и умею хранить пароли

    Проблема сохранения паролей – одна из наиболее банальных и вместе с тем неоспоримых проблем современной сетевой безопасности. Каждый из нас имеет почту, аккаунты на десятках (а гораздо чаще сотнях) сайтов, аккаунты на операционных системах на работе, дома, на учёбе. Очевидно, что нельзя иметь одинаковые пароли на разных сервисах, иметь короткие или простые пароли, а ещё глупее – забыть свой супер-пароль энной длины.

    Я хочу обратиться к тем, кто эту проблему ещё не решил или вообще ещё о ней не задумывался, и изложить свой бытовой опыт.

    Надо сказать, что я не отличаюсь особо большим количеством аккаунтов, однако их у меня более полутора сотен, и это только за последние полгода. К каждому из них – свой пароль разной длины, выглядящий примерно так: dRF73AvaklWlPs8ZZG1_. И фактически ни один из этих паролей я не видел, только звёздочки!

    Итак, я говорю о специализированном программном обеспечении. Для хранения паролей я использую KeePass Password Safe – бесплатную, open-source, лёгкую и простую в обращении программу. Она существует в английской и русской версиях и доступна для платформ PocketPC, Windows, Linux, MacOS, PalmOS.

    Нажмите, чтобы увеличить

    Пользоваться ей очень просто – для начала вы создаёте .kdb-файл с хорошим мастер-паролем. Это единственный пароль, который вам надо будет помнить днём и ночью. Например, у меня он имеет длину более 20 символов.

    Внутри этого файла можно выстраивать древовидную структуру категорий, придавать категориям и паролям иконки, искать и многое другое. Единственные два действия, которые от вас требуются для сохранения своих паролей – это создание записи (там можно указать заголовок, имя пользователя, URL; пароль генерируется автоматически, но его можно изменить вручную) и сохранение файла. В следующий раз, когда вы откроете программу, она сразу спросит у вас мастер-пароль к последнему открытому файлу. Чтобы скопировать ваш пароль, нужно в таблице дважды кликнуть по полю со звёздочками, и он окажется в буфере обмена на 10 секунд.

    Программа совершенно не мешает работе – можно настроить так, чтобы она при сворачивании пряталась в трей, автоматически блокировалась и так далее. Отдельная тема для разговоров – плагины и автозаполнение, но для бытового уровня это и не нужно.

    Теперь, когда все пароли хранятся в одном зашифрованном файле, вам лишь нужно не забывать создавать его резервные копии. У меня они периодически обновляются на флешках, в КПК, на диске и на нескольких хостингах.

    Берегите свои пароли, это так просто! Не пускайте шпионское ПО на свой копмьютер, особенно keylogger-ы! И скачивайте KeePass прямо сейчас.

    И не забывайте, пожалуйста (другие посты на эту тему):
    Самым популярным паролем вместо «password» стал «password1»
    О простых паролях, или Уж сколько раз твердили вебу...

    А ещё vox пишет для любителей Firefox: Я умный и поэтому не храню пароли.
    Novikov написал пост про Keepass с картинками: Как я храню свои пароли.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 74
    • +1
      Например, у меня он имеет длину более 20 символов.
      Это значит, что ваш пароль это некая фраза. Вполне вероятно, что эта фраза некое изречение которое вам понравилось или нечто подобное ⇒ возможна атака по словарю. Например, фраза из вашего избранного в LJ — "И ты идешь по городу, и за тобой летят бабочки.".

      OffTopic: Кармограф это вещь, в картинку бы ещё добавить текущую карму и рейтинг ;)
      • 0
        Замечательное наблюдение! :) Только это совсем не фраза, это такая штука, которую можно засветить на несколько секунд, и всё равно её никто не запомнит :)

        За кармаграф спасибо, ещё много работы, потом публично объявлю :)
        • 0
          У технологии хранения всех паролей в одном месте есть недостаток — для того что бы получить все пароли надо украсть базу и кейлогером отследить всего один пароль после чего можно приступить к осуществлению коварных планов.
          • 0
            Про кейлогеры совсем забыл.. Спасибо, обновил)
            • 0
              Если человек A смог украсть у человека B базу паролей и кейлогером подслушал мастер-пароль – это значит, что человек A без труда этим же кейлогером украдет у человека B пароли к почтам, аськам и чему угодно.

              Кроме того, KeePass позволяет защищать базу key-file'ом, а этот key-file может лежать где угодно на многогигабайтном винчестере и украсть его будет малореально, если не знать где именно он лежит.
              • 0
                Если кейлогер поддерживает KeePass то ему не будет проблемой проследить куда же обращается эта программа.

                На то что бы красть кейлоггером пароли от не самых посещаемых надо время за которое его могут и обнаружить, а тут человек постоянно, каждый день вводит мастер пароль и его надо один раз записать и украсть базу с кей файлом.
                • 0
                  Если кейлогер поддерживает KeePass то ему не будет проблемой проследить куда же обращается эта программа.
                  KeePass при запуске загружает множество DLL из system32 — одна из них может быть key-file'ом.

                  На то что бы красть кейлоггером пароли от не самых посещаемых надо время за которое его могут и обнаружить, а тут человек постоянно, каждый день вводит мастер пароль и его надо один раз записать и украсть базу с кей файлом.
                  Зато пароли от самых посещаемых мест тем же кейлоггером украдутся сразу же и не факт, что пароли от не самых посещаемых имеют большую ценность.

                  Я вообще к чему. Конечно, "хранить все яйца в одной корзине" опасно. Но вред от подхваченного кейлогера будет примерно одинаков, используй ты хранилище паролей или не используй. ИМХО конечно.
                  • 0
                    KeePass при запуске загружает множество DLL из system32 — одна из них может быть key-file'ом.
                    Можно поподробнее? Оно генерит дллки с распаковщиком ключа и затем грузит их ф-цией LoadLibrary? Или инжектит файл ключа в существующие? Или еще как? Интересно очень...
                    Имхо пора уходить от буковных мастер-паролей. Их так же легко подсмотреть, как и обычные (если пассманагер не снабжен антируткитом, конечно)
                    • 0
                      KeePass позволяет использовать для защиты базы кобминацию пароль + key-file. В качестве key-file Вы можете выбрать любой файл — это может быть и DLL например.
        • 0
          Большое спасибо ! буду тестировать
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Вот он: RoboForm, если кому будет интересно и с ним познакомиться.

              А автозаполнение есть в KeePass :) Причём по произвольному шаблону. Но мне например нужен только пароль, потому что остальное есть в автозаполнении в Опере, да и чепятаю я быстро :)
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Пароли не ограничиваются интернетом, к сожалению.
                • 0
                  Автозаполнение веб-форм - не единственная функция робоформа. Он точно так же может хранить любые пароли, как и KeyPass.
                • 0
                  Поддерживаю, для хранения и автозаполнения паролей в веб это очень удобное решение.
                  Экономит массу времени как при регистрациях (генерирование пароля/автозаполнение полей), так и при логине (один клик).
                  • 0
                    кинулся было в свое время как раз робоформ использовать и обалдел. как можно не поддерживать оперу? ну да сейчас это не самый популярный браузер.. но ведь 15-20% серферов пользуются именно им. отсюда вопрос - откуда такое? почему именно оперу робоформ усиленно не поддерживает?
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        тоже минус. мне никогда не было понятно нежелание людей свой собственный продукт сделать универсальным. впрочем я о линуксе пока только мечтаю. что-то не дает мне на него пересесть.
                  • 0
                    Замечательная программа - Personal Passworder, очень удобна и русская :) все собираюсь на нее перейти с Password Boss, который использую сейчас - лень переносить пароли ;)
                    • 0
                      Использую KeePass очень давно.
                      Выбрал его потому, что есть клиент под Windows Mobile, полноценный.
                      И твои пароли всегда с собой на коммуникаторе - крайне удобно.
                      • +2
                        Абсолютное большинство сервисов требуют почтовый ящик для активации аккаунта. С его помощью можно узнать забытый пароль или сменить на новый. Получаются те же яйца с теми же плюсами и минусами. Вот только в случае с ящиком на gmail отсутствует необходимость использования ПО на рабочей станции - доступ к паролям можно получить из любого места, где есть интернет.

                        а еще есть OpenID.
                        • 0
                          Вот только в случае с ящиком на gmail

                          Вот только в случае с ящиком, к примеру, на gmail
                        • 0
                          хм.. не напоминает ли кому-нибудь такая система "все яйца в одном лукошке"?..
                          • +1
                            Если я все правильно понял (программу не тестировал), то у меня к вам вопрос. А что если вам вдруг очень нужно залогиниться где-нибудь с другого компьютера, не вашего. И у вас нету флешки с этим файлом. Ну вот где вы будете хранить этот ваш файл? Ну можно, конечно, варианты всякие придумать, типа попросить у кого-нибудь из друзей на платном хостинге держать, причем постоянно туда нужно заливать свежий файл. В общем, есть над чем подумать.

                            У меня есть немножко другое предложение по поводу паролей. Во-первых, нужно придумать какое-то уникальное слово (УК) и его запомнить. Затем придумать какое-то мнемоническое правило для создания паролей, чтобы это правило не было понятно никому, если вдруг он получит пароль одного из ваших предыдуших логинов (да, надо немножко подумать). Ну, например *"ПБС""УК""нс"Ff (Придумало от балды), где "ПБС" надо заменить на первую букву сайта "УК" надо заменить на уникальное слово, а "НС" на название сайта. И запомнить правило легко - сами же придумываете, и различен для всех сайтов, и отгдадать при хорошем правиле не легко.
                            • 0
                              Я так и делаю. Ни одного пароля не забыл :-)
                              • +1
                                Вот один из вариантов ответа: Я умный и поэтому не храню пароли.
                                • 0
                                  Те же грабли - что ты будешь делать, если флешки не будет под руками? Хороший алгоритм пароля имхо лучше любого софта...
                                  • 0
                                    1 — скачать ещё раз в нужном месте
                                    2 — есть online генератор (можно локально сохранить JavaScript)
                                • 0
                                  Да, это имхо самый легкий способ придумать пароль, довольно сложный для взлома но легкий для запоминания. Я вот и ники так придумываю если мой обычный занят, а использование спецсимволов не разрешено :) lexus-at-habr :)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      Зато если кому-то повезет разгадать алгоритм, то "нате вам, уважаемые хакеры, пароли от всех моих аккаунтов".
                                      Поэтому алгоритмы - хорошо, но рандом лучше (и тренировка памяти).
                                      • 0
                                        Ээ.. а легко ли будет догадаться кому-либо, что у тебя пятым символом идет первая буква названия сайта, седьмым символом идет последняя буква названия сайта ну и тд.. выдумаешь хороший алгоритм - фиг кто отгадает.

                                        А рандом.. это значит что все равно все пароли как-то взаимосвязаны, в них есть общие слова. Иначе ты сама это все равно не запомнишь (Признайся, Люсь, в скольких местах у тебя аккаунты? И что, везде разные пароли?)
                                        • 0
                                          А дело не в этом. Человек может узнать один из твоих паролей, на основе этого будет не слишком сложно построить алгоритм. Следующим шагом будет лишение тебя всех аккаунтов.

                                          И про разные никто и не говорил. У меня 4-5 паролей, которые вряд ли кто узнает. И даже если узнает один из них - не все мои аккаунты окажутся похеренными.
                                          • 0
                                            Ну а теперь скажи мне каким образом человек может догадаться, что а) я использую какое-то правило по созданию. б) догадаться что это за правило не зная хотя бы двух моих паролей.
                                            Такой вид генерации паролей как минимум не опасней твоего способа - 5 паролей на все аккаунты.

                                            Ну вот грубо. Пароль для хабра *DVdh1r234 (по вышеуказанному алгоритму h 5ым, r-7ым, остальное фикс. - самый простой алгоритм) И что, вот ты сразу догадаешься каков алгоритм составления паролей? (Пусть ты уже знаешь что я использую некий алгоритм)
                                            • 0
                                              Но ты ведь понимаешь, что разгадать алгоритм всё же проще, чем 5 случайных наборов букв?)
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • 0
                                        Я использую для хранения паролей RoboForm, в нем встроенный генератор паролей, плагины для IE/FF, есть переносная версия для флешки.
                                        • 0
                                          Использую Portable-версию KeePass. Доволен, хотя некоторые моменты в интерфейсы нелогичны.
                                          Главное преимущество против RoboForm - бесплатность при практически аналогичном функционале.

                                          Правило придумывания пароля - секретный алгоритм моего мозга на основе ассоциаций с названием сайта :)
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                            • 0
                                              Пользуйтесь кряками ;)
                                              • 0
                                                А вообще, кряк для программы хранящей пароли - это круто, да.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                  • 0
                                                    Неа. Один раз поставленный кряк крякает раз и навсегда (с) Личный опыт
                                          • 0
                                            Есть еще вот такой паролезаменитель: http://matchlogon.ru/
                                            только годится не для всего, насколько я понимаю. Хотя, наверняка можно настроить и для всего.
                                            • 0
                                              Как минимум надо покупать сканер отпечатков.
                                            • 0
                                              я пользуюсь www.passpack.com

                                              софт для хранения паролей на локальном компьютере почему-то не вдохновляет
                                              • +1
                                                Безусловно, проще доверить свои пароли другой (неизвестной) конторе - уж они-то точно ими не воспользуются :))
                                                • +1
                                                  верно :) им просто незачем мои пароли от тех сервисов, что я там храню ;)
                                              • +1
                                                Пароли все-таки лучше запоминать, сочиняя по какому-либо ассоциативному правилу (правилам). Тогда не грозит забывание флешки, снос системы/базы с паролями и т.п.

                                                Да и память тренируется. Голова — она на то и голова, что лучше всяких флешек, хостингов, почтовых ящиков и файлов на винчестере.
                                                • 0
                                                  а между тем лучшем общепризнанным местом зранения признанна именно бумажка с паролями, спрятанная в недоступном для других месте...
                                                  • 0
                                                    Бумажка — это трудно обновляемый костыль для здорового человека. А зачем здоровому человеку костыль, я не понимаю. Я свободно держу в памяти около 200 паролей и не парюсь по поводу бумажек и прочих средств хранения.
                                                    • 0
                                                      «Я свободно держу в памяти около 200 паролей». Вы по-моему через-чур здоровый человек.
                                                      • 0
                                                        Просто прочитайте мой первый камент в этой ветке и все станет на свои места — не нужно иметь никаких мегахелсов, чтоб запоминать большое количество паролей
                                                • 0
                                                  Кстати по поводу брутфорса. В KeePass в Database settings можно настроить такую опцию, как Number of key encryption rounds, что позволяет защититься от брутфорса. Например можно настроить базу так, чтобы на проверку одного варианта пароля уходило 5 секунд - в этом случае брутфорс становится бессмысленным, если конечно у злоумышленника нет в наличии каких-нибудь экстраординарных вычислительных мощностей.
                                                  • 0
                                                    Это если брутфорсить через программу, а если делать это отдельно от программы? Скажем запароленные архивы никто не вскрывает через интерфейс упаковщика.
                                                    • 0
                                                      Неважно через интерфейс программы или отдельно — для того, чтобы получить ключ к базе из введенного пользователем пароля нужно с этим паролем N раз что-то сделать. При достаточно большом N время вскрытия становится слишком большим. Кстати по этой же причине лишен смысла брутфорс .rar архивов.
                                                  • 0
                                                    Отличная программа, то что надо - open source, free, cross-platform.
                                                    Будем переезжать в неё, спасибо за информацию, не пришлось искать самому.
                                                    • +1
                                                      Если собрались переезжать, проверьте, возможно есть плагин, импортирующий данные из Вашего текущего Password Manager'а.
                                                      • +1
                                                        Спасибо за беспокойство, но из txt файла, на "флешке в вентиляции" импорта нет.
                                                        • 0
                                                          У KeePass большие возможности импорта из разных форматов. Если удастся экспортнуть хотя бы в txt, то все будет окей.
                                                    • 0
                                                      о данной программе узнал недавно. до этого пользовался (и продолжаю пользоваться) программой NhT Password Manager - 0.1.0.86 beta вот уже очень длительное время. Но давно подумывал о запасной проге на предмет дублирования (потому как всё виндовое рано или поздно глючит)
                                                      • 0
                                                        Последняя ссылка неверная, должна вести на http://www.habrahabr.ru/blog/i_am_clever…
                                                      • 0
                                                        Спасибо за статью. Для объективности нехватает лишь сравнения с конкуретами.
                                                        • 0
                                                          Спасибо автору за ссылку на программу.
                                                          Я разобрался с ней за несколько минут, и сделал так чтобы она работала с флешки. Теперь база классных паролей у меня всегда с собой.
                                                          • 0
                                                            PassReminder OpenSource менеджер паролей, простой, все необходимые функции, доступен на разных платформах. Из минусов - использует Java машину.
                                                            • 0
                                                              Это был тот минус, из-за которого я даже не стал подробнее изучать PassReminder. 99% программ, использующих Java-машину, тормозят безбожно.

                                                              По-моему, их придумали для того, чтобы люди отчаивались и покупали платный софт :)
                                                            • 0
                                                              А мне нравится Password Boss http://www.ammosoft.com/
                                                              Free и все такое))

                                                              Ну а если по правде, то всяк свое болото хвалит.
                                                              • 0
                                                                И одна из приятных уникальных фич: умеет хранить любые файлы до 16 мб прямо в базе, которую шифрует. Вот так-то!
                                                                • 0
                                                                  KeePass — Free, более того, Open source, умеет хранить любые файлы в виде аттачментов к записям и не имеет ограничения на размер файла. Вот так-то! :)
                                                                • 0
                                                                  Free и всё такое говорите? А это тогда что? :)
                                                                  • 0
                                                                    У нас в России много чего фрии :)) и люди даже не могут задумываться о том, что за софт то надо платить, а что такое опен сорс знает процентов 5 населения страны. Так чему тут удивляться! :)
                                                                    Однажды мой знакомый попросил ему поставить Windows, и был крайне удивлен тому, что я попросил с него лиц. ключ. Он вообще просто не понимал, что это такое, а во вторых практически полностью отказывался понимать что Windows платная программа, а не зашита каким то волшебным образом в писюк.
                                                                • 0
                                                                  Отличная программа, я пользователь apple, и ранее пользовался wallet — это такая система подобного запоминания паролей. Но вот не так давно после того как я решил переустановить систему, обнаружил что бекап от wallet НЕ заливается НО только категории а самих паролей ёк. Короче пробежал по лбу холодный пот… я вспомнил что есть бекап 3 месячной давности на флешке, открыл его все прошло успешно. После этого инцидента я стал судорожно искать программу которая станет альтернативой этого Wallet, наткнулся на KeePass, очень обрадовало, что есть под мак версия, да еще и под винду… (интресно файлы *.kdb как то можно использовать с версии мака на винде). При использовании понравилось все, куча функций которые мне нужны и не хватало в wallet, но есть одна проблема поиск паролей не работает в KeePass на маке.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.