Na bun, pe logica îmi trebuie un blocker de cryptominers -> îmi trebuie un ad blocker -> stai că am un ad blocker plătit, ce-ar fi să-l instalez -> fmm de ad blocker că se calcă pe bătături cu Blur (password manager și general protection stuff) -> stai puțin că într-o săptămână îmi expiră licența trianuală la Blur și acum e momentul să mă gândesc dacă vreau s-o continui pentru încă 3 ani sau trec pe altceva,
am ajuns să revizuiesc opțiunile de password managers.
Acuma, cam toate articolele din ultimele 6 luni oscilează între aceleași 5-6 soluții, cu un client gratuit pentru un device, respectiv cu abonament anual pentru sincronizare între mai multe device-uri (și stocare în cloud).
Aceleași articole pornesc de la presupunerea că userul vrea să aibă viața cea mai ușoară și atunci integrarea în browser e baza, dar fie ignoră cu desăvârșire aspectul securității datelor, fie îl minimizează, de exemplu amintind doar de breșa de securitate a lui LastPass din 2011 (deși au mai fost probleme, inclusiv ceva exploit recent).
Și așa am ajuns să mai adaug „offline” la căutare, ocazie cu care am dat peste alte articole mai prudente care subliniază ce idee proastă e să îți ții parolele într-un proces subordonat browserului, sau într-un serviciu care nu știi exact cât e de sigur în afară de niște declarații de PR, și că totuși un offline password vault îți dă mai multă siguranță cu ceva mai multă bătaie de cap să-l folosești.
Candidatul preferat la acest moment pare a fi KeePass, care e open source și poate fi rulat în mod portabil de pe un stick USB, unde să țin și password vault-ul. Vault-ul este criptat, iar pentru parolă ar fi interesantă o parolă complicată (poate bazat pe un
qwertycard cumpărat cu 5$ sau făcut pe cont propriu) și, dacă se poate, un generator de coduri (Google Authenticator) pe post de second factor. Un articol sugera chiar că stick-ul ar putea fi criptat cu totul folosind VeraCrypt (fork-ul TrueCrypt încă dezvoltat) portabil - mi se pare un pic overkill.
Acuma partea mai interesantă ar fi dacă aș putea folosi această soluție și pe Android. Acolo îmi va trebui o aplicație instalată și configurată să folosească stick-ul conectat prin cablu OTG, și cu același plugin pentru second factor.
Înainte să mă chinui un pic cu marțocăreala asta, mai bine încerc să găsesc ceva de-a gata cu tot. Deci: ați dat peste vreun asemenea soft de password management, cu vault offline criptat, cu parolă + 2FA cu cod, și cu client Windows și Android?