Jaki jest najbezpieczniejszy system haseł online?

11

Tak trudno jest śledzić dziesiątki haseł w różnych lokalizacjach. Synchronizacja od czasu do czasu kończy się niepowodzeniem i kończy się syndromem unikania korekcji kolizji.

Czy jest gdziekolwiek jedno źródło bezpiecznego, internetowego, komercyjnego przechowywania haseł? Który będzie dostępny przez wiele lat i który jest naprawdę wystarczająco bezpieczny, aby zapewnić ochronę?

password password-management Darian Miller
źródło
1
Masz na myśli najbezpieczniejszy czy taki, który powoduje najmniej problemów?
ojblass
Online == niedostępne, gdy jest to potrzebne. Trzymaj się PDA lub czegoś takiego.
womble
„Online = niedostępny” to prawdopodobnie mniejszy problem niż poleganie na PDA. (Po prostu nie mogę przyzwyczaić się do noszenia jednego.)
Darian Miller
Co powiesz na Online == odtwarzalny z małą pamięcią i komputerem? (tj. mieszanie jednego lub dwóch haseł z domenami, do których należą konta)
Rebbot

Odpowiedzi:

11

Użyj klucza i przechowuj bazę danych w Gmailu, Live Mesh lub jakimkolwiek innym rozwiązaniu do przechowywania plików online. Następnie możesz zawsze otrzymać jego kopię do użytku, zakładając, że masz dostęp do klucza, który może znajdować się na dysku flash i połączeniu z Internetem.

Jared
źródło
To jest rozwiązanie, nad którym teraz pracuję i zastanawiałem się, czy jest coś lepszego.
Darian Miller
(+1 w tej chwili ... będzie odpowiedzią, jeśli nie pojawią się żadne inne pomysły) Dzięki
Darian Miller
4

Jeśli naprawdę lubisz model online, kilku moich współpracowników używa Passpacka i są z niego bardzo zadowoleni. Nie mogę powiedzieć tak lub nie, ponieważ go nie używam, ale wydaje się dość bezpieczny.

RascalKing
źródło
+1 dzięki. Widziałem to jakiś czas temu i wzbudziło moje zainteresowanie, ale nigdy nie czułem się wystarczająco dobrze, aby „pociągnąć za spust” i załadować wszystkie hasła do bezpłatnej usługi.
Darian Miller
4

Uważam, że LastPass jest wspaniałym menedżerem haseł do moich osobistych haseł. Sprawdź listę funkcji .

Wciąż szukam najlepszego (ale niedrogiego) godnego menedżera haseł dla przedsiębiorstw .

Nathan Hartley
źródło
1
Jak wygląda ta decyzja dwa lata później?
jldugger
Nadal chętnie używam LastPass do mojego osobistego bezpiecznego menedżera informacji. Czuł się jeszcze lepiej po tym, jak Steve Gibson wyraził zgodę ( twit.tv/sn256 ). Niestety, brak ruchu (wewnętrznie) w sprawie rozwiązania dla przedsiębiorstw ...
Nathan Hartley
1
LastPass ma teraz wersję Enterprise. Nie mam pojęcia, jak to jest (ale patrzę na to wkrótce, moglibyśmy użyć czegoś takiego).
Ronald Pottol,
3

Nie użyłbym jednego online. Chciałbym (i robię) korzystać z KeePass . Na marginesie możesz sprawdzić szorstkość swoich haseł tutaj

Jim B.
źródło
1
+1 KeePass jest dobry, choć nie tak wygodny jak coś takiego jak KWallet lub wbudowany menedżer haseł Firefoksa ... ale w pełni zgadzam się z tym, że hasła powinny być przechowywane lokalnie i prywatnie, a nie przechowywane na stronie internetowej (chyba że utworzyłeś stronę internetową napisz kod i hostujesz go na własnym serwerze, do którego nikt inny nie ma dostępu)
David Z
poprosił o usługę „online”.
cd1
Keepass, w połączeniu z aktywną siatką lub innym miejscem do przechowywania online, jak sugerował Jared, jest opcją. Nie korzystałem z KeePass, ale spojrzę. (Używam e-portfela od lat.) Dzięki.
Darian Miller
@ cd1- Zdaję sobie sprawę, że Darian prosił o usługę online, ale z czystym sumieniem nie mogę polecić nikomu przechowywania haseł w czymś, nad czym nie mają oni fizycznej kontroli. Każde pytanie typu IT (niezwiązane z rozwiązywaniem problemów) powinno być oceniane (IMHO) z myślą, że nawet jeśli jest to możliwe, jest to najlepsze rozwiązanie dla zamierzonego celu. Przypuszczam, że odpowiedź mogła brzmieć „nie”, ale nie byłaby to bardzo pouczająca.
Jim B
3

Bruce Schneier ma Bezpieczne hasło, które jest wystarczająco bezpieczne, aby Bruce Schneier mógł je poprzeć, jeśli cię to obchodzi. Może to być tylko Windows. http://www.schneier.com/passsafe.html

thepocketwade
źródło
1
Do pobrania dostępna jest wersja Java, która powinna działać wszędzie. Mam kopię na moim kluczu USB.
str.
Mam swoją kopię na moim koncie Dropbox.
Rebbot
1

Nie radziłbym również korzystać z usługi online. Nie masz gwarancji, że Twoje dane nie będą dostępne dla innych. Jeśli korzystasz z systemu Linux, wypróbuj Revelation , prosty i bezpośredni

katriel
źródło
1

Zobacz Yubikey Yubico; wygląda na to, że to może być to, czego szukasz. Yubikey podłączony do MacBooka http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Domyślna (tj. Zaprojektowana) konfiguracja ma być używana jako jednorazowy pad do uwierzytelniania dwuskładnikowego online, ale ma także tryb „hasła statycznego”, który wyśle ​​(ten sam) 64 pseudolosowych znaków, gdy trochę dotknięte jest zielone kółko pojemnościowe. Działa jak klawiatura USB, dzięki czemu jest uniwersalny i działa nawet w trybie offline. Hasło statyczne losowego ciągu można zmienić w dowolnym momencie.

Nieco ponad 30 $ i dociera w zwykłej 30-gramowej kopercie (co uważałem za zbyt fajne, aby mogło być prawdziwe) i w mgnieniu oka.

Szczerze mówiąc, wszystkie sztuczki związane z trzymaniem zaszyfrowanego pliku na kluczu USB są jednocześnie ogromnym kłopotem i w większości niepotrzebne. Wszystko czego potrzebujesz to hasło z rozsądną entropią, której nie można łatwo odgadnąć ani użyć siły. Wpisz Yubikey.

Rozwijam niektóre aplikacje uwierzytelniania online OTP z ich interfejsem API; właściwie jest całkiem fajnie. Mogę też ręczyć za jego wytrzymałość fizyczną.

Wyjaśnienie : Zaproponowałem to jako alternatywę do przechowywania haseł online, szczególnie, że jest oparte na API i może być używane online. Chociaż może również działać jako zamiennik wielu haseł, jeśli nie masz nic przeciwko.

msanford
źródło
2
YubiKeys są świetne, ale nadal potrzebujesz serwera uwierzytelniającego i przydatnej aplikacji, która komunikuje się z serwerem uwierzytelniającym, aby mógł zrobić coś wartościowego.
Nathan Hartley
1
+1 @nathan to prawda, niestety, chociaż masz długie hasło, co jest dobre.
msanford
1
Od dawna chciałem się z nim pobawić, właśnie zamówiłem jeden dzięki tobie.
Rebbot
@ Kreator, szkoda, że ​​nie mają programu polecającego ^ _ ^ Naprawdę myślę, że spodoba ci się Yubikey 2. Zamierzam go wkrótce przetestować.
msanford,
1

SuperGenPass może być twoją odpowiedzią. Niczego nie przechowuje, można go używać z dowolnej przeglądarki, nie wymaga konta. Działa poprzez haszowanie hasła „master” na dwóch najwyższych poziomach domeny. Rozmawiałem z twórcą, on jest przyjaznym facetem.

Z ich strony:

SuperGenPass to inny rodzaj menedżera haseł. Zamiast przechowywać hasła na dysku twardym lub w Internecie - tam, gdzie są one podatne na kradzież i utratę danych - SuperGenPass używa algorytmu skrótu, aby przekształcić hasło główne w unikalne, złożone hasło do odwiedzanych witryn. Nie trzeba instalować oprogramowania: SuperGenPass to bookmarklet i działa bezpośrednio w przeglądarce internetowej. A ponieważ nigdy nie przechowuje ani nie przesyła haseł, idealnie nadaje się do użytku na wielu komputerach publicznych. Jest również całkowicie darmowy.

Będąc javascript, ma mnóstwo recenzji kodu, ma bookmarklet, który doskonale działał na 99% stron, na których wypróbowałem, a czasami nie możesz łatwo używać wersji mobilnej oraz kopiować i wklejać.

Rebbot
źródło
1

1Hasło jest świetne (ale jeśli jesteś użytkownikiem komputera Mac, możesz być w porządku z tylko pękiem kluczy)

monomyth
źródło
1

Im prostszy system, tym lepiej.

Rozważ system haseł, który składa się z:

  1. silne hasło główne
  2. unikalny identyfikator dla każdej witryny

Tak więc, biorąc pod uwagę, że twoje hasło główne jest bardzo długie, szybkie do wpisania i nie można go znaleźć w żadnym słowniku (np. Very12% Long91! Password86 # EasilyTyped), hasło używane w example.com byłoby skrótem mieszania Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
echo $ -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Istnieją rozszerzenia przeglądarki, które mogą ci w tym pomóc. Używanie tego systemu w systemach niesieciowych, które nie oferują zapamiętywania haseł, jest nieco denerwujące i trzeba wymyślić schemat na wypadek, gdyby ktoś zmuszał cię do zmiany haseł co jakiś czas.

Oczywiście hasło główne można wprowadzić tylko na wiarygodnych terminalach.

Alex Holst
źródło
Wydaje mi się, że użycie skrótów jako hasła znacznie zmniejszyłoby hasło „spacja” ...
S19N
Jak się masz?
Alex Holst
0

Lubię też i używam KeePass - darmową wersję.

Jordan W.
źródło
0

Zaszyfrowany plik tekstowy Gpg przechowywany w kontroli wersji. Użyj kilku skryptów, aby odszyfrować / zaszyfrować plik zgodnie z potrzebami. Kontrolujesz dostępność pliku, możesz użyć rozproszonej kontroli wersji, aby nadal mieć dostęp, gdy jesteś offline, a czas jego dostępności określa użytkownik (tzn. W razie potrzeby można łatwo przełączać się na różne systemy). Zaletą Gpg jest również możliwość szyfrowania do wielu odbiorców, umożliwiając więcej niż jednej osobie przeglądanie pliku hasła. Szyfruj różne pliki do różnych odbiorców, aby ograniczyć dostęp do poświadczeń dla określonej grupy.

znak
źródło
0

To nie jest odpowiedź na twoje pytanie, ale jest związana - menedżerowie na Twitterze właśnie złamali swoje konta Google , ujawniając garść poufnych informacji o firmie.

Zakładam, że Twitter jest znacznie większym celem niż ty, więc z pewnością miał coś wspólnego z włamaniem. Nie sądzę też, aby ten incydent całkowicie wykluczał przetwarzanie w chmurze. Jednak DOWOLNA usługa hasła online jest dużym celem. Hasła są zbyt ważne, aby przechowywać je online.

Carl C.
źródło
0

Wahałbym się przed przechowywaniem moich poufnych informacji w firmie zewnętrznej. Czy zastanawiasz się nad samodzielnym wdrożeniem produktu internetowego; możesz wtedy ustawić go na zewnątrz, jeśli chcesz, dzięki czemu jest dostępny z dowolnego miejsca.


źródło