Доверяете ли вы менеджеру паролей

[dzhoser]

Доверяете ли вы менеджеру паролей или храните в браузере, голове или бумаге?

[Whowka]

Никогда не пользовался, видимо, в глубине души, не доверяю.  Непринципиальные пароли в текстовом файле, на компуктере(дублирован в облаке). Принципиальные пароли, делаю по выработанному, за годы, алгоритму. За фсе время утёк один, при сливе базы "В Контакте" в 2012. Остальные не биты не крашены.

[dzhoser]

Надеюсь не так проверяли

Открыть содержимое (спойлер)

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?

Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях...

– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль "Pft,bcm" подойдёт?

– Вряд ли. Он тоже словарный.

– Но как же? Это же...

– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.

– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.

[свернуть]

[Whowka]

Надеюсь не так проверяли

Есть грешок. Проверяю пароль от своего вифи на сайтеhttps://wpa-sec.stanev.org по рукопожатиям. Второй год проверяю... Говорят они ломают до результата.

[dzhoser]

https://www.onlinehashcrack.com/ cейсас прямо в интернетах можно ломать, если комп слабенький.

[Walter_322]

Доверяю KeePass, хранящемуся в домашнем некстклауде и бекапящимуся на гугл драйв.

[Whowka]

прямо в интернетах можно ломать

Ага, можно, ежели в словарях есть. А так, перебором хеш подбирать, гиблое дело. 5 букв и 4 цифры в верхнем и нижнем регистре+1 значок — генератор стал формировать файл, для перебора весом 40 гигов. неее... Тока социальная инженерия, или терморектальный криптоанализатор

[ogost]

Пользуюсь pass, оно шифрует пароли, генерит сложные пароли по запросу, есть куча разных гуи к нему, и куча разных плагинов. Умеет в гит. Есть также скрипты импорта из других популярных менеджеров паролей.
У меня настроена автозаполнялка полей по хоткею, OTP, синхронизация через гит, клиент есть и на андроиде.
Если кто хочет могу написать небольшую хаутушку, ничего сложного там нет, но и не всё очевидно.

[dzhoser]

ogost, это было бы неплохо. Толковая инструкция не помешает.

[denkin]

Храню в браузере пароли от аккаунтов на форумах, от почт и соцсетей. Важньіе (от банковских карт) не храню. Для почтьі завожу сложньіе пароли и многофакторную верификацию.

[ferum]

Может это попахивает маразмом , но храню среди прочего некоторые важные пароли в тетради. Почтовые ящики и форумы в голове. Сложность паролей пропорциональна угрозе их взлома. Например здесь моих личных данных нет от слова совсем. То же касается привязанного почтового ящика. Кому надо пусть ломают, пользы от этого ровно ноль. 

[ogost]

Как время будет, по просьбам трудящихся напишу небольшой туториал. Не могу обещать однако что это будет скоро, у нас нет таких длинных новогодних праздников, как в РФ - третьего числа на работу.

[ek-nfn]

Не надо никаких тетрадей, менеджеров паролей и т.д. Выбираете свою любимую поговорку, пословицу, строки из стишка и т.д. символов не менее, чем на 40-50. Переключаетесь на латиницу, но набиваете, выбирая русские буквы. Проще без пробелов. Пароль всегда в голове, который никогда ничем не взломать методом перебора по причине большого количества символов. Ну разве что квантовыми в будущем. Если боитесь словарей с пословицами (хотя не слышал о таких), то в каком нибудь слове (первом, последнем) осознанно делайте ошибку

[ogost]

ek-nfn, ваш метод всем хорош, сам пользовался.
Я тоже в начале имел 1 очень сложный пароль на все ресурсы. Однако в один прекрасный день один из ресурсов утёк, мой пароль оказался скомпрометирован, что подтверждалось ресурсом Have I've Been Pawned (или тогдашний аналог, за давностью точно не помню). Я конечно же Неуловимый Джо, но мысля, что кто угодно может логиниться под моим именем мешала спать. Не секюрити, а проходной двор какой-то. Пришлось менять все пароли. На этот раз решил иметь 1 "мастер пароль" и менять один-два символа на каждом ресурсе. Оказалось уже на пятом-шестом ресурсе сложно запомнить что и где менять. Решил, что лучше привести к виду <очень-сложный-мастер-пароль>@<ресурс>, чем и пользовался некоторое время. Однако в другой прекрасный солнечный день на одном из хакерских ресурсов выложили ещё одну слитую базу паролей, и оказалось, что я не один такой умный и паттерны вроде <пароль>@<ресурс> используют многие, и по сути компрометация одного пароля теоретически приведёт к компрометации всех остальных.
У вышеперечисленных методов один общий минус - нужно где-то отдельно хранить служебные пароли (а будучи админом в ISP паролей было много, очень много), которые разумеется не будут подходить под ваш паттерн.
К этому времени появился менеджер паролей, встроенный в хром, который и автозаполнял, и синхронизировал между устройствами и при желании ещё и генерировал сложные пароли. Стало совсем удобно, можно и служебные пароли там хранить, и несколько лет не парясь пользовался гугловским менеджером паролей. Был только один минус - неудобно хранить пароли не-веб ресурсов, ну там ssh или telnet, которых у меня, в силу специфики работы, было много.
На password-store.org я наткнулся совершенно случайно, на одном из айтишных ресурсов было его упоминание, и я по-тихоньку перелез с гугловского менеджера на него.

[PbI6A]

На password-store.org я наткнулся совершенно случайно

Что за зверёк?