4 менеджера паролей с открытым исходным кодом

Менеджеры паролей стали настоятельно рекомендуемым инструментом для пользователей, которые управляют большим количеством паролей, особенно учитывая то, как большинство из нас использует Интернет.

Использование менеджера рекомендуется главным образом потому, что пользователь не может запомнить большое количество паролей. Это сопряжено с риском их повторения через различные службы, и ситуация ухудшается, если используется одно и то же имя пользователя, которое обычно соответствует учетной записи электронной почты. Если вы используете память в своей голове для хранения паролей, помимо их повторения, вполне вероятно, что в конечном итоге вы будете генерировать не очень сильные фразы, которые могут быть обнаружены с помощью атаки методом перебора, то есть перебора возможных паролей. один за другим, пока не найдете правильный.

Помимо неповторения и возможности генерировать надежные пароли и хранить их в большом количестве, есть и другие особенности, которые желательно учитывать при рассмотрении использования менеджера:

• Доступ онлайн и офлайн: есть оффлайн-менеджеры, которые хранят пароли локально или на USB-накопителе, и другие, которые работают онлайн и отвечают за синхронизацию через облако, очевидно, используя шифрование для защиты контента. Онлайн-менеджеры удобнее, особенно если вы хотите иметь одинаковые пароли на нескольких компьютерах, но есть много людей, которые им не доверяют и продолжают использовать оффлайн-менеджеры, делегирующие пользователю ответственность за перенос паролей из одного места в другое. На самом деле риски онлайн-менеджеров настолько реальны, что перед нами случай LastPass.
• Двухэтапная аутентификация. Двухэтапная аутентификация стала механизмом, который уже требуется использовать многим службам, чтобы гарантировать, что лицо, осуществляющее доступ, является законным, а не злоумышленником. Если менеджер паролей поддерживает двухэтапную аутентификацию, это плюс, который следует учитывать.
• Интеграция с веб-браузерами является еще одним важным фактором, поскольку она сводит к минимуму взаимодействие с паролями и автоматизирует доступ к различным веб-сайтам. Этого следует добиться простой установкой соответствующего плагина.
• Автоматический захват пароля: продолжая использовать плагин для веб-браузеров, рекомендуется, чтобы менеджер паролей спрашивал пользователя, хотят ли они хранить данные при доступе к службе с помощью своей учетной записи и пароля. Некоторые менеджеры умеют обнаруживать процессы обновления паролей.
• Автоматические оповещения безопасности: некоторые менеджеры паролей предупреждают, когда служба или веб-сайт подверглись атаке, а данные доступа пользователей были или могли быть скомпрометированы. Если предупреждение пропало, рекомендуется как можно скорее обновить соответствующий пароль.
• Это должно быть портативное приложение и/или с поддержкой мобильных телефонов: в идеале менеджер паролей должен быть портативным приложением, другими словами, чтобы его можно было носить на флэш-накопителе и не требовало установки. Еще одним желательным вариантом было бы наличие версии для мобильных телефонов и планшетов, позволяющей управлять паролями из любого места, если это служба, хранящаяся в облаке.
• Аудит безопасности: используется для определения наличия у пользователя слабых или повторяющихся паролей в магистрали. Очевидно, что в случае их обнаружения желательно как можно скорее сменить соответствующие пароли.
• Одноразовые пароли: одноразовые пароли позволяют, как следует из их определения, что пользователь может получить доступ к менеджеру паролей только один раз, что укрепляет систему на случай, если она окажется скомпрометированной, благодаря тому факту, что один и тот же пароль не может быть использован. Это послужит для другого случая.
• Совместное использование паролей. Некоторые менеджеры позволяют вам безопасно делиться паролями с другом как внутри, так и за пределами самого менеджера паролей, хотя эта функция не кажется очень привлекательной, учитывая время, в котором мы живем.

Почему важны менеджеры паролей с открытым исходным кодом

Мы живем во времена, когда конфиденциальность становится все более важной проблемой. Здесь в игру вступают не только злоумышленники, атакующие серверы или персональные компьютеры с целью получения компрометирующих данных, но и отсутствие прозрачности большей части программного обеспечения, которое мы используем в повседневной жизни.

В последнее время мы видели, как Microsoft подверглась резкой критике из-за того, как она использует искусственный интеллект в Windows, а такие функции, как Recall, в конечном итоге пробудили чувствительность многих. Это не что иное, как последний эпизод в истории, которую редмондский гигант расширяет, когда дело доходит до сомнений в реальной конфиденциальности, которую обеспечивает Windows, поскольку система реализовала телеметрию со времен Windows 10, которая призвана быть весьма навязчивой.

Еще одно программное обеспечение, которое традиционно подвергается резкой критике за проблемы, связанные с конфиденциальностью, — это Google Chrome, браузер поискового гиганта, который обвиняется в том, что он является шпионским ПО. Здесь бизнес-модель гиганта из Маунтин-Вью, который сделал таргетированную рекламу одним из своих основных столпов, не помогает улучшить имидж приложения, которое в настоящее время остается самым популярным в вашем сегменте.

Что общего между Windows и Google Chrome? Что ж, оба являются проприетарными программами, поэтому аудит того, что они на самом деле делают, поначалу не так прост, как если бы они были с открытым исходным кодом. Пусть никто не сомневается в том, что Microsoft и Google проводят аудит безопасности своего программного обеспечения, но они проводятся на основании контрактов, содержащих драконовские требования конфиденциальности. Другими словами, Windows и Google Chrome не могут быть подвергнуты бесплатному аудиту, что можно сделать с помощью программного обеспечения с открытым исходным кодом.

На этом этапе менеджеры паролей с открытым исходным кодом важны, поскольку их исходный код доступен для проверки и, следовательно, можно узнать, что они делают. Тем не менее, все еще существуют дыры, такие как тот факт, что клиент может быть с открытым исходным кодом, но сервер является собственностью, поэтому в случае онлайн-менеджеров, которые работают в рамках этой структуры, невозможно узнать, что происходит с данными, которые находятся в облако, хотя они должны быть зашифрованы и доступны только их законному владельцу.

Однако наличие открытого исходного кода только для клиента является шагом вперед, потому что, по крайней мере, вы можете выяснить, являются ли отправленные данные именно тем, что следует передавать, или существует какой-то тип коллекции, которая охватывает вещи, которые не должны быть переданы. Это также может относиться к менеджерам паролей, которые работают только в автономном режиме, поскольку несвободное программное обеспечение всегда может таить в себе неприятные вещи.

В качестве последнего пункта, прежде чем упомянуть список менеджеров, стоит помнить, что Open Source не означает неуязвимость к недостаткам безопасности, поскольку это зависит, скорее, от качества кода и постоянного и правильного обслуживания. Несмотря ни на что, тот факт, что код можно свободно проверять, всегда будет большей гарантией конфиденциальности, чем несвободное программное обеспечение.

Четыре популярных менеджера паролей с открытым исходным кодом

Битварден

Битварден это, вероятно, самый популярный онлайн-менеджер паролей с открытым исходным кодом. Он официально поддерживает самые популярные веб-браузеры iOS, iPadOS, watchOS, Android и имеет приложения для Windows, Linux и macOS. Благодаря тому, что исходный код клиента публикуется под лицензией GPLv3, он обеспечивает максимальную прозрачность и теоретическую простоту его переноса на другие системы либо через порт, либо через другой производный проект, основанный на исходном коде.

Серверная часть Bitwarden также имеет открытый исходный код, поскольку публикуется под лицензией AGPLv3, хотя на этом фронте используются некоторые проприетарные модули. Это, вместе с API, который предоставляют ответственные лица, позволяет децентрализовать менеджер паролей и реализовать его, например, на уровне компании.

На уровне функций, ориентированных на пользователей, мы находим зашифрованный транк, доступ через двухфакторную аутентификацию, доступ без пароля, генератор случайных паролей и биометрическую разблокировку. У него есть планы платежей с некоторыми дополнительными функциями, с помощью которых можно внести вклад в устойчивость проекта.

KeePass

И я перехожу к проекту-ветерану, официально рожденному в 2003 году, который, пожалуй, является самым популярным среди офлайн-решений в своем сегменте. КиПасс хранит пароли в зашифрованной базе данных, доступ к которой можно получить с помощью пароля или цифрового ключа. Изначально он был доступен только для Windows, но существует производная версия под названием KeePassXC предлагая настоящую кроссплатформенную поддержку. Поскольку это бесплатное программное обеспечение, оно имеет большое количество неофициальных вилок и производных для множества различных операционных систем, включая мобильные.

Среди своих функций он обеспечивает двухфакторную аутентификацию и защиту от кейлоггеры (программное обеспечение, предназначенное для записи нажатий клавиш), многопользовательская поддержка, сброс буфера обмена, генератор паролей и поддержка плагинов. Плагины для браузера необходимо устанавливать отдельно.

KeePassXC

Протонный перевал

Это более молодой проект, созданный теми же людьми, которые создали службу зашифрованной электронной почты Proton Mail. Сначала он был доступен только для Android и iOS, но со временем он появился и в Windows. Линукс и МакОС. Преимущество стоящей за этим компании заключается в том, что она базируется в Швейцарии, а не в Соединенных Штатах, на случай, если кто-то не доверяет тому, как работает эта североамериканская страна.

Потому что менеджеры паролей сами по себе не являются чем-то новым, скорее наоборот, в Протонный проход Среди прочего мы находим зашифрованное хранилище и синхронизацию между устройствами, генератор паролей, двойную аутентификацию, поддержку паролей, импорт и экспорт, интеграцию с веб-браузером через расширения и предупреждения системы безопасности.

Интересной особенностью Proton Pass является интеграция с Proton Sentinel, новой службой безопасности, основанной на искусственном интеллекте, которой, однако, могут воспользоваться только подписчики тарифного плана Pass Plus (4,99 евро в месяц или 23,88 евро в год). для доступа к расширенным функциям, таким как использование в автономном режиме.

Падлок

Сайт Падлок В нем говорится, что он «не только помогает вам запомнить все ваши пароли, но и надежно хранит кредитные карты, заметки, документы и многое другое», а также использует сквозное шифрование. Здесь нет ничего, чего нельзя было бы сделать, например, с помощью Bitwarden, но не помешает рассмотреть больше альтернатив с открытым исходным кодом в сегменте, где прозрачность должна быть важна.

Padloc официально поддерживает системы Linux, Windows, macOS, iOS и Android и предоставляет расширения для Google Chrome и Firefox, поэтому, за исключением Microsoft Edge, он поддерживает практически все популярное программное обеспечение на потребительском рынке, а расширение Chrome должно иметь возможность быть установлен в Edge. Его исходный код опубликован под лицензией AGPLv3, поэтому его можно считать свободным программным обеспечением.

Наконец, хотя его можно использовать бесплатно, Padloc предлагает несколько платных планов с дополнительными функциями, такими как многофакторная аутентификация и 1 ГБ зашифрованного хранилища файлов.

Заключение

Эти четыре примера являются одними из самых популярных среди менеджеров паролей с открытым исходным кодом, и они также просты в использовании или, по крайней мере, относительно просты в использовании. Очевидно, что существует множество других вариантов с разными точками зрения, но знание того, какой из них идеален, приводит нас к типичному процессу попыток, пока мы не найдем то, что пользователю нравится больше всего или лучше всего подходит.

Как я уже говорил, открытый исходный код сам по себе не является панацеей с точки зрения безопасности, но это дополнительная ценность, которая, по крайней мере, позволяет нам проверить, что менеджер не делает ничего странного, чего невозможно выяснить с помощью 100 % безопасности в фирменном программном обеспечении.