Pages:
Author

Topic: Пароли: хранение, генерация, удобство. ??? (Read 451 times)

full member
Activity: 784
Merit: 101
Чем плох старый добрый КееPass?
(KeePassXC). Сейчас у десктопного приложения хороший интерфейс, локальная база, мобильные клиенты.
newbie
Activity: 24
Merit: 0
Не доверюсь хранение своих паролей каким-то сервисам, поэтому использую обычный блакнот
member
Activity: 158
Merit: 19
В последнее время паролей расплодилось столько что уже начинаешь в них путаться.
Пароли от кошельков, пароли от бирж, пароли от vps, пароли от всяких платформ и форумов, пароли от почты, пароли дискорда и тд и тп.
Слишком много паролей. Как их удобно\безопасно хранить и использовать? Запомнить это всё уже невозможно. Использовать же один и тот же пароль везде – плохая идея.
 Huh Huh

Видел приложуху от  NordVPN, называется Nordpass. вроде бы компания неплохо себя зарекомендовала, и у них есть бесплатная версия. Хотя сам ей не пользовался.
jr. member
Activity: 38
Merit: 1
У меня пароли хранятся в блокноте дома, и в мессенджере в избранном. Самые важные пароли в блокноте, остальное уже под рукой всегда. Вообще сомневаюсь, что есть какое то самое безопасное хранилище данных, и не особо на этот счет заморачиваюсь)
full member
Activity: 420
Merit: 101
Бумага - это хороший вариант, если доступ в помещение изолирован и есть возможность уничтожения.
Но бумага не мобильна, вы привязаны к месту и не сможете двигаться по городам, странам с таким открытым архивом.
+ бумага достаточно хрупка, есть риски повреждения, утери, похищения и тд.

Флешки, хоть две, хоть 10 - тоже могут выйти из строя. Но будут попрочнее бумаги.
Однако открытость информации на них - это огромный минус, здесь тоже самое, риски утери и так далее и отсутствие мобильности.

Так а какой вариант мобильного хранения без рисков хищения и т.д.? Только облачное хранение в зашифрованном виде? Причем доступ к облаку должно быть без 2fa, на случай если вдруг остался с голой жопой и без доступа к устройству(цунами все уничтожил разом Shocked).
Раскидать зашифрованный файл на разные облака, где доступ просто по почте и паролю, а так же не реагирует(не дает зайти) на новое устройство/браузер(Такие вообще существуют?). Почта чисто только для этих целей, пароль уникальный запомнить.
В итоге запомнить адрес почты, пароль к ней и другой пароль к самому зашифрованному файлу. Получается аварийный доступ к паролям из любой точки мира. Сомнения только в облачных сервисах, видимо, надо будет вручную проверять на доступ из нового места.

p.s.Понимаю что старая тема, но в поиске нашел это как самое подходящее, может кто другой ответит.
full member
Activity: 658
Merit: 107
Уже давно пользуюсь парольными менеджерами. Еще на слабых компах была прога сделанная на Визуал Бейсике. Лучше так, хоть чем-то закрыть доступ к паролям, чем держать их в открытом доступе в каком-то файле. Сейчас отдаю предпочтение LastPass, где пароли находятся в шифрованном облаке под присмотром у спецов по безопасности.
staff
Activity: 2380
Merit: 2266
Можно обойтись без разблокировки с помощью Windows Hello и тёмного режима и ещё кое-чего по мелочи, хоть и платёж опять же разовый.  
пс. или у меня уже паранойя и закрытый софт даже надежнее? Эпл то тоже закрытая платформа, однако никто не жалуется.

Как может закрытый софт быть надёжнее? Баги в открытом ПО могут искать миллионы программистов во всём мире, а закрытое ПО тестируют единицы (ну, может быть десятки). А, например, чтобы даже не тестировать (упаси бог), а стать разработчиком под iOS, нужно платить Apple:

Вы должны платить за честь быть разработчиком iOS. Недостаточно того, что Apple заставляет вас компилировать на, фактически не стоящем своих денег, компьютере Apple или что вы должны терпеть все эти проблемы.


Quote
Эпл то тоже закрытая платформа, однако никто не жалуется.

Жалуются, ещё и как. Если есть желание, Google поможет.
Например, коллективный иск на $125 млн. против Apple подан в Израиле:

В иске отмечено, что для Apple характерна «закрытость», проявляющаяся в недоступности исходных текстов ПО, и полная зависимость пользователей от решений компании в отношении операционной системы и устройств. Действия Apple, как утверждают истцы, призваны вынудить пользователей скорее купить новые смартфоны.

Одним из самых серьезных ограничений iOS является ее закрытость, которая, с одной стороны, гарантирует довольно быструю работу системы, отзывчивость интерфейса и программ, но также не дает в полной мере насладиться современными устройствами. Так, пользователи iOS не могут пользоваться такими технологиями как Bluetooth, Wi-Fi для отправки своих файлов или приема таковых с других устройств не Apple.
Те, кто хочет превратить свой телефон или планшет в более функциональное устройство, взламывают свой аппарат и ставят Cydia. И вот уже там есть утилиты, которые активируют передачу файлов по Bluetooth – например, AirBlue Sharing.

Тихо, незаметно iPhone установил в вашей жизни диктатуру, и теперь вы ничего не можете с этим сделать. Меняя смартфон Apple на что-то другое, юзер теряет многое, например:

– Все купленные в App Store приложения: при этом большинство из них есть в Android, но их придется приобретать заново.
– Всю купленную в iTunes музыку: почти вся она есть в Play Музыка, но ее также надо купить
– Глубокую интеграцию всех приложений и сервисов между iДевайсом и Mac/iPad
– Данные, сохраненные в облаке iCloud, будут недоступны с других смартфонов
– Не будет ни iMessage, ни Facetime, и это вообще горе.

Хотим мы этого или нет, закрытость экосистемы iOS от внешнего мира играет недобрую шутку с владельцами устройств. Они становятся заложниками сервисов. И уже не могут выйти из этого замкнутого круга.
newbie
Activity: 56
Merit: 0
Можно обойтись без разблокировки с помощью Windows Hello и тёмного режима и ещё кое-чего по мелочи, хоть и платёж опять же разовый.  

тут основная проблема не в оплате, а в том что софт "закрытый". Т.е. только разрабы знают чего туда намешано. КиПасс же открытый. Давно уже, скорее всего, каждую строчку побуквенно разобрали. Если бы там было что-то не так то об этом было бы уже известно. Но за совет большое спасибо!


пс. или у меня уже паранойя и закрытый софт даже надежнее? Эпл то тоже закрытая платформа, однако никто не жалуется.
full member
Activity: 924
Merit: 148
Enpass если и не лучший, то один из лучших кросс-платформенных менеджеров паролей. База паролей хранится в виде зашифрованного файла локально, есть возможность подключить облачные сервисы для хранения базы, осуществляется 256-битное AES-шифрование. Полная поддержка всех популярных ОС и браузеров, даже в ЯБ встраивается, хотя официально поддержка и не заявлена, важно только не забыть главный пароль, иначе доступ к базе будет потерян навсегда.
Расширения для браузеров можно подключить из десктопной версии клиента, синхронизация с базой данных происходит без записей в самом браузере и в cookie ничего не остаётся. Буфер обмена очищается автоматически и можно настроить задержку, есть масса шаблонов.
Десктопной версией пользуюсь бесплатно, ограничений на количество записей нет, для мобильных клиентов разовая оплата для снятия ограничений.

1. Закрытое ПО для хранения паролей? Не, спасибо, не надо. Я, конечно, против индийцев ничего не имею, но...;
2. Портатива не предусмотрено. Нафиг надо встраивать в систему менеджер паролей;
3. Setup весит 56(!) мегабайт;
4. За разблокировку дополнительных функций в Desktop-версии (Premium) - $11.99.
Можно обойтись без разблокировки с помощью Windows Hello и тёмного режима и ещё кое-чего по мелочи, хоть и платёж опять же разовый. 
staff
Activity: 2380
Merit: 2266
Enpass если и не лучший, то один из лучших кросс-платформенных менеджеров паролей. База паролей хранится в виде зашифрованного файла локально, есть возможность подключить облачные сервисы для хранения базы, осуществляется 256-битное AES-шифрование. Полная поддержка всех популярных ОС и браузеров, даже в ЯБ встраивается, хотя официально поддержка и не заявлена, важно только не забыть главный пароль, иначе доступ к базе будет потерян навсегда.
Расширения для браузеров можно подключить из десктопной версии клиента, синхронизация с базой данных происходит без записей в самом браузере и в cookie ничего не остаётся. Буфер обмена очищается автоматически и можно настроить задержку, есть масса шаблонов.
Десктопной версией пользуюсь бесплатно, ограничений на количество записей нет, для мобильных клиентов разовая оплата для снятия ограничений.

1. Закрытое ПО для хранения паролей? Не, спасибо, не надо. Я, конечно, против индийцев ничего не имею, но...;
2. Портатива не предусмотрено. Нафиг надо встраивать в систему менеджер паролей;
3. Setup весит 56(!) мегабайт;
4. За разблокировку дополнительных функций в Desktop-версии (Premium) - $11.99.
full member
Activity: 924
Merit: 148
Enpass если и не лучший, то один из лучших кросс-платформенных менеджеров паролей. База паролей хранится в виде зашифрованного файла локально, есть возможность подключить облачные сервисы для хранения базы, осуществляется 256-битное AES-шифрование. Полная поддержка всех популярных ОС и браузеров, даже в ЯБ встраивается, хотя официально поддержка и не заявлена, важно только не забыть главный пароль, иначе доступ к базе будет потерян навсегда.
Расширения для браузеров можно подключить из десктопной версии клиента, синхронизация с базой данных происходит без записей в самом браузере и в cookie ничего не остаётся. Буфер обмена очищается автоматически и можно настроить задержку, есть масса шаблонов.
Десктопной версией пользуюсь бесплатно, ограничений на количество записей нет, для мобильных клиентов разовая оплата для снятия ограничений.
newbie
Activity: 56
Merit: 0
да запомните один большой пароль, например JKAdjk1828KAK, а потом добавляйте в его начало или конец 2-3 символа в зависимости от начала имени сайта, например bi или BI , вот и делов то.
Хех, вы будете удивлены, но очень много людей делают именно так. И зная основной пароль (допустим взломали одну из платформ и пароль скомпрометирован) подобрать оставшиеся символы дело 2х часов максимум. Нет, это плохая идея. Чисто на мой взгляд.


Xal0lex
Спасибо за развернутый и полный ответ! Буду пробовать KeePass. Чуть позже отпишусь как оно.
member
Activity: 686
Merit: 12
да запомните один большой пароль, например JKAdjk1828KAK, а потом добавляйте в его начало или конец 2-3 символа в зависимости от начала имени сайта, например bi или BI , вот и делов то.
jr. member
Activity: 294
Merit: 3
HONEYPOD - Changing Your Internet Forever
Может идея и плоская, но по факту взламывают вас не потому что одинаковый пароль. А из-за оплошностей, отсутствия двухфакторки и пренебрежения безопасностью.
staff
Activity: 2380
Merit: 2266
Вопрос, а как быть с разными пк? Если есть несколько рабочих компьютеров? Плюс как быть в поездках?

Так а в чём проблема? Программа портативная, скиньте на флэшку и используйте в поездках или на разных компьютерах. Или скопируйте с флэшки на разные ПК, если вы хотите, чтобы программа присутствовала на этих самых разных ПК.

Quote
Я правильно понял что KeePass формирует некий шифрованный контейнер с паролями. И этот контейнер можно подсовывать в разные копии программы?

Правильно. KeePass создаёт файл с расширением "kdbx" или "kdb" (для версии 1.х). Это и есть "шифрованный контейнер с паролями", который можно "подсовывать в разные копии программы". Если вы защитите свои базы ключом, то для работы с этими базами потребуется ещё и файл с расширением "key", который тоже будет находиться в папке с программой.

Плюс, вы можете экспортировать свою базу в различные форматы:

newbie
Activity: 56
Merit: 0
member
Activity: 332
Merit: 15
В последнее время паролей расплодилось столько что уже начинаешь в них путаться.
Пароли от кошельков, пароли от бирж, пароли от vps, пароли от всяких платформ и форумов, пароли от почты, пароли дискорда и тд и тп.
Слишком много паролей. Как их удобно\безопасно хранить и использовать? Запомнить это всё уже невозможно. Использовать же один и тот же пароль везде – плохая идея.
 Huh Huh
К сожалению браузер на компьютере не считывает отпечаток пальца) Какими бы пароли не были неудобными лучше защиты пока не придумали. В такой ситуации разве что менеджеры паролей могут помочь)
staff
Activity: 2380
Merit: 2266
KeePass интересная штука!
Так понимаю программа "офлайн" ? В интернет не лезет?

KeePass Password Safe — кроссплатформенная свободная программа для хранения паролей, распространяемая по лицензии GPL. Программа разработана Домиником Райхлом (нем. Dominik Reichl), изначально только для операционной системы Windows. KeePass поддерживает алгоритмы Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish для шифрования паролей своих баз данных. Программа переведена более чем на 40 языков, включая русский. KeePass имеет портативную версию программы, устанавливать которую не обязательно. Экспорт в форматы TXT, HTML, XML и CSV, а также импорт из множества различных форматов.

Windows версия KeePass в данный момент развивается в двух направлениях, Classic Edition и Professional Edition.

1.x Classic Edition облегчённая версия.

2.x Professional Edition более функциональная версия, является кроссплатформенной, работает без перекомпиляции в ОС Windows, macOS и Linux, но требует для своей работы .NET Framework версии не ниже 2.0 или Mono версии не ниже 2.6.

Чтобы сделать её полностью "оффлайн" нужно сделать пару телодвижений:

1. Отключить автоматическую проверку обновлений:



2. Выбрать источник справки:


Хорошее руководство по программе на русском языке:

Бесплатный менеджер паролей KeePass 2: инструкция по эффективному использованию. Часть 1
Бесплатный менеджер паролей KeePass 2: инструкция по эффективному использованию. Часть 2
newbie
Activity: 56
Merit: 0
Я так и не нашел для себя более безопасного хранения паролей, чем бумажный блокнот. Он всегда под рукой, также резервные копии паролей хранятся на двух съемных носителях на случай размытого текста от пролитого на блокнот чая или порчи его детьми.

Кстати, недавно Xal0lex писал про очень интересую программу:

И придумать, и запомнить, и набрать где надо, минуя буфер обмена, поможет небольшая портативная програмка KeePass. Пользую с 2004 года, никаких проблем.
 

KeePass интересная штука!
Так понимаю программа "офлайн" ? В интернет не лезет?
legendary
Activity: 1204
Merit: 1585
shaman
~
Я думаю, что встретившись с нашими правоохранительными органами либо любителями подогреть утюгом живот с целью добычи нужной им информации 99% людей отдадут все пароли лишь бы их отпустили.

Интересно, начиная с какой суммы денежных средств люди начнут драться за своё?
Представьте ваш криптовалютный кошелек.
1000$
10000$
100000$...

Отдадите? Почему то у меня есть очень большие сомнения в этом.

Quote
~ так как доверяю вам и знаю вас только как порядочного пользователя форума.

Если мы говорим о дальшейнем развитии криптографии, то одним из главных моментов в этом развитии будет полный отказ от доверия и старых терминов, в том числе я и о порядочности (спасибо за добрые слова).

Криптография дала очень много этому миру. Отказавшись от доверия - человек получает уверенность. Например никто кроме вас не сможет контролировать, регулировать и быть гарантом вашего приватного ключа. Вы самостоятельно несете за это отвественность.

То же самое касается любых паролей, есть различные методы.
Первый - самый простой, паролить все датой рождения. Это просто, легко запоминается, очень удобно - но это огромная дыра в безопасности всех аккаунтов.

Второе - это доверить сохрание паролей Гуглу, Яндексу или другой корпорации. Да, здесь защита побольше, да, менеджеры паролей предлагают более 10-и знаков, генерируя пароль. Да, это удобно.
Но при этом мы получаем дыру в безопасности поменьше. Ведь нужен только пароль от учетки Гугла. И все, дальнейшее - дело техники. Плюс к этому - ваши пароли хранятся на серверах, соотвественно вы по умолчанию доверяете корпорациям. Хорошо это или плохо - каждый решает сам.

Третий путь - это шифрование, пароли и сид-фразы в специальные менеджеры паролей. В этом случае вы доверяете только себе, но и отвественность несете самостоятельно. Мастер-пароль только у вас, его не возможно "восстановить по е-мэйл".

Вот такая логическая цепочка, чем меньше удобства - тем больше отвественности, соотвественно выигрыш в безопасности.

Криптография постепенно убирает доверие. Никому не надо больше думать о том, что "этому можно доверять, а этому нет".
Есть только личная отвественность за свой пароль, свой сид, а значит - и за свои деньги.

И последнее - чтобы говорить о правоохранительных органах, либо любителях утюгов, у них должно быть знание о том, что на вашем буке есть подобная информация. А если ее не видно обычным взглядом на папки и процессы?

Криптография дает очень много инструментов для сокрытия своей деятельности. Например часть пароля находится совершенно в другом месте, зашифрованно. И человек, физически в состоянии отдать только то, что у него есть, не больше.

ps: Конечно будут мысли о том, что крипта это не основное, ну подумаешь отдам пароль от 100-1000 долларов... Однако задумайтесь, что произойдет, если вдруг токены вашей подписной выстрелят и у вас на счету будет пара квартир?



forklog.com/gosduma-mozhet-obyazat-vladeltsev-kriptovalyut-prohodit-identifikatsiyu-dlya-polucheniya-vizy/

Хорошая статья на Форклоге про сегодня и про завтра.
Pages:
Jump to: