Làm cách nào để lưu trữ và quản lý 180 mật khẩu một cách an toàn?


146

Tôi có khoảng 180 mật khẩu cho các trang web và dịch vụ web khác nhau. Tất cả đều được lưu trữ trong một tài liệu Excel được bảo vệ bằng mật khẩu. Khi danh sách càng dài, tôi càng quan tâm đến bảo mật của nó.

Làm thế nào an toàn, hoặc tôi nên nói không an toàn, là một tài liệu Excel được bảo vệ bằng mật khẩu? Cách tốt nhất để lưu trữ nhiều mật khẩu này một cách an toàn và dễ quản lý là gì?

Tôi thấy phương pháp Excel đủ dễ, nhưng tôi lo ngại về khía cạnh bảo mật.


Sản phẩm thương mại như CyberArk đáp ứng nhu cầu của bạn.
Ivan Châu

Câu trả lời:


207

Công cụ lưu trữ mật khẩu yêu thích của tôi là KeePass :

nhập mô tả hình ảnh ở đây

KeePass là gì?

Hôm nay bạn cần phải nhớ nhiều mật khẩu. Bạn cần một mật khẩu để đăng nhập mạng Windows, tài khoản e-mail, mật khẩu FTP của trang web, mật khẩu trực tuyến (như tài khoản thành viên trang web), v.v ... Danh sách này là vô tận. Ngoài ra, bạn nên sử dụng các mật khẩu khác nhau cho mỗi tài khoản. Bởi vì nếu bạn chỉ sử dụng một mật khẩu ở mọi nơi và ai đó lấy được mật khẩu này thì bạn có vấn đề ... Một vấn đề nghiêm trọng. Kẻ trộm sẽ có quyền truy cập vào tài khoản e-mail, trang web của bạn, v.v. Không thể tưởng tượng được.

KeePass là một trình quản lý mật khẩu mã nguồn mở miễn phí, giúp bạn quản lý mật khẩu của mình một cách an toàn. Bạn có thể đặt tất cả mật khẩu của mình vào một cơ sở dữ liệu, được khóa bằng một khóa chính hoặc một tệp chính. Vì vậy, bạn chỉ cần nhớ một mật khẩu chính duy nhất hoặc chọn tệp chính để mở khóa toàn bộ cơ sở dữ liệu. Các cơ sở dữ liệu được mã hóa bằng các thuật toán mã hóa an toàn và tốt nhất hiện được biết đến (AES và Twofish). Để biết thêm thông tin, xem trang tính năng .


Có giới hạn nào về số lượng mật khẩu bạn có thể lưu trữ trong đó không?

Chỉ trong lý thuyết. Bạn có thể đặt bao nhiêu mục vào cơ sở dữ liệu mà bạn muốn, nhưng đến một lúc nào đó, khóa USB hoặc ổ cứng của bạn sẽ đầy.

Có cách nào để tự động đồng bộ hóa mật khẩu đã thay đổi?

Không, không như bạn mong đợi.
Bạn sẽ muốn thực hiện quy trình thủ công thường xuyên. Điều này không thể và không nên được tự động.

Tôi muốn thiết lập ngày hết hạn cho tất cả các mục nhập mật khẩu của mình: nhập mô tả hình ảnh ở đây
Sau đó, tôi nhớ thay đổi mật khẩu thường xuyên. Tôi lưu trữ URL của trang web với mục nhập mật khẩu, vì vậy đó là một quá trình nhanh chóng.

Tôi có thể tự động đăng nhập vào một trang web như Facebook bằng phần mềm này không?

Không, không tự động (ít nhất là theo hiểu biết của tôi). Nhưng đây là lúc Auto-Type phát huy tác dụng. Ví dụ: đối với Facebook, đây là thiết lập Loại tự động của tôi:

nhập mô tả hình ảnh ở đây

Như bạn có thể thấy, tôi đã tạo 3 cấu hình cho các tiêu đề trình duyệt khác nhau. Điều này cho phép tôi chỉ cần truy cập facebook.com, nhấn Ctrl+ Alt+ A, và tên người dùng và mật khẩu sẽ được nhập tự động và tôi sẽ đăng nhập.

Nếu bạn có nhiều kết hợp tên người dùng / mật khẩu cho cùng một tiêu đề cửa sổ, bạn sẽ nhận được một cửa sổ bật lên hỏi bạn nên sử dụng mục nhập mật khẩu nào.

Điện thoại di động thì sao?

Có những ứng dụng hỗ trợ định dạng bộ chứa KeePass trên thiết bị di động. Nhưng tôi tránh xa những thứ đó. Tôi chỉ không thích suy nghĩ về cơ sở dữ liệu KeePass của mình trên điện thoại.

Tôi thích chỉ chuyển các mật khẩu duy nhất bằng cách sử dụng plugin QR Code Generator . Nó cho phép bạn tạo Mã QR từ mật khẩu, sau đó bạn có thể quét bằng điện thoại của mình. Nó giúp có một ứng dụng có thể sao chép nội dung được quét vào clipboard.

nhập mô tả hình ảnh ở đây


3
Nếu bạn đặt nó trong Dropbox, bạn có thể mở nó ở bất cứ đâu (có phiên bản di động), ngay cả trên điện thoại của bạn. Thêm vào đó, nó có thể được nhập vào Lastpass. Sự lựa chọn tuyệt vời
Ivo Flipse

2
@Oliver Đây dường như chỉ là công cụ tôi cần. Tôi chắc chắn sẽ thử cái này Tính năng ngày hết hạn là ngọt ngào! Và loại tự động là đủ đơn giản. Tôi hiểu rằng một số trang web có thể yêu cầu bạn xác nhận thay đổi mật khẩu bằng cách nhấp vào liên kết họ gửi qua email, vì vậy, vì lý do đó, bất kỳ tính năng tự động đồng bộ hóa nào theo cách tôi tưởng tượng sẽ không đồng bộ hóa và tự động cập nhật mật khẩu. Đó là một điểm cộng mà nó hoạt động trên các hệ điều hành khác ngoài Windows. Danke Oli! ;)
Samir

9
Nếu bạn muốn thêm bảo mật để sử dụng trong Dropbox, hãy sử dụng tệp chính kết hợp với mật khẩu và sao chép thủ công vào bất kỳ máy tính hoặc thiết bị nào bạn muốn có quyền truy cập vào mật khẩu của mình (không lưu trữ khóa trong Dropbox). AFAIK điều này chỉ hoạt động với Android và thiết bị iOS đã root vì bạn cần truy cập vào hệ thống tệp, nhưng không có tệp chính, tệp mật khẩu là tất cả nhưng không thể bẻ khóa.
Chad Levy

2
Lưu ý rằng KeePass 2 chỉ dành cho Windows (ít nhất, các trình thông dịch Mono miễn phí trên Linux đã chạy rất kém). Có một bản sao cũ hơn của KeePass 1 được gọi là KeePassX mà tôi sử dụng trên Mac và Linux và nó hoạt động rất tốt.
Reid

2
@Reid: Từ kinh nghiệm của tôi, KeePass2 hoạt động tốt trên Mono; nó thật xấu xí, và đó là một thứ Mono vs .NET.
grawity

68

Dường như có một số trình bẻ khóa mật khẩu Excel dễ sử dụng.

Tôi sẽ sử dụng một hệ thống quản lý mật khẩu như 1password hoặc LastPass hoạt động trên một số HĐH bao gồm cả điện thoại di động.

Chúng có các plugin cho hầu hết các trình duyệt có thể điền mật khẩu và thông tin khác vào biểu mẫu web. 1password cũng có thể thiết lập dấu trang trong trình duyệt sẽ tự động đăng nhập (Trước tiên, tất cả việc sử dụng ứng dụng đều yêu cầu sử dụng mật khẩu chính)

1password cũng có thể lưu trữ ghi chú, tài khoản (ví dụ email, ftp) và các mẫu để giúp lưu trữ thẻ tín dụng, tài khoản ngân hàng và các thông tin khác. Mặc dù là quảng cáo nhưng bạn có thể nhận được bản demo miễn phí cho phép nhập tối đa 20 mặt hàng.

Một điểm khác biệt giữa hai là 1password chỉ lưu trữ dữ liệu cục bộ (mặc dù bạn có thể đồng bộ hóa dữ liệu được mã hóa bằng dropbox hoặc tương tự), Lastpass có thể (phải? Ai đó vui lòng sửa lỗi này) lưu trữ dữ liệu trên trang web của nó cho phép truy cập web vào dữ liệu và không cần dropbox, vv


4
Mật khẩu Excel rất dễ bị bẻ khóa. Trình bẻ khóa mật khẩu Google Excel và bạn sẽ thấy nhiều tùy chọn. +1 cho Lastpass. Tôi đã từng sử dụng Roboform, nhưng thích Lastpass hơn vì nó là nền tảng chéo. Tôi sử dụng trình tạo mật khẩu của họ để ngẫu nhiên hóa mật khẩu.
Kendor

23
+1 cho LastPass - Thật không may là câu trả lời với tất cả các định dạng và hình ảnh đẹp là dành cho KeePass, vì LastPass vượt trội hơn rất nhiều: nó làm mọi thứ KeePass làm, nhưng cũng có plugin cho mọi trình duyệt chính, HĐH và nền tảng di động. Nó cũng lưu trữ dữ liệu trực tuyến để bạn không bao giờ phải lo lắng về việc mất dữ liệu (và lưu trữ cục bộ, do đó bạn không bao giờ phải lo lắng về việc máy chủ của họ bị sập) , nhưng mã hóa mọi thứ bằng TNO (không tin ai), vì vậy LastPass thực sự không thể nhìn thấy mật khẩu của bạn. Có rất ít chương trình tôi từng gọi là hoàn hảo , nhưng LastPass là một trong số đó.
BlueRaja - Danny Pflughoeft

3
LastPass hiện cũng hỗ trợ xác thực 2 yếu tố thông qua Android / iPhone, nghĩa là trước tiên ai đó sẽ cần đánh cắp điện thoại của bạn để khởi chạy ứng dụng Authenticator (tạo mã ngẫu nhiên cứ sau 30 giây) để truy cập mật khẩu của bạn.
glenneroo

3
@Sammy: Vâng, hầu hết các tính năng đều miễn phí mãi mãi. Các tính năng duy nhất bạn cần trả tiền là các ứng dụng di động và xác thực đa yếu tố, yêu cầu "tài khoản trả phí" ($ 12 / năm). Tác giả không cố gắng làm giàu từ chương trình - Tôi không sử dụng các tính năng cao cấp, nhưng vẫn trả tiền cho một tài khoản cao cấp để thể hiện lòng biết ơn của mình. Tôi thường chỉ quyên góp cho các dự án nguồn mở, vì vậy điều đó cho bạn biết điều gì đó :)
BlueRaja - Danny Pflughoeft

2
LastPass thuận tiện, nhưng chủ yếu là nguồn đóng & được LogMeIn mua lại. Các máy chủ của LastPass đã bị vi phạm (ít nhất là một phần) nhiều lần và khách hàng của họ đã cho phép " đọc mật khẩu văn bản cho các tên miền tùy ý từ kho tiền của người dùng LastPass khi người dùng đó truy cập trang web độc hại " và hiện tại (Mar2017) " nhị phân LastPass .. . cho phép các trang web độc hại thực thi mã theo lựa chọn của họ. Ngay cả khi nhị phân không xuất hiện ... cho phép các trang web độc hại đánh cắp mật khẩu từ kho LastPass được bảo vệ "Xem en.wikipedia.org/wiki/LastPass#Security_issues để tham khảo
Xen2050

49

Tôi đã sử dụng Lastpass một thời gian và khuyên dùng nó rất cao. Nó có một số plugin trình duyệt tuyệt vời và một loạt các tính năng giúp dễ dàng có mật khẩu an toàn hơn.

Plugin trình duyệt sẽ tự động điền thông tin đăng nhập (khi đăng nhập vào plugin). Nó cũng có chức năng xuất, vì vậy bạn có thể truy xuất cơ sở dữ liệu của mình và nhập nó vào KeePass chẳng hạn. Nó cũng sử dụng xác thực hai bước để bảo mật thêm.

Máy khách để bàn:

máy tính để bàn

Plugin trình duyệt:

plugin trình duyệt


1
@PITaylor Cảm ơn bạn! Tôi chắc chắn sẽ kiểm tra LastPass. Nhưng bây giờ tôi sẽ cho KeePass thêm một chút thời gian để đánh giá nó.
Samir

4
Lý do lớn tôi thích LastPass là vì dễ dàng chia sẻ một bộ mật khẩu trên nhiều máy tính một cách dễ dàng và bạn luôn có thể truy cập thẻ của mình trên một máy tính ngẫu nhiên thông qua giao diện web.
PlTaylor

2
Tôi sử dụng Lastpass, tuy nhiên có 2 nhược điểm. 1) Máy chủ có thể ngừng hoạt động (có thể là do sự cố kỹ thuật hoặc công ty không hoạt động, v.v.) 2) Một số công ty không cho phép điều đó, vì bạn đang gửi thông tin công việc ra khỏi công ty.
Keltari

1
LastPass thuận tiện, nhưng chủ yếu là nguồn đóng & được LogMeIn mua lại. Các máy chủ của LastPass đã bị vi phạm (ít nhất là một phần) nhiều lần và khách hàng của họ đã cho phép " đọc mật khẩu văn bản cho các tên miền tùy ý từ kho tiền của người dùng LastPass khi người dùng đó truy cập trang web độc hại " và hiện tại (Mar2017) " nhị phân LastPass .. . cho phép các trang web độc hại thực thi mã theo lựa chọn của họ. Ngay cả khi nhị phân không xuất hiện ... cho phép các trang web độc hại đánh cắp mật khẩu từ kho LastPass được bảo vệ "Xem en.wikipedia.org/wiki/LastPass#Security_issues để tham khảo
Xen2050

Tôi sẽ để lại liên kết này ở đây, bởi vì ông Hunt nói nó tốt hơn tôi có thể. troyhunt.com/ từ
PlTaylor

10

Plugin Password Hasher (dành cho Firefox) là những gì cá nhân tôi sử dụng.

Mật khẩu Hasher giúp như thế nào:

  • Tự động tạo mật khẩu mạnh.
  • Một khóa chính tạo ra các mật khẩu khác nhau tại nhiều trang web.
  • Nhanh chóng nâng cấp mật khẩu bằng cách "trả lại" thẻ trang web.
  • Nâng cấp khóa chính mà không cập nhật tất cả các trang web cùng một lúc.
  • Hỗ trợ mật khẩu độ dài khác nhau.
  • Hỗ trợ các yêu cầu đặc biệt, chẳng hạn như chữ số và dấu chấm câu.
  • Hỗ trợ hạn chế một từ băm để không sử dụng các ký tự đặc biệt. (Mới!)
  • Lưu tất cả dữ liệu vào cơ sở dữ liệu mật khẩu an toàn của trình duyệt.
  • Tạo trang HTML di động với các thẻ trang web và cài đặt tùy chọn cho phép bạn tạo các từ băm trong bất kỳ trình duyệt nào trên bất kỳ máy nào mà không cần cài đặt tiện ích mở rộng. (Mới!)
  • Có thể thêm các nút đánh dấu để vạch mặt mật khẩu trên bất kỳ trang web nào. (Mới!)
  • Sử dụng cực kỳ đơn giản!

nhập mô tả hình ảnh ở đây


6
Chúng phải được lưu trữ ở một nơi nào đó nếu không chúng sẽ được
tha thứ

Ngoài ra còn có cổng cho Chrome.
rishimaharaj

6
Bởi @kutschkem: Không, mật khẩu Không cần lưu trữ ở đâu đó. Những gì plugin có thể làm (ít nhất đây là cách tôi sẽ làm), là băm kết nối thẻ trang web và mật khẩu chính, điều này sẽ dẫn đến một mật khẩu khác (và được cho là mạnh) cho mọi trang web (mà không lưu trữ bất cứ thứ gì , xem?). Tất nhiên mật khẩu chủ của bạn vẫn cần phải mạnh. Ưu điểm là không chỉ mỗi mật khẩu sẽ khác nhau, chúng sẽ rất khác nhau (ít nhất là nếu chức năng băm là tốt).
Der Hochstapler

Ngoài ra còn có một cổng cho IE , được viết bởi một người rất đẹp trai
BlueRaja - Danny Pflughoeft

@Matthew: Điều đó đúng với mọi giải pháp lưu trữ mật khẩu ...
BlueRaja - Danny Pflughoeft

9

Cá nhân tôi sử dụng PasswordMaker để tạo mật khẩu từ mật khẩu chính và URL của trang web. Dự án khá trưởng thành, nguồn mở và ổn định. Nó có sẵn cho Firefox (dưới dạng tiện ích mở rộng), Linux CLI, Android, v.v.

Làm thế nào nó hoạt động:

Cảnh báo - biệt ngữ kỹ thuật trong phần này! Bạn cung cấp cho PasswordMaker hai thông tin: "mật khẩu chính" - mật khẩu duy nhất mà bạn thích - và URL của trang web yêu cầu mật khẩu. Thông qua sự kỳ diệu của thuật toán băm một chiều, PasswordMaker tính toán thông báo, còn được gọi là dấu vân tay kỹ thuật số, có thể được sử dụng làm mật khẩu của bạn cho trang web. Mặc dù thuật toán băm một chiều có một số đặc điểm thú vị, nhưng thuật toán được viết hoa bởi PasswordMaker là dấu vân tay (mật khẩu) không "tiết lộ bất cứ điều gì về đầu vào được sử dụng để tạo ra nó.". Nói cách khác, nếu ai đó có một hoặc nhiều mật khẩu được tạo của bạn, việc anh ta lấy được mật khẩu chính của bạn hoặc tính mật khẩu khác của bạn là không thể tính toán được.


4

Đó là rủi ro để tin tưởng một ứng dụng của bên thứ ba để lưu trữ mật khẩu quan trọng của bạn đặc biệt là những ứng dụng có khả năng có thể kết nối trực tuyến hoặc những người bạn cho phép họ truy cập vào các quá trình của chương trình khác; và quan trọng hơn là tin tưởng vào những nguồn không mở .

Theo tôi, một cách an toàn hơn là lưu trữ mật khẩu quan trọng của bạn trong tệp văn bản (.TXT) và sau đó mã hóa tệp bằng thuật toán AES bởi dsCrypt.exe . Bạn được yêu cầu nhập mật khẩu chính của bạn vào DSCrypt chỉ một lần và bạn sẽ có thể mã hóa / giải mã tập tin văn bản mật khẩu của bạn nhiều lần mà không yêu cầu bạn nhập lại mật khẩu chính mỗi lần miễn là DSCrypt đang chạy. Bạn có thể tự động chạy DSCrypt khi bắt đầu Windows và nhập mật khẩu chính của bạn một lần; và những gì bạn cần sau đó chỉ là kéo và thả tệp mật khẩu của bạn (.txt) vào dsCrypt để khử / mã hóa nó khi bạn cần mật khẩu của mình.


Thay thế mã hóa mã hóa bằng PGP / GPG, các dẫn xuất TrueCrypt, LUKS, v.v ... sẽ tốt như vậy, vẫn là +1
Xen2050

nhưng có một lỗ hổng trong câu trả lời của bạn: dsCrypt.exe LÀ phần mềm của bên thứ ba :-)! Tôi thích tin tưởng một chương trình nguồn mở, mà tôi có thể biên dịch lại, qua một exe
Spiritoo

0

Tôi khuyên dùng KeePassXC , một nhánh cộng đồng của KeePassX , một cổng đa nền tảng riêng của KeePass Password Safe , với mục tiêu mở rộng và cải thiện nó với các tính năng và sửa lỗi mới để cung cấp tính năng đa nền tảng, đa nền tảng và hiện đại. quản lý mật khẩu nguồn.

Khách hàng này cũng được đề nghị bởi Tự vệ giám sát .

Các tính năng chính KeePassXC :

  • Lưu trữ an toàn mật khẩu và dữ liệu riêng tư khác bằng mã hóa AES, Twofish hoặc ChaCha20
  • Đa nền tảng, chạy trên Linux, Windows và macOS mà không cần sửa đổi
  • Tương thích định dạng tệp với KeePass2, KeePassX, MacPass, KeeWeb và nhiều thứ khác (KDBX 3.1 và 4.0)
  • Tích hợp đại lý SSH
  • Tự động nhập trên tất cả các nền tảng được hỗ trợ để tự động điền vào biểu mẫu đăng nhập
  • Tệp chính và hỗ trợ phản hồi thử thách YubiKey để bảo mật hơn
  • Tạo TOTP (bao gồm Steam Guard)
  • Nhập CSV từ các trình quản lý mật khẩu khác (ví dụ: LastPass)
  • Giao diện dòng lệnh
  • Trình tạo mật khẩu và mật khẩu độc lập
  • Máy đo mật khẩu
  • Biểu tượng tùy chỉnh cho các mục cơ sở dữ liệu và tải xuống của favicons trang web
  • Chức năng hợp nhất cơ sở dữ liệu
  • Tự động tải lại khi cơ sở dữ liệu được thay đổi bên ngoài
  • Tích hợp trình duyệt với KeePassXC-Browser cho Google Chrome, Chromium, Vivaldi và Mozilla Firefox.
  • (Di sản) Hỗ trợ KeePassHTTP để sử dụng với KeePassHTTP-Connector có sẵn cho Mozilla Firefox và Google Chrome và passafari cho Safari.

-4

Tôi sử dụng các tập tin Notepad và .txt. Nếu bạn muốn lời khuyên của tôi, tôi khuyên bạn không nên sử dụng sodtware của bên thứ ba. Bạn biết họ không lấy cắp mật khẩu từ đâu?
Vì vậy, sử dụng các tập tin văn bản sẽ là tốt nhất.
Ngoài ra nếu bạn là một lập trình viên, tôi khuyên bạn nên xây dựng một cái đơn giản cho chính mình sử dụng mã hóa để bảo mật dữ liệu. Đó là giải pháp tốt nhất.


2
Tôi sẽ có cơ hội rằng cơ sở dữ liệu của người quản lý mật khẩu được mã hóa dễ bị tổn thương hơn so với tệp văn bản thuần túy, xem như phần sau sẽ được thu thập bởi phần mềm độc hại tiếp theo để tìm kiếm nhanh mật khẩu của máy tính của tôi .
Kẻ giả mạo Twisty

1
Ít nhất là mã hóa tệp văn bản đơn giản của bạn bằng gpg / pgp hoặc một cái gì đó, bất cứ thứ gì , và sau đó hãy nhớ rằng một mật khẩu
Xen2050
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.