LessPass — хватит и одного пароля
 http://[lesspass.com](https://lesspass.com)

Пароли хранить в защищённых базах данных — это, конечно, хорошо, и на меньшее, вроде хранения в браузерах, соглашаться нельзя, но некоторая модель угроз вообще не позволяет их хранить. Не говоря уже об издержках консервативного подхода в виде утери ключей от базы, коррупции или утери самой базы, либо устройства с ней.

Скорость брутфорса тоже не радует: одна RTX 4090 ломает 8-значный пароль с цифрами, буквами обоих регистров и спецсимволами меньше чем за час. LessPass предлагает другой подход — вместо хранения паролей генерируйте их на основе только вам известных переменных. Это снижает поверхность атаки и увеличивает сложность паролей на выходе.

📌 Детали

  • открытый исходный код на JavaScript и Python
  • клиенты: консольный, web-морда, под Android и iOS + расширения под Firefox и Chrome
  • пароли генерирует функция PBKDF2 через 100к итераций входных данных
  • работает полностью оффлайн, не ведет никаких БД = не нуждается в синхронизации
  • настриваемая длина и символьный состав пароля
  • простая верификация пароля через 3 эмоджи
  • генерация нового пароля на те же данные одной кнопкой (counter)

Пароли можно генерить хоть на самые простые данные, но они должны быть тяжелыми для угадывания/брутфорса, ведь зная сайт, юзернейм и мастерпароль, злоумышленник может сгенерировать все ваши пароли у себя.

ИМХО:  Суперудобная штука. По скорости работы с паролями сопоставима с традиционным хранением, но лишена недостатков в безопасности и портативности такого подхода. Юзера и сайт лучше немного менять при генерации — фантазия в помощь.

Свежее