@leonius https://addons.mozilla.org/ru/firefox/addon/art-password/

@Revertron , хорошая тема!

Однако какой-то такой менеджер паролей я уже видел.
Вот вроде по такой же идее работает:
https://masterpassword.app/

@leonius Там что-то очень тяжёлое и непонятное.

У меня проще:
1. Набрал на сайте логин в поле логина.
2. Встал в поле пароля, нажал F8.
3. В попапе генератора набрал мастер-пароль, нажал Enter.
4. Пароль сгенерирован и вставлен в поле пароля - жмём кнопку логина на сайте и заходим.

@Revertron , у такого подхода, как я понимаю, одна большая проблема - нельзя изменить только какой-то выбранный пароль, не изменив при этом все остальные.

@leonius Если какой-то стрёмный банк или другой сайт требует изменить пароль, просто прибавляем к мастер-паролю число изменений.

Получается что-то типа: МойСложныйПароль1

Тогда для этого сайта сгенерится совершенно другой пароль.

А запомнить, что в условном Альфа-Банке ты менял пароль 2 раза не составляет труда. На других сайтах мне менять пароли никогда за последние лет 10 не доводилось.

@Revertron , я периодически (как чуток параноик, видимо) меняю пароли на всех основных ресурсах.
Юзаю КиПасс, подход с генерацией паролей мне все же не подойдет, элементарно запутаюсь)

@leonius А зачем ты их меняешь? Все продвинутые компании уже поняли, что регулярная смена паролей несёт только одни сложности.
Если компрометации не было, то нет смысла их менять.

@Revertron @leonius хэш берешь исключительно от мастер пароля или какой-то второй фактор есть?

@savely Там хэш от (master + domain + salt). Соль задаётся в настройках, и не набирается в обычных условиях. Так что кейлоггеры идут нафиг :)

@leonius

@Revertron @leonius ага, вот как раз про соль хотел спросить. Получается нужно при первой настройке указать соль?

@savely Ага, как и длину паролей.
@leonius

@Revertron @leonius неплохо. А я на self-hosted Bitwarden остановился. Слишком много там приятных фишек, с которыми сложно расставаться :)

@savely @Revertron , тоже думаю над переходом на Bitwarden .
В чем там прелесть относительно кипасса?

@leonius @Revertron я, честно говоря, давно не смотрел на каком там этапе развития KeePass, но я кайфую с решения в целом.

1. Облачная синхронизация.
2. Биометрия на всех платформах, включая Linux.
3. Отличное автозаполнение.
4. Поддержка TOTP-автозаполнения (я знаю, что это понижает безопасность, но меня устраивает этот tradeoff).
5. Есть куча вариантов второго фактора, включа FIDO2-ключи.
6. Есть опциональный бек на Rust, развиваемый энтузиастами.

@savely Насколько это вижу я, это всё не лучше моего генератора.

@leonius

@Revertron @leonius я просто не скрываю, люблю иногда всякие комбайны :) Bitwarden хороший комбайн, где есть куча вкусных свистоперделок.

@savely Ха-ха-ха :)
Ну просто эти свистоперделки не нужны когда пароли не нужно синкать и где-то хранить.
@leonius

@Revertron @leonius ну и точки зрения безопасности твой генератор имеет некоторые недостатки by design.

1. С такой моделью работы сложно поддерживать регулярное обновление паролей (а утечки у сайтов случаеются постоянно, включая утечки plaintext-паролей).
2. Требуется постоянно вводить мастер-пароль, который рано или поздно можно случайно где-то "обронить".
3. Отсутствует возможность прикрутить безопасный второй фактор, который требует личного присутствия или привязки ко времени.

@Revertron @leonius ещё дополню: в случае компроментации пароля его смена по большому счету невозможна, нужно будет менять пароль везде, на всех возможных ресурсах.

Разумеется речь о ситуации, когда пароль скопроментирован, но о хранилище злоумышленику ещё неизвестно. Возможность менять пароль у условного KeePass, когда база уже давно слита смысла не имеет, конечно.

@savely Не убедил :)
1. Постоянное обновление паролей не нужно. Если пароль будет слит, то он будет почти сразу задействован злоумышленниками. Я не думаю, что кто-то из сервисов, которыми я пользуюсь, хранит пароли плейн-текстом, так что пока его будут брутить из хэша я узнаю об утечке из новостей... И прекращу пользоваться этим сервисом, нафига? :)

2. Обронить такой пароль не представляется возможным. Как вообще это сделать? По телефону диктовать жене свой мастер-пароль? Бред какой-то.

3. Ну а второй фактор на телефоне в andOTP.

@leonius

@Revertron @leonius

1. Сильное заявление, но ладно, спорить не буду.

2. Под "обронить" я имею в виду всё что угодно. Банально подглядел кто-то или случайно ввёл там, где не следовало.

3. О каком втором факторе речь? Я имел в виду второй фактор для "разблокировки" менеджера пароля. К stateless менеджеру вроде твоего, этот подход не применим.

@Revertron @leonius я не говорю, что stateless менеджеры -- говно. Это разные решения со своими плюсами и минусами.

Мне не хочется брать телефон в руки и вводить руками OTP-коды из приложения. Я хочу чтобы они автозаполнялись на лету менеджером паролей.

Ещё я не хочу постоянно водить свой мастер-пароль, потому что он банально длинный. Я хочу просто приложить пальчик или показать личико.

При этом я хочу чтобы первый вход в хранилище был завязан исключительно на использовании аппаратного ключа.

@savely Ну понятно, удобство вместо безопасности :)))

@leonius

@Revertron @leonius для меня это приемлимый уровень рисков. Сначала злоумышленник пусть найдет мой инстанс, найдет там 0day, каким-то образом расчехлит мои пароли и т.д.

@Revertron @leonius а, и насчёт plaintext-паролей. Зачастую в таких утечках виноваты не разработчики, которые у себя на беке вполне себе хранят хэшики, а обосравшиеся девопсы, которые решили пологгать приходящий request-body и положить всё это добро условный ElasticSearch.

@savely А мне без разницы, кто там в сервисе обосрался. Если пароли утекли, значит что-то там через жопу. Такими сервисами я потом не пользуюсь.
@leonius

@savely Хм, интересно, а что же там такого полезного?
@leonius