Удобный менеджер паролей TeddyID

15.06.2016

Удобный менеджер паролей TeddyID

Одна из самых больших проблем с безопасностью данных пользователей связана с паролями, которые пользователи выбирают при регистрации на сервисах.

Как известно, подавляющее большинство пользователей по поводу паролей сильно не напрягаются и совершенно искренне считают, что какой-нибудь "123456" - это весьма устойчивый пароль, который ни один злоумышленник подобрать не может.

А потом начинается: почтовый ящик взломали, игровой аккаунт взломали, банковский аккаунт взломали, форумский аккаунт взломали, фейсбучный аккаунт взломали, вконтактиковый аккаунт взломали, лишь только одноклассниковый аккаунт не взломали, потому что - да кому он вообще нужен...

Конечно, владельцы различных сервисов изо всех сил пытаются заставлять пользователей задавать более или менее устойчивые пароли. Более того, когда владельцы сервисов поняли, что взывать к разуму пользователей совершенно бесполезно ввиду или отсутствия разума или присутствия полнейшей беспечности в этом вопросе, они стали принудительно вводить различные ограничения при задании пароля: минимум столько-то символов (как правило, 6-8, не меньше), обязательно буквы в различных регистрах, обязательно присутствие каких-то цифр и так далее.

Вы думаете, пользователей это сломило? Да ни черта! Они просто стали вводить в качестве пароля "Password123456" - и все.

Так что с этим делать, как тем же пользователям снискать безопасность насущную, когда они не в состоянии запомнить более одного-двух устойчивых паролей? Ведь разрешать браузерам запоминать ваши пароли - совсем не вариант по многим причинам. Во-первых, это сильно небезопасно. Во-вторых, на разных платформах вы используете разные браузеры. В-третьих, далеко не все пользователи знают, как можно сохранить запомненные в браузере пароли, чтобы они остались при перестановке системы.

Поэтому наиболее разумный выход в данной ситуации - использовать специальные менеджеры паролей. Идея там простая: менеджер паролей сам может придумывать за вас устойчивые пароли, он сам будет их запоминать и хранить как локально, так и в "облаке", а от вас требуется только запомнить один-единственный устойчивый пароль к этому менеджеру.

Таких менеджеров существует немало, но наиболее известные из них - бесплатный Lastpass и платный Roboform.

Lastpass лично мне показался не слишком удобным, а кроме того, его на моей памяти как минимум два раза ломали и данные пользователей были скомпроментированы.

Roboform заметно более удобный и, судя по всему, значительно лучше защищен, потому что взлому еще ни разу не подвергался. (Тьфу-тьфу-тьфу.)

Однако технологии не стоят на месте, и сейчас появляются новые менеджеры паролей, использующие более продвинутые, но вместе с тем более удобные методы защиты паролей и идентификации пользователей.

Один из таких новых менеджеров называется TeddyID. Он использует оригинальный метод: беспарольный (при этом защищенный) вход на сайте с использованием смартфона и компьютера.

Метод интересный, поэтому давайте посмотрим, как это все работает. (Сразу предупреждаю, что плагин для браузера после 30 дней тестового периода требует оплаты, но она составляет всего $0,99 за пожизненную лицензию.)


Главная страница TeddyID

Как подключиться

Подключение к сервису происходит быстро и просто. Там есть два этапа. Первый - установка расширения для браузера (при переходе по ссылке TeddyID должен автоматически определить, какой у вас браузер, и предложит соответствующее расширение).

Второй - на свой смартфон нужно установить приложение TeddyID. Тут поддерживаются все основные платформы (Android, iOS, Windows Phone, Blackberry, Java), а кроме того, вы можете просто вбить номер телефона, чтобы на него получить ссылку для загрузки приложения.

Далее вам нужно зайти на сайт сервиса www.teddyid.com, щелкнуть по ссылке "Войти" - и вам откроется окно с QR-кодом, который нужно будет отсканировать в приложении на смартфоне.

Вот такое окно появляется в телефонном приложении.

На указанный при регистрации e-mail TeddyID отправит вам пароль, с помощью которого можно будет войти в вашу учетную запись на сайте, в случае если вы по каким-то причинам не сможете считать QR-код.

После того как вы вошли в вашу учетную запись на сайте, системой можно начинать пользоваться.

Как работает система

Вот так выглядит ваш личный кабинет. Список запомненных паролей к сайтам пока пуст.

Но нет необходимости его заполнять вручную. Вы просто в браузере открываете нужный вам сайт - например, Mail.ru - и там вводите логин и пароль.

При этом TeddyID предложит вам сохранить этот пароль.

Сохранили. Теперь выйдем из личного кабинета (в данном случае - из почты) и попробуем снова войти. Если поставить курсор в строку логина, то под ним появится строчка, предлагающая ввести ваши данные с помощью TeddyID. Щелкаем по этой строчке мышью - появляется вот такое окошко.

Нажимаем "Войти". На экране компьютера появляется вот такое окно.

И на экране телефона аналогичное окно. Если картинки совпадают (дополнительное средство защиты), то спокойно нажимаете "Да", после чего TeddyID самостоятельно введет на сайте ваши логин и пароль. Вот и все.

Как видите, все очень просто. Один раз запомнили логин-пароль в менеджере, после этого их не надо вспоминать, они будут вводиться с помощью приложения. Ну и теперь вам остается постепенно добавить в TeddyID логины-пароли от других сайтов. (Для новых сайтов очень рекомендуется использовать встроенный в TeddyID генератор паролей, чтобы он был устойчивым.)

Двойная аутентификация (с помощью компьютера и телефона) делается только в том случае, если вы не залогинены в том же браузере в вашем личном кабинете TeddyID. Если залогинены, тогда дополнительное подтверждение с помощью телефона не запрашивается.

Как поступать в случае, если для одного сервиса у вас есть несколько логинов (такое, например, нередко бывает в почте)? Никаких проблем, просто введите другие логин и пароль, сохраните их в TeddyID - после этого при входе система вам будет предлагать разные логины на выбор.

Кстати, если вам надо придумать хороший устойчивый пароль для какой-то новой регистрации, то нет проблем: TeddyID сгенерирует вам пароль любой желаемой сложности. 

Что делать, если по каким-то причинам смартфон не может выйти в Интернет, а вы понадеялись на TeddyID и теперь не помните свои логины-пароли? В этой ситуации вам нужно залогиниться на сайте TeddyID - и тогда система будет вводить ваши логины-пароли без подтверждения на телефоне.

Залогиниться на сайте можно с помощью пароля, который вам прислали при регистрации. Если вы его не помните, то можно зайти в приложение с помощью телефона, причем даже если он отключен от Интернета. Когда приложение на телефоне видит, что у телефона нет доступа к Интернету, каждые несколько секунд оно генерирует шестизнаковый числовой пароль: вы его можете ввести на сайте TeddyID для вашей учетной записи - и попадете в личный кабинет.

Личный кабинет

Личный кабинет на сайте сервиса содержит следующее меню.

Пункт Я - данные о вас. Здесь можно поменять e-mail, на который зарегистрирован аккаунт, также здесь можно ввести список электронных адресов доверенных лиц (или других ваших ящиков), которые будут использоваться для восстановления доступа в ваш аккаунт в том случае, если вы потеряли контроль над вашим основным ящиком.

Мой телефон - зарегистрированный в системе телефон, который вы можете отвязать от своего аккаунта, в случае если телефона вы по каким-то причинам лишились. (Впрочем, даже если злоумышленник завладеет вашим телефоном, то без вашего компьютера с браузером он ничего сделать не сможет.)

Мои браузеры - список подключенных к системе браузеров с плагинами.

Смена пароля - поменять пароль для доступа к вашему личному кабинету. Кстати, это крайне желательно сделать сразу же, потому что первый пароль для доступа система присылает в открытом виде. Ну и, понятное дело, этот пароль должен быть длинным и устойчивым, так как он крайне важен!

Разделы Компания и Узлы относятся к корпоративным пользователям: TeddyID можно использовать для компаний, работающих с облачными сервисами: при этом данные учетных записей сохраняются с помощью двухфакторной авторизации (браузер-телефон), а сотрудникам можно будет не запоминать свои логины-пароли.

Мои сайты - список сайтов, для которых сохранены логины-пароли.

Для каждого сохраненного сайта доступны вот такие настройки.

"Показать пароль" - просто так пароль не показывается (мало ли кто сел за ваш компьютер, где вы не разлогинились в личном кабинете), для этого он потребует подтверждения через телефон.

"Автоматически нажимать кнопку "войти" после заполнения логина и пароля" - это нужно отключать для сервисов, где кроме логина-пароля еще и требуют ввести значение капчи.

"Запрашивать подтверждение на телефоне даже при открытом личном кабинете TeddyID" - это желательно включать для сервисов с крайне конфиденциальной информацией, в качество дополнительной защиты.

Ну, вот, пожалуй, и все по работе с системой. Быстро, просто и удобно.

Безопасность

А теперь поговорим о том, насколько это все безопасно, потому что главное в подобных системах - то, как они организуют защиту данных пользователей, ведь эти данные хранятся на серверах сервиса.

Так вот, в этой системе незашифрованные пароли не хранятся НИГДЕ. Более того, даже зашифрованные пароли целиком не хранятся на сервере системы. Ваши логины-пароли одновременно шифруются (используются алгоритмы шифрования AES-256 и RSA-2048) и делятся на две части: шифротекст и ключ шифрования. Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере. При запросе логина-пароля TeddyID требует подтверждения (залогиниванием в вашем личном кабинете сервиса или через телефон), и только после этого логин и пароль соединяются, расшифровываются и вводятся на соответствующем сайте.

Таким образом, ваши пароли целиком никогда не посылаются на серверы TeddyID (отправляется только часть в зашифрованном виде), а процесс шифрования/расшифровывания происходит только на вашем компьютере и вашем телефоне.

(Для продвинутых пользователей есть подробное описание технических сторон менеджера паролей TeddyID.)

Восстановление своих данных

Что происходит в случае, если пользователь разом лишается доступа и к браузеру, и к телефону? Сохранятся ли в этом случае его данные?

Да, сохранятся - в его личном кабинете. В личный кабинет вы входите по логину-паролю. В разделе "Мои сайты" - все ваши логины-паролы.

В личном кабинете отвязываете старый телефон (подтверждение нужно будет сделать с помощью письма, пришедшего на e-mail) и привязываете новый телефон с помощью QR-кода.

И все, дальше можете продолжать пользоваться данным сервисом.

Оплата

Как я сразу написал в начале обзора - сервис не совсем бесплатный: сначала дается 30 дней на тестирование, после чего за плагин к адаптеру требуется заплатить $0,99 за пожизненную лицензию, которая привязывается к конкретной учетной записи и браузеру. При переустановке браузера лицензия сохранится, однако если вы захотите воспользоваться другим видом браузера - лицензия на адаптер для него также будет стоить $0,99. 

Наблюдения при работе и выводы

Интересный сервис, мне понравился. Для пользователей, которые не хотят забивать себе голову паролями, но при этом понимают, что нужно использовать устойчивые длинные пароли, и хотят иметь удобный и безопасный способ их хранения и автоматического ввода - на мой взгляд, самое то, что надо.

В процессе тестирования у меня возникали некоторые мелкие косячки и неудобства (не мешающие, впрочем, нормальному функционированию системы), но сервис еще "молодой", активно развивается и дорабатывается, так что я надеюсь, что они это в процессе поправят.

Чего тут, на мой взгляд, не хватает? Ну разве что возможности для пользователя сделать локальную защищенную копию всех своих сохраненных логинов-паролей: на случай, если вдруг, не дай бог, эти данные пропадут на сервере. В том же Roboform так и сделано: данные хранятся на сервере сервиса и на компьютере пользователя. И эти данные синхронизируются, причем пользователь всегда может выбрать направление синхронизации: с компьютера на сервер или с сервера на компьютер, в обе стороны.

Комментарии 35
Технологии не стоят на месте и еще через каких-нибудь лет пятьдесят мы получим софт, который умеет делать все тоже самое, только для не-веб учеток, коих у среднестатистического юзера обычно чуть более, чем дохрена.
01.08.16 10:42
0
Оплатить расширение для Chrome/ Yandex Browser из Казахстана не получится. Авторы программы в курсе, но сделать ничего не могут...
19.06.16 05:17
0
sourceforge.net/p/keepass/discussion/329220/thread/8b1d33f7/



в общем, я так понял, под keepass есть только два плагина для мультифактора, один поддерживает только усб-ключ yubikey, другой (обсуждается в вышестоящем линке), в том числе, гугл-аутентификатор (и кучу других генераторов одноразовых паролей). но! в случае использования одной базы на нескольких устройствах, необходимо между ними синхронизировать счетчик использованных паролей. я нередко одновременно использую линукс на компе и ноут с виндой, с включенным браузером в обеих системах, синхронизировать их не получится. усб-ключ, при использовании другого плагина, вроде, таких ограничений не имеет, но не перетыкать же его туда-сюда. ну и денег стоит, бэкап ключа возможен, но его нельзя хранить открыто/расшифровывать на том же устройстве, где хранится база (которую хотелось бы иметь на всех устройствах). ну и с десктопными программами, я так понял, тоже ничего не получится. условия для андроида тоже не выполняются.



получается, что единственное кросс-платформенное решение - ластпасс премиум, в линуксе - только с браузером (и похоже, что мультифактора необходим сезам, доступный только под дебиан/убунту, переходить на которые не хочу. искал "lastpass [sesame,multifactor] arch linux" - ничего кроме того поста с вопросом на форуме не нашел. думаю, если бы можно было поставить через alien - кто-то бы об этом написал). я думал в прошлом о полной миграции на винду (возможно, с виртуалкой с линуксом для самых секьюрити-критичных вещей) после того как соберу новый комп, но в последнее время, что со старой 7 на компе (которая, правда, не смогла поставить сп1, после чего я ее не переставлял, чего явно стоило сделать), что с 8.1/10 с последними обновлениями на ноутах, наловил столько глюков, что перехотелось. хотя хочется, наконец, поиграть опять в несколько виндовых игр/использовать музыкальный софт на более мощном компе, и не хочется перезагружать комп постоянно.



но, даже с поддержкой всех желаемых функций под виндой, выяснил, что мультифактор отключается по линку на сохраненное мыло. т.е. (тут уровень паранойи зашкаливает), по-хорошему нельзя хранить мыло с этого ящика на компе, где набирается мастер пароль или набирать на одном компе мастер-пароль, чтобы залогиниться в ластпасс и потом логин и пароль мыла, чтобы через него отменить мультифактор. разве что тыкать в другое место и вводить лишние символы.



в общем, одного идеального решения не существует и возможно, что придется поискать несколько разных менеджеров и переносить между ними пароли, когда будет нужно, вручную. или забить на все ;)
16.06.16 03:44
0
А почему вы не пишете на визитках PIN?

Знаете, это все очень просто решается. Причем ни в малейшем ущербе для безопасности. Статистически - однохренественно. Просто запомните четыре цифры. Для романтики - пусть это будет как-то связано с вашей первой любовью. Отнимимте (или прибавьте) от вашего пина. Все. Пишите результат на карте. Если у вас проблема с мозгом, то всегда восстановите.
16.06.16 02:11
0
Тоже рекомендую Keepass2, всё что нужно - есть.
16.06.16 00:59
0
А как мне этим счастьем воспользоваться, если я смотрю сайты с мобильного устройства - того же телефона?
15.06.16 19:15
0
kunis: А как мне этим счастьем воспользоваться, если я смотрю сайты с мобильного устройства - того же телефона?

Установить букмарклет www.teddyid.com/#bookmarklet и активировать его перед логином. Кстати букмарклет бесплатен в отличие от расширения.
16.06.16 18:22
0
Я правильно понял, что с телефоном (под "явой" :) его использовать нельзя?Жаль. Мог бы быть удачным решением...
15.06.16 19:03
0
ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...

Можно, есть приложение и для явы, но на смартфоне действительно приятней использовать.
16.06.16 18:17
0
metotron: А менеджер паролей от Касперского чем плох?

Все яйца в одной корзинке?

ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...

У Ластпасс есть Ява апплет. Я им на Нокии пользовался сто лет тому назад, правда он сам заполнять формы не мог, надо было вручную копировать/вставлять, но хоть что-то.
16.06.16 00:28
0
А менеджер паролей от Касперского чем плох?
15.06.16 18:42
0
ptero: а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)

Ничего не было скомпрометировано. Были попытки взлома, завершились ничем. Никто ничего не смог украсть, потому что у ластпасса физически нету ваших паролей и никогда не было.

У них только хеши, но кого это волнует - ПОПЫТКИ ВЗЛОМА ведь были :)



По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?



А по поводу других менеджеров, для меня менеджер который не умеет сам заполнять поля в браузере - не существует. А они не все умеют. Большинство не умеет, так что выбор не особо-то и большой. Даже среди платных.
15.06.16 16:52
0
perepelkin:

По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?


ну, после того как нашел малварь, полученную, когда я еще регулярно обновлял систему, не ставил ничего, не существующего в официальных репозиториях и не давал винде доступа к партиции (позже уже что-то сломал в настройках и система не грузилась, двд-привод уже не работал, грузиться с флэшки материнка не умеет - пришлось поставить, чтобы поправить конфиги из винды), доверия линуксу поуменьшилось. да и в последнее время часто читал про все новую малварь для линукса, большинство из них поражает веб-сервера, но и для десктопа тоже кое-что появляется, в т.ч. кейлоггеры. я при каждом запуске ввожу мастер-пароль громоптица, с которым легко расшифровать пароли ко всем используемым с ним мэйл-аккаунтам. и пока не вышел пиджин 3, приходится хранить все пароли в открытом виде в текстовом файле (из них важны аська с красивым номером и фейсбук, фейсбук, вроде, хотя бы при смене пароля требует код, присылаемый по смс, но когда менял привязанный номер, не помню, требовалось ли сначала подтвердить код со старого. но в любом случае, не хотелось бы и, чтобы кто-то получал доступ к аккаунту, переписка - хрен с ней, но в некоторых, не особо критических, местах я использую логин через фейсбук. а аська, вроде, не защищается никак), хотелось бы получить возможность их авто-ввода при каждом запуске через менеджер паролей.

копия профилей пиджина и громоптица существует и под виндой, которой доверия было изначально меньше. а недавно попробовал десятку на старом ноуте, сначала апгрейд с семерки, потом переписал сериальник и поставил с нуля (последний на то время дистрибутив с сайта мс). установил только тотал коммандер, авиру и файрфокс, потом не пользовался пару месяцев. когда запустил снова, авира обновила базы и нашла троянца в роуминг-папке.
15.06.16 17:55
0
повторю свой вопрос из этой темы (там больше подробностей, не стал все копировать):
www.exler.ru/blog/item/19165/50/

---

посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.

---

перепелкин мне там посоветовал ластпасс, но после подробного курения сайта ластпасса и информации по нему на вики-разделе арча обнаружил, что под винду и адроид, вроде, все устраивает, но под линукс нету поддержки десктопных программ (только плагины для браузеров) и конкретно под арчем доступны не все функции, вроде двухфакторной аутентификации. и техподдержка, судя по этому посту (forums.lastpass.com/viewtopic.php?f=12&t=175825) от платного юзера на их форуме, за 11 месяцев не получившего ответа, очень хреновая. а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)



вроде, единственная кросс-платформенная альтернатива, доступная под арчем - keepass, но там сразу несколько разных вариантов и так и не понял, можно ли хоть к одному из них прикрутить двухфакторную аутентификацию и поддерживает ли он авто-ввод (не копирование в буфер) паролей.



надо бы спросить и на форуме арча, но в последние дни все время боролся с разными глюками, вызванными железом, и руки до этого не доходили. обнаружил дикие глюки у сата-контроллера материнки, из-за которых большАя часть данных, записанных в последнии три недели на разные винты, была порушена (старые данных с этих винтов вчера читались нормально, но смарт сообщает о гигантских количествах ошибок чтения. думаю теперь, что не было никакого криптолокера, а просто, в момент сканирования винтов крэшпланом, данные считались неправильно). так что, пока не заменил материнку, ничего нового ставить не буду и стараюсь вообще использовать комп по минимуму.
15.06.16 16:43
0
ptero:

Для keepass не существует 2х факторной аутентификации, так как это не сервис, а локальная программа с хранением паролей в локальном зашифрованном хранилище. Это хранилище, может быть синхронизировано как файл или через API от разных облаков на разные компы. Для него есть плагины/адд-оны для браузеров, которые поддерживают автозаполнение (keepass.info/plugins.html смотреть Integration & Transfer). Правда я этим не пользуюсь, ничего особенного сказать не могу.
15.06.16 18:38
0
Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере.

Т.е. в случае потери доступа к компьютеру (украли, умер) - терям всю базу паролей?
15.06.16 16:46
0
Опять доверять конфиденциальную информацию хрен знает кому? На мой взгляд, это не сильно лучше пароля 123456. Я предпочитаю хранить пароли в KeePass2, а чтобы иметь доступ к паролям отовсюду - его зашифрованную базу, защищенную паролем, хранить в облаке, защищенном другим паролем. Так хотя бы какая-то видимость защищенности появляется. А то как этот медвежонок там пароли с логинами хранит - это никто не знает. А KeePass2 опенсорсный, с ним всё ясно и вполне надёжно.
Александр Амелькин: Опять доверять конфиденциальную информацию хрен знает кому?

Не только хрен знает кому, но и хрен знает кому хрен знает откуда. Сервис с поддержкой только английского и русского языков, но без поддержки, например испанского, как гораздо более распространенного.

С возможностью поделиться "радостью" с друзьями в "Одноклассниках" но не в "фейсбуке" или "твитторе"?

Я даже не спрашиваю в какой стране сервера находятся. Незачем. И так все понятно. Спасибо, хорошего вам настроения и здоровья, но я лучше здесь подержусь.
Непонятен момент с паролями не от веба.

Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
15.06.16 11:25
0
Rifkat:
Непонятен момент с паролями не от веба.

Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.


Teddy поддерживает пароли только от веба, потому что только их сможет автоматически заполнить. Я сам продолжаю использовать свой старый менеджер пароле (типа keepass) для паролей от не-веба.
16.06.16 18:06
0
Rifkat:
Непонятен момент с паролями не от веба.

Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.


такая же фигня, :) в робоформе предусмотрены базы контактов (типа как в оутлуке) и различного рода заметки, храни любую инфу...
15.06.16 13:44
0
Связка ключей от Apple + двухфактораня авторизация избавляет от лишних телодвижений с различными сервисами. Правда придется купить ненавистный-жуткодорогой-сложный для пониминия-чего там еще Apple
15.06.16 09:56
0
admiles: Связка ключей от Apple + двухфактораня авторизация избавляет от лишних телодвижений с различными сервисами. Правда придется купить ненавистный-жуткодорогой-сложный для пониминия-чего там еще Apple

Ну кто-то бухает, кто-то садится на иглу, кто-то на Apple :-)
15.06.16 09:59
0
а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей
15.06.16 09:51
0
power2000:
а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей


Как отдельной функции в настоящее время нет, но можно постепенно переносить пароли по мере использования - робоформ подставил пароль, тедди сохранил.
16.06.16 17:59
0
power2000: сть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей

Присоединяюсь к вопросу.
И ещё я не понял - если у меня хром на телефоне-планшете, он к нему привязывается и там тоже пароли не нужно вводить будет?
А то в ластпассе это платная функция, причём по подпискек,а не разово, поэтому он идёт лесом.
15.06.16 10:07
0
я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство, его можно забыть, отжать и просто взять на пару минут. Конечно, если ты параноик и у тебя телефон зашифрован и каждый раз требует ввести длинный пароль, то наверно, хотя и тут есть проблемы. Но главная проблема в том, что таким телефоном очень неудобно пользоваться :) При количестве анлоков телефона 100+ в день я не готов вводить даже 4х значный пин :)

Еще один недостаток "облачных" решений, то что в самый нужный момент сервис недоступен и все. Ты без всех своих паролей вообще, без возможности сделать хоть что-то.

А по-поводу менеджеров, самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде. Если хочется автоматически вводить пароли в браузере, а не копи-пастить, то к нему есть аддоны для FF/Chrome...
15.06.16 09:44
0
StasTs: я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство, его можно забыть, отжать и просто взять на пару минут.

+++

В случае паролей на СМС, еще можно добавить выдачу дубликатов симок по поддельным документам в салонах связи (о чем и Алекс писал).

Авторизация через телефон - зло, широко используется только в силу дешевизны и универсальности метода. Т.к. не нужно иметь спец устройство (типа юсб-ключа или независимого герератора разовых паролей). Но серьезной защитой не является.



StasTs: А по-поводу менеджеров, самый простой KeePass2

+++

Никаких проблем с перходом на новое устройство или с платформы на платформу (клиенты есть практически под все). Недостаток - нужно самостоятельно заботится о хранении/переносе/синхронизации базы, поэтому для неподготовленного пользователя подходит слабо.
16.06.16 09:48
0
StasTs: я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство

+100



StasTs: самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде

+150!
15.06.16 15:10
0
Интересно, но привязка к сторонним сервисам хоть и не лишена определенных плюсов, но кажется излишней. Если забыть об универсальности и мультибраузерности, от себя пользователям хрома и оперы могу порекомендовать PasswordMaker Pro - опенсорсное расширение, работающее следующим образом: вами придумывается один мастер-пароль, который может быть сохранен в настройках расширения (или не сохранен, если паранойя =)), после этого оно исходя из мастер-пароля для каждого домена генерит уникальный сложный пароль. Метод не без недостатоков - иногда на конкретном сайте требования к паролю не совпадают со сгенеренным (например сайт требует использовать в пароле _только_ буквы и цифры), и сменить пароль для сайта становится затруднительно, так как расширение генерит пароль по строго определенному алгоритму и из пары мастер-пароль+домен всегда получится только один пароль. Но лично для меня эти недостатки несущественны, так как подобные ситуации являются скорее исключениями. Зато не приходится ни платить кому бы то ни было, ни доверять свои пароли сервису, который сегодня есть, а завтра его или похачили, или он просто взял и исчез. Но тут уж, как говорится, каждый сам выбирает.
15.06.16 09:42
0
Qiwichupa: из пары мастер-пароль+домен всегда получится только один пароль

Это плохая идея. Хотя бы потому, что многие сервисы (особенно связанные с деньгами) требуют периодической смены пароля
15.06.16 10:32
0