Менеджер паролей. Четвёртый квартал 2025.

Chrome?

KeePassXC. Синхронизацию по интернету - syncting или mega, синхнонизация selfhosted - есть варианты какие хошь.

Это

Bitwarden

Self-hosted бумажный блокнотик.

Преимущества:

• Работает на любой десктопной и мобильной системе.
• Не требует установки.
• Не использует пропиетарных облачных сервисов.
• Поддерживает все системы письменности.
• Интуитивно понятный интерфейс.
• Низкое потребление ресурсов.

Подытожим - постоянно таскать с собой + риск забыть/потерять

Отличный способ тренировки памяти :)

А я и не говорил, что это решение идеальное. Но есть аддоны, которые помогут в вашей ситуации. Например, с аддоном «Шнурок С Карабинчиком ® ™» забыть или потерять блокнот становится практически невозможно.

Держу в голове алгоритм изготовления паролей. На вход алгоритма - логин, на выходе получаю пароль. Алгоритм при этом меняется в зависимости от логина.

Врёти!

Работает на любой десктопной и мобильной системе.

Не на любой, там значительные системные требования. Нужно освобождать свободное место на десктопе, а в случае мобильных устройств отключается многопроцессая модель - кроме блокнота никакими другими приложениями пользоваться не получается!

Не требует установки.

Если не устанавливать на устройство, то работает с багами (уменьшается точность ввода, есть вероятность порвать нарушить целостность файла).

Поддерживает все системы письменности.

Lossy-компрессия ломает ряд систем письменности, особенно используемые в медицинском секторе.

Интуитивно понятный интерфейс.

Для работы интерфейса требуется специально докупать манипулятор типа «ручка», а если ещё и хочется базовую фичу отмены - манипулятор типа «карандаш».

Инструкции нет.

Низкое потребление ресурсов.

Процесс может поддерживать текстовые файлы не более нескольких килобайт, а из-за бага с автосохранением (поведение не отключается, ужас!) ввода память течёт.

УМВР! Может быть у вас версия устаревшая, попробуйте обновиться.

https://www.passwordstore.org/

vaultwarden же!

https://apps.nextcloud.com/apps/passman

Продолжаю использовать Keepassxc+Syncthing.

Встроенный менеджер паролей в браузере отключил, использую расширение Keepassxc – не так удобно из-за того, что база через некоторое время блокируется (впрочем, это поведение можно отключить), но зато мне так спокойней.

Кроме того, есть встроенный TOTP для двухфакторке, не надо держать всякий мусор типа Google Authenticator. Так же работает через расширение, вручную вводить не надо.

Self-hosted бумажный блокнотик.

Отличная идея, Уолтер. Я стараюсь использовать пароли по 32 со спецсимволами (потому что, а почему бы и нет?), разные для всех сервисов. И ты мне предлагаешь каждый раз это вводить со сраной бумажки? Посоветуют ли ITT большую глупость?

И ты мне предлагаешь каждый раз это вводить со сраной бумажки? Посоветуют ли ITT большую глупость?

Я посоветую тебе вытирать жопу туалетной бумагой, а не блокнотом с паролями.

А что такое ITT пояснишь?

Есть идеи, как реализовать TOTP 2FA? мне пока в голову приходит такой вариант:

Написать приложение для смартфона, которое будет сканировать QR-код (в котором закодирован ключ) и показывать TOTP код. Сохранять ничего не надо, полностью stateless приложение. В принципе это несложно сделать, работы на несколько дней, если немного разбираться в программировании для мобильных платформ.

Также в этом приложении сделать опцию распечатки отсканированного кода. Приложение должно подключиться к принтеру, который умеет печатать термотрансферной печатью на наклейках и отправить на печать QR-код. Ну понятно, что нужно владеть этим самым принтером.

Таким образом при добавлении TOTP кода на сайте мы сканируем его камерой, вводим код, а также распечатываем только что отсканированный код на наклейке. Наклейку вклеиваем в блокнотик. В дальнейшем сканируем код из блокнотика.

В принципе ценители могут руками переписывать ключ с сайта в блокнотик и с блокнотика в консоль с каким-нибудь oathtool, но это прям будет очень геморройно, ключи довольно длинные.

Чёт сложно очень. Прикладываешь листок блокнота к экрану и срисовываешь QR. Просто и без лишних сущностей.

Мне кажется, это будет довольно долго. И всё равно не понятно, что ты потом с этим кодом будешь делать. В любом случае надо его чем-то сканировать и генерировать код.

keepasscx + nexcloud

BitWarden с бэкендом VaultWarden.

Опыть предков говорит: - «Самый тупой карандаш лучше самой острой памяти» (с) А пямять да, тренеровать надо только лучше это делать, например, изучением алгоритмов или стихи учить.

А что такое ITT пояснишь?

in this ITT thread

Unique password

Самый тупой карандаш лучше самой острой памяти

Зависит - иногда можно вспомнить, где лежит самый острый карандаш.

А пямять да, тренеровать надо только лучше это делать, например, изучением алгоритмов или стихи учить.

К сожалению, плоть слаба. Собстно софт «менеджер паролей» потому и придумали, чтобы не нужно было доверять ненадёжной голове. Ещё бы мастер-пароль не забыть.

Я слишком часто забывал пароли от своих аккаунтов в старом интернете и делал лицо приблизительно как на твоей аватарке :)

Я стараюсь использовать пароли по 32 со спецсимволами (потому что, а почему бы и нет?), разные для всех сервисов. И ты мне предлагаешь каждый раз это вводить со сраной бумажки? Посоветуют ли ITT большую глупость?

Используй пароли из 8 латинских букв и проблем не будет. Сам себе придумал проблемы и жалуешься.

и желательно что-нибудь по проще типа «qwertyui»

Есть ещё проблема. Если вводишь пароль в общественном месте, то прям сильно неудобно будет. Все видят все твои пароли на текущей странице (а держать отдельную страницу для каждого сайта кажется накладным.

Ещё нужно придумать какую-то систему упорядочивания всего этого. Понятно, что сходу хочется хранить упорядоченным по алфавиту, но как вставлять что-то посредине? Как осуществлять периодическую смену пароля? Тут нужно что-то похитрей. Надо бы изучить алгоритмы B-деревьев, интуитивно кажется, что тут что-то похожее нужно…

Нет, желательно посложней типа fxnjabno

Все верно, вот для мастер пароля бумажный бэкап будет вполне кстати, чтоб лицо такое не делать ))

Используй пароли из 8 латинских букв и проблем не будет. Сам себе придумал проблемы и жалуешься.

Даже если не принимать во внимание иронишный подтекст, 8 рандомных букв все еще не так просто запомнить, а если еще и для каждого сервиса использовать разные, даже шестизначные, то тут уже просто забей.

Не, запоминать – это вообще не имеет места в современную эпоху. Только от основных ПЭКА и мастер-пароль от КЛЮЧНИЦЫ.

Речь же шла про бумажный блокнотик, а не про запоминание. Для запоминания надо использовать мнемонические фразы. Сорок тысяч обезьян и всё такое.

Кстати есть ещё один вариант. Вообще не запоминать никакие пароли, а при необходимости войти - использовать функционал восстановления пароля. В этом случае достаточно только помнить пароль от своей электронной почты. Хотя не на всех сайтах так можно.

Есть ещё проблема…

Ещё нужно придумать какую-то систему…

Аппетит приходит во время еды? Понимаю, но в изначальном ТЗ этих пунктов не было.

А я всерьёз над этим думал просто. Меня задолбали электронные системы. Но с бумагой на практике не всё так просто.

А что такое ITT пояснишь?

International Telephone & Telegraph - дочерняя структура ATT.

Так к нему надо клиент.

Клиент для Андроид, кажется, мертв.

Уже интересней!

Конфликты не умеет разрешать(

Есть ведь Aegis для totp.

Вау, вот это круто!

Есть ведь Aegis для totp.

Не вижу в нем смысла. Во-первых, только для телефона. Во-вторых, зачем отдельная программа, если уже есть встроенный totp в Keepassxc, который еще и может автоматически заполнять это поле в браузере.

Для телефона нет форка, тогда было бы идеально, хотя если синхронизация паролей через аккаунт Firefox (или хром), то проблема частично решена.

так битварден с ним работает как клиент жеж!

синхронизация паролей через аккаунт Firefox (или хром)

Нет-нет, это неприемлемо.

П. С. Нашёл тебе конкурента на TypeScript: https://www.lesspass.com/

Ммм, ЕМНИП, там какие-то лицензионные проблемы у клиентов BitWarden? Выглядит как типичное «энтузиасты написали мне софт, энтузиасты нашли все баги, энтузиасты провели ревью, обожаю энтузиастов, но хватит, пора делать бабки».

Во всяком случае, в F-Droid не вижу клиента BitWarden.

Нет там никаких проблем, всё прекрасно работает. В F-Droid не видишь потому, что F-Droid это фрики.

Недостатки:

• отсутствие возможности бекапа
• высокая вероятность отказа (потерял/сперли/забыл дома)
• слабая поддержка криптографических шифров и низкая производительность тех, что все же удалось прикрутить
• высокое время поиска
• нет оценки сложности пароля

Ну и с преимуществами есть вопросы :)

• «Не требует установки» - требует. забыл положить в рюкзак или забыл в тумбочке - облом
• «Низкое потребление ресурсов» - высокое и на шифрование и на поиск

• Keepass на компе + GoogleSyncPlugin
• Kee в браузере
• Keepass2Android на телефоне.

Второй обеспечивает интеграцию с первым. Третий умеет синхронизацию с GD из коробки.

Синхронизируется содержимое базы, а не файл, так что изменения на двух концах сразу не пропадут.

По ссылке есть другие плагины синхронизации, если GD не нравится.