Как безопасно хранить 180 паролей и управлять ими?

146

У меня около 180 паролей для разных сайтов и веб-сервисов. Все они хранятся в одном защищенном паролем документе Excel. Поскольку список становится длиннее, я все больше и больше беспокоюсь о его безопасности.

Насколько безопасен, или я должен сказать небезопасный, защищенный паролем документ Excel? Как лучше хранить такое количество паролей безопасным и простым в управлении способом?

Я нахожу метод Excel достаточно простым, но меня беспокоит аспект безопасности.

Samir
источник
Коммерческий продукт, такой как CyberArk, отвечает вашим потребностям.
Иван Чау

Ответы:

207

Мой любимый инструмент для хранения паролей - KeePass :

введите описание изображения здесь

Что такое KeePass?

Сегодня вам нужно запомнить много паролей. Вам нужен пароль для входа в сеть Windows, вашей учетной записи электронной почты, пароля FTP вашего сайта, сетевых паролей (например, учетной записи участника сайта) и т. Д. И т. Д. И т. Д. Список бесконечен. Кроме того, вы должны использовать разные пароли для каждой учетной записи. Потому что если вы используете только один пароль везде, и кто-то получает этот пароль, у вас есть проблема ... Серьезная проблема. Вор будет иметь доступ к вашей учетной записи электронной почты, веб-сайту и т. Д. Невозможно представить.

KeePass - это бесплатный менеджер паролей с открытым исходным кодом, который помогает вам безопасно управлять своими паролями. Вы можете поместить все свои пароли в одну базу данных, которая заблокирована одним главным ключом или файлом ключа. Таким образом, вам нужно запомнить только один главный пароль или выбрать файл ключа, чтобы разблокировать всю базу данных. Базы данных зашифрованы с использованием лучших и наиболее безопасных алгоритмов шифрования, известных в настоящее время (AES и Twofish). Для получения дополнительной информации см. Страницу функций .


Есть ли ограничение на количество паролей, которые вы можете хранить в нем?

Только в теории. Вы можете поместить в базу данных столько записей, сколько захотите, но в какой-то момент ваш USB-накопитель или жесткий диск будут заполнены.

Есть ли способ автоматической синхронизации измененных паролей?

Нет, не так, как вы ожидаете.
Вы захотите сделать это регулярным, ручным процессом. Это не может и не должно быть автоматизировано.

Мне нравится устанавливать даты истечения срока действия для всех моих паролей: введите описание изображения здесь
затем я не забываю регулярно менять свои пароли. Я сохраняю URL сайта вместе с вводом пароля, поэтому это быстрый процесс.

Могу ли я автоматически войти на такой сайт, как Facebook, используя это программное обеспечение?

Нет, тоже не автоматически (по крайней мере, насколько мне известно). Но здесь вступает в игру Auto-Type . Например, для Facebook это моя настройка Auto-Type:

введите описание изображения здесь

Как видите, я создал 3 конфигурации для разных браузеров. Это позволяет мне просто перейти facebook.com, нажать Ctrl+ Alt+ A, и имя пользователя и пароль будут автоматически введены, и я войду в систему.

Если у вас есть несколько комбинаций имени пользователя и пароля для одного и того же заголовка окна, вы получите всплывающее окно с вопросом, какой пароль следует использовать.

Как насчет мобильного?

Существуют приложения, которые поддерживают формат контейнера KeePass на мобильных устройствах. Но я держусь подальше от них. Мне просто не нравится мысль о моей базе данных KeePass на моем телефоне.

Я предпочитаю передавать только отдельные пароли с помощью плагина QR Code Generator . Он позволяет генерировать QR-код из пароля, который затем можно сканировать с помощью телефона. Это помогает иметь приложение, которое может копировать отсканированный контент в буфер обмена.

введите описание изображения здесь

Der Hochstapler
источник
3
Если вы поместите его в Dropbox, вы можете открыть его где угодно (есть портативная версия), даже на вашем телефоне. Плюс он может быть импортирован в Lastpass. Отличный выбор
Иво Флипс
2
@ Оливер Кажется, это просто инструмент, который мне нужен. Я обязательно попробую. Функция срока годности сладкая! И авто-тип достаточно прост. Я понимаю, что некоторые веб-сайты могут потребовать от вас подтвердить изменение пароля, щелкнув ссылку, которую они отправляют по электронной почте, поэтому по этой причине любая функция автоматической синхронизации, как я себе представлял, не сможет синхронизировать и автоматически обновить пароль. Это плюс, что это работает на других ОС, кроме Windows. Данке Оли! ;)
Самир
9
Если вы хотите добавить дополнительную безопасность для использования в Dropbox, используйте файл ключа вместе с паролем и вручную скопируйте его на любой компьютер или устройство, к которому вы хотите иметь доступ к своим паролям (не храните ключ в Dropbox). AFAIK это работает только с Android и устройствами с рутованным iOS, так как вам нужен доступ к файловой системе, но без ключевого файла файл паролей практически не взломать.
Чад Леви
2
Обратите внимание, что KeePass 2 предназначен только для Windows (по крайней мере, бесплатные интерпретаторы Mono в Linux работали очень плохо). Есть старый клон KeePass 1 под названием KeePassX, который я использую на Mac и Linux, и он работает очень хорошо.
Рейд
2
@Reid: По моему опыту, KeePass2 хорошо работает на Mono; это просто уродливо, и это вещь Mono против .NET.
grawity
68

Похоже, есть несколько простых в использовании взломщиков паролей Excel.

Я бы использовал систему управления паролями, такую ​​как 1password или LastPass, которая работает на нескольких ОС, включая мобильные.

У них есть плагины для большинства браузеров, которые могут вводить пароли и другую информацию в веб-форму. 1password также может установить закладку в браузере, который будет автоматически входить в систему (все приложения должны сначала использовать мастер-пароль)

1password также может хранить заметки, учетную запись (например, электронную почту, FTP) и шаблоны, чтобы помочь хранить кредитную карту, банковский счет и другую информацию. Хотя это коммерческий продукт, вы можете получить бесплатную демоверсию, которая позволяет вводить до 20 предметов.

Одно из различий между ними состоит в том, что 1password хранит данные только локально (хотя вы можете синхронизировать зашифрованные данные с помощью Dropbox или аналогичного), Lastpass может (должен? Кто-то, пожалуйста, исправьте это) хранить данные на своем веб-сайте, который позволяет веб-доступ к данные и нет необходимости в Dropbox и т. д.

user151019
источник
4
Пароли Excel очень легко взломать. Взломщик паролей Google Excel, и вы увидите много вариантов. +1 за Lastpass. Раньше я использовал Roboform, но мне больше понравился Lastpass, потому что он кроссплатформенный. Я использую их генератор паролей для рандомизации паролей.
Кендор
23
+1 для LastPass - К сожалению, ответ со всеми приятными форматами и изображениями для KeePass, поскольку LastPass значительно превосходит его: он делает все, что делает KeePass, но также имеет плагины для всех основных браузеров, ОС и мобильных платформ. Он также хранит данные в сети, поэтому вам никогда не придется беспокоиться об их потере (и кэшировать их локально, поэтому вам никогда не придется беспокоиться о том, что их серверы выйдут из строя) , но все же шифрует все, используя TNO (никому не доверяйте), так что LastPass никогда не сможет увидеть ваши пароли. Есть очень мало программ, которые я когда-либо называю абсолютно идеальными , но LastPass - одна из них.
BlueRaja - Дэнни Пфлугхофт
3
LastPass теперь также поддерживает двухфакторную аутентификацию через Android / iPhone. Это означает, что кто-то должен сначала украсть ваш телефон, чтобы запустить приложение Authenticator (которое генерирует случайный код каждые 30 секунд) для доступа к вашим паролям.
glenneroo
3
@ Сэмми: Да, большинство функций бесплатно навсегда. В только функции вы должны платить за это мобильные приложения и многофакторной аутентификации, которые требуют «премиум аккаунт» ($ 12 / год). Автор не пытается разбогатеть на программе - я не использую премиум-функции, но все равно плачу за премиум-аккаунт, чтобы выразить свою благодарность. Я обычно делаю пожертвования только для проектов с открытым исходным кодом, так что это говорит вам кое-что :)
BlueRaja - Дэнни Пфлугхофт
2
LastPass удобен, но в основном с закрытым исходным кодом и приобретается LogMeIn. Серверы LastPass были взломаны (по крайней мере частично) несколько раз, и их клиент позволил « читать незашифрованные пароли для произвольных доменов из хранилища пользователя LastPass, когда этот пользователь посещал вредоносный веб-сайт » и в настоящее время (март 2017 г.) « бинарный файл LastPass .. . позволяет вредоносным веб-сайтам выполнять код по своему выбору. Даже когда двоичный файл отсутствует ... позволяет вредоносным сайтам красть пароли из защищенного хранилища LastPass "См. en.wikipedia.org/wiki/LastPass#Security_issues для справок
Xen2050
49

Я использовал Lastpass уже некоторое время и очень рекомендую его. Он имеет несколько замечательных плагинов для браузера и множество функций, которые облегчают получение более безопасных паролей.

Плагин для браузера будет автоматически заполнять регистрационную информацию (при входе в плагин). Он также имеет функцию экспорта, так что вы можете получить свою базу данных и импортировать ее, например, в KeePass . Он также использует двухэтапную аутентификацию для дополнительной безопасности.

Настольный клиент:

настольный клиент

Плагин для браузера:

плагин для браузера

PlTaylor
источник
1
@PITaylor Спасибо! Я обязательно протестирую LastPass. Но сейчас я дам KeePass больше времени для его оценки.
Самир
4
Основная причина, по которой мне нравится LastPass, заключается в том, что легко обмениваться паролями на нескольких компьютерах и всегда можно получить доступ к своим пропускам на случайном компьютере через веб-интерфейс.
PlTaylor
2
Я использую lastpass, однако есть 2 недостатка. 1) Сервер может выйти из строя (либо из-за технических проблем, либо из-за того, что компания обанкротилась и т. Д.) 2) Некоторые компании не разрешают этого, так как вы отправляете информацию об удаленных компаниях.
Келтари
1
LastPass удобен, но в основном с закрытым исходным кодом и приобретается LogMeIn. Серверы LastPass были взломаны (по крайней мере частично) несколько раз, и их клиент позволил « читать незашифрованные пароли для произвольных доменов из хранилища пользователя LastPass, когда этот пользователь посещал вредоносный веб-сайт » и в настоящее время (март 2017 г.) « бинарный файл LastPass .. . позволяет вредоносным веб-сайтам выполнять код по своему выбору. Даже когда двоичный файл отсутствует ... позволяет вредоносным сайтам красть пароли из защищенного хранилища LastPass "См. en.wikipedia.org/wiki/LastPass#Security_issues для справок
Xen2050
Я собираюсь оставить эту ссылку здесь, потому что мистер Хант говорит, что это лучше, чем я могу. troyhunt.com/…
PlTaylor
10

Плагин Password Hasher (для Firefox) - это то, что я лично использую.

Как помогает Password Hasher:

  • Автоматически генерирует надежные пароли.
  • Один мастер-ключ создает разные пароли на многих сайтах.
  • Быстро обновляйте пароли, «наталкивая» тег сайта.
  • Обновите мастер-ключ, не обновляя сразу все сайты.
  • Поддерживает пароли разной длины.
  • Поддерживает особые требования, такие как цифры и знаки препинания.
  • Поддерживает ограничение хэш-слова, чтобы не использовать специальные символы. (New!)
  • Сохраняет все данные в безопасную базу паролей браузера.
  • Создает переносимую HTML-страницу с тегами вашего сайта и настройками параметров, которые позволяют генерировать хэш-слова в любом браузере на любом компьютере без установленного расширения. (New!)
  • Можно добавить кнопки маркера для снятия паролей на любом веб-сайте. (New!)
  • Чрезвычайно прост в использовании!

введите описание изображения здесь

Степан Вихор
источник
6
Они должны храниться где-то, иначе они будут
забыты
Есть также порты для Chrome.
ришимахарадж
6
От @kutschkem: Нет, пароли не нужно где-то хранить. Что плагин, вероятно, делает (по крайней мере, так, как я бы это сделал), так это хэширует конкатенацию тега сайта и мастер-пароля, что приведет к различному (и предположительно надежному) паролю для каждого сайта (без сохранения чего-либо). , видеть?). Конечно, ваш главный пароль все равно должен быть надежным. Преимущество состоит в том, что не только все пароли будут разными, но и очень разными (по крайней мере, если функция хеширования хорошая).
Der Hochstapler
Есть также порт для IE , написанный очень красивым человеком
BlueRaja - Дэнни Пфлугхофт
@Matthew: Это верно для любого решения для хранения паролей ...
BlueRaja - Дэнни Пфлугхофт
9

Я лично использую PasswordMaker для генерации паролей из мастер-пароля и URL сайта. Проект достаточно зрелый, открытый и стабильный. Он доступен для Firefox (как расширение), Linux CLI, Android и т. Д.

Как это устроено:

Внимание - технический жаргон в этом разделе! Вы предоставляете PasswordMaker две части информации: «главный пароль» - тот, который вам нравится, - один пароль, который вам нравится - и URL-адрес веб-сайта, требующего пароль. Используя магию односторонних алгоритмов хэширования, PasswordMaker вычисляет дайджест сообщения, также известный как цифровой отпечаток, который можно использовать в качестве пароля для веб-сайта. Хотя односторонние алгоритмы хеширования обладают рядом интересных характеристик, одна из них, заглавная PasswordMaker, заключается в том, что полученный отпечаток (пароль) «не раскрывает ничего о входных данных, которые использовались для его генерации». Другими словами, если у кого-то есть один или несколько сгенерированных вами паролей, для него невозможно вычислить ваш мастер-пароль или вычислить другие ваши пароли.

user1202136
источник
4

Это рискованно доверять в стороннем приложении для хранения ваших важных паролей особенно тех приложений, которые потенциально способны подключить интернет или те , которые вы санкционировать их доступ к процессам по другой программе; и что более важно, чтобы доверять не открытым исходным кодом .

На мой взгляд, более безопасный способ - сохранить важные пароли в текстовом файле (.TXT), а затем зашифровать файл с помощью алгоритма AES с помощью dsCrypt.exe . Вы должны ввести свой основной пароль в dsCrypt только один раз, и вы сможете много раз шифровать / дешифровать текстовый файл пароля, не требуя повторного ввода основного пароля каждый раз, пока работает dsCrypt. Вы можете автоматически запустить dsCrypt при запуске Windows и ввести свой главный пароль один раз; и тогда вам нужно просто перетащить файл паролей (.txt) на dsCrypt, чтобы дешифровать его, когда вам нужны ваши пароли.

DavidDe
источник
Замена dsCrypt на PGP / GPG, производные TrueCrypt, LUKS и т. Д. Будет такой же хорошей, но все равно +1
Xen2050
но в вашем ответе есть недостаток: dsCrypt.exe - это стороннее программное обеспечение :-)! Я предпочитаю доверять программе с открытым исходным кодом, которую я могу перекомпилировать, а не exe
spiritoo
0

Я рекомендую KeePassXC, являющуюся частью сообщества KeePassX , собственного кроссплатформенного порта KeePass Password Safe , с целью расширить и улучшить его с помощью новых функций и исправлений ошибок, чтобы обеспечить многофункциональные, полностью кроссплатформенные и современные открытые менеджер исходного пароля.

Этот клиент также рекомендуется Surveillance Self-Defense .

Основные особенности KeePassXC :

  • Безопасное хранение паролей и других личных данных с шифрованием AES, Twofish или ChaCha20
  • Кроссплатформенный, работает на Linux, Windows и macOS без изменений
  • Совместимость форматов файлов с KeePass2, KeePassX, MacPass, KeeWeb и многими другими (KDBX 3.1 и 4.0)
  • Интеграция с агентом SSH
  • Автотип на всех поддерживаемых платформах для автоматического заполнения форм авторизации
  • Файл ключа и поддержка запроса-ответа YubiKey для дополнительной безопасности
  • Поколение TOTP (включая Steam Guard)
  • Импорт CSV из других менеджеров паролей (например, LastPass)
  • Интерфейс командной строки
  • Автономный генератор паролей и паролей
  • Измеритель надежности пароля
  • Пользовательские иконки для записей в базе данных и загрузки значков сайта
  • Функциональность слияния баз данных
  • Автоматическая перезагрузка при внешнем изменении базы данных
  • Интеграция браузера с KeePassXC-браузером для Google Chrome, Chromium, Vivaldi и Mozilla Firefox.
  • (Устаревшая версия) Поддержка KeePassHTTP для использования с KeePassHTTP-Connector, доступным для Mozilla Firefox и Google Chrome, и passafari для Safari.
simhumileco
источник
-4

Я использую Блокнот и .txt файлы. Если вы хотите мой совет, я советую вам не использовать стороннее программное обеспечение. Откуда вы знаете, что они не крадут ваши пароли?
Так что лучше всего использовать текстовые файлы.
Также, если вы программист, я предлагаю вам создать для себя простой, который использует кодирование для защиты данных. Это лучшее решение.

UltraDEVV
источник
2
Я воспользуюсь своим шансом, что база данных зашифрованного менеджера паролей более уязвима, чем простой текстовый файл, поскольку последняя будет заражена следующей вредоносной программой, которая выполняет быстрый поиск на моем компьютере слова « пароль» .
Twisty Impersonator
1
По крайней мере, зашифруйте ваш простой текстовый файл с помощью gpg / pgp или чего- то еще , а затем запомните этот пароль
Xen2050