Бесплатные программы хранения паролей Какой-никакой, а обзор

[bslman]

В данном обзоре я рассмотрю две программы: Password Commander и KeePass. На стороне первого - проверенность временем и мощная функциональность, на стороне второго - Open Source и, следовательно, непоколебимая надёжность. Я не рассматриваю здесь платные аналоги программ, например, известную и мощную AI RoboForm, именно из-за их статуса Shareware. В обзор не попадают и менее известные приложения - раз они не популярны, значит не так хороши. Обзор делается обычным пользователем, а не профессором вся и всё, вникающим во все мельчайшие детали и использующим дизассемблер, чтобы узнать обо всех возможностях той или иной программы И описываются они только со стороны использования, поскольку надёжность хранения паролей и их шифрования в базе, а также защиты от перехвата не поддаются сомнению. Для конечного пользователя знать подробности всех этих сложных процессов не обязательно - главное знать, что всё работает. Так вот я Вам это и говорю - работает

Обе программы достаточно похожи друг на друга в плане функциональности (хранение и шифрование паролей, установка мастер-пароля на базу, автозаполнение, наличие генератора и анализатора паролей), поэтому только выделю основные их отличия.

Password Commander (далее PC)
Текущая версия: 2.9.4 от 12 августа 2009
Сайт программы: http://www.pascom.ru/
Недавно многим пользователям этой программы (среди которых и я) казалось, что сей замечательный продукт умер, ведь обновлений на официальном сайте не было с далёкого 2007 года. Но не так давно программа обновилась до версии 2.9.4, в которой улучшена совместимость с Internet Explorer, Mozilla Firefox, и Google Chrome. В предыдущих версиях наблюдались некоторые проблемы с Windows Vista, когда не отображаются значения полей программы (чтобы решить эту проблему, нужно отключить визуальное оформление на вкладке совместимость в свойствах программы, которые можно посмотреть, щёлкнув на её значок правой кнопкой мышки). Неизвестно, устранены ли они в новой версии. Продукт бесплатен для граждан бывшего СССР, правда через некоторое время начнёт выдавать табличку о бесплатной регистрации. Я проходил эту регистрацию три раза, но ответа так и не получил В конце-концов нашёл в Интернете VIP-ключ, а то табличка за много месяцев уже достала. При этом обязуюсь сделать donate, как только разбогатею. Большой такой DONATE :evil:

KeePass (далее KP)
Текущая версия: 2.09 от 12 сентября
Сайт программы: http://keepass.info/
Программа имеет статус OpenSourse, вследствие чего бесплатна для всех желающих. Имеется кроссплатформенный порт KeePassX, работающий под Linux и Max OS X, а также версии для Blackberry и Java2ME.

Использование
Как я уже упомянул, программы эти очень похожи по своему функциональному наполнению. PC - этот продукт "всё в одном", что является одним из его плюсов. Есть плавающее окошко - очень удобная панель быстрого доступа к программе, которой нет в стандартной поставке KeePass. Есть русский язык, с которым в KeePass не всегда всё очень хорошо. Виртуальной клавиатуры в KP я тоже не обнаружил. Есть поддержка скинов - это, конечно, не такая важная функция для программы хранения паролей, но временами хочется изменений, а KP по сравнению с PC имеет вообще удручающий вид. Анализатор стойкости сделан удобнее, потому что он сразу проверяет все пароли в базе, и лёгким взглядом можно определить, какие из них недостаточно надёжны:

в KeePass стойкость пароля можно увидеть только в окне его настройки/изменения

Настройки PC более обширны, а, лично для меня, это плюс - люблю, когда можно "подогнать" их под себя. Это как с автомобилем - чем больше в нём настроек водительского места, тем приятнее в нём ездить.


PC поддерживает плагины двух типов (шифрование и плавающие панели), некоторые из которых (все нужные), в отличие от KP, уже идут в поставке. Зато у KP их НУ ОЧЕНЬ много (40 плагинов в 8 группах). PC поддерживает функцию резервного копирования - владельцем KP придётся делать это вручную (если не установить плагин). Из особенностей PC - достаточно удобный "Режим ярлыков", когда для сайта создаётся специальный ярлык, запуская который PC автоматом зайдёт на прописанный сайт, введёт необходимые данные и войдёт на сайт. Это - особенность, наличие которой я не понимаю - ведь можно добавить в запись URL и запускать с тем же успехом - именно поэтому никогда ей и не пользовался. А ещё в PC особо любимый и часто используемый пароль можно добавить в закладки, чтобы иметь к нему быстрый доступ без нарушения логического хранения паролей в базе:

В записи можно добавить даже команды на открытие файлов и папок или другие разные интересные штуки, которые можно реализовать через командную строку. Да, кстати, PC работает через командную строку.

 

[bslman]

Преимущества KP - возможность открыть несколько баз паролей одновременно, что очень удобно. Есть быстрый поиск паролей и эта функция реализована гораздо лучше стандартного поиска PC.

У KP есть "Ремонт базы паролей", но это, скорее, просто оптимизация, чем действительно возможность восстановить "убитую" BAD-сектором базу.

А ещё он позволяет открывать базы паролей через URL-адрес, хранящихся, например, на каком-нибудь FTP-сервере. Это такая эксклюзивная фишка

Среди самых больших минусов KeePass хочу особо выделить то, что для нормальной работы программы необходим .NET Framework версии 2.0 или выше. Т.е. от Portable возможности этой программы не много пользы - не на каждом компьютере установлена эта библиотека. Если Вы зайдёте в какое-нибудь Интернет-кафе со срочным делом, а там эта проблема застанет Вас, то это будет не очень хорошо. Я иногда езжу к брату и использую на его компьютере PC, если же я буду использовать KeePass, то мне придётся брать с собой Framework и долго устанавливать. А мой брат любит часто переустанавливать систему, поэтому делать мне это придётся не один раз. Неудобно... А вот портативная версия Password Commander'a меня ещё пока не подводила.

Также среди минусов - экспорт базы паролей возможен только целиком и, в отличие от Password Commander, нет такой удобной функции, как экспорт только выделенных групп и паролей. Русский язык интерфейса можно скачать с оф.сайта, но, например, моя версия (2.06beta) перевода имеет в себе недочёты - в интерфейсе присутствуют непереведённые элементы.

Итог: Password Commander удобнее Kee Pass в использовании

Немного о плагинах: наличие плагинов можно рассматривать двояко. С одной стороны это возможность расширить функциональность программы "под себя" и добавить недостающих возможностей. С другой - плагины нужно искать самому (верно для KP), они бывают несовместимы с текущей версией программы (как несовместим плагин KPFloatingPanel-2.07c с моей версией KeePass) или могут конфликтовать с другими плагинами (такого ни в одной из этих программ не встречал, но возможность существует). К тому же новые дыры в плагинах, которые пишутся не обязательно автором программы, могут снижать безопасность программы. Хотя к Open Sourсe-проектам это относится в меньшей мере, чем к проектам с закрытым исходным кодом (Password Commander). Пользователи FireFox поймут меня

Хранение паролей
Надёжность обеспечивается шифрованием, способ которого можете выбрать самостоятельно. База защищается мастер-паролем - у PC он поддерживает биометрическую аутентификацию, а у KP - несколько источников пароля.


Именно в том, как реализовано хранение паролей и есть главное отличие этих двух программ. У обоих программ различные значения хранятся в полях записи - пароль в поле "пароль", имя в поле "имя" и т.д. Но у PC все пароли хранятся в группах с одинаковыми полями для всех паролей в группе. Т.е. добавив новое поле "Секретный вопрос" это поле появится у всех остальных записей в данной группе. Предположим, что я бы хотел хранить данные от PayPal, WebMoney и кредитной карты в группе "финансы", но у каждой из записей поля различны: у PayPal два секретных вопроса и ответа, у WebMoney - WMID, ключи от программы и файла кошельков, у кредитной карты срок действия, номер. Т.е. происходит переизбыток полей. Это, конечно, не смертельно, но всё же неудобно. Да ладно эта мелочь, которая раздражает, наверное, только меня. В PC банально нельзя изменить порядок записей в группе - они там как намертво прикрученные. Ни сортировок, ни ручного перемещения - ничего! Да и особо выделить какую-либо запись не представляется возможным. Представьте, как гордо KeePass смотрит в глаза Password Commander'у, говоря ему: "Ну и что, что у тебя есть поддержка скинов и плавающее окошко. У тебя красивая оболочка и пустота внутри. Зато у меня душа наполнена живыми красками и пёстрыми значками. Тебе меня не понять!" В KP есть то, чего мне ТАК НЕ ХВАТАЛО. Можно выделить запись цветом, назначить ей любой значок, добавить в любую запись любые необходимые поля и отсортировать как душа пожелает. Это не только красиво - это ещё и очень информативно: найти пароль, например, от молотка не составит труда, если у него будет значок этого аукциона и он будет выделен жёлтым цветом. Это не то, что искать серую запись в куче других серых записей в PC. И ты точно будешь знать, что его запись вторая в группе "Аукционы", а не 7 по странному стечению обстоятельств в отсутствие всякой логики.

А ещё к записям можно прикрепить файлы (только вот не понял, зачем) и ещё там ведётся история их использования.

Когда в первый раз увидел всё цветастое разнообразие KeePass, мне очень сильно захотелось перейти на него с Password Commander'a. Сравните:


Потом я вспомнил все те неудобства, которые KP мне подарит, и представил, сколько времени займёт перенос всех паролей из одной программы в другую. В обеих программах есть импорт-экспорт, но нужно разбираться с настройками, чем я сейчас и занимаюсь.

Итак, МОЙ вердикт:
PC - удобно использовать, не очень удобно хранить пароли
KP - удобно хранить пароли, не очень удобно использовать
И осталась старушка у разбитого корыта... :evil: Остаётся ждать, когда разработчики объединятся и выпустят нечто под названием Password Pass (ну или Kee Commander)...

Послесловие или "В чём разница между бесплатными и платными продуктами?" или "Немного в тему, немного не в тему"
Если я использую бесплатное программное обеспечение и что-нибудь случится (жёсткий диск полетит, виндовс зависнет, курсовая не сохранится и т.д.), то винить я могу и должен только себя. А вот если я пользуюсь платной программой, за которую заплатил немалые, предположим, 30 баксов, а она взяла и не выполнила свои обязанности (антивирус какой например так сделал, и всё - дело моей жизни исчезло, погрызанное злым-презлым вирусом) или, ещё хуже, привела к страшным последствиям, то кого мне винить? Разработчиков программы? Могу! Скажу им: "Ай-яй-яй, какие Вы нехорошие!" - а они мне "Мы ответственности ни за что не несём!" Т.е. повар печёт пироги, по причине склероза вместо соли добавляет в тесто мышьяк, а ответственности ни за что не несёт. Должен ли я платить за известный бренд, каждодневно треплющиеся нервы в виде обновлений и критических ошибок, а также новые версии старых продуктов, новые лицензии за новые версии старых продуктов и АБСОЛЮТНО никакие гарантии?

 

[bslman]

Я писал всё это, когда ещё был молодой и слишком самоуверенно нагло какой-то такой) Читаю, аж самому противно)))

Иконки решил выложить, вдруг кому пригодится, а не грузится чего-то) Всё-равно там их мало. А если нужно иконку от какого-нибудь сайта, в адресной строке браузера надо набрать сайт/favicon.ico и сохранить. Правда на некоторых у меня не получается почему-то...

Я сам долго мучался искал, как это сделать, когда понадобилось. Мож кому время сэкономил)

 

[captainshock]

Понимаю про бесплатность- наверно, это правильно. Но если кто-то создал прогу, то кто-то может ее и сломать. Я думаю, что хранитель паролей (твоих денег и нервов) не должен быть программным! Он должен быть аппаратным- реальным сейфом, и я нашёл такое в нете. Стоит дорого, но оно того стоит, n-Tegriny pro с биометрическим сканером отпечатков пальца. Обязательно куплю с получки, и естественно поделюсь впечатлениями. (ссылки создавать пока не умею)

 

[bslman]

Тут где-то есть большаааая тема обсуждения этих программ.. потом надо поискать будет.

А на счёт всяких штучек, я видео одно смотрел, там блин все эти биометрические сканеры взламывали при помощи простейших средств, например, на сканер можно просто дыхнуть и старый отпечаток проявится или там один чувак каким-то гелем на пальцы набрызгал, потом плёночку снял, приложил и вуаля. А с которыми на глаза, так просто фотку брали владельца и её подставляли... для тех, которые покруче дырочку ещё проделывали.. так что))

 

[Lazarus]

Посмотрел я сегодня этот хваленый KeePass и удивился. Такие специальные дыры в программе оставлены, а все её хвалят

Любой студент, я уж не говорю про программера, может:

1. Легко встроить в трой модуль, который сам пощелкает по кнопкам KeePass (когда пользователь уже разлочил базу и отвлекся) и сделает экспорт базы в открытый текстовый файл и отправит его злоумышленнику. Эта технология использовалась 10 лет назад при краже денег с WebMoney кипера! Потом они встроили в WebMoney капчу для подтверждения.

2. Пути к базе и ключевому файлу хранятся ОТКРЫТО в файле настроек:
C:\Users\Username\AppData\Roaming\KeePass\KeePass.config.xml
Т.е. можно сразу выяснить где лежит база и ключевой файл и умыкнуть их.
Так же легко в этом файле менять все настройки (и о громкое слово - политики) программы.

Эти дыры закрываются как два байта переслать, и если их не закрыли за столько лет, значит так кому-то нужно.

Еще косяк - невозможность использования ключевых файлов большого объема (более 200 Мб), что делает возможным незаметную легкую утечку (при современных скоростях инета) по сети базы вместе в ключевым файлом. Т.е. смысла в этом файле особого нет, если его можно скачать.

KeePass ставить очень опасно, ведь само наличие этой программы на компе задает вектор атаки.
Тут даже банальный текстовый файл (неизвестно как названный и неизвестно где лежащий среди миллионов файлов на компе) с паролями и то привлекательней будет. А если уж использовать тот же LibreOffice, то можно там файлы шифровать тем же шифром, что и KeePass.

Добавлено спустя 8 мин. 24 сек.
Нда, в программе оказывается есть настройка "не запоминать пути" и "отключить экспорт". Но настройку можно незаметно поменять в незашифрованном файле настроек