Хорошие способы хранения паролей

РНР-безопасность: где и как хранить пароли. Часть 1

Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему безопасности в PHP.

Введение

Скандал с Facebook и Cambridge Analytica, утечка переписки Демократической партии США в 2016 году, нарушение безопасности данных Google в 2018 году, взлом Yahoo Voice в 2012 году — вот лишь несколько примеров крупных утечек, зафиксированных за последние несколько лет.

Информация в глобальном масштабе сегодня доступна для нас, как никогда ранее. Если не проявлять должную осторожность, информация о нас самих (в том числе сведения конфиденциального характера) тоже могут попасть в открытый доступ.

Неважно, разработкой какого именно проекта вы занимаетесь: детской игрой с открытым кодом или выполняете заказ крупного предприятия. Ваша обязанность как веб-разработчика состоит в том, чтобы обеспечить безопасность всем своим платформам. Безопасность — это очень непростой аспект.

Язык РНР предоставляет несколько инструментов и функций, которые можно задействовать для обеспечения безопасности приложения.

3 правила безопасности паролей

Пароли пользователей должны оставаться неизвестными для вас.

Я до сих пор вспоминаю свои первые шаги в роли РНР-разработчика. Первым созданным мной приложением стала игра, где я вместе с друзьями играл роль строителя небоскрёбов. Каждый из нас мог залогиниться в свой аккаунт, купить строителей и каждую неделю отправлять свою бригаду на новую стройку. Я создал базовые аккаунты: добавил для каждого пользователя логин и пароль и отправил их им по е-мейлу. И только через пару месяцев я понял, насколько это было глупо.

Общее правило таково: вы не только не должны знать пароли своих пользователей — у вас не должно быть возможности узнать их. Это очень серьезный аспект, который может повлечь даже юридическую ответственность.

Методом проб и ошибок вы все равно придете к выводу, что пароли не надо хранить в формате обычного текста или в таком виде, чтобы они легко поддались расшифровке.

Не вводите ограничения на пароли

Давайте сыграем в одну игру. Попробуйте угадать пароль:

Сложно, правда? Давайте попробуем так:

Теперь вы знаете, что здесь есть заглавная буква и несколько прописных. А если вот так:

Теперь вам будет намного легче угадать пароль — ведь вы знаете, что он включает в себя заглавную букву, прописные буквы и число.

То же самое происходит в тех случаях, когда вы навязываете пользователям ограничения и маски для их паролей. Если в вашем приложении заложено требование следовать определенному шаблону, вы даете злоумышленникам намеки, которые они могут использовать против вас.

Требовать некую минимальную длину пароля — это нормально, так как длина пароля влияет на то время, которое требуется, чтобы подобрать его. Однако вместо этого будет намного полезнее узнать, как работают алгоритмы и хеширование.

Кстати, правильный ответ к приведенной выше загадке — «Porsche911» 🙂

Никогда не отправляйте пароли по е-мейлу в чистом виде

Одной из моих первых ошибок в роли веб-разработчика стало то, что я заблаговременно не научился управлять паролями.

Представьте, что вы клиент и вы нанимаете разработчика, чтобы он создал для вашего бизнеса симпатичный сайт электронной коммерции. Этот разработчик прислал вам е-мейл, который содержит пароль для вашего сайта. Теперь вам известно три вещи о вашем сотруднике:

1. Он знает ваш пароль.
2. Он хранит ваш пароль в чистом виде, не используя никакого шифрования.
3. Он не испытывает ни малейшего беспокойства при пересылке паролей через интернет.

В ответ ничего не остаётся, как уволить такого сотрудника.

А вот как должен поступить веб-разработчик:

1. Создайте в вашем веб-приложении страницу, куда пользователь сможет ввести свой е-мейл в случае, если он забыл пароль, и таким образом запросить новый пароль.
2. Ваше приложение сгенерирует уникальные права доступа и привяжет его к пользователю, сделавшему запрос (лично я пользуюсь универсальным индивидуальным идентификатором).
3. Приложение отправит пользователю е-мейл со ссылкой, ведущей к праву доступа.

Как только пользователь перейдет по ссылке, приложение подтвердит правильность доступа и даст пользователю возможность поменять пароль.

Видите, насколько возросла безопасность приложения благодаря этим простым шагам? При желании, мы можем повысить уровень безопасности еще больше, добавив лимит времени между запросом и установлением нового пароля.

Как хешировать пароли пользователей

Пароли в веб-приложении нужно хешировать, а не зашифровывать. Шифрование — это двухсторонний алгоритм. Шифровке подвергается последовательность, которую вы затем можете расшифровать и использовать повторно. Этот метод часто используется в разведке для получения информации от союзников.

Хеширование предполагает, что последовательность нельзя вернуть в формат незашифрованного текста. Именно это конечная цель всего процесса.

Для достижения разных целей разработано множество алгоритмов: одни отличаются высокой скоростью, другие высокой надежностью. Эта технология постоянно эволюционирует, и за последние несколько лет претерпела немало изменений. Сейчас мы рассмотрим три наиболее популярные ее разновидности в хронологическом порядке.

Это была исторически первая функция хеширования. Аббревиатура SHA-1 расшифровывается как «безопасный алгоритм хеширования», разработало его Агентство национальной безопасности США.

SHA-1 был хорошо известен и широко востребован в сфере РНР для создания 20-байтовой шестнадцатеричной строки длиной в 40 символов.

SSL-индустрия в течение нескольких лет пользовалась SHA-1 для цифровых подписей. Затем, после выявления некоторых слабых мест, в Google решили, что пора переходить на SHA-2.
Первая версия алгоритма была признана устаревшей в 2005 году. Впоследствии были разработаны и приняты к использованию новые версии: SHA-2, SHA-2 и SHA-256.

Bcrypt

Bcrypt, не являясь результатом естественного развития SHA, сумел привлечь к себе широкую аудиторию благодаря своему уровню безопасности.

Этот крайне медленный алгоритм был создан с целью создания максимально безопасных хешированных последовательностей. В процессе хеширования данных он проходит несколько циклов, что в вычислительной технике описывается показателем трудозатрат. Чем выше показатель трудозатрат, тем дороже будет для хакера заполучить пароль.

Есть и хорошая новость: в будущем мы сможем использовать более мощные машины, способные на более скоростное прохождение большего количества циклов.

Argon2

Это новый модный алгоритм в сфере хеширования, разработанный Алексом Бирюковым, Даниэлем Дину и Дмитрием Ховратовичем из Люксембургского университета. В 2015 году он стал победителем Конкурса хеширования паролей.

Argon2 представлен в 3 версиях:

1. Argon2d обращается к массиву памяти, что сокращает издержки памяти и времени. Однако у него существует риск атаки по сторонним каналам.
2. Argon2i является противоположностью Argon 2d. Он оптимизирован относительно атак по сторонним каналам и получает доступ к памяти в порядке, не зависящем от пароля.
3. Argon2id представляет собой промежуточный вариант между двумя предыдущими версиями.

Эта функция насчитывает 6 параметров: последовательность пароля, salt, memory cost, time cost, фактор параллелизма (максимальное разрешенное число параллельных потоков), длина хеша.

Во второй части статьи я расскажу, как использовать это хеширование в РНР, задействуя встроенные функции, а сейчас хочу пригласить всех на бесплатный онлайн вебинар «ServerLess PHP», в рамках которого мы познакомимся с концепцией Serverless, поговорим о её реализации в AWS, применимости, ценах. Разберём принципы сборки и запуска, а также построим простой TG-бот на базе AWS Lambda.

Источник

12 лучших менеджеров паролей

Как часто вы задумывались над тем, сколько же всего у вас аккаунтов на различных ресурсах? Сколько имен пользователя и паролей приходится держать в памяти или в специальном файле на рабочем столе, скрытом от посторонних глаз? В среднем пользователь может иметь до 40 аккаунтов. И, в зависимости от рода деятельности, эта цифра вполне способна вырасти на порядок.

Итак топ-12 лучших менеджеров паролей. Первая половина из них отлично подойдет для персонального пользования, а вторая – для вашей рабочей команды.

Менеджеры паролей. Персональное пользование

• Dashlane
Мониторинг и изменение паролей в один клик. Поддержка: iOS, Mac, Windows, Android, Web. Стоимость: бесплатно для одного устройства, 39.99$/год для премиум-аккаунта.

• Splikity
Простой инструмент для работы с паролями. Поддержка: iOS, Chrome, Android, Firefox, Safari. Стоимость: 4.99$ в месяц или 49.99$ в год.

• LastPass
Простой и удобный кросс-платформенный доступ к вашим паролям из любого браузера. Поддержка: Web, Mac, iOS, Android, Windows. Стоимость: бесплатно для одного устройства; 12$ в год премиум.

• Onesafe
Ваш собственный сейф с паролями. Поддержка: iOS, Mac, Windows, Android. Стоимость: 19.99$ при работе с ПК, 4.99$ для мобильных устройств.

• 1Password
Удобный менеджер для работы с паролями. Поддержка: iOS, Mac, Windows, Android. Стоимость: 49.99$.

• iCloud Keychain
Мультиплатформенное программное обеспечение для пользователей Apple. Поддержка: iOS, Mac. Стоимость: бесплатно.

Менеджеры паролей. Корпоративное использование

• CommonKey
Доступный менеджер паролей для командной работы. Поддержка: Web, Chrome. Стоимость: бесплатно для групп до 3-х пользователей; 2$ за одного пользователя в месяц.

• Zoho Vault
Удобный менеджер для удаленной работы. Поддержка: Chrome, Firefox. Стоимость: от 1$ в месяц за пользователя.

• Meldium
Удобный менеджер паролей. Поддержка: Firefox, Safari, Chrome. Стоимость: от 24$ в месяц за 20 пользователей.

• Vaultier
Удобное ПО для it-компаний и более масштабного менеджмента. Поддержка: Web, Ubuntu. Стоимость: 99$ в месяц за облачное хранилище.

• SimpleSafe
Одноразовый доступ к паролям по ссылке. Поддержка: размещение веб-приложения на локальных серверах. Стоимость: 90$.

• Passwork
Максимальная защита паролей для командной работы с возможностью установки на свой сервер. Поставляется с открытым для аудита кодом. Поддержка: Web, Android, iOS, Chrome, Windows. Стоимость: 1,5$ в месяц за одного пользователя (или 25 рублей в месяц за пользователя для России).

Давайте теперь рассмотрим каждый из менеджеров более скрупулезно.

Топ-6 менеджеров паролей для личного пользования

1Password (поддержка Mac, iOS, Android, Windows)

Сегодня 1Password – один из самых популярных менеджеров паролей. Он работает как в режиме онлайн, так и без подключения к всемирной паутине. Он без проблем может провести синхронизацию через wifi, icloud или даже dropbox, Это значит, что синхронизация ваших данных полностью под вашим контролем.

Вы можете разделить пароли в вашем «хранилище» на личные и рабочие, чтобы не возникало путаницы и пересечения сфер интересов. И тогда можно расшарить «сейф» через Dropbox, если нужно поделиться данными с коллегами, не переживая, тот ли пароль вы сделали доступным. У менеджера есть весьма полезная функция «сторожевой башни», которая постоянно мониторит попытки взлома и отслеживает взломанные сайты. Так что, если придет нужда сменить пароль, вы узнаете об этом первым.

Само собой, у менеджера есть мобильное приложение. Оно обладает неплохим функционалом, позволяющим без проблем заходить в нужные профили, включать разблокировку «хранилища» через iPhone`s Touch ID и т. д.

1Password позволяет сохранять не только пароли. Вы можете занести в «сейф» адреса доставки, номера телефонов и кредитных карт, водительские права и прочие важные данные.

LastPass (поддержка Web, Mac, iOS, Android, Windows)

Что такое ЛастПасс и с чем его сервируют? Этот менеджер паролей будет работать в любом месте. Вы не ослышались. Он действительно работает повсюду. Есть расширения под все популярные интернет-браузеры, приложение для Windows на ПК, под Linux и Mac. В магазинах мобильных приложений не составит проблемы найти вариант под Андроид, iOS, Windows Phone, Blackberry. Кроме того, при использовании на одном устройстве программа бесплатна, что делает ее весьма привлекательной для простых пользователей.

Премиум-версия программы и вовсе дает возможность синхронизировать ее со столькими устройствами, сколько вам придет на ум. В мобильном приложении можно вставить необходимый пароль в нужное поле привычным методом copy-paste. Владельцы «яблока» могут получить мгновенный доступ в приложение через функцию Touch ID. В общем, разработчики позаботились обо всех.

LastPass прекрасно справится с сохранением номеров кредитных карт, банковских счетов, так что вы сможете иметь доступ к этим данным отовсюду. При необходимости можно создать доступ к той или иной папке с паролями для других пользователей.

Если смотреть более масштабно, LastPass Enterprise дает возможность владельцам бизнеса управлять паролями всей компании через расширение в веб-браузере. То есть, вы можете следить за состоянием паролей любого члена группы и вовремя внести корректировки при необходимости.

Dashlane (Web, Mac, iOS, Android, Windows)

Этот менеджер ратует за свежие данные. После установки Dashlane исследует всю вашу базу на предмет слабых, поврежденных или повторяющихся паролей. После чего вежливо предложит их менять время от времени для поддержания должного уровня безопасности. Если вдруг сайт, которым вы пользуетесь, будет взломан, менеджер тут же предупредит вас об опасности, чтобы вы смогли быстро сменить «замок».

Кстати, смена пароля здесь быстрая и совершенно безболезненная. Вы можете провести процедуру в пару кликов. Dashlane также сделал переход с другого менеджера простым и приятным. Программа просто просканирует ваши приложения и компьютер на наличие паролей, а затем импортирует их в свою базу.

Отличная новость для тех, кто часто делает покупки в интернет-магазинах: менеджер не только сохраняет номера банковских карт и счетов, но и чеки из магазинов, делает детализацию расходов. Последнее может стать хорошим подспорьем для тех, кто привык вести учет семейного бюджета. Всех ведь интересует вопрос, куда девается зарплата так задолго до следующей?

oneSafe (Mac, iOS, Android, Windows)

Этот менеджер разработчики изначально задумывали как нечто большее. То есть, не просто сейф для паролей, но и надежное хранилище для файлов самого разного типа. Вы без проблем можете защитить паролем файлы на собственном компьютере, а затем легко делать резервные копии на любое запоминающее устройство.

Секретные видео и фото на мобильном телефоне, снимки ваших банковских карт, страховой полис, да хоть код от шкафчика в тренажерном зале. Все это надежно скроет от посторонних глаз oneSafe. Еще одна интересная функция – Decoy Safe. Это фишка позволяет создать фантом, то есть, поддельные данные для потенциальных воров. И пусть они взламывают несуществующий аккаунт… Удобная система навигации позволяет находить все нужные данные легко и просто.

Программа хороша и тем, что вы можете самостоятельно выбрать способ входа: от swipe и Touch ID до пин-кода или нововведенной технологии «Tri-Pin». Еще один плюс – кросс-платформенная поддержка, так что синхронизация всех задействованных устройств не доставит никаких проблем.

iCloud Keychain (iOS, Mac)

Это софт для владельцев и поклонников Apple. Софт Keychain служит верой и правдой своим пользователям уже не первый год. По сути, программа уже давно работает под Mac. Это менеджер паролей Apple, устанавливаемый по умолчанию. Что означает, если вы занесены в реестр своего Mac, то вы автоматически являетесь обладателем аккаунта в Keychain.

Что касается iCloud Keychain, сегодня он интегрирован во все последние версии iOS и OS X. И защищает все синхронизированные между вашими устройствами данные через iCloud. Вся информация попадает в ведение программы автоматически.

Нельзя назвать этот софт только лишь менеджером паролей. По сути, это полноценный сейф для вашей секретной информации. Туда можно заносить доступы к серверам, настройки wi-fi сети, защищенные образы дисков и т. д. Программа без проблем переходит на новые версии и синхронизируется через iCloud. Доступ к настройкам на iOS менеджер получает через браузер Safari. Он будет автоматически заполнять формы и отображать номера ваших кредитных карт. Все это защищено цифровым четырехзначным пин-кодом вашего iPhone. А от посторонних систему защищает Touch ID. Что касается приложения для рабочего стола, Keychain позволит увидеть все сохраненные пароли и удобно рассортировать их по папкам. Это программное обеспечение разработано исключительно для экосистемы Apple. Но программа работает только с Safari. Разработчики отмечают, что выбор Firefox или Chrome не поддерживается.

Splikity (iOS, Android, Chrome, Firefox, Safari)

Эту программу не без оснований считают отличным менеджером для новичков. Интерфейс предельно прост и понятен. Вы можете сохранять свои пароли как в Web, так и на мобильных устройствах. Панель управления в режиме онлайн позволять легко проводить любые операции с паролями. Что касается браузерных расширений, то Splikity возможно интегрировать в Firefox, Safari или Chrome, которые запомнят данные для избранных ресурсов.

Можно установить приложение и на смартфон. После входа данные синхронизируются и станут доступны для работы. Пока вы будете использовать приложение браузера, программа станет автоматически заносить в базу все данные. Если вам нужно отослать другому пользователю логин – нет проблем. Это можно сделать через e-mail, при этом ваш пароль останется скрытым от посторонних глаз.

Топ-6 менеджеров паролей для бизнеса

Теперь перейдем к программному обеспечению, которое существенно облегчит и обезопасит работу с паролями в компаниях. Здесь свои требования к функциональности и инструментарию программ. Например, общие профили, в которых одновременно могут работать несколько пользователей. Это удобно для глобального администрирования и мониторинга безопасности данных компании.

Конечно, вы можете использовать любой из вышеперечисленных менеджеров, но их функционал существенно ограничен и не ориентирован на бизнес-среду.

Passwork (Web, Android, iOS, Chrome, Windows)

Профессионалы в сфере IT высоко оценивают прозрачные алгоритмы шифрования и возможности ПО, которые дает open source. Есть два способа как вы можете использовать Passwork. Во-первых, вы можете установить коробочную версию на собственный сервер и получить продукт с открытым для аудита исходным кодом, в который при необходимости можно вносить изменения. Во-вторых, можете пользоваться облачной версией. После установки вы получите доступ ко всем многочисленным возможностям менеджера.

Разработчики весьма интересно подошли к распределению прав доступа. К примеру, нового пользователя во временную группу можно добавить, выслав ему на электронную почту зашифрованную ссылку с одноразовым паролем. Администратор легко может проверить, кто к каким паролям имеет доступ, а также легко отследит историю действий с ними.

Все пароли в программе можно рассортировать по группам, а затем и по папкам. Собственно, большой команде очень удобно работать в группе. А в папках будет проще разделить все аккаунты по их функциональному назначению. Кроме того, у этой программы есть расширение для браузера, так что зайти в нужный аккаунт можно быстро и без лишних действий.

Таким образом, вы можете работать с коллегами в группах, приглашать по e-mail или специальной ссылке, предоставлять доступ к единичным паролям и ряд других возможностей заточенных специально для совместной работы.

Нельзя не отметить приятный и минималистичный дизайн Пассворка, который по каким-то причинам чужд большинству менеджеров паролей.

Пассворк предоставляет публичный API, поэтому сторонние разработчики могут запрограммировать свои клиентские приложения или провести более плотную интеграцию со своей инфраструктурой.

Разработчики Пассворка находятся в России, поэтому сервис полностью адаптирован для русского языка (в том числе и стоимость использования: 290 рублей против 18$ в год за пользователя). А коробочная версия адаптирована для российского бизнеса и государственных структур.

Meldium (Firefox, Safari, Chrome)

Meldium – это, в общем-то, сочетание среды запуска веб-приложений и менеджера паролей. Он отлично подходит для работы в группах с общими аккаунтами.

Интерфейс довольно прост. У вас есть главная страница, где отображаются все задействованные аккаунты. Чтобы заполнить форму в той или иной вкладке браузера, достаточно одного клика. Любой член команды может быстро открыть необходимое приложение. С помощью браузерного приложения и профиля Мелдиум, пользователь получит доступ к рассортированным по группам паролям компании. При необходимости администраторы могут привлечь нового пользователя. Для этого достаточно добавить его вручную или отправить приглашение на еmail.

Пригодится эта программа и в том случае, если нужно сделать доступ к личному профилю. Мелдиум дает возможность добавить все персональные профили сотрудников и использовать панель управления для дальнейшего администрирования и мониторинга. Программа также позволяет отслеживать использование паролей по всей компании. При обнаружении слабых или устаревших паролей Мелдиум пометит их как ненадежные и настойчиво предложит обновить. Можно сказать, что программа отыскивает и заделывает дыры в стене безопасности вашей организации.

Zoho Vault (Chrome, Firefox)

Следующее хранилище в нашем списке носит имя Zoho. Это программное обеспечение позволит членам вашей команды легко и безопасно обмениваться важной информацией. Все, что нужно сделать – скачать и установить специализированное расширение для одного из поддерживаемых браузеров. Правда, последних всего два.

Посредством CSV файла можно быстро импортировать все пароли, если вы перешли на Зохо с другого менеджера. В персональных менеджерах инструменты экспорта служат только этой цели.

Инструменты отчетов программы оповестят вас обо всех изменениях, которые происходят в аккаунтах. Будь то операции с доступом или смена пароля, использование того или иного логина и т. д. Бизнес-версия снабжает администраторов весьма широкими возможностями. А удобный и понятный интерфейс позволяет быстро вникнуть в систему работы Zoho Vault.

SimpleSafe (Self-Hosted Web App)

Эту программу высоко оценивают специалисты в сфере IT. Они отмечают, что SimpleSafe можно смело считать отличной стартовой площадкой с внушительным функционалом и инструментарием.

Процесс знакомства с программой начинается с тщательной настройки среды, полей базы данных, где и будут впоследствии храниться пароли. В группы можно рассортировывать пароли одного и того же формата. При настройке SimpleSafe вы вольны поименовать поля баз данных по своему усмотрению. Теперь, когда вашей команде понадобится отследить ту или иную частную информацию, это будет простой задачей.

Панель управления в программе функционирует так же, как и в других подобных ей менеджерах, так что членам команды будет очень комфортно с ее интерфейсом. Правда, собственным браузерным расширением SimpleSafe похвастаться не может. Так что при необходимости ввести пароль придется воспользоваться методом copy/paste. Все дело в том, что ПО устанавливается на локальные сервера.

Vaultier (Web, Ubuntu)

Vaultier можно отнести к еще одному менеджеру паролей для работы в команде, который вы можете установить на собственном сервере. Впрочем, вполне можно работать и с облегченным вариантом ПО – облачной версией этого «сейфа». Кроме того, Vaultier без проблем упаковывается в контейнер Docker с полной установкой.

Vaultier полагается на персональные зашифрованные ключи для защиты паролей, даже когда защищает пароли для всей вашей команды. Пароли рассортировываются в «сейфы» (vaults), затем по «картам» с «секретами». Последние содержат пароли и имена аккаунтов. Такие группы можно использовать и для разграничения уровней доступа. То есть, каждый пользователь может иметь доступ к целому «сейфу» или только к одной «карте» в его пределах. Администраторы при этом могут отменять или назначать уровень доступа любому члену команды.

Это менеджер паролей для рабочего коллектива, делающий упор на безопасность. При этом каждый член команды может спокойно использовать его и для защиты личных аккаунтов.

CommonKey (Web, Chrome)

Благодаря CommonKey менеджмент паролей в сфере бизнеса реален и легко осуществим как для больших, так и для маленьких коллективов. Являясь облачным хранилищем, КоммонКей прекрасно работает через браузерные расширения для Safari, Chrome и Firefox.

Отдельные папки для паролей разного назначения позволяют удобно организовать работу в компании, разделив сотрудников на группы. При необходимости всегда можно добавить пользователя в ту или иную группу, а затем аннулировать доступ. Это так же легко, как выслать приглашение на email.

Впрочем, CommonKey вполне можно использовать и как персональный менеджер паролей. Члены команды могут и сами вносить в базу «замки» от своих личных аккаунтов, и давать к ним доступ через тот же самый интерфейс. Но вы можете быть спокойны. Личные и рабочие пароли будут разделены, и важные данные компании не попадут в чужие руки.

Расширение для браузера будет сразу же сохранять пароли, когда вы будете выходить в сеть. При регистрации новых аккаунтов генератор паролей будет тут же включаться в работу, так что новые профили будут надежно защищены в первые же секунды. И вам уже не придется придумывать «код доступа» самому.

Альтернативные приложения для работы с паролями

Если вы не нашли ничего подходящего для себя, обратите внимание на еще несколько вариантов.

• KeePass
Один из первых бесплатных менеджеров с открытым кодом. Поклонники программы потрудились над совместимостью KeePass с практически всеми ОС и устройствами. Он совершенно бесплатный, но при этом обладает всеми характерными особенностями других менеджеров паролей для персонального использования. Поддержка: Windows, Mac, iOS, Android, Linux.

• Keeper
Может похвастать наличием двухфакторного метода аутентификации. Он распознает присутствие рядом других ваших устройств для идентификации личности, не используя цифровые коды. Поддержка: Mac, Windows, Linux, iOS, Android.

Стоимость: 9/99$ в год на одно устройство.

• Roboform
Первым делом РобоФорм изменит стартовую страницу вашего браузера на окошко с быстрым доступом к сайтам, где находятся ваши защищенные пароли. Теперь даже для входа на несколько ресурсов вам достаточно одного клика мыши. Поддержка: iOS, Mac, Windows, Android, Linux.

Стоимость: $19.95/год, плюс $29.95 за приложение для рабочего стола.

• Sticky Password
Это менеджер паролей от команды, создавшей антивирусное ПО AVG. Вместе с бесплатной версией вы получаете весьма расширенный функционал, а в платной, вдобавок к первому, техническую поддержку. Менеджер позволяет синхронизироваться через wifi, а также имеет портативную версию. Поддержка: iOS, Mac, Windows, Android.

Стоимость: бесплатно; $19.95/год, или $99 единоразово.

• SplashID
Этот менеджер создает резервную копию ваших паролей. Так что в любое время вы можете просмотреть их историю. Вы можете открыть доступ к паролям членам своей команды и при необходимости откатить изменения, если кто-то по случайности изменил пароль. Поддержка: iOS, Chrome, Mac, Windows, Android.

Стоимость: бесплатно для одного устройства; $19.99/год для версии Pro.

• mSecure
Вы можете использовать шаблоны для ввода любого типа данных, а затем сохранить их в хранилище программы. Данные можно синхронизировать через iCloud или Dropbox для доступа к ним с любого устройства. Есть и интересный пункт. При многократных попытках входа функция саморазрушения стирает все ваши данные, чтобы они не попали в чужие руки. Так что не забывайте свой мастер-пароль. Поддержка: iOS, Mac, Windows, Android.

Стоимость: $9,99 для мобильного устройства; $19.99 версия для ПК.

• Master Password
Здесь пароли не хранятся в зашифрованном «сейфе» и нет никакой синхронизации между устройствами. Программа предлагает другой алгоритм действий. Она объединяет имя пользователя, url ресурса и мастер-пароль, чтобы создать новый пароль для того или иного сайта. Мобильное приложение и программа на вашем ПК остаются связанными до тех пор, пока вы не измените ваш мастер-пароль. Поддержка: iOS, Mac, Windows, Android, Web.

Источник