Алекс, а можно короткое сравнение с Roboform? Помню, что ты много лет именно Roboform использовал. Я вот его же, и тут вдруг стало интересно, почему Bitwarden оказался лучшим
Вот не знаю, я дурак или Битварден не умеет работать с программами, требующими ввода логина/пароля? Есть Radmin, я через него вторым компьютером рулю. Roboform понимает, что программа требует ввести пароль и под окошком появляется кнопка. Битварден никак не реагирует, хотя пароли из хранилища робоформа перенесены. Где копать, подскажите?
Во-первых, пассвордсам год только. Было бы странно, чтобы за год их поломали. Во-вторых, у битвардена намного больше функциональности + намного более продвинутые клиенты под браузеры и любые устройства, не только эпл. В-тертьих, с битварденом можно использовать свой сервер, что кому-то важно и нужно.
которая не нужна для 99,9% людей и про которую люди (включая меня ) даже не догадываются что нужна какая-то бОльшая функциональность для менеджера паролей кроме той которую предлагает Passwords.
с битварденом можно использовать свой сервер, что кому-то важно и нужно.
может кому-то это и нужно, я таких не встречал. Только не подумайте что я против Bitwarden или еще что-то такое. Я лишь про то что есть нативное решение без всяких дополнительных действий.
Passwords всего лишь обёртка над Keychain, который присутствует с появления OSX и даже раньше. Там и синхронизация через iCloud уже больше 10 лет есть. И аппаратная защита с момента появления Secure Enclave уже лет 10 как. Собственно, встроенная аппаратная защита ставит Passwords на голову выше других решений, которым требуется для этого отдельный аппаратный ключ. Ну и глубокая интеграция в Safari тоже добавляет удобства.
Ну, там не совсем "аппаратная" защита. Secure Enclave защищает ключи, да, и без кода блокировки устройства ничего оттуда не вытащить (за исключением комплексов Cellebrite и GrayKey, которые официально в РФ не продают, да и те работают с большими ограничениями.) А вот синхронизация паролей из keychain с сервером - уже можно вытащить без самого устройства, чисто онлайн, зная только пароль от iCloud и код блокировки телефона (или планшета, или компьтера Mac). Наконец, реально ничего не вытащить, даже зная пароль - если у пользователя включено Advanced Data Protection for iCloud. В этом случае ключи шифрования от облака хранятся на самом дивайсе (можно задать и дополнительный аккаунт - например, жены, - чтобы где-то была резервная копия ключей), и без них никакого доступа к облаку ни у кого нет. Так что в конечном итоге - да, Passwords от Apple реально самая безопасная паролехранилка, но и самая ограниченная - работает только в экосистеме Apple (понятно, почему: иначе вся безопасность стала бы фикцией).
Чтобы расширение работало с биометрией, нужно ещё ставить приложение из магазина винды и соответствующе настраивать. Мне оно в трее в конце концов надоело, разблокирую пин-кодом.
Ради интереса - а где вы храните свои пароли и 2FA?
На двух разных сервисах. Даже если уведут доступ к менеджеру паролей, будут "сосать писю". Причём в менеджере паролей credentials к 2FA сервису не сохранёны, естессно. Так что "приходится" запоминать не одну, а две пары надёжных credentials 😄
На двух разных сервисах.Даже если уведут доступ к менеджеру паролей, будут "сосать писю".Причём в менеджере паролей credentials к 2FA сервису не сохранёны, естессно.Так что "приходится" запоминать не одну, а две пары надёжных credentials 😄
А менеджер паролей и приложение для 2FA у вас на одном, или на разных телефонах/компьютерах?
>>> Это приложение (доступное, как правило, для любых платформ), которое генерирует для вас устойчивые пароли, запоминает и хранит в защищенном виде ваши логины-пароли для различных сервисов
Ja-ja. А мы ему верим на слово. Ну они же говорят, что они "запоминают и хранят в защищенном виде". И кто мы такие, чтобы им не верить?
На самом деле, если уж пользоваться менеджером паролей, то есть несколько АБСОЛЮТНО НЕОБХОДИМЫХ условия:
1. Он должен быть open source 2. Он не должен ни в каком виде никак и никогда не получать доступ к сети. 3. Желательно его самому скомпилировать из сорцов
Почему никакой сети? Да нет, не потому что запрещено, пусть зашифрованные пароли сохраняет. Просто потому, что инспектировать такой код чрезвычайно тяжело. Надо внимательно-внимательно смотреть ВСЁ, чтобы не пропустить какую-либо малозаметную дырочку. Другое дело, если доступа к сети нет вообще - парочка grep-ов и мы более-менее можем быть уверены. Процентов этак на 99 😄
Ну ерунду же написали. Так и вижу, как мои родители компилируют из исходников свой менеджер паролей. Да и я сам, честно говоря, вряд ли стал бы на это тратить время.
Большинство людей вообще с трудом отличает «логин» от «пароля» и записывает всё в файлик passwords.doc на рабочем столе.
И «верить на слово» тут не нужно - все крупные решения вроде 1Password и Bitwarden проходят независимые аудиты безопасности и сертификации.
Ну что я могу сказать. Продолжайте верить "независимым аудитам". Вот к ним и обращайтесь, в случае чего.
На самом деле вы правы, есть люди, для которых слово скомпилировать уже попахивает магией. Ну тогда в любом случае надо выбирать кому верить. А верить никому нельзя. Ну вот, никаким и не пользуйтесь (вот никаких и не читайте (с))
Ви таки будете смеяться, но файлик passwords.doc на рабочем столе может быть более эффективным и секьюрным решением (если, конечно, там не в открытом виде всё записано), чем просто так верить на слово хрен знает кому.
Ну что я могу сказать. Продолжайте верить "независимым аудитам". Вот к ним и обращайтесь, в случае чего.На самом деле вы правы, есть люди, для которых слово скомпилировать уже попахивает магией. Ну тогда в любом случае надо выбирать кому верить. А верить никому нельзя. Ну вот, никаким и не пользуйтесь (вот никаких и не читайте (с))
просто компиляции недостаточно, надо код самому проверить сначала (экспертам же нельзя верить). Скажите, вы все исходники проверяете лично? Сколько у вас часов в сутках и жизней?
Я об этом и написал. Если в принципе есть доступ в сеть, то инспекция становится весьма проблематичной. Поэтому лучше, что её не было ВООБЩЕ.
Кстати, бросил беглый взгляд на vaultwarden. 70 внешних библиотек! 70, Карл. Причём среди них webauthn и http 😄 Ну тут сразу или нунахер или потратить полгода на инспекцию. Я выбираю первое.
Ну тогда избушка в тайге и натуральное хозяйство - ваш выбор. А иначе сейчас никак. Как вы с неаудиченным телефоном живёте? И без пластиковых карт и без доступа в сеть с телефона или компа?
Ну что я могу сказать. Продолжайте верить "независимым аудитам".
Ну тогда и банкам нельзя верить - держать деньги только под подушкой. Да и фрукты/овощи выращивать самостоятельно, как Стерлигов. И вообще - только натуральное хозяйство - никому верить нельзя. У многих, знаете, только 24 часа в сутках - на всё времени просто не хватит.
Преимущества, помимо "моё добро только у меня" - ключи ТОТР, полная функциональность, включая неограниченное создание "фирм", что в моём случае - семейные пароли, к которым должна иметь доступ и жена.
Для самохостинга лучше всего использовать vaultwarden (форк битвардена на русте) - он меньше хочет ресурсов.
виноват, замарал честь офицера, снимаю претензии (Я как то давно думал про самохостинг и почему то (глюк наверное) решил что ему для работы нужен АПИ ключ от битвардена. Ну и забил на это дело) в обчем, сорян, обмишурился.
виноват, замарал честь офицера, снимаю претензии(Я как то давно думал про самохостинг и почему то (глюк наверное) решил что ему для работы нужен АПИ ключ от битвардена. Ну и забил на это дело)в обчем, сорян, обмишурился.
Раньше самому хостить оригинальный битварден было геморно. Зато теперь у них наконец появился докер контейнер всё-в-одном. Но vaultwarden всё равно меньше ресурсов требует.
Ну-ну))
Где копать, подскажите?
Bitwarden ориентирован в первую очередь на браузеры и веб-приложения.
Для десктопных программ Bitwarden предоставляет desktop app и extension для браузеров, а также автозаполнение через глобальные горячие клавиши.
Но: Bitwarden не умеет автоматически распознавать поля логина/пароля в произвольных Windows-программах так, как это делает RoboForm.
Причина:
RoboForm использует низкоуровневое API Windows (UI Automation) и перехватывает события ввода в приложениях.
Bitwarden пока не интегрирован с этим API для сторонних программ, поэтому кнопки автозаполнения в окне Radmin не появляются.
2️⃣ Что реально можно делать с Bitwarden
Копировать пароль вручную
В desktop-приложении Bitwarden есть горячие клавиши Ctrl+Shift+C (копировать логин) и Ctrl+Shift+V (копировать пароль).
Автозаполнение через браузер
Если программа имеет веб-интерфейс (например, веб-версия Radmin или другие веб-приложения), Bitwarden работает нормально.
Глобальный автопопап (Desktop App)
На Windows можно включить «Unlock with Master Password» + Autofill on shortcut.
Но Bitwarden не “видит” поля программ вроде Radmin, только стандартные браузерные окна или некоторые Electron-приложения.
3️⃣ Вывод
RoboForm: умеет отслеживать произвольные приложения и вставлять логины/пароли под нужное окно.
Bitwarden/Vaultwarden: не умеет это делать; работает только с браузерами или через ручное копирование/вставку.
Только не подумайте что я против Bitwarden или еще что-то такое. Я лишь про то что есть нативное решение без всяких дополнительных действий.
Весь вопрос в двух моментах: кому доверять и какие устройства нужно поддерживать.
Даже если уведут доступ к менеджеру паролей, будут "сосать писю".
Причём в менеджере паролей credentials к 2FA сервису не сохранёны, естессно.
Так что "приходится" запоминать не одну, а две пары надёжных credentials 😄
Ja-ja. А мы ему верим на слово. Ну они же говорят, что они "запоминают и хранят в защищенном виде". И кто мы такие, чтобы им не верить?
На самом деле, если уж пользоваться менеджером паролей, то есть несколько АБСОЛЮТНО НЕОБХОДИМЫХ условия:
1. Он должен быть open source
2. Он не должен ни в каком виде никак и никогда не получать доступ к сети.
3. Желательно его самому скомпилировать из сорцов
На андроиде я знаю один такой - OI Safe.
Большинство людей вообще с трудом отличает «логин» от «пароля» и записывает всё в файлик passwords.doc на рабочем столе.
И «верить на слово» тут не нужно - все крупные решения вроде 1Password и Bitwarden проходят независимые аудиты безопасности и сертификации.
На самом деле вы правы, есть люди, для которых слово скомпилировать уже попахивает магией. Ну тогда в любом случае надо выбирать кому верить. А верить никому нельзя. Ну вот, никаким и не пользуйтесь (вот никаких и не читайте (с))
Из клиент-серверных bitwarden и совместимый с ним vaultwarden - open source.
Скажите, вы все исходники проверяете лично? Сколько у вас часов в сутках и жизней?
Кстати, бросил беглый взгляд на vaultwarden. 70 внешних библиотек! 70, Карл. Причём среди них webauthn и http 😄 Ну тут сразу или нунахер или потратить полгода на инспекцию. Я выбираю первое.
www.token2.swiss
Преимущества, помимо "моё добро только у меня" - ключи ТОТР, полная функциональность, включая неограниченное создание "фирм", что в моём случае - семейные пароли, к которым должна иметь доступ и жена.
Для самохостинга лучше всего использовать vaultwarden (форк битвардена на русте) - он меньше хочет ресурсов.
и не всякому потянуть такую установку, в отличии от инструкции выше...
bitwarden.com
или так
github.com
Понятно, что порог вхождения выше, но не то чтобы неподъёмно - опять-таки, куча видео на ютьюбе, где проведут за ручку.
p.s. А о каком апи ключе идёт речь?
(Я как то давно думал про самохостинг и почему то (глюк наверное) решил что ему для работы нужен АПИ ключ от битвардена. Ну и забил на это дело)
в обчем, сорян, обмишурился.