Вопрос Как безопасно хранить и управлять 180 паролями?


У меня около 180 паролей для разных веб-сайтов и веб-сервисов. Все они хранятся в одном документе Excel, защищенном паролем. По мере увеличения списка меня все больше беспокоит его безопасность.

Насколько безопасно, или я должен сказать, что это небезопасно, - это документ Excel, защищенный паролем? Какова наилучшая практика для хранения этих паролей безопасным и простым способом?

Я считаю, что метод Excel достаточно прост, но я обеспокоен аспектом безопасности.


146
2018-06-05 10:47


происхождения


Коммерческий продукт, такой как CyberArk, отвечает вашим потребностям. - Ivan Chau


ответы:


Мой любимый инструмент хранения паролей KeePass:

enter image description here

Что такое KeePass?

Сегодня вам нужно запомнить много паролей. Вам нужен пароль для входа в сеть Windows, ваша учетная запись электронной почты, FTP-пароль вашего веб-сайта, онлайн-пароли (например, учетная запись веб-сайта) и т. Д. И т. Д. Список бесконечен. Кроме того, вы должны использовать разные пароли для каждой учетной записи. Потому что, если вы используете только один пароль везде, и кто-то получает этот пароль, у вас есть проблема ... Серьезная проблема. У вора будет доступ к вашей учетной записи электронной почты, веб-сайту и т. Д. Невообразимо.

KeePass - это бесплатный менеджер паролей с открытым исходным кодом, который поможет вам безопасно управлять паролями. Вы можете поместить все свои пароли в одну базу данных, которая заблокирована одним основным ключом или ключевым файлом. Поэтому вам нужно запомнить только один главный пароль или выбрать файл ключа, чтобы разблокировать всю базу данных. Базы данных зашифровываются с использованием лучших и наиболее безопасных алгоритмов шифрования, известных в настоящее время (AES и Twofish). Для получения дополнительной информации см. страница свойств,


Существует ли ограничение на количество паролей, которые вы можете сохранить в нем?

Только в теории. Вы можете поместить столько записей в базу данных, сколько хотите, но в какой-то момент ваш USB-ключ или жесткий диск будут заполнены.

Есть ли способ автоматической синхронизации измененных паролей?

Нет, не так, как вы ожидаете.
Вы захотите сделать это обычным, ручным процессом. Это не может и не следует быть автоматизированным.

Мне нравится устанавливать даты истечения срока действия для всех моих паролей: enter image description here
Затем я не забываю регулярно менять свои пароли. Я хранил URL-адрес веб-сайта с паролем, поэтому это быстрый процесс.

Могу ли я автоматически войти на сайт, например Facebook, используя это программное обеспечение?

Нет, не автоматически либо (по крайней мере, насколько мне известно). Но это где Auto-Type вступает в игру. Например, для Facebook это моя настройка Auto-Type:

enter image description here

Как вы можете видеть, я создал 3 конфигурации для разных названий браузеров. Это позволяет мне просто перейти к facebook.com, Нажмите Ctrl+Alt+, и имя пользователя и пароль будут автоматически введены, и я войду в систему.

Если у вас несколько комбинаций имени пользователя и пароля для одна и та же заголовок окна, вы получите всплывающее окно с запросом о том, какая запись пароля должна использоваться.

Как насчет мобильных?

Существуют приложения, поддерживающие формат контейнера KeePass на мобильных устройствах. Но я держусь подальше от них. Мне просто не нравится мысль о моей базе данных KeePass на моем телефоне.

Я предпочитаю передавать только отдельные пароли, используя Генератор QR-кода плагин. Он позволяет создавать QR код от пароля, который вы можете сканировать с помощью своего телефона. Это помогает приложение который может скопировать отсканированный контент в буфер обмена.

enter image description here


207
2018-06-05 10:51



Если вы поместите его в Dropbox, вы можете открыть его в любом месте (это портативная версия) даже на вашем телефоне. Кроме того, он может быть импортирован в Lastpass. Хороший выбор - Ivo Flipse♦
@Oliver Это похоже на тот инструмент, который мне нужен. Я обязательно попробую. Функция срока действия сладка! И авто-тип достаточно прост. Я понимаю, что на некоторых веб-сайтах вам может потребоваться подтвердить смену пароля, нажав на ссылку, которую они отправляют по электронной почте, поэтому по этой причине любая функция автосинхронизации, как я себе представлял, не сможет синхронизировать и автоматически обновлять пароль. Это плюс, что это работает на других ОС, чем просто Windows. Данке Оли! ;) - Samir
Если вам нужна дополнительная безопасность для использования в Dropbox, используйте файл ключа вместе с паролем и вручную скопируйте его на любой компьютер или устройство, к которому вы хотите получить доступ к своим паролям (не храните ключ в Dropbox). AFAIK это работает только с Android и корневыми устройствами iOS, так как вам нужен доступ к файловой системе, но без ключевого файла файл паролей почти не поддается проверке. - Chad Levy
Обратите внимание, что KeePass 2 - только для Windows (по крайней мере, бесплатные моно-интерпретаторы Linux в Linux очень плохо работали). Есть старый клон KeePass 1 под названием KeePassX, который я использую на Mac и Linux, и он работает очень хорошо. - Reid
@Reid: По моему опыту, KeePass2 отлично работает на Mono; это просто уродливо, и это Mono vs .NET. - grawity


Кажется, есть несколько простых в использовании взломов паролей Excel.

Я бы использовал систему управления паролями, такую ​​как 1password или LastPass которые работают на нескольких ОС, включая мобильные телефоны.

У них есть плагины для большинства браузеров, которые могут заполнять пароли и другую информацию в веб-форме. 1password также может установить закладку в браузере, которая будет автоматически вводиться в систему (для всех применений приложения требуется сначала использовать мастер-пароль)

1password также может хранить заметки, учетную запись (например, электронную почту, ftp) и шаблоны, чтобы помочь хранить кредитную карту, банковский счет и другую информацию. Хотя это коммерческий, вы можете получить бесплатную демоверсию, которая позволяет вводить до 20 предметов.

Одно из различий между ними состоит в том, что 1password хранит данные только локально (хотя вы можете синхронизировать полученные данные с помощью Dropbox или аналогичных), Lastpass может (должен? Кто-то исправить это) хранить данные на своем веб-сайте, что позволяет веб-доступ к данных и нет необходимости в Dropbox и т. д.


68
2018-06-05 10:55



Пароли Excel очень легко взломать. Google Excel взломщик паролей, и вы увидите много вариантов. +1 для Lastpass. Раньше я использовал Roboform, но любил Lastpass лучше, потому что это кросс-платформа. Я использую их генератор паролей для рандомизации паролей. - Kendor
+1 для LastPass. К сожалению, ответ на все хорошее форматирование и картинки для KeePass, поскольку LastPass значительно превосходит: он делает все, что делает KeePass, но также имеет плагины для каждого основного браузера, ОС и мобильной платформы. Он также хранит данные в Интернете, поэтому вам не придется беспокоиться о потере его (и кэширует его локально, поэтому вам не придется беспокоиться о том, что их серверы опускаются), но шифрует все, используя TNO (никто не доверяет), поэтому LastPass никогда не сможет увидеть ваши пароли. Есть очень мало программ, которые я когда-либо называл абсолютно идеальный, но LastPass является одним из них. - BlueRaja - Danny Pflughoeft
LastPass теперь также поддерживает двухфакторную аутентификацию через Android / iPhone сейчас, то есть кто-то сначала должен украсть ваш телефон, чтобы запустить приложение Authenticator (которое генерирует случайный код каждые 30 секунд) для доступа к вашим паролям. - glenneroo
@Sammy: Да, большинство функций свободны навсегда. только функции, которые вам нужно оплатить это мобильные приложения и многофакторная аутентификация, для которых требуется «премиум-аккаунт» (12 долларов США в год). Автор не пытается разбогатеть от программы - я не использую премиальные функции, но все равно плачу за премиум-аккаунт, чтобы выразить свою благодарность. Обычно я жертвую только проекты с открытым исходным кодом, так что вам что-то говорит :) - BlueRaja - Danny Pflughoeft
LastPass удобен, но в основном закрыт-источник и приобретен LogMeIn. Серверы LastPass были нарушены (по крайней мере частично) несколько раз, и их клиент разрешил "чтение незашифрованных паролей для произвольных доменов из хранилища LastPass, когда этот пользователь посетил вредоносный веб-сайт"и в настоящее время (Mar2017)"двоичный файл LastPass ... позволяет вредоносным веб-сайтам выполнять код по своему выбору. Даже когда двоичный файл отсутствует ... позволяет вредоносным сайтам красть пароли из защищенного хранилища LastPass" Видеть en.wikipedia.org/wiki/LastPass#Security_issues для ссылок - Xen2050


я использовал LastPass какое-то время, и рекомендую его очень. В нем есть некоторые замечательные плагины для браузера и множество функций, которые упрощают получение более безопасных паролей.

Плагин браузера будет автоматически заполнять регистрационную информацию (при входе в плагин). Он также имеет функцию экспорта, поэтому вы можете получить свою базу данных и импортировать ее в KeePass например. Он также использует двухэтапную аутентификацию для дополнительной безопасности.

Клиент рабочего стола:

desktop client

Плагин браузера:

browser plugin


49
2018-06-05 14:36



@PITaylor Спасибо! Я обязательно испытаю LastPass. Но сейчас я дам KeePass еще некоторое время, чтобы оценить его. - Samir
Большая причина, по которой мне нравится LastPass, заключается в том, что легко легко использовать набор паролей на нескольких компьютерах, и вы всегда можете получить доступ к своим проходам на случайном компьютере через веб-интерфейс. - PlTaylor
Я использую lastpass, однако есть 2 недостатка. 1) Сервер может опуститься (либо технические проблемы, либо компания выходит из бизнеса и т. Д.). 2) Некоторые компании не разрешают это, так как вы отправляете информацию о пробках из компании. - Keltari
LastPass удобен, но в основном закрыт-источник и приобретен LogMeIn. Серверы LastPass были нарушены (по крайней мере частично) несколько раз, и их клиент разрешил "чтение незашифрованных паролей для произвольных доменов из хранилища LastPass, когда этот пользователь посетил вредоносный веб-сайт"и в настоящее время (Mar2017)"двоичный файл LastPass ... позволяет вредоносным веб-сайтам выполнять код по своему выбору. Даже когда двоичный файл отсутствует ... позволяет вредоносным сайтам красть пароли из защищенного хранилища LastPass" Видеть en.wikipedia.org/wiki/LastPass#Security_issues для ссылок - Xen2050
Я собираюсь оставить эту ссылку здесь, потому что мистер Хант говорит это лучше, чем я. troyhunt.com/... - PlTaylor


Пароль Хашера плагин (для Firefox) - это то, что я лично использую.

Как Password Hasher помогает:

  • Автоматически генерирует надежные пароли.
  • Один главный ключ создает разные пароли на многих сайтах.
  • Быстрое обновление паролей путем «нагнетания» тега сайта.
  • Обновите мастер-ключ, не обновляя сразу все сайты.
  • Поддерживает пароли различной длины.
  • Поддерживает специальные требования, такие как цифры и знаки препинания.
  • Поддерживает ограничение хеш-слова, чтобы не использовать специальные символы. (New!)
  • Сохраняет все данные в базе данных безопасного пароля браузера.
  • Создает переносимую HTML-страницу с тегами сайта и настройками параметров, которые позволяют генерировать ваши хеш-слова в любом браузере на   любая машина без установленного расширения. (New!)
  • Может добавлять маркерные кнопки, чтобы разоблачать пароли на любом веб-сайте. (New!)
  • Чрезвычайно прост в использовании!

enter image description here


10
2018-06-05 12:48



Они должны храниться где-то, иначе они будут забыты - Mark
Есть также порты для Chrome. - rishimaharaj
By @kutschkem: Нет, пароли не нужно где-то хранить. То, что плагин, вероятно, делает (по крайней мере, так, как я это сделал), заключается в хешировании конкатенации тега сайта и главного пароля, что приведет к другому (и, возможно, сильному) паролю для каждого сайта (без сохранения чего-либо , видеть?). Конечно, ваш главный пароль все равно должен быть сильным. Преимущество заключается в том, что не только каждый пароль будет отличаться, но и будет отличаться (по крайней мере, если функция хэширования хороша). - Der Hochstapler
Есть также порт для IE, написанный очень красивым человеком - BlueRaja - Danny Pflughoeft
@Matthew: Это верно для каждый решение для хранения паролей ... - BlueRaja - Danny Pflughoeft


Я лично использую PasswordMakerдля генерации паролей с основного пароля и URL-адреса сайта. Проект довольно зрелый, с открытым исходным кодом и стабильный. Он доступен для Firefox (как расширение), Linux CLI, Android и т. Д.

Как это работает:

Предупреждение - технический жаргон в этом разделе! Вы предоставляете   PasswordMaker две части информации: «главный пароль» - это   один, один пароль, который вам нравится, - и URL-адрес веб-сайта, требующий   пароль. Благодаря магии односторонних хеш-алгоритмов,   PasswordMaker вычисляет дайджест сообщения, также известный как цифровой   отпечаток пальца, который можно использовать в качестве пароля для веб-сайта.   Хотя односторонние хеш-алгоритмы имеют ряд интересных   характеристики, тот, который капитализируется PasswordMaker, заключается в том, что   в результате отпечаток пальца (пароль) ничего не говорит о   который использовался для его создания ». Другими словами, если кто-то   один или несколько ваших сгенерированных паролей, это вычислительно   для него невозможно получить свой мастер-пароль или рассчитать ваш   другие пароли. Вычислительно неосуществимые средства, даже такие компьютеры, как   это не поможет!


9
2018-06-05 13:59





это рискованно доверять  стороннее приложение для хранения важных паролей, особенно тех приложений, которые потенциально возможность подключения через Интернет или тех, кого вы разрешаете им доступ к процессам другой программы; и, что более важно, доверять не открытый источник из них.

Более безопасный способ, на мой взгляд, состоит в том, чтобы хранить важные пароли в текстовый файл (.TXT), а затем зашифровать файл с помощью Алгоритм AES от dsCrypt.exe, Вы должны ввести свой основной пароль в dsCrypt только один раз и вы сможете шифрования / дешифрования вы много раз вводите текстовый файл паролей, не прося вас повторно вводить главный пароль каждый раз, пока работает dsCrypt. Вы можете автоматически запускать dsCrypt при запуске Windows и вводить свой основной пароль один раз; и тогда вам нужно просто перетаскивание ваш файл паролей (.txt) на dsCrypt для его / шифрования когда ты нуждаешься ваши пароли.


4
2018-03-27 22:26



Замена dsCrypt на PGP / GPG, производные TrueCrypt, LUKS и т. Д. Были бы такими же хорошими, но еще +1 - Xen2050
но в вашем ответе есть недостаток: dsCrypt.exe - стороннее программное обеспечение :-)! Я предпочитаю доверять программе с открытым исходным кодом, которую я могу перекомпилировать, над exe - spiritoo


я рекомендую KeePassXC которая является вилкой сообщества KeePassX, собственный межплатформенный порт Безопасность паролей KeePass, с целью расширить и улучшить его новыми функциями и исправлениями, чтобы предоставить многофункциональный, полностью кросс-платформенный и современный менеджер паролей с открытым исходным кодом.

Этот клиент также рекомендуется Самозащита надзора,

Основные функции KeePassXC:

  • Безопасное хранение паролей и других конфиденциальных данных с помощью шифрования AES, Twofish или ChaCha20
  • Кросс-платформенный, работает на Linux, Windows и MacOS без изменений
  • Совместимость файлов с KeePass2, KeePassX, MacPass, KeeWeb и многими другими (KDBX 3.1 и 4.0)
  • Интеграция агентов SSH
  • Auto-Type на всех поддерживаемых платформах для автоматического заполнения форм входа
  • Ключевой файл и поддержка вызова-ответа YubiKey для дополнительной безопасности
  • Генерация TOTP (включая Steam Guard)
  • CSV-импорт из других менеджеров паролей (например, LastPass)
  • Интерфейс командной строки
  • Автономный пароль и генератор кодовой фразы
  • Счетчик прочности пароля
  • Пользовательские значки для записей в базе данных и загрузка веб-сайтов favicons
  • Функциональность слияния базы данных
  • Автоматическая перезагрузка при изменении базы данных извне
  • Интеграция браузера с KeePassXC-браузером для Google Chrome, Chromium, Vivaldi и Mozilla Firefox.
  • (Legacy) Поддержка KeePassHTTP для использования с KeePassHTTP-коннектором, доступная для Mozilla Firefox и Google Chrome, и passafari для Safari.

0
2018-04-26 16:46





Я использую Notepad и .txt файлы. Если вы хотите получить мой совет, я советую вам не использовать сторонний sodtware. Откуда вы знаете, что они не крадут ваши пароли?
Поэтому использование текстовых файлов было бы лучшим.
Кроме того, если вы программист, я предлагаю вам создать простой для себя, который использует кодировку для защиты данных. Это лучшее решение.


-4
2017-09-26 16:46



Я буду рисковать тем, что база данных зашифрованного пароля более уязвима, чем обычный текстовый файл, так как последняя будет собрана следующей частью вредоносного ПО, которая выполняет быстрый поиск моего компьютера для слова пароль, - Twisty Impersonator
По крайней мере, зашифруйте свой текстовый файл с помощью gpg / pgp или что-то еще, что-нибудь, а затем помните, что один пароль - Xen2050