Jak bezpiecznie przechowywać i zarządzać 180 hasłami?

146

Mam około 180 haseł do różnych witryn i usług internetowych. Wszystkie są przechowywane w jednym dokumencie Excel chronionym hasłem. W miarę wydłużania się listy coraz bardziej martwię się o jej bezpieczeństwo.

Jak bezpieczny lub powinienem powiedzieć niepewny jest dokument Excel chroniony hasłem? Jaka jest najlepsza praktyka przechowywania tak wielu haseł w bezpieczny i łatwy w zarządzaniu sposób?

Uważam, że metoda Excel jest dość łatwa, ale martwię się o aspekt bezpieczeństwa.

Samir
źródło
Produkt komercyjny, taki jak CyberArk, spełnia Twoje potrzeby.
Ivan Chau

Odpowiedzi:

207

Moje ulubione narzędzie do przechowywania haseł to KeePass :

wprowadź opis zdjęcia tutaj

Co to jest KeePass?

Dziś musisz pamiętać wiele haseł. Potrzebujesz hasła do logowania do sieci Windows, konta e-mail, hasła FTP swojej witryny, haseł online (takich jak konto członka witryny) itp. Itd. Lista jest nieograniczona. Ponadto należy użyć różnych haseł dla każdego konta. Ponieważ jeśli użyjesz tylko jednego hasła wszędzie i ktoś je dostanie, masz problem ... Poważny problem. Złodziej miałby dostęp do twojego konta e-mail, strony internetowej itp. Niewyobrażalne.

KeePass to darmowy menedżer haseł typu open source, który pomaga w bezpiecznym zarządzaniu hasłami. Możesz umieścić wszystkie hasła w jednej bazie danych, która jest zablokowana jednym kluczem głównym lub plikiem kluczy. Musisz więc zapamiętać tylko jedno hasło główne lub wybrać plik klucza, aby odblokować całą bazę danych. Bazy danych są szyfrowane przy użyciu najlepszych i najbezpieczniejszych obecnie znanych algorytmów szyfrowania (AES i Twofish). Aby uzyskać więcej informacji, zobacz stronę funkcji .


Czy jest jakiś limit liczby przechowywanych w nim haseł?

Tylko w teorii. Możesz umieścić tyle wpisów w bazie danych, ile chcesz, ale w pewnym momencie twój klucz USB lub dysk twardy będą pełne.

Czy istnieje sposób automatycznej synchronizacji zmienionych haseł?

Nie, nie tak, jak się tego spodziewasz.
Będziesz chciał uczynić to regularnym, ręcznym procesem. To nie może i nie powinno być zautomatyzowane.

Lubię ustawiać daty ważności wszystkich moich haseł: wprowadź opis zdjęcia tutaj
Pamiętam o regularnej zmianie haseł. Przechowuję adres URL strony internetowej z hasłem, więc jest to szybki proces.

Czy mogę automatycznie zalogować się na stronie internetowej takiej jak Facebook przy użyciu tego oprogramowania?

Nie, też nie automatycznie (przynajmniej o ile mi wiadomo). Ale w tym momencie pojawia się Auto-Type . Na przykład w przypadku Facebooka jest to moja konfiguracja automatycznego pisania:

wprowadź opis zdjęcia tutaj

Jak widać, stworzyłem 3 konfiguracje dla różnych tytułów przeglądarki. To pozwala mi po prostu przejść do facebook.com, naciśnij Ctrl+ Alt+ A, a nazwa użytkownika i hasło zostaną automatycznie wprowadzone i będę zalogowany.

Jeśli masz wiele kombinacji nazwy użytkownika / hasła dla tego samego tytułu okna, pojawi się wyskakujące okienko z pytaniem, które hasło należy zastosować.

Co z telefonem komórkowym?

Istnieją aplikacje obsługujące format kontenera KeePass na urządzeniach mobilnych. Ale trzymam się od nich z daleka. Po prostu nie podoba mi się myśl o mojej bazie danych KeePass na moim telefonie.

Wolę przesyłać tylko pojedyncze hasła za pomocą wtyczki Generator kodów QR . Pozwala wygenerować kod QR na podstawie hasła, które można następnie zeskanować za pomocą telefonu. Pomaga mieć aplikację, która może skopiować zeskanowaną zawartość do schowka.

wprowadź opis zdjęcia tutaj

Der Hochstapler
źródło
3
Jeśli umieścisz go w Dropbox, możesz go otworzyć w dowolnym miejscu (tam jest wersja przenośna), nawet na telefonie. Ponadto można go zaimportować do Lastpass. Świetny wybór
Ivo Flipse
2
@Oliver To wydaje się być tylko narzędziem, którego potrzebuję. Na pewno spróbuję. Data ważności jest słodka! A automatyczne pisanie jest dość proste. Rozumiem, że niektóre strony internetowe mogą wymagać potwierdzenia zmiany hasła przez kliknięcie linku, który wysyłają pocztą e-mail, dlatego z tego powodu każda funkcja automatycznej synchronizacji, tak jak sobie wyobrażałem, nie zsynchronizuje i nie zaktualizuje hasła. To plus, że działa na innych systemach operacyjnych niż tylko Windows. Danke Oli! ;)
Samir
9
Jeśli chcesz zwiększyć bezpieczeństwo w Dropbox, użyj pliku klucza w połączeniu z hasłem i ręcznie skopiuj go na dowolny komputer lub urządzenie, które chcesz mieć dostęp do haseł (nie przechowuj klucza w Dropbox). AFAIK działa tylko z Androidem i zrootowanymi urządzeniami iOS, ponieważ potrzebujesz dostępu do systemu plików, ale bez pliku klucza plik hasła jest prawie niemożliwy do odtworzenia.
Chad Levy
2
Zauważ, że KeePass 2 jest przeznaczony tylko dla systemu Windows (przynajmniej bezpłatne interpretery Mono w systemie Linux działały bardzo słabo). Istnieje starszy klon KeePass 1 o nazwie KeePassX, którego używam na komputerach Mac i Linux i działa bardzo dobrze.
Reid
2
@Reid: Z mojego doświadczenia wynika, że ​​KeePass2 działa dobrze na Mono; to po prostu brzydkie i to jest mono kontra .NET.
grawity
68

Wydaje się, że istnieje kilka łatwych w użyciu programów do łamania haseł Excel.

Chciałbym użyć systemu zarządzania hasłami, takiego jak 1password lub LastPass, który działa na kilku systemach operacyjnych, w tym na telefonach komórkowych.

Są one wyposażone w wtyczki do większości przeglądarek, które mogą wypełniać hasła i inne informacje w formularzu internetowym. 1 hasło może również skonfigurować zakładkę w przeglądarce, która będzie się automatycznie logować (wszystkie zastosowania aplikacji wymagają najpierw podania hasła głównego)

1 hasło może również przechowywać notatki, konto (np. E-mail, ftp) i szablony, aby pomóc przechowywać kartę kredytową, konto bankowe i inne informacje. Mimo że jest komercyjny, możesz uzyskać bezpłatną wersję demo, która pozwala na wejście do 20 przedmiotów.

Jedną różnicą między nimi jest to, że 1 hasło zapamiętuje tylko dane lokalnie (chociaż możesz zsynchronizować zaszyfrowane dane za pomocą Dropbox lub podobnego), Lastpass może (musisz? Ktoś to poprawić) przechowywać dane na swojej stronie internetowej, co pozwala na dostęp do sieci dane i nie ma potrzeby dropbox itp.

znak
źródło
4
Hasła programu Excel są bardzo łatwe do złamania. Łamacz haseł Google Excel, a zobaczysz wiele opcji. +1 za Lastpass. Kiedyś korzystałem z Roboforma, ale Lastpass bardziej mi się podobał, ponieważ jest wieloplatformowy. Używam ich generatora haseł do losowego wybierania haseł.
Kendor
23
+1 dla LastPass - To niefortunne, że odpowiedź z całym ładnym formatowaniem i zdjęciami jest dla KeePass, ponieważ LastPass jest znacznie lepszy: robi wszystko, co robi KeePass, ale ma również wtyczki dla każdej głównej przeglądarki, systemu operacyjnego i platformy mobilnej. Przechowuje również dane online, więc nigdy nie musisz się martwić o ich utratę (i buforujesz je lokalnie, więc nigdy nie musisz się martwić o awarię ich serwerów) , ale szyfruje wszystko za pomocą TNO (nie ufaj nikomu), więc LastPass nigdy nie zobaczy twoje hasła. Jest bardzo niewiele programów, które nazywam absolutnie perfekcyjnymi , ale LastPass jest jednym z nich.
BlueRaja - Danny Pflughoeft
3
LastPass obsługuje teraz również uwierzytelnianie dwuskładnikowe za pośrednictwem Androida / iPhone'a, co oznacza, że ​​ktoś musiałby najpierw ukraść telefon, aby uruchomić aplikację Authenticator (która generuje losowy kod co 30 sekund), aby uzyskać dostęp do haseł.
glenneroo
3
@Sammy: Tak, większość funkcji jest zawsze bezpłatna. Te tylko cechy, które trzeba zapłacić za to aplikacje mobilne i uwierzytelnianie wieloczynnikowe, które wymagają „konto premium” ($ 12 / rok). Autor nie stara się wzbogacić programu - nie korzystam z funkcji premium, ale nadal płacę za konto premium, aby okazać moją wdzięczność. Zwykle przekazuję darowizny tylko na projekty typu open source, więc coś ci to mówi :)
BlueRaja - Danny Pflughoeft
2
LastPass jest wygodny, ale jest w większości zamknięty i przejęty przez LogMeIn. Serwery LastPass zostały wielokrotnie (przynajmniej częściowo) naruszone, a ich klient zezwolił na „ odczytywanie haseł w postaci zwykłego tekstu z dowolnych domen ze skarbca użytkownika LastPass, gdy użytkownik odwiedził złośliwą stronę internetową ”, a obecnie (Mar2017) „ plik binarny LastPass .. . pozwala złośliwe strony na wykonanie kodu z ich wyboru Nawet jeśli nie jest obecna binarny ... pozwala złośliwych witryn kradzieży haseł od chronionego skarbcu LastPass. "Zobacz en.wikipedia.org/wiki/LastPass#Security_issues o referencje
Xen2050
49

Używam Lastpass od jakiegoś czasu i bardzo go polecam. Ma wspaniałe wtyczki do przeglądarki i szereg funkcji, które ułatwiają uzyskanie bezpieczniejszych haseł.

Wtyczka przeglądarki automatycznie wypełni dane logowania (po zalogowaniu się do wtyczki). Posiada również funkcję eksportu, dzięki czemu możesz odzyskać bazę danych i zaimportować ją na przykład do KeePass . Wykorzystuje również uwierzytelnianie dwuetapowe dla dodatkowego bezpieczeństwa.

Klient stacjonarny:

klient stacjonarny

Wtyczka do przeglądarki:

wtyczka do przeglądarki

PlTaylor
źródło
1
@PITaylor Dziękujemy! Na pewno przetestuję LastPass. Ale na razie dam KeePassowi więcej czasu na jego ocenę.
Samir
4
Głównym powodem, dla którego lubię LastPass, jest to, że łatwo jest udostępniać zestaw haseł na wielu komputerach i zawsze możesz uzyskać dostęp do swoich przepustek na losowym komputerze za pośrednictwem interfejsu internetowego.
PlTaylor
2
Używam lastpass, jednak są 2 wady. 1) Serwer może przestać działać (problemy techniczne lub firma przestaje działać, itp.) 2) Niektóre firmy nie zezwalają na to, ponieważ wysyłasz informacje o pracy zespołowej z firmy.
Keltari
1
LastPass jest wygodny, ale jest w większości zamknięty i przejęty przez LogMeIn. Serwery LastPass zostały wielokrotnie (przynajmniej częściowo) naruszone, a ich klient zezwolił na „ odczytywanie haseł w postaci zwykłego tekstu z dowolnych domen ze skarbca użytkownika LastPass, gdy użytkownik odwiedził złośliwą stronę internetową ”, a obecnie (Mar2017) „ plik binarny LastPass .. pozwala złośliwym stronom na wykonanie wybranego przez nich kodu. Nawet gdy plik binarny nie jest obecny ... pozwala złośliwym stronom na kradzież haseł z chronionego skarbca LastPass "Patrz en.wikipedia.org/wiki/LastPass#Security_issues w celu odniesienia
Xen2050
Zostawię ten link tutaj, ponieważ pan Hunt mówi, że jest o wiele lepszy niż ja. troyhunt.com/…
PlTaylor
10

Osobiście używam wtyczki Password Hasher (do przeglądarki Firefox).

W jaki sposób Password Hasher pomaga:

  • Automatycznie generuje silne hasła.
  • Jeden klucz główny generuje różne hasła w wielu witrynach.
  • Szybko aktualizuj hasła, „podbijając” tag witryny.
  • Zaktualizuj klucz główny bez aktualizacji wszystkich witryn jednocześnie.
  • Obsługuje hasła o różnej długości.
  • Obsługuje specjalne wymagania, takie jak cyfry i znaki interpunkcyjne.
  • Obsługuje ograniczenie słowa mieszającego, aby nie używać znaków specjalnych. (Nowy!)
  • Zapisuje wszystkie dane w bezpiecznej bazie danych haseł przeglądarki.
  • Generuje przenośną stronę HTML z tagami witryny i ustawieniami opcji, które umożliwiają generowanie słów haszujących w dowolnej przeglądarce na dowolnym komputerze bez zainstalowanego rozszerzenia. (Nowy!)
  • Można dodawać przyciski znaczników, aby zdemaskować hasła w dowolnej witrynie internetowej. (Nowy!)
  • Niezwykle prosty w użyciu!

wprowadź opis zdjęcia tutaj

Stepan Vihor
źródło
6
Muszą być gdzieś przechowywane, bo inaczej zostaną zapomniane
Mark
Istnieją również porty dla Chrome.
rishimaharaj
6
Przez @kutschkem: Nie, hasła nie muszą być gdzieś przechowywane. Wtyczka prawdopodobnie robi (przynajmniej tak bym to zrobił) jest haszowanie konkatenacji tagu witryny i hasła głównego, co spowoduje powstanie innego (i podobno silnego) hasła dla każdej witryny (bez zapisywania czegokolwiek , widzieć?). Oczywiście twoje główne hasło nadal musi być silne. Zaletą jest to, że nie tylko każde hasło będzie inne, będą one bardzo różne (przynajmniej jeśli funkcja haszująca jest dobra).
Der Hochstapler
Jest też port dla IE , napisany przez bardzo przystojną osobę
BlueRaja - Danny Pflughoeft,
@Matthew: Dotyczy to każdego rozwiązania do przechowywania haseł ...
BlueRaja - Danny Pflughoeft,
9

Osobiście używam PasswordMaker do generowania haseł na podstawie hasła głównego i adresu URL witryny. Projekt jest dość dojrzały, open source i stabilny. Jest dostępny dla przeglądarki Firefox (jako rozszerzenie), Linux CLI, Androida itp.

Jak to działa:

Ostrzeżenie - żargon techniczny w tej sekcji! Dostarczasz PasswordMakerowi dwie informacje: „hasło główne” - to jedno, pojedyncze hasło, które lubisz - oraz adres URL witryny wymagającej hasła. Dzięki magii jednokierunkowych algorytmów mieszających PasswordMaker oblicza skrót wiadomości, znany również jako cyfrowy odcisk palca, którego można użyć jako hasła do witryny. Chociaż jednokierunkowe algorytmy mieszające mają wiele interesujących cech, to jedna z wielkich liter wprowadzona przez PasswordMaker polega na tym, że wynikowy odcisk palca (hasło) „nie ujawnia niczego na temat danych wejściowych, które zostały użyte do jego wygenerowania”. Innymi słowy, jeśli ktoś ma jedno lub więcej wygenerowanych haseł, jest dla niego niewykonalne obliczeniowo uzyskanie hasła głównego lub obliczenie innych haseł.

użytkownik1202136
źródło
4

Jest to ryzykowne zaufanie do aplikacji firm trzecich do przechowywania ważnych haseł zwłaszcza te aplikacje, które są potencjalnie w stanie połączyć się z siecią lub te, które zezwalają im dostęp do procesów z innego programu; i co ważniejsze, aby zaufać tym innym niż open source .

Moim zdaniem bezpieczniejszym sposobem jest przechowywanie ważnych haseł w pliku tekstowym (.TXT), a następnie szyfrowanie pliku za pomocą algorytmu AES przez dsCrypt.exe . Musisz podać swoje hasło główne do dsCrypt tylko raz i będziesz w stanie zaszyfrować / odszyfrować plik tekstowy hasła wiele razy, bez konieczności ponownego wpisywania hasła głównego za każdym razem, gdy dsCrypt jest uruchomiony. Możesz automatycznie uruchomić dsCrypt przy starcie systemu Windows i wprowadzić hasło główne raz; a wtedy potrzebujesz po prostu przeciągnąć i upuścić plik hasła (.txt) na dsCrypt, aby go deszyfrować / zaszyfrować, gdy potrzebujesz hasła.

DavidDe
źródło
Zastąpienie dsCrypt PGP / GPG, pochodnymi TrueCrypt, LUKS itp. Byłoby równie dobre, nadal +1
Xen2050
ale w twojej odpowiedzi jest wada: dsCrypt.exe JEST oprogramowaniem firm trzecich :-)! Wolę ufać programowi typu open source, który mogę ponownie skompilować w porównaniu z exe
spiritoo
0

Polecam KeePassXC, który jest rozwidleniem społeczności KeePassX , natywnego portu międzyplatformowego KeePass Password Safe , w celu rozszerzenia i ulepszenia go o nowe funkcje i poprawki błędów, aby zapewnić bogatą w funkcje, w pełni wieloplatformową i nowoczesną menedżer haseł źródłowych.

Ten klient jest także polecany przez Surveillance Self-Defense .

Główne cechy KeePassXC :

  • Bezpieczne przechowywanie haseł i innych prywatnych danych dzięki szyfrowaniu AES, Twofish lub ChaCha20
  • Wieloplatformowy, działa w systemie Linux, Windows i macOS bez modyfikacji
  • Kompatybilność formatu plików z KeePass2, KeePassX, MacPass, KeeWeb i wieloma innymi (KDBX 3.1 i 4.0)
  • Integracja SSH Agent
  • Automatyczne pisanie na wszystkich obsługiwanych platformach w celu automatycznego wypełniania formularzy logowania
  • Plik klucza i wsparcie dla odpowiedzi YubiKey dla dodatkowego bezpieczeństwa
  • Generacja TOTP (w tym Steam Guard)
  • Import CSV z innych menedżerów haseł (np. LastPass)
  • Interfejs linii komend
  • Autonomiczny generator haseł i haseł
  • Miernik siły hasła
  • Niestandardowe ikony dla wpisów w bazie danych i pobierania ulubionych stron internetowych
  • Funkcja scalania bazy danych
  • Automatyczne przeładowanie po zewnętrznej zmianie bazy danych
  • Integracja przeglądarki z KeePassXC-Browser dla Google Chrome, Chromium, Vivaldi i Mozilla Firefox.
  • (Starsza wersja) Obsługa KeePassHTTP do użytku z KeePassHTTP-Connector dostępna dla Mozilla Firefox i Google Chrome oraz passafari dla Safari.
simhumileco
źródło
-4

Używam plików Notatnika i plików .txt. Jeśli chcesz mojej rady, radzę, abyś nie korzystał z usług innych podmiotów. Skąd wiesz, że nie kradną twoich haseł?
Dlatego używanie plików tekstowych byłoby najlepsze.
Również jeśli jesteś programistą, proponuję zbudować prosty dla siebie, który używa kodowania do zabezpieczenia danych. To najlepsze rozwiązanie.

UltraDEVV
źródło
2
Wezmę moje szanse, że baza danych zaszyfrowanego menedżer haseł jest bardziej wrażliwy niż plik tekstowy, widząc, jak te ostatnie będą zbierane przez następny kawałek złośliwego oprogramowania, które robi jak szybkie wyszukiwanie mojego komputera słownego hasło .
Twisty Impersonator
1
Przynajmniej zaszyfruj swój zwykły plik tekstowy za pomocą gpg / pgp lub czegoś innego , a następnie zapamiętaj to jedno hasło
Xen2050