什么是最安全的在线密码系统?

11

很难在不同位置跟踪数十个密码。同步有时会失败,最终会导致避免冲突纠正综合症。

哪里有安全,在线,商业密码存储的单一来源?一种将在未来数年内出现,另一种真正足以确保受到保护的安全性?

password  password-management 
达里安·米勒(Darian Miller)
source
1
您是说最安全的还是导致问题最少的设备?
ojblass
在线==有时在您需要时不可用。坚持使用PDA或其他东西。
womble
与依靠PDA可用相比,“在线=不可用”的问题可能更少。(我只是无法养成随身携带的习惯。)
Darian Miller 2009年
只需很少的内存和一台计算机,Online ==可重现吗?(即使用帐户所属的域对一个或两个密码进行哈希处理)
reconbot

Answers:

11

使用密钥密码并将数据库存储在gmail,实时网格或所需的任何在线文件存储解决方案中。然后,只要您可以访问可以通过闪存驱动器和互联网连接的密钥通道,就可以始终获取该副本以供使用。

杰瑞德
source
这是我目前正在使用的解决方案,想知道是否还有更好的解决方案。
Darian Miller
(如果没有其他想法,现在是+1 ...将会是答案)谢谢
Darian Miller 2009年
4

如果您真的是在线模型,那么我的一些同事会使用Passpack,他们对此非常满意。我不能说是或否,因为我不使用它,但是它似乎很安全。

霸王
source
+1谢谢。我已经看过一段时间了,它引起了我的兴趣,但从来没有感到足够舒服以“拉动触发器”并将所有密码加载到免费服务上。
Darian Miller
4

我发现LastPass是我个人密码的出色密码管理器。查看功能列表

我仍在寻找最好的(但价格合理)的企业级密码管理器

内森·哈特利
source
1
两年后,这个决定看起来如何?
jldugger 2011年
仍然很乐意使用LastPass作为我的个人安全信息管理器。在史蒂夫·吉布森(Steve Gibson)批准后(twit.tv/sn256),对此感觉甚至更好。可悲的是,企业解决方案没有(内部)动静。……
Nathan Hartley
1
LastPass现在具有企业版。不知道它是怎么回事(但是我很快就在看,我们可以使用这种东西)。
罗纳德·帕托
3

我不会在线使用。我会(并且愿意)使用KeePass。另外,您可以在此处检查密码的粗略强度

吉姆·B
source
1
+1 KeePass很好,虽然不如KWallet或Firefox的内置密码管理器那样方便……但是我完全同意密码应在本地和私人保存的观点,而不是存储在网站上(除非您创建了网站)自己编写代码并将其托管在您自己的服务器上,其他人都无法访问)
David Z
他要求提供“在线”服务。
cd1
可以将Keepass与实时网格或其他在线存储(例如Jared建议的)结合使用。我没有用过KeePass,但会看看。(我已经使用电子钱包多年了。)谢谢。
Darian Miller
@ cd1-我知道Darian正在要求在线服务,但是我不能凭良心推荐任何人将密码存储在他们没有物理控制权的地方。每个IT类型(非故障排除)问题都应以(IMHO)评估为前提,即使可能,这也是实现预期目标的最佳解决方案。我想答案可能只是“否”,但那不是很有帮助。
Jim B
3

布鲁斯·施耐尔(Bruce Schneier)拥有“密码安全”,如果您愿意的话,该密码足够安全,布鲁斯·施耐尔(Bruce Schneier)可以认可。虽然可能只有Windows。 http://www.schneier.com/passsafe.html

扒手
source
1
有一个Java版本可供下载,应该可以在任何地方使用。我在USB闪存盘上保留一份副本。
pgs
我在我的保管箱帐户中保留了一份我的副本。
reconbot
1

我也不建议使用在线服务。您不能保证他人无法访问您的数据。如果您使用的是Linux系统,请尝试Revelation,简单而直接

卡特里尔
source
1

看看Yubico的Yubikey;听起来可能是您要找的东西。 连接到MacBook的Yubikey http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

它的默认(即,设计的)配置将用作在线进行双重身份验证的一次性密码,但它也具有“静态密码”模式,该模式将在少量输入时输出(相同)64个伪随机字符触摸了绿色的电容性圆圈。可用作USB键盘,因此通用,甚至可以离线使用。随机字符串静态密码可以随时更改。

30美元多一点,装在一个普通的30克信封中(我认为这太酷了,难以置信),并且刻不容缓。

坦白地说,将加密文件保存在USB密钥上的所有技巧都是一次巨大的麻烦,而且几乎是不必要的。您所需要的只是具有合理熵的密码,您不容易猜测或破解。输入Yubikey。

我正在使用其API开发一些OTP在线身份验证应用程序;实际上,它非常整洁。我也可以保证它的坚固性。

澄清:我将其作为在线密码存储的替代方法,尤其是因为它基于API,并且可以在线使用。不过,如果您愿意的话,它也可以代替多个密码。

桑福德
source
2
YubiKeys很不错,但是您仍然需要身份验证服务器和与身份验证服务器对话的有用应用程序,以使其发挥任何有价值的作用。
内森·哈特利2009年
1
+1 @nathan遗憾的是,尽管您确实有一个长密码,但这确实是正确的。
msanford
1
我一直想和一个人玩很久了,我只是点了一个谢谢你。
reconbot
@wizard,太可惜了他们没有推荐程序^ _ ^不过,实际上,我认为您会喜欢Yubikey 2的。我将很快订购一个Yubikey 2。
msanford
1

SuperGenPass可能是您的答案。它不存储任何内容,可以在任何浏览器中使用,不需要任何帐户。它通过对域的前两个级别的“主”密码进行哈希处理来工作。我已经与创作者聊天,他是一个友好的人。

从他们的网站:

SuperGenPass是另一种密码管理器。SuperGenPass无需将密码存储在硬盘上或网上(因为它们容易遭到盗窃和数据丢失),而是使用哈希算法将主密码转换为所访问网站的唯一,复杂的密码。没有要安装的软件:SuperGenPass是一个书签,可以在您的Web浏览器中运行。而且由于它从不存储或传输密码,因此非常适合在多台公共计算机上使用。它也是完全免费的。

作为javascript,它已经进行了大量代码审查,它具有一个书签,可以在我尝试过的99%的网站上完美运行,而且有时您还不能轻松使用移动版本并复制和粘贴。

侦察机器人
source
1

系统越简单越好。

考虑一个密码系统,该密码系统包括:

  1. 强大的主密码
  2. 每个网站的唯一ID

因此,由于您的主密码非常长,输入速度快并且在任何词典中都找不到(例如,Very12%Long91!Password86#EasilyTyped),因此在example.com上使用的密码将是Very12%Long91!Password86的哈希值#EasilyTyped + example.com

$ echo -n'非常12%Long91!Password86#EasilyTyped + example.com'| sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

有浏览器扩展程序可以帮助您。在不提供密码记住功能的非Web系统上使用该系统有点烦人,并且您必须发明一种方案,以防有人频繁地更改密码。

当然,您只能在可信任的终端上输入主密码。

亚历克斯·霍尔斯特(Alex Holst)
source
在我看来,使用哈希作为密码将大大减少密码的“空格” ...
S19N 2012年
你如何看待?
亚历克斯·霍尔斯特
0

Gpg加密的文本文件存储在版本控制中。根据需要使用几个脚本来解密/加密文件。您可以控制文件的可用性,可以在离线状态下使用分布式版本控制来访问文件,并且文件的可用时间由您确定(即,如果需要,可以轻松切换到其他系统)。Gpg还具有能够加密多个收件人的优点,允许多个人查看密码文件。将不同的文件加密给不同的收件人,以限制谁可以访问特定组的凭据。

标记
source
0

这不是您问题的答案,而是相关的-Twitter的高管刚刚闯入了他们的Google帐户,公开了有关该公司的大量机密信息。

我假设Twitter是一个比您更大的目标,因此与入侵有关。我也不认为此事件会完全排除云计算。但是,任何在线密码服务都是一个很大的目标。密码太重要,无法在线存储。

卡尔·C
source
0

我不愿意将我的敏感信息存储在外部公司中。您是否考虑过自己实施基于Web的产品;然后,您可以根据需要使它朝外,从而可以从任何地方访问它。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.