Hệ thống mật khẩu trực tuyến an toàn nhất là gì?


11

Thật khó để theo dõi hàng tá mật khẩu ở các vị trí khác nhau. Đồng bộ hóa thất bại theo thời gian và bạn kết thúc với hội chứng tránh va chạm điều chỉnh.

Có một nguồn lưu trữ mật khẩu thương mại, trực tuyến, an toàn ở bất cứ đâu không? Một thứ sẽ tồn tại trong nhiều năm tới và một thứ thực sự đủ an toàn để đảm bảo sự bảo vệ?


1
Bạn có nghĩa là an toàn nhất hoặc một trong những nguyên nhân gây ra ít vấn đề nhất?
ojblass

Trực tuyến == không có sẵn đôi khi bạn cần nó. Bám sát một cái PDA hoặc cái gì đó.
womble

'Trực tuyến = không khả dụng' có thể ít xảy ra sự cố hơn là dựa vào một thiết bị PDA có sẵn. (Tôi chỉ không có thói quen mang theo một cái.)
Darian Miller

Làm thế nào về trực tuyến == tái tạo với một ít bộ nhớ và máy tính? (tức là băm một hoặc hai mật khẩu với các tên miền mà tài khoản thuộc về)
recbot 16/07/2016

Câu trả lời:


11

Sử dụng keypass và lưu trữ cơ sở dữ liệu trong gmail, lưới trực tiếp hoặc giải pháp lưu trữ tệp trực tuyến nào bạn muốn. Sau đó, bạn luôn có thể lấy một bản sao của nó để sử dụng giả sử bạn có quyền truy cập vào keypass có thể trên ổ đĩa flash và kết nối internet.


Đây là giải pháp tôi đang làm việc hiện tại và đang tự hỏi liệu có thứ gì tốt hơn không.
Dary Miller

(+1 ngay bây giờ ... sẽ là câu trả lời nếu không có ý tưởng nào khác xuất hiện) Cảm ơn
Darian Miller

4

Nếu bạn thực sự được thiết lập trên một mô hình trực tuyến, một vài đồng nghiệp của tôi sử dụng Passpack và họ khá hài lòng với nó. Tôi không thể nói yea hay nay, vì tôi không sử dụng nó, nhưng nó có vẻ khá an toàn và an toàn.


+1 Cảm ơn. Tôi đã nhìn thấy điều này một thời gian và nó đã thu hút sự quan tâm của tôi, nhưng chưa bao giờ cảm thấy đủ thoải mái để 'bóp cò' và tải tất cả mật khẩu lên một dịch vụ miễn phí.
Dary Miller

4

Tôi đã tìm thấy LastPass là một trình quản lý mật khẩu tuyệt vời cho mật khẩu cá nhân của mình. Kiểm tra danh sách tính năng .

Tôi vẫn đang trong một nhiệm vụ cho người quản lý mật khẩu doanh nghiệp tốt nhất (nhưng giá cả phải chăng) .


1
Làm thế nào quyết định này tìm kiếm hai năm sau?
jldugger

Vẫn vui vẻ sử dụng LastPass cho người quản lý thông tin an toàn cá nhân của tôi. Cảm thấy thậm chí còn tốt hơn về nó sau khi Steve Gibson đã chấp thuận ( twit.tv/sn256 ). Đáng buồn thay, không có chuyển động (nội bộ) về giải pháp doanh nghiệp ....
Nathan Hartley

1
LastPass có phiên bản doanh nghiệp. Không biết nó như thế nào (nhưng tôi đang xem xét nó sớm, chúng ta có thể sử dụng một thứ như vậy).
Ronald Pottol

3

Tôi sẽ không sử dụng trực tuyến. Tôi sẽ (và làm) sử dụng KeePass . Ở một mặt lưu ý, bạn có thể kiểm tra độ mạnh của mật khẩu tại đây


1
+1 KeePass là tốt, mặc dù không hoàn toàn thuận tiện như một trình quản lý mật khẩu dựng sẵn của KWallet hoặc Firefox ... nhưng tôi hoàn toàn đồng ý với quan điểm rằng mật khẩu nên được lưu giữ cục bộ và riêng tư, không được lưu trữ trên trang web (trừ khi bạn tạo trang web tự mã hóa và đang lưu trữ nó trên máy chủ của riêng bạn mà không ai khác có quyền truy cập)
David Z

ông yêu cầu một dịch vụ "trực tuyến".
cd1

Keepass, kết hợp với lưới trực tiếp hoặc lưu trữ trực tuyến khác, như Jared đề xuất là một tùy chọn. Tôi chưa sử dụng KeePass nhưng sẽ xem xét. (Tôi đã sử dụng Ví điện tử trong nhiều năm.) Cảm ơn.
Dary Miller

@ cd1- Tôi nhận ra Darian đã yêu cầu một dịch vụ trực tuyến nhưng tôi không thể có lương tâm tốt để giới thiệu bất cứ ai lưu trữ mật khẩu trong một cái gì đó mà họ không có quyền kiểm soát vật lý. Mỗi câu hỏi về loại CNTT (không gây rắc rối) nên được đánh giá (IMHO) với suy nghĩ rằng ngay cả khi có thể, đó là giải pháp tốt nhất cho mục tiêu dự định. Tôi cho rằng câu trả lời có thể chỉ là "Không" nhưng điều đó sẽ không có nhiều thông tin.
Jim B

3

Bruce Schneier có Mật khẩu an toàn, đủ an toàn để Bruce Schneier xác nhận, nếu bạn quan tâm. Nó chỉ có thể là Windows. http://www.schneier.com/passsafe.html


1
Có sẵn phiên bản java để tải xuống, hoạt động ở mọi nơi. Tôi giữ một bản sao trên khóa USB của mình.
pss

Tôi giữ một bản sao của tôi trong tài khoản dropbox của tôi.
recbot

1

Tôi sẽ không tư vấn sử dụng một dịch vụ trực tuyến là tốt. Bạn không đảm bảo rằng dữ liệu của bạn không thể truy cập được cho người khác. Nếu bạn đang sử dụng hệ thống linux, hãy thử Khải huyền , đơn giản và dễ hiểu


1

Hãy nhìn vào Yubikey của Yubikey; có vẻ như nó có thể là những gì bạn đang tìm kiếm. Một Yubikey được kết nối với MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Cấu hình mặc định (nghĩa là được thiết kế) sẽ được sử dụng làm bộ đệm một lần để xác thực hai yếu tố trực tuyến, nhưng nó cũng có chế độ "mật khẩu tĩnh" sẽ xuất ra (cùng một) 64 ký tự giả ngẫu nhiên khi một chút vòng tròn điện dung màu xanh lá cây được chạm vào. Hoạt động như một bàn phím USB vì vậy nó phổ quát và hoạt động ngoại tuyến. Mật khẩu tĩnh chuỗi ngẫu nhiên có thể được thay đổi bất cứ lúc nào.

Hơn 30 đô la một chút và đến trong một phong bì 30 gram thông thường (mà tôi nghĩ là quá tuyệt vời để trở thành sự thật) và không có thời gian bằng phẳng.

Thành thật mà nói, tất cả các thủ thuật giữ một tệp được mã hóa trên khóa USB cùng một lúc là một rắc rối lớn và hầu như không cần thiết. Tất cả bạn cần là một mật khẩu với entropy hợp lý mà bạn không thể dễ dàng đoán hoặc bruteforce. Nhập Yubikey.

Tôi đang phát triển một số ứng dụng xác thực trực tuyến OTP với API của họ; Thật ra nó khá gọn gàng. Tôi có thể chứng minh cho sự mạnh mẽ vật lý của nó, quá.

Làm rõ : Tôi đã cung cấp điều này như một giải pháp thay thế cho việc lưu trữ mật khẩu trực tuyến, đặc biệt là dựa trên API và có thể được sử dụng trực tuyến. Mặc dù vậy, nó cũng có thể hoạt động như một sự thay thế cho nhiều mật khẩu, nếu bạn cảm thấy thoải mái với điều đó.


2
YubiKeys rất tuyệt, nhưng bạn vẫn cần một máy chủ xác thực và một ứng dụng hữu ích nói chuyện với máy chủ xác thực để làm cho nó làm bất cứ điều gì có giá trị.
Nathan Hartley

1
+1 @nathan điều này là đúng, thật đáng buồn, mặc dù bạn có một mật khẩu dài, ít nhất, nó là tốt.
msanford

1
Tôi đã có ý định chơi với một người trong một thời gian dài, tôi chỉ cần một người cảm ơn bạn.
recbot

@wizard, thật tệ là họ không có chương trình giới thiệu ^ _ ^ Thực sự, mặc dù vậy, tôi nghĩ rằng bạn sẽ thích Yubikey 2. Tôi sẽ sớm đặt hàng một cái để thử nghiệm.
msanford

1

SuperGenPass có thể là câu trả lời của bạn. Nó không lưu trữ bất cứ thứ gì, có thể được sử dụng từ bất kỳ trình duyệt nào, không cần tài khoản. Nó hoạt động bằng cách băm mật khẩu "chính" với hai cấp cao nhất của tên miền. Tôi đã nói chuyện với người sáng tạo, anh ấy là một chàng trai thân thiện.

Từ trang web của họ:

SuperGenPass là một loại quản lý mật khẩu khác. Thay vì lưu trữ mật khẩu của bạn trên đĩa cứng hoặc trực tuyến, nơi chúng dễ bị đánh cắp và mất dữ liệu, SuperGenPass sử dụng thuật toán băm để chuyển đổi mật khẩu chính thành mật khẩu phức tạp, duy nhất cho các trang web bạn truy cập. Không có phần mềm để cài đặt: SuperGenPass là một bookmarklet và chạy ngay trong trình duyệt Web của bạn. Và vì nó không bao giờ lưu trữ hoặc truyền mật khẩu của bạn, nên nó lý tưởng để sử dụng trên nhiều máy tính và công cộng. Nó cũng hoàn toàn miễn phí.

Là javascript, nó có rất nhiều mã đánh giá, Nó có một bookmarklet hoạt động hoàn hảo trên 99% các trang web tôi đã dùng thử và đôi khi bạn không thể dễ dàng sử dụng phiên bản di động và sao chép và dán.


1

1Password rất tuyệt (nhưng sau đó nếu bạn là người dùng mac, bạn có thể ổn chỉ với một cái móc khóa)


1

Hệ thống càng đơn giản thì càng tốt.

Hãy xem xét một hệ thống mật khẩu bao gồm:

  1. mật khẩu chủ mạnh
  2. một id duy nhất cho mỗi trang web

Vì vậy, với mật khẩu chính của bạn rất dài, gõ nhanh và không tìm thấy trong bất kỳ từ điển nào (ví dụ Very12% Long91! Password86 # EasyTyped) mật khẩu bạn sử dụng tại example.com sẽ là hàm băm của Very12% Long91! Password86 # EasyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasyTyped + example.com' | sh1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sh1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Có các phần mở rộng trình duyệt có thể giúp bạn với điều này. Hơi khó chịu khi sử dụng hệ thống này trên các hệ thống không phải là web không nhớ mật khẩu và bạn phải phát minh ra một sơ đồ trong trường hợp ai đó khiến bạn thay đổi mật khẩu thường xuyên.

Tất nhiên, bạn chỉ có thể nhập mật khẩu chính của mình trên các thiết bị đầu cuối đáng tin cậy.


Dường như với tôi rằng sử dụng Băm làm mật khẩu sẽ giúp giảm đáng kể mật khẩu 'dung lượng' ...
S19N

Làm thế nào để bạn hình?
Alex Holst

0

Tôi cũng thích và sử dụng KeePass - phiên bản miễn phí.


0

Tập tin văn bản được mã hóa Gpg được lưu trữ trong kiểm soát phiên bản. Sử dụng một vài tập lệnh để giải mã / mã hóa tập tin theo ý muốn. Bạn kiểm soát tính khả dụng của tệp, bạn có thể sử dụng kiểm soát phiên bản phân tán để vẫn có quyền truy cập khi bạn ngoại tuyến và thời gian có sẵn sẽ được xác định bởi bạn (nghĩa là bạn có thể dễ dàng chuyển sang các hệ thống khác nhau nếu cần). Gpg cũng có lợi thế là có thể mã hóa cho nhiều người nhận, cho phép nhiều người xem tệp mật khẩu. Mã hóa các tệp khác nhau cho những người nhận khác nhau để giới hạn người có thể truy cập thông tin đăng nhập cho một nhóm nhất định.


0

Đây không phải là câu trả lời cho câu hỏi của bạn, nhưng nó có liên quan - những người điều hành tại Twitter vừa bị đột nhập tài khoản Google của họ , tiết lộ một loạt thông tin bí mật về công ty.

Tôi sẽ cho rằng Twitter là mục tiêu lớn hơn nhiều so với bạn, vì vậy chắc chắn có liên quan đến việc đột nhập. Tôi cũng không nghĩ rằng sự cố này loại trừ hoàn toàn điện toán đám mây. Tuy nhiên, BẤT K service dịch vụ mật khẩu trực tuyến nào là mục tiêu lớn. Mật khẩu quá quan trọng để lưu trữ trực tuyến.


0

Tôi sẽ do dự để lưu trữ thông tin nhạy cảm của tôi với một công ty bên ngoài. Bạn có cân nhắc việc tự mình thực hiện một sản phẩm dựa trên web không; sau đó bạn có thể làm cho nó đối diện bên ngoài nếu bạn muốn, làm cho nó có thể truy cập từ bất cứ đâu.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.