Какой менеджер паролей выбрать?
Менеджер паролей — это программа, которая заботливо хранит список всех ваших паролей, а вам остается запомнить всего один — так называемый мастер-пароль — для доступа ко всем остальным.
Существует две точки зрения на менеджеры паролей.
Одна точка зрения заключается в том, что подобный софт — одно из величайших изобретений в области безопасности. Судите сами: вы можете создавать самые сложные, практически не ломающиеся пароли, ведь запоминать их не требуется. Некоторые МП умеют определять моменты, когда требуется ввести пароль и подставляют их в форму на сайте автоматически, что экономит время. МП умеют генерировать именно надежные пароли, тогда как человек чаще придумывает то, что в состоянии сам запомнить.
Другая точка зрения заключается в том, что менеджеры паролей нарушают один из самых главных принципов безопасности — не класть все яйца в одну корзину. Например, если злоумышленник раздобудет всего один пароль доступа к менеджеру, то получит все остальные пароли. А что будет, если пользователь сам забудет мастер-пароль? А где гарантия, что в алгоритме защиты ваших паролей нет скрытого изъяна, который смогут эксплуатировать злоумышленники? «Менеджеры паролей — изобретение для дебилов, которые не способны использовать свою память по прямому назначению», — считают сторонники этой второй точки зрения.
Читатель, а какой точки зрения придерживаешься ты? Использовать ли МП, если да, то какой? Я слышал, что свободная программа KeePass Password Safe весьма хороша. Так ли это?
Комментарии
Чингачгук
13 мая, 2013 - 20:25
А есть ли альтернатива? :)
Если нет менеджера паролей то:
1. Выбирают одинаковые пароли практически для всех аккаунтов - ещё хуже, ибо аккаунты онлайн подвержены атаки извне с гораздо большей вероятностью чем твою мастер-ключ на флешке или мастер-пароль в голове.
2. Хранят множество паролей в текстовом файле или хранилище Оперы, которое ломается одной утилитой.
3. Выбирают простые пароли, см. 1.
Platon
13 мая, 2013 - 20:49
ИМХО длинная фраза состоящая из дефиниций разного языка в обрамлении спец.символов - дюже надежный пароль, но вот каждый раз вводить 45 символов - не удобно, поэтому в качестве компромисса - подойдет МП. К вопросу о том какой МП надежней ответить сложно, поскольку всегда присутствует человеческий фактор, можно использовать KeePass, но в случае, когда ОС(особенно Windows) имеет уязвимости, а пароль от МП будет что-то вроде 12345, admin, SuperXaker, QWERTY и им подобных - результат легко прогнозируемый.
Случай из жизни: знакомого переодически вскрывали, то аккаунт от игрушки, то вафлю, то ящик... пожалел бедолагу сначала, прочел лекцию, как придумывать стойкие пароли, но он оказался не в состоянии удержать их в памяти, хранить их где-нибудь в блокноте мешала хроническая паранойя, в общем порекомендвал ему МП, объяснил как им пользоваться, он благополучно скачал портабельную версию, сбросил его на флешку и все бы замечательно, "сотни сайтов" - везде уникальные и стойкие пароли, НО "ничто не вечно под луной", то ли потер, то ли одна искра убила флешку, а бэкапов наш прошаренный ламер, не делал из прЫнцЫпУ)))
comrade
13 мая, 2013 - 20:47
Я все основные пароли помню. И они у меня сильно отличаются.
В частности те, что светятся в интернете (почты, и прочее), от паролей на зашифрованные контейнеры и диски.
Т.е., моих паролей на диски нет в базах для перебора, которыми могут всякие гуглы, яндексы и мейл.ру приторговывать, или вынужденно передавать "кому надо").
Но список редко используемых паролей для всяких второстепенных аккаунтов тоже имеется – в текстовом файле, в зашифрованном архиве.
pomodor
13 мая, 2013 - 20:52
Отвечу на свои же вопросы и я для порядка.
Полностью не принадлежу ни к одному лагерю, но больше склоняюсь в сторону первой точки зрения. МП пробовал, выбирал по характеристикам и выбрал KeePass. Не прижился. Забывал про него, быстрее так пароль набрать, тем более, что провалами в памяти пока не страдаю.
Но есть некоторый аналог менеджера паролей, которую я использую. Для важных дел у меня есть маленький TrueCrypt-диск на 50 мб, на котором хранятся все пароли в обычных txt-файлах, рассортированных по папкам. На тот случай, если крыша начнет течь. Сам диск совершенно свободно выложен на Dropbox, Truecpypt скачать можно в любом месте, поэтому я всегда могу получить доступ к паролям.
comrade
13 мая, 2013 - 21:06
Подборка "суровых историй"(-: на данную тему:
Сисадмин:
- Hу и пусть говорят, что использовать в качестве пароля
имя своего кота - дурной тон! RrgTt_fx32!b, кыс-кыс-кыс...
— Здравствуйте, сделайте мне, пожалуйста, новый пароль. Мы вчера с друзьями памятку нечаянно перепутали с ненужной бумажкой и скурили её.
VV: Поставить вопрос на восстановление пароля "Какого цвета моя зубная щетка" было большой глупостью... Теперь, спустя 3 года, я это понял.
Реальная заявка в техподдержку:
Не смог запомнить свой придуманный пароль. После сброса пароля не смог придумать новый.
Моя подруга вот уже месяц успешно вскрывает мыло своего парня. Фишка в том, что она помнит ответ на его секретный вопрос. Когда на неё нападает ревность, она лезет на Mail.ru, заказывает восстановление пароля, отвечает на вопрос, заходит в ящик, изменяет через мыло пароль «контакта», логинится на страницу парня и удаляет из друзей всех баб.
Парень в непонятках. Парень в тупике. Вместо того чтобы включить мозг, он звонит подруге, пинками и матом вышибает из неё пароль от почты, заходит в ящик и меняет пасс через настройки. Восстанавливает доступ в «контакт» и возвращает баб обратно. Секретный вопрос в приступе ярости, естественно, не меняет. Он о нём не помнит.
Он страдает. Он ищет по всему компу кейлоггеры, грешит на фишинг. Он обрушивается на меня с обвинениями, что я, скромная безобидная линуксоидша, научила его девушку хачить чужие ящики. Тем временем подруга снова заказывает восстановление пароля, отвечает на секретный вопрос (который не менялся уже года два), производит необходимые процедуры, заходит в «контакт» и опять устраивает бабоцид.
И так третий раз за месяц. Интересно, когда ж до него дойдёт?
Блондинка и системный администратор. Диалог:
Blondi: Я вчера заявку подала чтоб мне профиль на компьютер выдали с паролем и правами секретаря.
Admin: Да, я уже получил. Сейчас сделаю (Возится минут пять)
Admin: Логин "Yulushechka_Zaya"?
Blondi: Да! Пароль "nKjoz155q"
Admin: Девушка, а вы его не забудете?
Blondi: (Обижено надув губки) Ну что я, первый пароль на модемный интернет забуду что ли...
ххх: Как узнать пароль от БИОС'а?
ууу: Посмотри на обратной стороне батарейки.
<Мария> ДЕНЬ ДОБРЫЙ,КОНСТАНТИН! Я ПОЧЕМУ-ТО НЕ МОГУ ЗАЙТИ В БД. ПИШЕТ, ЧТО НЕПРАВИЛЬНЫЙ ПАРОЛЬ ИЛИ ЛОГИН. В ЧЕМ МОЖЕТ БЫТЬ ДЕЛО?
<Константин> у Вас буквы страдают гигантизмом
<Мария> СП
<Мария> спасибо
#8925: А дальше подзабыл
7 апреля 2012, 09:00
Командировка. В номере отеля двое — я и замдиректора. Готовимся к завтрашнему выступлению перед Большими Папочками (руководством головного предприятия). Я свой доклад отшлифовал и пью пиво, замдир лихорадочно ищет недостающие документы. Они на рабочем компе. Зам вызванивает секретаршу, благо рабочий день ещё в самом разгаре, и отправляет её к себе в кабинет, чтобы по электронке скинуть то, что нужно. Я краем уха слушаю разговор.
— Так, включай компьютер.
— …
— Отлично, входи под моим логином.
— …
— Пароль «zgblfhfc».
— …
— Английскими буквами.
— …
— Смотри, я тебе сейчас буду русскими буквами диктовать, а ты эти кнопочки нажимай.
— …
— «Я», «п», «и»… Админ! Сука! Уволю!
Чингачгук
13 мая, 2013 - 22:44
KeePass в принципе неплох, но его привязка к Mono весьма смущает. Может для вантуза это и не проблема, но в GNU/Linux Mono находиться в ситуации условно допущенного, которого в любой момент готовы выставить на мороз. Поэтому далеко не факт, что на гостевой ОС вы сможете его запустить не имея прав рута, т.\,к. Mono там банально может не оказаться.
Перспективно выглядит KeePassX (keepassx.org), но его разработчик ушёл с головой в написание новой версии 2.0 и забросил старую ветку. А новая всё ещё пишется. Причём, с учётом очередной смены курса Qt, время окончательного написания назвать сложно.
Ещё мне нравиться Figaro's Password Manager (als.regnet.cz/fpm2). Простенький, но со вкусом. Последняя версия использует GTK2, но сейчас переходит на GTK3. Минус состоит в том, что автор ведёт разработку по старинке, не используя контроль версий и багтрекеры, а выкладывая только сырцы и своё мыло. Так же в минус можно занести
Стоит упомянуть и Password Gorilla (github.com/zdia/gorilla/wiki). Основной минус в том, что это чудо написано на Tcl/Tk. В результате выглядит это приложение даже под GNU/Linux весьма ... м-м-м ... брутально. Кроме того, в версии для Debian Squeeze нет двухфакторной авторизации, что не есть гут.
vanoc
13 мая, 2013 - 23:15
однозначно keepass + dropbox
причем можно использовать в связке пароль + файл-ключ
Чингачгук
16 мая, 2013 - 10:08
Однозначно? Т.е., по-вашему, других вариантов просто быть не может?
Не могли бы вы более развёрнуто расписать, почему кроме как связку
буржуйскойиностранной программы с иностранным же облачным сервером, никто больше ничего использовать не должен?Касательно сабжа: Менеджеры паролей не использовал и не собираюсь. Считаю, что пароль, для хранения которого требуется использовать дополнительные технические средства, не есть безопасный и надёжный пароль. При выборе из "мойпарольсамыйлучшийпарольвмире" и "xjYTfg09123@$#1!asQoPUzx" выберу первое. Для суперважных ресурсов/файлов добавлю в пароль другой регистр/цифры/знаки.
vanoc
17 мая, 2013 - 22:47
Как то вы все грубо утрируете. Я ничего не говорило том, что "никто больше ничего использовать не должен", к тому же то, что вы используете буржуйское оборудование с буржуйским ПО вас видимо не смущает, а вот пароли хранить в буржуйской программе это да.. на это мы никак не согласны.
У меня брат периодически так же пароли использует, по такому же принципу как вы. Последний раз с час-полтора пытались вместе перебрать все возможные варианты "добавлю в пароль другой регистр/цифры/знаки" от одного из сайтов, на который он какое-то время не заходил.
Чингачгук
14 мая, 2013 - 11:00
KeePassX+ файл БД паролей с двойными атрибутами скрытый, хранящийся на носителях к которым только я имею персональный доступ
Tomash
1 июля, 2013 - 14:34
После того, как я закончил общение с KeePass, открыл для себя программу Password Angel. Работает всё четко, стойкий механизм шифрования, на русском языке, понятный интерфейс. Для меня также было важно, что имелась функция импорта из других программ.
Без МП не представляю себе жизни вот уже лет 6. Когда-то пользовался программой только для Windows, теперь еще и для Android (у того же Password Angel, например, для Андроид версия бесплатная).
pomodor
1 июля, 2013 - 23:52
17 отзывов в Google Play. Некоторые написаны как под копирку. Да ну нафиг.
Комментировать