LINUX.ORG.RU

Где храним свои пароли (и как их создаем)?

 , , , ,


1

1

Всем привет! Очень интересно, где местные киборги хранят свои пароли! И конечно чем их генерят (головой, программой, может чем еще). Тема серьезная и вопрос возник неспроста. Как правило, пароли по старинке мастерю сам - длинные, смесь букв, цифр и символов. Мне всегда казалось, что человек существо креативное, и хороший пароль смастерить дело нехитрое. Получалось придумывать долго, но в итоге на вид очень сложно и стойко, прям как генератор случайных паролей, хотя такими прогами никогда не пользовался, я им не доверяю. И хранил я эти пароли на обычной флешке в текстовом файле.

Но вот наступили тяжелые времена. Мне понадобилось больше паролей. Еще длиннее, еще сложнее, еще дофига! И вот мне стало немного влом придумывать собственные пароли, ведь кол-во времени просто зашкаливает, а еще есть вероятность, что мозг решит вспомнить кусок старого пароля и вставить в новый пароль, и все это контролировать очень сложно...

Почитав на сайтах обзоры разных программ генерации паролей я понял, что тема довольно-таки серьезная, на плечи пользователя ложится серьезная ответственность. А как иначе, когда речь идет о безопасности твоих данных!

Конечно абсолютно ясно, что:

1. Это должно быть OpenSource ПО.

2. Никаких облаков и выхода в сеть, только локально.

3. Программа, по возможности, должна комбинировать несколько алгоритмов генерации случайных данных, т.к. какой-то один конкретный алгоритм может быть скомпрометирован или просто малоэффективен.

4. Программа, по возможности, должна хранить пароли в зашифрованном виде, по возможности несколько слоев шифрования. Но здесь я не знаю, на сколько нужен этот момент лично мне, и какие здесь конкретно плюсы по сравнению с хранением в текстовом файле на флешке. Ведь так же понятно, что если что-то пойдет не так, то расшифровать это дело невозможно, и все пароли считай потеряны. Так же непонятно, какой алгоритм шифрования лучше выбирать, если программа поддерживает шифрование паролей.

5. Почитав ЛОР и прочие сайты я так понял, что существует только 2 хороших программы - KeePass и KeePassX, который является ее форком. Может ли кто-то объяснить, в чем их принципиальное отличии, помимо ЯП, является ли последняя более совершенной в плане генерации и безопасного хранения паролей?

Очень хотелось бы послушать комментарии специалистов в области безопасности, насколько это тупо - генерить пароли в голове, действительно ли KeePass(X) это лучшее ПО, которое есть для этих целей, и были ли прецеденты с этим ПО, можно ли его взломать, скомпрометировать, можно ли поиметь с ним каких-то проблем, которые никогда не поимеешь, если делать все по старинке? Вобщем какие подводные камни обоих методик?

в голове

простыню не читал

Harald ★★★★★ ()

Приклеиваю стикеры, пару десятков рандомно-буквенно-цифровых 20-30 значных помню, но важно отдавать себе отчёт, что если их не вводить пару лет, они прекрасно забудутся, поэтому стикеры лучше.

anonymous ()
Ответ на: комментарий от Vsevolod-linuxoid

Это он?

https://habrahabr.ru/post/124571/

Я так понимаю KeePass(X) так не может?

Основное его достоинство — возможность генерации паролей с энтропией. Т.е. случайность пароля напрямую зависит от того, как вы будете перемещать мышь и какие кнопки на клавиатуре при этом нажмете.

И это делает pwgen царем рандомных паролей?

i-want-a-fix ()
Ответ на: комментарий от i-want-a-fix

Вообще в основном где-нибудь на холодильнике, в зоне видимости они мешаются. Правильные стикеры содержат некоторую часть парольной фразы и намёк на то, для чего она предназначена. Посторонний человек никогда не поймёт.

anonymous ()

KeePass(X) — говно². Использую kpcli с базой формата KeePass 2. Пароли извлекаю из /dev/urandom с помощью head и base64. Давно хочу перейти на pass, но нет особой мотивации.

anonymous ()
Ответ на: комментарий от ChALkeR

Возможно сделать так, что найти можно только перебором неопределённой последовательности семислучайных символов в произвольном месте парольной фразы, догадаться просто невозможно в принципе.

anonymous ()
Ответ на: комментарий от anonymous

KeePass(X) — говно².

Чем аргументируешь?

Пароли извлекаю из /dev/urandom с помощью head и base64.

Что скажет общественность? Это лучше/хуже, чем pwgen?

Использую kpcli с базой формата KeePass 2.

Если генеришь в /dev/urandom, то в KeePass 2 хранишь? Так чем оно лучше KeePassX?

i-want-a-fix ()
Ответ на: комментарий от Vsevolod-linuxoid

Это я понял, там онлайн-сервис на основе этой программки. Но пароли в pwgen более рандомные выходит, чем в KeePass(X)? Есть ли какие-то исследования этих 2х программ, может какие-то сравнительные обзоры?

i-want-a-fix ()
Ответ на: комментарий от i-want-a-fix

Чем аргументируешь?

KeePassX написано на Qt и вечно в не пойми каком состоянии. KeePass… Mono с виндовыми квадратными серыми формами.

Это лучше/хуже, чем pwgen?

Лучше используй pwgen. Я просто так привык. На работе вообще использую apg.

Если генеришь в /dev/urandom, то в KeePass 2 хранишь? Так чем оно лучше KeePassX?

*База* в формате 2.0. Программа называется kpcli.

anonymous ()

В KeepAss (тот что на mono (без «x»)). Простыню не читал.

alozovskoy ★★★★★ ()

генерю с помощью makepasswd

anonymous ()

неужели кому-то может быть не очеведно, что...

...если человек использует keepass(x) [или любую другую популярную «мега-безопасную» программулину для хранения паролей] — то злоумышленник просто-насвсего лишь заиспользует ПО, которое *автоматизированно* крадёт ваш пароль (из известного-на-100% файла) , и *автоматизированно* крадёт пароль от этого хранилища паролей..

ну продолжайте и дальше использовать САМЫЕ ЛУЧШИЕ утилиты для хранения паролей. желаю удачи (сарказм:)).

это же ведь самые безопасные программы, ТЫСЯЧИ хабравчан не могут ошибаться!.. лол!!

очередной злоумылшенник просто взломат пару дюжин сотен пользователей линукса через очередную zero-дыру в браузере — и не напряжётся по поводу того что именно красть со взломанного компьютера

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 3)

Вот я смотрю многие хранят пароли в KeePass(X). Но кто из вас проверял его исходный код? Нет ли там модулей, работающих с сетью? В иных десктопных программах я бы сказал «Хорошо, OpenSource, я вам верю ребята!», но когда речь заходит о создании и хранении паролей... вот кто реально из ЛОРовцев смотрел исходный код последних версий? Я бы и сам посмотрел, но я не программист.

i-want-a-fix ()
Ответ на: неужели кому-то может быть не очеведно, что... от user_id_68054

...если человек использует keepass(x) [или любую другую популярную «мега-безопасную» программулину для хранения паролей] — то злоумышленник просто-насвсего лишь заиспользует ПО, которое *автоматизированно* крадёт ваш пароль (из известного-на-100% файла) , и *автоматизированно* крадёт пароль от этого хранилища паролей..

Очень здравые мысли, молодой человек! OpenSource это очень хорошо, но ведь и правда если известно местонахождение таких конфигурационных файлов, то их взлом может быть потенциально проще, чем даже незашифрованный текстовый файл, а тем более файл на флешке. Хм, вот и первый серьезный аргумент против KeePass(X).

i-want-a-fix ()
Ответ на: комментарий от Vsevolod-linuxoid

А где можно почитать, на чем основан этот «чистый рандом» в pwgen? Сколько алгоритмов используется (или один?) и каких, в какой последовательности и т.п.

i-want-a-fix ()
Ответ на: комментарий от i-want-a-fix

вот поидее и простой текстовый файл тоже (якобы) легко распарсить на наличие паролей (распарсить все тектовые файлы в системе, и распарсивать все вставляемые носители)..

..точнее говоря распарсить не на пароли — а распарсить на что-то похожее на пароль :-) , с определённой вероятностью . [искать все файлы со словом pass и что-то типа того, и что-то оттуда вырезать, как-то]

но в этом случае злоумышленнику будет не так просто сделать это именно *автоматизированно*.

и вот главное злоумылшеннику задачка: а какой смысл ему напрягаться с «искуственным интеллектом», который будет непонятно что искать на жёстком диске (или где-то-там) — и потом отсылать это в непонятном виде (с кучей ложных срабатываний)...

...если намного проще доить тех пользователей, у кого типовая схема хранения паролей, в типовой «самой лучшей» программе :-)

получется что выходит так: чем болше пользователей используют типовые (самые лучшие) программы — тем более безопасно будет всем остальным пользователям :-) , кто не использует их

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

Получется так.

Значит выходит, что все-равно надо использовать pwgen, т.к.:

1. Невозможно создавать большое кол-во длинных стойких паролей руками. Это очень долго.

2. Невозможно оперативно «обновить» эти пароли, если есть подозрение на взлом, или какой-то конкретный сайт или сервис, которым ты пользовался, был скомпрометирован, и надо быстро пароль поменять. Или может поменять десятки паролей на своих серверах. Это тоже время.

Значит в любом случае для больших серьезных паролей нужна программа генерации.

Но что касается хранения, значит нужно брать это дело на себя...

i-want-a-fix ()
Ответ на: неужели кому-то может быть не очеведно, что... от user_id_68054

очередной злоумылшенник просто взломат пару дюжин сотен пользователей линукса через очередную zero-дыру в браузере — и не напряжётся по поводу того что именно красть со взломанного компьютера

Ну, security through obscurity решает, да. Главное файлики по хитрому назвать. А то что в системе годами может чей-то код запущенный висеть - это так, мелочь.

Я к тому, что это, таки, другая проблема, с изоляцией в линуксах всё не очень. Может, с SELinux лучше, не знаю.

FedyaPryanichkov ★★ ()
Последнее исправление: FedyaPryanichkov (всего исправлений: 1)
Ответ на: комментарий от i-want-a-fix

Я. Элементарно за вечер обзора кода. Нет там сети. И автор принципиален, поэтому никаких версий с «бесплатно и без СМС» ждать не приходится. KeepassX рулит. Храню в Dropbox - aes256 доверяю.

Меняю мастер-пароль раз в год, и финансовые пароли так же в это время. Генерю 20 символов

Deleted ()

А меня вот больше интересует, как пользователи менеджеров паролей работают с несколькими устройствами. Вот сгенерирую я пароль для сайта в такой программулине на домашнем ноуте с линуксом, а потом захочу зайти на этот сайт с айфона или с рабочего компа с виндой. Что делать?

eugeno ★★★★★ ()
Ответ на: комментарий от eugeno

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке, и имеют версии приложения для разных систем.

Например в экосистеме apple с этим все очень хорошо и из коробки.

staseg ★★★★★ ()
Последнее исправление: staseg (всего исправлений: 1)
Ответ на: комментарий от staseg

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке, и имеют версии приложения для разных систем.

Но не везде ты будешь и можешь устанавливать менеджер паролей. На работе например часто ограничения на установку неавторизованных приложений. Разве что через веб-интерфейс как-то можно.

Например в экосистеме apple с этим все очень хорошо и из коробки.

Знаю, но по вышеописанной причине не пользуюсь. Можно конечно каждый раз лезть в айфон и считывать оттуда пароль, но это жутко неудобно.

eugeno ★★★★★ ()
Ответ на: комментарий от eugeno

Программа дома, программа на флешке, плагин синхронизации и файл в облачном хранилище. Синхронизация при открытии и сохранении изменений.

Radjah ★★★★★ ()

По старинке. В голове и в зашифрованных контейнерах, а там в текстовых файлах.

Генерирую в консоли командой: date | md5sum

Потом ещё дописываю несколько символов рандомным клацаньем по клаве.

th3m3 ★★★★★ ()
Последнее исправление: th3m3 (всего исправлений: 1)
Ответ на: комментарий от Radjah

Программа дома, программа на флешке, плагин синхронизации и файл в облачном хранилище. Синхронизация при открытии и сохранении изменений.

А на мобильных устройствах?

eugeno ★★★★★ ()
Ответ на: комментарий от staseg

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке

Хранить пароли в сети - это какое-то вопиющее [censored].

Конечно, всем хочется комфорта и плюшек, чтоб везде была синхронизация и восстановления паролей. Но я считаю отсюда появляется большинство дыр в безопасности и тонна дополнительных способов стащить твои пароли. Чем вообще надо думать, чтоб сливать свои пароли в сеть? Может вы там еще и подписываете какой для чего? >_<

i-want-a-fix ()

ТС, был никому не нужен, до создания этого треда.

eugeno

цитатаВот сгенерирую я пароль для сайта в такой программулине на домашнем ноуте с линуксом, а потом захочу зайти на этот сайт с айфона или с рабочего компа с виндой. Что делать?

Я на таких устройствах если и серфю, то без авторизации, например.

anonymous_sama ★★★★★ ()

Раньше использовал pwgen для генерации и vim с шифрованием для хранения.

Но есть же Apple Keychain для белых людей.

fornlr ★★★★★ ()
Ответ на: комментарий от i-want-a-fix

и правда если известно местонахождение таких конфигурационных файлов, то их взлом может быть потенциально проще

LOL. Я тебе могу дать свой рабочий файл, а ты попробуешь сломать AES. Надо? :)

anonymous ()
Ответ на: комментарий от anonymous

Это вряд ли. Я не программист. Но взломать может человек, имеющий подобного рода навыки, а так же имеющий доступ к серьезным вычислительным мощностям (например, свой ЦОД, или арендовал что-то типо фермы). Понятное дело, что не с локалхоста будет расшифровывать. :)

i-want-a-fix ()
Ответ на: комментарий от i-want-a-fix

Да ты хоть десятью датацентрами ломай. Если пароль приличной длины и не словарный, то это всё бесполезно.

anonymous ()
Ответ на: комментарий от i-want-a-fix

Цель шифрования сводится не к невозможности взлома, а в превышении стоимости взлома над стоимостью добытой информации.

surefire ★★★ ()

Для маловажных паролей типа armorgames есть файл с наводящими вопросами и заметками. Остальные в голове.

upcFrost ★★★★★ ()

А есть ли какой-то способ попробовать KeePassX (именно этот), не собирая его?

На сайте под Linux только какой-то tarball с исходниками.

https://www.keepassx.org/downloads

Официального репозитория нет, а сторонние подключать стремно. Ведь какая гарантия, что это не репозиторий хакера? Готовые дебки с левых сайтов тоже не хочется. :(

i-want-a-fix ()

Чтож, попробовал pwgen и makepasswd - оба практически одинаковые, но в makepasswd больше опций, можно настроить какие буквы, цифры и символы можно использовать для генерации, и это классно.

i-want-a-fix ()
Ответ на: комментарий от i-want-a-fix

Нет, это фигня какая-то, в репозитории Ubuntu 14.04 LTS последняя версия KeePassX 0.4.3 (2005-2009 год), где бы взять свежий посмотреть 2.0.2?

И кстати, что-то не понравился мне рандом pwgen и makepasswd, очень много частей пароля повторяется, в длинных паролях часто встречаются 2-3 одинаковых буквы или цифры подряд, хотя пробовал разные опции. В итоге нагенерил длинных паролей, но все-равно доработал сам. И совсем не понравилось как эти программы раскидывают специальные символы.

i-want-a-fix ()
Ответ на: комментарий от Viktoor

Как ты себе представляешь хранить десятки 20-40 значных паролей в голове?

Или это пароли в стиле «whitebunnies7000», «bettercallsaul1234» и все в таком рода, да? :)

anonymous ()
Ответ на: комментарий от i-want-a-fix

KeePassX на десктопе, KeePass2Android offline на телефоне.
NextCloud отвечает за синхронизацию, OpenVPN за шифрование данных при передаче базы.
От утечки при утере телефоне защитит шифрование раздела + удаление данных при нескольких неудачных попытках разблокировать\включить телефон.

Анонимус расшифровывать задолбается, а товарищу майору проще maxcom'а попросить сменить мой пароль на qwerty, чем брутфорсить passwd.kdbx

mogwai ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.