Apa sistem kata sandi online teraman?

11

Sangat sulit untuk melacak lusinan kata sandi di lokasi yang berbeda. Sinkronisasi gagal dari waktu ke waktu dan Anda berakhir dengan sindrom penghindaran koreksi tabrakan.

Apakah ada satu sumber penyimpanan kata sandi komersial yang aman, online, di mana saja? Satu yang akan ada selama bertahun-tahun yang akan datang dan satu yang benar-benar cukup aman untuk memastikan perlindungan?

password password-management Darian Miller
sumber
1
Apakah yang Anda maksud paling aman atau yang paling sedikit menyebabkan masalah?
ojblass
Online == kadang tidak tersedia saat Anda membutuhkannya. Menempel PDA atau sesuatu.
womble
'Online = not available' kemungkinan lebih kecil daripada mengandalkan PDA yang tersedia. (Aku hanya tidak bisa terbiasa membawa satu.)
Darian Miller
Bagaimana dengan Online == direproduksi dengan sedikit memori dan komputer? (yaitu hashing satu atau dua kata sandi dengan domain milik akun)
recbot

Jawaban:

11

Gunakan keypass dan simpan basis data dalam gmail, live mesh, atau solusi penyimpanan file online apa pun yang Anda inginkan. Maka Anda selalu bisa mendapatkan salinannya untuk digunakan dengan asumsi Anda memiliki akses keypass yang bisa di flash drive dan koneksi internet.

Jared
sumber
Ini adalah solusi yang sedang saya kerjakan sekarang dan bertanya-tanya apakah ada sesuatu yang lebih baik.
Darian Miller
(+1 sekarang ... akan menjadi jawabannya jika tidak ada ide lain yang muncul) Terima kasih
Darian Miller
4

Jika Anda benar-benar menggunakan model online, beberapa rekan kerja saya menggunakan Passpack , dan mereka cukup senang dengannya. Saya tidak bisa mengatakan ya atau tidak, karena saya tidak menggunakannya, tetapi sepertinya cukup aman dan aman.

RascalKing
sumber
+1 Terima kasih. Saya telah melihat ini beberapa waktu lalu dan itu menarik minat saya, tetapi tidak pernah merasa cukup nyaman untuk 'menarik pelatuknya' dan memuat semua kata sandi ke layanan gratis.
Darian Miller
4

Saya menemukan LastPass sebagai pengelola kata sandi yang bagus untuk kata sandi pribadi saya. Lihat daftar fitur .

Saya masih mencari manajer kata sandi perusahaan yang layak (namun terjangkau) terbaik .

Nathan Hartley
sumber
1
Bagaimana keputusan ini terlihat dua tahun kemudian?
jldugger
Masih senang menggunakan LastPass untuk manajer informasi pribadi aman saya. Merasa lebih baik tentang hal itu setelah Steve Gibson memberikan persetujuannya ( twit.tv/sn256 ). Sedihnya, tidak ada gerakan (secara internal) pada solusi perusahaan ....
Nathan Hartley
1
LastPass memiliki versi perusahaan sekarang. Tidak tahu bagaimana itu (tapi saya segera melihatnya, kita bisa menggunakan hal seperti itu).
Ronald Pottol
3

Saya tidak akan menggunakannya secara online. Saya akan (dan memang) menggunakan KeePass . Di samping catatan Anda dapat memeriksa kekuatan kasar kata sandi Anda di sini

Jim B
sumber
1
+1 KeePass baik, meskipun tidak semudah sesuatu seperti KWallet atau pengelola kata sandi bawaan Firefox ... tapi saya sepenuhnya setuju dengan poin bahwa kata sandi harus disimpan secara lokal dan pribadi, tidak disimpan di situs web (kecuali Anda membuat situs web kode sendiri dan hosting di server Anda sendiri yang tidak ada orang lain memiliki akses ke)
David Z
dia meminta layanan "online".
cd1
Keepass, bersama dengan live mesh atau penyimpanan online lainnya, seperti yang disarankan Jared adalah sebuah opsi. Saya belum pernah menggunakan KeePass tetapi akan memeriksanya. (Saya telah menggunakan e-Wallet selama bertahun-tahun.) Terima kasih.
Darian Miller
@ cd1- Saya sadar Darian meminta layanan online tetapi saya tidak dapat dengan hati-hati merekomendasikan siapa pun menyimpan kata sandi dalam sesuatu yang tidak dapat mereka kendalikan secara fisik. Setiap jenis IT (non-troubleshooting) pertanyaan harus (IMHO) dievaluasi dengan pemikiran bahwa meskipun mungkin itu solusi terbaik untuk tujuan yang dimaksud. Saya kira jawabannya bisa saja "Tidak" tetapi itu tidak akan sangat informatif.
Jim B
3

Bruce Schneier memiliki Kata Sandi Aman, yang cukup aman untuk disahkan oleh Bruce Schneier, jika Anda peduli. Mungkin hanya Windows. http://www.schneier.com/passsafe.html

pisau pendakian
sumber
1
Ada versi java yang tersedia untuk diunduh yang bisa digunakan di mana saja. Saya menyimpan salinan pada kunci USB saya.
pgs
Saya menyimpan salinan milik saya di akun dropbox saya.
Mengulang kembali
1

Saya tidak akan menyarankan menggunakan layanan online juga. Anda tidak memiliki jaminan bahwa data Anda tidak dapat diakses oleh orang lain. Jika Anda menggunakan sistem linux, coba Revelation , simpel, dan terus terang

katriel
sumber
1

Lihatlah Yubico's Yubikey; sepertinya itu yang Anda cari. Yubikey terhubung ke MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Konfigurasi default (yaitu yang dirancang) akan digunakan sebagai bantalan satu kali untuk otentikasi dua faktor online, tetapi juga memiliki mode "kata sandi statis" yang akan menampilkan (sama) 64 karakter pseudo-acak ketika sedikit lingkaran kapasitif hijau disentuh. Berfungsi sebagai keyboard USB sehingga universal dan berfungsi bahkan offline. Kata sandi string acak acak dapat diubah setiap saat.

Sedikit lebih dari $ 30 dan tiba dalam amplop 30 gram biasa (yang saya pikir terlalu keren untuk menjadi kenyataan) dan dalam waktu singkat.

Jujur, semua trik menjaga file terenkripsi pada kunci USB sekaligus merupakan masalah besar dan sebagian besar tidak perlu. Yang Anda butuhkan hanyalah kata sandi dengan entropi masuk akal yang tidak dapat Anda tebak dengan mudah atau kasar. Masukkan Yubikey.

Saya sedang mengembangkan beberapa aplikasi otentikasi OTP online dengan API mereka; sebenarnya cukup rapi. Saya dapat menjamin kekokohan fisiknya juga.

Klarifikasi : Saya menawarkan ini sebagai alternatif penyimpanan kata sandi online, terutama karena itu berbasis API dan dapat digunakan secara online. Padahal, itu juga bisa bertindak sebagai pengganti beberapa kata sandi, jika Anda merasa nyaman dengan itu.

msanford
sumber
2
YubiKeys memang hebat, tetapi Anda masih memerlukan server otentikasi dan aplikasi yang berguna yang berbicara dengan server otentikasi untuk membuatnya melakukan sesuatu yang bernilai.
Nathan Hartley
1
+1 @nathan ini benar, sayangnya, meskipun Anda memiliki kata sandi yang panjang, setidaknya, itu bagus.
msanford
1
Saya sudah lama ingin bermain dengan satu sejak lama, saya baru memesan satu terima kasih kepada Anda.
Mengulang kembali
@ penyihir, Sayang sekali mereka tidak memiliki program referensi ^ _ ^ Sungguh, saya pikir Anda akan menikmati Yubikey 2. Saya akan memesan satu segera untuk mengujinya.
msanford
1

SuperGenPass mungkin menjadi jawaban Anda. Itu tidak menyimpan apa pun, dapat digunakan dari browser apa pun, tidak perlu akun. Ini bekerja dengan hashing kata sandi "master" dengan dua tingkat teratas dari domain. Saya sudah mengobrol dengan penciptanya, dia orang yang ramah.

Dari situs mereka:

SuperGenPass adalah jenis pengelola kata sandi yang berbeda. Alih-alih menyimpan kata sandi di hard disk atau daring — di tempat yang rentan terhadap pencurian dan kehilangan data — SuperGenPass menggunakan algoritma hash untuk mengubah kata sandi utama menjadi kata sandi yang unik dan kompleks untuk situs web yang Anda kunjungi. Tidak ada perangkat lunak untuk diinstal: SuperGenPass adalah bookmarklet dan berjalan langsung di browser Web Anda. Dan karena tidak pernah menyimpan atau mentransmisikan kata sandi Anda, ini sangat ideal untuk digunakan pada banyak komputer dan publik. Ini juga sepenuhnya gratis.

Menjadi javascript, ada banyak ulasan kode, memiliki bookmarklet yang berfungsi dengan baik pada 99% dari situs yang saya coba, dan sesekali tidak Anda dapat dengan mudah menggunakan versi mobile dan menyalin dan menempel.

pengintaian
sumber
1

1Password sangat bagus (tapi jika Anda pengguna mac, Anda mungkin baik-baik saja hanya dengan gantungan kunci)

monomyth
sumber
1

Semakin sederhana sistem, semakin baik.

Pertimbangkan sistem kata sandi yang terdiri dari:

  1. kata sandi master yang kuat
  2. id unik untuk setiap situs

Jadi, mengingat kata sandi master Anda sangat panjang, cepat untuk mengetik, dan tidak ditemukan dalam kamus apa pun (misalnya Very12% Long91! Password86 # EasyTyped) kata sandi yang Anda gunakan di example.com akan menjadi hash hash dari Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Ada ekstensi peramban yang dapat membantu Anda dengan ini. Agak menyebalkan jika menggunakan sistem ini pada sistem non-web yang tidak menawarkan untuk mengingat kata sandi dan Anda harus menciptakan skema jika seseorang membuat Anda sering mengganti kata sandi.

Tentu saja, Anda hanya dapat memasukkan kata sandi utama Anda di terminal yang dapat dipercaya.

Alex Holst
sumber
Sepertinya saya bahwa menggunakan Hash sebagai kata sandi akan sangat mengurangi kata sandi 'spasi' ...
S19N
Bagaimana menurut Anda?
Alex Holst
0

Saya juga suka dan menggunakan KeePass - versi gratis.

Jordan W.
sumber
0

File teks terenkripsi gpg disimpan dalam kontrol versi. Gunakan beberapa skrip untuk mendekripsi / mengenkripsi file sesuai keinginan. Anda mengontrol ketersediaan file, Anda dapat menggunakan kontrol versi terdistribusi untuk masih memiliki akses ketika Anda sedang offline, dan berapa lama akan tersedia ditentukan oleh Anda (yaitu mudah untuk beralih ke sistem yang berbeda jika diperlukan). Gpg juga memiliki keuntungan untuk dapat mengenkripsi ke beberapa penerima, memungkinkan lebih dari satu orang untuk melihat file kata sandi. Enkripsi file yang berbeda untuk penerima yang berbeda untuk membatasi siapa yang dapat mengakses kredensial untuk grup tertentu.

Menandai
sumber
0

Ini bukan jawaban untuk pertanyaan Anda, tetapi terkait - eksekutif di Twitter baru saja membobol akun Google mereka , mengungkap banyak informasi rahasia tentang perusahaan.

Saya akan berasumsi bahwa Twitter adalah target yang jauh lebih besar daripada Anda, sehingga pasti ada hubungannya dengan pembobolan. Saya juga tidak berpikir kejadian ini mengesampingkan cloud computing sepenuhnya. Namun, SETIAP layanan kata sandi online adalah target besar. Kata sandi terlalu penting untuk disimpan secara online.

Carl C
sumber
0

Saya akan ragu untuk menyimpan informasi sensitif saya dengan perusahaan eksternal. Sudahkah Anda mempertimbangkan untuk mengimplementasikan produk berbasis web sendiri; Anda dapat membuatnya menghadap ke luar jika diinginkan, membuatnya dapat diakses dari mana saja.


sumber