Локальное vs облачное хранение базы менеджера паролей?
Я не могу выбрать между локальным менеджером паролей (KeepassXC) и cloud-based (Bitwarden). По логике, последний чуть менее надежный, чем первый, где датабаза хранится только на устройстве. Но ведь на устройство может попасть какой-нибудь malware/keylogger и украсть файл с паролями. Еще слышал, что есть уязвимости в автозаполнении паролей в браузерных расширениях МП. А если использовать cloud-based МП, то, я так полагаю, на устройстве не будет храниться файл, а только в облаке провайдера? Ну и тут опасность только в том, что хакнут это облако...но тогда ведь украдут все датабазы всех пользователей, а каждая из них защищена мастер паролем и еще как-то защифрована, так кому тогда и зачем надо браться за взлом этих облаков менеджеров паролей, кто будет в даркнете потом покупать все эти зашифрованные данные, это же долго всё расшифровывать? В общем, я реально не понимаю, в каком варианте более вероятен и проще взлом - при локальном хранении или облачном...
2FA тоже фиг нормальный найдешь, только гугловский есть, а интегрированные TOTP в самих менеджерах паролей не имеет смысла, как я понял, так как на одном устройстве коды, тут же твоя датабаза и тд. А всякие токены физические по 5 тыс покупать не хочется.
Я не разбираюсь ни в чем, но у меня есть мысль, что, возможно, существуют программы, которые помогают файл датабазы с паролями спрятать в каком-то контейнере(?), который даже через malware украсть не смогут? Хотя ведь есть и keylogger'ы и штуки, видящие пароль введенный или скопированный в буфер обмена или автозаполненный через расширение браузера, против них нет никаких средств защиты? Я вообще не знаю, стоит ли ради всего этого параноить, я ж не министр какой-то.
Прошу отвечать на максимально простом языке, так как я совершенно далек от этой и схожих тем, тезисы выше написал лишь исходя просмотра различных видео на ютубе и чтения форумов.
стоит ли ради всего этого параноить, я ж не министр какой-то
Паранойя - обязанность системных администраторов и инфобезопасников. Министры не пранойят, им как раз пофиг.
За министров могут подумать многочисленные заместители, советники, секретари, помощники, секретари заместителей и помощники советников... А тот, кто пока еще не министр, должен думать самостоятельно. :)
Вот я сисадмин, у меня паранойя среднего уровня. Я никогда не использовал менеджеры паролей и не собираюсь использовать. И мне пофиг, в облаке база или локальная. Просто нет и всё, потому что паранойя.
Я думаю, что cloud-based - значит, что зашифрованный контейнер есть как и на устройстве, так и его копия где-то в облаке... В этом случае - cloud-based при той же сложности, что и локальный, более надежен в том смысле, что если потеряете устройство, контейнер с паролями есть в облаке.
Нормальный менеджер паролей, на мой взгляд - безопаснее, чем файл базы данных в зашифрованном контейнере - когда открывается зашифрованный контейнер, то весь незашифрованный файл становится доступен для потенциального malware.
Насчет паранойи - зависит, как от психики, так и от ставок) Если Вы идете через незнакомый лес ночью по gps на смартфоне и он, вдруг, блокируется, то тут паранойя оправдана и физический токен себя оправдает. А если приходят по 1 письму в месяц в почтовый ящик, его можно и безвозвратно потерять)
Пару раз слышал, что были взломы менеджеров паролей - Laspass, вроде бы, один из них...
2FA советую использовать, независимо от соображений безопасности, хотя бы, будете знать, что происходит попытка доступа... Многие сервисы используют сторонние приложения, которые генерируют динамические коды для 2FA.
Как выше писали насчет удобства и безопасности, то безопасность сегодня так и строится, что чем больше заборов надо перелезть, тем надежнее. На очередной забор может не хватить сил или терпения) Если пароли собирают, чтобы продать по 1 доллару, никто не будет день тратить на то, чтобы получить еще один доллар)
Средний
Средний
