Как хранить пароли: лайфхак

[vak]

Для хранения паролей я уже несколько лет пользуюсь утилитой pass. Но это для упёртых юниксоидов, любителей командной строки. Но вот нашлось аналогичное решение для простых людей.

Как всё устроено:

• Пароли хранятся в облаке в закрытом Git-репозитории, в зашифрованном виде.
• Шифрование паролей в репозитории делается по вашему персональному ключу (OpenPGP).
• Доступ к облаку делается по другому вашему персональному ключу (SSH). Или по нескольким ключам, если вы хотите заходить с разных устройств.
• Для управления паролями есть приложения для iPhone/iPad, Android, Linux, MacOS. Не знаю как с Windows, честно говоря.
• Нигде пароли не лежат и не пересылаются в незашифрованном виде.
• Ваши ключи хранятся только на вашем компьютере, и не оказываются на серверах.
• Вы не привязаны ни к какому конкретному провайдеру сервиса или разработчику софта. Всегда можно переключиться на другой сервис или другое приложение, без потери вашей базы паролей.

Выглядит как реклама, да? 😀 На самом деле это доводы, которые я для себя обдумывал, когда решал пользоваться или не пользоваться разными сервисами хранения паролей.

Установку опишу на примере iPhone/iPad. В других системах понадобятся другие софтины, но суть останется той же.

1. Создаём хранилище Git в облаке. Я рекомендую завести бесплатный аккаунт на bitbucket.org и в нём сделать закрытый (private) репозиторий Git с именем pass-store. В принципе, необязательно именно Битбакет: это может быть Гитхаб или любой другой сервис.
2. На айфон (или айпад) устанавливаем три приложения: Pass, PGPro и Termius.
3. PGPro нам нужен для создания ключа в формате PGP. Зайдите в раздел Keychain, нажмите плюсик и сделайте ключ. Если вы умеете создавать ключи PGP другими способами, или у вас уже есть подходящий - тоже годится. Не забудьте защитить ваш ключ хорошим паролем. Этот пароль - единственная ваша защита, если у вас вдруг сопрут все ваши файлы ключей.
4. Tеrmius аналогично нужен, чтобы создать ключ в формате SSH. Тоже заходите в раздел Keychain и жмёте плюсик. Здесь пароль на ключ можно попроще. Он будет требоваться в момент синхронизации с облаком.
5. Зайдите на Битбакет в раздел Personal Settings. Здесь есть секция SSH Keys. Скопируйте сюда публичную часть ключа SSH из Термиуса.
6. В приложении Pass заходите в Settings и настраиваете URL репозитория паролей. Будет что-то типа git@bitbucket.org:password-store.git. В качестве метода аутентификации выберите SSH Key. Скопируйте сюда ключ, сгенерённый Термиусом.
7. Затем в Pass установите ключ PGP. Скопируйте файл, сгенерённый посредством PGPro.
8. После этого можете начинать пользоваться утилитой Pass: создавать записи для всяких разных паролей и синхронизировать с облаком. Всё безопасно и надёжно.

Аналогично можно настроить доступ к этой же базе паролей с других ваших устройств, телефонов или компьютеров. При этом ключ PGP должен быть один на все устройства: его надо скопировать (безопасным образом!). Ключ SSH же лучше сгенерить отдельный для каждого устройства (и добавить на Битбакет).

Comments

[vit_r]

Пароли надо хранить на бумаге в сейфе.

[prool]

в прошитой пронумерованной тетради

и чтобы рядом с сейфом стоял на страже бравый прапорщик спецназа

[borisk]

Давным-давно я читал воспоминания одного дядечки, который поучаствовал в создании советского Гохрана.

О том, как они вскрывали сортировали частные сейфы в отделениях банков.

Впрочем, достаточно раздолбая-служащего в депозитарии.

[x86128]

Классная штука!
Но всё-таки есть проблема в таких ("не системных") решениях с тем что саму утилиту контролирует пользователь и она может быть запущена любым процессом пользователя, а значит пароли можно просто прочитать - это первое.
Второе - копи/паст паролей через буфер обмена опасное дело, поскольку доступ к нему имеют очень большое число приложений (включая открытую вкладку браузера).

Тут тоже будет реклама ! :)
Кажется что самое зрелое из доступных приложений это системный менеджер паролей на маке или айфоне, поскольку минуя подтверждение пользователя получить к паролю нельзя, а вставка куда нужно происходит минуя буфер обмена. С недавних пор он умеет хранить и подставлять коды OTP, и это также всё синхронизируется между устройствами и для работы онлайна не требует. В самой системе же стало теперь видно кто обратился к буферу обмена, то есть все автоматические копирования буфера обмена скрыть невозможно (вставки минуя cmd-v)

[sobriquet9]

Замки от честных воров. Обычный сейф открывается за пять минут. Тот, который продержится полчаса, стоит как полавтомобиля.

При пожаре бумага в сейфе сгорит.

Логиниться приходится много раз в день, каждый раз бегать сейф открывать?

[sobriquet9]

Это очень интересная тема, спасибо за рекомендацию. До этого все попробованные мной варианты упирались в одну из двух загвоздок:

1. Интеграция в браузер и другие приложения. Каждый раз переключать приложение, находить там учётку, делать копирование-вставку (которая некоторыми сайтами бывает запрещена) неудобно. Bitwarden эту задачу решает для браузеров, но она остаётся для других приложений.

2. Хрупкость решения. Что делать, когда там что-то сломается. Надо предусмотреть все возможные сценарии потерять данные, ключи или доступ к ним, которых при таком сложном и многоуровневом решении много. Причём способы восстановления доступа не должны добавлять новые дырки в безопасности. В случае с Bitwarden вопрос решается периодическим экспортом резервной копии в виде CSV без шифрования и помещения её в стандартный шифрованный backup, но остаётся проблема курицы и яйца с паролем на этом backup-е.

[moneo1337]

bitwarden - это вроде новая реинкарнация lastpass, нет?

[vak]

Пароли можно прочитать, но они зашифрованы. Без ключа и пароля к нему ничего не выйдет.

Копи-паст паролей всё равно происходит. Просто обычно народ не заморачивается и хранит их в обычных текстовых файлах. Да ещё в облаке.

Системный менеджер паролей дело хорошее, но при этом юзер представления не имеет, где хранятся его пароли и как к ним достучаться при необходимости.

[vak]

И при этом не выходить из комнаты, не совершать ошибку. 😀

Доступ к паролям ведь нужен не из одной точки. Дома, на работе, в магазине, в турпоездке - везде возникают ситуации, когда надо срочно воспользоваться каким-нибудь сервисом, а пароль "не помню".

[x86128]

Это да, гораздо лучше чем одинаковые пароли и текстовичок с ними на дектопе

[timka21213]

Когда-то в 90х корпоративное полиси подразумевало хранение всех секретов в LotusNotes базе, ключ к которой харнился на флопиках, закрытый с помощью PGP. Случаев утери информации зафиксировано не было. С тоской иногда вспоминаю эту экосистему, как и роуминг UNIX профиля по всем операционкам в институте, в ещё более ранние годы. И куда всё делось!?

[prool]

Пароль в закрытом медальоне, медальон постоянно на шее

[vak]

Быстро потеряется.

[sobriquet9]

У lastpass исходники с закрытым кодом и у компании, которая им владеет, нехорошая репутация.

[moneo1337]

ну так и у этой компании станет нехорошая, когда базу пролюбят

[sobriquet9]

База шифрована на пароле, которого у компании нет. Не отдельные поля, а всё полностью. Можно вообще свой сервер поднять.