180 şifreyi güvenli bir şekilde nasıl depolarım ve yönetirim?


146

Farklı web siteleri ve web servisleri için yaklaşık 180 şifrem var. Hepsi tek bir şifre korumalı Excel belgesinde saklanır. Liste uzadıkça güvenliği hakkında daha fazla endişeliyim.

Bir şifre korumalı Excel belgesi ne kadar güvenli ya da güvensiz demeliyim? Bu birçok şifreyi güvenli ve kolay yönetilebilir bir şekilde saklamak için en iyi uygulama nedir?

Excel yöntemini yeterince kolay buluyorum, ancak güvenlik konusunda endişeliyim.


CyberArk gibi ticari ürünler ihtiyaçlarınızı karşılar.
Ivan Chau,

Yanıtlar:


207

Favori parola saklama aracım KeePass :

görüntü tanımını buraya girin

KeePass nedir?

Bugün birçok şifreyi hatırlamanız gerekiyor. Windows ağ oturumu açma, e-posta hesabınız, web sitenizin FTP şifresi, çevrimiçi şifreler (web sitesi üye hesabı gibi) vb. İçin bir şifreye ihtiyacınız var. Liste sınırsız. Ayrıca, her hesap için farklı şifreler kullanmalısınız. Çünkü her yerde sadece bir şifre kullanırsanız ve birisi bu şifreyi alırsa, bir probleminiz olur ... Ciddi bir problem. Hırsız, e-posta hesabınıza, web sitenize vb. Erişemez. Düşünülemez.

KeePass, şifrelerinizi güvenli bir şekilde yönetmenize yardımcı olan ücretsiz bir açık kaynaklı şifre yöneticisidir. Tüm şifrelerinizi bir ana anahtar veya bir anahtar dosyası ile kilitlenmiş bir veritabanına koyabilirsiniz. Bu yüzden, sadece tek bir ana şifreyi hatırlamanız veya tüm veritabanının kilidini açmak için anahtar dosyasını seçmeniz gerekir. Veritabanları şu anda bilinen en iyi ve en güvenli şifreleme algoritmaları kullanılarak şifrelenmektedir (AES ve Twofish). Daha fazla bilgi için özellikler sayfasına bakın .


İçinde kaç tane şifre saklayabileceğin konusunda bir sınır var mı?

Sadece teoride. Veritabanına istediğiniz kadar giriş koyabilirsiniz, ancak bir noktada USB anahtarınız veya HDD’niz dolu olacaktır.

Değiştirilen şifreleri otomatik olarak senkronize etmenin bir yolu var mı?

Hayır, beklediğiniz gibi değil.
Bunu düzenli, manuel bir işlem yapmak isteyeceksiniz. Bu olamaz ve otomatik olmamalıdır .

Tüm şifre girişlerim için son kullanma tarihlerini ayarlamayı seviyorum: görüntü tanımını buraya girin
Sonra şifreleri düzenli olarak değiştirmeyi hatırlıyorum. Web sitesinin URL'sini şifre girişi ile saklıyorum, bu yüzden hızlı bir işlem.

Bu yazılımı kullanarak Facebook gibi bir web sitesine otomatik olarak giriş yapabilir miyim?

Hayır, otomatik olarak da değil (en azından benim bildiğim kadarıyla). Fakat bu, Otomatik Tip'in devreye girdiği yer. Örneğin, Facebook için, bu benim Otomatik Tip kurulumum:

görüntü tanımını buraya girin

Gördüğünüz gibi, farklı tarayıcı başlıkları için 3 konfigürasyon oluşturdum. Bu bana basitçe gitmeme izin veriyor facebook.com, Ctrl+ Alt+ tuşlarına basın A, kullanıcı adı ve şifre otomatik olarak girilecek ve giriş yapacağım.

Aynı pencere başlığı için birden fazla kullanıcı adı / şifre kombinasyonunuz varsa, hangi şifre girişinin kullanılması gerektiğini soran bir açılır pencere görüntülenir.

Peki ya cep telefonu?

Mobil cihazlarda KeePass konteyner formatını destekleyen uygulamalar var. Ama onlardan uzak duruyorum. Sadece KeePass veritabanımın telefonumdaki düşüncesini beğenmedim.

QR Code Generator eklentisini kullanarak yalnızca tek şifreleri aktarmayı tercih ediyorum . Daha sonra telefonunuzla tarayabileceğiniz bir paroladan bir QR Kodu oluşturmanıza olanak sağlar . Taranan içeriği panoya kopyalayabilen bir uygulamanın bulunmasına yardımcı olur .

görüntü tanımını buraya girin


3
Dropbox'a koyarsanız, telefonunuzda bile her yerde (taşınabilir bir sürüm var) açabilirsiniz. Ayrıca, Lastpass'a aktarılabilir. Mükemmel seçim
Ivo Flipse

2
@Oliver Bu sadece ihtiyacım olan araç gibi görünüyor. Bunu kesinlikle deneyeceğim. Son kullanma tarihi özelliği tatlı! Ve otomatik tip yeterince basit. Bazı web sitelerinin, e-postayla gönderdikleri bir bağlantıyı tıklatarak bir şifre değişikliğini onaylamanızı gerektirebileceğini biliyorum, bu nedenle herhangi bir otomatik senkronizasyon özelliği, şifreyi senkronize etmenin ve otomatik güncellemenin başarısız olacağını düşündüğüm gibi. Bu, yalnızca Windows dışındaki diğer işletim sistemlerinde de çalışan bir artı. Danke Oli! ;)
Samir

9
Dropbox'ta kullanım için ek güvenlik istiyorsanız, bir şifre ile birlikte bir anahtar dosyası kullanın ve şifrelerinize erişmek istediğiniz herhangi bir bilgisayara veya cihaza manuel olarak kopyalayın (anahtarı Dropbox'ta saklamayın). AFAIK bu sadece Android ve rootlu iOS cihazlarıyla çalışır, çünkü dosya sistemine erişmeniz gerekir, ancak anahtar dosyası olmadan şifre dosyası tamamen çözülemez.
Chad Levy

2
KeePass 2'nin yalnızca Windows olduğunu unutmayın (en azından Linux'taki ücretsiz Mono tercümanları çok zayıf koştu). Mac ve Linux'ta kullandığım KeePassX adında eski bir KeePass 1 klonu var ve çok iyi çalışıyor.
Reid

2
@Reid: Deneyimlerime göre, KeePass2 Mono'da iyi çalışıyor; sadece çirkin ve bu Mono vs .NET bir şey.
yerçekimi

68

Etrafında Excel şifre kırıcılarının kullanımı kolay birkaç tane var.

Cep telefonları da dahil olmak üzere çeşitli işletim sistemlerinde çalışan 1password veya LastPass gibi bir şifre yönetim sistemi kullanırdım .

Bunların çoğu web tarayıcısı için şifreleri ve diğer bilgileri web formuna doldurabilecek eklentileri vardır. 1password ayrıca tarayıcıda otomatik olarak oturum açacak bir yer imi belirleyebilir (uygulamanın tüm kullanımları önce bir ana şifre kullanılması gerekir)

1password ayrıca, kredi kartı, banka hesabı ve diğer bilgilerin saklanmasına yardımcı olmak için notlar, hesaplar (ör. E-posta, ftp) ve şablonlar saklayabilir. Ticari olmasına rağmen, 20'ye kadar öğeye giriş yapabilmenizi sağlayan ücretsiz bir demo alabilirsiniz.

İkisi arasındaki farklardan biri, 1password'ün yalnızca verileri yerel olarak depolamasıdır (gömülü verileri dropbox veya benzerini kullanarak senkronize edebilmenize rağmen), Lastpass yapabiliyor (lütfen? veri ve dropbox vb.


4
Excel şifreleri kırmak çok kolaydır. Google Excel şifre kırıcı ve birçok seçenek göreceksiniz. Lastpass için +1. Roboform'u kullanırdım, ancak Lastpass'ı daha çok sevdim, çünkü çapraz platformdu. Parolaları rastgele belirlemek için parola oluşturucularını kullanıyorum.
Kendor

23
LastPass için +1 - LastPass büyük ölçüde üstün olduğu için tüm güzel biçimlendirme ve resimlerle yanıtın KeePass için olması talihsiz bir durumdur: KeePass'ın yaptığı her şeyi yapar, ancak her büyük tarayıcı, işletim sistemi ve mobil platform için eklentileri vardır. Ayrıca çevrimiçi veri depolar, böylece kaybetme konusunda hiçbir zaman endişelenmenize gerek kalmaz (ve yerel olarak önbelleğe alınır, bu nedenle sunucularının düşmesi konusunda asla endişelenmenize gerek kalmaz ) , ancak TNO kullanarak her şeyi şifreler (hiç kimseye güvenmez), böylece LastPass asla göremez Şifreleriniz Tamamen mükemmel olarak adlandırdığım çok az program var , ancak LastPass bunlardan biri.
BlueRaja - Danny Pflughoeft 5:12

3
Ayrıca LastPass şimdi Android / iPhone'lar aracılığıyla 2 faktörlü kimlik doğrulamasını da destekliyor, yani şifrelerinize erişmek için birisinin ilk olarak telefonunuzu çalması, Authenticator uygulamanızı başlatmak için (ki her 30 saniyede rastgele bir kod oluşturur) gerekir.
glenneroo

3
@Sammy: Evet, özelliklerin çoğu sonsuza dek ücretsizdir. Eğer ödemek için gereken tek özellikleri (12 $ / yıl) bir "prim hesabı" gerektiren mobil uygulamalar ve çoklu faktör doğrulama vardır. Yazar programdan zenginleşmeye çalışmıyor - premium özellikleri kullanmıyorum, ancak yine de teşekkür etmek için premium bir hesap ödüyorum. Genelde sadece açık kaynaklı projelere bağışta bulunuyorum, bu yüzden size bir şey söylüyor :)
BlueRaja - Danny Pflughoeft

2
LastPass kullanışlıdır, ancak çoğunlukla kapalı kaynaktır ve LogMeIn tarafından satın alınmıştır. LastPass sunucuları birçok kez (en azından kısmen) ihlal edildi ve müşterileri " kötü niyetli bir web sitesini ziyaret ettiğinde bir LastPass kullanıcısının kasasındaki keyfi alanlar için düz metin şifreleri okumaya " ve şu anda (Mar2017) " LastPass ikilisi .." Kötü amaçlı web sitelerinin kendi seçtikleri kodu çalıştırmasına izin verir. İkili dosya mevcut olmasa bile ... kötü amaçlı sitelerin korumalı LastPass kasasındaki şifreleri çalmasına izin verir "Bkz. en.wikipedia.org/wiki/LastPass#Security_issues referanslar
Xen2050

49

Bir süredir Lastpass'ı kullandım ve kesinlikle tavsiye ediyorum . Bazı harika tarayıcı eklentileri ve daha güvenli şifrelere sahip olmayı kolaylaştıran bir dizi özelliğe sahiptir.

Tarayıcı eklentisi oturum açma bilgilerini otomatik olarak doldurur (eklentiye giriş yapıldığında). Ayrıca bir dışa aktarma işlevi vardır, böylece veritabanınızı alabilir ve örneğin KeePass'a alabilirsiniz . Ayrıca, ekstra güvenlik için iki aşamalı kimlik doğrulaması kullanır.

Masaüstü istemcisi:

masaüstü istemcisi

Tarayıcı eklentisi:

tarayıcı eklentisi


1
@PITaylor Teşekkürler! LastPass'ı kesinlikle test edeceğim. Ama şimdilik KeePass'a bunu değerlendirmek için biraz daha zaman vereceğim.
Samir,

4
LastPass'ı sevmemdeki en büyük neden, bir dizi şifreyi birden fazla bilgisayarda kolayca paylaşmanın kolay olması ve geçişlerinize rasgele bir bilgisayarda web arayüzü aracılığıyla her zaman erişebilmenizdir.
PlTaylor

2
Lastpass kullanıyorum ancak 2 dezavantajı var. 1) Sunucu düşebilir (teknik sorunlar veya şirket işsiz vb. Gider) 2) Bazı şirketler şirketten pasaport bilgisi gönderdiğiniz için izin vermez.
Keltari

1
LastPass kullanışlıdır, ancak çoğunlukla kapalı kaynaktır ve LogMeIn tarafından satın alınmıştır. LastPass sunucuları birçok kez (en azından kısmen) ihlal edildi ve müşterileri " kötü niyetli bir web sitesini ziyaret ettiğinde bir LastPass kullanıcısının kasasındaki keyfi alanlar için düz metin şifreleri okumaya " ve şu anda (Mar2017) " LastPass ikilisi .." Kötü amaçlı web sitelerinin kendi seçtikleri kodu çalıştırmasına izin verir. İkili dosya mevcut olmasa bile ... kötü amaçlı sitelerin korumalı LastPass kasasındaki şifreleri çalmasına izin verir "Bkz. en.wikipedia.org/wiki/LastPass#Security_issues referanslar
Xen2050

Bu bağlantıyı burada bırakacağım, çünkü Bay Hunt benden daha iyi olduğunu söylüyor. troyhunt.com/…
PlTaylor

10

Şifre Hasher eklentisi (Firefox için) şahsen kullandığım şey.

Şifre Hasher nasıl yardımcı olur:

  • Otomatik olarak güçlü şifreler oluşturur.
  • Bir ana anahtar, birçok sitede farklı şifreler üretir.
  • Site etiketini "çarparak" hızla şifreleri yükseltin.
  • Tüm siteleri bir kerede güncellemeden ana anahtarı yükseltin.
  • Farklı uzunluktaki şifreleri destekler.
  • Rakam ve noktalama gibi özel gereksinimleri destekler.
  • Özel karakterleri kullanmamak için bir karma kelimesini kısıtlamayı destekler. (Yeni!)
  • Tüm verileri tarayıcının güvenli parola veritabanına kaydeder.
  • Site etiketleriniz ve karma kelimelerinizi, uzantıları yüklü olmayan herhangi bir makinede herhangi bir tarayıcıda oluşturmanıza olanak sağlayan seçenek ayarlarıyla birlikte taşınabilir bir HTML sayfası oluşturur. (Yeni!)
  • Herhangi bir web sitesindeki şifreleri kaldırmak için işaretleyici düğmeler ekleyebilir. (Yeni!)
  • Kullanımı son derece basit!

görüntü tanımını buraya girin


6
Bir yerde saklanmaları gerekir, yoksa
unutulurlar

Chrome için bağlantı noktaları da vardır.
rishimaharaj

6
@Kutschkem tarafından: Hayır, şifrelerin bir yere kaydedilmesi gerekmez. Eklentinin muhtemelen yaptığı şey (en azından bunu nasıl yapacağım), site etiketinin ve ana parolanın birleştirilmesini sağlamaktır (bu, her site için farklı (ve sözde güçlü) bir parola ile sonuçlanır (hiçbir şey saklamaksızın). , görmek?). Elbette ana şifrenizin hala güçlü olması gerekir. Bunun avantajı, her şifrenin yalnızca farklı olması değil, çok farklı olması (en azından karma işlevi iyi ise) olmasıdır.
Der Hochstapler

Ayrıca IE için çok yakışıklı bir kişi tarafından yazılmış bir liman var
BlueRaja - Danny Pflughoeft

@Matthew: Her şifre saklama çözümü için doğru olan ...
BlueRaja - Danny Pflughoeft

9

Şahsen bir ana parola ve sitenin URL'sinden parolalar oluşturmak için PasswordMaker'ı kullanıyorum . Proje oldukça olgun, açık kaynaklı ve kararlı. Firefox (eklenti olarak), Linux CLI, Android vb. İçin kullanılabilir.

Nasıl çalışır:

Uyarı - bu bölümde teknik jargon! PasswordMaker'a iki bilgi parçası sağlarsınız: bir "ana şifre" - bu, istediğiniz tek şifre - ve şifre gerektiren web sitesinin URL'si. Tek yönlü karma algoritmaların sihri sayesinde, PasswordMaker, web sitesi için şifreniz olarak kullanabileceğiniz dijital parmak izi olarak da bilinen bir mesaj özeti hesaplar. Tek yönlü karma algoritmalar çok sayıda ilginç özelliğe sahip olsa da, PasswordMaker'ın büyük harflerinden biri, elde edilen parmak izinin (parola) "onu üretmek için kullanılan girdi hakkında hiçbir şey açığa vurmaması" dır. Başka bir deyişle, birisinin oluşturulan şifrelerinizden biri veya daha fazlası varsa, ana şifrenizi türetmesi veya diğer şifrelerinizi hesaplaması, onun için hesaplama açısından olanaksızdır.


4

Öyle güven riskli bir üçüncü taraf uygulaması potansiyel vardır önemli şifreler özellikle bu uygulamaları saklamak için çevrimiçi bağlanabiliyor ya da o size ulaşmasına izin süreçleri erişmek diğer programın; ve daha da önemlisi açık kaynak olmayanlara güvenmek .

Daha güvenli bir yol, bence, önemli şifrelerinizi bir metin dosyasında (.TXT) saklamak ve ardından dosyayı dsCrypt.exe tarafından AES algoritmasıyla şifrelemek . Ana şifrenizi sadece bir kez dsCrypt'e girmeniz gerekir ve dsCrypt çalıştığı sürece, her seferinde ana şifreyi tekrar girmenizi istemeden, şifre metin dosyasını şifreleyebilirsiniz / şifresini çözebilirsiniz . DsCrypt programını otomatik olarak Windows başlatıcınızla çalıştırabilir ve bir kez ana şifrenizi girebilirsiniz; ve ne o zaman ihtiyaç adildir sürükle ve bırak onu şifrelemek / arındırmak için dsCrypt üzerine şifrenizi dosyası (.txt) İhtiyacınız olduğunda şifrelerinizi.


DsCrypt'i PGP / GPG, TrueCrypt türevleri, LUKS, vb.
İle değiştirmek

ama cevabında bir kusur var: dsCrypt.exe üçüncü parti bir yazılım IS IS :-)!
18'de

0

Ben tavsiye KeePassXC bir topluluk çatal KeePassX , bir yerli platformlar arası bağlantı noktası KeePass Password Safe zengin özelliklere sahip, tamamen çapraz platform ve modern bir açık-sağlamaktır genişletmek ve yeni özellikler ve hataları düzeltilmiş onu geliştirmek için hedefi ile kaynak şifre yöneticisi.

Bu müşteri aynı zamanda Gözetim Öz Savunması tarafından da önerilmektedir .

Ana Özellikler KeePassXC :

  • AES, Twofish veya ChaCha20 şifrelemesi ile şifrelerin ve diğer özel verilerin güvenli şekilde depolanması
  • Çapraz platform, Linux, Windows ve macOS'ta değişiklik yapmadan çalışır
  • KeePass2, KeePassX, MacPass, KeeWeb ve diğerleri ile dosya formatı uyumluluğu (KDBX 3.1 ve 4.0)
  • SSH Agent entegrasyonu
  • Giriş formlarını otomatik olarak doldurmak için desteklenen tüm platformlarda Otomatik Yazma
  • Ek güvenlik için önemli dosya ve YubiKey mücadelesine yanıt desteği
  • TOTP üretimi (Steam Guard dahil)
  • Diğer şifre yöneticilerinden CSV içe aktarma (örneğin, LastPass)
  • Komut satırı arayüzü
  • Bağımsız şifre ve parola üreteci
  • Şifre gücü ölçer
  • Veri tabanı girişleri için özel simgeler ve web sitesi favorilerini indirmek
  • Veritabanı birleştirme işlevi
  • Veri tabanı harici olarak değiştirildiğinde otomatik yeniden yükleme
  • Google Chrome, Chromium, Vivaldi ve Mozilla Firefox için KeePassXC-Browser ile tarayıcı entegrasyonu.
  • (Legacy) KeePassHTTP, Mozilla Firefox ve Google Chrome için mevcut KeePassHTTP-Connector ve Safari için passafari ile kullanım için destek.

-4

Not Defteri ve .txt dosyalarını kullanıyorum. Tavsiyemi istersen, üçüncü taraf bir yazılım kullanmamanı tavsiye ederim. Parolalarını çalmadıklarını nereden biliyorsun?
Yani metin dosyalarını kullanmak en iyisi olur.
Ayrıca, bir programcıysanız, veri güvenliğini sağlamak için kodlamayı kullanan kendiniz için basit bir program oluşturmanızı öneririm. Bu en iyi çözüm.


2
Şifreli parola yöneticisinin veritabanının düz metin dosyasından daha savunmasız olduğu ihtimaline bakacağım, ikincisinin bilgisayarımı parola kelimesini hızlı bir şekilde araştıran bir sonraki kötü amaçlı yazılım parçası tarafından toplanacağını görünce .
Twisty Impersonator

1
En azından düz metin dosyanızı gpg / pgp ya da başka bir şeyle şifreleyin, sonra bir şifreyi unutmayın
Xen2050
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.