Хто не має менеджера паролів, той лох

Чому менеджери паролів такі базовані? §

Якщо ви маєте багато облікових записів чи паролів до різних штук, то я можу припустити таке:

• або ви маєте багато “складних” (настільки, наскільки вам вистачає терпіння) паролів та записуєте їх на папері (безпека залежить, звісно, від складності паролів та того, де ви їх зберігаєте)
• або ви маєте складніші паролі, але зберігаєте їх у текстовому файлі (небезпечно та безвідповідально)
• або прості паролі, які легко пам’ятати (нашо вам тоді паролі)
• або один пароль на все (я б хотів вам поспівчувати, але нема сили)

Або ви вже користуєтеся менеджером паролів, бо розумієте, що це втілення безпеки та простоти.

Із менеджером паролів ваші дані в безпеці §

1. Паролі зберігаються в зашифрованому вигляді.
2. Ви використовуєте один (безумовно складний) пароль для отримання доступу до них.
3. Через це нема потреби використовувати той самий пароль для різних акаунтів, отже, якщо десь станеться витік даних, не потрібно буде через це перейматись.

Значно краще за модні Touch/Face ID §

Face і Touch ID — це те саме, що мати один пароль, який не можна змінити (пересадка пальців чи голови, обирайте), до всіх облікових записів. Крім того, ці технології:

• толерують неточності у сканах (бо різні фізичні фактори серйозно впливають на результати) — через це достатньо фотографії та кількох інструментів для того, щоб обдурити сканер;
• дозволяють злодіям силою чи хитрістю розблокувати ваш пристрій (якщо вас скрутять, то що краще: пароль на тілі чи в пам’яті?);

Використовуючи ці штуки замість паролів, ви робите величезну послугу зловмисникам.

Також автентифікація за біометрією робить вас іще більш залежними від технологічних гігантів, і вони можуть заблокувати вас у будь-який момент.

Менеджер паролів — це зручність §

1. Усі паролі в одному місці. Мати можна безліч, пам’ятати — лише один.
2. Часто менеджери паролів мають багато неочікуваних приємностей, наприклад
   • аналіз ентропії згенерованих паролів
   • можливість двофакторної автентифікації за допомогою OTP (одноразових паролів)
3. Необмежена креативність. Можете зберігати паролі на власному сервері (дійсно краще на власному) і синхронізувати їх на різних пристроях за потреби. А можете тримати їх на флешці, пришитій до пупка.

Зараз ви думаєте, який менеджер паролів обрати, тож ось кілька порад:

Як обрати менеджер паролів? §

1. !!НІКОЛИ НЕ ВИКОРИСТОВУЙТЕ ПРОПРІЄТАРНИЙ!! Інакше в подальших діях нема сенсу — це те саме, що подумати, що незручно тримати багато важливої інформації в голові, виписати її на листку й віддати незнайомцеві. Виписування нічого поганого не передбачає, а от чужа людина може опублікувати всі ваші секрети.
2. Оцініть його актуальність та власні вимоги до функціоналу.

Щоб не лити воду й не брехати, розповім тільки про ті, якими користувався.

KeePassXC §

Вільний менеджер паролів зі зручним графічним інтерфейсом та широким функціоналом.

Я ним користувався, поки не зловив себе на тому, що вжиткую keepassxc-cli, інтерфейс якого мені не зовсім подобається, тож я перейшов на…

Pass §

Це просто скрипт, який шифрує файли з паролями за допомогою GnuPG. І саме через це він дуже крутий. Важить мало, робить свою справу добре, і легко поєднується з іншими програмами. Якщо вам, як і мені, до душі філософії юнікс та suckless, то качайте Pass, це для вас!

Міграція з Keepass до Pass пройшла дуже просто, ось пакунки, які я використовував для цього, та стислі вказівки:

pass-import

розширення pass для іморту даних із інших менеджерів паролів

pykeepass

бібліотека python для взаємодії з базами keepass

також ви можете використати pam-gnupg, щоб розблоковувати ключ gpg (відповідно, базу паролів) під час входу.

gpg --full-gen-key ## згенерувати ключі PGP
pass init <ключ gpg або пошта, яку ви вказали> ## ініціалізувати базу pass
pass import keepassxc <шлях до бази keepass> ## Всьо

• більше про міграцію тут і на сайті Pass. Бо ця стаття на іншу тему
• Двофакторна автентифікація (OTP) в pass
• Якщо ви використовуєте dmenu, то pinentry-dmenu може вам сподобатись.
• https://gist.github.com/abtrout/d64fb11ad6f9f49fa325

Пароль для бази паролів §

Для бази паролів треба скласти складний пароль, який легко запам’ятати.

Більше 20 випадкових символів включно зі спеціальними вводити незручно, тож краще створіть значно довшу фразу-пароль (30+). Додайте туди вигаданих слів (щоб словникова атака мала менше шансів спрацювати без додаткової соціальної інженерії). Якщо ще напхаєте довільних символів, то взагалі буде супер.

Можете згенерувати фразу-пароль тим же менеджером паролів.