Доверяете ли вы менеджеру паролей

Автор dzhoser, 30 декабря 2021, 19:45:41

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Доверяете ли вы менеджерам паролей?

Храню пароли в браузере
Храню пароли в менеджере паролей
Храню пароли в голове
Храню пароли на бумажке
У меня есть специальная тетрадь

dzhoser

Доверяете ли вы менеджеру паролей или храните в браузере, голове или бумаге?
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Whowka

Никогда не пользовался, видимо, в глубине души, не доверяю.  Непринципиальные пароли в текстовом файле, на компуктере(дублирован в облаке). Принципиальные пароли, делаю по выработанному, за годы, алгоритму. За фсе время утёк один, при сливе базы "В Контакте" в 2012. Остальные не биты не крашены. :)

dzhoser

Надеюсь не так проверяли
Открыть содержимое (спойлер)
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?

Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях...

– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль "Pft,bcm" подойдёт?

– Вряд ли. Он тоже словарный.

– Но как же? Это же...

– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.

– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.
[свернуть]
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Whowka

#3
Цитата: dzhoser от 30 декабря 2021, 21:00:30Надеюсь не так проверяли
Есть грешок. Проверяю пароль от своего вифи на сайтеhttps://wpa-sec.stanev.org по рукопожатиям. Второй год проверяю... Говорят они ломают до результата. :)

dzhoser

https://www.onlinehashcrack.com/ cейсас прямо в интернетах можно ломать, если комп слабенький.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Walter_322

#5
Доверяю KeePass, хранящемуся в домашнем некстклауде и бекапящимуся на гугл драйв.

Whowka

Цитата: dzhoser от 30 декабря 2021, 22:11:59прямо в интернетах можно ломать
Ага, можно, ежели в словарях есть. А так, перебором хеш подбирать, гиблое дело. 5 букв и 4 цифры в верхнем и нижнем регистре+1 значок — генератор стал формировать файл, для перебора весом 40 гигов. :) неее... Тока социальная инженерия, или терморектальный криптоанализатор ;D

ogost

#7
Пользуюсь pass, оно шифрует пароли, генерит сложные пароли по запросу, есть куча разных гуи к нему, и куча разных плагинов. Умеет в гит. Есть также скрипты импорта из других популярных менеджеров паролей.
У меня настроена автозаполнялка полей по хоткею, OTP, синхронизация через гит, клиент есть и на андроиде.
Если кто хочет могу написать небольшую хаутушку, ничего сложного там нет, но и не всё очевидно.

dzhoser

ogost, это было бы неплохо. Толковая инструкция не помешает.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

denkin

Храню в браузере пароли от аккаунтов на форумах, от почт и соцсетей. Важньіе (от банковских карт) не храню. Для почтьі завожу сложньіе пароли и многофакторную верификацию.

ferum

Может это попахивает маразмом , но храню среди прочего некоторые важные пароли в тетради. Почтовые ящики и форумы в голове. Сложность паролей пропорциональна угрозе их взлома. Например здесь моих личных данных нет от слова совсем. То же касается привязанного почтового ящика. Кому надо пусть ломают, пользы от этого ровно ноль.  :)
Русские дебианщики против цифрового слабоумия !

ogost

Как время будет, по просьбам трудящихся напишу небольшой туториал. Не могу обещать однако что это будет скоро, у нас нет таких длинных новогодних праздников, как в РФ - третьего числа на работу.

ek-nfn

Не надо никаких тетрадей, менеджеров паролей и т.д. Выбираете свою любимую поговорку, пословицу, строки из стишка и т.д. символов не менее, чем на 40-50. Переключаетесь на латиницу, но набиваете, выбирая русские буквы. Проще без пробелов. Пароль всегда в голове, который никогда ничем не взломать методом перебора по причине большого количества символов. Ну разве что квантовыми в будущем. Если боитесь словарей с пословицами (хотя не слышал о таких), то в каком нибудь слове (первом, последнем) осознанно делайте ошибку
Debian 12  -> Devuan 5 xfce -> MX Linux 23

ogost

ek-nfn, ваш метод всем хорош, сам пользовался.
Я тоже в начале имел 1 очень сложный пароль на все ресурсы. Однако в один прекрасный день один из ресурсов утёк, мой пароль оказался скомпрометирован, что подтверждалось ресурсом Have I've Been Pawned (или тогдашний аналог, за давностью точно не помню). Я конечно же Неуловимый Джо, но мысля, что кто угодно может логиниться под моим именем мешала спать. Не секюрити, а проходной двор какой-то. Пришлось менять все пароли. На этот раз решил иметь 1 "мастер пароль" и менять один-два символа на каждом ресурсе. Оказалось уже на пятом-шестом ресурсе сложно запомнить что и где менять. Решил, что лучше привести к виду <очень-сложный-мастер-пароль>@<ресурс>, чем и пользовался некоторое время. Однако в другой прекрасный солнечный день на одном из хакерских ресурсов выложили ещё одну слитую базу паролей, и оказалось, что я не один такой умный и паттерны вроде <пароль>@<ресурс> используют многие, и по сути компрометация одного пароля теоретически приведёт к компрометации всех остальных.
У вышеперечисленных методов один общий минус - нужно где-то отдельно хранить служебные пароли (а будучи админом в ISP паролей было много, очень много), которые разумеется не будут подходить под ваш паттерн.
К этому времени появился менеджер паролей, встроенный в хром, который и автозаполнял, и синхронизировал между устройствами и при желании ещё и генерировал сложные пароли. Стало совсем удобно, можно и служебные пароли там хранить, и несколько лет не парясь пользовался гугловским менеджером паролей. Был только один минус - неудобно хранить пароли не-веб ресурсов, ну там ssh или telnet, которых у меня, в силу специфики работы, было много.
На password-store.org я наткнулся совершенно случайно, на одном из айтишных ресурсов было его упоминание, и я по-тихоньку перелез с гугловского менеджера на него.

PbI6A

LINUX means: Linux Is Not a UniX
Вернулся на Devuan. Счастлив!