Менеджер паролей pass
- Менеджер паролей
pass— программа, сделанная в рамках идеологии Unix. - Также носит название стандартного менеджера паролей для Unix (The standard Unix password manager).
Содержание
1 Основные свойства
- Данные хранятся в файловой системе в виде каталогов и файлов.
- Файлы шифруются с помощью GPG-ключа.
2 Структура базы паролей
- Структура базы может быть произвольной, если Вы собираетесь использовать её напрямую, без промежуточного программного обеспечения. Тогда семантику структуры базы данных Вы держите в своей голове.
- Если же необходимо использовать дополнительное программное обеспечение, необходимо семантику заложить в структуру базы паролей.
2.1 Семантическая структура базы паролей
- Рассмотрим пользователя
userв доменеexample.com, порт22. - Отсутствие имени пользователя или порта в имени файла означает, что любое имя пользователя и порт будут совпадать:
1example.com.pgp - Соответствующее имя пользователя может быть именем файла внутри каталога, имя которого совпадает с хостом. Это полезно, если в базе есть пароли для нескольких пользователей на одном хосте:
1example.com/user.pgp - Имя пользователя также может быть записано в виде префикса, отделенного от хоста знаком
@:1user@example.com.pgp - Соответствующий порт может быть указан после хоста, отделённый двоеточием (
:): - Эти все записи могут быть расположены в произвольных каталогах, задающих Вашу собственную иерархию.
3 Реализации
3.1 Утилиты командной строки
- На данный момент существует 2 основных реализации:
pass— классическая реализация в виде shell-скриптов (https://www.passwordstore.org/);gopass— реализация на go с дополнительными интегрированными функциями (https://www.gopass.pw/).
- Дальше в тексте будет использоваться программа
pass, но всё то же самое можно сделать с помощью программыgopass.
3.2 Графические интерфейсы
3.2.1 qtpass
qtpass— может работать как графический интерфейс кpass, так и как самостоятельная программа. В настройках можно переключаться между использованиемpassиgnupg.
3.2.2 gopass-ui
gopass-ui— интерфейс кgopass.
3.2.3 webpass
- Репозиторий: https://github.com/emersion/webpass
- Веб-интерфейс к pass.
- Написано на golang.
3.3 Приложения для Android
3.3.1 Password Store
- URL: https://play.google.com/store/apps/details?id=dev.msfjarvis.aps
- Репозиторий с кодом: https://github.com/android-password-store/Android-Password-Store
- Документация: https://android-password-store.github.io/docs/
- Для синхронизации с git необходимо импортировать ssh-ключи.
- Поддерживает разблокировку по биометрическим данным.
- Версия 1.x для работы требует наличия OpenKeychain: Easy PGP.
История
- Репозиторий https://github.com/android-password-store/Android-Password-Store переведён в режим read-only.
- Сообщение: https://github.com/android-password-store/Android-Password-Store/discussions/3260
- Текущий ментейнер сообщил, что далее не может работать над проектом и готов отдать его другому сопровождающему.
3.3.2 OpenKeychain: Easy PGP
- URL: https://play.google.com/store/apps/details?id=org.sufficientlysecure.keychain
- Операции с ключами pgp.
- Необходимо будет импортировать pgp-ключи.
- Не поддерживает разблокировку по биометрическим данным. Необходимо набирать пароль ключа.
3.4 Пакеты для Emacs
3.4.1 pass
- Основной режим для управления хранилищем и редактирования записей.
- Emacs. Пакет pass
- Репозиторий: https://github.com/NicolasPetton/pass
- Позволяет редактировать базу данных паролей.
- Запуск:
1M-x pass
3.4.2 helm-pass
- Интерфейс helm для pass.
- Репозиторий: https://github.com/emacs-helm/helm-pass
- Запуск:
1M-x helm-pass - Выдаёт в минибуфере список записей из базы паролей. При нажатии
Enterкопирует пароль в буфер.
3.4.3 ivy-pass
- Интерфейс ivy для pass.
- Репозиторий: https://github.com/ecraven/ivy-pass
4 Установка
Linux
Macintosh
1brew install passWindows
5 Настройка
5.1 Ключи GPG
- Просмотр списка ключей:
1gpg --list-secret-keys - Если ключа нет, нужно создать новый:
1gpg --full-generate-key
5.2 Инициализация хранилища
5.2.1 pass
- Инициализируем хранилище:
1pass init <gpg-id or email>
5.2.2 gopass
Для
gopassможно просто ввести:1gopass init- Программа запросит ключ и почту для git.
- Будет инициализирована сразу структура git в каталоге
~/.password-store.
5.2.3 qtpass
- Также можно инициализировать с помощью графического инструмента
qtpass:1qtpass
5.3 Синхронизация с git
5.3.1 gopass
- При инициализации
gopassинициализирует также структуру git. - При необходимости это можно сделать отдельно:
1gopass git init - Также можно задать адрес репозитория на хостинге (репозиторий необходимо предварительно создать):
1gopass git remote add origin git@github.com:<git_username>/<git_repo>.git - Для синхронизации выполняется следующая команда:
1gopass sync
5.3.2 Прямые изменения
- Следует заметить, что отслеживаются только изменения, сделанные через сам
gopass(илиpass). - Если изменения сделаны непосредственно на файловой системе, необходимо вручную закоммитить и выложить изменения:
- Проверить статус синхронизации модно командой
1gopass git status
5.4 Тонкие настройки
- По умолчанию каталог с паролями называется
~/.password-store. Но его можно задать также с помощью переменной окруженияPASSWORD_STORE_DIR.
5.5 Устранение сбоев
5.5.1 Невозможно расшифровать пароль
Команда
gopass show secretвыдаётError: Failed to decrypt.Можно установить в
~/.bashrcили~/.profile:1export GPG_TTY=$(tty)
6 Работа с паролями
6.1 Создание нового пароля
6.2 Ручная правка базы паролей
- Базу паролей можно редактировать и без использования специальных утилит.
- Можно использовать для исправления структуры каталогов и имён файлов.
- Синхронизацию с git придётся выполнять вручную.
- Не следует использовать символьные ссылки. Они не переносимы между разными операционными системами и могут нарушиться при синхронизации (например, с Android).
- После ручного редактирования рекомендуется проверить структуру базы паролей:
1gopass fsck
7 Миграция баз паролей из других программ
7.1 Скрипты для миграции
7.1.1 pass-import
- https://github.com/roddhjav/pass-import
- Расширение для
pass. - Можно использовать для разных менеджеров паролей:
Целевой менеджер паролей Формат csv csv gopass gopass keepass kdbx keepassx2 kdbx keepassxc kdbx pass pass
Установка
- Gentoo
- Находится в оверлее
wjn-overlay(https://data.gpo.zugaina.org/wjn-overlay/). - Установка:
1emerge app-admin/pass-import
- Находится в оверлее
- Gentoo
Использование
7.1.2 Отдельные скрипты
- На странице https://www.passwordstore.org/ приведён список отдельных скриптов для миграции из разных служб.
- Используйте в целях эксперимента.
7.2 Конкретные рецепты
7.2.1 LastPass
- В меню выберите Account options > Advanced > Export > LastPass CVS File.
- Сохраняем результат в файл
lastpass_export.csv. - Конвертация с помощью
pass-import:1pass import lastpass lastpass_export.csv - Альтернативный вариант. Не используйте его. Результат не соответствует структуре именования
pass.
7.3 Экспорт паролей
7.3.1 pass2csv
- Репозиторий: https://github.com/reinefjord/pass2csv
- Сайт: https://pypi.org/project/pass2csv/
- Экспортирует хранилище паролей pass в csv.
- Поддерживает задание шаблонов экспорта.
8 Дополнительные возможности
8.1 Проверка утечки пароля
- Проверка утечки пароля производится с помощью сервиса https://haveibeenpwned.com/ (см. Have I Been Pwned (HIBP)).
8.1.1 pass
- Проверка производится с помощью плагина
pass-audit. - Код: https://github.com/roddhjav/pass-audit.
- Установка:
- Gentoo:
Находится в репозитории https://github.com/yamadharma/gentoo-portage-local.
1emerge app-admin/pass-audit
- Gentoo:
Находится в репозитории https://github.com/yamadharma/gentoo-portage-local.
- Использование:
- Проверка по парольному каталогу или по парольной записи:
1pass audit [каталог или одна запись] - Без параметра проверяет всю базу паролей.
- Проверка по парольному каталогу или по парольной записи:
8.1.2 gopass
Простая проверка качества пароля
- Простая проверка качества пароля по парольному каталогу или по парольной записи:
1gopass audit [каталог или одна запись] - Без параметра проверяет всю базу паролей.
- Простая проверка качества пароля по парольному каталогу или по парольной записи:
Проверка утечки пароля
- Начиная с версии gopass-1.12.0 команда создания интерфейса взаимодействия с HIPB выделена в отдельную утилиту.
- Проверка производится с помощью плагина
gopass-hibp. - Код: https://github.com/gopasspw/gopass-hibp.
- Установка:
- Gentoo:
1emerge app-admin/gopass-hibp
- Gentoo:
- Использование:
- Использование HIBPv2 API
1gopass-hibp api - Сравнение хешей паролей с дампом HIBP:
- Скачиваем дамп SHA-1 хешей паролей с https://haveibeenpwned.com/Passwords и распаковываем его.
- Проверяем пароли:Этот вариант помедленнее.
1gopass-hibp dump pwned-passwords-1.0.txt
- Использование HIBPv2 API
- Проверяет сразу все записи в базе паролей. Один пароль проверить нельзя.
8.2 Одноразовые пароли
9 Интеграция с другими программами
Links to this note
- Запросы по протоколу imap из командной строки
- Emacs. Пакет pass
- Почта. Yahoo.com. Настройка почтового клиента
- rofi-pass
- Менеджер паролей pass. Интеграция с другими программами
- Почта. Yandex. Пароли приложений
- Почта. Google. Настройка почтового клиента
- Менеджеры паролей
- Личные базы данных
- Emacs. Почта. Парольная аутентификация
- Почта. Синхронизация. mbsync
- Почта. Подключение к Google
- Firefox. Расширения
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности
Мои научные интересы включают физику, администрирование Unix и сетей.