Где и как вы храните пароли?

Где и как вы храните пароли?

56

Защита личных данных — одна из самых обсуждаемых тем кибербезопасности.

В одном из последних эпизодов сериала «Лучше звоните Солу» главный герой проникает в дом мужчины, чтобы сфотографировать его документы, кредитные карты и финансовую отчетность. Впоследствии он продает снимки мошенникам. В кабинете жертвы аферист активно ищет записи с паролями от аккаунтов, потому что убежден, что листок где-то рядом с ними. Так и есть: он прикреплен к основанию настольной лампы.

Во время просмотра я не мог не задуматься о вопросах цифровой безопасности. Стало интересно, как проще и надежнее хранить пароли от аккаунтов. Люди с хорошей памятью спокойно запоминают их — так поступаю и я. Другие записывают пароли на листок, сохраняют их в памяти браузера или используют специальные приложения. Но есть и менее очевидные варианты — например, использовать вариации одного пароля, который изменяется в зависимости от домена сайта. Так можно получить легко запоминаемый, уникальный и надежный пароль.

Где и как вы храните свои пароли? По старинке держите их в голове и подбираете комбинацию, если вдруг забыли? Или давно не забиваете память ненужной информацией и пользуетесь специальными приложениями? А может, просто записываете все в блокнот? Почему пользуетесь именно таким методом? Боитесь ли возможного взлома? Или вам кажется, что вы надежно защищены?

Нет, мы не хотим, чтобы вы выдали себя с поличным. Но от парочки советов не откажемся:
Комментарии проходят модерацию по правилам журнала
Загрузка
0

А вам зачем?)

27

фывфыв, скажите где держите пароли и где ключи от квартиры где деньги лежат ))

7
0

В голове 🤣 а для забытых паролей пользуюсь функцией восстановления)

11

Ховард, ага, тоже частенько пользуюсь восстановлением паролей))

1
0

KeePass

11

Singularity, Поддерживаю!

1
0
Герой

31.08.22, 11:15

Отредактировано

Имею дело с тысячами различных паролей. Упомнить все - невозможно. Выписывать на бумагу - будет несколько увесистых томов. Храню пароли в различных базах на платформе KeePass. Сама софтина с открытым исходным кодом, есть оффлайновые десктопные и мобильные версии, безо всяких облаков или онлайн сервисов. Для шифрования базы паролей используются одновременно алгоритмы AES-256 и Twofish (первый сертифицирован АНБ для использования Госдепом США, второй - один из самых замороченных алгоритмов шифрования в принципе). Для параноиков есть различные варианты хранения базы данных: холодное хранение, распределение прав доступа, защита от записи, логирование всех действий внутри программы, вход в ложные базы по определенному паролю. В плане доступа - есть двухфакторная аутентификация, в т.ч. по брелку генерации кодов или датчику отпечатка пальца. Есть встроенный автозаполнитель полей логина/пароля, не привязанный к браузеру или приложению. Софтина имеет дружественный простой интерфейс, переведена на русский. Как способ хранения паролей могу рекомендовать всем.

7
0
Герой

31.08.22, 10:31

Отредактировано

"Использовать вариации одного пароля, который изменяется в зависимости от домена сайта." - то есть если утек один пароль и скаммер поймет алгоритм, то считай утекли все?

6

Уборщица, если скамер поймет алгоритм то уже ничего не поможет )

2
0

Без разницы, какая сложность, если везде стоит двухфакторная аутентификация B)

4

Lexa,
Главное чтобы 2FA не отключала поддержка по письму "поменял телефон GA нет, памагити"

5

Alexander, а если реально телефон потеряешь то что тогда делать?

0

Я веду историю добавляемых OTP в GA в кипасе, файлик кипаса копируется в 3 места автоматически. собственно пока в GA не было трансфера, так и переносил между телефонами.

Суть в том, что 2FA не должна сбрасываться по письму в поддержку! Сброс пароля -- по почте, если сброс 2FA происходит по этой же почте(по письму с этой же почты), то это никакой не 2FA а профанация, за которую CISO или лицу исполняющему его роль должно быть указано на профнепригодность.
Если это банк, то (писал в другом комментарии) запрет удалённого восстановления доступа к ДБО должен отправлять меня в отделение или на крайний случай какой-то заведомо более сложный способ подтверждения личности.

0
0

Храню пароли в keepass, мастер-пароль от рабочей базы лежит в столе (там из важного только рабочие аккаунты) Остальные личные пароли так же храню в keepass, мастер пароль от которого, сгенереный из рандомных символов просто запомнил)

4
0

На бумажке.

2
0

Не важно, как и где вы пароли храните, а важно, как часто вы их обновляете

2

Влюбленный, сильно устаревший совет. Он может помочь от подбора паролей, но любой сервис от этого защищен.

0
0

1) не использовать пароли там, где есть альтернатива получше
-- если это какой-то редкий магазин -- генерирую случайный и нигде его не сохраняю, сброшу если что.
-- вход по openid получше, но как показали последние события только если есть возможность указать имеил и потом сбросить пароль к учётке
-- смс не является надёжным единственным фактором
2) почти ни один сервис не реализовал нормальный непробиваемый 2fa.
-- российские банки -- отдельный остров абсурда. Есть галочка "запретить удалённый сброс доступов к ДБО", но в приложеньку пустим без пароля, только по коду из СМС. После замены сим-карты работает аналогично. У нас к сожалению нет нормально работающего регулятора который может указать CISO на профнепригодность, https://journal.tinkoff.ru/discuss/financial-neurosis/#c547379
-- сброс 2FA по максимально слёзному письму в поддержку (ну привет, зачем тогда этот 2FA нужен)
3) мне нравится идея входа по сертификатам/эцп . Если бы банки мне такое предложили для переводов больше 100к, подключил бы не особо запариваясь удобством.
4) почти всегда генерирую пароль по алгоритму (их несколько для разной степени важности/требовательности сервиса) и нигде его не записываю/не запоминаю. Алгоритм довольно кривой и часто даёт ошибки, но это плюс, сброшу если что xD
5) если сервис ест пароли с русскими буквами, то использую и их.

2
0

Пароли стараюсь запоминать. Пин-коды самых часто используемых карт запоминаю, но и все пин-коды записываю, зашифровав по одному мне известной системе. Естественно, шифрую и сам факт того, что это записаны пин-коды.

1
0

я из тех людей, кто вечно забывает свои пароли. Часто оказываюсь в ситуации, когда на кассе не могу расплатиться картой, потому что пинкод не подходит.

Часть паролей записана по старинке на бумажке, часть запоминаю, но как показывает практика - плохо запоминаю

1
0

KeePass, дамы и господа.

Удобно можно сгруппировать все пароли, вносить заметки и прочую лабуду :)

1
0
Спортивный редактор

31.08.22, 11:12

Я помню пин-код от одной карты (которой всегда пользуюсь). От других карт тоже прекрасно помню, только не знаю какой пин-код от какой карты))))

От аккаунтов в интернете, будем честны, у меня один пароль, иногда разные вариации, это все я помню. Но так же пароли дублируются в айклауд, поэтому сама их никогда не ввожу.

1
0
Герой

31.08.22, 11:23

Отредактировано

KeePassX - когда паролей стало много оценил удобство использования. Удобно, что в списке не нужно заходить непосредственно в учётку, а по Ctrl+B копируется логин и по Ctrl+С пароль и вставляется куда надо.

1
0

после того как его десятый раз потребуют поменять, причем без повторения предыдущих, причем на нескольких сервисах - никакая память и никакие хитрые системы не помогут

спасибо хром сохраняет

1
0

использовать вариации одного пароля, который изменяется в зависимости от домена сайта

Именно так

1
0
Герой Т—Ж

31.08.22, 12:33

Длинный пароль со всеми вариациями регистров/символов плюс привязка к домену по спец алгоритму.

1
0

BitWarden. Бесплатный, открытый, кроссплатформенный без ограничений на кол-во устройств, есть расширения для всех браузеров и приложения для обеих ОС на смартфонах.

1

Тимур, тоже им пользуюсь

0

Тимур, + пользуюсь больше двух лет, все отлично работает, гораздо лучше чем все схожие сервисы.

Еще из плюсов:
- Есть дополнительные (альтернативные клиенты)
- Можно поднять собственный сервер, если очень надо
- Есть генератор 2FA кодов (в платной подписке)

Хотя есть и небольшие минусы (скорее особенности, не очень влияющие на качество):
- Нужная платная подписка для генерации 2FA кодов. Может быть проблемой, если нет возможности оплатить (хотя можно криптой)
- Прикрепленные файлы хранятся только на сервере и в бэкап не попадают
- Кривая система автозаполнения на Android, хотя это к относится только к самому Android =) Bitwarden не виноват.

0
0

Придумал паттерн для пароля, например мой пароль от ТЖ ********

1
0

qwerty123

1
0

их под сотню, просто записываю, невозможно всё запомнить. 2-3 пинкода и номера карты держать в голове - это одно, а под сотню разных паролей, разной длины - да я логины-то не всегда помню ))

1
0

Не поверите. Все до единого - в голове. Круто, да?

1

Андрей, либо 2, 3 сайта все лишь , либо на словах ты лев толстой в на деле..

0
0

В голове. У меня впринципе один и тот же пароль, но везде разные комбинации и символы

1
0

Лет 15 у меня один пароль. Длинное слово, с разным регистром и цифрой, допустим, Zhopo4kA. И на каждом сайте я добавляю к концу этого слова первые три буквы адреса сайта. Например, Zhopo4kAvko, Zhopo4kAins, и тд. Никогда не подводил, ни разу не забыла. Увидела этот гениальный способ в журнале Игромания.

1
0

Парольный менеджер с двухфакторной авторизацией.

0
0

Один мастер-пароль от ключевой электронной почты – в голове (и это единственное надежное место), а остальное (с поправкой на двухэтапную аутентификацию), как мне кажется, можно доверить браузеру, периодически проверяя базы данных (сейчас даже браузеры это делают) на предмет обнаружения утечек. Хранить "секретную" информацию на незащищенном носителе – это такое себе занятие.

0
0

гугл и аппле вроде как работают над авторизацией через отпечаток. планирую избавить всех от паролей

0
0

Добрый день! Раньше хранила пароли у себе в избранном в вк, но потом меня взломали, и я осознала, что это очень ненадежный способ. Храню в заметках в телефоне, пока что)

0
0

keepass, раньше был 1password, но в свете последних событий, пришлось от них отказаться

0
0

Какие пароли, зачем - деньги только бумажные теперь, никаких доставок, оплата коммуналки на почте, че там еще.. пенсию почтальон носит. Еще че, онлайн какой-то придумали. А потом всю инфу на запад продадут, а нас на севера расквартируют.

0
0

Почитал комменты, почесал репу, и пошёл менять пароли...
Да уж, мой менеджер паролей в firefox явно не лучший способ

0
0

Менеджером паролей Avast Passwords кто нибудь пользуется? - Что то можете о нем сказать?

0
0

Enpass. Купил безлимит еще до того как они перешли на модель подписки. Симпатичный дизайн, поддержка, главное, что не сервис. Пароли хранятся только на клиентах, синхронизируются с помощью облака, у меня через яндекс.диск.

0
0

LastPass + YubiKey 5 на связке ключей к нему. По итогу получаю самую безопасную 2-хфакторную аутентификацию на текущий момент, и сплю спокойно.

0
0

Пароли нужно хранить только в менеджере паролей и не нужно выкручивать себе фантазиями мозги. Для каждого ресурса свой случайно созданный пароль. Что касается безопасности, то менеджер нужно выбирать проверенный и тот, где нельзя восстановить мастер-пароль, если он был утрачен (например, Roboform, Lastpass и другие). Это означает, что обеспечивается оконечное шифрование. Должна присутствовать двухфакторная авторизация. Мастер-пароль необходимо иметь сложный, а записать только в голове. Его стоит обновлять раз в год хотя бы (вопреки расхожей рекомендации о замене, достаточно обновить лишь несколько символов в нём или символьную фразу). Чтобы не забыть, можно формировать его по какой-то себе известной "маске". На случайных компьютерах стараться не использовать менеджера, даже с двухфакторной авторизацией, т.к. там могут быть установлены грабберы, и ваш мастер-пароль перехватят.

Однако и тут не надо паники, если на наиболее важных аккаунтах, например, электропочта, используется тоже двухфакторная авторизация - это ещё одна оборона защиты. Даже при полном захвате менеджера паролей со всем содержимым.

Нужно помнить, что не менее 95 % похищений аккаунтов - это вина самого пользователя, который использовал слишком простой пароль (привет, password123), либо ввёл куда-то не туда, а не действия хакеров. Кстати, плюс менеджеров ещё в том, что они сверяют адрес сайта с тем адресом страницы, куда пользователь пытается занести данные. При несовпадении менеджер попросит подтвердить, что сайт тот самый и паролем можно поделиться.

0

Комментарий удален пользователем

Viktor, рассказываю лайфхак который я прочитал в методичке по безопасности от какого-то крипто-энтузиаста.

У вас каждый пароль должен быть максимально надежным и длинным и помнить его не обязательно, достаточно фиксировать в менеджере паролей. Но как вы уже сказали, менеджеры паролей - это одни большие дыры по утечке информации. Чтобы вам были не страшны эти утечки достаточно придумать какую-то секретную часть которую вы всегда будете вводить вручную. Секретная часть должна храниться ТОЛЬКО В ВАШЕЙ ГОЛОВЕ.

Пример:

Что храниться в менеджере паролей
12345
54321
88996

Секретная часть у нас в голове
skazka

Реальные пароли от сайта
12345skazka
54321skazka
88996skazka

Таким образом, даже при полной утечке всех паролей из менеджера паролей вы остаетесь в полной безопасности.

Ну и для дополнительной защиты рекомендую пароль от основной почты, которую вы указываете при всех регистрациях, хранить тоже только у вас в голове, ведь если получить доступ к почте, то можно восстановить пароль от любого другого приложения.

33

Евгений, люто, бешено плюсую!

0

Сообщество