Гид по технологиям

Pass — открытый менеджер паролей для Linux, macOS, Windows

6 min read Безопасность Обновлено 06 Jan 2026
Pass: открытый менеджер паролей для всех ОС
Pass: открытый менеджер паролей для всех ОС

Pass — это простой и переносимый менеджер паролей с открытым исходным кодом. Он хранит каждый пароль как GPG-зашифрованный текстовый файл в иерархии каталога (~/.password-store). Подходит для пользователей, которые ценят переносимость, интеграцию с Git и работу через командную строку. Для тех, кто предпочитает GUI, существуют фронтенды и миграционные скрипты из популярных сервисов.

Зачем использовать менеджер паролей

Пояснение: менеджер паролей — это программа для создания, хранения и извлечения паролей безопасным способом.

Практика надёжной гигиены паролей проста: используйте уникальный пароль для каждой услуги, комбинируйте буквы, цифры и спецсимволы, и не применяйте словарные слова. Двухфакторная аутентификация (2FA) повышает безопасность там, где это возможно. Главная причина повторного применения слабых паролей — их трудно запомнить. Pass решает эту проблему, сохраняя пароли в зашифрованных файлах, которые вы можете переносить, версионировать и интегрировать в привычные инструменты.

Важно: менеджер паролей безопасен в той степени, в которой защищены ваши ключи GPG и доступ к вашей машине.

Логотип Pass — открытый менеджер паролей

Основные принципы Pass

Pass — это минималистичный менеджер, управляемый через командную строку. Каждый пароль хранится в виде файла, зашифрованного с помощью GPG. Имя файла обычно соответствуют названию сайта или ресурса. Все файлы организованы в иерархическую структуру в каталоге ~/.password-store.

Преимущества такой архитектуры:

  • Прозрачность: пароли — обычные текстовые файлы перед шифрованием. Это упрощает резервное копирование и перенос.
  • Интеграция: можно использовать стандартные Unix-утилиты (cat, grep, pipe и т.д.) после дешифровки.
  • Контроль версий: каталог можно хранить в Git, отслеживая изменения и откаты.
  • Портативность: копирование каталога между машинами переносит весь набор паролей.

Pass умеет временно хранить данные в буфере обмена и автоматически очищает их через заданный интервал.

Установка Pass

Установить Pass просто — используйте менеджер пакетов вашей ОС. Примеры:

sudo apt-get install pass*.*
sudo yum install pass

На macOS:

Я установил это так: brew install pass

Установка Pass через Homebrew

После установки можно начать создавать хранилище паролей.

Как Pass хранит данные

Pass не навязывает схему для содержимого файлов. Это просто текстовые файлы, поэтому внутри можно хранить пароли, PIN, метаданные, заметки и даже стихотворение — всё шифруется одинаково.

Первичная настройка (инициализация)

При первой установке хранилище пустое. Для начала выполните инициализацию:

Инициализация Pass

pass init

Команда создаёт базовые каталоги и требует указать идентификатор вашего GPG-ключа в кавычках. Идентификатор — это ваш GPG private key ID.

Если ключа нет, создайте его:

gpg --gen-key

Далее проверьте список ключей:

gpg --list-keys

Создание GPG-ключа

Если всё настроено, при запуске Pass вы увидите структуру хранилища:

Pass работает корректно

Добавление и просмотр паролей

Добавление пароля следует простой конвенции: pass insert <категория>/<название>

Пример для личной почты:

pass insert email/personal

Добавление почтового пароля

Для просмотра содержимого используйте имя элемента:

pass social/twitter

При этом вас попросят ввести пароль от вашего GPG-ключа.

Показ пароля через Pass

Копирование в буфер обмена:

pass -c social/twitter

Pass автоматически удалит содержимое буфера через 45 минут по умолчанию.

Генерация сильных паролей возможна через pwgen:

pass generate social/linkedin 30

Удаление пароля:

pass rm social/twitter

Миграция из других менеджеров паролей

Сообщество Pass создало набор скриптов для миграции из популярных сервисов. Скрипты написаны на Ruby, Python, Perl и Shell и поддерживают импорт из:

  • 1Password
  • KeePassX
  • KeePass2
  • Figaro
  • LastPass
  • Ked
  • Revelation
  • Gorilla
  • PWSafe
  • KWallet
  • RoboForm

Скачивайте скрипты с сайта Pass внизу страницы проекта. Перед миграцией сделайте резервную копию исходных данных и протестируйте экспорт в безопасной среде.

Графические интерфейсы и фронтенды

Если командная строка не по вкусу, у сообщества есть несколько GUI:

  • GoPass — красивый просмотрщик, написан на Go. Подходит для чтения и поиска, но не для удаления и вставки.
  • Pext — фронтенд на Python, интегрируется с Linux-окружениями и упрощает поиск.

GoPass интерфейс просмотра паролей

Безопасность и лучшие практики

Ключевые рекомендации по безопасности при использовании Pass:

  • Защитите ваш GPG-ключ сильной фразой-паролем.
  • Храните резервную копию вашего GPG-ключа в надежном месте (аппаратный токен, защищённый офлайн-носитель).
  • Используйте отдельный GPG-ключ для рабочих и личных наборов паролей при необходимости.
  • Храните каталог ~/.password-store в приватном репозитории или на зашифрованном диске.
  • Включите двухфакторную аутентификацию для сервисов, где это возможно.
  • Регулярно пересматривайте и обновляйте критичные пароли.

Важно: если злоумышленник получит доступ к вашей машине и к GPG-ключу, он сможет расшифровать пароли.

Когда Pass не подходит (противопоказания)

  • Если вам нужен централизованный облачный сервис с синхронизацией между устройствами и поддержкой мобильных приложений «из коробки». Pass сам по себе не предоставляет облачной синхронизации — это можно организовать через Git/SSH/Dropbox, но это требует навыков.
  • Если вы предпочитаете полностью управляемый сервис с автоматической автозаполнением в браузере на мобильных устройствах.

Методология миграции: краткий план

  1. Экспортируйте данные из текущего менеджера в безопасный файл.
  2. Создайте тестовый GPG-ключ и тестовое хранилище Pass на отдельной машине или контейнере.
  3. Используйте миграционные скрипты сообщества для импорта.
  4. Проверяйте соответствие каждой записи и корректируйте вручную проблемные элементы.
  5. После проверки перенесите хранилище в основное место и убедитесь, что резервные копии удалены/заархивированы безопасно.

Чек-листы по ролям

Администратор

  • Создать/защитить GPG-ключы для команды.
  • Настроить приватный Git-репозиторий для централизованного хранения (если применимо).
  • Обеспечить резервные копии и план восстановления.

Обычный пользователь

  • Создать личный GPG-ключ и фразу-пароль.
  • Инициализировать ~/.password-store.
  • Импортировать личные записи или добавлять новые.
  • Настроить регулярное обновление важных паролей.

Разработчик/интегратор

  • Автоматизировать бэкап через скрипты.
  • Интегрировать Pass в CI/CD аккуратно, избегая хранения чувствительных данных в открытом виде.

Быстрая методика оценки (Impact × Effort)

  • Перенос в Pass: средний трудозатрат / высокий эффект на безопасность и контроль.
  • Настройка GPG и Git: небольшой труд / высокий эффект на переносимость и версионирование.
  • Полная миграция с мобильной синхронизацией: высокий труд / средний эффект (требует дополнительных инструментов).

Мини-глоссарий

  • GPG: инструмент для асимметричного шифрования и подписи.
  • Буфер обмена: временное хранилище для копирования данных между приложениями.
  • Git: система контроля версий.

Примерный сценарий: миграция из LastPass в Pass

  1. Экспортируйте CSV из LastPass в защищённом окружении.
  2. Используйте скрипт-импортер (community script) для преобразования CSV в структуру Pass.
  3. Проверьте каждый импортированный файл в ~/.password-store.
  4. Удалите CSV и любые временные файлы после успешной проверки.

Диаграмма принятия решения (Mermaid)

flowchart TD
  A[Нужна ли облачная синхронизация «из коробки»?] -->|Да| B[Рассмотреть коммерческий менеджер]
  A -->|Нет| C[Подходит Pass]
  B --> D[Оценить мобильные приложения и автозаполнение]
  C --> E[Инициализировать GPG и Pass]
  E --> F[Импорт/создание паролей]
  F --> G[Настроить Git/резервное копирование]

Критерии приёмки

  • Все критичные сервисы имеют уникальные пароли.
  • GPG-ключ создан и защищён фразой-паролем.
  • Резервная копия GPG-ключа хранится офлайн.
  • Хранилище проверено на другой машине после миграции.

Советы по отладке и восстановлению

  • Если забыли фразу к GPG-ключу — восстановление невозможно без резервной копии ключа.
  • При ошибках при импорте проверяйте формат CSV и отключайте неподдерживаемые поля.
  • Воспользуйтесь отдельной тестовой учетной записью для проверки автоматизации.

Заключение

Pass — отличный выбор для тех, кто хочет прозрачный, переносимый и простой менеджер паролей с открытым исходным кодом. Он даёт контроль над данными, интеграцию с привычными инструментами и гибкость в рабочем процессе. Если вам нужен GUI или мобильная синхронизация «из коробки», изучите фронтенды и дополнительные плагины сообщества.

Примечание: расскажите о своём опыте. Используете Pass или другой сервис? Оставьте комментарий — обсудим.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство