Questão Como faço para armazenar e gerenciar com segurança 180 senhas?


Eu tenho cerca de 180 senhas para diferentes sites e serviços da web. Eles são todos armazenados em um único documento Excel protegido por senha. À medida que a lista fica mais longa, estou cada vez mais preocupado com sua segurança.

Quão seguro, ou devo dizer inseguro, é um documento Excel protegido por senha? Qual é a melhor prática para armazenar tantas senhas de maneira segura e fácil?

Acho que o método Excel é bastante fácil, mas estou preocupado com o aspecto da segurança.


146


origem


Produto comercial como o CyberArk atende às suas necessidades. - Ivan Chau


Respostas:


Minha ferramenta de armazenamento de senhas favorita é KeePass:

enter image description here

O que é o KeePass?

Hoje você precisa se lembrar de muitas senhas. Você precisa de uma senha para o logon de rede do Windows, sua conta de e-mail, a senha de FTP do seu site, senhas online (como a conta de membro do site), etc. etc. etc. A lista é interminável. Além disso, você deve usar senhas diferentes para cada conta. Porque se você usar apenas uma senha em todos os lugares e alguém conseguir essa senha, você tem um problema ... Um problema sério. O ladrão teria acesso à sua conta de e-mail, site, etc. Inimaginável.

O KeePass é um gerenciador de senhas gratuito e de código aberto, que ajuda você a gerenciar suas senhas de maneira segura. Você pode colocar todas as suas senhas em um banco de dados, que é bloqueado com uma chave mestra ou um arquivo de chave. Portanto, você só precisa lembrar de uma única senha mestra ou selecionar o arquivo-chave para desbloquear todo o banco de dados. Os bancos de dados são criptografados usando os melhores e mais seguros algoritmos de criptografia atualmente conhecidos (AES e Twofish). Para mais informações, consulte o página de recursos.


Existe algum limite para quantas senhas você pode armazenar nele?

Apenas em teoria. Você pode colocar quantas entradas quiser no banco de dados, mas em algum momento a sua chave USB ou HDD ficará cheia.

Existe uma maneira de sincronizar automaticamente as senhas alteradas?

Não, não é como você espera.
Você vai querer fazer disso um processo manual e regular. Isso não pode e não deveria ser automatizado.

Eu gosto de configurar datas de validade para todas as minhas entradas de senha: enter image description here
Então eu lembro de mudar minhas senhas regularmente. Eu armazeno a URL do site com a entrada de senha, por isso é um processo rápido.

Posso fazer logon automaticamente em um site como o Facebook usando este software?

Não, não automaticamente ou (pelo menos para o meu conhecimento). Mas isso é onde Auto-Type entra em jogo. Por exemplo, para o Facebook, esta é minha configuração de tipo automático:

enter image description here

Como você pode ver, criei três configurações para diferentes títulos de navegadores. Isso me permite simplesmente ir para facebook.com, pressione Ctrl+Alt+UMA, e o nome de usuário e senha serão inseridos automaticamente e eu vou estar logado.

Se você tiver várias combinações de nome de usuário / senha para o mesmo título da janela, você terá uma janela pop-up perguntando qual entrada de senha deve ser usada.

E quanto ao celular?

Existem aplicativos que suportam o formato de contêiner KeePass em dispositivos móveis. Mas eu fico longe disso. Eu só não gosto do pensamento do meu banco de dados KeePass no meu celular.

Eu prefiro apenas transferir senhas únicas usando o Gerador de Código QR plugar. Ele permite gerar um Código QR de uma senha, que você pode digitalizar com o seu telefone. Isso ajuda a ter um aplicativo que pode copiar o conteúdo digitalizado para a área de transferência.

enter image description here


207



Se você colocá-lo no Dropbox, você pode abri-lo em qualquer lugar (há uma versão portátil), mesmo em seu telefone. Além disso, pode ser importado para o Lastpass. Ótima escolha - Ivo Flipse♦
@ Oliver Esta parece ser apenas a ferramenta que eu preciso. Eu definitivamente vou tentar. O recurso de data de expiração é doce! E o tipo automático é bastante simples. Entendo que alguns sites podem exigir que você confirme uma alteração de senha clicando em um link que eles enviam por e-mail, portanto, por esse motivo, qualquer recurso de auto-sincronização é como imaginei que não conseguiria sincronizar e atualizar automaticamente a senha. É uma vantagem que isso funciona em outros sistemas operacionais que apenas o Windows. Danke Oli! ;) - Samir
Se você deseja segurança adicional para usar no Dropbox, use um arquivo de chave junto com uma senha e copie-o manualmente para qualquer computador ou dispositivo que você queira ter acesso às suas senhas (não armazene a chave no Dropbox). AFAIK isso só funciona com dispositivos iOS Android e enraizados, já que você precisa acessar o sistema de arquivos, mas sem o arquivo de chave, o arquivo de senhas é praticamente imperceptível. - Chad Levy
Note que o KeePass 2 é apenas para Windows (pelo menos, os livres interpretadores Mono no Linux rodam muito mal). Existe um clone antigo do KeePass 1 chamado KeePassX que eu uso no Mac e Linux e funciona muito bem. - Reid
@Reid: Pela minha experiência, o KeePass2 funciona bem no Mono; é apenas feio, e isso é uma coisa Mono vs .NET. - grawity


Parece haver vários fáceis de usar crackers de senha do Excel ao redor.

Eu usaria um sistema de gerenciamento de senha como 1password ou Última passagem que trabalham em vários sistemas operacionais, incluindo celulares.

Estes têm plugins para a maioria dos navegadores que podem preencher senhas e outras informações para o formulário web. 1password também pode configurar um marcador no navegador que fará login automaticamente (todos os usos do aplicativo exigem o uso de uma senha mestra primeiro)

1password também pode armazenar notas, conta (por exemplo, e-mail, ftp) e modelos para ajudar a armazenar cartão de crédito, conta bancária e outras informações. Embora seja comercial, você pode obter uma demonstração gratuita que permite a entrada de até 20 itens.

Uma diferença entre os dois é que 1password apenas armazena os dados localmente (embora você possa sincronizar os dados criptografados usando dropbox ou similar), Lastpass pode (deve? Alguém por favor corrija isto) armazenar os dados em seu web site que permite acesso web ao dados e sem necessidade de dropbox etc.


68



Senhas do Excel são muito fáceis de quebrar. Cracker de senha do Google Excel e você verá muitas opções. +1 para Lastpass. Eu costumava usar o Roboform, mas gostava mais do Lastpass porque é cross-platform. Eu uso seu gerador de senha para randomizar senhas. - Kendor
+1 para o LastPass - É lamentável que a resposta com todas as boas formatações e imagens seja para o KeePass, já que o LastPass é muito superior: ele faz tudo o que o KeePass faz, mas também plugins para todos os principais navegadores, sistemas operacionais e plataformas móveis. Também armazena dados on-line para que você nunca precise se preocupar em perdê-los (e armazena em cache localmente, para que você nunca precise se preocupar com a queda de seus servidores), mas criptografa tudo usando o TNO (não confie em ninguém), então o LastPass nunca pode realmente ver suas senhas. Existem muito poucos programas que eu já chamei absolutamente perfeito, mas o LastPass é um deles. - BlueRaja - Danny Pflughoeft
O LastPass agora também suporta a autenticação de dois fatores via Android / iPhones agora, o que significa que alguém precisaria primeiro roubar seu telefone para iniciar seu aplicativo Authenticator (que gera um código aleatório a cada 30 segundos) para acessar suas senhas. - glenneroo
@ Sammy: Sim, a maioria dos recursos são livres para sempre. o apenas recursos que você precisa pagar são os aplicativos móveis e a autenticação multifator, que exigem uma "conta premium" (US $ 12 / ano). O autor não está tentando ficar rico com o programa - eu não uso os recursos premium, mas ainda pago por uma conta premium para mostrar minha gratidão. Eu costumo apenas doar para projetos open-source, então isso te diz algo :) - BlueRaja - Danny Pflughoeft
O LastPass é conveniente, mas é principalmente de código fechado e adquirido pela LogMeIn. Os servidores do LastPass foram violados (pelo menos parcialmente) várias vezes e o cliente permitiu "ler senhas em texto simples para domínios arbitrários de um cofre do usuário do LastPass quando esse usuário visitou um site mal-intencionado"e atualmente (mar2017)"o binário LastPass ... permite que sites maliciosos executem códigos de sua escolha. Mesmo quando o binário não está presente ... permite que sites maliciosos roubem senhas do cofre LastPass protegido" Vejo en.wikipedia.org/wiki/LastPass#Security_issues para referências - Xen2050


Eu tenho usado Última passagem por um tempo agora e recomendo muito. Ele tem alguns plugins de navegador maravilhosos e um monte de recursos que facilitam ter senhas mais seguras.

O plug-in do navegador preencherá automaticamente as informações de login (quando conectado ao plug-in). Ele também tem uma função de exportação, para que você possa recuperar seu banco de dados e importá-lo KeePass por exemplo. Ele também usa autenticação em duas etapas para segurança extra.

Cliente de desktop:

desktop client

Plugin do navegador:

browser plugin


49



@PITaylor Obrigado! Eu definitivamente testarei o LastPass. Mas por enquanto vou dar mais tempo ao KeePass para avaliá-lo. - Samir
A grande razão pela qual eu gosto do LastPass é porque é fácil compartilhar um conjunto de senhas em vários computadores facilmente e você sempre pode acessar seus passes em um computador aleatório através da interface da web. - PlTaylor
Eu uso lastpass, no entanto, existem duas desvantagens. 1) O servidor pode ficar inoperante (questões técnicas, ou a empresa sai do negócio, etc) 2) Algumas empresas não permitem, já que você está enviando informações de passadas para fora da empresa. - Keltari
O LastPass é conveniente, mas é principalmente de código fechado e adquirido pela LogMeIn. Os servidores do LastPass foram violados (pelo menos parcialmente) várias vezes e o cliente permitiu "ler senhas em texto simples para domínios arbitrários de um cofre do usuário do LastPass quando esse usuário visitou um site mal-intencionado"e atualmente (mar2017)"o binário LastPass ... permite que sites maliciosos executem códigos de sua escolha. Mesmo quando o binário não está presente ... permite que sites maliciosos roubem senhas do cofre LastPass protegido" Vejo en.wikipedia.org/wiki/LastPass#Security_issues para referências - Xen2050
Vou deixar esse link aqui, porque o Sr. Hunt diz que é melhor do que eu. troyhunt.com/… - PlTaylor


Senha Hasher plugin (para o Firefox) é o que eu pessoalmente uso.

Como Password Hasher ajuda:

  • Gera automaticamente senhas fortes.
  • Uma chave mestra produz senhas diferentes em muitos sites.
  • Atualize rapidamente as senhas "colidindo" a tag do site.
  • Atualize uma chave mestra sem atualizar todos os sites de uma só vez.
  • Suporta diferentes senhas de comprimento.
  • Suporta requisitos especiais, como dígitos e pontuação.
  • Suporta a restrição de uma palavra hash para não usar caracteres especiais. (Novo!)
  • Salva todos os dados no banco de dados de senha segura do navegador.
  • Gera uma página HTML portátil com as tags do seu site e configurações de opção que permitem gerar suas palavras hash em qualquer navegador   qualquer máquina sem a extensão instalada. (Novo!)
  • Pode adicionar botões de marcador para desmascarar senhas em qualquer site. (Novo!)
  • Extremamente simples de usar!

enter image description here


10



Eles devem ser armazenados em algum lugar ou então eles seriam esquecidos - Mark
Existem também portas para o Chrome. - rishimaharaj
Por @kutschkem: Não, as senhas não precisam ser armazenadas em algum lugar. O que o plugin provavelmente faz (pelo menos é assim que eu faço), é fazer o hash da concatenação da tag do site e da senha mestra, o que resultará em uma senha diferente (e supostamente forte) para cada site (sem armazenar nada , Vejo?). É claro que sua senha mestra ainda precisa ser forte. A vantagem é que não só cada senha será diferente, elas serão muito diferentes (pelo menos se a função de hashing for boa). - Der Hochstapler
Há também uma porta para o IEescrito por uma pessoa muito bonita - BlueRaja - Danny Pflughoeft
@ Mateus: Isso é verdade cada solução de armazenamento de senha ... - BlueRaja - Danny Pflughoeft


Eu pessoalmente uso PasswordMakerpara gerar senhas de uma senha mestra e o URL do site. O projeto é bastante maduro, de código aberto e estável. Está disponível para o Firefox (como uma extensão), Linux CLI, Android etc.

Como funciona:

Aviso - jargão técnico nesta seção! Tu forneces   PasswordMaker dois pedaços de informação: uma "senha mestra" - que   uma senha única que você gosta - e a URL do site que exige   uma senha. Através da mágica de algoritmos hash unidirecionais,   O PasswordMaker calcula um resumo de mensagens, também conhecido como   impressão digital, que pode ser usada como sua senha para o site.   Embora os algoritmos hash unidirecionais possuam um número interessante de   características, o capitalizado pelo PasswordMaker é que o   impressão digital resultante (senha) "não revela nada sobre o   entrada que foi usada para gerá-lo. ". Em outras palavras, se alguém tiver   uma ou mais de suas senhas geradas, é computacionalmente   inviável para ele obter sua senha mestra ou calcular sua   outras senhas. Computacionalmente inviável significa até mesmo computadores como   isso não vai ajudar!


9





Isto é arriscado confiar uma aplicação de terceiros armazenar suas senhas importantes, especialmente aquelas que são potencialmente capaz de se conectar online ou aqueles que você autoriza a acessar os processos de outro programa; e mais importante confiar fonte não aberta uns.

Uma maneira mais segura, na minha opinião, é armazenar suas senhas importantes em um arquivo de texto (.TXT) e, em seguida, criptografe o arquivo com Algoritmo AES de dsCrypt.exe. Você é obrigado a digitar sua senha principal no dsCrypt apenas uma vez e você será capaz de criptografar / descriptografar seu arquivo de texto de senha muitas vezes sem pedir que você insira novamente a senha principal sempre que o dsCrypt estiver em execução. Você pode executar automaticamente o dsCrypt com o seu Windows iniciar e digitar sua senha principal uma vez; e o que você precisa então é só arraste e solte seu arquivo de senha (.txt) no dsCrypt para criptografá-lo quando você precisa suas senhas.


4



Substituir dsCrypt por PGP / GPG, derivados TrueCrypt, LUKS, etc seria tão bom, ainda assim +1 - Xen2050
mas há uma falha na sua resposta: dsCrypt.exe É um software de terceiros :-)! Eu prefiro confiar em um programa de código aberto, que eu posso recompilar, em um exe - spiritoo


Eu recomendo KeePassXC que é uma comunidade garfo de KeePassX, uma porta nativa interplataforma de KeePass Password Safe, com o objetivo de ampliá-lo e aprimorá-lo com novos recursos e correções de bugs para fornecer um gerenciador de senhas de código-fonte aberto, repleto de recursos, totalmente multi-plataforma e moderno.

Este cliente também é recomendado por Autodefesa de Vigilância.

Principais características KeePassXC:

  • Armazenamento seguro de senhas e outros dados privados com criptografia AES, Twofish ou ChaCha20
  • Plataforma cruzada, executado em Linux, Windows e MacOS sem modificações
  • Compatibilidade de formato de arquivo com KeePass2, KeePassX, MacPass, KeeWeb e muitos outros (KDBX 3.1 e 4.0)
  • Integração do Agente SSH
  • Auto-Type em todas as plataformas suportadas para preenchimento automático de formulários de login
  • Suporte de desafio-resposta de arquivo de chave e YubiKey para segurança adicional
  • Geração TOTP (incluindo o Steam Guard)
  • Importação de CSV de outros gerenciadores de senha (por exemplo, LastPass)
  • Interface da Linha de comando
  • Senha autônoma e gerador de frase secreta
  • Medidor de força da senha
  • Ícones personalizados para entradas de banco de dados e download de favicons site
  • Funcionalidade de mesclagem de banco de dados
  • Recarregamento automático quando o banco de dados foi alterado externamente
  • Integração do navegador com o KeePassXC-Browser para o Google Chrome, Chromium, Vivaldi e Mozilla Firefox.
  • Suporte a KeePassHTTP (Legacy) para uso com o KeePassHTTP-Connector disponível para o Mozilla Firefox e o Google Chrome e o passafari para o Safari.

0





Eu uso o bloco de notas e arquivos .txt. Se você quer meu conselho, aconselho que você não use um software de terceiros. De onde você sabe que eles não estão roubando suas senhas?
Então, usar arquivos de texto seria o melhor.
Além disso, se você for um programador, sugiro que você crie um simples para você mesmo que use codificação para proteger os dados. Essa é a melhor solução.


-4



Eu vou me arriscar que o banco de dados do gerenciador de senhas criptografadas é mais vulnerável do que o arquivo de texto simples, visto que o último será colhido pelo próximo malware que faz a pesquisa rápida do meu computador pela palavra senha. - Twisty Impersonator
Pelo menos criptografe seu arquivo de texto sem formatação com gpg / pgp ou algo assim, qualquer coisae, em seguida, lembre-se de que uma senha - Xen2050