Qual è il sistema di password online più sicuro?


11

È così difficile rintracciare dozzine di password in diverse posizioni. La sincronizzazione fallisce di volta in volta e si finisce con la sindrome da evitare la correzione delle collisioni.

Esiste un'unica fonte di archiviazione sicura, online e commerciale di password ovunque? Uno che sarà in giro per gli anni a venire e uno che è davvero abbastanza sicuro da garantire protezione?


1
Intendi il più sicuro o quello che causa il minor numero di problemi?
ojblass,

Online == non disponibile a volte quando ne hai bisogno. Attenersi a un PDA o qualcosa del genere.
Womble

"Online = non disponibile" è probabilmente meno un problema che basarsi su un PDA per essere disponibile. (Non riesco a prendere l'abitudine di portarne uno.)
Darian Miller,

Che ne dici di Online == riproducibile con poca memoria e un computer? (ovvero hashing di una o due password con i domini a cui appartengono gli account)
riconnettere il

Risposte:


11

Usa il keypass e archivia il database in gmail, live mesh o nella soluzione di storrage di file online che desideri. Quindi puoi sempre procurartene una copia per l'uso supponendo che tu abbia accesso al keypass che può essere su un'unità flash e una connessione Internet.


Questa è la soluzione a cui sto lavorando ora e mi chiedevo se c'è qualcosa di meglio.
Darian Miller,

(+1 in questo momento ... sarà la risposta se non emergeranno altre idee) Grazie
Darian Miller

4

Se sei davvero impostato su un modello online, alcuni dei miei colleghi usano Passpack e ne sono piuttosto contenti. Non posso dire di sì o di no, perché non lo uso, ma sembra abbastanza sicuro e protetto.


+1 Grazie. L'ho visto un po 'indietro e ha suscitato il mio interesse, ma non mi sono mai sentito abbastanza a mio agio da "premere il grilletto" e caricare tutte le password su un servizio gratuito.
Darian Miller,

4

Ho trovato LastPass un fantastico gestore di password per le mie password personali. Dai un'occhiata all'elenco delle funzionalità .

Sono ancora alla ricerca del migliore (ma economico) degno gestore di password aziendali .


1
Come sarà questa decisione due anni dopo?
jldugger

Uso felicemente LastPass per il mio gestore di informazioni personali sicure. Ci siamo sentiti ancora meglio dopo che Steve Gibson ha dato la sua approvazione ( twit.tv/sn256 ). Purtroppo, nessun movimento (internamente) sulla soluzione aziendale ...
Nathan Hartley,

1
LastPass ha ora una versione enterprise. Non ho idea di come sia (ma lo guarderò presto, potremmo usare una cosa del genere).
Ronald Pottol il

3

Non ne userei uno online. Vorrei (e farei) usare KeePass . Su una nota a margine puoi verificare la forza delle tue password qui


1
+1 KeePass è buono, anche se non abbastanza conveniente come qualcosa come KWallet o il gestore di password integrato di Firefox ... ma sono pienamente d'accordo sul fatto che le password dovrebbero essere conservate localmente e privatamente, non archiviate su un sito Web (a meno che non sia stato creato il sito Web codifica te stesso e lo stai ospitando sul tuo server a cui nessun altro ha accesso)
David Z,

ha chiesto un servizio "online".
cd1,

Keepass, in combinazione con mesh live o altri archivi online, come suggerito da Jared, è un'opzione. Non ho usato KeePass ma darò un'occhiata. (Ho usato e-Wallet per anni.) Grazie.
Darian Miller,

@ cd1- Mi rendo conto che Darian stava chiedendo un servizio online, ma non posso in buona coscienza raccomandare a nessuno di archiviare le password in qualcosa su cui non hanno il controllo fisico. Ogni domanda di tipo IT (non troublshooting) dovrebbe essere (IMHO) valutata con il pensiero che anche se possibile è la soluzione migliore per l'obiettivo previsto. Suppongo che la risposta avrebbe potuto essere semplicemente "No" ma che non sarebbe stata molto istruttiva.
Jim B,

3

Bruce Schneier ha una password sicura, che è abbastanza sicura da consentire a Bruce Schneier, se ti interessa. Potrebbe essere solo Windows però. http://www.schneier.com/passsafe.html


1
C'è una versione java disponibile per il download che dovrebbe funzionare ovunque. Conservo una copia sulla mia chiave USB.
pag

Conservo una mia copia nel mio account Dropbox.
Riconnettere il

1

Non consiglierei di usare anche un servizio online. Non hai alcuna garanzia che i tuoi dati non siano accessibili ad altri. Se usi un sistema Linux, prova Apocalisse , semplice e diretto


1

Dai un'occhiata a Yubikey di Yubico; sembra che potrebbe essere quello che stai cercando. Un Yubikey collegato a un MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

La sua configurazione predefinita (ovvero progettata) deve essere utilizzata come pad una tantum per l'autenticazione a due fattori online, ma ha anche una modalità "password statica" che genererà (gli stessi) 64 caratteri pseudo-casuali quando un po ' viene toccato il cerchio capacitivo verde. Funziona come una tastiera USB quindi è universale e funziona anche offline. La password statica della stringa casuale può essere modificata in qualsiasi momento.

Poco più di 30 $ e arriva in una normale busta da 30 grammi (che pensavo fosse troppo bella per essere vera) e in pochissimo tempo.

Onestamente, tutti i trucchi per mantenere un file crittografato su una chiave USB sono allo stesso tempo una seccatura enorme e per lo più inutili. Tutto ciò che serve è una password con ragionevole entropia che non si può facilmente indovinare o bruteforce. Inserisci Yubikey.

Sto sviluppando alcune applicazioni di autenticazione online OTP con la loro API; è piuttosto pulito, in realtà. Posso garantire anche per la sua robustezza fisica.

Chiarimento : l'ho offerto come alternativa all'archiviazione di password online, soprattutto perché è basato su API e può essere utilizzato online. Tuttavia, potrebbe anche fungere da sostituto di più password, se ti sentissi a tuo agio.


2
Gli YubiKeys sono fantastici, ma hai ancora bisogno di un server di autenticazione e di un'applicazione utile che parli con il server di autenticazione per fargli fare qualcosa di valore.
Nathan Hartley,

1
+1 @nathan questo è vero, purtroppo, sebbene tu abbia almeno una password lunga, il che è buono.
msanford,

1
Ho intenzione di giocare con uno per molto tempo ormai, ne ho appena ordinato uno grazie a te.
Riconnettere il

@wizard, peccato che non abbiano un programma di riferimento ^ _ ^ In realtà, però, penso che ti piacerà lo Yubikey 2. Ne ordinerò uno a breve per provarlo.
msanford,

1

SuperGenPass potrebbe essere la tua risposta. Non memorizza nulla, può essere utilizzato da qualsiasi browser, senza account necessari. Funziona con l'hashing di una password "master" con i primi due livelli del dominio. Ho chiacchierato con il creatore, è un ragazzo amichevole.

Dal loro sito:

SuperGenPass è un diverso tipo di gestore di password. Invece di archiviare le password sul disco rigido o online, dove sono vulnerabili al furto e alla perdita di dati, SuperGenPass utilizza un algoritmo hash per trasformare una password principale in password uniche e complesse per i siti Web visitati. Non è necessario installare alcun software: SuperGenPass è un bookmarklet e viene eseguito direttamente nel browser Web. E poiché non memorizza o trasmette mai le password, è ideale per l'uso su più computer pubblici. È anche completamente gratuito.

Essendo javascript ha avuto un sacco di revisione del codice, ha un bookmarklet che ha funzionato perfettamente sul 99% dei siti su cui l'ho provato, e in alcune occasioni non puoi facilmente usare la versione mobile e copiare e incollare.


1

1Password è fantastico (ma se sei un utente mac potresti essere d'accordo con un semplice portachiavi)


1

Più semplice è il sistema, meglio è.

Prendi in considerazione un sistema di password composto da:

  1. una password principale forte
  2. un ID unico per ogni sito

Quindi, data la tua password principale è molto lunga, veloce da digitare e non trovata in nessun dizionario (es. Very12% Long91! Password86 # EasilyTyped) la password che usi su example.com sarebbe un hash di un hash di Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | SHA1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | SHA1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Ci sono estensioni del browser che possono aiutarti in questo. È un po 'fastidioso utilizzare questo sistema su sistemi non web che non offrono di ricordare le password e devi inventare uno schema nel caso in cui qualcuno ti faccia cambiare password ogni tanto.

Ovviamente, puoi inserire la tua password principale solo su terminali affidabili.


Mi sembra che l'uso di hash come password ridurrebbe notevolmente lo "spazio" della password ...
S19N

Come immagini?
Alex Holst,


0

File di testo crittografato Gpg archiviato nel controllo versione. Utilizzare un paio di script per decrittografare / crittografare il file come desiderato. Controlli la disponibilità del file, puoi utilizzare il controllo della versione distribuita per avere ancora accesso quando sei offline, e per quanto tempo sarà disponibile da te (cioè se è facile passare a sistemi diversi, se necessario). Gpg ha anche il vantaggio di poter crittografare su più destinatari, consentendo a più di una persona di visualizzare il file della password. Crittografa file diversi a destinatari diversi per limitare chi può accedere alle credenziali per un determinato gruppo.


0

Questa non è una risposta alla tua domanda, ma è correlata: i dirigenti di Twitter hanno appena rotto i loro account Google , esponendo un sacco di informazioni riservate sulla società.

Presumo che Twitter sia un obiettivo molto più grande di te, quindi sicuramente ha avuto a che fare con il rodaggio. Inoltre, non penso che questo incidente escluda completamente il cloud computing. Tuttavia, QUALSIASI servizio di password online è un grande obiettivo. Le password sono troppo importanti per essere archiviate online.


0

Sarei titubante a conservare le mie informazioni sensibili con una società esterna. Hai mai pensato di implementare tu stesso un prodotto basato sul Web; puoi quindi renderlo rivolto all'esterno se lo desideri, rendendolo accessibile da qualsiasi luogo.


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.