Что такое менеджер паролей

1Password

Популярный менеджер для всех платформ. Надежный, с приятным и удобным интерфейсом. Данные разбиваются на категории. Есть поддержка тегов. Можно создавать защищенные заметки.

Расширение в браузере работает только с запущенной десктопной версией или с миниприложением в трее 1password mini. Не совсем удобно, но надежней. Если посторонний получит доступ к браузеру через учетную запись, то воспользоваться паролями все равно не сможет.

Разработчики сменили оплату сервиса. Сейчас по подписке. Месяц личного использования $2.99, семейная подписка: $4.99.

1Password

Edit description

Enpass

Поддержка основных платформ. Десктопная версия бесплатна, мобильная — ограничена хранением до 20 паролей. Больше — единовременная плата в $9,99.

После предыдущего менеджера, выглядит аскетичной. Тегов нет, разбивка на категории автоматическая. Вы на неё повлиять не можете. Но есть папки.

Есть автозаполнение данных на сайтах, облачная синхронизация, генератор паролей.

Best password manager for iOS, Android, Windows, Linux, Mac | Enpass

Enpass is the world's best password manager and secure wallet. Its Offline app and offers Free desktop app, Multi…

LastPass

Для всех платформ и браузеров. Бесплатной версии для нетребовательного пользователя достаточно. Премиум стоит $2 месяц, семейный пакет $4.

Надежность сервиса сомнительна, его взламывают каждый год.

LastPass | Диспетчер паролей, функция автоматического заполнения форм, генератор случайных паролей…

Диспетчер паролей, функция автоматического заполнения форм, генератор случайных паролей и безопасное приложение цифров…

SafeInCloud

Простой и удобный кроссплатформенный менеджер от российского разработчика.

Для десктопа бесплатный. На мобильных действует единовременная оплата: 289,00 рублей.

Поддержка облачной синхронизации, тегов, генератор паролей, анализ стойкости паролей.

SafeInCloud Менеджер Паролей для Android, iOS, Windows и Mac

SafeInCloud Менеджер Паролей для Android, iOS (iPhone и iPad), Windows и Mac. Синхронизация с облаком. Вход по отпечат…

RememBear

От создателей vpn-сервиса TunnelBear. Дружелюбный и минималистичный интерфейс. Автозаполнение паролей работает быстро. Тегов нет. Расширения для Safari тоже.

Пока на стадии бета тестирования бесплатен. Планируется платная подписка.

Менеджеры паролей. Какие бывают и правда ли безопасны?

В 1997 году американский криптограф и специалист по компьютерной безопасности Брюс Шнайер написал первый в мире менеджер паролей — Password Safe.

Это была простая и бесплатная утилита для Windows 95 с примитивным пользовательским интерфейсом и базой данных в виде зашифрованного файла, внутри которого хранился список логинов и паролей.

Пользователь помнил лишь мастер-пароль от базы вместо множества учетных данных. Тогда еще не было таких «фич», как автозаполнение форм, подсказки безопасности, многофакторная аутентификация и «шейринг» данных с друзьями и коллегами. Были только категории, горячие клавиши и несложный автогенератор.

Однако последние 20 с лишним лет менеджеры эволюционировали. Сегодня это полноценные кроссплатформенные приложения с продвинутым интерфейсом и множеством полезных (и не очень) фич, многие из которых существуют в облаке и обеспечивают секретность пользовательских данных.

На самом деле современные менеджеры идут чуть дальше и не ограничиваются только лишь паролями. В качестве секретной информации могут выступать паспортные данные, номера банковский карт, файлы, фотографии документов и SSH-ключи. Короче всё, что может быть секретно (и полезно злоумышленникам) имеет право оказаться под защитой менеджера.

Однако основные функциональные столпы, на которых построен среднестатистический менеджер, годами остаются неизменны:

Организация. Понятная структура учетных данных с фильтром и поиском. Обычно выполнена в виде папок с бесконечной иерархией вложенности и в некоторых случаях со специальными иконками, которые соответствуют favicon-у каждого сервиса.

Например, данные для входа в Steam, Origin и Epic Games Store лежат в категории «Games», пароли от SoundCloud и Spotify — в «Music», а учётки от Figma и Google Drive — в «Work».

Автогенерация. Так как зачастую менеджеру полностью делегируют запоминание паролей, нет никакого смысла придумывать человекочитаемые пароли. Рандомные набор символов намного надежнее — на их подбор уйдут миллионы лет.

Американский оператор беспроводной сети Verizon в своих исследованиях указывает, что в 80% случаев именно плохие пароли являются причиной несанкционированного доступа к корпоративным сетям и аккаунтам.

Поэтому в каждом менеджере есть встроенный генератор паролей. Пользователь выставляет пару настроек, отмеряет ползунком необходимую длину и сохраняет пароль. Ну, а далее эти данные используются для регистрации и авторизации.

Автозаполнение. Автоматическая подстановка логина и пароля в форму авторизации. Без этой функции придется копировать и вставлять пароль из менеджера вручную.

Однако единственный способ связать приложение менеджера с целевым сайтом — установить специальное расширение браузера, выпущенное разработчиком менеджера. Чуть ниже мы поговорим о том, почему эта функция до сих пор является огромной (и, возможно, вообще не залатываемой) дырой в безопасности.

Кроссплатформенность. Разнообразие клиентов под разные платформы с унифицированным и понятным интерфейсом. Например, внешний вид клиента на Windows плюс-минус идентичен клиенту на Android.

Да, это довольно удобно. Вы могли бы выполнить регистрацию с телефона, будучи в дороге, после чего учётные данные отправятся в защищённое облако вашего менеджера. Когда вы приедете домой, данные будут извлечены, и вы также просто авторизуетесь, но уже с ПК.

И всё же, облачное хранение, пусть и зашифрованных паролей, может показаться не самым безопасным решением. Чуть ниже мы разберемся, почему это не такое уж надуманное опасение, как может показаться на первый взгляд.

В конце концов, менеджер паролей сам по себе подразумевает безопасность. Грош цена тому менеджеру, который её не обеспечивает. Но тем не менее.

Можно ли обойтись без менеджера паролей?

Ты можешь быть свободным «номадом», путешествующим по миру налегке с рюкзаком, парой трусов и ноутбуком под мышкой. Но что будет, если ты потеряешь все свои вещи? Если твое устройство сядет? Если разработчик прекратит поддержку продукта или его серверы сгорят в адском пламени надвигающегося апокалипсиса?

Чувство контроля, ощущение недоверия и зависимость от стороннего продукта могут оказаться аргументом в пользу отказа от менеджера паролей.

В нашем мире настолько много клиентских приложений, что здоровый консерватизм в виде снижения зависимостей (и унификации) в некоторых случаях может оказаться вполне оправдан.

Однозначно, хранить пароли в голове намного безопаснее, чем где-либо ещё. Вряд ли кто-то сможет получить доступ к вашим мозгам. Ну, разве что поздним дождливым вечером в баре, за стаканом односолодового виски, в компании загадочных, но приятных незнакомцев, во время откровенной беседы…

Однако держать все пароли в голове не всегда возможно. Иной раз учетных данных настолько много, что их все и не запомнишь.

Один пароль на все аккаунты — рисковое решение. Взломали один — взломают и другие. С другой стороны, каждый может придумать свою систему наименования паролей. Эдакую «парольную политику» для себя.

Вы можете использовать универсальную комбинацию ключевого слова и названия сервиса, в котором регистрируетесь. При этом, соблюдая обязательные правила регистрации, распространённые в интернете: длина от 8 символов, наличие большой буквы, цифр и хотя бы одного знака.

«MyKeyWord23_Habr» для Хабрахабра и «MyKeyWord23_Soundcloud» для вашей любимой музычки. Да, использовать название сервиса в пароле считается небезопасным решением. Многие сайты даже блокируют такие пароли. Тогда можно попробовать слово-перевёртыш с большой буквой в начале — «MyKeyWord23_Rbah» и «MyKeyWord23_Duolcdnuos».

А можно пойти дальше и придумать систему уровней паролей. Например, пусть их будет всего 2. Для важных сервисов вы используете подобие описанной выше системы наименования, а для временных (или подозрительных) какое-нибудь незамысловатое ключевое слово — «MyTrivialKeyWord23».

Но тут вступает в силу другой фактор — общий почтовый ящик. Да, это удобно, но риски лучше диверсифицировать. Взломать рабочую почту — не означает получить доступ к домашней и всей цепочке связанных с ней аккаунтов. Как говорится, «яйца не в одной корзине».

Для многих интернет-пользователей такого тривиального решения будет более чем достаточно. И всё же, есть несколько причин, почему описанные выше решения могут упереться в потолок удобства и эффективности:

Быстрый ввод. То есть совсем не хранение, а просто автозаполнение формы. Ваших паролей всё еще может быть немного, вы отлично их помните и не испытываете никаких проблем. Просто вы хотите быстро их вводить. Поэтому вы решите использовать функцию автозаполнения. Хотя бы ту, что уже «вшита» в браузер.

Снижение когнитивной нагрузки. Учётных данных стало настолько много, что их уже невозможно помнить головой и контролировать руками. Их не 5 и, наверное, даже не 10. Десятки или сотни. Скорее всего, это основная причина начинать использовать менеджер паролей. Особенно в бизнесе.

Утечки уже случались. И довольно большие

Речь идет о нашумевшей истории с менеджером паролей LastPass, которая произошла во второй половине 2022 года. Тогда за 4 месяца случилось аж 2 взлома «защищенных» серверов компании — тех самых, где хранятся пароли пользователей.

Собственно, об этом сообщил в своем блоге сам разработчик. При этом команда LastPass была замечена в подтасовке фактов, о чём подробно рассказали в своих блогах несколько исследователей безопасности — Владимир Палант (один из разработчиков AdBlock Pro) и Джереми Госни (работает в Yahoo). Хотя оба не считают, что менеджеры паролей — плохая идея.

Тогда LastPass спекулировал на том, что взломанное хранилище (за счет атаки на компьютер сотрудника компании) отделено от производственной среды. И это действительно несложная уловка, ведь атакованное хранилище содержало бекапы вполне актуальных данных LastPass. Физически это другой сервер, но информация на нём та же.

Конкретно у этого менеджера выделился целый список недостатков, каждый из которых — звонкая монета в копилку угроз безопасности.

Например, отсутствие шифрования URL-адресов сайтов, для которых сохраняются учётные данные — злоумышленнику сыграет на руку информация о том, к чему у пользователя есть доступ. Или не самый эффективный криптографический стандарт PBKDF2, который формирует ключ на основе пароля.

Ранее, в 2017 году, произошел взлом крупной службы управления доступом OneLogin. Хакер получил доступ к набору ключей AWS, после чего извлёк данные из таблиц базы данных, которые содержали информацию о пользователях, приложениях и типах ключей.

Как и в случае с LastPass, разработчики были немногословны — подробности взлома были сокрыты, а пользователи получили лишь короткое сообщение на Email.

Еще ранее, в 2016 году, в результате хакерской атаки утекли данные 1,7 миллионов пользователей Opera Sync. В этом облаке хранятся данные каждого пользователя Opera — история просмотров, закладки, пароли браузерного менеджера, открытые вкладки и т. д.

Тогда Opera отреагировала довольно быстро, уведомив о проблеме всех своих пользователей. И хотя данные были зашифрованы, в качестве меры предосторожности компания сбросили все пароли к учетным данным пользователей Opera Sync. Да, подход Opera к безопасности своих клиентов более ответственный.

Говоря проще, утечки данных из менеджеров паролей не тренд, но прецеденты были. С точки зрения отдельно взятого пользователя вероятность потерять свои аккаунты по вине менеджера паролей довольно низка. Именно по вине менеджера. По прямой вине. Ведь может случиться так, что использование менеджера привело к компрометации пароля, но по вине пользователя.

Например, пароль был скопирован из менеджера в поле авторизации и остался в буфере обмена. А потом пользователь случайно вставил его в мессенджер и отправил кому-то. Или просто засветил во время трансляции экрана, оставив включенным режим отображения без звездочек. Случаи бывают разные.

Кстати, то же самое касается изначально заражённого окружения. Вот, что пишет по этому поводу разработчик менеджера KeePass Доминик Райхл: «Ни KeePass, ни любой другой менеджер паролей не могут волшебным образом безопасно работать внутри зараженной шпионским ПО среде».

Исследование, проведенное в 2019 году, подтверждает эти слова — популярные приложения для Windows (1Password, Dashlane, KeePass, LastPass) банально не очищали секретные ключи (и мастер-пароли) из оперативной памяти после использования менеджера, отчего их извлечение шпионским ПО превращалось в тривиальную задачу.

Английский специалист по компьютерной безопасности Тэвис Орманди в своем блоге описывал одну нерешённую уязвимость, при которой расширение браузера (выпущенное разработчиками менеджера для работы функции автоввода) вставляет свои контентные скрипты (JavaScript) в каждый посещаемый пользователем сайт.

На первый взгляд, это выглядит совсем безобидно — у каждой формы авторизации появляется иконка менеджера, нажатие на которую открывает окно выбора учётных данных для автоматического ввода.

Проблема в том, что эти скрипты могут оказаться во враждебном окружении. Опасный сайт может поменять подставленные менеджером элементы управления на свои. А дальше есть несколько вариантов:

обращение к API менеджера через XHR или WebSockets с целью получения секретных данных

попытка взаимодействия с расширением для «выуживания» данных непосредственно из него

«256-битное симметричное AES-шифрование», «уникальный ключ», «архитектура с нулевым разглашением», «криптографический алгоритм XChaCha20» — пусть эти модные слова не обнадёживают ваш слух.

Единственное, что действительно защищает ваши данные — мастер-пароль. Если атакующие смогут узнать его — всё перечисленное выше тотчас отправится на свалку.

Поэтому для атаки совсем не обязательны громкие утечки из централизованных баз данных. Достаточно лишь неосторожных пользователей, которые, тем не менее, используют вполне безопасный продукт. Это как незакрытая форточка в доме с металлической дверью и десятком надёжных замков.

И хотя принципы устройства «замков» похожи, они всё же имеют некоторые отличия.

Локальные, облачные, детерминированные и браузерные менеджеры

Локальные

Локальные менеджеры наиболее консервативны из всех существующих. Они полностью изолированы от внешней среды (интернета) и не синхронизируются с облаком разработчика.

Условно их можно поделить на две категории: для личного использования и для корпоративного использования.

Первые больше похожи на олдскульные утилиты для «гиков». Их очень мало и они требуют технических знаний при использовании. В некоторых случаях они выполнены в виде портативной утилиты, размещённой на флэшке.

Вторые — полноценные приложения, предоставляющие сервис как для обычных пользователей, так и для корпоративных клиентов. Последним разрешается размещение менеджера на собственных серверах компании.

KeePass относится к первой категории. Это старая, но надежная утилита из 2000-х годов. Полностью автономная — только самообслуживание. Менеджер считается одним из самых безопасных.

Наверное, поэтому его основная аудитория — технические энтузиасты. Он бесплатен, имеет открытый исходный код, но работает преимущественно под Windows. В Linux и macOS запускается через Mono. Под Android и iOS есть несколько неофициальных портов.

Некоторые другие особенности:

Импорт и экспорт паролей в формате .kdbx (поддерживаются также TXT, HTML, XML, CSV)

Сброс буфера обмена, который очищается через таймаут после копирования пароля. При этом KeePass блокирует уведомление об изменении содержимого буфера обмена для других приложений, защищаясь от шпионского ПО.

Двухканальная автоматическая обфускация (TCATO) препятствует работе шпионского кейлогера, отправляя остальным приложениям (рандомизация ввода) ложные уведомления о нажатии клавиш клавиатуры.

Автоввод через браузерное расширение, доступное для Firefox, Chrome и Edge.

Защита паролей в оперативной памяти. Секреты хранятся в защищенной от подкачки области ОЗУ с использованием шифрования ARC4.

Более поздние и современные утилиты предоставляют как локальное хранилище (на компьютере или собственном сервере), так и публичное защищённое облако разработчика.

Функциональная разница в обоих случаях обычно отсутствует — отличаются только тарифные планы. Собственное хранение, как правило, бесплатно, а за использование серверов разработчика придется платить.

Среднестатистический пользователь предпочитает второй вариант — в этом случае всё работает «из коробки». Однако для корпоративных клиентов важен полный контроль, поэтому менеджеры размещаются на собственных серверах.

PassBolt предоставляет именно такой функционал. Это молодой менеджер паролей (появился в 2016 году) с открытым исходным кодом.

Возможности довольно стандартны — шифрование, контроль уровней доступа, «шейринг» паролей и т. д.

Bitwarden — менеджер с аналогичными возможностями. Однако больше всего его ценят за гибкие возможности развёртывания на собственных закрытых серверах.

Разработчики стараются убирать любые препятствия при переходе пользователей с других менеджеров на Bitwarden, поэтому утилита поддерживает функцию импорта баз данных из множества других менеджеров — 1Password, Blur, Dashlane, Enpass, KeePass, PassKeep, RoboForm, Vivaldi, Zoho.

Минусы не то чтобы существенны, но всё же есть:

Не самый лучший UI/UX пользовательского интерфейса

Функции безопасности (шифрование AES-256 Face ID, Touch ID на iOS и macOS, считыватели отпечатков пальцев Android2FA/MF) есть только в платной версии (от 1 доллара в месяц)

Слабо развита живая поддержка пользователей

Кстати, у Bitwarden есть альтернативная реализация серверной части — Vaultwarden. Как сообщают разработчики, она является более компактной, отчего работает несколько быстрее официальной утилиты. К тому же расширенный функционал полностью бесплатен.

Есть множество других менеджеров из данного сегмента. Функции стандартны, но при использовании каждого из них всегда есть нюансы. Хотя, по правде сказать, они упираются во вкусы отдельно взятого человека или бизнеса.

Это лишь парочка для примера:

Padloc. Современный менеджер с отличным пользовательским интерфейсом, похожим на PassBolt. Есть платные и бесплатные тарифы.

Passwork. Функционал менеджера заточен под организации. Очень развита система контроля доступа сотрудников компании. Приятный интерфейс и автоматический аудит безопасности. Кстати, есть русскоязычный сайт.

Passit. Простой и компактный менеджер, созданный небольшой командой разработчиков из Burke Software. Существует только в виде ПО для серверов. Правда, для тестирования возможностей существует общедоступная версия.

Облачные

Эти менеджеры паролей работают как SaaS-сервисы, предоставляя пользователям собственное защищённое облако и набор клиентских приложений под популярные платформы.

Такие утилиты распространены больше всего. Они предназначены для среднего пользователя — не слишком «гика», не слишком «ламера». Небольшие компании тоже предпочитают именно их.

Большинство таких менеджеров являются проприетарными платформами без открытого исходного кода. Поэтому они не предоставляют возможность размещать менеджер на собственных выделенных серверах.

Вот некоторые из наиболее известных менеджеров этой категории:

NordPass является частью пакета безопасности, в который входят другие продукты компании-разработчика — NordVPN и NordLocker.

Keeper, как и NordPass, тоже предоставляет многофункциональный сервис. Помимо самого диспетчера паролей, в менеджер входит KeeperChat (мессенджер с самоуничтожающимися сообщениями), Security Audit (утилита оценки надежности паролей), Breach Watch (сканер интернета и даркнета на предмет утечки ваших данных).

Roboform — старейший и всё еще популярный менеджер паролей, выпущенный аж в 1999 году. Несмотря на возраст, регулярно обновляется и имеет современный интерфейс с понятной навигацией. Большая часть аудитории Roboform — корпоративные клиенты. Но индивидуальных пользователей тоже предостаточно.

1Password — крупный и серьезный игрок на рынке безопасности, который немного моложе Roboform. Возможно, поэтому 1Password полностью платный — бесплатно доступен только 14-дневный пробный период.

Вы также можете обратить внимание и на другие менее популярные менеджеры: Dashlane, Passwarden, Sticky Password, Enpass.

Детерминистические

Особенность детерминистических менеджеров паролей (deterministic password manager) — отсутствие хранилища. Вместо синхронизации данных между устройствами используется «магия» криптографии, преобразующая мастер-ключ и название (или домен) сайта в уникальный пароль.

Сгенерированные пароли рассчитываются прямо на устройстве за считанные миллисекунды. Поэтому способ и называется «детерминистическим» — при одних и тех же данных он каждый раз даёт один и тот же результат.

На первый взгляд, очень продвинуто и безопасно. Учётные данные вообще нигде не хранятся — даже в зашифрованном виде. Пароль для любого сайта можно получить из специального (локально размещённого) алгоритма, не передавая ничего по сети как между устройствами, так и в облако разработчика.

Однако бывают ситуации (например, есть подозрения, что пароль был скомпрометирован), когда уже используемый на сайте пароль требуется изменить на новый. В этом случае в генераторе менеджера вручную увеличивается счетчик, что приводит к генерации совершенного нового пароля.

Это плавно подводит нас к теме метаданных. К их числу можно отнести название (или домен) сайта, тип генерируемого пароля (только буквы, буквы и цифры и т. д.), мастер-ключ и счётчик.

Именно наличие метаданных сводит на нет многие преимущества детерминистических менеджеров — мы либо держим их в голове, либо используем всё ту же пресловутую синхронизацию с облаком разработчика. Только храним там не пароли, а метаданные.

В довесок к вышесказанному, детерминистические менеджеры (как раз по вине своего детерминизма) не могут хранить периферийные секретные данные — номера банковских карт, номера счетов, произвольные криптографические ключи и ответы на секретные вопросы.

Тем не менее утилиты, генерирующие детерминированные пароли, появились задолго до самого тренда на использование менеджеров паролей. В 2002 году специалист Алан Карп разработал один из таких генераторов. А в 2003 году были созданы Stanford PwdHash и SuperGenPass. Но то были простые и ненастраиваемые реализации.

К современным же решениям можно отнести AltoPass, Spectre, LessPass. Последний — лишь простая форма-генератор, доступная из браузера. Однако первые два немного сложнее — внешне они напоминают классический менеджер с множеством соответствующих функций.

AltoPass предоставляет как обычный способ хранения зашифрованных паролей, так и детерминистический. При этом AltoPass хранит в своём облаке некоторые метаданные (но не сами пароли) — имена пользователей, идентификаторы сервисов, настраиваемые поля и случайные seed-ы, необходимые для расчёта пароля на локальном устройстве.

Автономные версии детерминистических менеджеров, представленные не в виде полноценного сервиса, не справились бы с проблемой огромного количества учётных данных. Однако проекты вроде AltoPass обеспечивают всё тот же функционал, что и типичный менеджер, но с криптографической основой в своем «ядре».

То есть вы всё ещё можете синхронизироваться с разными устройствами, добавлять произвольные данные в облачное хранилище (в виде отдельных полей) и использовать функцию автозаполнения (за счет расширения браузера), но при этом ваши пароли действительно нигде не хранятся в явном виде.

Однако и тут есть загвоздка. Нет никаких настоящих доказательств, что хранение метаданных в облаке разработчика безопаснее хранения самих паролей в зашифрованном виде. К тому же ваш мастер-пароль (и настройки генерации) по-прежнему может быть скомпрометирован.

Spectre — ещё один детерминистический менеджер с открытым исходным кодом. Хотя он в большей степени предназначен для разработчиков, нежели для рядовых пользователей — для использования Spectre его необходимо загрузить из репозитория GitLab и самостоятельно скомпилировать. Из готовых «билдов» есть только урезанная веб-версия и iOS-приложение.

Кстати, у Spectre есть своё небольшое коммьюнити, где можно задать вопрос по работе менеджера или сообщить о каких-то проблемах.

На самом деле детерминистические менеджеры можно пересчитать по пальцам. Они не пользуются особой популярностью и являются довольно простым (и лаконичным) решением для небольшого числа задач.

Они выглядят сложнее в глазах типичного пользователя, оставаясь делом вкусовщины «горстки» представителей IT-отрасли. Ведь использование детерминистического менеджера всё ещё требует запоминания информации. Да, это не сложные пароли, а лишь поля метаданных, но тем не менее. Короче, это решение для «гиков».

Плюсы:

Пароли в явном виде нигде не хранятся (за счет того, что выводятся из метаданных)

Минусы:

Даже в самом простом случае нужно держать в голове некоторые метаданные

Перевыпуск нового пароля для конкретного сайта выглядит как «костыль» — нужно увеличить счётчик и при этом не забыть об этом. Если таких перевыпущенных паролей станет много — запоминание всех счётчиков окажется трудной задачей

Для продвинутого повседневного использования по-прежнему нужна синхронизация и хранение метаданных

Браузерные

С браузерными менеджерами всё понятно. Вводимые на сайтах пароли сохраняются в браузере, после чего их можно использовать через автоввод. При этом исключаются проблемы безопасности, построенные на инъекции вредоносного контента внутри опасных сайтов — именно тогда, когда расширение стороннего менеджера подставляет собственные элементы интерфейса к полям авторизации, отчего вредоносный сайт, в свою очередь, может получить доступ уже к самому менеджеру. В браузерном менеджере это невозможно, потому что его интерфейс работает поверх отображаемых веб-страниц.

На этом достоинства заканчиваются. Далее — только фатальные недостатки.

Самая безобидная проблема браузерных менеджеров — кроссплатформенность. По сути, её нет. Если на компьютере стоит Firefox, а на мобильном телефоне Chrome — пароли между ними синхронизироваться не будут.

Если к устройству имеют доступ другие люди, то ваши учётные данные окажутся у них как на ладони. Ведь функция мастер-пароля есть лишь в паре браузеров, и то довольно тривиальная.

Firefox предлагает шифрование паролей с помощью одного мастер-ключа. Opera позволяет делать нечто похожее, но мастер-ключом выступает пароль для входа в систему. Интересно, что Яндекс.Браузер тоже имеет функцию мастер-пароля. В Chrome, Safari и Edge такой возможности нет.

При этом браузеры с функцией мастер-ключа никогда не предлагают активировать шифрование. Они вообще никогда ничего не предлагают из того, что связано с безопасностью. Среднестатистический пользователь просто жмет «Сохранить пароль» и продолжает использовать браузер, не подозревая о рисках.

На первый взгляд, это кажется странным, но если разобраться — логика проста. Каждый популярный браузер используют сотни миллионов людей по всему миру. Их демография разнообразна, но большинство из них — неискушенные в технических вопросах «пользователи-ламеры».

Разработчики стремятся упростить порог входа в интернет — открыл браузер и всё работает «из коробки». Поди расскажи начиниющим пользователям , что такое менеджер паролей, шифрование, мастер-ключ и зачем вообще это всё надо — для них это просто надоедливые всплывающие окна, мешающие гуглить то, что они хотят нагуглить. Многие из них даже не знают, что такое «аккаунт» или «личный кабинет».

Но шифрование — это полбеды. Оказывается, браузеры хранят сохранённые пароли в крайне предсказуемых местах.

Видео ниже показывает, как тривиальный скрипт, запущенный через командную строку, сперва находит зашифрованные пароли в стандартном каталоге браузера, после чего расшифровывает их с помощью AES-ключа из свободно лежащего JSON-файла.

Будь это не скрипт, а троянская программа, было бы безопаснее хранить пароли в спрятанном txt-файле — по крайней мере, вредоносное ПО о нём бы не узнало.

Плюсы:

Просто и «из коробки»

Безопасная песочница браузера исключает уязвимости, построенные на инъекции вредоносного кода в интерфейс менеджера из веб-страницы

Минусы:

Нет синхронизации между разными браузерами

Мастер-ключей либо нет, либо они добавлены «для галочки»

Браузеры не пытаются прятать базы данных с паролями от вредоносного ПО и злоумышленников

Другие пользователи вашего устройства легко получат ваши учётные данные

Нет возможности хранить другие секреты — банковские карты и криптографические ключи

Что в итоге?

Когда учётных данных мало

Если вы пользуетесь от силы 6-10 сервисами — скорее всего, вам ещё рано заводить менеджер паролей.

Скажем так, издержки использования стороннего приложения будут перевешивать его бонусы при таком количестве учетных данных — их сложности и разнообразия недостаточно для того, чтобы начинать вести полноценную базу данных с синхронизацией между устройствами.

Появится зависимость от приложения и разработчика.

Появится риск утечки и компрометации учётных данных. Причём не только на стороне (и по вине) разработчика, но и на вашей стороне тоже — например, кто-то случайно получит физический доступ к вашему устройству и узнает то, чего не должен знать.

Снижение риска утечки подразумевает использование двухфакторной авторизации (2FA) по телефону или биометрическим данным. Если с биометрическими данными всё понятно (они ваши и вряд ли изменятся), то номер телефона создаст ещё одну зависимость от мобильного оператора.

Нужно будет привыкнуть к особенностям конкретного менеджера, предварительно протестировав несколько других. Если какой-то из них вам не подойдёт, вам придется переключаться на другой, вникая в его детали.

Нужно будет полностью отказаться от человекочитаемых паролей в пользу генератора. А иначе какой смысл закладывать в пароли человеческую семантику, если они будут храниться в облаке?

Поэтому лучше уменьшить количество email-адресов (если их много) до одного или двух и придумать универсальные пароли, соответствующие распространённым в сети парольным требованиям — обычно это длина не менее 8 символов, а также наличие хотя бы одной заглавной буквы, цифры и знака.

При этом, как было показано выше, в зависимости от сайта, можно менять некоторую часть пароля, чтобы компрометация одного не привела к компрометации других.

Когда учётных данных много

Если сервисов (или банковских карт и других секретных данных) становится гораздо больше 10 (вплоть до сотен) — помнить всё будет довольно проблематично. Тут на помощь приходят менеджеры паролей.

Именно на этом и только на этом этапе становится актуален сам «менеджмент» — собственно, отсюда и само название «менеджер паролей». Какой смысл «менеджерить» несколько учёток? Менеджмент нужен для чего-то большого и сложного, для ликвидации хаоса и повышения предсказуемости.

Тут уже есть варианты. Использовать локальный менеджер, портативный или с облачной синхронизацией — решать вам.

Важно лишь не забывать об основных предосторожностях. Не оставлять менеджер открытым (включить автоматическое блокирование), физически следить за устройством, удалять пароли из буфера обмена после копирования, не пренебрегать двухфакторной авторизацией.

В остальном — дело вкуса. В общем, если ваш парольный менеджер не пресловутый LastPass, то уже неплохо 🙂

НЛО прилетело и оставило здесь промокод для читателей нашего блога:
— 15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.

Безопасность личных данных: 10 лучших менеджеров паролей

Как часто вы задумывались над тем, сколько же всего у вас аккаунтов на различных ресурсах? Методы держать в памяти или хранить в секретном блокноте под замком в ящике рабочего стола уже давно устарели. Лучше всего записывать данные в специальные программы безопасности.

Сегодня избавляемся от привычки использовать один и тот же пароль на всех сайтах и выбираем себе помощника для хранения всего текстового, что нужно спрятать от посторонних глаз. Где же хранить пароли? Сейчас расскажем. ��

Что такое менеджер паролей?

Неосторожные пользователи выбирают себе пароли в духе «123456», «QWERTY» или «пароль», чтобы не запоминать что-то более сложное, но в итоге ставят под угрозу свои данные. Специально для этого и созданы менеджеры паролей.

Менеджер паролей — программа для хранения паролей и логинов от учётных записей и безопасной авторизации в интернете.

Проще говоря, это своеобразный сейф, внутри которого хранятся все ваши заветные комбинации (а ещё это отсутствие головной боли, связанной с выдумыванием кодов доступа для каждого сайта и их запоминанием).

Думаете, что вам такая вещь не нужна?

5 причин завести менеджер паролей

Чтобы понять, нужен ли вам такой менеджер, взгляните на список ниже и честно ответьте, узнаете ли в каком-либо пункте себя. Если узнаете хотя бы в одном, то вам стоит воспользоваться менеджером.

1. Вы не умеете создавать сложные пароли и запоминать их. Поэтому вам нужен помощник, способный сделать это за вас.
2. Вы уже несколько раз становились жертвами взлома после утечки данных и не успевали вовремя среагировать.
3. Вы теряете заметки, рабочие контакты и прочие данные, которые нужно хранить в надёжном и скрытом от лишних глаз месте.
4. Вы часто совершаете покупки в интернете и уже устали каждый раз вручную вводить информацию с банковских карт.
5. У вас большая база логинов, тянущаяся из кучи браузеров массу лет, и вы хотите перенести её в единое хранилище.

А это точно безопасно?

Да, за защиту данных переживать не стоит. В менеджерах используется мощное AES-шифрование с практически не поддающейся взлому длиной ключа в 256 бит. Такую базу данных можно разблокировать лишь с помощью правильного мастер-пароля. Поэтому пользователю нужно запомнить только один «мастер-пароль», открывающий сейф со всеми остальными кодами.

Обзор лучших менеджеров паролей

Рассмотрим лучшие менеджеры паролей. Все сервисы и приложения в этой подборке имеют положительный пользовательский рейтинг и разрабатываются компаниями, которые стоят на страже интернет-безопасности много лет.

1. KeePass

Один из первых бесплатных менеджеров с открытым кодом. Поклонники программы потрудились над совместимостью KeePass с практически всеми ОС и устройствами. Он совершенно бесплатный, но при этом обладает всеми характерными особенностями других менеджеров паролей для персонального использования. Из преимуществ менеджера:

• Лаконичный и понятный интерфейс.
• Поддержка Windows, Mac, iOS, Android, Linux.
• Автонабор и пароли приложений.
• Синхронизация базы данных.

2. 1Password

1Password — бренд, на который можно положиться. Этому менеджеру доверяют компании мирового уровня: в 2019 году компания Apple купила лицензию на этот менеджер паролей для каждого сотрудника. 1Password хорош по всем фронтам:

• Поддержка разных форматов данных для хранения.
• Мониторинг взломов или утечек.
• Система оповещений о наличии в вашей коллекции слабых паролей.
• Возможность пользоваться одной лицензией всей семьёй или группой друзей.

Стоимость: 379 рублей в месяц.

3. LastPass

Менеджер паролей для Windows и macOS, который регулярно попадает в подобные топы. В этом менеджере есть:

• Возможность быстро заполнять графы логина и пароля.
• Генератор паролей, создающий сложные к подбору коды по заранее заданным параметрам.
• Автоматическая система оповещения о взломах, помогающая защищать аккаунты пользователей.
• Возможность безопасно хранить платёжные данные и автоматически использовать их в ходе онлайн-шоппинга.

Стоимость: бесплатно в базовой версии, Premium-подписка — 379 рублей в месяц.

4. RememBear

Приложение, которым заведует медведь. Менеджер буквально весь переполнен игрой слов и с ног до головы пронизан медвежьей атмосферой.

• Интерфейс наглядный, красивый, понятный и при этом очаровательный за счет медведя-маскота.
• Внутри можно хранить только пароли, заметки и банковские карты.
• Всё, что хранится в приложении, защищается методом шифрования AES 256.
• Аудитом кода RememBear занимаются независимые программисты.
• Ну и где ещё вы встретите столько классных цифровых медведей?

Стоимость: бесплатно для одного устройства или 379 рублей в месяц.

5. Dashlane

Этот менеджер паролей несколько раз получал титул «Приложение дня» в App Store, ведь за период существования продукта не было ни одной утечки данных. Из преимуществ:

• Наличие двухфакторной аутентификации — поддержка таких популярных сервисов как Google Authentificator, Authy, FreeOTP.
• Сканирование даркнета — происходит полная проверка каждого аккаунта.
• Встроенная опция VPN.
• Возможность хранить другие данные: кредитные и дебетовые карты, мини-заметки, адреса и паспортные данные

Стоимость: 299 рублей в месяц.

6. Padloc

Разработчики Padloc регулярно приглашают независимых экспертов, чтобы те провели аудит и убедились, что их менеджер паролей безопасен. Но надёжность — не единственный плюс Padloc:

• В нём можно хранить до 50 единиц данных бесплатно.
• Есть удобные приложения для macOS, iOS, Windows, Linux, Android и даже Chrome OS.
• Есть генератор сложных паролей.
• Платные аккаунты делятся на Premium и Family, причем семейный обходится дешевле.

Стоимость: бесплатно в базовой версии, от 99 рублей в месяц за семейную подписку.

7. Firefox Lockwise

Ещё один менеджер паролей, тесно связанный с браузером, только на этот раз кроссплатформенный. Помимо интеграции с браузером Firefox и базового набора функций, в список преимуществ Lockwise можно отнести:

• 256-битное шифрование данных, защищающее пароли во время синхронизации с браузером Firefox, приложением Lockwise и серверами Mozilla.
• Защита паролей от посторонних глаз с помощью Face ID, Touch ID и аналогичных технологий в Android.
• Строгая политика конфиденциальности от компании Mozilla, которая активно выступает за безопасность в сети и ответственное хранение пользовательских данных.

8. NordPass

Если вы новичок в программах с управлением паролями, тогда рекомендуется начать именно с этого сервиса. Он сочетает в себе простой и адаптированный сервис с эффективными и важными функциями:

• Генерация кодов.
• Импорт уже созданных шифров.
• Двухфакторная идентификация.
• Шифрование на основе алгоритма XChaCha20 и протокола нулевого разглашения.

Стоимость: от 147 рублей в месяц.

9. Bitwarden

Менеджер паролей с открытым исходным кодом в этой подборке. Вся информация надёжно шифруется, чтобы никто не мог её перехватить. При желании можно использовать собственный сервер для хранения всех кодов и конфиденциальной информации. В функционале:

• Синхронизация с мобильными устройствами.
• Хранение данных в облаке.
• Оффлайн хранение информации данные оффлайн;
• двухфакторная проверка при входе в аккаунт;
• создание и хранение заметок, данных платёжных карт.

10. Kaspersky Password Manager

Менеджер паролей от русских разработчиков. Интегрируется с популярными браузерами, поддерживает мобильные операционные системы и позволяет хранить массу видов информации, включая заметки и кредитные карты.

• Генератор паролей.
• Различные категории для хранения данных («Заметки», «Приложения» и другие).
• Возможность отключить автосохранение и отметить сайты, для которых не будет использоваться автозаполнение.
• Алгоритм криптографического хеширования (SHA-256).

Стоимость: 900 рублей в год.

Расскажите в комментариях используете ли вы такие «сейфы» с паролями? А если нет — обязательно устанавливайте менеджеры паролей, защищайте свои данные в сети и относитесь серьёзнее к вашей личной информации.

ТОП-12 менеджеров паролей в 2023 году

Редактор портала Otzyvmarketing.ru. Работаю в сфере интернет-маркетинга с 2010 года.

Идеального пароля не существует – теоретически, любую комбинацию можно взломать перебором, не говоря уж о более продвинутых способах. Но зачем упрощать жизнь злоумышленникам, используя простые комбинации, типа «1234», «0000», «QWERTY», даты рождения? Или используя один и тот же пароль на нескольких сайтах?

Хороший пароль состоит из 10 и более случайных символов.

Например, «1!dY@lc)?dhw$7d» – взломать такой шифр вряд ли возможно. Но и запомнить его тоже не выйдет, особенно если таких паролей несколько. Для этого есть специальные сервисы – менеджеры паролей.

Telega.in — платформа нативных интеграций с блогерами в Telegram. Каждый канал в каталоге проверен вручную, а админы готовы к сотрудничеству — никаких долгих переговоров!

• Выбирайте лучшие каналы в открытом каталоге самостоятельно или с помощью менеджера.
• Планируйте кампании эффективно: интеграции гарантированно будут опубликованы в срок и в том виде, в котором их согласует заказчик.
• Экономьте время: отчёты по каждой кампании предоставляются в удобной таблице со всеми необходимыми данными.

Расскажем, что это такое, как выбрать лучший, а также представим 12 отличных сервисов.

Что это такое и для чего нужно

Менеджеры паролей – это сервисы для хранения паролей в зашифрованном виде. Они бывают 3 видов:

• Программа, которая устанавливается на устройство пользователя (десктоп-приложение для ПК или мобильное приложение для смартфона);
• Расширение для браузера;
• Веб-сервис.

Некоторые сервисы предлагают сразу все 3 решения.

Менеджер паролей работает очень просто – пользователь придумывает мастер-пароль, самостоятельно вводит или генерирует (в некоторых менеджерах есть функция генерации случайных комбинаций) пароли для разных сайтов и сервисов.

Мастер-пароль – единственный способ получить доступ к зашифрованным данным. Лучше записать его отдельно и сохранить в надежном месте.

При этом идет привязка «сайт/сервис – пароль». Наконец, все данные сохраняются в памяти менеджера.

Список паролей может храниться в облаке или локально на устройстве пользователя. Это зависит от конкретного сервиса.

Например, веб-сервисы хранят данные только в облаке (на серверах менеджера), а программы и приложения позволяют сохранить информацию на диске компьютера или в памяти телефона. Еще возможна синхронизация данных между разными устройствами.

Чтобы получить доступ к паролям, нужно ввести мастер-пароль. После этого можно выбрать нужный сайт и пароль для него, скопировать и вставить данные для авторизации. Некоторые менеджеры умеют автоматически заполнять поля – не придется ничего вставлять вручную.

Как выбрать менеджер паролей

Лучший менеджер для паролей – тот, который предлагает оптимальный баланс между стоимостью и возможностями. При выборе сервиса нужно обращать внимание на такие критерии:

1. Надежность сервиса

Пользователь доверяет конфиденциальную информацию стороннему сервису. Если у менеджера много клиентов, хорошие отзывы и положительная репутация – ему можно доверять.

Отдельное место занимают сервисы с открытым исходным кодом. С ним может ознакомиться каждый на GitHub, это исключает разные бэкдоры и уязвимости.

2. Уровень защиты

Пароли хранятся в зашифрованном виде – обычно это стандарт AES (Advanced Encryption Standard – симметричный алгоритм блочного шифрования, принятый за стандарт с 2002 г.). Но не менее важен уровень защиты самого менеджера. Например:

• Двухфакторная аутентификация. Недостаточно ввести мастер-пароль, нужно подтвердить вход по SMS, email или через Google Authenticator;
• Смена мастер-пароля. В некоторых сервисах он меняется через регулярные промежутки времени;
• Вход по биометрии (отпечаток пальца, сканирование глаз или лица);
• Физический ключ для входа (для аппаратных устройств).

3. Объем хранилища

Некоторые менеджеры ограничивают количество сайтов и паролей для них (обычно это делают, чтобы пользователь перешел на платную версию). Выбирайте тот сервис, в котором можно хранить все свои пароли.

4. Дополнительные функции

Перечислим самые востребованные:

• Генерация паролей. Программа генерирует случайную комбинацию цифр, букв и символов, которую можно сделать паролем. Иногда можно выбрать даже длину пароля;
• Автоматический ввод. Менеджер заполняет поля логина и пароля при входе на защищенный сайт или сервис (при этом нужно ввести мастер-пароль или пройти face-ID);
• Хранение файлов. В некоторых программах можно хранить не только пароли и привязанные к ним сайты, но и другие файлы – документы, таблицы и пр. Они будут зашифрованы;
• Экспорт/импорт данных. Полезен при смене сервиса для хранения паролей – можно выгрузить данные из одного приложения и перенести их в другое. Не придется все делать вручную.

5. Кроссплатформенность

Хороший менеджер паролей должен работать с разными устройствами и ОС. Это позволит быстро вводить пароли в любом месте.

Единственный нюанс – это подразумевает облачное хранение данных. Такой способ считается менее безопасным, чем локальное хранение паролей на устройстве. Поэтому здесь каждый сам выбирает между безопасностью и удобством.

Если говорить о корпоративных решениях, то тут есть дополнительные требования. Например, управление доступом, распределение прав и т.д.

Лучшие менеджеры паролей

1. KeePass

• Десктоп (Windows, MacOS, Linux, BSD);
• Мобайл (неофициальные порты для Android, iOS, KPD (Blackberry) и др.).

Менеджер паролей с открытым исходным кодом. Позволяет хранить все свои пароли в одной базе данных, защищенной мастер-ключом или файлом-ключом.

Файл-ключ – это специальный файл, записанный на физическом носителе (CD, флешка), который открывает доступ к базе.

База данных состоит только из одного файла. Ее можно быстро перенести с одного устройства на другое (поддерживается экспорт/импорт более 40 форматов – ТХТ, HTML, XML). Информация защищена с помощью самых безопасных алгоритмов – AES-256, ChaCha20 и Twofish.

Особенности:

• Автоматический ввод пароля;
• Генератор паролей.

Менеджер можно установить на устройство (ПК, смартфон) или сделать портативным. При инсталляции KeePass ничего не хранит в самой системе – программа не создает файлов инициализации, новых разделов реестра и т.д.

После удаления в системе не останется никаких следов. При портативном использовании менеджер работает через внешнее устройство – например, USB-накопитель.

KeePass полностью бесплатный.

2. LastPass

• Десктоп (Windows, MacOS и Linux);
• Мобайл (Android и iOS);
• Браузеры (Chrome, Firefox, Opera, Edge и Safari).

Менеджер паролей с возможностью индивидуального и семейного использования. Данные зашифрованы передовыми алгоритмами – AES-256 c PBKDF2 SHA-256.

При локальном хранении шифрование происходит на уровне устройства – никто, включая LastPass, не имеет доступа к информации. У сервиса более 33 млн пользователей.

Особенности:

• Вход без пароля. Вместо мастер-ключа можно использовать аутентификатор;
• Встроенный генератор паролей;
• Автоматическое заполнение;
• Безопасный обмен информацией через LastPass;
• Веб-мониторинг. Сервис отслеживает пользовательские данные (например, email) на наличие в базах данных даркнета. Если они были скомпрометированы, пользователь получит уведомление и сможет вовремя изменить пароль.

LastPass можно использовать бесплатно. Количество паролей не ограничено, но доступ предоставляется только на одном устройстве (ПК или смартфоне). Есть функции сохранения и автозаполнения паролей, генератор паролей и вход без мастер-пароля (по 2FA).

• Premium (2,9 евро/месяц) – все бесплатные функции + доступ на всех устройствах, 1 ГБ хранилища, панель безопасности, аварийный доступ и пр.
• Families (3,9 евро/месяц) – то же + 6 индивидуальный хранилищ, панель управления семейным доступом.

На платные тарифы есть 30-дневная пробная версия. Есть отдельная линейка тарифов для корпоративного использования.

3. Bitwarden

• Десктоп (Windows, MacOS, Linux);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Firefox, Opera, Edge, Brave, Vivaldi, DuckDuckGo, Tor и Safari).

Мультиязычный (интерфейс на 50+ языках) менеджер паролей. Защищает информацию с помощью сквозного шифрования с нулевым разглашением. Сервис регулярно проводит аудиты безопасности и соответствует современным стандартам (GDPR, SOC 2, HIPAA, Privacy Shield).

Особенности:

• Безопасный обмен паролями;
• Регулярные отчеты. Помогают выявлять слабые или повторно используемые пароли;
• Облачная синхронизация данных для разных устройств;
• Генератор паролей.

Bitwarden можно использовать бесплатно. Количество паролей и устройств не ограничено, доступны все основные функции (генератор паролей, двухэтапный вход, зашифрованный экспорт и пр.).

• Premium ($10/год) – все бесплатные функции + продвинутая 2FA, аварийный доступ, аутентификатор Bitwarden, отчеты безопасности;
• Families ($40/год) – 6 аккаунтов, неограниченный семейный доступ и коллекции.

Есть 7-дневная пробная версия и корпоративные тарифы.

4. 1Password

Сайт: https://1password.com/ru/

• Десктоп (Windows, MacOS, Linux);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Firefox, Edge, Brave и Safari).

Менеджер паролей, с помощью которого можно хранить и безопасно делиться данными для входа, банковскими картами, паролями и другой информацией. Для защиты применяется 256-битное AES-шифрование. Сервис используют более 100 тыс. компаний.

Особенности:

• Автосохранение и автозаполнение паролей;
• Двухфакторная аутентификация;
• Восстановление недавно удаленных паролей или их предыдущих версий;
• Генератор паролей и юзернеймов.

• 1Password ($2,99/месяц) – неограниченное количество паролей, 1 ГБ для хранения документов, стандартные функции;
• 1 Password Families ($4,99/месяц) – то же + дополнительные 5 слотов для членов семьи (пользователя можно пригласить за $1), управление семейным доступом, ограничение прав доступа и др.

Есть бесплатная 14-дневная пробная версия и корпоративные тарифы.

5. DashLane

Сайт: https://www.dashlane.com

• Десктоп (Windows, MacOS, Linux);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Firefox, Opera, Edge, Brave и Safari).

Безопасный менеджер. Применяет шифрование с нулевым разглашением (даже владельцы сервиса не знают паролей пользователей). DashLane используют более 20 тыс. компаний и 15 млн частных клиентов.

Особенности:

• Обмен паролями;
• Заполнение паролей и форм в один клик;
• Встроенный генератор паролей. Создает пароли на основе правил (количество и тип символов и др.);
• Шифрование файлов. Помогает защитить сканы документов;
• Веб-мониторинг. Отслеживает скомпрометированную информацию и сообщает об утечках в даркнете.

DashLane можно использовать бесплатно. Количество паролей не ограничено, но доступно только одно устройство, генератор паролей и безопасный обмен паролями.

• Advanced ($2,75/месяц) – все бесплатные функции + неограниченное количество устройств и веб-мониторинг;
• Premium ($3,33/месяц) – то же + VPN для защиты Wi-Fi;
• Friends & Family ($4,99/месяц) – то же + панель для друзей и семьи (можно добавить до 10 пользователей).

Есть отдельная линейка тарифов для бизнеса.

6. Enpass

Сайт: https://www.enpass.io

• Десктоп (Windows, MacOS, Linux);
• Мобайл (Android и iOS).

Менеджер для хранения паролей. Позволяет хранить конфиденциальные данные в автономном режиме и синхронизировать их между разными устройствами через iCloud, Google Drive, DropBox и другие облачные хранилища. Вместо облака можно использовать синхронизацию по Wi-Fi.

Особенности:

• Встроенный генератор паролей;
• Вход на сайт в один клик и автоматическое заполнение реквизитов;
• Аудит паролей. Проводит регулярную проверку работоспособности, отсеивает слабые, скомпрометированные и старые пароли;
• Импорт паролей из других хранилищ (Excel, CSV);
• Биометрическая аутентификация, файл-ключ.

• Individual Plan ($2,39/месяц) – неограниченное количество паролей, 2FA, предупреждения о взломе сайтов;
• Family Plan ($3,59/месяц) – то же + добавление 6 пользователей;
• One-Time Plan ($119,99) – персональная пожизненная лицензия с полным функционалом.

Еще есть корпоративные тарифы.

7. RoboForm

Сайт: https://www.roboform.com/ru

• Десктоп (Windows, MacOS);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Brave, Opera, Firefox, Edge).

Программа для сохранения и защиты паролей. Шифрует информацию по 256-битному AES-протоколу, а также поддерживает двухфакторную аутентификацию.

Особенности:

• Регистрация в один клик и автозаполнение форм;
• Генератор случайных паролей;
• Безопасный обмен логинами и паролями;
• Синхронизация паролей на всех устройствах и резервное копирование данных (для ПК есть функция локального хранения паролей без отправки на сервер);
• Организация данных в сервисе. Можно распределить все пароли по папкам;
• Импорт паролей из браузера, CSV и других сервисов.

RoboForm можно использовать бесплатно. Количество паролей не ограничено, есть генератор паролей, заполнение форм и аудит. Но доступно только одно устройство.

• Everywhere (100 рублей/месяц) – все бесплатные функции + доступ ко всем устройствам, резервное копирование аккаунта, безопасное распределение логинов;
• Для семьи (200 рублей/месяц) – то же + 5 учетных записей.

8. Sticky Password

Сайт: https://www.stickypassword.com

• Десктоп (Windows, MacOS);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Firefox, Safari, Edge, Opera.

Кроссплатформенный сервис для хранения паролей. Запоминает данные для входа на сайт и защищает их по стандарту AES-256. Поддерживается биометрическая аутентификация.

Особенности:

• Автоматическое заполнение онлайн-форм (логины, пароли, данные карт, адреса, телефон);
• Встроенный генератор паролей;
• Веб-мониторинг утечки данных в даркнет;
• Синхронизация данных в нескольких форматах – через бэкапы, облако и по Wi-Fi. Есть автономный режим работы.

Sticky Password можно использовать бесплатно, но только на одном устройстве (нет синхронизации, резервного копирования и пр.). В бесплатной версии можно сохранить бесконечное число паролей, автоматически заполнять формы, генерировать сложные пароли.

• Premium ($39,99/год или $99,99 навсегда) – все бесплатные функции + использование на всех устройствах, веб-мониторинг, синхронизация данных (через облако или Wi-Fi), резервное копирование, безопасный обмен паролями и аварийный доступ.

При покупке действует 30-дневная гарантия возврата.

9. SplashID

Сайт: https://www.splashid.com

• Десктоп (Windows, MacOS);
• Мобайл (Android, iOS);
• Браузеры (Chrome, Firefox, Edge).

Сервис позволяет безопасно хранить пароли и получать к ним доступ в любом месте. Все пароли зашифрованы по стандарту AES-256. Сервис используют более 1 млн клиентов.

Особенности:

• Безопасный обмен паролями;
• Резервное копирование данных. В системе хранится 5 последних бэкапов;
• Синхронизация данных через облако или Wi-Fi.

SplashID можно использовать бесплатно, но только на одном устройстве. На бесплатном тарифе нет синхронизации, резервного копирования и общего доступа к записям.

• Pro Monthly ($2,99/месяц);
• Pro Yearly ($29,99/год).

Оба платных тарифа открывают доступ к синхронизации, бэкапам, панели безопасности и обновлениям.

Еще есть аппаратная версия сервиса – Key Safe. Это USB-накопитель в форме ключа с 4 ГБ памяти и предустановленной версией программы для Windows и MacOS.

Более подробно об аппаратном хранении паролей можно посмотреть в видео:

10. LogMeOnce

Сайт: https://www.logmeonce.com

• Десктоп (Windows, MacOS, Linux);
• Мобайл (Android, iOS).

Функциональный менеджер паролей, с которым можно защитить свои данные от кражи. Сервис придерживается политики нулевого разглашения (никто не знает о том, какие данные хранятся в системе).

Особенности:

• Несколько вариантов входа – пароль, пин-код, отпечаток пальца, биометрия (Face ID), доступ по селфи;
• Встроенный генератор паролей;
• Автоматический вход;
• Система «Анти-вор». Позволяет удалить все данные, заблокировать телефон, сделать на него звонок на максимальной громкости, определить местонахождение по GPS.

LogMeOnce можно использовать бесплатно. Доступно неограниченное число паролей и устройств (+синхронизация), 1 МБ хранилища, генератор паролей и другие базовые функции. В бесплатной версии есть реклама.

• Professional ($2,5/месяц) – все бесплатные функции + 1 ГБ диска, аварийный доступ, многофакторная аутентификация, расширенные отчеты и аудит входа, трекер паролей и пр.;
• Ultimate ($3,25/месяц) – то же + 10 ГБ диска, анти-вор, запланированный вход и удаленный выход, настраиваемая информационная панель и другие премиум-функции;
• Family ($4,99/месяц) – то же + защита 6 аккаунтов.

Есть 7-дневная пробная версия и 30-дневная гарантия возврата средств.

11. PassHub

Сайт: https://passhub.net

• Мобайл (Android, iOS).

Сервис для хранения паролей имеет высокую степень защиты и работает на любой платформе (сервис в веб-версии).

Особенность – приложение-ключ для входа. Нужно отсканировать QR-код с помощью приложения WWPass Key, чтобы войти в хранилище.

PassHub можно использовать бесплатно. Есть ограничение на количество записей (до 200) и размер хранилища (100 МБ). Можно загружать файлы до 10 МБ.

• Premium ($4/месяц) – неограниченное число записей, 1 ГБ диска, хранение файлов до 50 МБ.

Есть отдельная линейка тарифов для бизнеса.

12. True Key

Сайт: https://www.truekey.com/ru

True Key – кроссплатформенный сервис хранения паролей от McAfee. Существенно упрощает интернет-серфинг: запоминает пароли, автоматически заполняет данные учеток в приложениях и веб-сайтах, генерирует новые надежные пароли.

Учетная запись True Key автоматически синхронизируется со всеми устройствами пользователя, включая ПК и мобильные гаджеты, поэтому вручную вводить пароли не придется ни на одном из них. Чтобы войти в учетку, нужно ввести главный пароль, далее приложение выполняет вход на сайты самостоятельно.

• десктоп под Windows и MacOS;
• мобильные устройства на Android и iOS;
• браузеры Chrome, Firefox и Edge.

Особенности:

• простой интерфейс;
• надежный алгоритм шифрования информации AES-256;
• единый главный пароль известен только пользователю;
• многофакторная аутентификация: распознавание лица, отпечатки пальцев, email-подтверждение, второе устройство, Windows Hello (функция только для браузера Microsoft Edge);
• безопасный сброс мастер-пароля с помощью многофакторной аутентификации для подтверждения личности юзера;
• работа техподдержки в режиме 24/7.

• free-версия True Key – полнофункциональная, поддерживает синхронизацию на всех устройствах и позволяет бесплатно хранить до 15 паролей;
• premium-версия – без лимитов на количество сохраняемых паролей – за $19,99 в год.

Вывод

У каждого из сервисов есть свои особенности: одни умеют генерировать сложные пароли и автоматически заполнять данные для входа, другие – открывать доступ к данным через биометрию, третьи – отслеживать утечку паролей в даркнете и т.д.

Как правило, чем больше функций, тем дороже использование. Поэтому при выборе сервиса определитесь, действительно ли вам нужны дополнительные функции. Иногда достаточно даже бесплатной версии.