5 надежных способов хранить пароли

В последние годы появляется все больше различных сервисов, сайтов и приложений, требующих регистрации и паролей.

Мы спросили у читателей Тинькофф Журнала, как им удается не путаться и не терять ни одного пароля. Собрали пять надежных способов их хранения — от традиционных с записью в блокнот или заметки до необычных с использованием специальной карты.

Пароли храню в голове, а для забытых пользуюсь функцией восстановления :)

Пароли стараюсь запоминать. Пин-коды самых часто используемых карт запоминаю, но и все пин-коды записываю, зашифровав их по одному мне известной системе. Естественно, шифрую и сам факт того, что это записаны пин-коды.

Я из тех людей, кто вечно забывает свои пароли. Часто оказываюсь в ситуации, когда на кассе не могу расплатиться картой, потому что пин-код не подходит. Часть паролей записана по старинке на бумажке, часть запоминаю, но, как показывает практика, плохо.

Паролей под сотню, просто записываю, ведь невозможно все запомнить. Два-три пин-кода и номера карты держать в голове — это одно, а под сотню разных паролей, разной длины… Да я логины-то не всегда помню :)

Не поверите. Все до единого — в голове. Круто, да?

Имею дело с тысячами различных паролей. Упомнить все невозможно. Выписывать на бумагу — будет несколько увесистых томов. Храню пароли в различных базах на платформе KeePass. Сама софтина с открытым исходным кодом, есть офлайновые десктопные и мобильные версии, без всяких облаков или онлайн-сервисов. Для шифрования базы паролей используются одновременно алгоритмы AES-256 и Twofish: первый сертифицирован АНБ для использования Госдепом США, второй — один из самых замороченных алгоритмов шифрования в принципе.

Для параноиков есть различные варианты хранения базы данных: холодное хранение, распределение прав доступа, защита от записи, логирование всех действий внутри программы, вход в ложные базы по определенному паролю. В плане доступа есть двухфакторная аутентификация, в том числе по брелоку генерации кодов или датчику отпечатка пальца. Есть встроенный автозаполнитель полей логина и пароля, не привязанный к браузеру или приложению. Софтина имеет дружественный простой интерфейс, переведена на русский. Как способ хранения паролей могу рекомендовать всем.

Использую KeePassX. Когда паролей стало много, оценил удобство использования. Удобно, что в списке не нужно заходить непосредственно в учетку, по Ctrl + B копируется логин, по Ctrl + С — пароль и вставляется куда надо.

Пользуюсь Bitwarden больше двух лет, все отлично работает, гораздо лучше, чем все схожие сервисы.

Из плюсов:

• есть дополнительные, альтернативные клиенты;
• можно поднять собственный сервер, если очень надо;
• есть генератор 2FA-кодов в платной подписке.

Хотя есть и небольшие минусы — скорее особенности, не очень влияющие на качество:

• нужна платная подписка для генерации 2FA-кодов. Может быть проблемой, если нет возможности оплатить, хотя можно криптой;
• прикрепленные файлы хранятся только на сервере и в бэкап не попадают;
• кривая система автозаполнения на Android, хотя это относится только к самому Android. Bitwarden не виноват.

Пользуюсь приложением Dashlane на Android уже года три. Очень удобно, избавляет от необходимости запоминать пароли, которых у меня хоть отбавляй.

Крайне советую установить четырехзначный код для входа в приложение, иначе придется вместо этого каждый раз вводить очень длинный пароль аккаунта.

Использую LastPass и YubiKey 5 на связке ключей к нему. По итогу получаю самую безопасную двухфакторную аутентификацию на текущий момент и сплю спокойно.

Раньше хранил в расширении к браузеру LastPass, потом услышал, что его несколько раз… В общем, ненадежен оказался, а в плане удобства — 10 баллов.

Неделю назад спросил у своего админа, что посоветует. Он ответил, что пользуется KeePass. Поставил, пользуюсь — норм. Интерфейс немного устарелый, но в целом сойдет.

Использую Enpass. Купил безлимит еще до того, как они перешли на модель подписки. Симпатичный дизайн, есть поддержка, главное, что не сервис. Пароли хранятся только на клиентах, синхронизируются с помощью облака — у меня через «Яндекс-диск».

Один мастер-пароль от ключевой электронной почты — в голове, ведь это единственное надежное место. А остальное, с поправкой на двухэтапную аутентификацию, как мне кажется, можно доверить браузеру, периодически проверяя базы данных на предмет обнаружения утечек: сейчас даже браузеры это делают. Хранить «секретную» информацию на незащищенном носителе — это так себе занятие.

Пароль уровня qwerty для всякой шляпы типа торрент-сайтов или форумов, пароли Steam, Windows — в блокнотике, их проще посмотреть, чем восстанавливать. Пароль от «Гугл-почты» помню наизусть. Часть паролей запомнена в аккаунте браузера. Ну и много где логин по аккаунту соцсети или «Гугла».

Рассказываю лайфхак, который я прочитал в методичке по безопасности от какого-то криптоэнтузиаста.

У вас каждый пароль должен быть максимально надежным и длинным. Помнить его не обязательно, достаточно фиксировать в менеджере паролей. Но менеджеры паролей — это одни большие дыры по утечке информации. Чтобы вам были не страшны эти утечки, достаточно придумать какую-то секретную часть, которую вы всегда будете вводить вручную. Секретная часть должна храниться только в вашей голове.

Пример. Что хранится в менеджере паролей: 12345, 54321, 88996. Секретная часть у нас в голове: skazka. Реальные пароли от сайта: 12345skazka, 54321skazka, 88996skazka.

Таким образом, даже при полной утечке всех паролей из менеджера паролей вы остаетесь в полной безопасности.

Ну и для дополнительной защиты рекомендую пароль от основной почты, которую вы указываете при всех регистрациях, хранить тоже только у вас в голове. Ведь если получить доступ к почте, можно восстановить пароль от любого другого приложения.

Лет 15 у меня один пароль — длинное слово с разным регистром и цифрой. Допустим, Zhopo4kA. И на каждом сайте я добавляю к концу этого слова первые три буквы адреса сайта. Например, Zhopo4kAvko, Zhopo4kAins и так далее.

Никогда не подводил, ни разу не забыла. Увидела этот гениальный способ в журнале «Игромания».

Приложения — это дыры, фактически отдаешь пароли кому попало. Записывать — так себе. Пока что парольная карта — это единственный сколь-либо защищенный способ хранения паролей.