Jak zarządzasz hasłami?

59

Oczywiście widząc, jak wielu z nas jest administratorami systemu, mamy wiele haseł rozłożonych na wiele systemów i kont. Niektóre z nich mają niski priorytet, inne mogą poważnie zaszkodzić firmie, jeśli zostaną odkryte (nie kochasz władzy?).

Proste, łatwe do zapamiętania hasła po prostu nie są akceptowane. Jedyną opcją są złożone, trudne do zapamiętania (i typowe) hasła. Więc, co ty używać do śledzenia swojego hasła? Czy używasz programu, aby je zaszyfrować (wymagając z kolei jeszcze jednego hasła), czy robisz coś mniej skomplikowanego, np. Kawałek papieru trzymany na sobie, czy jest to gdzieś pomiędzy tymi opcjami?

DWilliams
źródło
Czy łatwe do zapamiętania hasła naprawdę są nie do przyjęcia? -> xkcd.com/936
Michuelnik

Odpowiedzi:

63

KeePass jest świetny.

raspi
źródło
3
+1 dla Keepass. Mam jego kopię na moim laptopie i zsynchronizowaną kopię na moim G1 Android.
KPWINC
Przez jakiś czas korzystałem z PassRemindera, ponieważ można go było używać w systemach Windows i Linux, ale programowanie uległo stagnacji. Przeszedłem na KeePass i od dwóch lat mam tę samą bazę danych na stacjach roboczych Windows, Linux i Mac OS X.
jtimberman
Powinienem zauważyć, że w poprzednim zadaniu korzystaliśmy z bazy danych KeePass współdzielonej między pracownikami administracyjnymi, która przechowywała wszystkie hasła związane z infrastrukturą.
jtimberman
+1 dla Keepass, FOSS.
Josh Brower
1
KeePass + Dropbox = Automatyczne synchronizowanie haseł.
Hello71,
30

Mam bardzo prosty sposób radzenia sobie z hasłami:

Nie lubię menedżerów haseł, ale lubię szyfrowanie, więc korzystam z jednokierunkowych skrótów (md5, sha1 itp.) I generuję hasła przy ich użyciu.

Jak to działa?

Najpierw wybieram dobre długie hasło, którego będę używać wszędzie. Na przykład qwerty (nie używaj tego, tylko przykład). Teraz dla każdej witryny twoim hasłem będzie md5 (lub sha1) qwerty + nazwa strony. Na przykład:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

W ten sposób moje hasło do Facebooka to 9d7d9b30592fd43dd6629ef5c12c6e9a, a dla Twittera to: cdf0e74e19836efb20f29120884b988d

Zarówno długi, jak i bezpieczny. Jeśli ktoś ukradnie moje hasło na Twitterze, nie ma możliwości cofnięcia się w celu wykrycia innych haseł. Dodatkowo, dzięki temu nie potrzebujesz żadnego oprogramowania do przechowywania haseł (tylko pliki binarne md5 / sha1, które domyślnie są dostępne w systemie Linux i łatwo je znaleźć w systemie Windows).

sucuri
źródło
6
Dobry, prosty schemat. Co robisz w witrynach, które ograniczyły pola haseł do mniej niż 32 bajtów, wystarczy obciąć?
pboin
1
to całkiem genialny plan! chłodny!
Sander Versluys,
1
pwdhash < pwdhash.com > robi coś podobnego i jest dostępny jako dodatek do przeglądarki Firefox. Więc jeśli chcesz po prostu kontrolować hasła w Internecie, jest to idealne rozwiązanie. Oznacza to również, że możesz korzystać z dowolnego komputera, ponieważ nie musisz nosić przy sobie bazy danych haseł.
Chris J
13
Czy nie pozostawi po sobie śladu poleceń z hasłem w postaci zwykłego tekstu w historii bash?
pufferfish
1
Możesz ustawić polecenia ignorowania przez bash, konfigurując HISTCONTROL, patrz: commandlinefu.com/commands/view/1512/...
Matt V.
16

Password Safe ma solidne szyfrowanie i generator losowych haseł. Grupy haseł są następnie dystrybuowane jako pliki zaszyfrowane w zależności od tego, kto potrzebuje które hasło.

pcapademic
źródło
Z jakiego krypto korzysta hasło Safe Safe? Byłem w całej witrynie i jeszcze jej nie znalazłem.
Bob
Twofish schneier.com/passsafe.html
sh-beta
Uważam, że Password Safe jest nieoceniony, ponieważ mogę go używać do generowania losowych haseł, ilekroć nadejdzie czas na zmianę haseł - każde hasło może mieć związane z nim dostosowane reguły złożoności; jeśli aplikacja lub witryna nie zezwala na interpunkcję, mogę powiedzieć PS, aby nie używała symboli podczas generowania dla niej nowych haseł. W celu bardziej powszechnego zarządzania hasłami mamy CyberArk.
George Erhard
7

Hasła drukujemy, w powiązaniu z naszą inną dokumentacją sieciową oraz w naszej fizycznie bezpiecznej serwerowni, do której dostęp ma tylko kilka osób.

Nie wiem, co myślą o tym „prawdziwi administratorzy systemów”, ale myślę, że to dla nas dobre rozwiązanie. Interesują mnie inne odpowiedzi na to pytanie.

Jay Riggs
źródło
W poprzedniej pracy (centralny komputerowy uniwersytet) mieliśmy mały notatnik przechowywany w naszej skrzynce na klucze w naszej maszynowni, która oczywiście miała ograniczoną liczbę osób, które miały do ​​niego dostęp.
David Pashley,
+1, ponieważ to działa i jest najprostszym rozwiązaniem ... jeśli notebook jest zamknięty w bezpiecznym miejscu ...
cop1152,
Również. Folder haseł przechowywany w sejfie, w maszynowni. Centralne hasło roota było znane tylko kilku osobom, a następnie umieszczone w zapieczętowanej kopercie; dostęp sudo dla każdego, kto potrzebował dostępu uprzywilejowanego.
CK.
Brzmi jak dobre rozwiązanie low-tech. Byłbym trochę zaniepokojony ludźmi takimi jak personel sprzątający, technicy konserwacji itp., Którzy czasami wpuszczani są do pokoju. Musisz pamiętać, aby zabezpieczyć spoiwo przed nimi.
śleske,
7

Mamy zaszyfrowany plik tekstowy PGP. Jest szyfrowany do każdego klucza sysadmin. Używamy wtyczki vim, aby ułatwić aktualizację.

W poprzednim zadaniu korzystaliśmy z podobnego schematu, ale stosowaliśmy szyfrowanie symetryczne, ponieważ nie odkryliśmy wtyczki (lub jeszcze nie istniała) i nikt nie spędził czasu na ustaleniu, jak działają klucze prywatne.

David Pashley
źródło
+1 Niezły schemat, a także miło wiedzieć o wtyczce :-).
śleske,
5

Mam pamięć fotograficzną, pamiętam hasła do plików zip, które utworzyłem w latach 80. - nie tak fajnie, jak mogłoby się wydawać :)


źródło
Bardzo fajne rozwiązanie. Po prostu nie skaluje się zbyt dobrze do innych: -.
śleske,
Wydaje mi się również, że pamiętam wszystkie hasła, których kiedykolwiek użyłem ... i działa to świetnie, dopóki nie zapomnisz jednego, tak jak ja. Dotyczyło to podpisywania certyfikatów dla Androida - co oznacza, że ​​nigdy więcej nie mogę zaktualizować napisanej przeze mnie aplikacji na rynku Google Play. Oczywiście mógłbym podpisać go innym certyfikatem, ale to nie zachęca obecnych użytkowników do jazdy.
Timothy Lee Russell
5

KeePassX to wieloplatformowa alternatywa KeePass. Bardzo ładny (Qt) GUI i prawie identyczna funkcjonalność.

Ehtyar.

[edycja] Zapomniałem wspomnieć, że obsługuje bazy danych KeePass [/ edit]

rev Ehtyar
źródło
5

Korzystam z programu o nazwie pwsafe na pulpicie. Jeśli potrzebuję hasła skądinąd, przesyłam SSH i używam go.

Bill Weiss
źródło
2

Załóżmy, że masz wiele (różnych) haseł do różnych usług internetowych i posiadanego sprzętu. Chcesz je zapisać w pliku.

Nigdy nie przechowuj pliku z hasłem (na przykład w postaci niezaszyfrowanej) na swoich komputerach / serwerach. Powiedziawszy to, nie przechowuj go w postaci zaszyfrowanej przez jakiegoś dostawcę przestrzeni internetowej, który zapewnia wsparcie szyfrowania - chyba że naprawdę im ufasz.

Jeśli chodzi o mobilne przechowywanie haseł, rozważ woluminy i pliki TrueCrypt , które możesz przechowywać w dogodnym miejscu - na przykład w pendrivach, a nawet w załącznikach e-mail. TrueCrypt jest obsługiwany na prawie wszystkich platformach i zapewnia bardzo dobre bezpieczeństwo podczas odszyfrowywania plików do przeglądania. Następnie musisz tylko uważać, aby nie skopiować lub pozostawić pliku w jakimś systemie (lub folderze usuniętych plików).

Ach! i poważnie z generowaniem hasła :-)

nik
źródło
2

Brelok do kluczy. Wypróbowałem 1 hasło, ale pęku kluczy robi to, co muszę, i podoba mi się sposób, w jaki działa lepiej.

churnd
źródło
1

Niestety w arkuszu kalkulacyjnym chronionym hasłem.

Matt Hanson
źródło
1

Trzymam moje hasła w pliku tekstowym, więc łatwo jest je przejrzeć - nie potrzebuję żadnej aplikacji. Trzymam plik zaszyfrowany długim hasłem, którego nigdy nie zapisałem. Myślę, że któregoś dnia powinienem powiedzieć mojej żonie, co to jest ...

„Pracująca” wersja pliku jest wydrukowana małą czcionką, dzięki czemu mieści się na jednym arkuszu papieru i jest złożona w małym notatniku, który noszę ze sobą i przechowuję jak mój portfel. Zasadniczo postępuję zgodnie z radą Bruce'a Schneiera i mam dobre hasła zapisane w bezpiecznym miejscu.

Nasz plan „co jeśli jeden administrator zostanie potrącony przez autobus” zakłada, że ​​każdy z nas ma swój zaszyfrowany plik hasła. Jest nas wystarczająco mało i wszyscy nie jesteśmy na tyle głupi, żeby zostawić drukowaną listę, więc działa dobrze.

Mamy również mały plik w używanych przez nas katalogach udostępnionych, który zawiera mniej krytyczne hasła, o których wszyscy mówimy.

„Generujemy” nasze własne złożone hasła do najbardziej krytycznych zastosowań: zazwyczaj idę pierwszy i wybieram literę lub cyfrę. Potem następny facet wybiera jednego, potem mnie (lub innego faceta) i tak dalej. W efekcie powstają takie rzeczy jak pl8u7ke, które okazują się nietrudne do zapamiętania, jeśli używasz ich prawie codziennie.

Oddział
źródło
1

Do haseł osobistych używam 1Password. Ma świetną (bezpłatną) aplikację na iPhone'a / iPoda Touch, więc zawsze mam przy sobie moje hasło.

abourg
źródło
1

Powinieneś sprawdzić Yubikey ( http://www.yubico.com/ ).

Generuje OTP do użycia w systemie uwierzytelniania dwuskładnikowego, ale w przypadku aplikacji niedostępnych w sieci można go skonfigurować tak, aby generował 64-znakowe pseudolosowe (dla wszystkich celów i celów, niemożliwe do wymówienia) hasło, lub możesz sam ustaw hasło.

Hasło statyczne lub jednorazowe jest wyprowadzane jak z klawiatury, więc jest prawie powszechnie dostępne. Używam mojego w systemach Linux, MacOS i Windows.

Edycja PS: bawię się swoim własnym Yubikey, ale nie jestem zainteresowany; Myślę, że to bardzo przydatne narzędzie do wprowadzania haseł.

msanford
źródło
YubiKeys są świetne, ale nadal potrzebujesz serwera uwierzytelniającego i przydatnej aplikacji, która komunikuje się z serwerem uwierzytelniającym, aby zrobić coś wartościowego
Nathan Hartley
1

do haseł osobistych używam PassPack .

cd1
źródło
1

Używam 1Password z Agile Web Solutions. Bezproblemowo integruje się ze wszystkimi popularnymi przeglądarkami na Macu i przy pomocy Dropbox mogę uzyskać dostęp do tej samej kolekcji haseł ze wszystkich moich komputerów.

Jeśli potrzebujesz dostępu do swoich sekretów z różnych platform systemu operacyjnego, KeypassX jest dobrym wyborem.

geewiz
źródło
1

Jeśli masz systemy OS X jako klienckie stacje robocze, możesz użyć programu Keychain Access do zarządzania hasłami. Używamy pliku pęku kluczy we wspólnej lokalizacji dostępnej dla administratorów systemu i po prostu łączymy go z naszym programem dostępu do pęku kluczy.

Kamil Kisiel
źródło
1

Polecam PasswordVault

Grupa w naszym dziale IT korzysta z niego i naprawdę podoba mu się jego funkcje.

Hasła są zawsze szyfrowane. Poszczególni użytkownicy mogą wybrać hasła do udostępnienia. Najlepsze jest to, że oprogramowanie jest bezpłatne.

Cokolwiek zdecydujesz się użyć, upewnij się, że system operacyjny jest bezpieczny, a hasła są szyfrowane.

IOTAMAN
źródło
1
Czy link nie powinien zawierać hasła PasswordVault?
David Pashley,
„Ta bezpłatna wersja Lite obsługuje do 25 usług i obejmuje 30-dniową wersję próbną automatycznej dystrybucji (funkcja wersji Pro)”. - brzmi dość ograniczone.
Toto
1

Korzystałem z usługi TIPAS na Twitterze:

http://twitter.com/tipas/

Ale z jakiegoś powodu administratorzy Twittera wydają się popsuć wyszukiwanie.

dr.pooter
źródło
1

W przypadku haseł osobistych, ponieważ korzystam z wielu komputerów, podoba mi się bezpłatny serwis internetowy Clipperz . Szyfrowanie odbywa się po stronie klienta i jest przechowywane zdalnie. W przypadku pracy +1 do Bezpiecznego hasła.

Chad Miller
źródło
+1 dla Clipperz
elifiner
1

W głowach kilku osób. Te naprawdę ważne są zapisane na małych kawałkach papieru, a następnie wbite w małe koperty. Zszywamy koperty, więc oczywiste jest, że ktoś je otworzył.

koenigdmj
źródło
Podpisz i opatrz datą szew koperty, abyś wiedział, że nikt nie używał nowej koperty.
Jay Bazuzi,
0

Osobiście korzystam z eWallet , aby móc zsynchronizować plik hasła z telefonem. Kosztuje to 30 USD, ale przez lata byłem z niego zadowolony, a wsparcie zawsze było szybkie i uprzejme.

W sytuacji roboczej moim preferowanym rozwiązaniem jest Portable KeePass lub podobny. Plik wykonywalny i plik hasła można umieścić na dyskietce lub kluczu USB. Hasło główne zapisane na zewnętrznej stronie dyskietki / klucza USB. Zapieczętuj to w kopercie, podpisz imię i datę na klapie, a następnie umieść przezroczystą taśmę nad datą i podpisem. Aktualizuj z nową kopertą co około 6 miesięcy (1).

Koperta jest następnie umieszczana w bezpiecznym miejscu. Co pewien czas same koperty powinny być zinwentaryzowane.


(1) Opcjonalnie zachowaj stare koperty do celów historycznych - jeśli nie, stare muszą zostać zniszczone.

quux
źródło
0

Używam metody diceware do generowania haseł (aby były łatwiejsze do zapamiętania niż prawdziwe losowe śmieci):

http://world.std.com/~reinhold/diceware.html

Staram się używać grup haseł w celu uzyskania dostępu do różnych typów systemów, aby zarówno ograniczyć liczbę haseł, które muszę zapamiętać w danym momencie, jak i ograniczyć uszkodzenia, jeśli jedno zostanie naruszone.

Potem zmieniam je regularnie. To, jak często je zmieniasz, zależy od tego, jak szybko możesz ćwiczyć zapamiętywanie nowych haseł.

Jeśli jest to absolutnie konieczne, możesz przechowywać wyniki rzutu kostką zamknięte w sejfie lub sejfie. Ponowne tworzenie haseł z rolek (po prostu przeglądanie listy słów) jest wystarczająco denerwującym zadaniem, które może zniechęcać do zapominania. A najgorsze jest to, że kiedy spojrzysz na pierwsze kilka słów, zwykle i tak pamiętasz resztę.

James F.
źródło
0

Używam apg i pwsafe na moim osobistym serwerze. apg (Automated Password Generator) tworzy losowe hasła zgodnie z kryteriami, które możesz zdefiniować, a pwsafe to tylko wersja Linux Password Safe z linii poleceń.

Zawsze mogę zalogować się na moim serwerze, aby moje hasło, jeśli to konieczne, chociaż w przypadku witryn o niskiej wartości, że nie skończyć za pomocą tego samego hasła w wielu miejscach.

Brad Beyenhof
źródło
0

Aby ułatwić zapamiętanie haseł, uważam, że jest użyteczne, jeśli są wymawiane, więc możesz je przynajmniej wypowiedzieć.

W portfelu przechowuję listę kilku haseł, których zwykle potrzebuję. Nie w 100% bezpieczny, ale myślę, że prawdopodobnie nie spowoduje żadnych poważnych problemów.

Główna lista wszystkich haseł jest przechowywana w ognioodpornym sejfie.

znak
źródło
0

Mam tylko arkusz kalkulacyjny w dokumentach Google z danymi.

Cesar
źródło
5
Zwykle nie wybijam SaaS, ale umieszczanie haseł na platformie outsourcingowej wydaje się całkiem niewłaściwe.
Dan Carley
0

Używam Passkeeper . Jest prosty, bezpłatny, lekki i nie wymaga instalacji.

Carl C.
źródło
0

W poprzedniej życie, kiedy musiałem „pamiętać” 20 różnych haseł do różnych środowisk z różnymi regułami generowania haseł dla każdego z nich, użyłem Whisper32 . Wystarczająco dobrze sobie poradził.

J. Polfer
źródło
0

Korzystamy z CyberArk, ponieważ potrzebowaliśmy rozwiązania zgodnego ze standardem PCI (a także potrzebujemy HIPPA), a do tego prawie wszystkie systemy klienckie. CyberArk nie podoba mi się, ale działa.

Ronald Pottol
źródło