Qual é o sistema de senha online mais seguro?

11

É tão difícil rastrear dezenas de senhas em locais diferentes. A sincronização falha de tempos em tempos e você acaba com a síndrome de prevenção de correção de colisão.

Existe uma única fonte de armazenamento seguro, online e comercial de senhas em algum lugar? Um que estará disponível nos próximos anos e que seja verdadeiramente seguro o suficiente para garantir proteção?

Darian Miller
fonte
1
Você quer dizer mais seguro ou aquele que causa a menor quantidade de problemas?
23909 ojblass
Online == não disponível às vezes quando você precisar. Atenha-se a um PDA ou algo assim.
womble
'Online = não disponível' é provavelmente um problema menor do que depender de um PDA para estar disponível. (Eu simplesmente não consigo ter o hábito de carregar um.)
Darian Miller
Que tal o Online == reproduzível com um pouco de memória e um computador? (ou seja, um hash ou duas palavras-passe com os domínios das contas pertence a)
reconbot

Respostas:

11

Use o keypass e armazene o banco de dados no gmail, malha ao vivo ou em qualquer solução de armazenamento de arquivos on-line que você desejar. Em seguida, você sempre pode obter uma cópia dele, desde que tenha acesso ao keypass, que pode estar em uma unidade flash e em uma conexão com a Internet.

Jared
fonte
Esta é a solução em que estou trabalhando agora e fiquei pensando se há algo melhor.
Darian Miller
(+1 agora ... vai ser a resposta se não houver outras idéias pop-up) Thanks
Darian Miller
4

Se você realmente usa um modelo on-line, alguns de meus colegas de trabalho usam o Passpack , e eles ficam muito felizes com isso. Não posso dizer sim ou não, porque não o uso, mas parece bem seguro.

RascalKing
fonte
+1 Obrigado. Eu já vi isso há algum tempo e ele despertou meu interesse, mas nunca me senti confortável o suficiente para "acionar o gatilho" e carregar todas as senhas em um serviço gratuito.
Darian Miller
4

Eu achei o LastPass um ótimo gerenciador de senhas para minhas senhas pessoais. Confira a lista de recursos .

Ainda estou em busca do melhor (ainda que acessível) gerenciador de senhas da empresa .

Nathan Hartley
fonte
1
Como está essa decisão dois anos depois?
Jllugger #
Ainda felizmente usando o LastPass para meu gerenciador de informações pessoais seguras. Senti-me ainda melhor depois que Steve Gibson deu sua aprovação ( twit.tv/sn256 ). Infelizmente, nenhum movimento (internamente) na solução da empresa ....
Nathan Hartley
1
O LastPass tem uma versão corporativa agora. Não faço ideia de como é (mas estou analisando em breve, poderíamos usar isso).
Ronald Pottol
3

Eu não usaria um online. Eu usaria (e faço) o KeePass . Em uma nota lateral, você pode verificar a força bruta de suas senhas aqui

Jim B
fonte
1
O +1 KeePass é bom, embora não seja tão conveniente quanto algo como o KWallet ou o gerenciador de senhas incorporado do Firefox ... mas concordo plenamente com o ponto de que as senhas devem ser mantidas local e privadamente, não armazenadas em um site (a menos que você tenha criado o site) código de si mesmo e está hospedando-o em seu próprio servidor que ninguém mais tem acesso)
David Z
ele pediu um serviço "online".
cd1
O Keepass, em conjunto com a malha ativa ou outro armazenamento online, como sugeriu Jared, é uma opção. Eu não usei o KeePass, mas vou dar uma olhada. (Eu uso a carteira eletrônica há anos.) Obrigado.
Darian Miller
@ cd1- Sei que Darian estava pedindo um serviço on-line, mas não posso recuperar a consciência de ninguém armazenar senhas em algo sobre o qual não têm controle físico. Todas as perguntas de tipo de TI (sem solução de problemas) devem ser (IMHO) avaliadas com o pensamento de que, mesmo que possível, é a melhor solução para o objetivo pretendido. Suponho que a resposta poderia ter sido apenas "Não", mas isso não teria sido muito informativo.
Jim B
3

Bruce Schneier tem o Password Safe, que é seguro o suficiente para que Bruce Schneier endossa, se você se importa. Pode ser apenas o Windows. http://www.schneier.com/passsafe.html

thepocketwade
fonte
1
Há uma versão java disponível para download que deve funcionar em qualquer lugar. Eu mantenho uma cópia na minha chave USB.
pgs
Eu mantenho uma cópia minha na minha conta do dropbox.
21420 rebot
1

Eu também não recomendaria o uso de um serviço online. Você não tem garantia de que seus dados não estejam acessíveis a outras pessoas. Se você estiver em um sistema Linux, tente o Revelation , simples e direto

katriel
fonte
1

Dê uma olhada no Yubikey de Yubico; parece que pode ser o que você está procurando. Um Yubikey conectado a um MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Sua configuração padrão (ou seja, projetada) deve ser usada como um bloco único para autenticação on-line de dois fatores, mas também possui um modo de "senha estática" que produzirá (o mesmo) 64 caracteres pseudo-aleatórios quando um pouco um círculo capacitivo verde é tocado. Funciona como um teclado USB, por isso é universal e funciona até offline. A senha estática da sequência aleatória pode ser alterada a qualquer momento.

Um pouco mais de 30 $ e chega em um envelope regular de 30 gramas (que eu achei muito legal para ser verdade) e em pouco tempo.

Honestamente, todos os truques para manter um arquivo criptografado em uma chave USB são ao mesmo tempo um enorme aborrecimento e, principalmente, desnecessários. Tudo o que você precisa é de uma senha com entropia razoável que você não possa adivinhar com facilidade ou força bruta. Digite Yubikey.

Estou desenvolvendo alguns aplicativos de autenticação online OTP com sua API; é bem legal, na verdade. Também posso garantir sua resistência física.

Esclarecimento : ofereci isso como uma alternativa ao armazenamento de senhas on-line, principalmente porque é baseado em API e pode ser usado on-line. No entanto, também pode funcionar como um substituto para várias senhas, se você se sentir confortável com isso.

msanford
fonte
2
As YubiKeys são ótimas, mas você ainda precisa de um servidor de autenticação e de um aplicativo útil que converse com o servidor de autenticação para que ele faça algo de valor.
22415 Nathan Hartley
1
+1 @nathan isso é verdade, infelizmente, embora você tenha uma senha longa, pelo menos, o que é bom.
msanford
1
Há muito tempo que pretendo brincar com um, acabei de pedir um graças a você.
11009 reconbot
@wizard, pena que eles não têm um programa de referência ^ _ ^ Realmente, acho que você vai gostar do Yubikey 2. Vou pedir um em breve para testá-lo.
17289 msanford
1

SuperGenPass pode ser sua resposta. Ele não armazena nada, pode ser usado em qualquer navegador, sem necessidade de contas. Ele funciona com hash de uma senha "principal" nos dois níveis principais do domínio. Conversei com o criador, ele é um cara amigável.

Do site deles:

SuperGenPass é um tipo diferente de gerenciador de senhas. Em vez de armazenar suas senhas no disco rígido ou online - onde são vulneráveis ​​a roubo e perda de dados - o SuperGenPass usa um algoritmo de hash para transformar uma senha mestra em senhas complexas e exclusivas dos sites que você visita. Não há software para instalar: o SuperGenPass é um bookmarklet e roda diretamente no seu navegador da Web. E como nunca armazena ou transmite suas senhas, é ideal para uso em vários computadores públicos. Também é totalmente gratuito.

Sendo javascript, ele recebeu muitas revisões de código. Ele possui um bookmarklet que funcionou perfeitamente em 99% dos sites em que eu experimentei; e, ocasionalmente, não é possível, você pode facilmente usar a versão móvel e copiar e colar.

reconectar
fonte
1

1Password é ótimo (mas, se você é um usuário de Mac, pode ficar bem com apenas um chaveiro)

monomito
fonte
1

Quanto mais simples o sistema, melhor.

Considere um sistema de senha que consiste em:

  1. uma senha mestre forte
  2. um ID exclusivo para cada site

Portanto, considerando que sua senha mestra é muito longa, rápida de digitar e não é encontrada em nenhum dicionário (por exemplo, Very12% Long91! Password86 # EasilyTyped), a senha usada em example.com seria um hash de Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Existem extensões do navegador que podem ajudá-lo com isso. É um pouco chato usar esse sistema em sistemas que não são da Web que não se lembram de senhas e você precisa inventar um esquema, caso alguém faça com que você altere as senhas de vez em quando.

Obviamente, você só pode inserir sua senha mestra em terminais confiáveis.

Alex Holst
fonte
Parece-me que o uso de hashes de senha iria reduzir muito o 'espaço' senha ...
S19N
Como você imagina?
21412 Alex Holst
0

Também gosto e uso o KeePass - a versão gratuita.

Jordan W.
fonte
0

Arquivo de texto criptografado Gpg armazenado no controle de versão. Use alguns scripts para descriptografar / criptografar o arquivo, conforme desejado. Você controla a disponibilidade do arquivo, pode usar o controle de versão distribuído para ainda ter acesso quando estiver offline, e quanto tempo ele estará disponível é determinado por você (por exemplo, é fácil alternar para sistemas diferentes, se necessário). O Gpg também tem a vantagem de poder criptografar para vários destinatários, permitindo que mais de uma pessoa visualize o arquivo de senha. Criptografe arquivos diferentes para destinatários diferentes para limitar quem pode acessar credenciais para um determinado grupo.

Marca
fonte
0

Esta não é uma resposta à sua pergunta, mas é relacionado - os executivos da Twitter só tinha sua Google contas arrombado , expondo um monte de informações confidenciais sobre a empresa.

Suponho que o Twitter seja um alvo muito maior do que você, de modo que certamente teve algo a ver com a invasão. Também não acho que esse incidente exclua completamente a computação em nuvem. No entanto, QUALQUER serviço de senha on-line é um grande alvo. As senhas são importantes demais para serem armazenadas online.

Carl C
fonte
0

Eu hesitaria em armazenar minhas informações confidenciais com uma empresa externa. Você já pensou em implementar um produto baseado na Web; você pode torná-lo voltado para o exterior, se desejar, tornando-o acessível de qualquer lugar.


fonte