше ни на что не способен.
Утешай себя, клоун.
>Тред лучшего Open Source софта для хранения паролей - KeePass
Всё так. Я бы ещё добавил BitWarden. Эти два проекта имеют открытый исходный код, репутацию и что не маловажно для хранения такой важной информации, как пароли - аудит. Доверять прочим форкам будут только те, кто не разбирается в данной теме вовсе.
Да, пиздатый софт, конечно же. Такой весь открытый и пиздатый, и сорцы есть. Но их конечно же нельзя компилировать, потому что они зашифрованы (нужные модули, которые подтверждают их истинность, и что они соотвествуют проекту, и коду проекта, и там может быть все что угодно), но то похуй. Это же лучший софт. Хули.
https://sourceforge.net/p/keepass/discussion/329221/thread/5673aa71/
Как же меня заебали эти лживые, лицимерные, отвратительные пердоли. Всё у них через блядскую жопу. Абсолютно все.
Создается софт ради пердоленья, а не ради выгоды\пользы.
Говно говна!
>пытается собрать KeePass в Windows по инструкции для Linux
>закономерно делает сасай
>РЯЯЯ, ГОВНО ГОВНА!!!
>>2837038
Ахуеть долбоебы.
А Х У Е Т Ь. Это блядь полный пиздец.
У меня открыт блядь СОЛЮШЕН в Win10 их кода на C# для винды.
Ты вообще ебобо?
А ну да, ты же не шаришь нихуя, но пиздонуть что-то нужно.
Сука, какие же вы дегенераты, мне стыдно за вас
В вашем возрасте я и моё поколение шарило намного лучше, чем вы сейчас, но кукарекаете громче всех не разбираясь вообще ни в чем.
Падаль тупая.
Keepass хорош для всяких сайтов на вордпрессе, магазинов итп. Гененерируйте рандом под них и обращаетесь к менеджеру паролей, а крупные рыбы уровня гугла, учетки оси итд лучше всегда держать в голове.
Лучшее место для хранения паролей это голова. Использовать левый софт для их хранение - признать в себе дауна.
Самая лучшая затея, так как уязвимость только к телепатической атаке. Можно ещё сделать бэкап на листочке и там же зашифровать по удобному тебе алгоритму. Так что даже если попадёт кому-то в руки, то ничего понятно не будет. В идеале ещё можно купить мини-сейф. Итого, имеем самый настоящий селфхостед без посредников таких как менеджеры паролей.
При чём тут рассказывание паролей? Тебе скинут фишинговую ссылку и ты введёшь. Менеджер паролей уменьшает такую вероятность: можно перейти на страницу логина из него, а если стоит расширение которое само предлагает подставить пароль из базы после ввода мастер-пароля, то оно просто не сработает на фишинговом сайте.
>Тебе скинут фишинговую ссылку и ты введёшь
Начнём с того, что я не хожу по левым ссылкам. Это всякие бабы сраки с уровнем развития домохозяек тыкают на всё подряд. Обобщать не надо.
>Менеджер паролей уменьшает такую вероятность: можно перейти на страницу логина из него, а если стоит расширение которое само предлагает подставить пароль из базы после ввода мастер-пароля, то оно просто не сработает на фишинговом сайте
Чтобы зайти в свою базу, надо сначала ввести мастер-пароль. В данном случае, ты от кейлоггера не застрахован. Впрочем как и от самой программы по хранению паролей. Сейчас бы доверять данные чужому дядьке.
>Начнём с того, что я не хожу по левым ссылкам.
Ой вот то что ты тут такой Иисус Непогрешимый нашелся - этого не надо на других проецировать, пожалуйста. Иди проповеди свои читай другим наивным дурачкам.
Большиснтво косячит. И иметь техническую подстраховку от косяков - более чем разумно.
>Ой вот то что ты тут такой Иисус Непогрешимый нашелся
Мань, чтобы не переходить по странным сообщениям, много ума не надо. Тем более ссылка, блять, перед твоими глазами. То, что ты спермой свои шары залил и ничего не видишь, это тоже только твои проблемы.
>этого не надо на других проецировать, пожалуйста
>нет ты
Манёвры-манёврики...
>Иди проповеди свои читай другим наивным дурачкам
Так уже. Ты мой первый, дурашка :3
>Большиснтво косячит
Большинство ≠ все.
>И иметь техническую подстраховку от косяков - более чем разумно
Как скажешь. Можешь и дальше доверять чужим дядькам свои пароли, как раз на такое наивное и необучаемое хомячьё и расчитан этот капкан замедленного действия.
Написала тебе тня в интернете, общаетесь уже пару недель и тут "Ой, Славик Сычёв, ты такой милашка, я тебе ту сюрприз сделала (фоточки): ссылка.на.сайт" — переходишь, а там для скачивания в качестве защиты от спама просят зайти через вк. Это всё ещё очень и очень упрощённый пример, я не хакер всё таки (даже если бы был, норм схему бы не палил). Ну ещё Иллюзия Обмана подходит, как там секретные вопросы выведали. Даже очень умных людей ловили на СИ.
Ну а про доверие приложению — код открыт. Отключи проверку обнов и увидишь, что кипас не пользуется интернетом. База так же хранится локально.
>для скачивания в качестве защиты от спама просят зайти через вк
Кто поведётся на такое?
>Написала тебе тня в интернете, общаетесь уже пару недель и тут "Ой, Славик Сычёв, ты такой милашка, я тебе ту сюрприз сделала (фоточки): ссылка.на.сайт"
Заезженный скрипт ботов или тех, кого взломали и делают спам-рассылку. Подобное ещё в нулевых видел. Таким уже не проведёшь с теми, кто знаком.
>код открыт
Открытость не означает 100% гарантию. Делать из этого культ не надо.
>Отключи проверку обнов и увидишь, что кипас не пользуется интернетом
И что? Я не знаю разработчика. Кто он, чем живёт и как думает. Почему я должен доверять неизвестному мне человеку? Я ещё при здравом уме.
>База так же хранится локально
Которая может, кстати, наебнутся. И пароли уже никак не достанешь.
> Которая может, кстати, наебнутся. И пароли уже никак не достанешь.
Тебя мамка в детстве не учил
Это не проблема. БД можно такую даже нужно хранить распределённо, настроив синхронизацию через какой-нибудь мега-гуглодрайво-клиент. Если это невкусно — можешь скрипт на баше/PS накатать. Инструменты вторичны, главное — копии
Кейлогеры ещё не научились обходить экран защиты винды и тащить обсфуцированный пароль с экранной клавы менеджера паролей.
Да и причём тут мастер пароль? У тебя маневры уже пошли, которые тебя же и обоссали.
Или если у тебя кейлоггер, то как это защитит от твоего метода ввода из памяти пароля? Ну не долбаеб ли?
А то что кто-то получит мой мастер пароль от базы, которая привязана к учетке компа + имеет соль в качестве внешнего файла, и второй фактор аутентификации с приложения ключа но я могу как ты впасть в крайность и сказать, что у меня физический юбики, то твоя методика отсосала уже в 100%.
> >Ой вот то что ты тут такой Иисус Непогрешимый нашелся
> Мань, чтобы не переходить по странным сообщениям, много ума не надо. Тем более ссылка, блять, перед твоими глазами. То, что ты спермой свои шары залил и ничего не видишь, это тоже только твои проблемы.
Смотрите, макодебил про подмену днс запросов не слышал.
Каждый раз одно и тоже... вставлю и я своё мнение итт.
Пользуюсь и советую keeweb https://github.com/keeweb/keeweb , так как:
- доступ из под любой ОС т.е. кроссплатформенность
- достаточно одного браузера, устанавливать софт и расширения необязательно (можно даже отключить интернет, тогда страничка в браузере будет работать с базой оффлайн, если параноик)
- опенсорс проект с большим коммьюнити, всё прозрачно
- есть разные плагины, шорткаты и прочие рюшечки
> Кейлогеры ещё не научились обходить экран защиты винды и тащить обсфуцированный пароль с экранной клавы менеджера паролей
Зачем им это, если можно заинжектиться в оконную процедуру приложения в которое вводят пароль?
Но в конце дело говоришь. Кстати, насчёт соления. Не в курсе, какое ПО по умолчанию ещё и перчит пароли?
>>2844779
А ты, видимо, про DNSSEC, HPKP, и TLS.
Это все не важно, ведь отвечали шизоиду, который про перехват пароля рассказывал у менеджера и утверждал, что надо в голове держать пароли и обсфуцировать на бумажке. При этом он почему-то не учитывает, что вводить ему так же их придётся и шанс перехвата выше.
Просто эти адекваты не сталкивались с реальной жизнью и парольными политиками. Когда таким фруктам выставляется требование обновлять пароль каждые 120 дней начинается мастурбационная эквилибристика уровня Moi0hue##iyParol2018, Moi0hue##iyParol2019a, Moi0hue##iyParol2020. Да и на остальные случаи у них редко бывает больше 10 случайных паролей, потом уже добавляются всякие мнемонические костыли.
Хватит толстить. Обновляю спокойно пароли раз в месяц со всякими крякозябрами и хуё-моё. Знаю наизусть все 17 паролей и каждый от какого сервиса. А что там учить? Это же уровня стишка на утреннике. Люди со своими менеджерами совсем деградировали...
Берём какой-нибудь текст, абзаца 2-3.
Пропускаем через base64.
Выравниваем текст по N символов.
На строке X отсчитываем Y символов (если Y > N, то берём текст на следующей строке), это и будет паролем.
Насколько хороша такая идея?
На хабре предлагали не текст, а табличку из случайных символов. Тебе надо было только смещение и направление запомнить.
Твой метод плох как раз тем, что символы не случайные. Словарные слова прогнанные через base64 остаются словарными словами, и если твой метод раскрыт, то сбрутить пароль не будет сильно сложно. То есть минимум надо ещё скремблирование добавить, а лучше вообще другие источники энтропии использовать.
144 пароля без корзины. Из них 16 на BugMeNot, и ещё где-то 60 не нужны точно, но сложно избавиться.
В среднем у человека есть 130 онлайн-аккаунтов. Firefox для мобильных устройств надежно запоминает и хранит ваши пароли на синхронизируемых устройствах, поэтому вы сможете войти в систему одним щелчком мыши.
Можешь уносить своё решето:
https://github.com/denandz/KeeFarce
Лучше KeePassX, а впоследствии KeePassXC ничего нет и не будет.
>Под мак и под винду.
И под Линукс и под Андроид и под иос и в виде приложения и в виде аддона.
> Можешь уносить своё решето:
> https://github.com/denandz/KeeFarce
> Лучше KeePassX, а впоследствии KeePassXC ничего нет и не будет.
Но ведь аудит, репутация.....