Câu hỏi Làm cách nào để lưu trữ và quản lý an toàn 180 mật khẩu?


Tôi có khoảng 180 mật khẩu cho các trang web và dịch vụ web khác nhau. Tất cả chúng đều được lưu trữ trong một tài liệu Excel được bảo vệ bằng mật khẩu duy nhất. Khi danh sách dài hơn, tôi ngày càng quan tâm đến an ninh của nó.

Làm thế nào an toàn, hoặc tôi nên nói không an toàn, là một mật khẩu bảo vệ tài liệu Excel? Cách tốt nhất để lưu trữ nhiều mật khẩu này theo cách dễ quản lý và an toàn là gì?

Tôi thấy phương pháp Excel dễ dàng, nhưng tôi lo ngại về khía cạnh bảo mật.


146
2018-06-05 10:47


gốc


Sản phẩm thương mại như CyberArk đáp ứng nhu cầu của bạn. - Ivan Chau


Các câu trả lời:


Công cụ lưu trữ mật khẩu yêu thích của tôi là KeePass:

enter image description here

KeePass là gì?

Hôm nay bạn cần phải nhớ nhiều mật khẩu. Bạn cần mật khẩu cho đăng nhập mạng Windows, tài khoản e-mail, mật khẩu FTP của trang web, mật khẩu trực tuyến (như tài khoản thành viên trang web), v.v. v.v. Danh sách này là vô tận. Ngoài ra, bạn nên sử dụng các mật khẩu khác nhau cho mỗi tài khoản. Bởi vì nếu bạn chỉ sử dụng một mật khẩu ở khắp mọi nơi và ai đó nhận được mật khẩu này, bạn có một vấn đề ... Một vấn đề nghiêm trọng. Tên trộm sẽ có quyền truy cập vào tài khoản e-mail, trang web của bạn, vv Không thể tưởng tượng.

KeePass là trình quản lý mật khẩu nguồn mở miễn phí, giúp bạn quản lý mật khẩu của mình một cách an toàn. Bạn có thể đặt tất cả các mật khẩu của bạn trong một cơ sở dữ liệu, được khóa bằng một khóa chính hoặc một tệp khóa. Vì vậy, bạn chỉ phải nhớ một mật khẩu chính hoặc chọn tệp khóa để mở khóa toàn bộ cơ sở dữ liệu. Các cơ sở dữ liệu được mã hóa bằng cách sử dụng các thuật toán mã hóa tốt nhất và an toàn nhất hiện nay (AES và Twofish). Để biết thêm thông tin, hãy xem trang tính năng.


Có giới hạn nào về số lượng mật khẩu bạn có thể lưu trữ trong đó không?

Chỉ trong lý thuyết. Bạn có thể đặt bao nhiêu mục vào cơ sở dữ liệu như bạn muốn, nhưng tại một số điểm, khóa USB hoặc HDD của bạn sẽ đầy.

Có cách nào để tự động đồng bộ hóa mật khẩu đã thay đổi không?

Không, không giống như bạn mong đợi nó.
Bạn sẽ muốn tạo một quy trình thủ công, thông thường. Điều này có thể không và không nên được tự động.

Tôi muốn thiết lập ngày hết hạn cho tất cả các mục nhập mật khẩu của mình: enter image description here
Sau đó, tôi nhớ thường xuyên thay đổi mật khẩu của mình. Tôi lưu trữ URL của trang web với mục nhập mật khẩu, do đó, đó là một quá trình nhanh chóng.

Tôi có thể tự động đăng nhập vào một trang web như Facebook bằng phần mềm này không?

Không, không phải tự động hoặc (ít nhất là kiến ​​thức của tôi). Nhưng đây là nơi Tự động nhập vào trong chơi. Ví dụ, đối với Facebook, đây là thiết lập Auto-Type của tôi:

enter image description here

Như bạn thấy, tôi đã tạo 3 cấu hình cho các tiêu đề trình duyệt khác nhau. Điều này cho phép tôi chỉ cần truy cập facebook.com, nhấn Ctrl+Alt+Avà tên người dùng và mật khẩu sẽ được nhập tự động và tôi sẽ đăng nhập.

Nếu bạn có nhiều kết hợp tên người dùng / mật khẩu cho tương tự tiêu đề cửa sổ, bạn sẽ nhận được một cửa sổ popup yêu cầu bạn nên sử dụng mục nhập mật khẩu nào.

Điều gì về điện thoại di động?

Có các ứng dụng hỗ trợ định dạng vùng chứa KeePass trên thiết bị di động. Nhưng tôi tránh xa những người đó. Tôi chỉ không thích suy nghĩ của cơ sở dữ liệu KeePass của tôi trên điện thoại của tôi.

Tôi chỉ muốn chuyển mật khẩu đơn bằng cách sử dụng Trình tạo mã QR cắm vào. Nó cho phép bạn tạo ra Mã QR từ mật khẩu, sau đó bạn có thể quét bằng điện thoại của mình. Nó giúp để có một ứng dụng có thể sao chép nội dung đã quét vào khay nhớ tạm.

enter image description here


207
2018-06-05 10:51



Nếu bạn đặt nó trong Dropbox, bạn có thể mở nó ở bất cứ đâu (có phiên bản di động), ngay cả trên điện thoại của bạn. Thêm vào đó nó có thể được nhập vào Lastpass. Lựa chọn tuyệt vời - Ivo Flipse♦
@Oliver Đây dường như chỉ là công cụ tôi cần. Tôi chắc chắn sẽ thử. Tính năng ngày hết hạn thật ngọt ngào! Và kiểu tự động đủ đơn giản. Tôi hiểu rằng một số trang web có thể yêu cầu bạn xác nhận thay đổi mật khẩu bằng cách nhấp vào liên kết họ gửi qua email, vì vậy, bất kỳ tính năng tự động đồng bộ hóa nào theo cách tôi tưởng tượng sẽ không đồng bộ hóa và tự động cập nhật mật khẩu. Đó là một lợi thế mà điều này hoạt động trên các hệ điều hành khác hơn là chỉ Windows. Danke Oli! ;) - Samir
Nếu bạn muốn thêm bảo mật để sử dụng trong Dropbox, hãy sử dụng tệp khóa cùng với mật khẩu và sao chép thủ công vào bất kỳ máy tính hoặc thiết bị nào bạn muốn có quyền truy cập vào mật khẩu của mình (không lưu khóa trong Dropbox). AFAIK này chỉ hoạt động với các thiết bị Android và bắt nguồn từ iOS vì bạn cần truy cập vào hệ thống tệp, nhưng không có tệp khóa nào thì tệp mật khẩu là tất cả nhưng không thể quản lý được. - Chad Levy
Lưu ý rằng KeePass 2 chỉ là Windows (ít nhất, các trình thông dịch Mono miễn phí trên Linux chạy rất kém). Có một bản sao cũ của KeePass 1 được gọi là KeePassX mà tôi sử dụng trên Mac và Linux và nó hoạt động rất tốt. - Reid
@Reid: Từ kinh nghiệm của tôi, KeePass2 hoạt động tốt trên Mono; nó chỉ là xấu xí, và đó là một điều Mono vs .NET. - grawity


Dường như có nhiều cách dễ dàng để sử dụng các trình bẻ khóa mật khẩu Excel.

Tôi sẽ sử dụng một hệ thống quản lý mật khẩu như 1 mật khẩu hoặc là LastPass hoạt động trên nhiều hệ điều hành bao gồm cả điện thoại di động.

Chúng có các plugin cho hầu hết các trình duyệt có thể điền mật khẩu và thông tin khác vào biểu mẫu web. 1password cũng có thể thiết lập một bookmark trong trình duyệt sẽ tự động đăng nhập (Tất cả các ứng dụng của ứng dụng yêu cầu sử dụng mật khẩu chính trước tiên)

1 mật khẩu cũng có thể lưu trữ ghi chú, tài khoản (ví dụ: email, ftp) và các mẫu để giúp lưu trữ thẻ tín dụng, tài khoản ngân hàng và các thông tin khác. Mặc dù nó là thương mại bạn có thể nhận được một bản demo miễn phí cho phép nhập cảnh lên đến 20 mặt hàng.

Một sự khác biệt giữa hai là 1password chỉ lưu trữ dữ liệu cục bộ (mặc dù bạn có thể đồng bộ dữ liệu được mã hóa bằng dropbox hoặc tương tự), Lastpass có thể (phải? Ai đó sửa lỗi này) lưu trữ dữ liệu trên trang web của nó cho phép truy cập web vào dữ liệu và không cần dropbox, v.v.


68
2018-06-05 10:55



Mật khẩu Excel rất dễ bị crack. Trình bẻ khóa mật khẩu Google Excel và bạn sẽ thấy nhiều tùy chọn. 1 cho Lastpass. Tôi đã từng sử dụng Roboform, nhưng thích Lastpass tốt hơn bởi vì nó là nền tảng chéo. Tôi sử dụng trình tạo mật khẩu của họ để ngẫu nhiên mật khẩu. - Kendor
1 cho LastPass - Thật không may rằng câu trả lời với tất cả các định dạng và hình ảnh đẹp là dành cho KeePass, vì LastPass là tuyệt vời hơn: nó làm mọi thứ KeePass, nhưng cũng có các plugin cho mọi trình duyệt, hệ điều hành và nền tảng di động chính. Nó cũng lưu trữ dữ liệu trực tuyến để bạn không bao giờ phải lo lắng về việc mất dữ liệu (và lưu trữ nó cục bộ, vì vậy bạn không bao giờ phải lo lắng về các máy chủ của họ đi xuống), nhưng mã hóa tất cả mọi thứ bằng cách sử dụng TNO (tin tưởng không ai), vì vậy LastPass có thể không bao giờ thực sự nhìn thấy mật khẩu của bạn. Có rất ít chương trình tôi từng gọi hoàn toàn hoàn hảonhưng LastPass là một trong số đó. - BlueRaja - Danny Pflughoeft
LastPass giờ đây cũng hỗ trợ xác thực 2 yếu tố thông qua Android / iPhones, nghĩa là ai đó trước tiên sẽ cần lấy cắp điện thoại của bạn để khởi chạy ứng dụng Authenticator (tạo mã ngẫu nhiên sau mỗi 30 giây) để truy cập mật khẩu của bạn. - glenneroo
@Sammy: Vâng, hầu hết các tính năng được miễn phí mãi mãi. Các chỉ các tính năng bạn cần thanh toán là ứng dụng dành cho thiết bị di động và xác thực đa yếu tố, yêu cầu "tài khoản cao cấp" ($ 12 / năm). Tác giả không cố gắng làm giàu chương trình - Tôi không sử dụng các tính năng cao cấp, nhưng vẫn trả tiền cho một tài khoản cao cấp để thể hiện lòng biết ơn của tôi. Tôi thường chỉ quyên góp cho các dự án mã nguồn mở, để cho bạn biết điều gì đó :) - BlueRaja - Danny Pflughoeft
LastPass là thuận tiện, nhưng chủ yếu là đóng nguồn & mua lại bởi LogMeIn. Máy chủ của LastPass đã bị vi phạm (ít nhất một phần) nhiều lần và khách hàng của họ đã cho phép "đọc mật khẩu văn bản thuần túy cho các miền tùy ý từ kho lưu trữ của người dùng LastPass khi người dùng đó truy cập một trang web độc hại"và hiện tại (tháng 3 năm 2017)"nhị phân LastPass ... cho phép các trang web độc hại thực thi mã mà họ chọn. Ngay cả khi không có nhị phân ... cho phép các trang web độc hại ăn cắp mật khẩu từ kho lưu trữ LastPass được bảo vệ" Xem en.wikipedia.org/wiki/LastPass#Security_issues để tham khảo - Xen2050


tôi đã sử dụng Lastpass trong một thời gian và đề xuất nó rất cao. Nó có một số plugin trình duyệt tuyệt vời và một loạt các tính năng giúp bạn có mật khẩu an toàn hơn.

Plugin trình duyệt sẽ tự động điền thông tin đăng nhập (khi đăng nhập vào plugin). Nó cũng có chức năng xuất, do đó bạn có thể truy xuất cơ sở dữ liệu của mình và nhập nó vào KeePass ví dụ. Nó cũng sử dụng xác thực hai bước để bảo mật thêm.

Máy tính để bàn:

desktop client

Plugin trình duyệt:

browser plugin


49
2018-06-05 14:36



@PITaylor Cảm ơn bạn! Tôi chắc chắn sẽ kiểm tra LastPass. Nhưng bây giờ tôi sẽ cho KeePass thêm thời gian để đánh giá nó. - Samir
Lý do lớn tôi thích LastPass là vì nó rất dễ dàng để chia sẻ một bộ mật khẩu trên nhiều máy tính một cách dễ dàng và bạn luôn có thể truy cập vào các pass của bạn trên một máy tính ngẫu nhiên thông qua giao diện web. - PlTaylor
Tôi sử dụng lastpass, tuy nhiên có 2 nhược điểm. 1) Các máy chủ có thể đi xuống (hoặc các vấn đề kỹ thuật, hoặc công ty đi ra khỏi kinh doanh, vv) 2) Một số công ty không cho phép nó, như bạn đang gửi thông tin passwork ra khỏi công ty. - Keltari
LastPass là thuận tiện, nhưng chủ yếu là đóng nguồn & mua lại bởi LogMeIn. Máy chủ của LastPass đã bị vi phạm (ít nhất một phần) nhiều lần và khách hàng của họ đã cho phép "đọc mật khẩu văn bản thuần túy cho các miền tùy ý từ kho lưu trữ của người dùng LastPass khi người dùng đó truy cập một trang web độc hại"và hiện tại (tháng 3 năm 2017)"nhị phân LastPass ... cho phép các trang web độc hại thực thi mã mà họ chọn. Ngay cả khi không có nhị phân ... cho phép các trang web độc hại ăn cắp mật khẩu từ kho lưu trữ LastPass được bảo vệ" Xem en.wikipedia.org/wiki/LastPass#Security_issues để tham khảo - Xen2050
Tôi sẽ để lại liên kết này ở đây, bởi vì ông Hunt nói nó tốt hơn tôi có thể. troyhunt.com/… - PlTaylor


Mật khẩu Hasher plugin (cho Firefox) là những gì cá nhân tôi sử dụng.

Làm thế nào mật khẩu Hasher giúp:

  • Tự động tạo mật khẩu mạnh.
  • Một khóa chính tạo ra các mật khẩu khác nhau tại nhiều trang web.
  • Nhanh chóng nâng cấp mật khẩu bằng cách "chạm" thẻ trang web.
  • Nâng cấp khóa chính mà không cập nhật tất cả các trang web cùng một lúc.
  • Hỗ trợ các mật khẩu có độ dài khác nhau.
  • Hỗ trợ các yêu cầu đặc biệt, chẳng hạn như chữ số và dấu chấm câu.
  • Hỗ trợ hạn chế một từ băm không sử dụng các ký tự đặc biệt. (Mới!)
  • Lưu tất cả dữ liệu vào cơ sở dữ liệu mật khẩu bảo mật của trình duyệt.
  • Tạo trang HTML di động với các thẻ trang web và các cài đặt tùy chọn cho phép bạn tạo các từ băm trong bất kỳ trình duyệt nào trên   bất kỳ máy nào không có phần mở rộng được cài đặt. (Mới!)
  • Có thể thêm các nút đánh dấu để hiển thị mật khẩu trên bất kỳ trang web nào. (Mới!)
  • Cực kỳ đơn giản để sử dụng!

enter image description here


10
2018-06-05 12:48



Họ phải được lưu trữ ở đâu đó hoặc người nào khác họ sẽ được forgotton - Mark
Ngoài ra còn có cổng cho Chrome. - rishimaharaj
By @ kutschkem: Không, mật khẩu Không cần phải được lưu trữ ở đâu đó. Plugin có thể làm gì (ít nhất đây là cách tôi sẽ làm), là băm nối thẻ trang và mật khẩu chính, mật khẩu này sẽ dẫn đến mật khẩu khác (và được cho là mạnh) cho mọi trang web (không lưu trữ bất kỳ thứ gì , xem?). Tất nhiên mật khẩu chủ của bạn vẫn cần phải mạnh mẽ. Ưu điểm là không chỉ mỗi mật khẩu sẽ khác nhau, chúng sẽ rất khác nhau (ít nhất là nếu hàm băm là tốt). - Der Hochstapler
Cũng có một cổng cho IE, được viết bởi một người rất đẹp trai - BlueRaja - Danny Pflughoeft
@Matthew: Điều đó đúng với mỗi giải pháp lưu trữ mật khẩu ... - BlueRaja - Danny Pflughoeft


Cá nhân tôi sử dụng PasswordMakerđể tạo mật khẩu từ mật khẩu chính và URL của trang web. Dự án khá trưởng thành, nguồn mở và ổn định. Nó có sẵn cho Firefox (như là một phần mở rộng), Linux CLI, Android, vv

Làm thế nào nó hoạt động:

Cảnh báo - thuật ngữ kỹ thuật trong phần này! Bạn cung cấp   PasswordMaker hai mẩu thông tin: một "mật khẩu chủ" - đó   một, mật khẩu duy nhất bạn thích - và URL của trang web yêu cầu   Một mật khẩu. Thông qua sự kỳ diệu của thuật toán băm một chiều,   PasswordMaker tính toán thông báo thông báo, còn được gọi là kỹ thuật số   dấu vân tay, có thể được sử dụng làm mật khẩu của bạn cho trang web.   Mặc dù thuật toán băm một chiều có một số điểm thú vị   đặc điểm, cái được viết hoa bởi PasswordMaker là   kết quả dấu vân tay (mật khẩu) không "không tiết lộ bất cứ điều gì về   đầu vào được sử dụng để tạo ra nó. "Nói cách khác, nếu ai đó có   một hoặc nhiều mật khẩu được tạo của bạn, đó là tính toán   không thể cho anh ta lấy được mật khẩu chủ của bạn hoặc để tính toán   các mật khẩu khác. Tính khả thi về mặt tính toán có nghĩa là ngay cả các máy tính như   điều này sẽ không giúp được gì!


9
2018-06-05 13:59





Nó là mạo hiểm để tin tưởng một ứng dụng của bên thứ ba để lưu trữ mật khẩu quan trọng của bạn, đặc biệt là các ứng dụng có khả năng có thể kết nối trực tuyến hoặc những người bạn cho phép họ truy cập các quy trình của chương trình khác; và quan trọng hơn là tin tưởng nguồn không phải mã nguồn mở những người.

Một cách an toàn hơn, theo ý kiến ​​của tôi, là lưu trữ mật khẩu quan trọng của bạn trong một tệp văn bản (.TXT) và sau đó mã hóa tệp bằng Thuật toán AES bởi dsCrypt.exe. Bạn được yêu cầu nhập mật khẩu chính của bạn vào dsCrypt chỉ một lần và bạn sẽ có thể giải mã mã hóa bạn mật khẩu tập tin văn bản nhiều lần mà không yêu cầu bạn nhập lại mật khẩu chính mỗi lần miễn là dsCrypt đang chạy. Bạn có thể tự động chạy dsCrypt với khởi động Windows của bạn và nhập mật khẩu chính của bạn một lần; và những gì bạn cần sau đó chỉ là kéo và thả tệp mật khẩu của bạn (.txt) vào dsCrypt để de / mã hóa nó khi bạn cần mật khẩu của bạn.


4
2018-03-27 22:26



Thay thế dsCrypt bằng PGP / GPG, các dẫn xuất TrueCrypt, LUKS, v.v. cũng sẽ tốt, vẫn +1 - Xen2050
nhưng có một lỗ hổng trong câu trả lời của bạn: dsCrypt.exe IS là một phần mềm của bên thứ ba :-)! Tôi thích tin tưởng một chương trình nguồn mở, mà tôi có thể biên dịch lại, qua một exe - spiritoo


Tôi khuyên bạn nên KeePassXC đó là một ngã ba cộng đồng KeePassX, một cổng đa nền tảng gốc của KeePass Mật khẩu an toàn, với mục tiêu mở rộng và cải thiện nó với các tính năng mới và các bản sửa lỗi để cung cấp trình quản lý mật khẩu nguồn mở phong phú, đa nền tảng và hiện đại.

Khách hàng này cũng được đề xuất bởi Giám sát tự vệ.

Những đặc điểm chính KeePassXC:

  • Lưu trữ mật khẩu an toàn và các dữ liệu cá nhân khác với mã hóa AES, Twofish hoặc ChaCha20
  • Đa nền tảng, chạy trên Linux, Windows và MacOS mà không cần sửa đổi
  • Khả năng tương thích định dạng tệp với KeePass2, KeePassX, MacPass, KeeWeb và nhiều định dạng khác (KDBX 3.1 và 4.0)
  • Tích hợp SSH Agent
  • Tự động nhập trên tất cả các nền tảng được hỗ trợ để điền biểu mẫu đăng nhập tự động
  • Tệp khóa và hỗ trợ phản hồi thách thức YubiKey để bảo mật bổ sung
  • TOTP thế hệ (bao gồm cả Steam Guard)
  • Nhập CSV từ các trình quản lý mật khẩu khác (ví dụ: LastPass)
  • Giao diện dòng lệnh
  • Mật khẩu độc lập và trình tạo mật khẩu
  • Đồng hồ đo độ mạnh mật khẩu
  • Biểu tượng tùy chỉnh cho các mục cơ sở dữ liệu và tải xuống trang web favicons
  • Chức năng hợp nhất cơ sở dữ liệu
  • Tự động tải lại khi cơ sở dữ liệu đã được thay đổi bên ngoài
  • Tích hợp trình duyệt với Trình duyệt KeePassXC dành cho Google Chrome, Chromium, Vivaldi và Mozilla Firefox.
  • (Legacy) KeePassHTTP hỗ trợ để sử dụng với KeePassHTTP-Connector có sẵn cho Mozilla Firefox và Google Chrome, và passafari cho Safari.

0
2018-04-26 16:46