Очевидно, учитывая, что многие из нас относятся к типу системных администраторов, у нас есть множество паролей, привязанных к многочисленным системам и учетным записям. Некоторые из них имеют низкий приоритет, другие могут нанести серьезный вред компании, если их обнаружат (разве вы просто не любите власть?).
Простые, легко запоминающиеся пароли просто неприемлемы. Единственный вариант - сложные пароли, которые трудно запомнить (и ввести). Итак, что делать ты использовать для отслеживания ваших паролей? Используете ли вы программу для их шифрования (еще требуется другой пароль по очереди), или вы делаете что-то менее сложное, например, лист бумаги, который остается при себе, или это что-то среднее между этими вариантами?
KeePass отлично.
У меня очень простой способ работы с паролями:
Мне не нравятся менеджеры паролей, но мне нравится криптография, поэтому я использую односторонние хэши (md5, sha1 и т. Д.) И генерирую пароли с их помощью.
Как это устроено?
Во-первых, я выбираю хороший длинный пароль, который буду использовать везде. Например, qwerty (не используйте это, просто пример). Теперь для каждого сайта вашим паролем будет md5 (или sha1) имени qwerty + сайта. Например:
$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a
$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d
Таким образом, мой пароль для facebook - 9d7d9b30592fd43dd6629ef5c12c6e9a, а для Twitter - cdf0e74e19836efb20f29120884b988d.
Оба длинных и надежных. Если кто-то украдет мой пароль в твиттере, у него не будет возможности вернуться назад, чтобы узнать другие пароли. Кроме того, при этом вам не нужно хранить какое-либо программное обеспечение для паролей (только двоичные файлы md5 / sha1, которые по умолчанию поставляются в Linux и их легко найти в Windows).
Сейф с паролем имеет надежное шифрование и генератор случайных паролей. Затем группы паролей распределяются в виде зашифрованных файлов в зависимости от того, кому и какие пароли нужны.
У нас есть зашифрованный текстовый файл PGP. Он зашифрован для каждого ключа системного администратора. Мы используем плагин vim чтобы упростить обновление.
На предыдущей работе мы использовали аналогичную схему, но использовали симметричное шифрование, потому что мы не обнаружили плагин (или его еще не было), и никто не потратил время на то, чтобы выяснить, как будут работать закрытые ключи.
Мы храним наши пароли в распечатанном виде в подшивке с другой сетевой документацией и в нашей физически защищенной серверной комнате, к которой имеют доступ лишь несколько человек.
Я не знаю, что думают об этом «настоящие системные администраторы», но я думаю, что это хорошее решение для нас. Меня интересуют другие ответы на этот вопрос.
Я использую программу под названием pwsafe на моем рабочем столе. Если мне нужен пароль откуда-то еще, я использую SSH и использую его.
KeePassX это кроссплатформенная альтернатива KeePass. Очень красивый (Qt) графический интерфейс и почти идентичная функциональность.
Эхтяр.
[править] Забыл упомянуть, что он поддерживает базы данных KeePass [/ править]
У меня фотографическая память, я могу запоминать пароли к zip-файлам, которые создал в 80-х - на самом деле не так круто, как вы могли подумать :)
Я пробовал много, и для личного использования мне больше всего нравится LastPass (бесплатно, отдельно или надстройка для браузера).
Все еще ищу решение для работы и собрал список требований и возможных решений в другом посте.
Брелок. Я пробовал 1password, но брелок делает то, что мне нужно, и мне нравится, как он работает лучше.
Предположим, что у вас много (разных) паролей для различных онлайн-сервисов и оборудования, которым вы владеете. Вы хотите сохранить их в файле.
Никогда не оставляйте файл паролей открытым (как в незашифрованном виде) на ваших машинах / серверах. Сказав это, не храните его в зашифрованном виде с помощью какого-либо поставщика веб-пространства, который также предоставляет вам поддержку шифрования - если вы действительно им не доверяете.
Для мобильного хранения паролей рассмотрите TrueCrypt тома или файлы, которые можно хранить в любом удобном месте - например, флэш-накопители или даже вложения электронной почты. TrueCrypt поддерживается практически на всех платформах и обеспечивает очень хорошую безопасность при расшифровке файлов для просмотра. Затем вам нужно просто позаботиться о том, чтобы вы не копировали и не оставляли файл в какой-либо системе (или в папке с удаленными файлами).
Ах! и серьезно относитесь к генерации пароля :-)
В головах нескольких человек. В действительно важные из них записываются на маленьких листочках бумаги, а затем склеиваются в небольшие конверты. Скрепляем конверты, так что видно, если кто-нибудь его вскрыл.
Что касается личных паролей, поскольку я использую несколько компьютеров, мне нравится бесплатный онлайн-сервис Clipperz. Шифрование выполняется на стороне клиента и хранится удаленно. Для работы, +1 для Password Safe.
Я пользовался сервисом TIPAS в твиттере:
Но по какой-то причине администраторы твиттера, похоже, прервали поиск.
я бы порекомендовал PasswordVault
Группа в нашем ИТ-отделе использует его, и ему очень нравятся его возможности.
Пароли всегда зашифрованы. Отдельные пользователи могут выбирать, какими паролями поделиться. Лучше всего программное обеспечение бесплатное.
Что бы вы ни решили использовать, убедитесь, что ОС безопасна и пароли зашифрованы.
Если у вас есть системы OS X в качестве клиентских рабочих станций, вы можете использовать программу Keychain Access для управления паролями. Мы используем файл связки ключей в общем месте, доступном системным администраторам, и просто связываем его с нашей программой доступа к связке ключей.
я использую 1Пароль от Agile Web Solutions. Он легко интегрируется со всеми распространенными браузерами на Mac и с помощью Dropbox, Я могу получить доступ к одной коллекции паролей со всех моих машин.
Если вам нужно получить доступ к своим секретам с разных платформ ОС, KeypassX хороший выбор.
для личных паролей я использую PassPack.
Вы должны проверить Yubikey (http://www.yubico.com/).
Он генерирует OTP для использования в системе двухфакторной аутентификации, но для приложений, не доступных из сети, его можно настроить для вывода с 64-символьным псевдослучайным (для всех намерений и целей, неразглашаемым) паролем, или вы можете установить пароль самостоятельно.
Статический или одноразовый пароль выводится как с клавиатуры, поэтому доступен почти повсеместно. Я использую свой на Linux, MacOS и Windows.
Редактировать PS: я играю вокруг своего собственного Yubikey, но не имею никакого интереса; Я просто думаю, что это очень удобный инструмент для паролей.
Для личных паролей я использую 1Password. В нем есть отличное (бесплатное) приложение для iPhone / iPod Touch, поэтому я всегда буду носить с собой пароли.
Я храню свои пароли в текстовом файле, чтобы их было легко просматривать - не нужно никакого приложения. Я храню файл в зашифрованном виде с помощью длинной ключевой фразы, которую я никогда не записывал. Думаю, на днях я должен сказать жене, что это ...
«Рабочая» версия файла распечатана мелким шрифтом, поэтому она умещается на одном листе бумаги и складывается в маленькую записную книжку, которую я ношу с собой и веду как бумажник. По сути, я следую совету Брюса Шнайера и имею надежные пароли, которые записаны в надежном месте.
Наш план «что, если один админ попадет под автобус?» Заключается в том, что у каждого из нас есть собственный зашифрованный файл паролей. Нас достаточно мало, и мы все не настолько глупы, чтобы оставлять распечатанный список, так что он работает хорошо.
У нас также есть небольшой файл в общих каталогах, который мы используем, с менее важными паролями, на которые мы все ссылаемся.
Мы «генерируем» наши собственные сложные пароли для наиболее важных задач: обычно я иду первым и выбираю букву или цифру. Затем следующий парень выбирает одного, затем меня (или другого парня) и так далее. В итоге мы получаем такие вещи, как pl8u7ke, которые не так уж сложно запомнить, если вы используете их почти каждый день.
К сожалению, в электронной таблице, защищенной паролем.
я использую Пассажир. Он простой, бесплатный, легкий и не требует установки.
У меня есть таблица с данными в Google docs.
Я считаю, что для облегчения запоминания паролей было бы полезно, если бы они были произносимы, чтобы вы могли хотя бы произнести их.
Я храню в кошельке список из нескольких паролей, которые мне обычно нужны. Не на 100% безопасен, но я думаю, что это вряд ли вызовет серьезные проблемы.
Главный список всех паролей хранится в несгораемом сейфе.
Я использую apg и pwsafe на своем личном сервере. apg (автоматический генератор паролей) создает случайные пароли в соответствии с критериями, которые вы можете определить, а pwsafe - это просто версия Password Safe для Linux для командной строки.
Я всегда могу подключиться к моему серверу по SSH, чтобы при необходимости получить свои пароли, хотя для малоценных сайтов я делать использовать один и тот же пароль в нескольких местах.
Я использую метод diceware для генерации паролей (чтобы их было легче запомнить, чем настоящий случайный мусор):
http://world.std.com/~reinhold/diceware.html
Я стараюсь использовать группы паролей для доступа к различным типам систем, чтобы ограничить количество паролей, которые я должен помнить в любой момент времени, и ограничить ущерб в случае взлома одного из них.
Потом меняю их регулярно. Насколько регулярно вы их меняете, зависит от того, как быстро вы научитесь запоминать новые пароли.
Если вам абсолютно необходимо, вы можете хранить результаты бросков костей где-нибудь, например, в сейфе или сейфе. Повторное создание паролей из списков (просто поиск в списке слов) - достаточно неприятная задача, чтобы сдерживать их забыть. И хуже всего то, что, найдя первые пару слов, вы обычно все равно запоминаете остальные.
Лично я использую электронный кошелек, чтобы я мог синхронизировать свой файл паролей со своим телефоном. Это действительно стоит 30 долларов, но я был доволен им на протяжении многих лет, а поддержка всегда была быстрой и вежливой.
В рабочей ситуации я предпочитаю Portable KeePass или похожие. Исполняемый файл и файл пароля можно записать на дискету или USB-носитель. Мастер-пароль написан на внешней стороне дискеты / USB-ключа. Запечатайте это в конверт, подпишите свое имя и дату на клапане, затем наклейте прозрачную ленту на дату и подпись. Обновляйте конверт новым каждые 6 месяцев или около того (1).
Затем конверт помещается в безопасное место. Время от времени следует проводить инвентаризацию самих конвертов.
(1) По желанию сохраните старые конверты для исторических целей - в противном случае старые конверты необходимо уничтожить.
В предыдущем. life, когда мне приходилось «запоминать» 20 разных паролей для разных сред с разными правилами генерации паролей для каждого из них, я использовал Шепот 32. Он справился со своей задачей достаточно хорошо.
Мы используем CyberArk, так как нам нужно было решение, совместимое с PCI (и у нас также есть требования HIPPA), плюс это почти все клиентские системы. Я не в восторге от CyberArk, но он работает.