Как хранить пароли: лайфхак

[vak]

Для хранения паролей я уже несколько лет пользуюсь утилитой pass. Но это для упёртых юниксоидов, любителей командной строки. Но вот нашлось аналогичное решение для простых людей.

Как всё устроено:

• Пароли хранятся в облаке в закрытом Git-репозитории, в зашифрованном виде.
• Шифрование паролей в репозитории делается по вашему персональному ключу (OpenPGP).
• Доступ к облаку делается по другому вашему персональному ключу (SSH). Или по нескольким ключам, если вы хотите заходить с разных устройств.
• Для управления паролями есть приложения для iPhone/iPad, Android, Linux, MacOS. Не знаю как с Windows, честно говоря.
• Нигде пароли не лежат и не пересылаются в незашифрованном виде.
• Ваши ключи хранятся только на вашем компьютере, и не оказываются на серверах.
• Вы не привязаны ни к какому конкретному провайдеру сервиса или разработчику софта. Всегда можно переключиться на другой сервис или другое приложение, без потери вашей базы паролей.

Выглядит как реклама, да? 😀 На самом деле это доводы, которые я для себя обдумывал, когда решал пользоваться или не пользоваться разными сервисами хранения паролей.

Установку опишу на примере iPhone/iPad. В других системах понадобятся другие софтины, но суть останется той же.

1. Создаём хранилище Git в облаке. Я рекомендую завести бесплатный аккаунт на bitbucket.org и в нём сделать закрытый (private) репозиторий Git с именем pass-store. В принципе, необязательно именно Битбакет: это может быть Гитхаб или любой другой сервис.
2. На айфон (или айпад) устанавливаем три приложения: Pass, PGPro и Termius.
3. PGPro нам нужен для создания ключа в формате PGP. Зайдите в раздел Keychain, нажмите плюсик и сделайте ключ. Если вы умеете создавать ключи PGP другими способами, или у вас уже есть подходящий - тоже годится. Не забудьте защитить ваш ключ хорошим паролем. Этот пароль - единственная ваша защита, если у вас вдруг сопрут все ваши файлы ключей.
4. Tеrmius аналогично нужен, чтобы создать ключ в формате SSH. Тоже заходите в раздел Keychain и жмёте плюсик. Здесь пароль на ключ можно попроще. Он будет требоваться в момент синхронизации с облаком.
5. Зайдите на Битбакет в раздел Personal Settings. Здесь есть секция SSH Keys. Скопируйте сюда публичную часть ключа SSH из Термиуса.
6. В приложении Pass заходите в Settings и настраиваете URL репозитория паролей. Будет что-то типа git@bitbucket.org:password-store.git. В качестве метода аутентификации выберите SSH Key. Скопируйте сюда ключ, сгенерённый Термиусом.
7. Затем в Pass установите ключ PGP. Скопируйте файл, сгенерённый посредством PGPro.
8. После этого можете начинать пользоваться утилитой Pass: создавать записи для всяких разных паролей и синхронизировать с облаком. Всё безопасно и надёжно.

Аналогично можно настроить доступ к этой же базе паролей с других ваших устройств, телефонов или компьютеров. При этом ключ PGP должен быть один на все устройства: его надо скопировать (безопасным образом!). Ключ SSH же лучше сгенерить отдельный для каждого устройства (и добавить на Битбакет).