Летом по интернету прокатилась волна новостей, как с того или иного ресурса стащили базу паролей. В принципе мне все эти новости довольно параллельны: я на тех ресурсах не бывал, да и есть у меня большой опыт именно в хранении паролей и другой “нежной” информации …
Но через некоторое время я раз за разом возвращался к этой теме. Ладно мои пароли, которые я генерирую по известным мне правилам и которые согласно всем канонам считаются достаточно трудно ломаемыми. Но что делать с паролями, которые вообще-то не мои, но мне приходится их использовать, не имея возможности сменить?
Одновременно опять возникло желание сделать что-нибудь этакое, что бы при моих переездах с машины на машину и с операционки на операционку весь этот шлейф паролей оставался бы управляемым …
Решение в лоб
Первое, что приходит в голову, это использовать обычный бумажный блокнотик. Э-э-э .. в общем, объяснять минусы не буду. Да и мы с компьютерами работаем, а не с бумажными архивами …
Затем мысль обычно доходит до создания какое-либо места для хранения паролей, которое с одной стороны будет неизменным при моих переездах, а с другой стороны, не будет ограничивать меня в моих извращениях.
Сразу на ум приходят два решения: папка в почтовом ящике и какое-нибудь облачное хранилище файлов.
Папка в почте хороша тем, что до почты-то в нынешнее время можно добраться несколькими способами: и через почтовый клиент и через браузер. Но как хранилище нежной информации оно ни о чем: до писем может добраться администратор почтового сервера и любой, кто доберется до вашего компьютера. Более того, почту обожают индексировать всякие роботы и нет никаких гарантий, что эти роботы, встретив ваши пароли, оставят их вашими.
Использовать файлы в облаках тоже идея не на пять баллов, но гораздо лучше предыдущей. А если почесать затылок и начать использовать какую-нибудь кросс-платформенную систему шифрования вроде truecrypt, то данный вариант становится очень даже привлекательным.
Как вариант можно использовать evernote или catch или .. в общем, всем всё понятно.
Но … Опять эти “НО” …
Человек чудовищно ленивая скотина. Сначала ему будет лень постоянно открывать-закрывать контейнер или записывать в почту. Потом он плюнет на все и снова поставит галочку “запоминать пароли в почте”, а затем в очередной раз он обновится/сменит браузер и все начнется сначала.
Я тоже ленивая скотина.
Да, я тоже прошел не раз и не два через эти моменты, пока наконец не решил избавиться от пережитков прошлого (первые записи в моих анналах датируются 99м годом). Для начала я решил составить список требований
– максимальная кросс-платформенность. Решение должно позволить мне получить доступ до моих паролей на OS X, Windows, Linux и Android. IPhone хорошо, но совершенно не критично. Остальные платформы мне совершенно не критичны, ибо устройств под их управлением у меня нет.
– максимальное удобство при настройках по умолчанию. То есть загрузили, прошли через инсталлятор и вспоминаем о решении только когда возникает необходимость зайти в какую-нибудь тьмутаракань.
– максимальное умение выживать при переездах. В идеале решению должно быть абсолютно все равно, где вводят пароли, а где их используют.
– ну и решение должно иметь минимальное число проблем в моей конфигурации (macbook air, samsung galaxy s, windows 7 дома и linux, windows7 и os x на работе)
На возражения в духе “ну как можно отдать свое самое сокровенное какой-то программе” я давно махнул рукой: то, что можно достать в результате взлома этих баз, мне принесет только моральные расстройства. А вот удобства они добавляют много.
Гугл всемогущий даст мне ответ
Пошел я в гугл искать на предмет “best password manager” и “лучший менеджер паролей”. Число страниц меня удивило …
В общем, на мой внутренний ринг выходят RoboForm, 1Password, LastPass и KeePass. Другие отсеялись еще на этапе просмотра сайтов. К примеру если я не понимаю, за счет чего зарабатывает проект, то я автоматом подозреваю его автора в самых нехороших намерениях.
Каждой программе был предоставлен снапшот виртуалки с windows7, где у меня стоит зоопарк из ie, firefox и safari. Затем борцы со всем арсеналом перемещались на аналогичные виртуалки с linux и os x, и только после отсутствия ошибок получали возможноcть показать себя на реальном ноутбуке с os x и на моем samsung galaxy s (рутованный на 2.3.6 и без каких-то особенных извращений)
На всякий случай выдам предупреждение: все ошибки и глюки мои, я вообще первый раз эти программы увидел и вообще, у вас может сложиться совершенно другое впечатление.
Шышел-мышел … в общем, первый вышел.
RoboForm. Еще во времена выпуска печатной версии “компьютерры” я читал много хвалебных отзывов о этой программе. Голубицкий только что шоколадом онную не мазал. Ну и гугл при выдаче результатов не обделял данную программу вниманием.
Первый звонок прозвенел на этапе обустройства: для доступа в личный кабинет используется один пароль, а для открытия парольной базы – другой. И зная первый пароль, можно легко удалить аккаунт вместе с парольной базой. Неаккуратненько.
Второй звонок был чисто субъективный. RoboForm выглядит этаким монстром даже по меркам windows: куча менюшек, настроек и кнопочек. И вся эта куча этак неряшливо собрана под одним заголовком … Но на вкус и цвет все фломастеры разные, поэтому не стал обращать внимание: вдруг привыкну.
Но третий звонок стал завершающим для RoboForm: его сайт не принимал установленный из под Internet Explorer мастер-пароль, когда я его вводил из под Firefox под Linux. Поначалу я не понял и не поверил: ну взял и ошибся или на русском языке остался. Раз проверил, два. Менял пароль и вводил его с удвоенным вниманием … Не принимает.
Ну, такой менеджер паролей мне не нужен.
Даешь опенсурс!
Расстроенный предидущим обстоятельством, решил метнуться в стан открытых решений. KeePass.
Простой заход на страницу закачки подтверждает, что данное решение пользуется популярностью. Я попытался придумать вариант, который невозможно реализовать, но не смог: после первого же запроса “хренотень keepass howto” гугл тут же выдавал пару-тройку вполне внятных сайтов.
Но эта же открытость встала мне боком: что бы заставить работать это решение, потребовалось довольно много телодвижений. Может, мой опыт уже начал играть против меня, но мне уже стало как-то некомфортно … А зачем себя мучать?
В общем, я решил посмотреть на другие.
LastPass или “точно последний раз?”
Самый первый подход чуть было не завершился крахом: я забыл мастер-пароль к базе буквально через 5 минут после его ввода. А восстановить его нельзя.
Найти как пересоздать аккаунт удалось только с помощью гугла. Что, неужели такая неуверенность?
После установки LastPass бабахнул бальзамом на мои раны: после установки он единственный предложил забрать все пароли из браузеров и потом удалить их.
Поход по сайтам тоже не выявил никаких проблем за исключением категорического стилевого непопадания сообщений. Или говоря другими словами, он выглядит совершенно чужеродно. В принципе это хорошо, потому что будет очень тяжело пропустить или спутать LastPass с чем-то другим.
LastPass легко прошел все поставленные мной барьеры и без проблем обосновался на ноутбуке и смартфоне.
Последний 1Password
Скажу честно, на 1Password я глядел со скептицизмом. Во-первых, мне заранее было известно об отсутствии клиента под Linux и “только чтением” под Android. Во-вторых, я не понимал какой дурак будет платить 49 баксов за версию только под одну платформу, когда тот же LastPass предлагает тот же функционал за бакс в месяц для всех платформ, а если забыть про мобильные, то и вовсе бесплатно …
Расширенный функционал по хранению логинов-паролей ко всяким ftp и database серверам мне не нужен. Хранить лицензии можно и в записках. Всякие кредитки и прочее … В общем, совершенно ненужное мне.
Но оставлю, да. Должна же быть какая-нибудь конкуренция LastPass …
Жизнь – она многогранна …
Было довольно интересно наблюдать, как LastPass и 1Password наперебой предлагают мне сохранить или ввести пароли. Я оценивал установки по умолчанию, удобство управления и прочие характеристики, которые каждый примеряет на себя.
И по прошествии полутора недель (триал у LastPass составляет 14 дней, а мне еще хотелось запаса) ситуация оказалась перевернутой с ног на голову. Но давайте по-порядку.
1) Получив доступ к базе 1Password (скажем, сперев флешку), я могу легко узнать имена файлов, которые хранятся в базе. Нет, сами файлы вроде зашифрованы, но имена может прочитать любой.
2) LastPass при экспорте файлов из секретного хранилища (надо же их когда-нибудь использовать) зачем-то меняет им имена на хешеподобные. Совершенно убийственная вещь, особенно когда файл не один … .
3) LastPass предполагает что у вас всегда есть доступ к сети. Никаких флешек и прочих извращений. Облако и все хранится в нем. 1Password более демократичный: либо укажи сам где, либо я положу базу в DropBox.
4) Почему-то LastPass не предлагает никаких горячих клавиш для заполнения полей. 1Password в данном случае выглядит гораздо гуманней: Cmd- и он либо вводит все сам, либо предлагает выбрать из имеющихся. Мне, как имеющему 5 логинов на nic.ru, такое поведение очень по душе.
5) Настройки по-умолчанию в 1Password более “секурные”. 12 символов в пароле вместо 8, программа раньше закрывает базу и тому подобное. В LastPass все можно сделать аналогично, но кто-нибудь делает это?
6) LastPass переводили на русский автоматическим переводчиком: “взломать локальный логин” на титульном экране андроида оказалось в оригинале “force local login” …
7) 1Password есть в AppStore, а LastPass нет. Для маковладельцев это довольно весомый аргумент.
8) Доступ до базы 1Password можно получить практически на любой машине без установки чего-нибудь и в оффлайне!
И в качестве финального выстрела: LastPass не смогла обновить базу на моем Samsung Galaxy S. Просто сообщала, что нет соединения с сервером. Хотя браузер браузерил и facebook фэйсбучил. И такое “нет соединения” меня ну очень напрягло. 1Password рядом после ввода мастер-пароля сообщил, что он обнаружил обновления, забрал их и показал мне мою базу.
В общем, мои $49 уходит авторам 1Password. Я оказался одним из тех дураков, которых раньше не понимал.