Ликбез / КОММЕНТАРИИ

Устанавливаем менеджер паролей - как работать с Bitwarden

04.11.2025

Комментарии 47

Я раньше использовал LastPass и Dashlane, но они мне больше не нужны, т. к. в экосистеме Apple появилась отличная встроенная программа для сохранения паролей.

Рекорд Надоев

04.11.25 15:18

0 1

Алекс, а можно короткое сравнение с Roboform? Помню, что ты много лет именно Roboform использовал. Я вот его же, и тут вдруг стало интересно, почему Bitwarden оказался лучшим

knari

04.11.25 14:23

0 1

Менеджер паролей - "одно кольцо, что бы править всеми"? Работает даже на стоянке?
Ну-ну))

Sergy_B

04.11.25 13:48

0 0

Вот не знаю, я дурак или Битварден не умеет работать с программами, требующими ввода логина/пароля? Есть Radmin, я через него вторым компьютером рулю. Roboform понимает, что программа требует ввести пароль и под окошком появляется кнопка. Битварден никак не реагирует, хотя пароли из хранилища робоформа перенесены.
Где копать, подскажите?

don_ald

04.11.25 12:56

0 0

1️⃣ Bitwarden и автозаполнение

Bitwarden ориентирован в первую очередь на браузеры и веб-приложения.

Для десктопных программ Bitwarden предоставляет desktop app и extension для браузеров, а также автозаполнение через глобальные горячие клавиши.

Но: Bitwarden не умеет автоматически распознавать поля логина/пароля в произвольных Windows-программах так, как это делает RoboForm.

Причина:

RoboForm использует низкоуровневое API Windows (UI Automation) и перехватывает события ввода в приложениях.

Bitwarden пока не интегрирован с этим API для сторонних программ, поэтому кнопки автозаполнения в окне Radmin не появляются.

2️⃣ Что реально можно делать с Bitwarden

Копировать пароль вручную

В desktop-приложении Bitwarden есть горячие клавиши Ctrl+Shift+C (копировать логин) и Ctrl+Shift+V (копировать пароль).

Автозаполнение через браузер

Если программа имеет веб-интерфейс (например, веб-версия Radmin или другие веб-приложения), Bitwarden работает нормально.

Глобальный автопопап (Desktop App)

На Windows можно включить «Unlock with Master Password» + Autofill on shortcut.

Но Bitwarden не “видит” поля программ вроде Radmin, только стандартные браузерные окна или некоторые Electron-приложения.

3️⃣ Вывод

RoboForm: умеет отслеживать произвольные приложения и вставлять логины/пароли под нужное окно.

Bitwarden/Vaultwarden: не умеет это делать; работает только с браузерами или через ручное копирование/вставку.

googleboom

don_ald

04.11.25 13:39

2 0

На маках и на всех устройствах на уровне системы есть Passwords. Не слышал чтоб кто-то когда-то это ломал. Зачем городить что-то еще поверх.

Regs

04.11.25 11:57

2 0

> с битварденом можно использовать свой сервер, что кому-то важно и нужно.

может кому-то это и нужно, я таких не встречал.

Встретили. 😄 Мне после истории с LastPass некомфортно, когда мои пароли в облаках, и я юзаю опенсорсный Vaultwarden (форк Bitwarden) на собственном сервере. Работает со всеми родными десктоп-клиентами (и расширениями для браузеров) от Bitwarden, но пароли хранятся на собственном сервере, а не на чужом. Так спокойнее.

googman

Regs

04.11.25 15:46

0 0

Ну, там не совсем "аппаратная" защита. Secure Enclave защищает ключи, да, и без кода блокировки устройства ничего оттуда не вытащить (за исключением комплексов Cellebrite и GrayKey, которые официально в РФ не продают, да и те работают с большими ограничениями.) А вот синхронизация паролей из keychain с сервером - уже можно вытащить без самого устройства, чисто онлайн, зная только пароль от iCloud и код блокировки телефона (или планшета, или компьтера Mac). Наконец, реально ничего не вытащить, даже зная пароль - если у пользователя включено Advanced Data Protection for iCloud. В этом случае ключи шифрования от облака хранятся на самом дивайсе (можно задать и дополнительный аккаунт - например, жены, - чтобы где-то была резервная копия ключей), и без них никакого доступа к облаку ни у кого нет. Так что в конечном итоге - да, Passwords от Apple реально самая безопасная паролехранилка, но и самая ограниченная - работает только в экосистеме Apple (понятно, почему: иначе вся безопасность стала бы фикцией).

aoleg

Phaker

04.11.25 13:34

0 2

Во-первых, пассвордсам год только.

Passwords всего лишь обёртка над Keychain, который присутствует с появления OSX и даже раньше. Там и синхронизация через iCloud уже больше 10 лет есть. И аппаратная защита с момента появления Secure Enclave уже лет 10 как. Собственно, встроенная аппаратная защита ставит Passwords на голову выше других решений, которым требуется для этого отдельный аппаратный ключ. Ну и глубокая интеграция в Safari тоже добавляет удобства.

Phaker

Balkeep

04.11.25 13:10

0 3

Дык менеджеры паролей есть и на Андроиде и на Винде. Ни тот ни другой пока не сломали.

Весь вопрос в двух моментах: кому доверять и какие устройства нужно поддерживать.

akmurb

Regs

04.11.25 12:57

0 1

Было бы странно, чтобы за год их поломали.

Мне не странно. Год для этого огромный срок.

у битвардена намного больше функциональности

которая не нужна для 99,9% людей и про которую люди (включая меня ) даже не догадываются что нужна какая-то бОльшая функциональность для менеджера паролей кроме той которую предлагает Passwords.

с битварденом можно использовать свой сервер, что кому-то важно и нужно.

может кому-то это и нужно, я таких не встречал.
Только не подумайте что я против Bitwarden или еще что-то такое. Я лишь про то что есть нативное решение без всяких дополнительных действий.

Regs

Balkeep

04.11.25 12:51

2 2

Во-первых, пассвордсам год только. Было бы странно, чтобы за год их поломали. Во-вторых, у битвардена намного больше функциональности + намного более продвинутые клиенты под браузеры и любые устройства, не только эпл. В-тертьих, с битварденом можно использовать свой сервер, что кому-то важно и нужно.

Balkeep

Regs

04.11.25 12:15

0 2

Чтобы расширение работало с биометрией, нужно ещё ставить приложение из магазина винды и соответствующе настраивать. Мне оно в трее в конце концов надоело, разблокирую пин-кодом.

Dhwty

04.11.25 10:57

0 1

2FA и персональные сертификаты, мне казалось, "подвели черту под спектаклем" (c) "Доверь мне все свои пароли, детка".

wmlab

04.11.25 10:51

0 0

Это да. Хотя реализация passkey пока ещё кривоватая даже у больших сервисов вроде Paypal.

У PayPal, по-моему, у единственных она настолько кривая 😄

aoleg

Advocem

04.11.25 16:34

0 0

Есть ещё вариант с passkey, о котором @exler не упомянул

Это да. Хотя реализация passkey пока ещё кривоватая даже у больших сервисов вроде Paypal.

Advocem

akmurb

04.11.25 13:21

0 0

На двух разных сервисах.Даже если уведут доступ к менеджеру паролей, будут "сосать писю".Причём в менеджере паролей credentials к 2FA сервису не сохранёны, естессно.Так что "приходится" запоминать не одну, а две пары надёжных credentials 😄

А менеджер паролей и приложение для 2FA у вас на одном, или на разных телефонах/компьютерах?

Advocem

GRREmlin°

04.11.25 13:19

0 0

Есть ещё вариант с passkey, о котором @exler не упомянул

akmurb

Advocem

04.11.25 12:59

0 0

Ради интереса - а где вы храните свои пароли и 2FA?

На двух разных сервисах.
Даже если уведут доступ к менеджеру паролей, будут "сосать писю".
Причём в менеджере паролей credentials к 2FA сервису не сохранёны, естессно.
Так что "приходится" запоминать не одну, а две пары надёжных credentials 😄

GRREmlin°

Advocem

04.11.25 11:46

0 1

Ради интереса - а где вы храните свои пароли и 2FA?

Advocem

wmlab

04.11.25 11:12

1 0

>>> Это приложение (доступное, как правило, для любых платформ), которое генерирует для вас устойчивые пароли, запоминает и хранит в защищенном виде ваши логины-пароли для различных сервисов

Ja-ja. А мы ему верим на слово. Ну они же говорят, что они "запоминают и хранят в защищенном виде". И кто мы такие, чтобы им не верить?

На самом деле, если уж пользоваться менеджером паролей, то есть несколько АБСОЛЮТНО НЕОБХОДИМЫХ условия:

1. Он должен быть open source
2. Он не должен ни в каком виде никак и никогда не получать доступ к сети.
3. Желательно его самому скомпилировать из сорцов

На андроиде я знаю один такой - OI Safe.

rsx11

04.11.25 10:42

2 2

кстати да.. я смутно очень помню историю когда какой то линковщик в реп взломанный смогли положить и он "в подарок" стал отсебятину какую-то линковать то ли для для бекдоров то ли для рекламы...

googleboom

satyr

04.11.25 17:28

0 0

Скажите, вы все исходники проверяете лично?

Разве можно верить компилятору и линковщику? Надо проверять бинарник! 😄

satyr

googleboom

04.11.25 15:59

0 0

Ну что я могу сказать. Продолжайте верить "независимым аудитам".

Ну тогда и банкам нельзя верить - держать деньги только под подушкой. Да и фрукты/овощи выращивать самостоятельно, как Стерлигов. И вообще - только натуральное хозяйство - никому верить нельзя. У многих, знаете, только 24 часа в сутках - на всё времени просто не хватит.

Advocem

rsx11

04.11.25 13:24

0 1

Ну тогда избушка в тайге и натуральное хозяйство - ваш выбор. А иначе сейчас никак. Как вы с неаудиченным телефоном живёте? И без пластиковых карт и без доступа в сеть с телефона или компа?

googleboom

rsx11

04.11.25 12:16

0 2

Если в принципе есть доступ в сеть, то инспекция становится весьма проблематичной. Поэтому лучше, что её не было ВООБЩЕ.

Ящетаю, вполне разумный взгляд на вещи, если сеть капитально не отгорожена от внешнего мира.

Trilobyte

rsx11

04.11.25 12:05

0 0

Я об этом и написал. Если в принципе есть доступ в сеть, то инспекция становится весьма проблематичной. Поэтому лучше, что её не было ВООБЩЕ.

Кстати, бросил беглый взгляд на vaultwarden. 70 внешних библиотек! 70, Карл. Причём среди них webauthn и http 😄 Ну тут сразу или нунахер или потратить полгода на инспекцию. Я выбираю первое.

rsx11

googleboom

04.11.25 11:49

1 0

Ну что я могу сказать. Продолжайте верить "независимым аудитам". Вот к ним и обращайтесь, в случае чего.На самом деле вы правы, есть люди, для которых слово скомпилировать уже попахивает магией. Ну тогда в любом случае надо выбирать кому верить. А верить никому нельзя. Ну вот, никаким и не пользуйтесь (вот никаких и не читайте (с))

просто компиляции недостаточно, надо код самому проверить сначала (экспертам же нельзя верить).
Скажите, вы все исходники проверяете лично? Сколько у вас часов в сутках и жизней?

googleboom

rsx11

04.11.25 11:40

0 4

Ви таки будете смеяться, но файлик passwords.doc на рабочем столе может быть более эффективным и секьюрным решением (если, конечно, там не в открытом виде всё записано), чем просто так верить на слово хрен знает кому.

rsx11

Advocem

04.11.25 11:37

1 2

Из локальных keepass и ряд его дериватов open source.
Из клиент-серверных bitwarden и совместимый с ним vaultwarden - open source.

Trilobyte

rsx11

04.11.25 11:36

0 3

Ну что я могу сказать. Продолжайте верить "независимым аудитам". Вот к ним и обращайтесь, в случае чего.

На самом деле вы правы, есть люди, для которых слово скомпилировать уже попахивает магией. Ну тогда в любом случае надо выбирать кому верить. А верить никому нельзя. Ну вот, никаким и не пользуйтесь (вот никаких и не читайте (с))

rsx11

Advocem

04.11.25 11:34

0 1

Ну ерунду же написали. Так и вижу, как мои родители компилируют из исходников свой менеджер паролей. Да и я сам, честно говоря, вряд ли стал бы на это тратить время.

Большинство людей вообще с трудом отличает «логин» от «пароля» и записывает всё в файлик passwords.doc на рабочем столе.

И «верить на слово» тут не нужно - все крупные решения вроде 1Password и Bitwarden проходят независимые аудиты безопасности и сертификации.

Advocem

rsx11

04.11.25 11:19

0 2

Почему никакой сети? Да нет, не потому что запрещено, пусть зашифрованные пароли сохраняет. Просто потому, что инспектировать такой код чрезвычайно тяжело. Надо внимательно-внимательно смотреть ВСЁ, чтобы не пропустить какую-либо малозаметную дырочку. Другое дело, если доступа к сети нет вообще - парочка grep-ов и мы более-менее можем быть уверены. Процентов этак на 99 😄

rsx11

phanex

04.11.25 10:59

0 0

1. Он должен быть open source

битварден

2. Он не должен ни в каком виде никак и никогда не получать доступ к сети.

Не битварден. Но можно битварден гонять на самохостинге и иметь настолько надёжную защиту, насколько нужно.

3. Желательно его самому скомпилировать из сорцов

Битварден. Как серверная, так и клиентская часть.

phanex

rsx11

04.11.25 10:46

0 1

Следующий шаг - уведенный мастер-пароль.

wmlab

04.11.25 10:24

0 1

А каким образом, если он нигде не записан и вводится только при открытии хранилища?

Keylogger?

Advocem

maxez

04.11.25 13:26

0 3

Следующий шаг - уведенный мастер-пароль

А каким образом, если он нигде не записан и вводится только при открытии хранилища?

maxez

wmlab

04.11.25 12:40

0 0

Следующий шаг - уведенный мастер-пароль.

При желании можно вместо пароля использовать аппаратный ключ. Его не уведут

www.token2.swiss

Emin

wmlab

04.11.25 11:08

0 1

Следующий шаг — это установить сервер на свой сервер (или нас). И полностью отвязаться от чужого облака

bblu

04.11.25 10:08

0 3

плачу где-то $10ку - на бесплатном стремно

10 баксов дает уверенность что тот же код работает лучше? оригинально.

я тоже как то раз дал парню на ресепшене в отеле в Шарме 10ку чтобы он меня в номер получше поселил.. он деньги взял но нихрена не сделал (может и пытался даже, ктож его знает, а может и нет), но итог не изменился, мне пришлось жить там, куда сначала поселили. Я иногда даже думаю "а понял ли он вообще за что я ему деньги дал"

googleboom

ole9us

04.11.25 17:32

0 0

Смотря где и как гоняешь. Мой крутится на оракловском серваке. Always Free Tier.Понятно, что порог вхождения выше, но не то чтобы неподъёмно - опять-таки, куча видео на ютьюбе, где проведут за ручку. p.s. А о каком апи ключе идёт речь?

У меня тоже Vaultwarden там, но я всё-таки перешел на платный - плачу где-то $10ку - на бесплатном стремно

ole9us

phanex

04.11.25 17:16

0 0

виноват, замарал честь офицера, снимаю претензии(Я как то давно думал про самохостинг и почему то (глюк наверное) решил что ему для работы нужен АПИ ключ от битвардена. Ну и забил на это дело)в обчем, сорян, обмишурился.

Раньше самому хостить оригинальный битварден было геморно. Зато теперь у них наконец появился докер контейнер всё-в-одном. Но vaultwarden всё равно меньше ресурсов требует.

Trilobyte

googleboom

04.11.25 11:50

0 2

А о каком апи ключе идёт речь?

виноват, замарал честь офицера, снимаю претензии
(Я как то давно думал про самохостинг и почему то (глюк наверное) решил что ему для работы нужен АПИ ключ от битвардена. Ну и забил на это дело)
в обчем, сорян, обмишурился.

googleboom

phanex

04.11.25 11:47

0 0

одна бяда, за самохостинг таки придется платить (API key нужен)

Смотря где и как гоняешь. Мой крутится на оракловском серваке. Always Free Tier.

Понятно, что порог вхождения выше, но не то чтобы неподъёмно - опять-таки, куча видео на ютьюбе, где проведут за ручку.

p.s. А о каком апи ключе идёт речь?

phanex

googleboom

04.11.25 11:43

0 1

одна бяда, за самохостинг таки придется платить (API key нужен)и не всякому потянуть такую установку, в отличии от инструкции выше...

Зачем платить? Кому? Какой Api key?

bitwarden.com
или так
github.com

Trilobyte

googleboom

04.11.25 11:42

0 0

одна бяда, за самохостинг таки придется платить (API key нужен)
и не всякому потянуть такую установку, в отличии от инструкции выше...

googleboom

bblu

04.11.25 11:21

0 0

+

Преимущества, помимо "моё добро только у меня" - ключи ТОТР, полная функциональность, включая неограниченное создание "фирм", что в моём случае - семейные пароли, к которым должна иметь доступ и жена.

Для самохостинга лучше всего использовать vaultwarden (форк битвардена на русте) - он меньше хочет ресурсов.

phanex

bblu

04.11.25 10:49

0 2

Поиск

e-mail Экслера - toffler@gmail.com

Информация

О разделе

Рейтинг

RSS-лента

Архив

Что ещё почитать