Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×

Посоветуйте паролехранилище

Или как оно там правильно называется.

В общем, прогу или сервис, где пароли (кроме уж самых важных) хранятся в одном месте. Понимаю, что этих прог должно быть овер9000, но хочется что-то надёжное и проверенное, чтобы весь мой список паролей не стал общим достоянием в тот же день. Ну и, естественно, с надёжной защитой доступа к этой проге/сервису и, если это сервис, с защищённым протоколом обмена, а не когда данные плаинтекстом гоняются.

Автономная прога наверное была бы изолированнее (и безопаснее при всех прочих входных данных), но увы, реалии диктуют необходимость доступа с того же андроида и т.д.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Много лет использую RoboForm (www.roboform.com) — очень удобно, на всех девайсах и ОС доступно, все синхронизируется. Автозаполнение включая Windows-приложения. Также при необходимости добраться по паролей (собственно, всей хранимой информации) можно и через любой браузер.

Блокноты и алгоритмы для меня не работали, так как будучи ИТ-директором, нужно было хранить и иметь оперативный доступ к двум-трем _сотням_ записей всевозможных паролей, логинов к системам, эккаунтов, ключей и т.п. конфиденциальной информации.

github.com/passbolt, можно пользовать как self-hosted решение. Open Source

Если рассматриваются варианты платных облачных менеджеров паролей (LastPass, 1password) то можно рассмотреть и аппаратный менеджер паролей, такой как Hideez Key (www.hideez.com). Главное отличие — пароли хранятся на внешнем девайсе пользователя, ввести их в нужные поля можно только на заранее связанном с девайсом компьютере (сейчас Windows, в январе- Мас) или смартфоне (сейчас Андроид, в январе — iOS)

Что происходит в случае утери девайса?
Здогадайся.

Hideez не хранит пароли на своем сервисе. Есть возможность делать резервную копию (AES256) на диске. Если устройство потеряно:
1. Придется восстанавливать пароли из резервной копии на другое устройство (или запрашивать у всех ресурсов восстановление)
2. Устройство подключится только к «знакомым» компьютерам, поэтому нашедший не сможет добраться к содержимому. Если же есть риск, что вор применит устройство к компьютеру хозяина, владельцу стоит заблокировать его через онлайн-кабинет.

Lastpass. Мобильные версии платные, но они того стоят. Можно заполнять креды прямо в сторонних приложениях. У гугла есть подобная фича — smartLock, но он к сожалению работает только в случае, если разработчики предусмотрели его использование.
В облаке хранятся хеши паролей, реальные пароли не передаются. ( не раз сниффали траффик приложения, чтобы проверить это)
Жаль только, что купленный ими Xmarks и его синхронизация закладок не работает так же . В один момент может стереться половина всех закладок, а вторая продублироваться

Бумажный блокнотик =) И никакая скотина не стырит. Но это конечно вариант если юзаешь дома их.

Правильно, а в поездку? А гости? А воры? :)

а в поездку?

Да, есть минус)

А гости? А воры?

А для них у меня припрятаны пару секретов: невнятные названия, тяжело понять к чему пароль. Потом еще 2 хитрости. Да, они не сильно сложные но лучше чем ничего. Если отключить лень то можно еще их более зашифровать что расшифровка будет только в уме. Но это во много раз надежнее чем хранить в электронном виде, ибо вероятность того что хакер к вам зайдет в комнату ничтожна, а вот сломать комп, смартфон или планшет — обычное дело.

Да, есть минус)

а если со смартфона нужно куда-то зайти?

А для них у меня припрятаны пару секретов: невнятные названия, тяжело понять к чему пароль. Потом еще 2 хитрости. Да, они не сильно сложные но лучше чем ничего. Если отключить лень то можно еще их более зашифровать что расшифровка будет только в уме.

голова не вспухнет от таких сложностей? :)

а если со смартфона нужно куда-то зайти?

Смартфон уже авторизован в гугл аккаунт(кстати у меня их два — тот что с смартфона юзается он чисто личный, а есть еще финансовый под которым я не сижу нигде). Потом соц сети и прочая чепуха не важна. Апворк на смартфоне стремаюсь держать.

голова не вспухнет от таких сложностей? :)

Ну, у меня я бы назвал базовое шифрование с мелким изменением. Вполне норм) Но наверно усложню когда буду изменять пароли. Вообще прикол в том что простор для шифрования бесконечен, и можно туда апихнуть любую вещь которую ты будешь знать, но сторонний человек никогда не поймет. У меня так например ответы на вопросы кое где фейковые. И поди догадайся что я там придумал))

Апворк на смартфоне стремаюсь держать.

апворк вообще наверное классно было бы вынести на отдельный имаил. Точнее, чтобы все сообщения приходили на постоянный, а сменить платежи можно было бы только с особого. Интересно, у них есть такая фича? :)

Не думаю что есть. А зачем? Те сообщения что на почту приходят я их вообще не читаю, зачем если я быстро открываю апворк сайт и все вижу, или же в десктопном апе на рабочем ПК. Недавно просто поотключал их. Ну и апворк привязан к финансовому акку, с очень сложным паролем и как я сказал я под ним не сижу, только иногда зайду и сразу выйду. Недавно привязал к нему двуступенчатую авторизацию.

Кстати в апворке есть еще защита — если меняешь способ выплат(добавляешь карточку) то 3 дня задержки.

Не думаю что есть. А зачем?

например, если стырят смартфон с залогиненной там почтой — чтобы нельзя было сменить способ оплаты в апворке

и как я сказал я под ним не сижу, только иногда зайду и сразу выйду.

не думаю, что постоянные входы/выходы надёжнее, чем сидеть у себя дома под этим аккаунтом :)

Кстати в апворке есть еще защита — если меняешь способ выплат(добавляешь карточку) то 3 дня задержки.

Так вон рядом темка висит, что увели аккаунт с деньгами, т.к. почту увели и видимо удаляли сообщения о смене способа выплат

например, если стырят смартфон с залогиненной там почтой — чтобы нельзя было сменить способ оплаты в апворке

Да, но если не юзать на смартфоне финансовую почту и апворк ап то норм и так) Но вообще идея хорошая конечно.

не думаю, что постоянные входы/выходы надёжнее, чем сидеть у себя дома под этим аккаунтом :)

Сидя дома я выхожу с фин акка чтобы не стырили куки на левых сайтах. Не знаю можно ли еще как то украсть чтобы потом по этому зайти в гугл акк, но лучше перестрахуюсь. Ну и плюс под фин аком я не сижу в ютюбе и прочих гугл сервисах, потому по любому нужно выходить и заходить в личный ак) Иметь отдельную почту для серьезных вещей это маст и давно известная тема)

Так вон рядом темка висит, что увели аккаунт с деньгами, т.к. почту увели и видимо удаляли сообщения о смене способа выплат

Ага, видел. Там вопрос как допустилось что увели почту. А то если ее уже увели и не заглядывать хотя бы раз в эти 3 дня на апворк, то конечно можно прощаться. С таким подходом и неделя-две задержки бы не помогла)

Но мой подход работает если работать в офисе или дома, без передвижений по кафе и т.д. Таскать блокнот неудобно бы было)) С другой стороны работать не в своем офисе очень опасно — пошел за кофе и стырили ноутбук. Или же забыл его где. Мало ли что может быть, а потеря ноута с авторизацией в том же апворке или на финансовой почте это уже тотальный фейл и не долго надо чтобы стырили все что можно стырить. Даже если он под паролем будет то думаю опять же не сложно тот пароль сломать тому кто в теме(хотя я вообще не знаю как его ломают не то что в линуксе а и в виндовсе)

потеря ноута с авторизацией
диск зашифрувати можна

Мне для большинства сайтов подходит хеш-схема с ключевой фразой.
Например. Ключевой фраза1: «qwerty123456», Ключевая фраза2: «asdfgh»
Хеш-схема: <Ключевой фраза1><первая буква сайта><Ключевой фраза2><последняя буква сайта>.

Facebook.com: qwerty123456fasdfghk
Google.com: qwerty123456gasdfghe
Live.com: qwerty123456lasdfghe

Так я хранию пароли в голове.

Конечно, хеш-схема может быть любой.

СтОит где-то надыбать 2 ваших пароля (а это вполне вероятно, мы все регистрируемся в том числе и третьесортных сайтах) и Ваши все пароли как на ладони

Пароли не должны зависеть ни друг от друга на разных сайтах, ни от каких-то внешних признаков

Правильно. Но я писал для «большинства сайтов». А хранить пароли в файлике или программе, это конечно 100% защита.

Правильно. Но я писал для «большинства сайтов».
для левандоса — очень даже хорошая идея
А хранить пароли в файлике или программе, это конечно 100% защита.

нет, но наверное надёжнее, чем подобные в голове :)

Если говорить о надёжности, или стойкости к определённой security threat, то эту security threat тут нужно описать. Я когда то тоже хранил пароли в шифрованом файлике, но когда появился планшет, телефон и ещё другой пк, то как-то синхронизаровать файл стало тяжелее, а открывать его на планшете — это вообще дыра (т.к. прога может временные файлы какие пишет или остаётся висеть в памяти/свопе).

Вообще возможно Вы и правы, тут мы в соседней ветке обсуждали безопасность и её возможную реализацию (в плане брутфорса), то мне кажется, что пароли с высокой стойкостью к взлому не особо отличаются от почти что словарных вроде «mysuperpassword00». Попробуйте такой подберите по словарю для удалённого сервиса типа гугла, с его капчёй и задержками в случае подозрительной активности. Сколько вариантов нужно перебрать, чтобы к нему прийти :)

Так что возможно, пароль типа Вашего, пусть он и имеет какие-то «зависимые части», но хранящийся в голове надёжнее «d6v*71&gH6y!-bd2@vi{g72@», но хранящегося в файлике :)

Можно иметь 2-3 схемы с сложностью зависящей от важности сайта и солью менее очевидной, например номер паспорта в обратном порядке с заменой первой и третей цифры на символы аналогичной клавиши (1-!, 2-", 3-№, 4-;, 5-% и т.д.). Возможно еще удержать в голове, но уже фиг подберешь даже имея 2-3 готовых пароля. Хотя если у кого-то есть ваших 2-3 пароля, скорее всего он достанет любой тем же способом, что достал начальные.

Можно поступать проще, и надёжнее: просто в качестве пароля писать какую-то фразу, длина достаточная, не брутфорсится, и запоминается легко. Или слово скопипастить пару раз.

1password я так понимаю платный? А какие у него преимущества перед тем же KeePass?

Работает, причем без всяких свистоплясок как в случае с KeePass, типичных для большинства опенсоурс продуктов

1password. Юзаю уже давно, отличный продукт.

Можно воспользоваться KeePass. Во второй версии программы есть синхронизация базы с файловыми онлайн-сервисами + кроссплатформенный и запускается даже на самом обычном кнопочном телефоне (если хватит ОЗУ для чтения базы).

Даже нормального плагина для хрома нет (с другими браузерами, думаю, та же фигня), то есть отсутствует одна из ключевых фич для парольных менеджеров, зато на кнопочных телефонах можно запускать, успех )

Даже нормального плагина для хрома нет (с другими браузерами, думаю, та же фигня)

не боитесь интегрировать подобным образом?

С lastpass не боюсь :). Удобство превышает риски на порядки. Да и сложно представить какие могут быть тут риски.

дыра не только в lastpass, но и в браузере как в посреднике

Ну lastpass тут точно не проблема, в худшем случае злоумышленник выудит зашифрованную базу, увести keepass базу с какого-нибудь дропбокса будет гораздо проще.

На стороне браузера, все зависит от пряморукости разработчиков плагина. Не думаю что тут будет больше рисков чем использовать обычный десктопный клиент как у того же KeePass.

В lastpass тоже можно выудить зашифрованную базу, как и с KeePass, но толку не будет никакого, если не сопрут пароль к базе (+ в некоторых случаях и файл-сертификат)

Как бы в вопросе не было текста о том, что должен присутствовать обязательно плагин для браузера ))

А чем существующий плагин вас не удовлетворяет (chromeIPass) ?
К тому же, KeePass по умолчанию идет с HTTP плагином, что позволяет интегрировать его практически куда угодно.

В моем понимании нормальный плагин это установил, ввел пароль и забыл, а не длинная инструкция по установке на 10+ пунктов включающая установку других плагинов и зависящего от постоянно запущенного десктоп клиента. Не говоря уже что половина упоминаний chromeIPass в гугле сопровождается фразами «not working», «doesn’t connect to keepass», «doesn’t work» и т.д..

Всем известное паролехранилище — это вызывает какой-то дисонанс..

servicename.txt + шифрування + синхронізація + бекапи

старым десктопным PasswordBoss

ну и несколькими правилами формирования осмысленных паролей, для программ, или сервисов на смарте, в которых используется что-то из названия программы, или сервиса, плюс — какое-то из любимых слов (ну очень редких), и разделено это любимыми символами. пароль получается вполне длинный, вполне криптостойкий, и — легко запоминаемый :)

Своей памяти уже не хватает? :)

а есть тут такие, кому хватает? ;)

user/123456
root/root
admin/password

Вот наше всё :)

странно, у меня вот в списке, помимо важного, пару сот разных говнофорумов. На большинстве из которых стоит общий пароль (и пофиг, что уведут), но часть из них всё же требует каких-то извращений в пароле, поэтому стандартный уже не катит. Мне что, весь этот мусор ещё помнить? ;)

... я просто не сижу на говнофорумах. Поэтому ничего странного.
Хранить пароли где-то кроме своей головы — риск. Все остальное от лукавого.

... я просто не сижу на говнофорумах.

Иногда нужно что-то из «непрофильного». Там, ремонт, хобби и т.д. Тоже нигде не регистрированы? ;)

Хранить пароли где-то кроме своей головы — риск.

вот я тоже тот десяток храню в голове. Остальное всё можно и с учётом рисков, но не захламлять себе голову :)

я пользуюсь 1psssword, для себя и для компании

Посоветуйте паролехранилище

Блокнотик с ручкой

текстовый файл на дропбоксе.
пользуюсь больше пяти лет никаких проблем зато удобный доступ с любого девайса.
Да и хром запоминает те которые к интернет сервисам.
Прежде чем искать мудреное паролехранилище задайте себе вопрос — кому нафиг нужны ваши пароли.

ну это до определенного момента. до того, пока у Вас совсем ничего нету.
а вот будет, хотя бы, фрилансерский аккаунт с историей успешных проектов,
так Вашими паролями начнут интересоваться.
Поэтому лучше смяться над своей параноей, чем плакать над своей неосмотрительностью.

по сабжу — храню пароли в виде картинки с рукописным текстом — вроде и не шифрованно,
вроде как и боту не прочитать, вроде как и много текста — что именно и куда вводить непонятно
непосвещенным.

как то не представляю себе админов дропбокса перечитывающих миллионы файлов в надежде найти что нибудь типа акаунта к фрилансу

LastPass.com
Недавно сделали бесплатную синхронизацию между устройствами (раньше была премиум фичей)

Несколько лет использую и поддерживаю этот сервис. Каждый год оплачиваю. Использую на смарте и плагин для Хрома. Очень удобно. Можно шарить на свою команду целую папку паролей.

+1. Пока выглядит самым «фичастым» и приятным из имеющихся облачных.

1password
Недешево, но крайне удобно

Я использую KeePass.
Но ты еще посмотри, когда у таких паролехранилищ были утечки в последний раз. У LastPass в прошлом годы было.

Андроид-версия вот эта (KeePassDroid)?
play.google.com/...com.android.keepass&hl=ru

Кто юзает, насколько она защищена на ваш взгляд?

Официального клиента вроде нет, я использую Keepass2Android.

база зашифрована дополнительным файлом ключиком, так что одного пароля мало ОГРОМНЫЙ ПЛЮС многоплатформенность

у LastPass утечек не было, были атаки

Підписатись на коментарі