Як ви керуєте своїми паролями?


59

Очевидно, що, як багато з нас тут люди системного адміністратора, у нас є багато паролів, розроблених у багатьох системах та облікових записах. Деякі з них мають низький пріоритет, інші можуть завдати серйозної шкоди компанії, якщо виявляться (ви не любите владу?).

Прості, легкі для запам'ятовування паролі просто неприйнятні. Єдиний варіант - складні, важко запам'ятовуються (і набираються) паролі. Отже, що ви використовуєте для відстеження своїх паролів? Чи використовуєте ви програму для їх шифрування (вимагаючи ще одного пароля), чи робите щось менш складне, наприклад, папір, який зберігається у вашій особі, чи це десь між цими варіантами?


Чи легко запам'ятати паролі дійсно неприйнятно? -> xkcd.com/936
Мічуельник

Відповіді:


63

KeePass чудовий.


3
+1 для Keepass. Я маю його копію на своєму ноутбуці та синхронізовану копію на моєму Android G1.
KPWINC

Я деякий час використовував PassReminder, оскільки він був доступний для Windows та Linux, але розробка застоювалася. Я перейшов на KeePass і мав одну і ту ж базу даних протягом двох років на робочих станціях Windows, Linux та Mac OS X.
jtimberman

Слід зазначити, що в попередньому завданні ми використовували базу даних KeePass, яка ділиться між адміністратором, яка зберігала всі пов'язані з інфраструктурою паролі.
jtimberman

+1 для Keepass, FOSS.
Джош Броуер

1
KeePass + Dropbox = Автосинхронізація паролів.
Привіт71

30

У мене дуже простий спосіб роботи з паролями:

Мені не подобаються менеджери паролів, але мені подобається криптовалюта, тому я користуюся односторонніми хешами (md5, sha1 тощо) та генерую паролі, використовуючи їх.

Як це працює?

По-перше, я вибираю хороший довгий пароль, який буду використовувати всюди. Наприклад, qwerty (не використовуйте це, лише приклад). Тепер для кожного сайту вашим паролем буде md5 (або sha1) qwerty + ім'я сайту. Наприклад:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

Таким чином мій пароль для facebook - 9d7d9b30592fd43dd6629ef5c12c6e9a, а для twitter - cdf0e74e19836efb20f29120884b988d

І довгі, і безпечні. Якщо хтось вкраде мій пароль щебетати, у нього немає способу повернути назад, щоб з’ясувати інші паролі. Плюс до цього, вам не потрібно зберігати парольне програмне забезпечення (лише бінарні файли md5 / sha1, які за замовчуванням поставляються в Linux і їх легко знайти в Windows).


6
Гарна, проста схема. Що ви робите на сайтах, які обмежили поля паролів менше 32 байтів, просто усікають?
pboin

1
це досить геніальна схема! круто!
Сандер Верслейс

1
pwdhash < pwdhash.com > робить щось подібне, і воно доступне як надбудова Firefox. Тож якщо ви просто хочете контролювати паролі в Інтернеті, це ідеально. Також означає, що ви можете використовувати будь-який ПК, оскільки вам не потрібно мати з собою базу даних паролів.
Кріс Дж

13
Чи не залишить це слід команд із вашим паролем у простому тексті історії башів?
pufferfish

1
Ви можете Баш ігнорувати команди по налаштуванню HISTCONTROL см: commandlinefu.com/commands/view/1512 / ...
Matt V.

16

Password Safe має суцільне шифрування та генератор випадкових паролів. Групи паролів потім розподіляються як зашифровані файли залежно від того, хто потребує паролі.


Якою криптовалютою використовується безпечний пароль? Я був по всьому сайту і ще не знайшов його.
Боб


Мені здається, що Safe Safe є безцінним, оскільки я можу використовувати його для генерації випадкових паролів, коли настав час обертати паролі - кожен запис пароля може мати спеціально налаштовані правила складності; якщо додаток або сайт не дозволяють розділяти розділові знаки, я можу сказати PS не використовувати символи під час створення нових паролів для нього. Для більш широкого управління паролями, у нас є CyberArk.
Джордж Ерхард

7

Ми зберігаємо наші паролі, роздруковані, в палітурці з нашою іншою мережевою документацією та в фізично захищеній серверній кімнаті, до якої мають доступ лише деякі люди.

Я не знаю, що про це думають справжні адміністратори системи, але я думаю, що це хороше рішення для нас. Мене цікавлять інші відповіді на це питання.


У попередній роботі (центральному університетському комп'ютерному центрі) ми мали невеликий зошит, що зберігався у нашому ключевому скриньці всередині нашого машинного кабінету, який, очевидно, мав обмежену кількість людей, які могли отримати доступ до нього.
Девід Пашлі

+1, тому що це працює і є найпростішим рішенням ... якщо блокнот зберігається замкненим у безпечному місці ...
cop1152

Так само. Папка паролів, що зберігаються в сейфі, в машинному залі. Центральний кореневий пароль був відомий лише небагатьом людям, а потім був поміщений у герметичний конверт; sudo доступ для всіх, хто потребував приватного доступу.
СК.

Звучить як хороше низькотехнологічне рішення Мене трохи турбують такі люди, як прибирання персоналу, технічне обслуговування тощо, яких періодично пускають у приміщення. Вам потрібно пам’ятати, щоб захистити від них в’яжучу речовину.
sleske

7

У нас є зашифрований текстовий файл PGP. Він шифрується до кожного з ключів sysadmin. Для легкого оновлення ми використовуємо плагін vim .

На попередній роботі ми використовували аналогічну схему, але використовували симетричне шифрування, оскільки ми не виявили плагін (або він ще не існував) і ніхто не витратив час, щоб розробити, як працюватимуть приватні ключі.


+1 Приємна схема, а також приємно знати про плагін :-).
sleske

5

У мене є фотографічна пам'ять, я можу запам'ятати паролі для поштових файлів, створених у 80-х - насправді не так здорово, як ви могли подумати :)


Дуже приємне рішення. Я просто не дуже масштабує інших: - /.
sleske

Я також, здається, зможу запам'ятати всі паролі, які я коли-небудь використовував ... що чудово працює, поки ви неминуче забудете його, як я. Це було для підписання сертифікату Android - це означає, що я більше ніколи не можу оновити додаток, про який я писав, який є на ринку Google Play. Звичайно, я можу підписати його іншим сертифікатом, але це не приносить існуючих користувачів на поїздку.
Тімоті Лі Рассел

5

KeePassX - це альтернатива KeePass між платформами. Дуже приємний (Qt) графічний інтерфейс та майже однаковий функціонал.

Ехтяр.

[редагувати] Забув згадати, що він підтримує бази даних KeePass [/ редагувати]


5

Я використовую програму під назвою pwsafe на своєму робочому столі. Якщо мені потрібен пароль десь з іншого місця, я SSH над цим і використовую.



2

Давайте припустимо, що у вас є багато (різних) паролів для різноманітних он-лайн служб та обладнання. Ви хочете зберегти їх у файлі.

Ніколи не тримайте файл пароля відкритим (як у незашифрованому вигляді) на своїх машинах / серверах. Сказавши це, не тримайте його в зашифрованому вигляді з яким-небудь постачальником веб-простору, який надає вам підтримку шифрування - якщо тільки ви їм справді не довіряєте.

Для мобільного зберігання паролів врахуйте томи TrueCrypt або файли, які ви можете зберігати, коли це зручно - наприклад, ваші мандри або навіть вкладення електронної пошти. TrueCrypt підтримується майже на всіх платформах і забезпечує дуже гарну безпеку при розшифруванні файлів для перегляду. Тоді вам доведеться просто подбати про те, щоб ви не копіювали та не залишали файл у якійсь системі (або папці видалених файлів).

Ах! і будьте серйозні з генерацією пароля :-)


2

Брелок. Я спробував 1password, але брелок робить те, що мені потрібно для цього, і мені подобається, як він краще працює.



1

Я зберігаю свої паролі в текстовому файлі, щоб його легко було переглянути - не потрібно жодної програми. Я зберігаю зашифрований файл із довгою парольною фразою, яку я ніколи не записував. Я думаю, що днями я повинен сказати дружині, що це таке ...

"Робоча" версія файлу роздруковується маленьким шрифтом, щоб він вмістився на одному аркуші паперу, і він складений у маленький зошит, який я ношу навколо, і слідкую за своїм гаманцем. В основному я дотримуюся порад Брюса Шнейера і маю гарні паролі, які записані десь захищено.

Наш план "що робити, якщо одного адміністратора потрапить шина", це те, що кожен з нас має свій зашифрований файл паролів. Нас достатньо мало, і всі ми недостатньо тупі, щоб залишити друкований список, що лежить навколо, так що він працює добре.

У нас також є невеликий файл у спільних каталогах, які ми використовуємо, і має менш критичні паролі, до яких ми всі посилаємось.

Ми "генеруємо" наші власні складні паролі для найважливіших цілей використання: зазвичай я йду першим і вибираю букву чи цифру. Потім черговий хлопець підбирає одного, потім я (або інший хлопець) тощо. Ми закінчуємо такими речами, як pl8u7ke, які виявляються не надто важкими для запам'ятовування, якщо ти їх використовуєш досить багато щодня.


1

Для особистих паролів я використовую 1Password. Він має чудовий (безкоштовний) додаток для iPhone / iPod Touch, тому у мене є паролі, куди б я не поїхав.


1

Слід перевірити Yubikey ( http://www.yubico.com/ ).

Він генерує OTP для використання у двофакторній системі аутентифікації, але для немережевих додатків він може бути налаштований для виведення 64-символьного псевдовипадкового (для всіх намірів і цілей, непридатного) пароля, або ви можете встановити пароль самостійно.

Статичний або одноразовий пароль виводиться як би з клавіатури, тому він майже доступний повсюдно. Я використовую моє в Linux, MacOS та Windows.

PS редагувати: я бавлюсь навколо власного Юбікі, але не маю інтересу; Я просто думаю, що це дуже зручний інструмент для паролів.


YubiKeys чудові, але вам все одно потрібен сервер автентифікації та корисна програма, яка спілкується з сервером аутентифікації, щоб змусити його робити щось цінне
Nathan Hartley,


1

Я використовую 1Password від Agile Web Solutions. Він легко інтегрується з усіма звичайними браузерами на Mac і за допомогою Dropbox я можу отримати доступ до одного і того ж збору паролів з усіх моїх машин.

Якщо вам потрібно отримати доступ до своїх секретів з різних платформ ОС, KeypassX - хороший вибір.


1

Якщо у вас в якості клієнтських робочих станцій є системи OS X, ви можете використовувати програму Keychain Access для управління паролями. Ми використовуємо файл брелока у спільному місці, доступному адміністраторам системи, і просто пов'язуємо його з нашою програмою Keychain Access.


1

Я б рекомендував PasswordVault

Група в нашому ІТ-відділі використовує його і дуже подобається функції, які він може запропонувати.

Паролі завжди шифруються. Окремі користувачі можуть вибрати, якими паролями поділитися. Найкраще програмне забезпечення безкоштовне.

Що б ви не вирішили використовувати, переконайтеся, що ОС захищена та паролі зашифровані.


1
Чи не повинно вказувати посилання PasswordVault?
Девід Пашлі

"Ця безкоштовна версія Lite підтримує до 25 послуг та включає 30-денну пробну версію автоматичного розповсюдження (функція Pro Edition)." - звучить досить обмежено.
Тото


1

Що стосується особистих паролів, оскільки я використовую кілька комп’ютерів, мені подобається безкоштовний онлайн-сервіс Clipperz . Шифрування здійснюється на стороні клієнта і зберігається віддалено. Для роботи, +1 для безпечного пароля.


+1 для Clipperz
elifiner

1

В головах кількох людей. На насправді важливі з них написані на дрібні шматочки паперу, а потім застряг в маленьких конвертах. Ми прошиваємо конверти, тож очевидно, чи хтось їх відкрив.


Крім того, підпишіть і дату над швом конверта, так що ви знаєте, ніхто не використовував новий конверт.
Джей Базузі

0

Особисто я використовую eWallet , щоб я міг синхронізувати файл свого пароля зі своїм телефоном. Це коштує 30 доларів, але я був задоволений цим протягом багатьох років, і підтримка завжди була швидкою та ввічливою.

У робочій ситуації моїм кращим рішенням є портативний KeePass або подібний. Виконаний файл і файл пароля можна поставити на дискету або ключ USB. Головний пароль, написаний на зовнішній стороні дискети / USBkey. Запечатайте це в конверті, підпишіть своє ім’я та дату на клапті, а потім поставте чітку стрічку над датою та підписом. Оновіть новий конверт кожні 6 місяців або близько того (1).

Потім конверт поміщають у безпечне місце. Кожен так часто конверти (і) повинні бути інвентаризовані.


(1) Необов'язково зберігайте старі конверти для історичних цілей - якщо ні, старі повинні бути знищені.


0

Я використовую метод програмного забезпечення генерування паролів (щоб їх було легше запам'ятати, ніж справжній випадковий сміття):

http://world.std.com/~reinhold/diceware.html

Я намагаюся використовувати групи паролів для доступу до різних типів систем, щоб обмежити кількість паролів, які я повинен запам'ятати в будь-який момент часу, і обмежити пошкодження, якщо це порушено.

Потім регулярно їх міняю. Наскільки регулярно ви їх змінюєте, залежить від того, наскільки швидко ви зможете навчити себе запам’ятовувати нові паролі.

Якщо ви абсолютно зобов’язані, ви можете зберігати результати рулонів із кістки, зафіксованих десь, як сейф чи сейф. Повторне створення паролів із рулонів (просто пошук списків слів) - це досить дратівлива задача, яка служить стримуючим фактором для забуття. І найгірше, що, коли ви подивилися перші пару слів, ви все одно пам'ятаєте решту.


0

Я використовую apg та pwsafe на особистому сервері. apg (Автоматизований генератор паролів) створює випадкові паролі відповідно до критеріїв, які ви можете визначити, а pwsafe - це лише командна версія Linux версії Password Safe.

Я завжди можу SSH в мій сервер , щоб отримати свої паролі , якщо це необхідно, хоча для малоцінних сайтів я б вітром , використовуючи один і той же пароль в декількох місцях.


0

Для запам'ятовування паролів я вважаю, що це корисно, якщо вони є вимовляючими, щоб ви могли принаймні сказати їх.

Я зберігаю список кількох паролів, які мені зазвичай потрібні в гаманці. Не на 100% безпеку, але я думаю, що це навряд чи спричинить якісь серйозні проблеми.

Головний список усіх паролів зберігається в пожежобезпечному сейфі.


0

У мене просто є електронна таблиця в документах google з даними.


5
Зазвичай я не збиваю SaaS, але розміщення ваших паролів на аутсорсинговій платформі здається зовсім неправильним.
Ден Карлі


0

У поперед. При житті, коли мені довелося «запам'ятати» 20 різних паролів для різних середовищ з різними правилами генерації паролів для кожного, я використав Whisper32 . Це зробило роботу досить добре.


0

Ми використовуємо CyberArk, оскільки нам потрібне рішення, сумісне з PCI (і у нас є і потреби HIPPA), плюс це майже всі системи клієнтів. Я не в захваті від CyberArk, але він працює.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.