Bagaimana cara saya menyimpan dan mengelola 180 kata sandi dengan aman?

146

Saya memiliki sekitar 180 kata sandi untuk berbagai situs web dan layanan web. Semua disimpan dalam satu dokumen Excel yang dilindungi kata sandi. Seiring bertambahnya daftar saya semakin peduli tentang keamanannya.

Seberapa aman, atau harus saya katakan tidak aman, apakah dokumen Excel dilindungi kata sandi? Apa praktik terbaik untuk menyimpan banyak kata sandi ini dengan cara yang aman dan mudah dikelola?

Saya menemukan metode Excel cukup mudah, tetapi saya khawatir tentang aspek keamanan.

Samir
sumber
Produk komersial seperti CyberArk memenuhi kebutuhan Anda.
Ivan Chau

Jawaban:

207

Alat penyimpanan kata sandi favorit saya adalah KeePass :

masukkan deskripsi gambar di sini

Apa itu KeePass?

hari ini Anda perlu mengingat banyak password. Anda memerlukan kata sandi untuk logon jaringan Windows, akun email Anda, kata sandi FTP situs web Anda, kata sandi online (seperti akun anggota situs web), dll. Dll. Daftar ini tidak ada habisnya. Anda juga harus menggunakan kata sandi yang berbeda untuk setiap akun. Karena jika Anda hanya menggunakan satu kata sandi di mana-mana dan seseorang mendapatkan kata sandi ini, Anda memiliki masalah ... Masalah serius. Pencuri akan memiliki akses ke akun email Anda, situs web, dll. Tidak terbayangkan.

KeePass adalah pengelola kata sandi open source gratis, yang membantu Anda mengelola kata sandi dengan cara yang aman. Anda dapat meletakkan semua kata sandi Anda dalam satu basis data, yang dikunci dengan satu kunci master atau file kunci. Jadi Anda hanya perlu mengingat satu kata sandi master tunggal atau memilih file kunci untuk membuka kunci seluruh database. Basis data dienkripsi menggunakan algoritma enkripsi terbaik dan paling aman yang saat ini dikenal (AES dan Twofish). Untuk informasi lebih lanjut, lihat halaman fitur .


Apakah ada batasan berapa banyak kata sandi yang dapat Anda simpan di dalamnya?

Hanya secara teori. Anda dapat memasukkan sebanyak mungkin entri ke dalam basis data seperti yang Anda inginkan, tetapi pada titik tertentu kunci USB atau HDD Anda akan penuh.

Apakah ada cara untuk menyinkronkan kata sandi yang diubah secara otomatis?

Tidak, tidak seperti yang Anda harapkan.
Anda ingin menjadikannya proses manual dan teratur. Ini tidak bisa dan tidak boleh otomatis.

Saya suka mengatur tanggal kedaluwarsa untuk semua entri kata sandi saya: masukkan deskripsi gambar di sini
Kemudian saya ingat untuk mengubah kata sandi saya secara teratur. Saya menyimpan URL situs web dengan entri kata sandi, jadi ini proses yang cepat.

Dapatkah saya secara otomatis masuk ke situs web seperti Facebook menggunakan perangkat lunak ini?

Tidak, tidak secara otomatis juga (setidaknya setahu saya). Tapi di sinilah Auto-Type ikut bermain. Misalnya, untuk Facebook, ini adalah pengaturan Jenis Otomatis saya:

masukkan deskripsi gambar di sini

Seperti yang Anda lihat, saya telah membuat 3 konfigurasi untuk berbagai judul browser. Ini memungkinkan saya untuk pergi ke facebook.com, tekan Ctrl+ Alt+ A, dan nama pengguna dan kata sandi akan dimasukkan secara otomatis dan saya akan masuk.

Jika Anda memiliki beberapa kombinasi nama pengguna / kata sandi untuk judul jendela yang sama , Anda akan mendapatkan jendela sembulan yang menanyakan entri kata sandi mana yang harus digunakan.

Bagaimana dengan seluler?

Ada aplikasi yang mendukung format wadah KeePass di perangkat seluler. Tapi saya menjauh dari itu. Saya hanya tidak suka memikirkan basis data KeePass di ponsel saya.

Saya lebih suka mentransfer kata sandi tunggal menggunakan plugin QR Code Generator . Ini memungkinkan Anda menghasilkan Kode QR dari kata sandi, yang kemudian dapat Anda pindai dengan telepon Anda. Membantu memiliki aplikasi yang dapat menyalin konten yang dipindai ke clipboard.

masukkan deskripsi gambar di sini

Der Hochstapler
sumber
3
Jika Anda meletakkannya di Dropbox, Anda dapat membukanya di mana saja (ada versi portabel), bahkan di ponsel Anda. Plus itu dapat diimpor ke Lastpass. Pilihan bagus
Ivo Flipse
2
@Liver Ini sepertinya hanya alat yang saya butuhkan. Saya pasti akan mencoba ini. Fitur tanggal kedaluwarsa manis! Dan tipe otomatisnya cukup sederhana. Saya memahami bahwa beberapa situs web mungkin mengharuskan Anda untuk mengonfirmasi perubahan kata sandi dengan mengklik tautan yang mereka kirim melalui email, jadi karena alasan itu setiap fitur sinkronisasi otomatis seperti yang saya bayangkan akan gagal menyinkronkan dan memperbarui kata sandi secara otomatis. Ini merupakan nilai tambah yang berfungsi pada OS lain selain Windows. Danke Oli! ;)
Samir
9
Jika Anda ingin menambahkan keamanan untuk digunakan di Dropbox, gunakan file kunci bersama dengan kata sandi dan salin secara manual ke komputer atau perangkat apa pun yang Anda ingin memiliki akses ke kata sandi Anda (jangan menyimpan kunci di Dropbox). AFAIK ini hanya berfungsi pada Android dan perangkat iOS yang di-rooting karena Anda memerlukan akses ke sistem file, tetapi tanpa file kunci, file kata sandi tidak dapat dipecahkan.
Chad Levy
2
Perhatikan bahwa KeePass 2 hanya untuk Windows (setidaknya, penerjemah Mono gratis di Linux menjalankannya dengan sangat buruk). Ada klon lama dari KeePass 1 yang disebut KeePassX yang saya gunakan di Mac dan Linux dan itu bekerja dengan sangat baik.
Reid
2
@ Reid: Dari pengalaman saya, KeePass2 bekerja dengan baik di Mono; itu hanya jelek, dan itu hal Mono vs .NET.
grawity
68

Tampaknya ada beberapa cracker kata sandi Excel yang mudah digunakan.

Saya akan menggunakan sistem manajemen kata sandi seperti 1password atau LastPass yang berfungsi pada beberapa OS termasuk ponsel.

Ini memiliki plugin untuk sebagian besar browser yang dapat mengisi kata sandi dan informasi lainnya ke formulir web. 1 kata sandi juga dapat mengatur bookmark di browser yang akan masuk secara otomatis (Semua penggunaan aplikasi memerlukan penggunaan kata sandi utama terlebih dahulu)

1password juga dapat menyimpan catatan, akun (mis. Email, ftp) dan templat untuk membantu menyimpan kartu kredit, rekening bank dan informasi lainnya. Meskipun bersifat komersial, Anda dapat memperoleh demo gratis yang memungkinkan entri hingga 20 item.

Salah satu perbedaan antara keduanya adalah bahwa kata sandi hanya menyimpan data secara lokal (walaupun Anda dapat menyinkronkan data yang dienkripsi menggunakan dropbox atau yang serupa), Lastpass dapat (harus? Seseorang tolong perbaiki ini) menyimpan data di situs webnya yang memungkinkan akses web ke situs tersebut. data dan tidak perlu dropbox dll.

pengguna151019
sumber
4
Kata sandi Excel sangat mudah diretas. Pemecah kata sandi Google Excel dan Anda akan melihat banyak opsi. +1 untuk Lastpass. Saya dulu menggunakan Roboform, tetapi menyukai Lastpass lebih baik karena cross platform. Saya menggunakan penghasil kata sandi mereka untuk mengacak kata sandi.
Kendor
23
+1 untuk LastPass - Sangat disayangkan bahwa jawaban dengan semua pemformatan dan gambar yang bagus adalah untuk KeePass, karena LastPass jauh lebih unggul: ia melakukan semua yang dilakukan KeePass, tetapi juga memiliki plugin untuk setiap browser utama, OS, dan platform seluler. Ia juga menyimpan data secara online sehingga Anda tidak perlu khawatir kehilangannya (dan menyimpannya secara lokal, sehingga Anda tidak perlu khawatir server mereka akan turun) , namun mengenkripsi semuanya menggunakan TNO (jangan percayai siapa pun), sehingga LastPass tidak pernah bisa benar-benar melihat kata sandi Anda. Ada beberapa program yang saya sebut sangat sempurna , tetapi LastPass adalah salah satunya.
BlueRaja - Danny Pflughoeft
3
LastPass sekarang juga mendukung otentikasi 2-faktor melalui Android / iPhone sekarang juga, yang berarti seseorang harus terlebih dahulu mencuri telepon Anda untuk meluncurkan aplikasi Authenticator Anda (yang menghasilkan kode acak setiap 30 detik) untuk mengakses kata sandi Anda.
glenneroo
3
@ Sammy: Ya, sebagian besar fitur gratis selamanya. Satu- satunya fitur yang perlu Anda bayar adalah aplikasi seluler dan otentikasi multi-faktor, yang memerlukan "akun premium" ($ 12 / tahun). Penulis tidak mencoba untuk menjadi kaya dari program - saya tidak menggunakan fitur premium, tetapi masih membayar untuk akun premium untuk menunjukkan rasa terima kasih saya. Saya biasanya hanya menyumbang untuk proyek-proyek sumber terbuka, jadi itu memberi tahu Anda sesuatu :)
BlueRaja - Danny Pflughoeft
2
LastPass nyaman, tetapi sebagian besar sumber tertutup & diakuisisi oleh LogMeIn. Server LastPass telah dilanggar (setidaknya sebagian) beberapa kali, dan klien mereka telah mengizinkan " membaca kata sandi plaintext untuk domain sewenang-wenang dari brankas pengguna LastPass ketika pengguna itu mengunjungi situs web jahat " dan saat ini (Mar2017) " biner LastPass .. .membiarkan situs web jahat mengeksekusi kode pilihan mereka. Bahkan ketika biner tidak ada ... biarkan situs jahat mencuri kata sandi dari brankas LastPass yang dilindungi "Lihat en.wikipedia.org/wiki/LastPass#Security_issues untuk referensi
Xen2050
49

Saya telah menggunakan Lastpass untuk sementara waktu sekarang dan sangat merekomendasikannya. Ini memiliki beberapa plugin browser yang luar biasa dan banyak fitur yang membuatnya lebih mudah untuk memiliki kata sandi yang lebih aman.

Plugin browser akan secara otomatis mengisi informasi login (ketika masuk ke dalam plugin). Ini juga memiliki fungsi ekspor, jadi Anda dapat mengambil basis data Anda dan mengimpornya ke KeePass misalnya. Ini juga menggunakan otentikasi dua langkah untuk keamanan ekstra.

Klien desktop:

klien desktop

Plugin browser:

plugin browser

PlTaylor
sumber
1
@PITaylor Terima kasih! Saya pasti akan menguji LastPass. Tetapi untuk saat ini saya akan memberi KeePass lebih banyak waktu untuk mengevaluasinya.
Samir
4
Alasan utama saya menyukai LastPass adalah karena mudah berbagi seperangkat kata sandi pada banyak komputer dengan mudah dan Anda selalu dapat mengakses kartu pass Anda pada komputer acak melalui antarmuka web.
PlTaylor
2
Saya menggunakan lastpass, namun ada 2 kelemahan. 1) Server dapat turun (baik masalah teknis, atau perusahaan gulung tikar, dll) 2) Beberapa perusahaan tidak mengizinkannya, karena Anda mengirim informasi passwork keluar dari perusahaan.
Keltari
1
LastPass nyaman, tetapi sebagian besar sumber tertutup & diakuisisi oleh LogMeIn. Server LastPass telah dilanggar (setidaknya sebagian) beberapa kali, dan klien mereka telah mengizinkan " membaca kata sandi plaintext untuk domain sewenang-wenang dari brankas pengguna LastPass ketika pengguna itu mengunjungi situs web jahat " dan saat ini (Mar2017) " biner LastPass .. .membiarkan situs web jahat mengeksekusi kode pilihan mereka. Bahkan ketika biner tidak ada ... biarkan situs jahat mencuri kata sandi dari brankas LastPass yang dilindungi "Lihat en.wikipedia.org/wiki/LastPass#Security_issues untuk referensi
Xen2050
Saya akan meninggalkan tautan ini di sini, karena Tn. Hunt mengatakan ini jauh lebih baik daripada yang saya bisa. troyhunt.com/…
PlTaylor
10

Plugin Password Hasher (untuk Firefox) adalah yang saya gunakan secara pribadi.

Bagaimana Password Hasher membantu:

  • Secara otomatis menghasilkan kata sandi yang kuat.
  • Satu kunci master menghasilkan kata sandi yang berbeda di banyak situs.
  • Mutakhirkan kata sandi dengan "menabrak" tag situs.
  • Tingkatkan kunci utama tanpa memperbarui semua situs sekaligus.
  • Mendukung berbagai panjang kata sandi.
  • Mendukung persyaratan khusus, seperti angka dan tanda baca.
  • Mendukung pembatasan kata hash untuk tidak menggunakan karakter khusus. (Baru!)
  • Menyimpan semua data ke basis data kata sandi aman browser.
  • Menghasilkan halaman HTML portabel dengan tag situs dan pengaturan opsi yang memungkinkan Anda untuk menghasilkan kata-kata hash di browser apa pun di mesin apa pun tanpa ekstensi terpasang. (Baru!)
  • Dapat menambahkan tombol penanda untuk membuka kedok kata sandi di situs web mana pun. (Baru!)
  • Sangat mudah digunakan!

masukkan deskripsi gambar di sini

Stepan Vihor
sumber
6
Mereka harus disimpan di suatu tempat atau mereka akan
dilupakan
Ada juga port untuk Chrome.
rishimaharaj
6
Oleh @kutschkem: Tidak, kata sandi Tidak perlu disimpan di suatu tempat. Apa yang mungkin dilakukan oleh plugin (setidaknya ini adalah bagaimana saya akan melakukannya), adalah untuk menggabungkan rangkaian tag situs dan kata sandi utama, yang akan menghasilkan kata sandi yang berbeda (dan konon kuat) untuk setiap situs (tanpa menyimpan apa pun) , Lihat?). Tentu saja kata sandi utama Anda masih harus kuat. Keuntungannya adalah bahwa tidak hanya setiap kata sandi akan berbeda, mereka juga akan sangat berbeda (setidaknya jika fungsi hashing baik).
Der Hochstapler
Ada juga port untuk IE , ditulis oleh orang yang sangat tampan
BlueRaja - Danny Pflughoeft
@Matthew: Itu benar untuk setiap solusi penyimpanan kata sandi ...
BlueRaja - Danny Pflughoeft
9

Saya pribadi menggunakan Pembuat Kata Sandi untuk menghasilkan kata sandi dari kata sandi utama dan URL situs. Proyek ini cukup matang, open-source dan stabil. Ini tersedia untuk Firefox (sebagai ekstensi), Linux CLI, Android dll.

Bagaimana itu bekerja:

Peringatan - jargon teknis di bagian ini! Anda memberikan dua informasi kepada PasswordMaker: "kata sandi utama" - kata sandi itu, satu kata sandi yang Anda suka - dan URL situs web yang memerlukan kata sandi. Melalui keajaiban algoritma hash satu arah, PasswordMaker menghitung intisari pesan, juga dikenal sebagai sidik jari digital, yang dapat digunakan sebagai kata sandi Anda untuk situs web. Meskipun algoritma hash satu arah memiliki sejumlah karakteristik menarik, yang dikapitalisasi oleh PasswordMaker adalah bahwa sidik jari (kata sandi) yang dihasilkan "tidak mengungkapkan apa pun tentang input yang digunakan untuk menghasilkannya.". Dengan kata lain, jika seseorang memiliki satu atau lebih kata sandi yang Anda hasilkan, secara komputasi tidak layak baginya untuk mendapatkan kata sandi utama Anda atau menghitung kata sandi Anda yang lain.

pengguna1202136
sumber
4

Hal ini berisiko untuk mempercayai sebuah aplikasi pihak ketiga untuk menyimpan password penting Anda, terutama pada aplikasi yang berpotensi dapat terhubung secara online atau orang yang Anda mengotorisasi mereka untuk mengakses proses-proses dari program lain; dan yang lebih penting untuk mempercayai yang non-open source .

Cara yang lebih aman, menurut saya, adalah menyimpan kata sandi penting Anda dalam file teks (.TXT) dan kemudian mengenkripsi file dengan algoritma AES oleh dsCrypt.exe . Anda diharuskan memasukkan kata sandi utama Anda ke dalam dsCrypt hanya sekali dan Anda akan dapat mengenkripsi / mendekripsi file teks kata sandi Anda berkali-kali tanpa meminta Anda memasukkan kembali kata sandi utama setiap kali selama dsCrypt berjalan. Anda dapat menjalankan dsCrypt secara otomatis dengan Windows Anda mulai dan memasukkan kata sandi utama Anda satu kali; dan yang Anda butuhkan hanyalah menyeret dan melepaskan file kata sandi Anda (.txt) ke dsCrypt untuk menghapus / mengenkripsi file tersebut saat Anda membutuhkan kata sandi Anda.

DavidDe
sumber
Mengganti dsCrypt dengan PGP / GPG, turunan TrueCrypt, LUKS, dll akan sama baiknya, masih +1
Xen2050
tetapi ada kesalahan dalam jawaban Anda: dsCrypt.exe ADALAH perangkat lunak pihak ketiga :-)! Saya lebih suka mempercayai program open source, yang bisa saya kompilasi ulang, melalui exe
spiritoo
0

Saya merekomendasikan KeePassXC yang merupakan fork komunitas KeePassX , port lintas platform asli KeePass Password Safe , dengan tujuan untuk memperluas dan memperbaikinya dengan fitur baru dan perbaikan bug untuk menyediakan fitur yang kaya, sepenuhnya lintas platform dan open modern. pengelola kata sandi sumber.

Klien ini juga direkomendasikan oleh Surveillance Self-Defense .

Fitur Utama KeePassXC :

  • Penyimpanan kata sandi dan data pribadi lainnya yang aman dengan enkripsi AES, Twofish atau ChaCha20
  • Cross-platform, berjalan di Linux, Windows dan macOS tanpa modifikasi
  • Kompatibilitas format file dengan KeePass2, KeePassX, MacPass, KeeWeb dan banyak lainnya (KDBX 3.1 dan 4.0)
  • Integrasi Agen SSH
  • Ketik-otomatis pada semua platform yang didukung untuk secara otomatis mengisi formulir login
  • File kunci dan dukungan tantangan-respons YubiKey untuk keamanan tambahan
  • Generasi TOTP (termasuk Steam Guard)
  • Impor CSV dari pengelola kata sandi lainnya (mis., LastPass)
  • Antarmuka baris perintah
  • Pembuat kata sandi dan frasa sandi yang berdiri sendiri
  • Pengukur kekuatan kata sandi
  • Ikon khusus untuk entri basis data dan unduhan favicons situs web
  • Fungsionalitas penggabungan basis data
  • Reload otomatis ketika database diubah secara eksternal
  • Integrasi browser dengan KeePassXC-Browser untuk Google Chrome, Chromium, Vivaldi, dan Mozilla Firefox.
  • (Legacy) Dukungan KeePassHTTP untuk digunakan dengan KeePassHTTP-Connector tersedia untuk Mozilla Firefox dan Google Chrome, dan passafari untuk Safari.
simhumileco
sumber
-4

Saya menggunakan file Notepad dan .txt. Jika Anda menginginkan saran saya, saya menyarankan Anda untuk tidak menggunakan sodtware pihak ketiga. Dari mana Anda tahu mereka tidak mencuri kata sandi Anda?
Jadi menggunakan file teks akan menjadi yang terbaik.
Juga jika Anda seorang programmer, saya sarankan Anda untuk membangun yang sederhana untuk diri sendiri yang menggunakan pengodean untuk mengamankan data. Itulah solusi terbaik.

UltraDEVV
sumber
2
Saya akan mengambil risiko bahwa database manajer kata sandi terenkripsi lebih rentan daripada file teks biasa, mengingat yang terakhir akan dipanen oleh bagian malware berikutnya yang melakukan pencarian cepat di komputer saya untuk kata sandi kata .
Peniru Twisty
1
Setidaknya mengenkripsi file teks biasa Anda dengan gpg / pgp atau sesuatu, apa pun , dan kemudian ingat bahwa satu kata sandi
Xen2050