LINUX.ORG.RU

Менеджер паролей Firefox Lockwise

 , ,


5

0

Представлен менеджер паролей Firefox Lockwise, ранее имевший кодовое название Lockbox. Lockwise включает в себя мобильные приложения для Android и iOS для доступа к сохранённым паролям в браузере Firefox на любых устройствах, без установки на них Firefox. Имеется функция автозаполнения в любых приложениях (включается в настройках системы). Исходный код проекта распространяется под лицензией MPL 2.0.

Для синхронизации паролей используются штатные возможности браузера Firefox и учётная запись в Firefox Account. Lockwise подключается к синхронизации как различные экземпляры браузера. Для защиты данных используется AES-256-GCM и ключи на базе PBKDF2 и HKDF с хэшированием SHA-256, для передачи ключей используется протокол Onepw.

Помимо мобильных приложений в данный момент разрабатывается браузерное дополнение, предлагающее альтернативу встроенному интерфейсу для управления паролями. Пока оно экспериментальное (к примеру, не работает с мастер-паролем), но в будущем планируется сделать его системным дополнением.

Пока что приложения находятся в стадии бета-тестирования, по умолчанию включена отправка телеметрии с обобщённой информацией об особенностях работы с приложением. Выпуск стабильной версии запланирован на следующую неделю.

>>> Подробности

Ответ на: комментарий от Rinaldus

Типа постоянно переключаться между менеджером паролей и браузером, копипастя пароли туда-сюда? Ну это же капец как неудобно.

Legioner ★★★★★ ()
Ответ на: комментарий от mandala

А как эту синхронизацию вообще выпилить к чертям собачьим? Я не использую никакую синхронизацию. Зачем мне этот пункт в меню, да ещё и самый первый? Фаерфокс начал копировать плохие решения у хрома, похоже.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Rinaldus

keepassxc предусмотрел такое, там расширение максимум получит пароль от текущего сайта и то только с твоего явного одобрения, т.е. доступ разруливается вообще не в браузере

ia666 ()
Ответ на: комментарий от Rinaldus

По настоящему критичные пароли нельзя вообще сохранять, а лучше использовать сертификаты, двухфакторные авторизации по физически независимым каналам, аппаратные ключи и т.п.

mandala ★★★★ ()
Ответ на: комментарий от Legioner

Не постоянно, а пару раз в день. Для сайтов, которые я часто использую (для того же ЛОРа, например), у меня в браузере включено автозаполнение паролей.

Rinaldus ★★★★★ ()
Ответ на: комментарий от Legioner

Да зачем её выпиливать? Она не навязчивая, не как в хромоподелках – не надоедает напоминаниями, лишь предлагает войти при старте свежего профиля, не более.

Просто не заводи аккаунт, а уж если завел – просто разлогинься. Чтобы залогиниться там всё равно нужно подтверждение по почте (естественно пароль от почты к которому привязан акк firefox-а нельзя доверять самому firefox-у, но это банальность).

Да, может быть нужен акк firefox-а и без целей синхронизации – для авторизации на их сайтах, например, хотя бы для оценки дополнений и т.п.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от commagray

У нас народ из рашки отсталый. Не могут в /r/selfhosted и по гитхабу полазить по ключевикам найти на 99% тру способы управления паролями.

Xant1k ()

Отличная новость! Только этого после хрома и не хватало, теперь можно смело отказываться от lastpass.

Nexmean ()

менеджер паролей

по умолчанию включена отправка телеметрии

Мне одному неспокойно от такого сочетания?

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

Нет, не тебе одному. На сервер синхронизации отправляются лишь шифрованные пароли, ключи и т.п. только локально. А телеметрия сбоку вообще. На опеннете расписан механизм шифрования подробнее, не буду повторятся, раз уж ТС постеснялся.

mandala ★★★★ ()

Я бы не доверил свои данные подобным плагинам.

vestochka ()
Ответ на: комментарий от Deleted

Пишу это сообщение с ведроида и Firefox. Что не так с лисом?

anonymous ()
Ответ на: комментарий от anonymous

У меня главной претензией была прокрутка больших сайтов или текстов - оно фризилось и отрисовывалось с кошмарными артефактами. Сейчас посмотрел - она из чудовищной стала просто хреноватой - шрифты при прокрутке по-прежнему страшные, но уже гораздо менее заметно. Попробую поиспользовать, может вспомню что мне еще не нравилось.

Deleted ()
Ответ на: комментарий от mandala

Зачем лазить в настройки синхронизации? Это же однократная операция?

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Нажать «Sync Now» когда соскакиваешь с ПК на ноут и надо бежать уже. Я бы только эту кнопку вынес. Но все равно спасибо, минус одна операция. Хотя теперь мышь тянуть чуть дальше.

Тут же меню вкладок других устройств. Это кнопку я сам вынес давно через кастомизацию, она отдельно есть.

Я ввел в заблуждение обозвав «настройкой». Тут взаимодействие, не только настройка.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 4)
Ответ на: комментарий от Deleted

Ну не знаю, что там могут быть за страшные шрифты? При таком dpi, как у смартфонов, никакой ни хинтинг ни антиалиасинг не нужны, все и так прекрасно.

Специально помотал вот эту страницу вверх-вниз, всё чётко, ровно, гладко. Интерфейс по сравнению с мобильным хромом непривычный, но с тех пор как хром стал овальным и вырвиглазно-неотключаемо-белым (часто сижу в темноте с телефона, от нынешнего хрома глаза болят, жуть), пользуюсь только ФФ, полет нормальный.

Подумываю в качестве поисковика поставить duckduckgo. Дома на ноуте стоит, вроде норм.

anonymous ()

Выглядит небезопасно. 0-day в браузере может скомпроментировать все учётные записи.

Pravorskyi ★★ ()
Ответ на: комментарий от Deleted

А, ну, действительно, если бешено мотать по 50 экранов в секунду, то буквы заменяются на явно что-то с меньшим разрешением, но стоит скорости прокрутки уменьшиться, как они менее чем через .3 секунды заменяются на нормальные буквы. О, ужас! Невозможно пользоваться!!

Правда, если мотать всего по где-то 5 экранов в секунду, буквы всё еще нормальные.

(.3 секунды - это я записал видео и посмотрел, сколько времени проходит перед тем как буквы становятся нормальными, без видеозаписи, возможно, даже быстрее)

anonymous ()

Не стал бы я этим поделием на андроид телефонах пользоваться. Заглянуть в issues на их гитхабе можно ясно понять что уровень кода там ужасный, количество репортов «приложение не работает на телефоне Х на этапе Y» просто высокое.

bhfq ★★★★★ ()
Ответ на: комментарий от anonymous

.3 секунды

Да. Раньше было хуже. Но и эти 0.3 слегка бесят :).

Deleted ()
Ответ на: комментарий от ncrmnt

С этой нет, а с другой программной да. Твой токен кирдык и всё прощай аккаунты.

LINUX-ORG-RU ()
Ответ на: комментарий от anonymous

Нет, все-таки непригоден. Когда крестик закрытия таба может появиться в произвольном месте экрана в зависимости от количества этих табов - это за пределами бобра и осла.
Плюс, не нашел отключения нотификаций, видимо на каждом говносайте от них отдельно отказываться надо. Нахер такое.

Deleted ()

Чето я очкую.

anonymous ()
Ответ на: комментарий от intelfx

pass, browserpass, pass-for-ios — УМВР ЧЯДНТ?

ЧЯДНТ?

Пользуешься техникой от Apple, очевидно.

anonymous ()

Оно умеет в TOTP как какой-нибудь Enpass?

ZzaizZ ()
Ответ на: комментарий от mandala

Скрипты конфигурации токена на флешке, которая полностью оффлайн валяется. Да и большую часть паролей я и так наизусть помню

ncrmnt ★★★★★ ()

Что-то это мне напоминает

kto_tama ★★★★★ ()

Use KeeWeb, Luke! Стильно, модно, молодёжно.

anonymous ()

Ишшо один менеджер, сливающий ваши пароли в облако и честное-слово-шифрует-всё-сильно-сильно. Пасибочки, мы уже наелись, теперь уж если менеджер паролей - то хранящий базу локально. Да еще и запретить ему выход в интернет на уровне ОС.

Alve ★★★★★ ()
Ответ на: комментарий от Rinaldus

Я бы опасался использовать менеджер паролей с интеграцией с браузером. Мало ли какая окажется в нем (или в браузере) дырень и какой-нибудь вредоносный скрипт заберется через браузер ко мне в базу данных паролей и сопрет ее. Небезопасно это.

Для этого и существует мультипроцессный режим. Веб-содержимое выполняется в одном процессе, а интерфейс в другом. В отдельных песочницах. Иначе, кривой скрипт мог бы легко подвешивать вообще всё. Сейчас таких процессов 8 (по умолчанию), а в идеале лучше каждый домен изолировать в отдельном процессе.

Вот тем, кто пытается вернуть старое поведение («нуачо память расходовать, пусть всё сидит в одном процессе как во времена WinXP») стоит беспокоится об описанном вами сценарии.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 3)
Ответ на: комментарий от hobbit

Верить нельзя никому. Мне - можно. (c) Мозилла.

anonymous ()
Ответ на: комментарий от Deleted

Когда крестик закрытия таба может появиться в произвольном месте экрана в зависимости от количества этих табов - это за пределами бобра и осла.

О, взоржал. Я именно об этом писал автору одной виндовой проги на его форуме. В ответ получил отлуп от местных фанатиков-жополизов «нас всё устраивает, и вообще красота и аккуартность это субъективно».

anonymous ()

Никогда не доверял таким вот «менеджерам паролей» (сугубо мое мнение).

Zsh_1670 ()

По моему, мертворожденый проект. Это должен быть отдельный сервис со своим сервером, с репликацией и плагинами к разным браузерам.

AVL2 ★★★★★ ()

Для синхронизации паролей используются штатные возможности браузера Firefox и учётная запись в Firefox Account.

То есть, ничем не лучше гугла.

tolstoevsky ()

Для синхронизации паролей используются штатные возможности браузера Firefox

А сервер где всё это хранится можно у себя хостить, кто в курсе?

Есть вообще менеджеры паролей с синхронизацией на разных устройствах, которые можно хостить самому? Понятно, что можно взять любой менеджер (да хоть вручную текстовый файл шифровать) и синкать базу данных через любое облачное решение, но это не так удобно, как выделенный и продуманный инструмент.

Ghostwolf ★★★ ()
Последнее исправление: Ghostwolf (всего исправлений: 1)
Ответ на: комментарий от Ghostwolf

Ну вот я KeePass настроил. Вроде синкает. Через WebDav. Сделал триггеры на синхронизацию при открытии и при сохранении. Чем не удобно?

А так Bitwarden. Но мне он не нравится по идеологическим причинам, поэтому я его не пробовал.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Ghostwolf

А сервер где всё это хранится можно у себя хостить, кто в курсе?

Используется учётная запись Firefox. Учётную запись Firefox можно хостить у себя.

Aceler ★★★★★ ()

<менеджер паролей <мобильные приложения для Android и iOS <доступа к сохранённым паролям в браузере Firefox на любых устройства <функция автозаполнения в любых приложениях Видимо, разработчики что - то разработали и решили назвать так, не понимая что это и для чего нужно на самом деле.

Secure который мы заслуживаем.

anonymous ()

включена отправка телеметрии

Функция, которой мне так не хватает в KeePass! Завтра жэ перехожу на этот прекрасный продукт!

beck ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.