Come posso archiviare e gestire in modo sicuro 180 password?


146

Ho circa 180 password per diversi siti Web e servizi web. Sono tutti memorizzati in un unico documento Excel protetto da password. Man mano che l'elenco si allunga, sono sempre più preoccupato per la sua sicurezza.

Quanto è sicuro, o dovrei dire insicuro, un documento Excel protetto da password? Qual è la migliore pratica per memorizzare queste tante password in modo sicuro e facilmente gestibile?

Trovo che il metodo Excel sia abbastanza semplice, ma sono preoccupato per l'aspetto della sicurezza.


Prodotto commerciale come CyberArk soddisfa le tue esigenze.
Ivan Chau,

Risposte:


207

Il mio strumento di archiviazione password preferito è KeePass :

inserisci qui la descrizione dell'immagine

Che cos'è KeePass?

Al giorno d'oggi si devono ricordare troppe password. È necessaria una password per l'accesso alla rete Windows, l'account e-mail, la password FTP del sito Web, le password online (come l'account membro del sito Web), ecc. Ecc. L'elenco è infinito. Inoltre, è necessario utilizzare password diverse per ciascun account. Perché se usi una sola password ovunque e qualcuno la ottiene, hai un problema ... Un problema serio. Il ladro avrebbe accesso al tuo account e-mail, sito Web, ecc. Inimmaginabile.

KeePass è un gestore di password open source gratuito, che ti aiuta a gestire le tue password in modo sicuro. È possibile inserire tutte le password in un database, che è bloccato con una chiave master o un file chiave. Quindi devi solo ricordare una singola password principale o selezionare il file chiave per sbloccare l'intero database. I database sono crittografati utilizzando i migliori e più sicuri algoritmi di crittografia attualmente noti (AES e Twofish). Per ulteriori informazioni, consultare la pagina delle funzionalità .


Esiste un limite al numero di password che è possibile memorizzare al suo interno?

Solo in teoria. Puoi inserire tutte le voci nel database che vuoi, ma a un certo punto la tua chiave USB o HDD sarà piena.

C'è un modo per sincronizzare automaticamente le password modificate?

No, non come te lo aspetti.
Ti consigliamo di trasformarlo in un normale processo manuale. Questo non può e non deve essere automatizzato.

Mi piace impostare le date di scadenza per tutte le mie password: inserisci qui la descrizione dell'immagine
poi mi ricordo di cambiare regolarmente le mie password. Memorizzo l'URL del sito Web con l'inserimento della password, quindi è un processo rapido.

Posso accedere automaticamente a un sito Web come Facebook utilizzando questo software?

No, neanche automaticamente (almeno per quanto ne so ). Ma questo è dove Auto-Type entra in gioco. Ad esempio, per Facebook, questa è la mia configurazione di tipo automatico:

inserisci qui la descrizione dell'immagine

Come puoi vedere, ho creato 3 configurazioni per diversi titoli di browser. Questo mi permette di andare semplicemente a facebook.com, premere Ctrl+ Alt+ A, e il nome utente e la password verranno inseriti automaticamente e mi collegherò.

Se hai più combinazioni nome utente / password per lo stesso titolo della finestra, visualizzerai una finestra popup che ti chiederà quale password inserire.

E il cellulare?

Esistono app che supportano il formato contenitore KeePass su dispositivi mobili. Ma sto lontano da quelli. Semplicemente non mi piace il pensiero del mio database KeePass sul mio telefono.

Preferisco trasferire solo singole password utilizzando il plug-in QR Code Generator . Ti consente di generare un codice QR da una password, che puoi quindi scansionare con il tuo telefono. Aiuta ad avere un'app in grado di copiare il contenuto digitalizzato negli appunti.

inserisci qui la descrizione dell'immagine


3
Se lo metti in Dropbox puoi aprirlo ovunque (c'è una versione portatile), anche sul tuo telefono. Inoltre può essere importato in Lastpass. Ottima scelta
Ivo Flipse

2
@Oliver Questo sembra essere solo lo strumento di cui ho bisogno. Lo proverò sicuramente. La funzione della data di scadenza è dolce! E il tipo automatico è abbastanza semplice. Comprendo che alcuni siti Web potrebbero richiedere la conferma di una modifica della password facendo clic su un collegamento che inviano tramite e-mail, quindi per tale motivo qualsiasi funzione di sincronizzazione automatica nel modo in cui immaginavo non riuscirebbe a sincronizzare e aggiornare automaticamente la password. È un vantaggio che questo funziona su altri sistemi operativi oltre a Windows. Danke Oli! ;)
Samir,

9
Se desideri maggiore sicurezza per l'utilizzo in Dropbox, utilizza un file chiave insieme a una password e copiarlo manualmente su qualsiasi computer o dispositivo a cui desideri accedere alle tue password (non archiviare la chiave in Dropbox). AFAIK funziona solo con dispositivi Android e iOS con root poiché hai bisogno di accedere al file system, ma senza il file chiave il file della password è quasi irrefrenabile.
Chad Levy,

2
Si noti che KeePass 2 è solo per Windows (almeno, gli interpreti Mono gratuiti su Linux lo hanno eseguito in modo molto scadente). C'è un clone più vecchio di KeePass 1 chiamato KeePassX che uso su Mac e Linux e funziona molto bene.
Reid,

2
@Reid: dalla mia esperienza, KeePass2 funziona bene su Mono; è semplicemente brutto, e questa è una cosa Mono vs .NET.
gravità

68

Sembra che ci siano diversi cracker di password Excel facili da usare in giro.

Vorrei utilizzare un sistema di gestione delle password come 1password o LastPass che funziona su diversi sistemi operativi, inclusi i cellulari.

Questi hanno plugin per la maggior parte dei browser che possono inserire password e altre informazioni nel modulo web. 1password può anche impostare un segnalibro nel browser che accederà automaticamente (tutti gli usi dell'app richiedono prima l'uso di una password principale)

1password può anche memorizzare note, account (ad es. E-mail, ftp) e modelli per aiutare a memorizzare carta di credito, conto bancario e altre informazioni. Sebbene sia commerciale, puoi ottenere una demo gratuita che consente di inserire fino a 20 articoli.

Una differenza tra i due è che 1password archivia i dati solo localmente (sebbene sia possibile sincronizzare i dati crittografati utilizzando dropbox o simili), Lastpass può (qualcuno? Per favore correggilo) archiviare i dati sul proprio sito Web che consente l'accesso web al dati e nessuna necessità di dropbox ecc.


4
Le password di Excel sono molto facili da decifrare. Cracker password di Google Excel e vedrai molte opzioni. +1 per Lastpass. Usavo Roboform, ma Lastpass mi è piaciuto di più perché è multipiattaforma. Uso il loro generatore di password per randomizzare le password.
Kendor,

23
+1 per LastPass - È un peccato che la risposta con tutte le belle formattazioni e immagini sia per KeePass, poiché LastPass è di gran lunga superiore: fa tutto ciò che fa KeePass, ma ha anche plugin per tutti i principali browser, sistemi operativi e piattaforme mobili. Memorizza anche i dati online in modo da non doverti mai preoccupare di perderli (e memorizzarli nella cache a livello locale, quindi non devi mai preoccuparti che i loro server si spengano) , ma crittografa tutto usando TNO (non fidarti di nessuno), quindi LastPass non può mai effettivamente vedere le tue password. Ci sono pochissimi programmi che io abbia mai definito assolutamente perfetti , ma LastPass è uno di questi.
BlueRaja - Danny Pflughoeft il

3
Ora LastPass ora supporta anche l'autenticazione a 2 fattori tramite Android / iPhone, il che significa che qualcuno dovrebbe prima rubare il telefono per avviare l'app Authenticator (che genera un codice casuale ogni 30 secondi) per accedere alle password.
glenneroo,

3
@Sammy: Sì, la maggior parte delle funzionalità sono gratuite per sempre. Le uniche funzionalità che devi pagare sono le app mobili e l'autenticazione a più fattori, che richiedono un "account premium" ($ 12 / anno). L'autore non sta cercando di arricchirsi con il programma: non uso le funzionalità premium, ma continuo a pagare un account premium per mostrare la mia gratitudine. Di solito faccio una donazione solo per progetti open source, quindi questo ti dice qualcosa :)
BlueRaja - Danny Pflughoeft

2
LastPass è conveniente, ma è per lo più di origine chiusa e acquisito da LogMeIn. I server di LastPass sono stati violati (almeno in parte) più volte e il loro client ha permesso di " leggere password in chiaro per domini arbitrari dal deposito di un utente di LastPass quando quell'utente ha visitato un sito Web dannoso " e attualmente (Mar2017) " il binario di LastPass .. . consente ai siti Web dannosi di eseguire il codice che preferiscono. Anche quando il binario non è presente ... consente ai siti dannosi di rubare le password dal vault LastPass protetto "Vedi riferimenti su en.wikipedia.org/wiki/LastPass#Security_issues
Xen2050

49

Ho usato Lastpass per un po 'di tempo e lo consiglio vivamente. Ha alcuni meravigliosi plugin del browser e un sacco di funzioni che rendono più facile avere password più sicure.

Il plug-in del browser inserirà automaticamente le informazioni di accesso (una volta effettuato l'accesso al plug-in). Ha anche una funzione di esportazione, quindi puoi recuperare il tuo database e importarlo in KeePass, ad esempio. Utilizza inoltre l'autenticazione in due passaggi per una maggiore sicurezza.

Client desktop:

client desktop

Plugin del browser:

plugin del browser


1
@PITaylor Grazie! Proverò sicuramente LastPass. Ma per ora darò a KeePass un po 'più di tempo per valutarlo.
Samir,

4
Il motivo principale per cui mi piace LastPass è perché è facile condividere facilmente una serie di password su più computer e puoi sempre accedere ai tuoi passaggi su un computer casuale tramite l'interfaccia web.
PlTaylor,

2
Uso lastpass, tuttavia ci sono 2 aspetti negativi. 1) Il server potrebbe non funzionare (problemi tecnici o la società non funziona, ecc.) 2) Alcune aziende non lo consentono, poiché si stanno inviando informazioni sul passaporto fuori dalla società.
Keltari,

1
LastPass è conveniente, ma è per lo più di origine chiusa e acquisito da LogMeIn. I server di LastPass sono stati violati (almeno in parte) più volte e il loro client ha permesso di " leggere password in chiaro per domini arbitrari dal deposito di un utente di LastPass quando quell'utente ha visitato un sito Web dannoso " e attualmente (Mar2017) " il binario di LastPass .. . consente ai siti Web dannosi di eseguire il codice che preferiscono. Anche quando il binario non è presente ... consente ai siti dannosi di rubare le password dal vault LastPass protetto "Vedi riferimenti su en.wikipedia.org/wiki/LastPass#Security_issues
Xen2050

Lascio questo link qui, perché il signor Hunt lo dice molto meglio di me. troyhunt.com/…
PlTaylor

10

Il plugin Password Hasher (per Firefox) è quello che uso personalmente.

Come aiuta Password Hasher:

  • Genera automaticamente password complesse.
  • Una chiave master produce password diverse in molti siti.
  • Aggiorna rapidamente le password "bumping" il tag del sito.
  • Aggiorna una chiave master senza aggiornare tutti i siti contemporaneamente.
  • Supporta password di diversa lunghezza.
  • Supporta requisiti speciali, come cifre e punteggiatura.
  • Supporta la limitazione di una parola hash per non utilizzare caratteri speciali. (Nuovo!)
  • Salva tutti i dati nel database delle password sicure del browser.
  • Genera una pagina HTML portatile con i tag del sito e le impostazioni delle opzioni che consente di generare le parole hash in qualsiasi browser su qualsiasi macchina senza l'estensione installata. (Nuovo!)
  • Può aggiungere pulsanti marcatore per smascherare le password su qualsiasi sito web. (Nuovo!)
  • Estremamente semplice da usare!

inserisci qui la descrizione dell'immagine


6
Devono essere archiviati da qualche parte, altrimenti verrebbero dimenticati
user151019

Ci sono anche porte per Chrome.
rishimaharaj,

6
Di @kutschkem: No, le password non devono essere archiviate da qualche parte. Quello che probabilmente fa il plugin (almeno questo è come lo farei io), è hash della concatenazione del tag del sito e della password principale, che si tradurrà in una password diversa (e presumibilmente forte) per ogni sito (senza memorizzare nulla , vedi?). Ovviamente la tua password principale dovrebbe essere comunque forte. Il vantaggio è che non solo ogni password sarà diversa, ma sarà anche molto diversa (almeno se la funzione di hashing è buona).
Der Hochstapler,

C'è anche una porta per IE , scritta da una persona molto bella
BlueRaja - Danny Pflughoeft il

@Matthew: Questo è vero per ogni soluzione di archiviazione password ...
BlueRaja - Danny Pflughoeft

9

Personalmente utilizzo PasswordMaker per generare password da una password principale e dall'URL del sito. Il progetto è abbastanza maturo, open source e stabile. È disponibile per Firefox (come estensione), l'interfaccia della riga di comando di Linux, Android ecc.

Come funziona:

Attenzione: gergo tecnico in questa sezione! Fornisci a PasswordMaker due informazioni: una "master password" - quella, una singola password che ti piace - e l'URL del sito web che richiede una password. Attraverso la magia degli algoritmi hash unidirezionali, PasswordMaker calcola un digest di messaggio, noto anche come impronta digitale, che può essere utilizzato come password per il sito Web. Sebbene gli algoritmi hash unidirezionali presentino una serie di caratteristiche interessanti, quello capitalizzato da PasswordMaker è che l'impronta digitale (password) risultante "non rivela nulla sull'input utilizzato per generarlo". In altre parole, se qualcuno ha una o più delle tue password generate, non è fattibile dal punto di vista computazionale per lui derivare la tua password principale o calcolare le tue altre password.


4

È rischioso affidarsi a un'applicazione di terze parti per archiviare le password importanti, in particolare quelle che sono potenzialmente in grado di connettersi online o quelle che si autorizzano ad accedere ai processi di altri programmi; e, soprattutto, fidarsi di quelli non open source .

Un modo più sicuro, a mio avviso, è quello di memorizzare le tue password importanti in un file di testo (.TXT) e quindi crittografare il file con l' algoritmo AES di dsCrypt.exe . Ti viene richiesto di inserire la tua password principale in dsCrypt una sola volta e sarai in grado di crittografare / decrittografare il file di testo della tua password molte volte senza chiederti di reinserire la password principale ogni volta che dsCrypt è in esecuzione. È possibile eseguire automaticamente dsCrypt con l'avvio di Windows e immettere una volta la password principale; e ciò di cui hai bisogno è semplicemente trascinare e rilasciare il tuo file di password (.txt) su dsCrypt per de / crittografarlo quando hai bisogno delle tue password.


Sostituire dsCrypt con PGP / GPG, derivati ​​TrueCrypt, LUKS, ecc. Sarebbe altrettanto buono, sempre +1
Xen2050

ma c'è un difetto nella tua risposta: dsCrypt.exe È un software di terze parti :-)! Preferisco fidarmi di un programma open source, che posso ricompilare, su un exe
spiritoo

0

Raccomando KeePassXC che è un fork della community di KeePassX , una porta nativa multipiattaforma di KeePass Password Safe , con l'obiettivo di estenderlo e migliorarlo con nuove funzionalità e correzioni di bug per fornire un open ricco di funzionalità, completamente multipiattaforma e moderno gestore password di origine.

Questo client è consigliato anche da Autodifesa di sorveglianza .

Caratteristiche principali KeePassXC :

  • Archiviazione sicura di password e altri dati privati ​​con crittografia AES, Twofish o ChaCha20
  • Cross-platform, funziona su Linux, Windows e macOS senza modifiche
  • Compatibilità dei formati di file con KeePass2, KeePassX, MacPass, KeeWeb e molti altri (KDBX 3.1 e 4.0)
  • Integrazione dell'agente SSH
  • Digitazione automatica su tutte le piattaforme supportate per la compilazione automatica dei moduli di accesso
  • File chiave e supporto YubiKey challenge-response per ulteriore sicurezza
  • Generazione TOTP (incluso Steam Guard)
  • Importazione CSV da altri gestori di password (ad es. LastPass)
  • Interfaccia della riga di comando
  • Generatore di password e passphrase autonomo
  • Misuratore di forza della password
  • Icone personalizzate per voci di database e download di siti Web preferiti
  • Funzionalità di unione del database
  • Ricarica automatica quando il database è stato modificato esternamente
  • Integrazione del browser con KeePassXC-Browser per Google Chrome, Chromium, Vivaldi e Mozilla Firefox.
  • (Legacy) Supporto KeePassHTTP per l'utilizzo con KeePassHTTP-Connector disponibile per Mozilla Firefox e Google Chrome e passafari per Safari.

-4

Uso i file Notepad e .txt. Se vuoi il mio consiglio, ti consiglio di non usare un software di terze parti. Da dove sai che non stanno rubando le tue password?
Quindi usare i file di testo sarebbe il migliore.
Anche se sei un programmatore, ti suggerisco di costruirne uno semplice che usi la codifica per proteggere i dati. Questa è la soluzione migliore.


2
Prenderò le mie possibilità che il database del gestore password crittografato sia più vulnerabile del semplice file di testo, visto che quest'ultimo verrà raccolto dal prossimo malware che fa una rapida ricerca nel mio computer per la parola password .
Twisty Impersonator,

1
Almeno crittografare il file di testo con GPG / PGP o qualcosa, qualsiasi cosa , e poi ricordare che una sola password
Xen2050
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.