LINUX.ORG.RU

Как вы храните пароли?

 , , , ,


1

2

По мотивам www.linux.org.ru/polls/polls/13510646, с переработкой вариантов ответов.

  1. Помню все пароли318 (46%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Использую специальное ПО для хранения паролей240 (35%)

    *************************************************************************************************************************************************************************************************************************************************

  3. Храню пароли в текстовом файле92 (13%)

    ********************************************************************************************

  4. Шифрую базу паролей88 (13%)

    ****************************************************************************************

  5. Записываю на бумаге74 (11%)

    **************************************************************************

  6. Генерирую пароли по алгоритму, не храню70 (10%)

    **********************************************************************

  7. Использую сторонние сервисы для хранения/синхронизации базы67 (10%)

    *******************************************************************

  8. Храню базу только локально59 (9%)

    ***********************************************************

  9. Использую git или иные СКВ для хранения/синхронизации базы15 (2%)

    ***************

Всего голосов: 1023, всего проголосовавших: 690

★★★★★

Здравствуйте!

По возможности стараюсь использовать везде одинаковые пароли и при этом почти нигде их не записывать и не менять. Хотя это не вполне правильно с точки зрения безопасности, зато позволяет их хранить в голове. Таким образом, у меня 3 группы паролей: 1 группа - пароли учетки и root компьютера, 2-я группа - пароль моего сайта и 3-я группа - пароли e-mail, cоцсетей и форумов... :-)

as001 ()

Использую специальное ПО для хранения паролей

Использую самописный pim-менеджер, если его можно назвать специальным ПО. И заметки, и пароли в одном месте, не надо по разным программам прыгать.


Использую git или иные СКВ для хранения/синхронизации базы

База зашифрована, сваливаю все на гитхаб.

Xintrea ★★★★★ ()

Файл keepassx на dropbox

duott ★★★★★ ()

Кто что думает насчет того, чтобы пользоваться паролем password и двухфакторной авторизацией?

vertexua ★★★★★ ()

Использую специальное ПО для хранения паролей

Встроенный менеджер Firefox + Sync, естественно с мастер-паролем. Пароли генерирую через pwgen.

eugeno ★★★★★ ()
Последнее исправление: eugeno (всего исправлений: 1)

кстати подскажите годный плагин для бэкапа базы keepassx в google drive, а то их там много, не хочется перебирать

das_tier ★★★★★ ()
Ответ на: комментарий от Klymedy

Оказывается, у меня Keepass2 2.35 (из дебиановских реп). В данный момент так и делаю.

das_tier ★★★★★ ()

Использую KeePassX, база зашифрована, храню локально, с несколькими копиями на разных носителях.

Стандартный набор не повернутого конспиратора. +1

gutaper ★★★★★ ()

Очень давно использовал два-три пароля, под разные категории сайтов (вижу есть тут такие). Потом начались сливы баз, стало понятно, что пара паролей не подходит, начал придумывать пароли, а затем догадался написать велосипед который по ключевому слову и мастер-паролю генерирует пароль. Пример кейворда: vasya@google.com3 , три в конце потому, что некоторые сервисы требую периодически менять пароли, или если база сервиса утекла, в этому случае просто инкременчу цифру в конце и получаю новый пароль. Храню базу кейвордов, не храню мастер-пароль.

Aber ★★★★★ ()

passwords.docx в разделе «Документы» в контакте

makoven ★★★★★ ()
Ответ на: комментарий от vertexua

Это хорошо, но есть некоторые проблемы:

  • Универсальное решение в виде U2F есть, но поддерживается не всеми, и не всех есть соответствующие устройства
  • Каждый продукт поддерживает разные 2FA сервисы и методы
  • Иногда под видом 2FA выдают ослабление защиты под видом смс
  • Некоторые сервисы опять же позволяют обходить 2FA через смс, звонок и даже позволяют восстанавливать без оригинального пароля. Что опять же под видом 2FA только ослабляет защиту
  • Не всегда хочется подключать твое устройства с 2FA к подозрительному сервису, даже если он такое поддерживает. И проблема конечно зачастую не в самих устройствах, а в том что средства шифрования имеют серийный номер, и по этому серийному номеру можно ассоциировать анонимный аккаунт с реальным человеком, после того как он подключил 2FA. Ходить обвязанным связкой ключей тоже не хочется
  • Некоторые сервисы настолько не представляют ценности, что 2FA как-то вот совсем привязывать не хочется, даже если такая возможность есть. Например форум игры какой-нибудь, если пароль нормальный, то мало смысла усложнять себе жизнь
  • Когда сервис который оказывает 2FA накрывается, то ты можешь потерять доступ ко всему
  • Решения типо GA сливают инфу большему брату (пусть и по ордеру) И в теории можно ассоциировать все сервисы с одной группой людей или человеком, которые используют одинаковую 2FA
  • Из-за проблемы с экспортом средств шифрования таможня может оштрафовать, хотя по факту ничего незаконного ты не делал, а лишь заботился о своей свободе слова, или тестировал новое устройство. Опять же есть подозрение, что если вывозить что-то серьезное и новое, то можно не только от таможни получить
  • Чтобы купить физическое устройство для 2FA нужны деньги и время чтобы его получить, не все имеют это. Ну и плюс возможно придется потратить время чтобы разобраться, как это работает. А типичный пользователь хочет смотреть смешные видео, вместо этого
anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от turboNOMAD

поздравляю, ваши пароли слиты дярывой компанией

moookino ()
Ответ на: комментарий от vblats

поржал над этим на тубмлере, не подошел мой пароль, но зато подошел 1234567890, зато вводить удобно ¯\_(ツ)_/¯

moookino ()
Ответ на: комментарий от Chaser_Andrey

Contributed/Unofficial KeePass Ports
...
KeePassX KeePassX (for Linux / Mac OS X)
KeePassXC KeePassXC (for Linux / Mac OS X)

С оффициального сайта keepass. Где тебе непонятно, что это неофициальный порт?

gutaper ★★★★★ ()
Ответ на: комментарий от gutaper

KeePassX - самостоятельный проект, совместимый с форматом KeePass. Порт - это когда кодовую базу допиливают, а не переписывают с нуля.

Мало ли что там они написали. Отправь им баг-репорт, пусть исправят.

Chaser_Andrey ★★★★★ ()

LastPass в Firefox это же использую сторонние сервисы для хранения/синхронизации базы

SuperNoob ()
Ответ на: комментарий от Chaser_Andrey

KeePassX - самостоятельный проект,

Originally KeePassX was called KeePass/L for Linux since it was a port of Windows password manager Keepass Password Safe. After KeePass/L became a cross platform application the name was not appropriate anymore and therefore, on 22 March 2006 it has been changed.

А это с сайта keepassx. Таки самостоятельный?

gutaper ★★★★★ ()

Генератор паролей:

echo "SecretPassword:username@linux.org.ru" | md5sum | cut -f1 | xxd -r -p | base64
Есть варианты лучше? :)

Aber ★★★★★ ()
Ответ на: комментарий от Aber

Да, замена md5sum на что-то более стойкое к перебору, ведь зная алгоритм, можно пытаться подобрать SecretPassword.

Chaser_Andrey ★★★★★ ()

я уже один раз забыл пароль к базе паролей

MyTrooName ★★★★★ ()
Ответ на: комментарий от bodqhrohro_promo

Мне это кажется невероятным. Один пароль на всё? Не думаю что тут так много чайников. 1-3 аккаунта у человека? Нереально мало.

kirill_rrr ★★★★★ ()

не хватает варианта «использую один-два пароля на все случаи жизни»

ss_ash ★★★ ()
Ответ на: комментарий от kirill_rrr

Не думаю что тут так много чайников

Зря. Типичный линуксоид сильно объюзверел. И даже на ЛОРе большинство пользователей не из продвинутого костяка, а лишь ходят на глагне, изредка задавая вопросы в техразделах.

1-3 аккаунта у человека? Нереально мало

Аккаунт в VK/FB/OK (нужное подчеркнуть), за пределы которых обычные люди почти не вылезают + аккаунт Apple/Google, зарегистрированный при покупке лопатофона. И усё. Популярные мессенджеры (Whatsapp/Viber/Telegram) пароля не требуют, аккаунт привязывается к устройству и для других устройств активация проходит через мобильный клиент или одноразовое SMS.

bodqhrohro_promo ()
Ответ на: комментарий от Aber

Есть, но не скажу. Как минимум по воспроизводимости без программной реализации алгоритма сей метод сасает, попробуй-ка быстренько MD5 просчитать в уме.

bodqhrohro_promo ()
Ответ на: комментарий от bodqhrohro_promo

Как минимум по воспроизводимости без программной реализации

Ога-ога, ты думаешь вспомнишь как свой алгоритм воспроизвести? У меня свой велосипед, лет восемь назад придумал и написал, теперь не вспомню что я там напридумывал. Но пароли дает успешно. В представленном простом варианте есть только один минус, пароль печатается в терминал и сохраняется в историю команд.

Aber ★★★★★ ()
Ответ на: комментарий от Aber

ты думаешь вспомнишь как свой алгоритм воспроизвести?

Не просто «вспомню» — я его время от времени использую и специально проектировал под то, чтобы использовать в уме. После амнезии это, конечно, может быть проблематично.

пароль печатается в терминал

reset

и сохраняется в историю команд

Пробел перед командой.

bodqhrohro_promo ()
Ответ на: комментарий от bodqhrohro_promo

Пробел перед командой.

О_о, я этого не знал, хоть и использую linux в качестве сонной ос десятый год. Просветил, спасибо. Но все равно плохое решение, человеческий фактор, можно забыть пробел да еще перепутать терминал и оставить все на удаленном сервере.

специально проектировал под то, чтобы использовать в уме

Похвально. Но моя мысль работает в другом направлении, если решу сделать свой велосипед второй версии, то сделаю так чтоб он генерировал произносимые пароли.

Aber ★★★★★ ()
Ответ на: комментарий от Aber

можно забыть пробел да еще перепутать терминал и оставить все на удаленном сервере

Тогда сразу в буфер обмена, |xclip -selection clipboard

чтоб он генерировал произносимые пароли

Чтоб их мог ввести другой человек на случай паралича?

bodqhrohro_promo ()
Ответ на: комментарий от bodqhrohro_promo

Чтоб их мог ввести другой человек на случай паралича?

Какие у вас мрачные теории. Чтоб кеш паролей в голове работал, а то не всегда срабатывает.

Aber ★★★★★ ()
Ответ на: комментарий от bodqhrohro_promo

ещё LOR из условий опроса. И если у человека всего одна почта, мне кажется будет высокая вероятность аккаунта в стиме.

И, хотя сам принципиально не пользуюсь, вроде бы банковские/комунальные/транспортные платежи через телефон стали популярны. Там ведь тоже какой то пароль вешается.

kirill_rrr ★★★★★ ()
Ответ на: комментарий от buratino

Как раз это — жизнь.

Жизнь — это то, что автоматически, самоходом, поддерживает своё существование, расширение, неисчезновение.

А то, что красиво построено, но не фунциклирует (например, каменная скульптура) — не жизнь ☺

bodqhrohro_promo ()
3 сентября 2017 г.

рекомендую pass+browserpass (и qtpass для определенных личностей)

actionless ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.