pass: как правильно сделать backup?

Через встроенную в pass поддержку git самое оно будет.

Пароль от гитхаба у меня тоже в pass.

Syncthing

И че?

Сделай заодно еще клон себе на мобильник, лишним не будет.

Как правильно сделать их бэкап?

pass git init
cd $PASSWORD_STORE_DIR
git remote add origin https://gitlab.com/SouiCat/pass.git
git push -u origin master

Gitlab только потому, что там есть приватные репо.

По поводу слива данных не ссы, pass хранит только энкриптед, если ты сам туда не сложил каких-нибудь некриптованных данных.

Gitlab только потому, что там есть приватные репо.

То, что надо. Спасибо.

не понимаю упор в гит для хранения криптованных данных. потянет любое облако или файлопомойка.
пароль только от pass не потерять бы.

не понимаю упор в гит для хранения криптованных данных.

Много раз менял пароли, вначале меняю их в pass, затем копирую и вставляю в аккаунт, но бывает так, что оборвётся связь или сервер заглючит, и твой пароль не обновится, а в pass он уже изменён. Так что git нужен, пусть и не всем.

То, что надо.

Собственно, только потому и юзаю gitlab, что у них приватные репозитории даются искаропки. В принципе, данные криптованные, но файлы-то именуются человекопонятно, и тут считай сливаешь список аккаунтов, которые тебе принадлежат. В случае с почтой это саммон спамеров, в остальном это подсказка, что брутфорсить.

А что недостаточно просто забекапить ~/.password-store?

Ах да, не забудь куда-нибудь забэкапить ~/.gnupg (я храню на внешних дисках и флэшках), иначе твой бэкап с паролями станет бесполезным, если просрёшь ключ.

Вопрос скорее не что, а куда.

Ну тогда на приватный репо у дяди я бы не рассчитывал. Возьмут русские хакеры и опять взломают это ваш Интернет.

Несколько ключевых паролей нужно хранить на бумаге в нескольких экземплярах.

Также желательно распечатать GPG-ключ (paperkey).

Я тоже это подумал, когда сначала залил на гитхаб. Перезалил на гитлаб и для надежности немного изменил структуру:

Было:

├── cards
│   └── tinkoff
│       └── 1234-1234-1234-1234   
├── mail
│   ├── yandex
│   │   └── name@yandex.ru
│   ├── google
│   │   └── 1
│   │       └── name@google.com
│   └── yahoo
│       └── name@yahoo.com

Стало:

├── cards
│   └── tinkoff
│       ├── expire
│       ├── number
│       ├── pin
│       └── secret
├── mail
│   ├── yandex
│   │   ├── login
│   │   └── pass
│   ├── google
│   │   └── 1
│   │       ├── login
│   │       └── pass
│   └── yahoo
│       ├── login
│       └── pass

Ну тогда на приватный репо у дяди я бы не рассчитывал.

Лучше приватное репо у дяди с опенсорцом, чем приватное облако у дяди с проприетарщиной.

Возьмут русские хакеры и опять взломают это ваш Интернет.

И последнее, что им будет нужно — приватная репа какого-то неизвестного Васяна.

Ты, главное, не забудь удалить репо с изначальной структурой в гитхабе/гитлабе. А чтобы старой структуры не было видно в коммитах, пересоздай гиторепозиторий в локальном хранилище и тогда уже пушить в интернеты.

давно перешел на пароль формата соль+хеш и не парюсь какими хитроумными системами хранения.

Да причём здесь пароли? Суть треда — их бэкап. Узбагойся, разойдись. (%

давно перешел на пароль формата соль+хеш и не парюсь какими хитроумными системами хранения.

только проблемка будет, если секрет утечёт. а ещё проблемка будет, если надо поменять пароль на каком-то ресурсе, а версионности не предусмотрено.

Такую структуру браузерные плагины не съедят.

Речь не о плагинах, а о консольном pass.

норм - секрет существует лишь в моей памяти. утечка оттуда вещчъ наименне вероятная. а так изза глюков на сайтах, уже есть три версии соли :)
версионность пароля внедряется лишь усложнением алгоритма - т.е. добавлением версии в соль.

а вот такой пароль для этого сайта формируется легко и запоминается элементарно
p23a45ux67li78r90u а вот подобрать его весьма и весьма сложно...

Была о консольном пасс, стала о браузерных плагинах-обертках над ним. Нормальная критика твоей структуры.

Я не планирую пользоваться браузерными плагинами с целью хранения паролей. Меня pass очень даже устраивает.

секрет существует лишь в моей памяти.

а также — в памяти компьютера, когда пароль вычисляется.

а так изза глюков на сайтах, уже есть три версии соли :)

и как, удобно?

от вскрытия памяти во время ввода тебя и keypass не спасет :) только флешка с аппаратным шифратором.
да и еще многие средства снифинга паролей кейпасом и иже с ними не обойдешь.

да, гораздо удобнее, чем подсматривать пароль, выискивая его где-то в файле или проге. да и таскать это надо на чем-то...

Браузерные плагины не хранят пароли. Они вставляют их в формы.

А как ты на ЛОРе логинишься тогда? руками набираешь pass show -c ... и вставляешь?

да, гораздо удобнее, чем подсматривать пароль, выискивая его где-то в файле или проге. да и таскать это надо на чем-то...

не понимаю, как помнить на каком сайте какая версия пароля (или какая соль). Я вот посмотрел, у меня в парольном менеджере 218 записей сейчас. Я про большинство сайтов не помню даже, есть у меня там логин, или нет.

Браузерные плагины не хранят пароли. Они вставляют их в формы.

Как они вставляют пароли, если не хранят их?

А как ты на ЛОРе логинишься тогда? руками набираешь pass show -c ... и вставляешь?

Если мне придется логиниться на ЛОРе, то - да, именно так, только без show.

Как они вставляют пароли, если не хранят их?

Вызывают pass и забирают с его stdout.

Примеры: browserpass-ce, passFF, webpass.

Если мне придется логиниться на ЛОРе, то - да, именно так, только без show.

С этими штуками сильно поудобней будет. У меня получается в худшем случае Control-Shift-L, Return, <пароль>, Return.

Но нужна структура, как задумывалась zx2c4, иначе автоподстановки username не будет. Хотя может и можно плагин допилить, чтобы и твою структуру ел.

Не надо делать бэкап. Надо юзать такую генерилку, которая восстановит ваши пароли при утере, путём перегенерации от вашего мастер-пароля и имени домена сайта/почты конкретного аккаунта. Один недостаток — надо иметь один логин везде, но можно себя пересилить и этого не стесняться.

О господи, еще один недальновидный.

объясняю алгоритму системы соль+хеш для p23a45ux67li78r90u к примеру:
пароль состоит из соли - единого для всех ресурсов набора символов это p23a45__67__78_90_ т.к. он един для множества ресурсов и применяешь его практически ежедневно, соль запоминается хорошо.

в нее вписывает хеш - набор символов из названия ресурса, чтобы пароли не были идентичными на всех ресурсах. тут к примеру ux (два последних символа из linux) li (два первых символа из linux) r u (первый и последний символы из ru)
итого получается

для linux.org.ru p23a45ux67li78r90u
для mail.ru      p23a45il67ma78r90u
для google.com   p23a45le67go78c90m

генерацию логина можно по подобию сделать

OMG.

O M G.

Я думал, там настоящий хеш - типа

echo "${$(echo -n "passwd linux.org.ru"|openssl sha256 -binary|base64):1:12}"

а ты просто передаёшь секрет открытым тестом на все сайты. Достаточно украсть пароль от двух левых форумов, чтобы получить доступ везде.

Господи, ну и дно. Не называй это хешем, не оскорбляй разум нормальных людей.

А что, на гитхабе для простых смертных нет закрытых реп? Раньше же вроде сколько-то давали...

Хз как раньше, а сейчас нет.

когда ты сможешь вычислять хеш в мозгу, тогда и поговорим :) хеш-функция по определению не обязательна должна иметь криптостойкость.

сударь у вас проф.загибы :) вместо консольных команд я б посоветовал сразу устанавливать систему доступа на флешка с аппаратным шифрованием. в среднем на бытовой операционке (винда тобеж) обычно просто не имеются хеш-функции, а если есть необходимость к примеру залогиниться, для примера, с терминала в общедоступном месте и т.д. то придется весьма оповозиться для «криптостойкости».

да, также как и обычный пароль, хранимый в кейпасе :).

спробуй :) двух паролей явно не хватит, если ты не знаком с алгоритмом :) система удобна и ориентирована для прикладного бытового уровня, ибо не требует никаких лишних функций. а для качественной с гарантией от взлома аутенфикации логин-парольная система ваапче «не фариант».

хеш-функция по определению не обязательна должна иметь криптостойкость.

Иди, мальчик, почитай сначала определение хеш функции. Внимательно и несколько раз. Можно в википедии. Когда поймёшь, что так называется, и какие у неё свойства (внимательно читай про размер входа и размер выхода), тогда и поговорим.

двух паролей явно не хватит, если ты не знаком с алгоритмом :)

Какую фантастическую чушь ты несёшь.

система удобна и ориентирована для прикладного бытового уровня, ибо не требует никаких лишних функций.

Да вводи просто одинаковый пароль на всех сайтах. Что, удобная система, ориентирована для прикладного бытового уровня. Ты всё равно ровно это и делаешь: вводишь секрет в открытом виде, дописывая специфичную для сайта информацию.

В общем, нормальным людям совет такой: купите 1password или last pass и поставьте на телефон. Если у вас MacOS и вам нормально с Safari — просто пользуйтесь Keychain. Там сразу, из коробки будет синхронизация между устройствами, зашифрованная копия в облаке, нормальный интерфейс на десктопе и в телефоне.

Если вы зачем то пользуетесь pass, выбирайте действительно сильную пассфразу (см., например, diceware с восемью словами на словаре из 5 костей, можно взять словарь EFF, он удобнее) и пушьте во внешний репозиторий. Gitlab в отличие от Github позволяет иметь приватные репозитории на бесплатных эккаунтах, можно использовать его. А можно использовать и открытый репозиторий, если вы уверены в стойкости пассфразы и отсутствии ошибок в gpg.

я вполне понимаю что такой алгоритм имеет множество минусов.
Предложи лучший алгоритм без аппаратных средств, т.е. без телефонов, функций, внешних хранилищ и прочего всего умного. если таким заморачиватся то стоит вообще протягивать сразу везде аппаратные ключи, они обеспечат идеальную математически доказанную защиту от взлома.
Это лучший вариант для указанных требований что я видел.

на битбакете тоже есть приватные репы.

Предложи лучший алгоритм без аппаратных средств, т.е. без телефонов, функций, внешних хранилищ и прочего всего умного. если таким заморачиватся то стоит вообще протягивать сразу везде аппаратные ключи, они обеспечат идеальную математически доказанную защиту от взлома.

«Аппаратные ключи» не работают с обычными паролями. Решение с человеческим парольным менеджером признаётся наилучшим абсолютным большинством специалистов по ИБ. Парольный менеджер в телефоне обеспечивает ещё и мобильность.

Это лучший вариант для указанных требований что я видел.

Если заранее формулировать требования под своё идиотское «решение», то, разумеется, нормальные не подойдут.

Худшая схема из всех, что я когда-либо видел.

вполне согласен - предложи лучшую при условии что нет возможности пользоваться смартфоном, как предлагает ivlad чуть выше, или иным счетным устройством.
есть только твои мозги.

предложи лучшую при условии что нет возможности пользоваться смартфоном, как предлагает ivlad чуть выше, или иным счетным устройством.

Он там еще пишет «Если заранее формулировать требования под своё идиотское «решение», то, разумеется, нормальные не подойдут.» Так вот, я считаю, что он не совсем прав. Ну то есть да, так то при

есть только твои мозги.

лучше бы применить их и признать, что ограничение дурацкое и счетное устройство у тебя и так есть, ты с него логинишься.

Но пока миришься с этим очевидным фактом, можешь хотя бы следовать correct horse battery staple, все больше энтропии будет. Но мирись лучше побыстрее.

не забудь куда-нибудь забэкапить ~/.gnupg

Наверное, неплохо было бы иметь возможность шифровать тупо симметричным ключом (мастер-паролем), без возни с ключами gpg. С другой стороны, это, наверное, менее безопасно?

С другой стороны, это, наверное, менее безопасно?

Это недостаточно кулхацкерно.