Dobry, zły i brzydki mówią: Daj nam swoje hasła!

Czasy żółtych karteczek przyklejanych na obudowie monitorów raczej minęły bezpowrotnie. Postęp cywilizacyjny i mnogość kont wymusiły zgrabniejsze metody uwieczniania naszych haseł. Nastała epoka menadżerów haseł i chociaż ich pojawienie nie stanowiło precedensu dla roztropności niektórych użytkowników, to fakt pozostaje faktem. Lepiej mieć pod ręką menadżer haseł niż go nie mieć. To dlatego KeePassX, Enpass i pass powinny być nazwami własnymi rozpoznawanymi przez 75% społeczeństwa. Tego internetowego.

Chociaż na scenie mamy wiele przeróżnych rozwiązań oferujących przechowywanie naszych haseł to skupmy się na trzech reprezentantach tego gatunku. Dlaczego? Za chwilę wszystko będzie jasne.

Dobry KeePassX

Kiedy na pulpitach wiodącego systemu triumfy święcił KeePass, użytkownicy Linuksa musieli obejść się smakiem. Aczkolwiek do czasu, a raczej do powstania KeepPassX, projektu będącego forkiem wspomnianego KeePass (lub jak ktoś woli – portem). Było to możliwe z dwóch powodów – KeePass jest projektem opensource i są dostępne jego źródła. Natomiast port był potrzebny z racji użycia w nim (KeePass) Mono. Dopiero po latach gdy Mono dojrzało do pełnej multiplatformowości pojawiła się linuksowa wersja KeePass. Ale wtedy u wielu osób już na dobre zadomowił się KeePassX wykorzystujący Qt i będący bardziej naturalnym wyborem pod Linuksem.

Dlaczego dobry? Jak już wspomniałem, to projekt opensource (z dostępnymi źródłami), zatem uczciwie deklaruje współpracę z nami. Również w przyszłości. Po drugie, projekt nie zaliczył wpadek typu przejęcie danych użytkowników.

W tym programie możemy dowolnie grupować nasze hasła, które są przetrzymywane w bazie danych zaszyfrowanej AES lub algorytmem Twofish z 256 bitowym kluczem. Dla każdego wpisu w bazie możemy ustalić termin ważności hasłą, notatki, ikonkę, załączniki. Określony skrót klawiszowy wstawi hasło do aktywnego okna jeżeli zaistnieją określone przez nas warunki (nazwa okna, inne). Poza tym oczywistą oczywistością jest kasowanie ze schowka po upływie okreśłonego czas skopiowanych tam przez nas haseł, import / export bazy danych, generowanie haseł oraz automatyczne blokowanie bazy danych (odblokowanie wymaga wprowadzenia hasła).

KeePassX jest też „dobry” dlatego, gdyż trafił do repozytoriów niemal wszystkich dystrybucji. Zatem możemy zainstalować go „z marszu” za pomocą dowolnego menadżera oprogramowania.

Zły Enpass

W każdej historii musi być czarny charakter. Enpass może nie jest do końca taki „zły”, bowiem na tle wielu innych rozwiązań komercyjnych jest darmowy w wersji na komputery stacjonarne. Nie przetrzymuje też naszych haseł w chmurze na obcych serwerach. Lokalna baza danych pozostaje zaszyfrowana algorytmem AES z 256 bitowym kluczem i przy wykorzystaniu otwartoźródłowego SQLCipher (również wyróżnienie na tle konkurencji).

Niemniej, Enpass pozostaje projektem zamkniętym a jego instalacja polega na pobraniu paczki ze strony producenta i ręcznym instalowaniu. Chociaż miłym zaskoczeniem jest repozytorium z paczkami deb dla Ubuntu/Debiana/Minta. Kolejną cegiełką do „złego” charakteru Enpass jest przejściowy stan dostępności – wraz ze zniknięciem z rynku producenta pozostaniemy bez aktualizacji.

W zakresie możliwości program oferuje to, czego można się spodziewać po nowoczesnym menadżerze haseł. Kompleksowa obsługa wpisów, autouzupełnianie haseł w określonych warunkach, audyt haseł, bezpieczny schowek oraz nowość – możliwość synchronizacji naszej bazy z niemal dowolnym kontem w chmurze. To na wypadek gdyby nasza lokalna baza uległa zniszczeniu i konieczne byłoby przywrócenie kopii.

Brzydki pass

Jeżeli w poprzednich rozwiązaniach można doszukiwać się jakichś uchybień, to… Co powiecie na obsługę schowka na hasła z poziomu terminala?

zx2c4@laptop ~ $ pass
Password Store
├── Business
│   ├── some-silly-business-site.com
│   └── another-business-site.net
├── Email
│   ├── donenfeld.com
│   └── zx2c4.com
└── France
    ├── bank
    ├── freebox
    └── mobilephone

Zarządzanie hasłami za pomocą tego programu odbywa się według najsurowszych prawideł KISS. Każde hasło jest trzymane w oddzielnym pliku zaszyfrowanym GPG (musimy posiadać takowy klucz, możliwe jest użycie kilku kluczy). Hasła mogą być organizowane w dolnej strukturze katalogów, przenoszone pomiędzy komputerami, itp. Wpisami manipulujemy typowymi poleceniami insert (dodanie wpisu), rm (usunięcie), opcja -c nazwa_wpisu kopiuje hasło do schowka na 45 sekund.

Jakby na to nie patrzeć, z punktu widzenia estetyki XXI wieku manipulowanie hasłami w terminalu trąci… Lampami elektronowymi. Niemniej z drugiej strony i dla terminalowych wyjadaczy, jest to rzecz nie do pogardzenia i fascynująca.

Na osłodę mogę na koniec dodać, że projekt doczekał się GUI o nazwie QtPass. Obydwa programy – pass i QtPass – zainstalujemy z głównego repozytorium naszej dystrybucji.

Dobry, zły i brzydki są świetnymi uzupełnieniami dla naszego pulpitu. O ile oczywiście troszczymy się o nasze hasła i mamy ich na tyle, że konieczne jest poważniejsze zarządzanie taką bazą. Tytułowe przymiotniki oczywiście nie determinują ostatecznej użyteczności danego rozwiązania – są tylko ubarwieniem mającym zaakcentować zauważalne przywary pewnego typu oprogramowania. Na coś i tak będziemy musieli się zdecydować, bo z wiekiem coraz trudniej zapamiętać dwa tuziny haseł, podpowiedzi do haseł i pytań pomocniczych. A do tego numery PIN do kart, do bramki w ogrodzeniu, drzwi wejściowych do mieszkania, do telefonu…