ИБ-специалисты давно говорят о том, что одной из лучших практик защиты от взлома является банальная «парольная гигиена». То есть для каждого сервиса нужно иметь уникальный пароль, желательно максимально сложный. Увы, запомнить такое количество паролей среднестатистический человек вряд ли сумеет, и для этой цели были придуманы менеджеры паролей, которые избавляют от данной проблемы. Использование такого приложения позволяет запоминать лишь единый мастер-пароль, а менеджер самостоятельно позаботится о безопасном хранении десятков паролей, которые пользователь применяет в вебе.

Чаще всего специалисты рекомендуют использовать для этих целей менеджер паролей 1Password, который считается наиболее надежным. Одним из основных плюсов приложения является тот факт, что 1Password позволяет хранить все пароли в локальном хранилище (vault), то есть они никогда не покидают компьютер или мобильное устройство. Таким образом, даже если злоумышленники скомпрометируют разработчиков 1Password, пароли пользователей все равно останутся в безопасности.

В минувшие выходные стало известно, что разработчики 1Password планируют некоторые изменения, которые пришлись не по душе ИБ-сообществу. Как оказалось, компания планирует отказаться от текущей схемы работы: пользователь однократно покупает лицензию и хранит свои пароли в локальном хранилище. Теперь у 1Password планирует использовать опцию подписки ($2,99 в месяц для одного пользователя и $4,99 в месяц за аккаунт для пяти человек), а пароли всем будет предложено хранить в облаке.

Разумеется, облака существенно облегчают работу с приложением для простых пользователей. Так, доступ к аккаунту и паролям можно будет получить с любого устройства, просто залогинившись на 1Password.com. Также это поможет восстановить информацию с утерянного или сломавшегося устройства. Подобную бизнес-модель давно применяют многие конкуренты 1Password, к примеру, LastPass.

Тем не менее, ИБ-специалисты уже называют разработчиков 1Password предателями, которые превращают отличный инструмент в еще один сервис по подписке, который вынуждает пользователей доверять свои пароли сторонним лицам и сервисам. Хотя создатели 1Password уверяют, что 1Password.com – это отличный вариант для 99,9% пользователей, профессионалы отмечают, что наиболее преданная и активная часть аудитории приложения, ИБ-специалисты, остаются «за бортом».

Казалось бы, никто не говорит об отказе от локальных хранилищ полностью, по крайне мере прямо сейчас. Но инженер 1Password, Коннор Хикс (Connor Hicks) уже рассказал журналистам, что новый 1Password для Windows не имеет опции работы с лицензией и работает только с облаками по подписке. Хикс уверят, что пользователи, которых не устраивает такое положение вещей, могут связаться с компанией, и специалисты «помогут им разобраться, действительно ли лицензия – это оптимальный вариант в их случае».

11 комментарий

  1. Ilya Rusanen

    11.07.2017 at 22:39

    Мне очень понравилась оригинальная цитата чуваков из AgileBits:

    Using the cloud-based alternative is much easier for regular people. You can check your passwords from any computer by logging into your account on 1Password.com.

    Ага, кто в своем уме будет лезть в шифрованный волт, и вводить пароль от него на каком-то левом компьютере? Да и вообще, 99.9% мне не нужно доступаться к шифрованным данным с чужого компьютера.

    and your passwords can still be retrieved if you lose your device.

    Так они и так могли быть получены *facepalm*. Из окон веков даже сам 1P предлагал хранить волты или в Dropbox, или в iCloud.

    This is the same model most password managers (such as LastPass) use.

    LastPass, который уже стал синонимом слова «решето».

    Ни один из аргументов не выдерживает никакой критики. Единственная реальная причина — это желание получать 3$/месяц с пользователя регулярно.

    Если оставят возможность пользоваться 1P без облака, вопросов нет, пускай даже с платными обновами. Если standalone-версия тупо перестанет поддерживаться, имхо, это будет конец 1P.

  2. agaruppa

    11.07.2017 at 23:22

    Во первых нафиг эти ребята не уперлись. Safeincloud делает все тоже самое. Хоть локально хоть в облако(своё, типа Дропбоксов разных)

    • Ilya Rusanen

      11.07.2017 at 23:30

      Вы об этом приложении?

      Если да, то уточните, плиз, пару моментов (если в курсе):

      • А кто разработчик? Не могу найти ничего о них, кроме указанного на сайте Андрея Щербакова;
      • Проходил ли он security audit? 1P проходил, как минимум, 4 раза.

      • agaruppa

        11.07.2017 at 23:37

        Не могу ничего сказать по этому поводу. Разработчика вы нашли сами. Кроме того, я пользуюсь маком и все пароли на вебсайты в кейчан. Safe in cloud использую для хранения документов в основном. Во всяком случае файл в этой программе шифруется на устройстве, хранится в вами указанном месте, предусмотрена синхронизация как прямая между устройствами так и через ваше облако. Программа очень интересная, посмотрите и пощупайте. Потом всем и расскажете. А 1password просто ракрученная хрень. Не интересно….

  3. istepan

    12.07.2017 at 04:38

    Использую KeePassX + ЯндексДыск илиьчто-то типа тогово. И ни каких подписок не надо.

  4. Zctym

    12.07.2017 at 09:39

    плюс хранения локально в том, что если телефон успешно проёбан, то можно вытащить все пароли или как?

    • agaruppa

      12.07.2017 at 12:20

      Локально в любом случае храниться файл с паролями. Зависит от шифрования. С андроида файл вытащить легко, а вот расшифровать труднее. Зависит от пароля и надежности метода шифрования.

  5. divided

    13.07.2017 at 11:26

    Я использую их подписку: удобная штука. Для авторизации надо знать не только пароль, но и специальный ключ, который выглядит как guid. Уже год как там, мне нравится. Вот Дропбоксу доверять как-то не хочется, после того, как туда вошла эта чувиха из администрации клинтонов. А с iCloud какие-то вечные глюки.

    • john_

      14.07.2017 at 11:08

      Проблема не в доверии и способе авторизации, а в возможных негайленых дырах. Хранить пароли в непонятном облаке? Нет, спасибо. KeePass в TrueCrypt 7.1a наше все.

  6. vasyakrg

    19.07.2017 at 12:47

    буквально на днях тестировал их облачное решение. из плюсов — наконец можно собрать базу и на мак и на винде (дропбокс исключаю, пользуюсь маком и iCloud). из минусов — контейнер теперь у них на сервере, что меня конечно не устраивает.
    заходить с чужого компа, что бы посмотреть какой то пароль — это бред: кейлогеры никто не отменял. на счет оплаты разом или помесячно — тут принципиально разницы нет, вторая модель даже более привлекательна. НО — база на чужом сервере — это плохо.

Оставить мнение