LastPass vs 1Password

14 January 2012 #security#services

Несколько лет назад я задумался о вопросе безопасности при работе в сети Интернет (в то время я был зарегистрирован всего в нескольких сервисах и при этом везде использовал один пароль). Задумался о том, как же можно запомнить все те пароли, что можно сгенерировать? Да, встречались специальные мнемонические приемы, но где гарантия того, что в один прекрасный день я не забуду, какую именно связку я использовал для формирования данного пароля?

KeePass

И тут мне попалась на глаза великолепная программа KeePass. В тот момент она была еще в версии 1.x, но ее функционал меня устраивал. Она позволяла генерировать сложные пароли, при этом можно было производить сбор энтропии для генерации случайного пароля. А вот функцией автозаполнения я так ни разу и не воспользовался. Ни тогда, ни в тот момент, когда уже стал использовать в работе более новую версию 2.x.

Таким образом, в одночасье, мне удалось решить проблему с сохранением разнообразия паролей для различных веб-серсисов. И то неудобство, что мне приходилось терпеть, а именно активация программы, поиск пароля, копирование данных в веб-форму, меня не сильно расстраивало.

Когда же я перешел на использование Linux, никаких проблем с моей базой паролей не возникло. Существует проект KeePassX, это вариация Keepass для операционных систем Linux и MacOS. Немного изменилась программа, функционал стал чуть хуже, но база осталась той же.

Да, и еще, я перестал держать KeePass запущенным в фоне. Вместо того, чтобы держать ее запущенной и заблокированной в трее, я просто завершал ее работу, и при необходимости запускал. На времени работы это никак не сказалось, а вот работать стало чуть удобнее.

LastPass

Позже я познакомился с веб-сервисом LastPass. Сервис меня заинтересовал тем, что использовал в своей работе расширение для браузера, которое значительно упрощало работу с сайтами.

lastpass

Технология LastPass заключается в том, что на сервере хранится только криптоконтейнер с базой паролей, который передается на компьютер пользователя, где уже и производиться его дешифрация.

Так как пароль, с помощью которого производиться кодирование базы, на сервере нигде не хранится, то в случае его потери вся база оказывается потерянной. И ни один из специалистов LastPass нам уже не сможет помочь. Для кодирования базы используется технология 256-bit AES, которая до сих пор считается крайне надежной, и взломать ее не представляется возможным.

Кроме того, расширение LastPass позволяет контролировать адреса сайтов, на которых производиться ввод данных, тем самым защищая нас от фишинговых атак.

Но самое большое преимущество, которое я ощутил, используя lastPass, заключается в том, что база паролей оказывается всегда под рукой, достаточно только иметь доступ в Интернет. А для того, чтобы не скомпроментировать свой пароль в общественном месте, достаточно использовать одноразовые пароли, которые генерируются в соответствующем разделе сервиса.

1Password

Когда же я перешел на использование Mac, то задумался о том, остаться ли на LastPass или попробовать что-то другое? Тем более, что я уже не раз слышал о программе 1Password.

1password

Особенностью программы является то, что фактически это симбиоз KeePass и LastPass. То есть база паролей хранится локально на компьютере пользователя, но при этом есть возможность использования расширений для различных браузеров, что существенно упрощает работу с данной программой.

Мне повезло, и я попал под акцию, в которой мне удалось приобрести 1Password за половину стоимости. Процесс переноса базы паролей из LastPass оказался прост, достаточно было только провести экспорт паролей в текстовый файл и затем скормит его 1Password с указанием порядка полей, которые используются в этом файле.

После того, как завершил импорт записей и уже начал работать с программой, обнаружил дополнительное ее преимущество. Помимо паролей и защищенных блокнотов, которые можно было создавать и в LastPass, в запись можно добавлять файлы, к примеру добавить лицензионные ключи программы или же добавить свои ssh-ключи.

Как и с LastPass, в 1Password есть возможность работать на различных устройствах. Правда в данном случае придется использовать либо бесплатные клиенты, которые предназначены только для чтения, либо покупать дополнительные клиенты под те системы, что интересуют. Таким образом кроссплатформенность достигается за счет довольно больших денежных расходов.

В последней версии 1Password есть возможность выбора – хранить базу на компьютере или в папке Dropbox. В случае хранения на компьютере, база располагается в специальной папке, доступ к которой находится под жестким контролем программы. Если же в качестве хранения выбирается Dropbox, то база располагается непосредственно в корневой папке Dropbox, доступная для других устройств пользователя.

Выбор

KeePass до сих пор остается непревзойденным продуктом среди бесплатных предложений. Но в то же время он не настолько удобен, как LastPass или 1Password, так как у него нет глубокой интеграции с браузерами.

LastPass, в отличие от KeePass помимо бесплатной версии имеет и годовую подписку, которая позволяет использовать сервис на мобильных телефонах и добавляет некоторые уникальные возможности, типа работы в офлайн-режиме на некоторых системах. В то же время, основное преимущество LastPass в виде доступности системы везде, где есть сеть Интернет, часто становится и ее недостатком. В случае наличия проблем с провайдером и временного отсутствия доступа к глобальной сети, нет возможности работать со своими данными.

1Password, очень удобный и безопасный продукт. Продукт, который вобрал в себя все лучшее от KeePass и LastPass. Но в то же время стоит довольно дорого, $50 за одну копию программы – это, на мой взгляд, существенно. А если покупать версии для разных систем, то стоимость вырастает в соответствующее число раз. Правда версия под Android распространяется бесплатно, но дает возможность только чтения базы.

Что же выбрать? На сегодняшний момент, на мой взгляд, стоит рассматривать только два варианта – это LastPass и 1Password. При сопоставлении получаем более приемлемым LastPass, в виду его кроссплатформенности и бесплатности. А недостатками в виде невозможности хранить на сервисе файлы и недоступности сервиса при отсутствии сети Интернет – можно пренебречь.

Если же интересует именно параноидальная безопасность и редко когда будет требоваться доступ к базе паролей с других компьютеров, то стоит рассмотреть вариант покупки 1Password. Все, что необходимо обычному человеку, все это присутствует в данной программе.

Дополнение от 15 января 2012 г.

@jpgoldberg мне указал на то, что 1Password имеет функцию 1PasswordAnywhere, которая позволяет использовать свою базу паролей на любом компьютере. Достаточно только из директории базы открыть файл 1Password.html в любом современном браузере и ввести свой мастер-пароль.

Таким образом, разместив базу в DropBox, или используя ее копию на флешке, можно получить доступ к своим паролям без каких-то проблем, даже не имея при себе самой программы. При этом безопасность использования базы остается на высоте!