![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vakДля хранения паролей я уже несколько лет пользуюсь утилитой pass. Но это для упёртых юниксоидов, любителей командной строки. Но вот нашлось аналогичное решение для простых людей.
Как всё устроено:
Установку опишу на примере iPhone/iPad. В других системах понадобятся другие софтины, но суть останется той же.
Как всё устроено:
- Пароли хранятся в облаке в закрытом Git-репозитории, в зашифрованном виде.
- Шифрование паролей в репозитории делается по вашему персональному ключу (OpenPGP).
- Доступ к облаку делается по другому вашему персональному ключу (SSH). Или по нескольким ключам, если вы хотите заходить с разных устройств.
- Для управления паролями есть приложения для iPhone/iPad, Android, Linux, MacOS. Не знаю как с Windows, честно говоря.
- Нигде пароли не лежат и не пересылаются в незашифрованном виде.
- Ваши ключи хранятся только на вашем компьютере, и не оказываются на серверах.
- Вы не привязаны ни к какому конкретному провайдеру сервиса или разработчику софта. Всегда можно переключиться на другой сервис или другое приложение, без потери вашей базы паролей.
Установку опишу на примере iPhone/iPad. В других системах понадобятся другие софтины, но суть останется той же.
- Создаём хранилище Git в облаке. Я рекомендую завести бесплатный аккаунт на bitbucket.org и в нём сделать закрытый (private) репозиторий Git с именем pass-store. В принципе, необязательно именно Битбакет: это может быть Гитхаб или любой другой сервис.
- На айфон (или айпад) устанавливаем три приложения: Pass, PGPro и Termius.
- PGPro нам нужен для создания ключа в формате PGP. Зайдите в раздел Keychain, нажмите плюсик и сделайте ключ. Если вы умеете создавать ключи PGP другими способами, или у вас уже есть подходящий - тоже годится. Не забудьте защитить ваш ключ хорошим паролем. Этот пароль - единственная ваша защита, если у вас вдруг сопрут все ваши файлы ключей.
- Tеrmius аналогично нужен, чтобы создать ключ в формате SSH. Тоже заходите в раздел Keychain и жмёте плюсик. Здесь пароль на ключ можно попроще. Он будет требоваться в момент синхронизации с облаком.
- Зайдите на Битбакет в раздел Personal Settings. Здесь есть секция SSH Keys. Скопируйте сюда публичную часть ключа SSH из Термиуса.
- В приложении Pass заходите в Settings и настраиваете URL репозитория паролей. Будет что-то типа git@bitbucket.org:password-store.git. В качестве метода аутентификации выберите SSH Key. Скопируйте сюда ключ, сгенерённый Термиусом.
- Затем в Pass установите ключ PGP. Скопируйте файл, сгенерённый посредством PGPro.
- После этого можете начинать пользоваться утилитой Pass: создавать записи для всяких разных паролей и синхронизировать с облаком. Всё безопасно и надёжно.
no subject
Date: 2023-11-12 14:17 (UTC)Это очень интересная тема, спасибо за рекомендацию. До этого все попробованные мной варианты упирались в одну из двух загвоздок:
Интеграция в браузер и другие приложения. Каждый раз переключать приложение, находить там учётку, делать копирование-вставку (которая некоторыми сайтами бывает запрещена) неудобно. Bitwarden эту задачу решает для браузеров, но она остаётся для других приложений.
Хрупкость решения. Что делать, когда там что-то сломается. Надо предусмотреть все возможные сценарии потерять данные, ключи или доступ к ним, которых при таком сложном и многоуровневом решении много. Причём способы восстановления доступа не должны добавлять новые дырки в безопасности. В случае с Bitwarden вопрос решается периодическим экспортом резервной копии в виде CSV без шифрования и помещения её в стандартный шифрованный backup, но остаётся проблема курицы и яйца с паролем на этом backup-е.
no subject
Date: 2023-11-13 06:36 (UTC)no subject
Date: 2023-11-13 23:01 (UTC)У lastpass исходники с закрытым кодом и у компании, которая им владеет, нехорошая репутация.
no subject
Date: 2023-11-14 04:55 (UTC)no subject
Date: 2023-11-14 12:20 (UTC)База шифрована на пароле, которого у компании нет. Не отдельные поля, а всё полностью. Можно вообще свой сервер поднять.