- Сообщения
- 197
- Реакции
- 344
Все мы любим шифрование, но мало кому интересно разбираться в криптографии. И зря — иногда она походит на магию. Что, если я скажу, что существует менеджер, который работает оффлайн в любом браузере и вообще не хранит пароли?
Мы уже говорили о менеджерах паролей и давали рекомендации по ним тут (
Модель угроз
В обычном менеджере (Bitwarden, KeePass) безопасность держится на зашифрованном файле. В Bitwarden он в облаке, в KeePass — на твоём устройстве, но в обоих случаях он должен храниться безопасно. Если его украдут, у хакера будет шанс забрутфорсить его, особенно с не очень надёжным паролем.
LessPass
Менеджер паролей LessPass работает иначе. Вместо того чтобы хранить пароли, он их вычисляет. Для этого используется сложная криптографическая функция, но если упростить, то она выглядит так:
Ты вводишь в LessPass:
И на выходе получается R\f*I5P#. Выглядит как случайный набор символов, но этот пароль был высчитан по формуле с твоими вводными. Если ты введешь те же данные на другом компьютере, без интернета и без базы данных — результат будет тем же самым.
LessPass позволяет выбирать длину пароля, какие группы символов в нём будут, и специальное значение счётчика (counter). Другое число в счётчике = другой пароль. Его можно использовать как поле для ввода PIN-кода или банально для генерации нового пароля.
Плюсы
Первый очевидный плюс — LessPass работает в браузере, но полностью оффлайн. Ты даже можешь отключить Интернет, зайдя на сайт. На сайт можно вообще не заходить, а пользоваться мобильным приложением или расширением браузера, но имей в виду — они палят сам факт использования LessPass.
Другое преимущество — правдоподобное отрицание. Если у тебя нет базы паролей или аккаунта, у тебя нечего изъять. Ты можешь даже придумать duress-пароль, который на досмотре откроет доступ к твоим чистым фейк-аккаунтам. Никаких криптоконтейнеров, экстренного удаления, облачного бэкапа и специального софта — только пароль в твоей голове.
Нюансы
Конечно, есть и обратная сторона. Во-первых, немного больше запоминания. Если не забывать свои никнеймы — посильная задача, то с доменами сложнее: я сохранил proton.me или proton.me/? Или всё же
В настройках можно заставить LessPass удалять поддомены (auth.proton.me > proton.me) или оставлять только домен второго уровня, но сделать это нужно сразу, чтобы не перепутать логины с этой настройкой и без неё.
Ещё один нюанс — KeePass и Bitwarden хранят каждый логин как запись в базе данных. К нему можно цеплять альтернативные домены, заметки, OTP, хранить кучу всего. LessPass позволяет только получить пароль, так что записать в него сид-фразу или номер карты не получится.
Что в итоге
LessPass очень просто пользоваться, но непросто понять (если у тебя получилось — я горжусь тобой). Он может даже показаться ненадёжным, но на деле не уступает аналогам в безопасности. Если тебе нужен максимальный уровень скрытности и ничего лишнего — это твой выбор.
Мы уже говорили о менеджерах паролей и давали рекомендации по ним тут (
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
). Но давайте честно: переезд с браузерного автозаполнения на KeePass — задача неприятная. Нужно экспортировать базу, настроить синхронизацию, не забыть про бэкапы. LessPass, о котором сегодня и пойдёт речь, предлагает альтернативу.Модель угроз
В обычном менеджере (Bitwarden, KeePass) безопасность держится на зашифрованном файле. В Bitwarden он в облаке, в KeePass — на твоём устройстве, но в обоих случаях он должен храниться безопасно. Если его украдут, у хакера будет шанс забрутфорсить его, особенно с не очень надёжным паролем.
LessPass
Менеджер паролей LessPass работает иначе. Вместо того чтобы хранить пароли, он их вычисляет. Для этого используется сложная криптографическая функция, но если упростить, то она выглядит так:
Ты вводишь в LessPass:
- Логин: vasya
- Сайт: proton.me
- Мастер-пароль: MySecret228
- Длина: 8
И на выходе получается R\f*I5P#. Выглядит как случайный набор символов, но этот пароль был высчитан по формуле с твоими вводными. Если ты введешь те же данные на другом компьютере, без интернета и без базы данных — результат будет тем же самым.
LessPass позволяет выбирать длину пароля, какие группы символов в нём будут, и специальное значение счётчика (counter). Другое число в счётчике = другой пароль. Его можно использовать как поле для ввода PIN-кода или банально для генерации нового пароля.
Плюсы
Первый очевидный плюс — LessPass работает в браузере, но полностью оффлайн. Ты даже можешь отключить Интернет, зайдя на сайт. На сайт можно вообще не заходить, а пользоваться мобильным приложением или расширением браузера, но имей в виду — они палят сам факт использования LessPass.
Другое преимущество — правдоподобное отрицание. Если у тебя нет базы паролей или аккаунта, у тебя нечего изъять. Ты можешь даже придумать duress-пароль, который на досмотре откроет доступ к твоим чистым фейк-аккаунтам. Никаких криптоконтейнеров, экстренного удаления, облачного бэкапа и специального софта — только пароль в твоей голове.
Нюансы
Конечно, есть и обратная сторона. Во-первых, немного больше запоминания. Если не забывать свои никнеймы — посильная задача, то с доменами сложнее: я сохранил proton.me или proton.me/? Или всё же
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
В настройках можно заставить LessPass удалять поддомены (auth.proton.me > proton.me) или оставлять только домен второго уровня, но сделать это нужно сразу, чтобы не перепутать логины с этой настройкой и без неё.
Ещё один нюанс — KeePass и Bitwarden хранят каждый логин как запись в базе данных. К нему можно цеплять альтернативные домены, заметки, OTP, хранить кучу всего. LessPass позволяет только получить пароль, так что записать в него сид-фразу или номер карты не получится.
Что в итоге
LessPass очень просто пользоваться, но непросто понять (если у тебя получилось — я горжусь тобой). Он может даже показаться ненадёжным, но на деле не уступает аналогам в безопасности. Если тебе нужен максимальный уровень скрытности и ничего лишнего — это твой выбор.
