Какая самая безопасная система паролей онлайн?

11

Так сложно отслеживать десятки паролей в разных местах. Время от времени происходит сбой синхронизации, и в результате возникает синдром предотвращения коррекции коллизий.

Существует ли где-нибудь единый источник безопасного, онлайнового, коммерческого хранилища паролей? Тот, который будет существовать еще долгие годы, и который действительно достаточно безопасен для обеспечения защиты?

password password-management Дариан Миллер
источник
1
Вы имеете в виду наиболее безопасный или тот, который вызывает наименьшее количество проблем?
ojblass
Онлайн == иногда недоступно, когда вам это нужно. Придерживайтесь КПК или что-то.
Уомбл
«Онлайн = недоступно», вероятно, менее проблематично, чем полагаться на доступность КПК. (Я просто не могу привыкнуть носить его.)
Дариан Миллер
Как насчет Online == Воспроизводимый с небольшим объемом памяти и компьютера? (т. е. хэширование одного или двух паролей с доменами, к которым принадлежат учетные записи)
перенастройка

Ответы:

11

Используйте keypass и храните базу данных в gmail, live mesh или в любом другом онлайн-хранилище файлов, которое вам нужно. Тогда вы всегда можете получить его копию для использования, предполагая, что у вас есть доступ к ключевой паре, которая может быть на флэш-накопителе и в интернет-соединении.

Джаред
источник
Это решение, над которым я сейчас работаю, и мне было интересно, есть ли что-то лучше.
Дариан Миллер
(+1 прямо сейчас ... будет ответом, если не появятся другие идеи) Спасибо
Дариан Миллер
4

Если вы действительно настроены на онлайн-модель, некоторые из моих коллег используют Passpack , и они очень довольны этим. Я не могу сказать, да или нет, потому что я не использую это, но это кажется довольно безопасным и безопасным.

RascalKing
источник
+1 Спасибо. Я видел это некоторое время назад, и это вызвало у меня интерес, но никогда не чувствовал себя достаточно комфортно, чтобы «нажать на курок» и загрузить все пароли в бесплатный сервис.
Дариан Миллер
4

Я нашел LastPass, чтобы быть прекрасным менеджером паролей для моих личных паролей. Проверьте список возможностей .

Я все еще в поисках лучшего (но доступного) корпоративного менеджера паролей .

Натан Хартли
источник
1
Как выглядит это решение два года спустя?
Jldugger
Все еще счастливо использую LastPass для моего персонального безопасного информационного менеджера. Чувствовал себя еще лучше после того, как Стив Гибсон дал свое одобрение ( twit.tv/sn256 ). К сожалению, нет никакого (внутреннего) решения для корпоративного решения ....
Натан Хартли
1
LastPass теперь имеет корпоративную версию. Не знаю, как это (но я смотрю на это скоро, мы могли бы использовать такую ​​вещь).
Рональд Поттол
3

Я бы не использовал один онлайн. Я бы (и сделал) использовать KeePass . На боковой ноте вы можете проверить грубые пароли здесь

Джим Б
источник
1
+1 KeePass хорош, хотя и не так удобен, как KWallet или встроенный менеджер паролей Firefox ... но я полностью согласен с тем, что пароли должны храниться локально и конфиденциально, а не на веб-сайте (если вы не создали веб-сайт) закодируйте себя и разместите его на своем собственном сервере, к которому никто другой не имеет доступа)
David Z
он попросил "онлайн" сервис.
cd1
Keepass в сочетании с live mesh или другим онлайн-хранилищем, как, например, предложил Джаред, - вариант. Я не использовал KeePass, но посмотрю. (Я использовал электронный кошелек в течение многих лет.) Спасибо.
Дариан Миллер
@ cd1- Я понимаю, что Дариан запрашивал онлайн-сервис, но я не могу с чистой совестью рекомендовать кому-либо хранить пароли в том, что они не имеют физического контроля. Каждый вопрос типа ИТ (не вызывающий проблем) должен (ИМХО) оцениваться с мыслью, что даже если это возможно, это лучшее решение для намеченной цели. Я полагаю, что ответ мог бы быть просто «Нет», но это не было бы очень информативно.
Джим Б
3

У Брюса Шнайера есть Password Safe, который достаточно безопасен, чтобы Брюс Шнайер мог одобрить его, если вам это нужно. Это может быть только Windows, хотя. http://www.schneier.com/passsafe.html

thepocketwade
источник
1
Доступна для скачивания Java-версия, которая должна работать где угодно. Я храню копию на своем USB-ключе.
pgs
Я храню свою копию в моей учетной записи Dropbox.
восстановить
1

Я бы тоже не советовал пользоваться онлайн-сервисом. Вы не можете гарантировать, что ваши данные не доступны для других. Если вы работаете в системе Linux, попробуйте Revelation , простой и понятный

katriel
источник
1

Посмотрите на Yubikey Юбико; Похоже, это может быть то, что вы ищете. Yubikey подключен к MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Его конфигурация по умолчанию (т.е. разработанная) должна использоваться в качестве одноразовой панели для двухфакторной аутентификации в Интернете, но она также имеет режим «статический пароль», который будет выводить (одинаковые) 64 псевдослучайных символа, когда немного зеленый емкостный круг коснулся. Работает как клавиатура USB, поэтому она универсальна и работает даже в автономном режиме. Случайная строка статического пароля может быть изменена в любое время.

Чуть более 30 $ и поставляется в обычном 30-граммовом конверте (который я думал, что это было слишком круто, чтобы быть правдой) и в одно мгновение.

Честно говоря, все уловки хранения зашифрованного файла на USB-ключе - одновременно огромные хлопоты и в большинстве случаев ненужные. Все, что вам нужно, это пароль с разумной энтропией, который вы не можете легко угадать или обмануть. Введите Юбики.

Я разрабатываю некоторые приложения для онлайн-аутентификации OTP с их API; это довольно опрятно, на самом деле. Я тоже могу поручиться за его физическую прочность.

Пояснение : я предложил это как альтернативу онлайн-хранилищу паролей, особенно потому, что оно основано на API и может использоваться в сети. Тем не менее, он может также заменить несколько паролей, если вам это удобно.

msanford
источник
2
YubiKeys великолепны, но вам все еще нужен сервер аутентификации и полезное приложение, которое обращается к серверу аутентификации, чтобы заставить его делать что-либо ценное.
Натан Хартли
1
+1 @nathan это правда, к сожалению, хотя у вас есть длинный пароль, по крайней мере, это хорошо.
msanford
1
Я давно хотел поиграть с одним, я просто заказал один благодаря тебе.
перепроверять
@ wizard, жаль, что у них нет реферальной программы ^ _ ^ На самом деле, я думаю, вам понравится Yubikey 2. Вскоре я закажу один, чтобы протестировать его.
MSanford
1

SuperGenPass может быть вашим ответом. Он ничего не хранит, может быть использован из любого браузера, учетные записи не нужны. Он работает путем хеширования «мастер-пароля» с двумя верхними уровнями домена. Я поболтал с создателем, он дружелюбный парень.

С их сайта:

SuperGenPass - это другой тип менеджера паролей. Вместо хранения ваших паролей на жестком диске или в Интернете, где они уязвимы для кражи и потери данных, SuperGenPass использует алгоритм хеширования для преобразования мастер-пароля в уникальные сложные пароли для посещаемых вами веб-сайтов. Нет устанавливаемого программного обеспечения: SuperGenPass - это букмарклет, который запускается прямо в вашем веб-браузере. А поскольку он никогда не хранит и не передает ваши пароли, он идеально подходит для использования на нескольких компьютерах общего пользования. Это также совершенно бесплатно.

Будучи javascript, у него было много рецензий на код, у него есть букмарклет, который отлично работал на 99% сайтов, на которых я его пробовал, и время от времени вы не можете легко использовать мобильную версию, копировать и вставлять.

reconbot
источник
1

1Password отличный (но тогда, если вы пользователь Mac, вы можете использовать только связку ключей)

мономиф
источник
1

Чем проще система, тем лучше.

Рассмотрим систему паролей, которая состоит из:

  1. надежный мастер-пароль
  2. уникальный идентификатор для каждого сайта

Таким образом, учитывая, что ваш мастер-пароль очень длинный, быстро вводится и не найден ни в одном словаре (например, Very12% Long91! Password86 # EasilyTyped), пароль, который вы используете на example.com, будет хэшем Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Существуют расширения браузера, которые могут помочь вам в этом. Немного раздражает использование этой системы в не-веб-системах, которые не предлагают запоминать пароли, и вам приходится придумывать схему на тот случай, если кто-то заставляет вас менять пароли так часто.

Конечно, вы можете ввести свой мастер-пароль только на надежных терминалах.

Алекс Холст
источник
Мне кажется, что использование хэшей в качестве пароля значительно уменьшит «пространство» пароля ...
S19N
Как вы рисуете?
Алекс Холст
0

Я также люблю и использую KeePass - бесплатную версию.

Джордан В.
источник
0

Gpg зашифрованный текстовый файл хранится в системе контроля версий. Используйте несколько сценариев для расшифровки / шифрования файла по желанию. Вы контролируете доступность файла, вы можете использовать распределенный контроль версий, чтобы по-прежнему иметь доступ, когда вы находитесь в автономном режиме, и как долго он будет доступен, определяется вами (т. Е. При необходимости легко переключаться на другие системы). Gpg также обладает преимуществом возможности шифрования нескольких получателей, что позволяет нескольким лицам просматривать файл паролей. Зашифруйте разные файлы для разных получателей, чтобы ограничить доступ к учетным данным для определенной группы.

отметка
источник
0

Это не ответ на ваш вопрос, но это связано - как Execs в Twitter только что их Google счета разбиты , обнажив кучу конфиденциальной информации о компании.

Я предполагаю, что Твиттер - намного большая цель, чем вы, так что, безусловно, как-то связано с взломом. Я также не думаю, что этот инцидент полностью исключает облачные вычисления. Тем не менее, ЛЮБОЙ онлайн сервис паролей является большой целью. Пароли слишком важны для хранения в Интернете.

Карл С
источник
0

Я не решился бы хранить свою конфиденциальную информацию в сторонней компании. Рассматриваете ли вы самостоятельно внедрение веб-продукта; затем вы можете сделать его внешним, если хотите, и сделать его доступным из любого места.


источник