» Утилиты для хранения паролей - Password managers

Название

Статус

OS

Обсуждаем

Ищем

Подскажите пожалуйста, в каком их этих менеджеров можно реализовать следующие.
1. Была возможностью USB-авторизации.
2. Доступ к изменению и просмотру паролей только с мастер-кеем или какими-то доп привелегиями, а с простыми правами все само заходит на сайты, но посмотреть или отредактировать пароли пользователь не может.

В журнале ComputerBild 08/2010 есть тест нескольких парольных менеджеров. Итак, встречайте победителя - Password Depot (http://www.password-depot.com/). KeePass Password Safe и RoboForm Pro получили оценку «плохо». Я конечно, допускаю что немцы выбрали своего. Но интересно, он что на самом деле так хорош?
P.S. можно ознакомится - http://ifolder.ru/17533283

wrungel
С тем тестом в туалет ходить лишь...
http://sourceforge.net/projects/keepass/forums/forum/329220/topic/3527092


Цитата:

Я конечно, допускаю что немцы выбрали своего.

По каким критериям выбирался свой? как бы KeePass тоже немецкий.

Цитата:

SonikApatity

спасибо за ссылку. Там для меня оказался интересным последний пост. Может вы в курсе?

Цитата:

Are you guys absolutely sure KeePass does not store them unprotected at any time?

Цитата:

как бы KeePass тоже немецкий

и Steganos тоже. Одни немцы

wrungel
Как я понимаю чувак переспросил точна ли информация про то что сабж шифрует пароли в памяти во время своей работы.
Обратимся к справке программы(Russian KeePass Manual (1.05) от 2006-08-27):


Цитата:

Защита памяти процесса

Пока KeePass работает, Ваши пароли зашифрованы 'сессионным ключом', генерируемым случайным образом на запуске. Это значит, что даже если сдампировать всю память процесса KeePass на диск, Вы не найдете в нем паролей (по крайней мере открытым текстом). Следует отметить, что это применимо только к полю паролей, а не к полям имени пользователя и др., по причине быстродействия. Когда, например, Вы хотите скопировать пароль в буфер обмена, KeePass сначала расшифровывает поле пароля, используя сессионный ключ, затем копирует его в буфер обмена и снова немедленно зашифровывает его сессионным ключом. Здесь для шифрования используется алгоритм ARC4. Сессионный ключ имеет фиксированный размер 12 байт. KeePass безопасно очищает все чувствительные области памяти, когда они более не нужны, т.е. перезаписывает эти области памяти случайными числами перед занулением и освобождением (это применяется ко всем чувствительным областям памяти, не только к полям паролей).

Ну а дальше или верим на слово, или проверяем сами.

SonikApatity
В приведенном тесте явно указывается что « .. программа «забывает» удалять пароли и другие сведения из оперативной памяти ..», а в приведенной Вами ссылки Dominik Reichl комментирует только защиту от brute-force атаки и считает что «количество ввода в секунду» бессмысленна и непонятна зачем придумана тестерами. И замечу, совершенно не комментирует что пароли доступны в оперативной памяти. Что по крайне мере странно. И все-таки, согласитесь, если вы хотите иметь настоящий «сейф», хотелось бы чтобы пароль к нему подобрать было невозможно. Поэтому защита от brute-force атаки все-таки не лишняя. Ну и еще упоминание об экспертах из Frauenhofer Institut добавляет «веса» данному тесту.
Итак, в список парольных менеджеров можно добавить целых 3 программы:
Shapiro Password Safe
Steganos Password Manager
Password Depot

wrungel
Прочитал кусок статьи на сайте. Итак, видимо за три месяца русские эксперты смогли перевести творение экспертов из главного офиса журнала, и перепечатали статью чуть обрусифицировав.
В статье сразу виден бред, от мелочей, например сначала программ было 8 потом на тексту их уже 6.

Цитата:

Steganos Password Manager 12. Это единственная программа, которую можно скопировать на флэшку вместе со всеми зашифрованными данными.

Видно что Эксперт, был очень эксперт, но его компетентность не достигала даже до уровня продвинутого юзера... (Вообще кипас одна из самых портативная и кросплатформенных програм которые я знаю, где она только не работает, хотя я конечно не уверен что формат базы данных везде совместимый, но кипасс как мне кажется обошёл всех своих конкурентов вместе взятых)

Пойду полную версию найду, аж интересно, чем они пароли в памяти искали.

SonikApatity
Да в таких журналах еще не такие перлы встречаются. Ссылку на саму статью я давал. А насчет программ там так "..аналогичные HxD". Хотя было бы интереснее почитать заключение Frauenhofer Institut. Если оно есть в природе.

Я понял их фишку: 8 программ это 6 менеджеров и два браузера. Про KeePass в сводной таблице много бреда понаписано, информацию про пароли в памяти интересно проверить, но лениво.

Если Вы всё-таки решились почитать. Обратите внимание на таблицу, там внизу графа "Понижение оценки", так вот у KeePass формулировка "оценка понижена до "плохо" по причине грубых недостатков в обеспеченнии безопасности". Во как.

Добавлено:
SonikApatity
О, паздравляю со сменой статуса. Вот для коллекции еще пара ПМ:
Efficient Password Manager - http://www.efficientpasswordmanager.com/index.htm
Password Memory 2010 - http://www.codeaero.com/password-memory/
И еще:
Password Depot есть в варезнике http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=25322
У "Хранитель паролей" URL не http://arustamov.vx99.com/?inpage=pk а http://olegprojects.narod.ru/downloads/PassKeeper.html

wrungel
Я таки проверил память, пароли находит, но только те к которым я совсем недавно обращался, т.е. если я минуту назад смотрел пароль, то он есть в памяти, в открытом виде, это конечно не гуд....

На самом деле таких программ десятки, а может и сотни, вы решили найти их все


Цитата:

О, поздравляю со сменой статуса

спасибо

Да, в последнее время данные программы меня стали интересовать
Но проверить все конечно я не могу. Вот и интересуюсь мнением людей.

wrungel
Почитал статью.

Возможности настроек программ не рассмотрены. Хотя обычно ими можно накручивать программы как в сторону повышения безопасности за счёт удобства работы, так и наоборот. При каких настройках проводилось тестирование - не сказано вообще. Квалификация устраняемая настройками/частично устраняемая/неустраняемая проблема отсутствует.

На гвоздик.

Abs62
Согласен. Наверно может показаться, что я отстаиваю объективность данного теста. Но меня интересовал совсем другой вопрос. Победитель теста программа Passoword Depot действительно ли она так хороша? Топика в разделе «Программы» о ней нет, вот и спросил здесь. Так как надеялся, что могут найтись люди, которые имели с ней дело. И поскольку у неё нет русского языка, подозреваю, что их количество ничтожно мало.

Здравствуйте!
Пытаюсь найти замену RoboForm. Основные требования к программе - замене: мастер-пароль, возможность импортирования базы паролей из RoboForm, работа с IE, Opera, Firefox (основной - FF), функционал заполнения формы на сайте либо через контекстное меню браузера, либо через специальную кнопку (как у Sticky Password).
Для себя отметил: Password Commander и Sticky Password. Посоветуйте, пожалуйста, что из них мне подойдет больше? Или что-то другое?

FreePaul
(LastPass тоже ведь посмотрел уже?)

FreePaul
Я пользуюсь первой из списка. В Firefox'e нормально заполняет логин-пароль по сочетанию кнопок. Хотя этим делом пользуюсь редко. А так, очень удобная программа. правда, вроде сильно не развивается, т.к. автор продал её буржуям...

sabio
Смотрел, только с полгода назад. Чем-то не понравился... Сейчас опять буду смотреть и вникать.

Garrett
Так же буду смотреть...

Спасибо за рекомендации.

Достаточно давно использую Password Commader.
Но несколько настораживает отсутствие обновлений (хотя инфа о разрабатываемой третьей версии есть, знаю).

Но, тем не менее, понемногу разрабатываю другие варианты.

Меня интересует максимальная надежность и сохранность базы с паролями.

То есть нужен вариант, чтобы база хранилась на моём жестком диске, но при этом автоматически бекапилась куда-нибудь в интернет на удаленный серв, причем хранилась там с шифрованием.

В качестве интернет-хранилищ вполне подойдут сервисы он-лайн хранения паролей, вроде указанных в шапке moiparoli.ru и ownpasswords.com. Главное, чтобы программа умела синхронизироваться с ними и бекапить базу на них автоматически, по расписанию.

Сначала выбор пал на опенсоурсную (а опенсоурс это хорошо по многим причинам) KeePass Password Safe. Тем более она поддерживает плагины, и к тому же среди них есть плагин автоматического бекапа. Но при ближайшем рассмотрении сразу бросилось в глаза, что работа с дополнительными полями не такая гибкая, как в Password Commander, да и плагин этот во-первых не поддерживает последнюю версию самой программы (или она его не поддерживает), а во-вторых предлагаемые им сервисы какие-то платные (а надо бы фри).

Итак, возможен ли желаемый мною (и главное — бесплатный) вариант?

Про ненадежность и негарантированность бесплатных услуг осведомлён, поэтому желательно, чтобы бекап шёл в 2-3 разных хранилища.

DoctorLans

Цитата:

Итак, возможен ли желаемый мною (и главное — бесплатный) вариант?

берёшь любую программу, которая тебе нравится, и "бэкапишь" её любыми "онлайн-синхронизаторами" - от Dropbox до Syncplicity и Mozy
(Dropbox, например, как и KeePass, кросс-платформенный - т.е. эту базу можно хоть в винде, хоть в линуксе, хоть под мак-ос использовать)

есть ещё один "синхронизатор", который позволяет бэкапить не к себе на сервер "в облаке", а на компьютеры друзей (у них он, понятное дело, тоже должен быть установлен) - CrashPlan

Я это направление уже прорабатывал, остановился на онлайн бекаперах IDrive.com, elephantdrive.com и drivehq.com (на нём ограничение по траффику, но для базы с паролями думаю должно хватать). Юзаю их все три.
DropBox тоже юзаю, но для другой цели: синхронизации одной папки на нескольких компах (хотя мб и стоит завести отдельный акк чисто для бекапов).

Так что 4 сервиса есть. Но лучше — больше
Мало ли, начнется третья мировая, какие-то дата-центры накроет ядерными волнами... Да что там война, от простого закрытия сервисов никто не застрахован, а вдруг я не успею отследить факт закрытия и вовремя найти альтернативу...

так что хотелось бы распределить базы по всему миру по наибольшему количеству сервисов, чтобы достичь максимальной надежности

Повторюсь, для этой цели вполне пойдут вышеупомянутые онлайн сервисы хранения паролей, необходимо, чтобы программа, храня пароли, в то же время сама умела с ними синхронизироваться и заливать на них бекапы.

Добавлено:

Цитата:

есть ещё один "синхронизатор", который позволяет бэкапить не к себе на сервер "в облаке", а на компьютеры друзей (у них он, понятное дело, тоже должен быть установлен) - CrashPlan

Благодарю, посмотрю, как раз хотел еще бекапить на второй комп в своей квартире.

Подскажите программу для хранения паролей где была бы возможность вместо основного пароля использовать функцию "отпечатка пальца" на ноуте. Есть такие?

Password Commander предлагает биометрическую аутентификацию (не пользовался ею). Правда он давно не обновлялся.

Также вроде это умеет открытый KeePass (не знаю, нативно ли или плагином каким).

В KeePass нет такой функции.

А в Password Commander нужно устанавливать дополнительную программу от sodos.de, но как это сделать знают видимо только разработчики Commander.

Несколько лет пользуюсь ПассвордКоммандером. Вроде все устраивает, но как и некоторых возникают напряги от заброшенности проекта. Сейчас пробую SPB Wallet. Нравится. Но есть такая беда - отсутствует портэйбл-версия. Только через setup. Потихоньку перетаскиваю туда свою базу. Удобно то, что база есть и в телефоне, и хорошо все синхронизируется. Но вот напрягает тот факт, что если я на другой машине, где он не установлен захочу гденибудь зарегистрироваться, то новый пароль вводить в базу только ручками на телефоне. А если пароль "очень-хитрый" то становится грустно. Если его еще чем-нибудь сгенерить предварительно... Вот и незнаю что делать? Кто что подскажет?

Упс,а скарабей стал платным

Да уж.. То же несколько лет пользовался Скарабеем. Придется искать замену.Думаю перейти на LSN Password Safe

Ппц, SCARABAY 3.1 запрещает больше 7 записей на акк и не более 7 редактирований записей - пора делать таблэтку от жадности...Благо старые записи не похерил - выход есть - откат.

Ага, после обновления просто запрещает создавать новые записи. 700р слишком жирно, за 200-300 взял бы.