UPD: первоначальная версия статьи включала оценку пяти парольных менеджеров, что отражено в URL и по тексту. Позже в таблицу сравнительной оценки добавили ещё Zoho Vault.
Восемь с половиной лет дома и на работе я использовал парольный менеджер LastPass, установив его всего через пару лет после выхода первой версии. Поэтому логично, что заступив на должность вице-президента по управлению деятельности компании Quantopian (а потом директора IT-безопасности), я внедрил LastPass в качестве корпоративного менеджера паролей. В течение нескольких лет он удовлетворял нас и по функциональности, и по качеству поддержки, оказываемой компанией.
Однако в 2015 году LogMeIn приобрела LastPass, и ситуация начала меняться. И качество продукта, и поддержка стали ухудшаться с момента приобретения, так что теперь наступил момент, когда мы решили отказаться от этой программы и оценить альтернативы.
Мы создали подробный чеклист и проверили по нему пять парольных менеджеров: LastPass, 1Password, Dashlane, Bitwarden и Keeper. В итоге мы решили, что наилучшим выбором для нашей компании будет Bitwarden, и мы начали процесс миграции с LastPass на Bitwarden.
Очевидно, что наши приоритеты и требования могут не совпадать с вашими, поэтому ниже приводится описание функциональности, на которой мы сосредоточились в своей оценке.
Даже если наши приоритеты отличаются от ваших, вы всё равно можете воспользоваться нашей оценкой! Ниже приведена таблица с результатами [в оригинальной версии статьи есть интерактивная сетка, которую можно настроить, чтобы оставить только те требования, которые вам нужны и сравнить любые 2−6 продуктов по конкретным характеристикам — прим. пер.].
Приоритеты системы управления паролями Quantopian
Мы используем парольный менеджер на Mac OS, Windows, Linux, Android и iOS. Он должен поддерживать все эти платформы. Самое главное, что полная функциональность не может зависеть от приложения, которое доступно только в Mac OS и/или Windows. Другими словами, отсутствие полной поддержки Linux сразу ставит крест на программе. Это исключает 1Password и Dashlane.
Недавно мы начали выдавать всем сотрудникам токены Yubikey с требованием использовать их для двухфакторной аутентификации во всех возможных приложениях и сервисах. Хотя поддержка YubiKey не рассматривалась как жёсткое требование, но тоже влияла на наш выбор. Конечно, мы отклонили бы любой парольный менеджер вообще без поддержки 2FA. К счастью, все пять продуктов обладают такой поддержкой в той или иной форме.
Кроме рабочих паролей, мы рекомендуем сотрудникам использовать парольный менеджер и для личных паролей, и стараемся упростить эту задачу. Несмотря на различные проблемы с LastPass, должны признать, что их функциональность «связанного личного аккаунта» — золотой стандарт для этой конкретной проблемы. Поэтому мы оценивали другие продукты в сравнении с LastPass по данному вопросу. Dashlane и Keeper плохо решают проблему, остальные предлагают вполне адекватные решения.
Очевидно, поскольку мы собирались перейти с LastPass на новый сервис, то важной была возможность импортировать данные из LastPass. К счастью, у всех продуктов есть такая возможность.
Ряд функций, которые мы рассмотрели, актуальны только в корпоративной (т. е. деловой) среде. Например, для личного использования, вероятно, вы не будете заботиться о связанных личных учётных записях, детальном контроле доступа или о том, какие возможности есть у администратора компании, но для нас это тоже важно.
Не в последнюю очередь имеет значение, чтобы наш парольный менеджер активно поддерживался, и чтобы люди из техподдержки реагировали на вопросы поддержки, запросы функций и отчёты об ошибках. Мы определённо подтверждаем это в случае с Bitwarden. Например, в какой-то момент во время нашей оценки мы представили отчёт об ошибке Bitwarden через их Github; один из мейнтенеров исправил баг через 17 минут, а всего через несколько дней патч ушёл в релиз.
Интерактивная сетка со сравнительными оценками
В интерактивной таблице со сравнительными оценками по умолчанию отображаются все пункты контрольного списка. Но если прокрутить вниз, то можно снять флажки с ненужных характеристик и/или выбрать для сравнения две конкретные программы.
Результаты
Функция | 1Password | Dashlane | Bitwarden | LastPass | Keeper | Zoho Vault |
---|---|---|---|---|---|---|
Поддержка Chrome | да | да | да | да | да | да |
Поддержка Firefox | да | да | да | да | да | да |
Поддержка Edge | да | да | да | да | да | нет |
Поддержка Safari | да | да | да | да | да | да |
Поддержка Mac OS | да | да | да | да | да | да |
Поддержка Windows | да | да | да | да | да | да |
Поддержка Linux | слабо | слабо | да | да | да | да |
Консольный клиент Mac OS | слабо | нет | да | слабо | да | нет |
Консольный клиент Windows | слабо | нет | да | слабо | да | нет |
Консольный клиент Linux | слабо | нет | да | слабо | да | нет |
Поддержка Android, с автозаполнением | да | да | да | да | да | слабо |
Автозаполнение Android в Chrome | да | да | да | да | да | нет |
Автозаполнение Android, рабочий профиль | да | да | нет | да | да | да |
Автозаполнение Android показывает полные имена пользователей | да | да | да | да | нет | нет |
Поддержка iOS, включая автозаполнение | да | да | да | да | да | да |
Двухфакторная аутентификация | да | да | да | да | да | да |
Поддержка YubiKey в браузере (Enterprise) | нет | нет | да | да | да | нет |
Поддержка YubiKey в браузере (Personal) | нет | нет | да | да | да | нет |
Поддержка YubiKey в Android | нет | нет | да | да | нет | нет |
Поддержка YubiKey в iOS | нет | нет | да | да | нет | нет |
Сохранение паролей в Android | да | да | да | да | да | да |
Сохранение паролей в iOS | да | да | да | да | да | да |
Вход по отпечатку пальца в Android | да | да | да | да | да | да |
Вход по отпечатку пальца в iOS | да | да | да | да | да | да |
Синхронизация между устройствами | да | да | да | да | да | да |
Импорт из LastPass | да | да | да | да | да | да |
Различие рабочих и личных профилей при импорте из LastPass | нет | нет | нет | да | нет | нет |
Сохранение папок LastPass folders в каком-то виде при импорте | да | сомнительно | да | да | да | да |
Привязка личного аккаунта (или эквивалент) | да | слабо | да | да | нет | нет |
Сохранение местоположения (работа/дом) в момент создания | да | нет | да | да | нет | нет |
Сохранение местоположения (папка/коллекция/постранство) редактируется в веб-приложении | да | нет | да | да | да | да |
Осмысленная проверка силы мастер-пароля | да | нет | да | да | да | да |
История паролей в Linux | да | нет | да | да | да | да |
История паролей в Windows | да | да | да | да | да | да |
История паролей в Mac OS | да | да | да | да | да | да |
Безопасные заметки | да | да | да | да | да | слабо |
Вложения к заметкам в Linux | нет | нет | да | да | да | да |
Вложения к заметкам в Windows | да | да | да | да | да | да |
Вложения к заметкам в Mac OS | да | да | да | да | да | да |
Общие папки с контролем доступа на Linux | да | нет | да | да | да | да |
Общие папки с контролем доступа на Windows | да | да | да | да | да | да |
Общие папки с контролем доступа на Mac OS | да | да | да | да | да | да |
Разные группы с настраиваемым контролем доступа | нет | нет | да | нет | да | да |
Вложенные папки | нет | нет | да | да | да | слабо |
Противостояние невидимым формам автозаполнения | да | да | да | нет | да | неизвестно |
Плагин браузера заполняет только указанную форму | нет | неизвестно | нет | нет | неизвестно | да |
Плагин браузера отображает иконку на полях формы | да | да | нет | да | да | да |
Плагин браузера предлагает сохранить новые сайты на Linux | нет | да | да | да | да | да |
Плагин браузера предлагает сохранить новые сайты на Windows | неизвестно | да | да | да | да | да |
Плагин браузера предлагает сохранить новые сайты на Mac OS | неизвестно | да | да | да | да | да |
Поддержка 2FA при авторизации в хранилище паролей | нет | нет | да | нет | нет | нет |
Автозаполнение в браузере отключено по умолчанию | да | нет | да | нет | нет | да |
Автозаполнение в браузере можно отключить | да | нет | да | да | да | да |
Администратор может переустановить пароли | да | да | нет | да | нет | нет |
У администратора есть доступ к приватным данным других пользователей | да | нет | нет | да | да | нет |
Админы могут переустановить 2FA пользователей | да | нет | нет | да | нет | да |
2FA можно принудительно внедрить на корпоративном уровне | нет | нет | нет | да | да | да |
Есть возможность аудита 2FA на уровне организации | да | нет | да | да | да | нет |
Экспорт под Linux | нет | нет | да | да | да | да |
Экспорт под Windows | да | да | да | да | да | да |
Экспорт под Mac OS | да | да | да | да | да | да |
Экспорт аттачментов | неизвестно | неизвестно | нет | нет | нет | нет |
Отклик на баг-репорты и запросы новых функций | нет | неизвестно | да | нет | нет | неизвестно |
Open source | нет | нет | да | нет | нет | нет |
Есть функция self-host | слабо | нет | да | нет | нет | нет |
Корпоративная лицензия, месяц | 7,99 | 4 | 3 | 6 | 3,75 | 3,6 |
Стоимость для одного пользователя, месяц (без аттачментов или YubiKey) | 2,99 | 4,99 | 0 | 2 | 2,5 | 0 |
Стоимость для одного пользователя, месяц (с аттачментами и YubiKey) | 2,99 | 4,99 | 0,84 | 2 | 2,5 | 0 |
Информативна ли страница со статусом сервиса | да | да | нет | да | нет | да |
Количество падений сервиса за последние 6 месяцев | 1 | 12 | 0 | 12 | 0 | 2 |
Что думаете?
Вы проводили аналогичную оценку для себя или своей компании? Если да, то каков был окончательный выбор и каковы решающие факторы?
Да пребудет с вами безопасность!
Автор: m1rko