Создаю с помощью утилиты pwgen. Храню либо в голове (важные), либо записываю (не важные).

в голове

простыню не читал

Приклеиваю стикеры, пару десятков рандомно-буквенно-цифровых 20-30 значных помню, но важно отдавать себе отчёт, что если их не вводить пару лет, они прекрасно забудутся, поэтому стикеры лучше.

Это он?

https://habrahabr.ru/post/124571/

Я так понимаю KeePass(X) так не может?

Основное его достоинство — возможность генерации паролей с энтропией. Т.е. случайность пароля напрямую зависит от того, как вы будете перемещать мышь и какие кнопки на клавиатуре при этом нажмете.

И это делает pwgen царем рандомных паролей?

Стикеры? Клейкие листочки? На компе? А если придет плохой дядя?

Вообще в основном где-нибудь на холодильнике, в зоне видимости они мешаются. Правильные стикеры содержат некоторую часть парольной фразы и намёк на то, для чего она предназначена. Посторонний человек никогда не поймёт.

Ну да, конечно. Смотря насколько он умный.

KeePass(X) — говно². Использую kpcli с базой формата KeePass 2. Пароли извлекаю из /dev/urandom с помощью head и base64. Давно хочу перейти на pass, но нет особой мотивации.

Возможно сделать так, что найти можно только перебором неопределённой последовательности семислучайных символов в произвольном месте парольной фразы, догадаться просто невозможно в принципе.

KeePass(X) — говно².

Чем аргументируешь?

Пароли извлекаю из /dev/urandom с помощью head и base64.

Что скажет общественность? Это лучше/хуже, чем pwgen?

Использую kpcli с базой формата KeePass 2.

Если генеришь в /dev/urandom, то в KeePass 2 хранишь? Так чем оно лучше KeePassX?

Нет, это не он. pwgen — маленькая консольная утилитка.

Это я понял, там онлайн-сервис на основе этой программки. Но пароли в pwgen более рандомные выходит, чем в KeePass(X)? Есть ли какие-то исследования этих 2х программ, может какие-то сравнительные обзоры?

Чем аргументируешь?

KeePassX написано на Qt и вечно в не пойми каком состоянии. KeePass… Mono с виндовыми квадратными серыми формами.

Это лучше/хуже, чем pwgen?

Лучше используй pwgen. Я просто так привык. На работе вообще использую apg.

Если генеришь в /dev/urandom, то в KeePass 2 хранишь? Так чем оно лучше KeePassX?

*База* в формате 2.0. Программа называется kpcli.

В KeepAss (тот что на mono (без «x»)). Простыню не читал.

генерю с помощью makepasswd

неужели кому-то может быть не очеведно, что...

...если человек использует keepass(x) [или любую другую популярную «мега-безопасную» программулину для хранения паролей] — то злоумышленник просто-насвсего лишь заиспользует ПО, которое *автоматизированно* крадёт ваш пароль (из известного-на-100% файла) , и *автоматизированно* крадёт пароль от этого хранилища паролей..

ну продолжайте и дальше использовать САМЫЕ ЛУЧШИЕ утилиты для хранения паролей. желаю удачи (сарказм:)).

это же ведь самые безопасные программы, ТЫСЯЧИ хабравчан не могут ошибаться!.. лол!!

очередной злоумылшенник просто взломат пару дюжин сотен пользователей линукса через очередную zero-дыру в браузере — и не напряжётся по поводу того что именно красть со взломанного компьютера

Вот я смотрю многие хранят пароли в KeePass(X). Но кто из вас проверял его исходный код? Нет ли там модулей, работающих с сетью? В иных десктопных программах я бы сказал «Хорошо, OpenSource, я вам верю ребята!», но когда речь заходит о создании и хранении паролей... вот кто реально из ЛОРовцев смотрел исходный код последних версий? Я бы и сам посмотрел, но я не программист.

Если выполнить

pwgen -s

...если человек использует keepass(x) [или любую другую популярную «мега-безопасную» программулину для хранения паролей] — то злоумышленник просто-насвсего лишь заиспользует ПО, которое *автоматизированно* крадёт ваш пароль (из известного-на-100% файла) , и *автоматизированно* крадёт пароль от этого хранилища паролей..

Очень здравые мысли, молодой человек! OpenSource это очень хорошо, но ведь и правда если известно местонахождение таких конфигурационных файлов, то их взлом может быть потенциально проще, чем даже незашифрованный текстовый файл, а тем более файл на флешке. Хм, вот и первый серьезный аргумент против KeePass(X).

А где можно почитать, на чем основан этот «чистый рандом» в pwgen? Сколько алгоритмов используется (или один?) и каких, в какой последовательности и т.п.

вот поидее и простой текстовый файл тоже (якобы) легко распарсить на наличие паролей (распарсить все тектовые файлы в системе, и распарсивать все вставляемые носители)..

..точнее говоря распарсить не на пароли — а распарсить на что-то похожее на пароль :-) , с определённой вероятностью . [искать все файлы со словом pass и что-то типа того, и что-то оттуда вырезать, как-то]

но в этом случае злоумышленнику будет не так просто сделать это именно *автоматизированно*.

и вот главное злоумылшеннику задачка: а какой смысл ему напрягаться с «искуственным интеллектом», который будет непонятно что искать на жёстком диске (или где-то-там) — и потом отсылать это в непонятном виде (с кучей ложных срабатываний)...

...если намного проще доить тех пользователей, у кого типовая схема хранения паролей, в типовой «самой лучшей» программе :-)

получется что выходит так: чем болше пользователей используют типовые (самые лучшие) программы — тем более безопасно будет всем остальным пользователям :-) , кто не использует их

Получется так.

Значит выходит, что все-равно надо использовать pwgen, т.к.:

1. Невозможно создавать большое кол-во длинных стойких паролей руками. Это очень долго.

2. Невозможно оперативно «обновить» эти пароли, если есть подозрение на взлом, или какой-то конкретный сайт или сервис, которым ты пользовался, был скомпрометирован, и надо быстро пароль поменять. Или может поменять десятки паролей на своих серверах. Это тоже время.

Значит в любом случае для больших серьезных паролей нужна программа генерации.

Но что касается хранения, значит нужно брать это дело на себя...

очередной злоумылшенник просто взломат пару дюжин сотен пользователей линукса через очередную zero-дыру в браузере — и не напряжётся по поводу того что именно красть со взломанного компьютера

Ну, security through obscurity решает, да. Главное файлики по хитрому назвать. А то что в системе годами может чей-то код запущенный висеть - это так, мелочь.

Я к тому, что это, таки, другая проблема, с изоляцией в линуксах всё не очень. Может, с SELinux лучше, не знаю.

Я. Элементарно за вечер обзора кода. Нет там сети. И автор принципиален, поэтому никаких версий с «бесплатно и без СМС» ждать не приходится. KeepassX рулит. Храню в Dropbox - aes256 доверяю.

Меняю мастер-пароль раз в год, и финансовые пароли так же в это время. Генерю 20 символов

А меня вот больше интересует, как пользователи менеджеров паролей работают с несколькими устройствами. Вот сгенерирую я пароль для сайта в такой программулине на домашнем ноуте с линуксом, а потом захочу зайти на этот сайт с айфона или с рабочего компа с виндой. Что делать?

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке, и имеют версии приложения для разных систем.

Например в экосистеме apple с этим все очень хорошо и из коробки.

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке, и имеют версии приложения для разных систем.

Но не везде ты будешь и можешь устанавливать менеджер паролей. На работе например часто ограничения на установку неавторизованных приложений. Разве что через веб-интерфейс как-то можно.

Например в экосистеме apple с этим все очень хорошо и из коробки.

Знаю, но по вышеописанной причине не пользуюсь. Можно конечно каждый раз лезть в айфон и считывать оттуда пароль, но это жутко неудобно.

Программа дома, программа на флешке, плагин синхронизации и файл в облачном хранилище. Синхронизация при открытии и сохранении изменений.

По старинке. В голове и в зашифрованных контейнерах, а там в текстовых файлах.

Генерирую в консоли командой: date | md5sum

Потом ещё дописываю несколько символов рандомным клацаньем по клаве.

Программа дома, программа на флешке, плагин синхронизации и файл в облачном хранилище. Синхронизация при открытии и сохранении изменений.

А на мобильных устройствах?

Некоторые, а может и многие, менеджеры паролей умеют хранить пароли в облаке

Хранить пароли в сети - это какое-то вопиющее [censored].

Конечно, всем хочется комфорта и плюшек, чтоб везде была синхронизация и восстановления паролей. Но я считаю отсюда появляется большинство дыр в безопасности и тонна дополнительных способов стащить твои пароли. Чем вообще надо думать, чтоб сливать свои пароли в сеть? Может вы там еще и подписываете какой для чего? >_<

ТС, был никому не нужен, до создания этого треда.

eugeno

цитатаВот сгенерирую я пароль для сайта в такой программулине на домашнем ноуте с линуксом, а потом захочу зайти на этот сайт с айфона или с рабочего компа с виндой. Что делать?

Я на таких устройствах если и серфю, то без авторизации, например.

И на телефоне тоже есть.

1) pwgen -sv 20 1 2) В надежном месте ;)

1. apg
2. vim -x notes.txt

1Password

Раньше использовал pwgen для генерации и vim с шифрованием для хранения.

Но есть же Apple Keychain для белых людей.

и правда если известно местонахождение таких конфигурационных файлов, то их взлом может быть потенциально проще

LOL. Я тебе могу дать свой рабочий файл, а ты попробуешь сломать AES. Надо? :)

Это вряд ли. Я не программист. Но взломать может человек, имеющий подобного рода навыки, а так же имеющий доступ к серьезным вычислительным мощностям (например, свой ЦОД, или арендовал что-то типо фермы). Понятное дело, что не с локалхоста будет расшифровывать. :)

Apple Keychain

Эппл и безопасность? Не, не слышал.

Да ты хоть десятью датацентрами ломай. Если пароль приличной длины и не словарный, то это всё бесполезно.

Цель шифрования сводится не к невозможности взлома, а в превышении стоимости взлома над стоимостью добытой информации.

Для маловажных паролей типа armorgames есть файл с наводящими вопросами и заметками. Остальные в голове.

А есть ли какой-то способ попробовать KeePassX (именно этот), не собирая его?

На сайте под Linux только какой-то tarball с исходниками.

https://www.keepassx.org/downloads

Официального репозитория нет, а сторонние подключать стремно. Ведь какая гарантия, что это не репозиторий хакера? Готовые дебки с левых сайтов тоже не хочется. :(

Чтож, попробовал pwgen и makepasswd - оба практически одинаковые, но в makepasswd больше опций, можно настроить какие буквы, цифры и символы можно использовать для генерации, и это классно.

Вопрос снимается! Не ожидал, но KeePassX есть в офф. репах.

Нет, это фигня какая-то, в репозитории Ubuntu 14.04 LTS последняя версия KeePassX 0.4.3 (2005-2009 год), где бы взять свежий посмотреть 2.0.2?

И кстати, что-то не понравился мне рандом pwgen и makepasswd, очень много частей пароля повторяется, в длинных паролях часто встречаются 2-3 одинаковых буквы или цифры подряд, хотя пробовал разные опции. В итоге нагенерил длинных паролей, но все-равно доработал сам. И совсем не понравилось как эти программы раскидывают специальные символы.

В голове.

Как ты себе представляешь хранить десятки 20-40 значных паролей в голове?

Или это пароли в стиле «whitebunnies7000», «bettercallsaul1234» и все в таком рода, да? :)

KeePassX на десктопе, KeePass2Android offline на телефоне.
NextCloud отвечает за синхронизацию, OpenVPN за шифрование данных при передаче базы.
От утечки при утере телефоне защитит шифрование раздела + удаление данных при нескольких неудачных попытках разблокировать\включить телефон.

Анонимус расшифровывать задолбается, а товарищу майору проще maxcom'а попросить сменить мой пароль на qwerty, чем брутфорсить passwd.kdbx