Критерии проверки: на что обратить внимание при выборе сервиса
Не каждый менеджер, позиционирующий себя как «бесплатный», одинаково полезен. Чтобы не потерять доступы через полгода, проверяйте сервис по конкретным параметрам.
Тип шифрования. Ищите AES-256 или XChaCha20. Если производитель не указывает алгоритм на сайте — это красный флаг. Bitwarden и KeePassXC используют AES-256-CBC с ключом, производным через PBKDF2-SHA256 (600 000 итераций по умолчанию) или Argon2id.
Лимит бесплатного тарифа. Уточняйте: сколько паролей можно сохранить, на скольких устройствах синхронизируются данные и есть ли ограничение на типы записей. Bitwarden Free разрешает неограниченное количество паролей на неограниченном числе устройств. NordPass Free — одно устройство одновременно, до 250 паролей. Sticky Password Free — только локальное хранение, без облачной синхронизации.
Подробнее на эту тему — Оформить возврат денег за некачественную обувь в интернет-м….
Открытый исходный код. Позволяет экспертам проверять реализацию криптографии. Bitwarden, KeePassXC и Proton Pass — полностью open-source. NordPass и Sticky Password — закрытый код, но оба прошли аудиты сторонних компаний.
Независимые аудиты. Bitwarden прошёл аудит от Cure53 в 2023 году (отчёт опубликован). NordPass — аудит от VerSprite (2023). Proton Pass — аудит от Securitum (2024). Если сервис за 5 лет не предоставил ни одного отчёта от третьей стороны, доверять ему мастер-пароль рискованно.
Двухфакторная аутентификация (2FA). Бесплатный тариф должен поддерживать хотя бы TOTP (Google Authenticator, Aegis) или аппаратные ключи FIDO2/YubiKey. Bitwarden Free поддерживает и то, и другое. NordPass Free — только email-код, аппаратные ключи доступны на платном тарифе от €1,49/мес.
Подробнее на эту тему — Нейросети рисуют чудо-сад: как продают фейк-растения.
Импорт и экспорт. Проверяйте, можно ли перенести данные в формате CSV или JSON без потери полей. KeePassXC хранит базу в формате.kdbx, который конвертируется через встроенный экспорт. Bitwarden принимает импорт из 30+ источников, включая Chrome, Firefox, LastPass, 1Password.
---
Техническая надежность: шифрование и мастер-пароль как фундамент защиты
Менеджер паролей работает по принципу «нулевого знания»: сервер хранит зашифрованный блоб, расшифровка происходит только на устройстве пользователя. Если мастер-пароль утерян, данные не восстановить — и это правильно, потому что иначе их мог бы прочитать и провайдер.
AES-256 — стандарт, который используют банки и государственные структуры. Для взлома одной записи потребуется больше вычислительных ресурсов, чем существует на планете в 2026 году. Но алгоритм защищает только от перебора — если мастер-пароль «123456», шифрование не поможет.
Производная ключа (KDF). Перед шифрованием мастер-пароль пропускается через функцию, которая растягивает вычисления на сотни тысяч итераций. Это замедляет перебор. Bitwarden использует PBKDF2 с 600 000 итераций или Argon2id (настраивается). KeePassXC по умолчанию применяет Argon2d с 64 МБ памяти и 3 проходами — это делает брутфорс на GPU дороже, чем PBKDF2.
Практический шаг. Откройте настройки безопасности выбранного менеджера и проверьте значение KDF. В Bitwarden: Settings → Security → Keys. Увеличьте итерации PBKDF2 до 600 000 или переключитесь на Argon2id. В KeePassXC: Database → Database Settings → Encryption. Установите Argon2d с 128 МБ памяти, если ваше устройство имеет 8 ГБ ОЗУ и более.
Мастер-пароль. Минимум 16 символов, комбинация букв верхнего и нижнего регистра, цифр и спецсимволов. Не используйте фразы из популярных фильмов или личные даты. Пример надёжной конструкции: возьмите первые буквы слов из незнакомого предложения и добавьте два спецсимвола и год. «Я читал три книги за январь» → «Ячткзя» + «!2026#K» → `Ячткзя!2026#K` — 13 символов, достаточно для защиты от перебора, но лучше довести до 16+.
---
Сравнение функционала 5 бесплатных менеджеров паролей
| Параметр | Bitwarden Free | KeePassXC | Proton Pass Free | NordPass Free | Sticky Password Free |
|---|---|---|---|---|---|
| Год запуска | 2016 | 2017 (форк KeePassX) | 2023 | 2019 | 2009 |
| Шифрование | AES-256-CBC, Argon2id | AES-256, ChaCha20, Argon2d | AES-256, Argon2 | XChaCha20 | AES-256 |
| Открытый код | Да | Да | Да | Нет | Нет |
| Бесплатный лимит паролей | Без ограничений | Без ограничений | Без ограничений | 250 записей | Без ограничений |
| Синхронизация устройств | Облачная, без лимита устройств | Локально или через собственное облако (Nextcloud, Syncthing) | Облачная, без лимита устройств | Одно устройство одновременно | Только локально |
| 2FA (бесплатно) | TOTP, FIDO2, Duo | TOTP, файл-ключ YubiKey | TOTP | Email-код | Нет на бесплатном тарифе |
| Генератор паролей | До 128 символов, настройка набора символов | До 1024 символов, поддержка паттернов | До 64 символов | До 60 символов | До 30 символов |
| Автозаполнение | Браузерные расширения, мобильные приложения | Автотип через глобальные горячие клавиши, расширение для Chrome/Firefox | Расширения, мобильные приложения | Расширения, мобильные приложения | Расширения, мобильные приложения |
| Хранение файлов | Вложения до 500 МБ на запись (бесплатно — 2 вложения на аккаунт) | Вложения в базе.kdbx | Нет на бесплатном тарифе | Нет | Нет |
| Аудит | Cure53 (2023) | Публичный код, регулярные проверки сообщества | Securitum (2024) | VerSprite (2023) | DefenseCode (2017) |
Bitwarden Free — лучший выбор, если нужна кроссплатформенная синхронизация. Пароли доступны на Windows, macOS, Linux, iOS, Android и через веб-интерфейс. Генератор паролей поддерживает passphrases (случайные словосочетания), что удобно для запоминания.
KeePassXC — для тех, кто не хочет доверять облаку. База хранится локально в зашифрованном файле. Синхронизация между устройствами выполняется через Syncthing, Nextcloud или собственный NAS. Минус: начальная настройка занимает 15–20 минут вместо 2 минут у облачных сервисов.
Proton Pass — встроен в экосистему Proton (Mail, VPN, Drive). Бесплатный тариф включает Hide My Email — генератор одноразовых адресов для регистрации на сайтах. Если вы уже пользуетесь Proton Mail, интеграция проходит без швов.
NordPass Free — удобный интерфейс, но 250 паролей — реальное ограничение. У пользователя с 20–30 сервисами запас есть, но при наличии рабочих и учебных аккаунтов лимит может сработать раньше, чем кажется. Синхронизация только на одном устройстве одновременно потребует ручного переключения.
Sticky Password Free — полностью локальное решение от команды, стоявшей за созданием паролей в AVG. Подходит, если нужен офлайн-доступ без регистрации аккаунта. Но отсутствие 2FA на бесплатном тарифе означает, что защите мастер-пароля нужно уделить максимум внимания.
---
Когда бесплатный сервис становится риском: ограничения и модель монетизации
Бесплатные менеджеры существуют не на энтузиазме — за ними стоят компании с бизнес-моделью. Понимание этой модели помогает предсказать, что произойдёт с вашими данными.
Freemium-ограничения. NordPass блокирует синхронизацию между устройствами на бесплатном тарифе. Если вы завели пароль на телефоне, он не появится на ноутбуке до ручного переключения. В реальной жизни это означает: сел за чужой компьютер — пароль недоступен. Решение: выбирайте сервис без ограничений на устройства, как Bitwarden Free.
Реклама и сбор данных. Sticky Password Free не показывает рекламу, но не является open-source. Политика конфиденциальности компании Lamantine Software (Чехия) допускает сбор анонимной статистики использования. Для паролей это допустимо, если метаданные не включают сами логины и пароли — но проверить без открытого кода невозможно.
Прекращение поддержки. В 2024 году сервис Blur (Abine) закрыл бесплатный тариф, дав пользователям 30 дней на экспорт. Если сервис закрывается, а у вас нет экспорта — данные теряются. Практическое правило: раз в квартал экспортируйте резервную копию хранилища в зашифрованный файл. В Bitwarden: Tools → Export Vault → JSON (Encrypted). В KeePassXC: просто скопируйте файл.kdbx на внешний носитель.
Апгрейд-давление. Proton Pass регулярно показывает баннеры с предложением перейти на платный тариф (от €3,99/мес) ради мониторинга утечек и 2FA-ключей. Это раздражает, но не влияет на безопасность бесплатной версии. Некоторые пользователи ошибочно считают, что без платного тарифа шифрование хуже — это не так.
Угроза смены владельца. В 2015 году LastPass была куплена LogMeIn, после чего начались сокращения бесплатных функций. В 2024 году Nord Security (владеет NordPass) привлекла инвестиции от General Atlantic. Смена инвестора может привести к изменениям условий. Чтобы застраховаться, выбирайте сервисы с открытым кодом: даже если компания закроется, проект может быть форкнут сообществом, как это произошло с KeePass → KeePassXC.
---
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.