Was ist das sicherste Online-Passwortsystem?

11

Es ist so schwierig, Dutzende von Passwörtern an verschiedenen Orten zu verfolgen. Die Synchronisierung schlägt von Zeit zu Zeit fehl und es kommt zu einem Kollisionskorrektur-Vermeidungssyndrom.

Gibt es irgendwo eine einzige Quelle für sichere, kommerzielle Online-Passwortspeicherung? Eine, die es in den kommenden Jahren geben wird und die wirklich sicher genug ist, um Schutz zu gewährleisten?

password  password-management 
Darian Miller
quelle
1
Meinen Sie die sicherste oder eine, die am wenigsten Probleme verursacht?
Ojblass
Online == manchmal nicht verfügbar, wenn Sie es brauchen. Bleib bei einem PDA oder so.
womble
"Online = nicht verfügbar" ist wahrscheinlich weniger problematisch als die Verwendung eines PDAs. (Ich kann es mir einfach nicht zur Gewohnheit machen, einen zu tragen.)
Darian Miller
Wie wäre es mit Online == reproduzierbar mit ein wenig Speicher und einem Computer? (dh ein oder zwei Passwörter mit den Domänen
haschen, zu denen

Antworten:

11

Verwenden Sie die Tastatur und speichern Sie die Datenbank in Google Mail, Live Mesh oder einer beliebigen Online-Dateistorrage-Lösung. Dann können Sie immer eine Kopie davon zur Verwendung erhalten, vorausgesetzt, Sie haben Zugriff auf die Tastatur, die sich auf einem Flash-Laufwerk und einer Internetverbindung befinden kann.

Jared
quelle
Dies ist die Lösung, an der ich gerade arbeite und mich gefragt habe, ob es etwas Besseres gibt.
Darian Miller
(+1 im Moment ... wird die Antwort sein, wenn keine anderen Ideen auftauchen) Danke
Darian Miller
4

Wenn Sie wirklich auf ein Online-Modell eingestellt sind, verwenden einige meiner Mitarbeiter Passpack , und sie sind ziemlich zufrieden damit. Ich kann nicht ja oder nein sagen, weil ich es nicht benutze, aber es scheint ziemlich sicher und sicher zu sein.

RascalKing
quelle
+1 Danke. Ich habe das vor einiger Zeit gesehen und es hat mein Interesse geweckt, aber ich habe mich nie wohl genug gefühlt, um den Abzug zu betätigen und alle Passwörter auf einen kostenlosen Dienst zu laden.
Darian Miller
4

Ich habe festgestellt, dass LastPass ein wunderbarer Passwort-Manager für meine persönlichen Passwörter ist. Überprüfen Sie die Funktionsliste .

Ich bin immer noch auf der Suche nach dem besten (und dennoch erschwinglichen) unternehmenswürdigen Passwort-Manager .

Nathan Hartley
quelle
1
Wie sieht diese Entscheidung zwei Jahre später aus?
Jldugger
Ich benutze LastPass immer noch gerne für meinen persönlichen Manager für sichere Informationen. Fühlte mich noch besser, nachdem Steve Gibson seine Zustimmung gegeben hatte ( twit.tv/sn256 ). Leider keine Bewegung (intern) auf der Unternehmenslösung ....
Nathan Hartley
1
LastPass hat jetzt eine Unternehmensversion. Keine Ahnung wie es ist (aber ich schaue es mir bald an, wir könnten so etwas gebrauchen).
Ronald Pottol
3

Ich würde keinen online verwenden. Ich würde (und würde) KeePass verwenden . Nebenbei bemerkt können Sie hier die grobe Stärke Ihrer Passwörter überprüfen

Jim B.
quelle
1
+1 KeePass ist gut, wenn auch nicht ganz so praktisch wie KWallet oder der integrierte Passwort-Manager von Firefox ... aber ich stimme voll und ganz dem Punkt zu, dass Passwörter lokal und privat aufbewahrt und nicht auf einer Website gespeichert werden sollten (es sei denn, Sie haben die Website erstellt Code selbst und hosten es auf Ihrem eigenen Server, auf den sonst niemand Zugriff hat)
David Z
er bat um einen "Online" -Dienst.
CD1
Keepass ist in Verbindung mit Live-Mesh oder anderen Online-Speichern, wie von Jared vorgeschlagen, eine Option. Ich habe KeePass nicht verwendet, werde es mir aber ansehen. (Ich benutze E-Wallet seit Jahren.) Danke.
Darian Miller
@ cd1- Mir ist klar, dass Darian nach einem Onlinedienst gefragt hat, aber ich kann nicht guten Gewissens empfehlen, dass jemand Passwörter in etwas speichert, über das er keine physische Kontrolle hat. Jede Frage vom Typ IT (ohne Fehlerbehebung) sollte (IMHO) mit dem Gedanken bewertet werden, dass sie, selbst wenn möglich, die beste Lösung für das beabsichtigte Ziel ist. Ich nehme an, die Antwort hätte einfach "Nein" sein können, aber das wäre nicht sehr informativ gewesen.
Jim B
3

Bruce Schneier hat Password Safe, das Bruce Schneier bei Bedarf bestätigen kann. Es könnte jedoch nur Windows sein. http://www.schneier.com/passsafe.html

thepocketwade
quelle
1
Es steht eine Java-Version zum Download zur Verfügung, die überall funktionieren sollte. Ich habe eine Kopie auf meinem USB-Stick.
Seiten
Ich habe eine Kopie von mir in meinem Dropbox-Konto.
Reconbot
1

Ich würde nicht empfehlen, auch einen Onlinedienst zu nutzen. Sie können nicht garantieren, dass Ihre Daten nicht für andere zugänglich sind. Wenn Sie auf einem Linux-System arbeiten, versuchen Sie es mit Revelation , einfach und unkompliziert

katriel
quelle
1

Schauen Sie sich Yubicos Yubikey an. es klingt so, als ob es das sein könnte, wonach Sie suchen. Ein Yubikey, der mit einem MacBook verbunden ist http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Die Standardkonfiguration (dh die entworfene Konfiguration) soll als einmaliges Pad für die Online-Zwei-Faktor-Authentifizierung verwendet werden. Sie verfügt jedoch auch über einen "statischen Kennwort" -Modus, in dem 64 Pseudozufallszeichen ausgegeben werden grüner kapazitiver Kreis wird berührt. Funktioniert als USB-Tastatur, ist also universell und funktioniert auch offline. Das statische Kennwort für zufällige Zeichenfolgen kann jederzeit geändert werden.

Etwas mehr als 30 $ und kommt in einem normalen 30-Gramm-Umschlag (was ich für zu cool hielt, um wahr zu sein) und in kürzester Zeit flach.

Ehrlich gesagt sind alle Tricks, eine verschlüsselte Datei auf einem USB-Stick zu speichern, gleichzeitig ein gewaltiger Aufwand und größtenteils unnötig. Alles, was Sie brauchen, ist ein Passwort mit angemessener Entropie, das Sie nicht leicht erraten oder brutal erzwingen können. Yubikey betreten.

Ich entwickle einige OTP-Online-Authentifizierungsanwendungen mit ihrer API. Eigentlich ist es ziemlich ordentlich. Ich kann auch für seine körperliche Robustheit bürgen.

Erläuterung : Ich habe dies als Alternative zur Online-Speicherung von Passwörtern angeboten, insbesondere da es API-basiert ist und online verwendet werden kann. Es könnte jedoch auch als Ersatz für mehrere Passwörter dienen, wenn Sie damit vertraut sind.

msanford
quelle
2
YubiKeys sind großartig, aber Sie benötigen immer noch einen Authentifizierungsserver und eine nützliche Anwendung, die mit dem Authentifizierungsserver kommuniziert, damit er etwas Wertvolles tut.
Nathan Hartley
1
+1 @nathan das ist leider wahr, obwohl du zumindest ein langes Passwort hast, was gut ist.
Msanford
1
Ich wollte schon lange mit einem spielen, ich habe nur einen dank dir bestellt.
Reconbot
@wizard, schade, dass sie kein Empfehlungsprogramm haben ^ _ ^ Wirklich, aber ich denke, Sie werden den Yubikey 2 genießen. Ich werde in Kürze einen bestellen, um ihn auszuprobieren.
Msanford
1

SuperGenPass könnte Ihre Antwort sein. Es speichert nichts, kann von jedem Browser aus verwendet werden, es werden keine Konten benötigt. Es funktioniert, indem ein "Master" -Kennwort mit den beiden obersten Ebenen der Domäne gehasht wird. Ich habe mit dem Schöpfer geplaudert, er ist ein freundlicher Typ.

Von ihrer Website:

SuperGenPass ist eine andere Art von Passwort-Manager. Anstatt Ihre Kennwörter auf Ihrer Festplatte oder online zu speichern - wo sie anfällig für Diebstahl und Datenverlust sind - verwendet SuperGenPass einen Hash-Algorithmus, um ein Hauptkennwort in eindeutige, komplexe Kennwörter für die von Ihnen besuchten Websites umzuwandeln. Es muss keine Software installiert werden: SuperGenPass ist ein Lesezeichen und wird direkt in Ihrem Webbrowser ausgeführt. Und da Ihre Passwörter niemals gespeichert oder übertragen werden, ist es ideal für die Verwendung auf mehreren und öffentlichen Computern. Es ist auch völlig kostenlos.

Da es sich um Javascript handelt, hat es viele Codeüberprüfungen. Es hat ein Lesezeichen, das auf 99% der Websites, auf denen ich es ausprobiert habe, perfekt funktioniert hat, und gelegentlich kann es das nicht einfach verwenden mobile Version und kopieren und einfügen.

Reconbot
quelle
1

1Password ist großartig (aber wenn Sie ein Mac-Benutzer sind, können Sie nur einen Schlüsselbund verwenden)

Monomythos
quelle
1

Je einfacher das System, desto besser.

Stellen Sie sich ein Passwortsystem vor, das besteht aus:

  1. ein starkes Master-Passwort
  2. eine eindeutige ID für jede Site

Da Ihr Hauptkennwort sehr lang ist, schnell eingegeben werden kann und in keinem Wörterbuch gefunden wird (z. B. Very12% Long91! Password86 # EasilyTyped), ist das Kennwort, das Sie bei example.com verwenden, ein Hash eines Hash von Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Es gibt Browser-Erweiterungen, die Ihnen dabei helfen können. Es ist etwas ärgerlich, dieses System auf Nicht-Web-Systemen zu verwenden, die sich keine Passwörter merken können, und Sie müssen ein Schema erfinden, falls jemand Sie zwangsläufig dazu bringt, Passwörter zu ändern.

Natürlich können Sie Ihr Master-Passwort nur auf vertrauenswürdigen Terminals eingeben.

Alex Holst
quelle
Es scheint mir, dass die Verwendung von Hashes als Passwort das Passwort 'Leerzeichen' stark reduzieren würde ...
S19N
Wie denkst du?
Alex Holst
0

GPG-verschlüsselte Textdatei in der Versionskontrolle gespeichert. Verwenden Sie einige Skripte, um die Datei wie gewünscht zu entschlüsseln / zu verschlüsseln. Sie steuern die Verfügbarkeit der Datei, können die verteilte Versionskontrolle verwenden, um auch dann Zugriff zu haben, wenn Sie offline sind, und wie lange sie verfügbar sein wird, bestimmen Sie (dh es ist einfach, bei Bedarf zu verschiedenen Systemen zu wechseln). Gpg bietet außerdem den Vorteil, dass mehrere Empfänger verschlüsselt werden können, sodass mehr als eine Person die Kennwortdatei anzeigen kann. Verschlüsseln Sie verschiedene Dateien für verschiedene Empfänger, um zu begrenzen, wer für eine bestimmte Gruppe auf Anmeldeinformationen zugreifen kann.

Kennzeichen
quelle
0

Dies ist keine Antwort auf Ihre Frage, aber es hängt damit zusammen - die Führungskräfte von Twitter hatten gerade ihre Google-Konten aufgebrochen und enthüllten eine Reihe vertraulicher Informationen über das Unternehmen.

Ich gehe davon aus, dass Twitter ein viel größeres Ziel ist als Sie, was sicherlich etwas mit dem Einbruch zu tun hat. Ich denke auch nicht, dass dieser Vorfall Cloud Computing vollständig ausschließt. JEDER Online-Passwortdienst ist jedoch ein großes Ziel. Passwörter sind zu wichtig, um sie online zu speichern.

Carl C.
quelle
0

Ich würde zögern, meine vertraulichen Informationen bei einem externen Unternehmen zu speichern. Haben Sie darüber nachgedacht, ein webbasiertes Produkt selbst zu implementieren? Sie können es dann nach außen ausrichten, wenn Sie möchten, und es von überall zugänglich machen.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.