Jak zarządzasz hasłami?

Oczywiście widząc, jak wielu z nas jest administratorami systemu, mamy wiele haseł rozłożonych na wiele systemów i kont. Niektóre z nich mają niski priorytet, inne mogą poważnie zaszkodzić firmie, jeśli zostaną odkryte (nie kochasz władzy?).

Proste, łatwe do zapamiętania hasła po prostu nie są akceptowane. Jedyną opcją są złożone, trudne do zapamiętania (i typowe) hasła. Więc, co ty używać do śledzenia swojego hasła? Czy używasz programu, aby je zaszyfrować (wymagając z kolei jeszcze jednego hasła), czy robisz coś mniej skomplikowanego, np. Kawałek papieru trzymany na sobie, czy jest to gdzieś pomiędzy tymi opcjami?

KeePass jest świetny.

Mam bardzo prosty sposób radzenia sobie z hasłami:

Nie lubię menedżerów haseł, ale lubię szyfrowanie, więc korzystam z jednokierunkowych skrótów (md5, sha1 itp.) I generuję hasła przy ich użyciu.

Jak to działa?

Najpierw wybieram dobre długie hasło, którego będę używać wszędzie. Na przykład qwerty (nie używaj tego, tylko przykład). Teraz dla każdej witryny twoim hasłem będzie md5 (lub sha1) qwerty + nazwa strony. Na przykład:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

W ten sposób moje hasło do Facebooka to 9d7d9b30592fd43dd6629ef5c12c6e9a, a dla Twittera to: cdf0e74e19836efb20f29120884b988d

Zarówno długi, jak i bezpieczny. Jeśli ktoś ukradnie moje hasło na Twitterze, nie ma możliwości cofnięcia się w celu wykrycia innych haseł. Dodatkowo, dzięki temu nie potrzebujesz żadnego oprogramowania do przechowywania haseł (tylko pliki binarne md5 / sha1, które domyślnie są dostępne w systemie Linux i łatwo je znaleźć w systemie Windows).

Password Safe ma solidne szyfrowanie i generator losowych haseł. Grupy haseł są następnie dystrybuowane jako pliki zaszyfrowane w zależności od tego, kto potrzebuje które hasło.

Hasła drukujemy, w powiązaniu z naszą inną dokumentacją sieciową oraz w naszej fizycznie bezpiecznej serwerowni, do której dostęp ma tylko kilka osób.

Nie wiem, co myślą o tym „prawdziwi administratorzy systemów”, ale myślę, że to dla nas dobre rozwiązanie. Interesują mnie inne odpowiedzi na to pytanie.

Mamy zaszyfrowany plik tekstowy PGP. Jest szyfrowany do każdego klucza sysadmin. Używamy wtyczki vim, aby ułatwić aktualizację.

W poprzednim zadaniu korzystaliśmy z podobnego schematu, ale stosowaliśmy szyfrowanie symetryczne, ponieważ nie odkryliśmy wtyczki (lub jeszcze nie istniała) i nikt nie spędził czasu na ustaleniu, jak działają klucze prywatne.

Mam pamięć fotograficzną, pamiętam hasła do plików zip, które utworzyłem w latach 80. - nie tak fajnie, jak mogłoby się wydawać :)

KeePassX to wieloplatformowa alternatywa KeePass. Bardzo ładny (Qt) GUI i prawie identyczna funkcjonalność.

Ehtyar.

[edycja] Zapomniałem wspomnieć, że obsługuje bazy danych KeePass [/ edit]

Korzystam z programu o nazwie pwsafe na pulpicie. Jeśli potrzebuję hasła skądinąd, przesyłam SSH i używam go.

Próbowałem wielu i do osobistego użytku, moim ulubionym jest LastPass (darmowy, samodzielny lub dodatek do przeglądarki).

Wciąż szukam rozwiązania do pracy i zebrałem listę wymagań i możliwych rozwiązań w innym poście .

Załóżmy, że masz wiele (różnych) haseł do różnych usług internetowych i posiadanego sprzętu. Chcesz je zapisać w pliku.

Nigdy nie przechowuj pliku z hasłem (na przykład w postaci niezaszyfrowanej) na swoich komputerach / serwerach. Powiedziawszy to, nie przechowuj go w postaci zaszyfrowanej przez jakiegoś dostawcę przestrzeni internetowej, który zapewnia wsparcie szyfrowania - chyba że naprawdę im ufasz.

Jeśli chodzi o mobilne przechowywanie haseł, rozważ woluminy i pliki TrueCrypt , które możesz przechowywać w dogodnym miejscu - na przykład w pendrivach, a nawet w załącznikach e-mail. TrueCrypt jest obsługiwany na prawie wszystkich platformach i zapewnia bardzo dobre bezpieczeństwo podczas odszyfrowywania plików do przeglądania. Następnie musisz tylko uważać, aby nie skopiować lub pozostawić pliku w jakimś systemie (lub folderze usuniętych plików).

Ach! i poważnie z generowaniem hasła :-)

Brelok do kluczy. Wypróbowałem 1 hasło, ale pęku kluczy robi to, co muszę, i podoba mi się sposób, w jaki działa lepiej.

Niestety w arkuszu kalkulacyjnym chronionym hasłem.

Trzymam moje hasła w pliku tekstowym, więc łatwo jest je przejrzeć - nie potrzebuję żadnej aplikacji. Trzymam plik zaszyfrowany długim hasłem, którego nigdy nie zapisałem. Myślę, że któregoś dnia powinienem powiedzieć mojej żonie, co to jest ...

„Pracująca” wersja pliku jest wydrukowana małą czcionką, dzięki czemu mieści się na jednym arkuszu papieru i jest złożona w małym notatniku, który noszę ze sobą i przechowuję jak mój portfel. Zasadniczo postępuję zgodnie z radą Bruce'a Schneiera i mam dobre hasła zapisane w bezpiecznym miejscu.

Nasz plan „co jeśli jeden administrator zostanie potrącony przez autobus” zakłada, że ​​każdy z nas ma swój zaszyfrowany plik hasła. Jest nas wystarczająco mało i wszyscy nie jesteśmy na tyle głupi, żeby zostawić drukowaną listę, więc działa dobrze.

Mamy również mały plik w używanych przez nas katalogach udostępnionych, który zawiera mniej krytyczne hasła, o których wszyscy mówimy.

„Generujemy” nasze własne złożone hasła do najbardziej krytycznych zastosowań: zazwyczaj idę pierwszy i wybieram literę lub cyfrę. Potem następny facet wybiera jednego, potem mnie (lub innego faceta) i tak dalej. W efekcie powstają takie rzeczy jak pl8u7ke, które okazują się nietrudne do zapamiętania, jeśli używasz ich prawie codziennie.

Do haseł osobistych używam 1Password. Ma świetną (bezpłatną) aplikację na iPhone'a / iPoda Touch, więc zawsze mam przy sobie moje hasło.

Powinieneś sprawdzić Yubikey ( http://www.yubico.com/ ).

Generuje OTP do użycia w systemie uwierzytelniania dwuskładnikowego, ale w przypadku aplikacji niedostępnych w sieci można go skonfigurować tak, aby generował 64-znakowe pseudolosowe (dla wszystkich celów i celów, niemożliwe do wymówienia) hasło, lub możesz sam ustaw hasło.

Hasło statyczne lub jednorazowe jest wyprowadzane jak z klawiatury, więc jest prawie powszechnie dostępne. Używam mojego w systemach Linux, MacOS i Windows.

Edycja PS: bawię się swoim własnym Yubikey, ale nie jestem zainteresowany; Myślę, że to bardzo przydatne narzędzie do wprowadzania haseł.

do haseł osobistych używam PassPack .

Używam 1Password z Agile Web Solutions. Bezproblemowo integruje się ze wszystkimi popularnymi przeglądarkami na Macu i przy pomocy Dropbox mogę uzyskać dostęp do tej samej kolekcji haseł ze wszystkich moich komputerów.

Jeśli potrzebujesz dostępu do swoich sekretów z różnych platform systemu operacyjnego, KeypassX jest dobrym wyborem.

Jeśli masz systemy OS X jako klienckie stacje robocze, możesz użyć programu Keychain Access do zarządzania hasłami. Używamy pliku pęku kluczy we wspólnej lokalizacji dostępnej dla administratorów systemu i po prostu łączymy go z naszym programem dostępu do pęku kluczy.

Polecam PasswordVault

Grupa w naszym dziale IT korzysta z niego i naprawdę podoba mu się jego funkcje.

Hasła są zawsze szyfrowane. Poszczególni użytkownicy mogą wybrać hasła do udostępnienia. Najlepsze jest to, że oprogramowanie jest bezpłatne.

Cokolwiek zdecydujesz się użyć, upewnij się, że system operacyjny jest bezpieczny, a hasła są szyfrowane.

Korzystałem z usługi TIPAS na Twitterze:

http://twitter.com/tipas/

Ale z jakiegoś powodu administratorzy Twittera wydają się popsuć wyszukiwanie.

W przypadku haseł osobistych, ponieważ korzystam z wielu komputerów, podoba mi się bezpłatny serwis internetowy Clipperz . Szyfrowanie odbywa się po stronie klienta i jest przechowywane zdalnie. W przypadku pracy +1 do Bezpiecznego hasła.

W głowach kilku osób. Te naprawdę ważne są zapisane na małych kawałkach papieru, a następnie wbite w małe koperty. Zszywamy koperty, więc oczywiste jest, że ktoś je otworzył.

Osobiście korzystam z eWallet , aby móc zsynchronizować plik hasła z telefonem. Kosztuje to 30 USD, ale przez lata byłem z niego zadowolony, a wsparcie zawsze było szybkie i uprzejme.

W sytuacji roboczej moim preferowanym rozwiązaniem jest Portable KeePass lub podobny. Plik wykonywalny i plik hasła można umieścić na dyskietce lub kluczu USB. Hasło główne zapisane na zewnętrznej stronie dyskietki / klucza USB. Zapieczętuj to w kopercie, podpisz imię i datę na klapie, a następnie umieść przezroczystą taśmę nad datą i podpisem. Aktualizuj z nową kopertą co około 6 miesięcy (1).

Koperta jest następnie umieszczana w bezpiecznym miejscu. Co pewien czas same koperty powinny być zinwentaryzowane.

(1) Opcjonalnie zachowaj stare koperty do celów historycznych - jeśli nie, stare muszą zostać zniszczone.

Używam metody diceware do generowania haseł (aby były łatwiejsze do zapamiętania niż prawdziwe losowe śmieci):

http://world.std.com/~reinhold/diceware.html

Staram się używać grup haseł w celu uzyskania dostępu do różnych typów systemów, aby zarówno ograniczyć liczbę haseł, które muszę zapamiętać w danym momencie, jak i ograniczyć uszkodzenia, jeśli jedno zostanie naruszone.

Potem zmieniam je regularnie. To, jak często je zmieniasz, zależy od tego, jak szybko możesz ćwiczyć zapamiętywanie nowych haseł.

Jeśli jest to absolutnie konieczne, możesz przechowywać wyniki rzutu kostką zamknięte w sejfie lub sejfie. Ponowne tworzenie haseł z rolek (po prostu przeglądanie listy słów) jest wystarczająco denerwującym zadaniem, które może zniechęcać do zapominania. A najgorsze jest to, że kiedy spojrzysz na pierwsze kilka słów, zwykle i tak pamiętasz resztę.

Używam apg i pwsafe na moim osobistym serwerze. apg (Automated Password Generator) tworzy losowe hasła zgodnie z kryteriami, które możesz zdefiniować, a pwsafe to tylko wersja Linux Password Safe z linii poleceń.

Zawsze mogę zalogować się na moim serwerze, aby moje hasło, jeśli to konieczne, chociaż w przypadku witryn o niskiej wartości, że nie skończyć za pomocą tego samego hasła w wielu miejscach.

Aby ułatwić zapamiętanie haseł, uważam, że jest użyteczne, jeśli są wymawiane, więc możesz je przynajmniej wypowiedzieć.

W portfelu przechowuję listę kilku haseł, których zwykle potrzebuję. Nie w 100% bezpieczny, ale myślę, że prawdopodobnie nie spowoduje żadnych poważnych problemów.

Główna lista wszystkich haseł jest przechowywana w ognioodpornym sejfie.

Mam tylko arkusz kalkulacyjny w dokumentach Google z danymi.

Używam Passkeeper . Jest prosty, bezpłatny, lekki i nie wymaga instalacji.

W poprzedniej życie, kiedy musiałem „pamiętać” 20 różnych haseł do różnych środowisk z różnymi regułami generowania haseł dla każdego z nich, użyłem Whisper32 . Wystarczająco dobrze sobie poradził.

Korzystamy z CyberArk, ponieważ potrzebowaliśmy rozwiązania zgodnego ze standardem PCI (a także potrzebujemy HIPPA), a do tego prawie wszystkie systemy klienckie. CyberArk nie podoba mi się, ale działa.