LINUX.ORG.RU

Как вы храните пароли?

 , , , ,


1

2

По мотивам www.linux.org.ru/polls/polls/13510646, с переработкой вариантов ответов.

  1. Помню все пароли318 (46%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Использую специальное ПО для хранения паролей240 (35%)

    *************************************************************************************************************************************************************************************************************************************************

  3. Храню пароли в текстовом файле92 (13%)

    ********************************************************************************************

  4. Шифрую базу паролей88 (13%)

    ****************************************************************************************

  5. Записываю на бумаге74 (11%)

    **************************************************************************

  6. Генерирую пароли по алгоритму, не храню70 (10%)

    **********************************************************************

  7. Использую сторонние сервисы для хранения/синхронизации базы67 (10%)

    *******************************************************************

  8. Храню базу только локально59 (9%)

    ***********************************************************

  9. Использую git или иные СКВ для хранения/синхронизации базы15 (2%)

    ***************

Всего голосов: 1023, всего проголосовавших: 690

★★★★★

Ответ на: комментарий от r3lgar

Ну почему же? Вот я не знаю ни одного своего пароля, потому против меня терморектальный криптоанализ бесполезен.

А как доказать что ты реально не знаешь, а не прикидываешься?

NextGenenration ★★ ()
Ответ на: комментарий от Crocodoom

Могу предложить метод, устойчивый к терморектальной атаке.
Зашифрованная база паролей находится в облаке (можно в двух, трёх - для сохранности). Локально развёрнут клиент, обеспечивающий доступ к этой базе по мастер-паролю #1. Ввод мастер-пароля #2 инициирует вайп БД в облаке.
Если пахнет жареным, вводишь мастер-пароль #2 под видом мастер-пароля #1. Sorted.

В худшем случае спецслужбы смогут попросить снимки у облака

NextGenenration ★★ ()

Храню в текстовых файлах. Это удобнее чем записывать потомучто можно скопировать и вставить нечем вводить. Думаю это на самом деле надёжнее чем может показаться тем кто запоминает пароли потомучто длинный пароль из набора букв и цифр никто не запомнит и забыть его запросто можно. Поэтому запоминающие наверняка используют простые пароли. Лучше конечно распечатывать на бумаге и хранить её дома. Интернет большой а домой вряд ли кто залезет за моими паролями. Оптимально конечно записывать сложную часть и запоминать ещё простую часть.

iluha16 ()
Ответ на: комментарий от anc

Они лежат в хомяке, на флэшке и на gitlab.com. Только паролей от PGP, флэшки и гитлаба я тоже не знаю, и они нигде не записаны.

r3lgar ★★★★★ ()
Ответ на: комментарий от NextGenenration

А как доказать что ты реально не знаешь, а не прикидываешься?

Веществами же, веществами! Вещества не обманешь, я это гарантирую.

r3lgar ★★★★★ ()

Часто используемые и особо важные помню и так, большинство остальных даже не знаю сгенерировал в keepass там же и храню. Особо не нужные и почти временные лежат в текстовых файлах. Базу кипаса копирую/синхронизирую вручную без всяких интернетов.

Solonix ★★★ ()

Помню все пароли

Только вот ещё бы помнить какой пароль от какого ресурса( Всё время путаюсь.

J ★★★★ ()

у меня есть один пароль с цифрами и буквами в разном регистре, который я брал из txt файла и вбивал в течении полу года, в итоге я не помнил сам пароль, но помнил в какой последовательности быстро клацать кнопки )

hvpc77 ()

keepass и сихронизация через тамошний плагин с гуглодиском.

Radjah ★★★★★ ()

На рабочем столе лежит файл passwd с паролями и логинами. Но два важных для работы пароля заучил, хотя они сложные.

hotpil ★★★★ ()

Keepass2Android наше всё. На пека копирую через общий буфер обмена KDE Connect.

droserasprout ★★ ()

Keepass2 + Keepass2 for Android + SSHFS. База хранится удаленно на своём сервере.

FluffyPillow ()

Мне всегда казалось, что пароли это то, что нужно помнить, если нужна безопасность они должны часто меняется, а хранить нужно ключи, они надежны и их уже не заполнишь.

LinuxDebian ★★★★ ()
Ответ на: комментарий от J

Весело, не записываешь пароли, а потом их отсылаешь кому попало методом перебора, а друг подойдет :)

LinuxDebian ★★★★ ()

однажды в одной конторе запилил я ревизию паролей. Всё по маске погенерил, везде поменял, в keepassx записал. Уходя сказал: я маску не забуду, поменяйте пароли, хотя бы приличия ради.

Сначала я обнаружил, что не залочен мой впн туда :) Потом, что вообще аккаунты мои везде работают... Потом что наружу торчит сервак, а там тоже пароль не поменян. Положил новый ключ туда, в очередной раз сказал о дырке. Тамошний админ меня уже матом покрыл, сменил пароль. И тут я захожу через недельку, а в руте лежит в текстовике набор букв. Ну я решил попробовать это в качестве пароля. Получил доступ ВО ВСЕХ СИСТЕМАХ. Чуваку было лень думать, он тупо везде поставил один и тот же пароль, и сложил его в открытом виде на самом видном месте. А вы говорите про кипасы или помнить много паролей. Людей это мало заботит.

PS. Кстати судьба конторы весьма плачевна, особенно после того, как они пересели на офтопик и недавно споймали шифровальца. А бекапы шредингера не сработали.

Crystal_HMR ★★★ ()

keepass2, keepassX, keepassXC, keeweb

наплодили форков блин, полюбэ ни один не придерживаеца протоколу даже, шо из этого более надёжнее?

eR ★★★★★ ()
Ответ на: комментарий от J

Только вот ещё бы помнить какой пароль от какого ресурса( Всё время путаюсь.

это очень просто, бери первые несколько букв домена, например для лурчика это «lin» (если брать 3 первые) и добавляй нумбер, который помнишь всегда, ну есть такие у всех, свой первый номер сотового например, получится:

lin2943523
для гмейла:
gma2943523
для гитхаба:
git2943523
и так далее, тебе нужно помнить только нумбер фактически, разумеется стоит сделать какую-то букву в верхнем регистре, добавить символ между доменом и нубмером и т.п. Можно префиксную запись, а можно и постфиксную, писать идентификатор домена после нубмера.

Плюс в том, что для всего пароли разные и если угонят один, в случае если это будет бот тупой, то не догадается провернуть то же самое с другими аккунтами.

Bruce_Lee ★★ ()
Последнее исправление: Bruce_Lee (всего исправлений: 2)

Помню все пароли, которые когда-либо вводил или видел как кто-то вводит.

WillEY_ ()

Провокационное голосование, в целях безопсности я не буду на это отвечать.

Pro100User ()
Ответ на: комментарий от eR

Они вроде все пользуются одним форматом, KDBX

По крайней мере андройдовский кипас открывает мои линуксовые базы, так что наверное всё-таки придерживаются

KeePass это оригинальная хранилка, она вроде самая богатая на фичи, написана на C# и до относительно недавних пор не работала под линуксом, сейчас вроде как должна работать через Mono

KeePassX это её клон на Qt

KeePassXC это форк KeePassX, который более активно развивается (автор KeePassX заглядывает в багтрекер раз в год), со всякими свистоперделками

KeeWeb видимо веб-версия, не пользовался

Самый надёжный вроде KeePass, он кажется проходил какой-то формальный аудит, но я пользовался KeePassX уже хз сколько лет, сейчас пересел на KeePassXC, пока жив-здоров

Gary ★★★★★ ()
Ответ на: комментарий от maverik

Спасибо, что упомянули о keepassxc. Не знал о нём. Пользовался keepass, но напрягал его олдскульный интерфейс(в Linux с Mono), потом keepassx 2. Мигрировал на keepassxc, заодно перетащив в него и TOTP из Authy. Доволен, как слон:)

lucentcode ★★★★★ ()
Ответ на: комментарий от lucentcode

Да нзчт, сам узнал о нем не так давно, когда искал поддержку eTokens (типа yubikey) и плагинов для браузеров.

maverik ★★ ()
Ответ на: комментарий от Gary

На самом деле можно помнить довольно стойкие (к перебору и словарным атакам) пароли, используя определенный набор паттернов. Но всё-равно кошмар, да.

maverik ★★ ()
  • Помню все пароли
  • Шифрую базу паролей

База существует как бэкуп, обычно я ей не пользуюсь, полагаюсь на память.

Deleted ()

Использую специальное ПО для хранения паролей

Свой менеджер использую.

Difrex ★★★★ ()

Использую определенный, довольно хитрый, алгоритм смещений по раскладке, от логина (или другого открытого ключа), известный только мне. По факту, помню только свои логины\номера\емейлы\етк, а сами пароли в глаза не видел ни разу.

int64 ()

Храню в текстовом файле, но внутри 7z архива (на архиве пароль из 10 символов + зашифровано имя файла). Проголосовал как в текстовом файле.

AlexandrSE ()

keepass + синхронизация по скрипту на VDS

najlus ★★★★★ ()
Ответ на: комментарий от r3lgar

Они лежат в хомяке, на флэшке и на gitlab.com. Только паролей от PGP, флэшки и гитлаба я тоже не знаю, и они нигде не записаны.

Ну вот в хомяке есть.
ЗЫ А нафига они у вас на флэшке и гитлабе если вы их все равно получить не сможете?

anc ★★★★★ ()
Ответ на: комментарий от anc

ЗЫ А нафига они у вас на флэшке и гитлабе если вы их все равно получить не сможете?

Кто с паяльником ко мне придёт, тот с флэшкой от меня и уйдёт.

r3lgar ★★★★★ ()

Как можно помнить все пароли?

Только что посмотрел свой текстовой файл и насчитал около 90 паролей!! Естественно я помню пароли от трех-четырёх ящиков и двух-трёх сайтов. Остальное — нафиг надо. В файл. Фсё в файл. И этот файл очень непросто обнаружить, к слову.

rechnick ★★ ()

Моего варианта нет. У меня текстовый файл в контейнере VeraCrypt.

InterVi ★★★★ ()

Меня одного злят говносайты и говнофорумы ставящие условия по сложности пароля ? Конченные мудаки. Угу, xh6d/*j6i - несекурный пароль, зато Temp123 - мегазащищен.

vblats ()

И да, чересчур важные (я бы сказал жизненно важные) пароли, на инфу за которую могут посадить - храню на секретном девайсе на базе ESP8266 который лежит в секретном месте, подключается к точке доступа с именем известным только мне, и отдает пароли только после POST-запроса который держу в голове. Пароли хранятся в области ПЗУ в зашифрованном самопальным алгоритмом виде. Если при включении в течении 15 секунд не находит необходимую точку доступа - область перезаписывается другими данными.

Тов. майор, преветек.

vblats ()
Последнее исправление: vblats (всего исправлений: 2)
Ответ на: комментарий от vblats

Спасибо, уже выезжаем. Паяльник я думаю у вас есть, раз такие устройства собираете, но мы свой тоже возьмём на всякий случай.

devalone ★★ ()
Ответ на: комментарий от vblats

Еще парят сайты, где нельзя поставить пасс овер 16 символов или не принимающий спецсимволы

Xwo ()

Пароли для всякого мусора

uuidgen >> ~/.pass
Пароли для себя в голове, стихотворения ))

Dron ★★★★★ ()

Что означает «генерирую пароли по алгоритму»: в смысле программулиной или в смысле вручную?

sasha1024 ()

А почему ви таки спrашиваете?

polozz ()
Ответ на: комментарий от sasha1024

Как угодно. Может быть что-то типа http://masterpasswordapp.com/, может быть «первые 3 символа домена+первые 3 символа логина+последовательность, которую помню», может быть первые 20 символов от sha256 от предыдущего варианта, может еще что-то.

Klymedy ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.