Где и как вы храните пароли?

Алихан Исрапилов

интересуется от лица техноредакции

Защита личных данных — одна из самых обсуждаемых тем кибербезопасности.

В одном из последних эпизодов сериала «Лучше звоните Солу» главный герой проникает в дом мужчины, чтобы сфотографировать его документы, кредитные карты и финансовую отчетность. Впоследствии он продает снимки мошенникам. В кабинете жертвы аферист активно ищет записи с паролями от аккаунтов, потому что убежден, что листок где-то рядом с ними. Так и есть: он прикреплен к основанию настольной лампы.

Во время просмотра я не мог не задуматься о вопросах цифровой безопасности. Стало интересно, как проще и надежнее хранить пароли от аккаунтов. Люди с хорошей памятью спокойно запоминают их — так поступаю и я. Другие записывают пароли на листок, сохраняют их в памяти браузера или используют специальные приложения. Но есть и менее очевидные варианты — например, использовать вариации одного пароля, который изменяется в зависимости от домена сайта. Так можно получить легко запоминаемый, уникальный и надежный пароль.

Где и как вы храните свои пароли? По старинке держите их в голове и подбираете комбинацию, если вдруг забыли? Или давно не забиваете память ненужной информацией и пользуетесь специальными приложениями? А может, просто записываете все в блокнот? Почему пользуетесь именно таким методом? Боитесь ли возможного взлома? Или вам кажется, что вы надежно защищены?

Дискуссии. Обсуждаем финансовые вопросы и даем советы друг другу

Задать свой вопрос

сервисы интернет технологии

Алихан ИсрапиловНет, мы не хотим, чтобы вы выдали себя с поличным. Но от парочки советов не откажемся:

фывфывА вам зачем?)27
3
Дмитрий НиконовНа бумажке.2
Уборщица"Использовать вариации одного пароля, который изменяется в зависимости от домена сайта." - то есть если утек один пароль и скаммер поймет алгоритм, то считай утекли все?6
Ховард МоржовыйВ голове 🤣 а для забытых паролей пользуюсь функцией восстановления)11
Lexa LexaБез разницы, какая сложность, если везде стоит двухфакторная аутентификация B)4
Системный инженерПароли стараюсь запоминать. Пин-коды самых часто используемых карт запоминаю, но и все пин-коды записываю, зашифровав по одному мне известной системе. Естественно, шифрую и сам факт того, что это записаны пин-коды.1
T Kartsevaя из тех людей, кто вечно забывает свои пароли. Часто оказываюсь в ситуации, когда на кассе не могу расплатиться картой, потому что пинкод не подходит. Часть паролей записана по старинке на бумажке, часть запоминаю, но как показывает практика - плохо запоминаю1
RevolutionKeePass11
kogegoХраню пароли в keepass, мастер-пароль от рабочей базы лежит в столе (там из важного только рабочие аккаунты) Остальные личные пароли так же храню в keepass, мастер пароль от которого, сгенереный из рандомных символов просто запомнил)4
Дастан ЖамекешевKeePass, дамы и господа. Удобно можно сгруппировать все пароли, вносить заметки и прочую лабуду :)1
Полина АбрамоваЯ помню пин-код от одной карты (которой всегда пользуюсь). От других карт тоже прекрасно помню, только не знаю какой пин-код от какой карты)))) От аккаунтов в интернете, будем честны, у меня один пароль, иногда разные вариации, это все я помню. Но так же пароли дублируются в айклауд, поэтому сама их никогда не ввожу.1
Свинья АпокалипсисаИмею дело с тысячами различных паролей. Упомнить все - невозможно. Выписывать на бумагу - будет несколько увесистых томов. Храню пароли в различных базах на платформе KeePass. Сама софтина с открытым исходным кодом, есть оффлайновые десктопные и мобильные версии, безо всяких облаков или онлайн сервисов. Для шифрования базы паролей используются одновременно алгоритмы AES-256 и Twofish (первый сертифицирован АНБ для использования Госдепом США, второй - один из самых замороченных алгоритмов шифрования в принципе). Для параноиков есть различные варианты хранения базы данных: холодное хранение, распределение прав доступа, защита от записи, логирование всех действий внутри программы, вход в ложные базы по определенному паролю. В плане доступа - есть двухфакторная аутентификация, в т.ч. по брелку генерации кодов или датчику отпечатка пальца. Есть встроенный автозаполнитель полей логина/пароля, не привязанный к браузеру или приложению. Софтина имеет дружественный простой интерфейс, переведена на русский. Как способ хранения паролей могу рекомендовать всем.7
Nikita SKeePassX - когда паролей стало много оценил удобство использования. Удобно, что в списке не нужно заходить непосредственно в учётку, а по Ctrl+B копируется логин и по Ctrl+С пароль и вставляется куда надо.1
Бабака КавайкаSingularity, Поддерживаю!1
Максим Кольцовпосле того как его десятый раз потребуют поменять, причем без повторения предыдущих, причем на нескольких сервисах - никакая память и никакие хитрые системы не помогут спасибо хром сохраняет1
Инженер из Северодвинскаиспользовать вариации одного пароля, который изменяется в зависимости от домена сайта Именно так1
Инженер из СеверодвинскаУборщица, если скамер поймет алгоритм то уже ничего не поможет )2
Екатерина Колосовафывфыв, скажите где держите пароли и где ключи от квартиры где деньги лежат ))7
AlexanderLexa, Главное чтобы 2FA не отключала поддержка по письму "поменял телефон GA нет, памагити"5
Влюбленный котНе важно, как и где вы пароли храните, а важно, как часто вы их обновляете2
Alexander1) не использовать пароли там, где есть альтернатива получше -- если это какой-то редкий магазин -- генерирую случайный и нигде его не сохраняю, сброшу если что. -- вход по openid получше, но как показали последние события только если есть возможность указать имеил и потом сбросить пароль к учётке -- смс не является надёжным единственным фактором 2) почти ни один сервис не реализовал нормальный непробиваемый 2fa. -- российские банки -- отдельный остров абсурда. Есть галочка "запретить удалённый сброс доступов к ДБО", но в приложеньку пустим без пароля, только по коду из СМС. После замены сим-карты работает аналогично. У нас к сожалению нет нормально работающего регулятора который может указать CISO на профнепригодность, https://journal.tinkoff.ru/discuss/financial-neurosis/#c547379 -- сброс 2FA по максимально слёзному письму в поддержку (ну привет, зачем тогда этот 2FA нужен) 3) мне нравится идея входа по сертификатам/эцп . Если бы банки мне такое предложили для переводов больше 100к, подключил бы не особо запариваясь удобством. 4) почти всегда генерирую пароль по алгоритму (их несколько для разной степени важности/требовательности сервиса) и нигде его не записываю/не запоминаю. Алгоритм довольно кривой и часто даёт ошибки, но это плюс, сброшу если что xD 5) если сервис ест пароли с русскими буквами, то использую и их.2
SailingManДлинный пароль со всеми вариациями регистров/символов плюс привязка к домену по спец алгоритму.1
Тимур ВалиулинBitWarden. Бесплатный, открытый, кроссплатформенный без ограничений на кол-во устройств, есть расширения для всех браузеров и приложения для обеих ОС на смартфонах.1
Artem 🤑Придумал паттерн для пароля, например мой пароль от ТЖ ********1
Евгений ЛогвиненкоViktor, рассказываю лайфхак который я прочитал в методичке по безопасности от какого-то крипто-энтузиаста. У вас каждый пароль должен быть максимально надежным и длинным и помнить его не обязательно, достаточно фиксировать в менеджере паролей. Но как вы уже сказали, менеджеры паролей - это одни большие дыры по утечке информации. Чтобы вам были не страшны эти утечки достаточно придумать какую-то секретную часть которую вы всегда будете вводить вручную. Секретная часть должна храниться ТОЛЬКО В ВАШЕЙ ГОЛОВЕ. Пример: Что храниться в менеджере паролей 12345 54321 88996 Секретная часть у нас в голове skazka Реальные пароли от сайта 12345skazka 54321skazka 88996skazka Таким образом, даже при полной утечке всех паролей из менеджера паролей вы остаетесь в полной безопасности. Ну и для дополнительной защиты рекомендую пароль от основной почты, которую вы указываете при всех регистрациях, хранить тоже только у вас в голове, ведь если получить доступ к почте, то можно восстановить пароль от любого другого приложения.33
Тусяqwerty1231
Жора ШкиперВлюбленный, сильно устаревший совет. Он может помочь от подбора паролей, но любой сервис от этого защищен.0
Аватаркаих под сотню, просто записываю, невозможно всё запомнить. 2-3 пинкода и номера карты держать в голове - это одно, а под сотню разных паролей, разной длины - да я логины-то не всегда помню ))1
EgorikПарольный менеджер с двухфакторной авторизацией.0
Денис ЛеоновОдин мастер-пароль от ключевой электронной почты – в голове (и это единственное надежное место), а остальное (с поправкой на двухэтапную аутентификацию), как мне кажется, можно доверить браузеру, периодически проверяя базы данных (сейчас даже браузеры это делают) на предмет обнаружения утечек. Хранить "секретную" информацию на незащищенном носителе – это такое себе занятие.0
ALINAХовард, ага, тоже частенько пользуюсь восстановлением паролей))1
Dudeгугл и аппле вроде как работают над авторизацией через отпечаток. планирую избавить всех от паролей0
Андрей РотаревНе поверите. Все до единого - в голове. Круто, да?1
Никита ЕрегинВ голове. У меня впринципе один и тот же пароль, но везде разные комбинации и символы1
Валерия СиротинаЛет 15 у меня один пароль. Длинное слово, с разным регистром и цифрой, допустим, Zhopo4kA. И на каждом сайте я добавляю к концу этого слова первые три буквы адреса сайта. Например, Zhopo4kAvko, Zhopo4kAins, и тд. Никогда не подводил, ни разу не забыла. Увидела этот гениальный способ в журнале Игромания.1
Алена СавранчукДобрый день! Раньше хранила пароли у себе в избранном в вк, но потом меня взломали, и я осознала, что это очень ненадежный способ. Храню в заметках в телефоне, пока что)0
nlwskeepass, раньше был 1password, но в свете последних событий, пришлось от них отказаться0
Максим КольцовAlexander, а если реально телефон потеряешь то что тогда делать?0
AlexanderЯ веду историю добавляемых OTP в GA в кипасе, файлик кипаса копируется в 3 места автоматически. собственно пока в GA не было трансфера, так и переносил между телефонами. Суть в том, что 2FA не должна сбрасываться по письму в поддержку! Сброс пароля -- по почте, если сброс 2FA происходит по этой же почте(по письму с этой же почты), то это никакой не 2FA а профанация, за которую CISO или лицу исполняющему его роль должно быть указано на профнепригодность. Если это банк, то (писал в другом комментарии) запрет удалённого восстановления доступа к ДБО должен отправлять меня в отделение или на крайний случай какой-то заведомо более сложный способ подтверждения личности.0
Dmitry ChusovitinТимур, + пользуюсь больше двух лет, все отлично работает, гораздо лучше чем все схожие сервисы. Еще из плюсов: - Есть дополнительные (альтернативные клиенты) - Можно поднять собственный сервер, если очень надо - Есть генератор 2FA кодов (в платной подписке) Хотя есть и небольшие минусы (скорее особенности, не очень влияющие на качество): - Нужная платная подписка для генерации 2FA кодов. Может быть проблемой, если нет возможности оплатить (хотя можно криптой) - Прикрепленные файлы хранятся только на сервере и в бэкап не попадают - Кривая система автозаполнения на Android, хотя это к относится только к самому Android =) Bitwarden не виноват.0
Богиня тленаКакие пароли, зачем - деньги только бумажные теперь, никаких доставок, оплата коммуналки на почте, че там еще.. пенсию почтальон носит. Еще че, онлайн какой-то придумали. А потом всю инфу на запад продадут, а нас на севера расквартируют.0
AndreiПочитал комменты, почесал репу, и пошёл менять пароли... Да уж, мой менеджер паролей в firefox явно не лучший способ0
Сергей БондинМенеджером паролей Avast Passwords кто нибудь пользуется? - Что то можете о нем сказать?0
Amily WТимур, тоже им пользуюсь0
Egor MokeevEnpass. Купил безлимит еще до того как они перешли на модель подписки. Симпатичный дизайн, поддержка, главное, что не сервис. Пароли хранятся только на клиентах, синхронизируются с помощью облака, у меня через яндекс.диск.0
RomanLastPass + YubiKey 5 на связке ключей к нему. По итогу получаю самую безопасную 2-хфакторную аутентификацию на текущий момент, и сплю спокойно.0
Schindler7Пароли нужно хранить только в менеджере паролей и не нужно выкручивать себе фантазиями мозги. Для каждого ресурса свой случайно созданный пароль. Что касается безопасности, то менеджер нужно выбирать проверенный и тот, где нельзя восстановить мастер-пароль, если он был утрачен (например, Roboform, Lastpass и другие). Это означает, что обеспечивается оконечное шифрование. Должна присутствовать двухфакторная авторизация. Мастер-пароль необходимо иметь сложный, а записать только в голове. Его стоит обновлять раз в год хотя бы (вопреки расхожей рекомендации о замене, достаточно обновить лишь несколько символов в нём или символьную фразу). Чтобы не забыть, можно формировать его по какой-то себе известной "маске". На случайных компьютерах стараться не использовать менеджера, даже с двухфакторной авторизацией, т.к. там могут быть установлены грабберы, и ваш мастер-пароль перехватят. Однако и тут не надо паники, если на наиболее важных аккаунтах, например, электропочта, используется тоже двухфакторная авторизация - это ещё одна оборона защиты. Даже при полном захвате менеджера паролей со всем содержимым. Нужно помнить, что не менее 95 % похищений аккаунтов - это вина самого пользователя, который использовал слишком простой пароль (привет, password123), либо ввёл куда-то не туда, а не действия хакеров. Кстати, плюс менеджеров ещё в том, что они сверяют адрес сайта с тем адресом страницы, куда пользователь пытается занести данные. При несовпадении менеджер попросит подтвердить, что сайт тот самый и паролем можно поделиться.0
RomanЕвгений, люто, бешено плюсую!0
NadyaАндрей, либо 2, 3 сайта все лишь , либо на словах ты лев толстой в на деле..0