如何安全地存储和管理 180 个密码?
Sam*_*mir 145 password-management passwords password-protection
我有大约 180 个密码用于不同的网站和网络服务。它们都存储在一个受密码保护的 Excel 文档中。随着列表越来越长,我越来越关注它的安全性。
受密码保护的 Excel 文档有多安全,或者我应该说不安全?以安全且易于管理的方式存储这么多密码的最佳做法是什么?
我发现 Excel 方法很简单,但我担心安全方面。
Der*_*ler 207
我最喜欢的密码存储工具是KeePass:
什么是 KeePass?
今天,您需要记住许多密码。您需要一个Windows 网络登录密码、您的电子邮件帐户、您网站的FTP 密码、在线密码(如网站会员帐户)等等。这个列表是无止境的。此外,您应该为每个帐户使用不同的密码。因为如果您在任何地方都只使用一个密码而有人得到了这个密码,那么您就有问题了……一个严重的问题。小偷可以访问您的电子邮件帐户、网站等。难以想象。
KeePass 是一个免费的开源密码管理器,它可以帮助您以安全的方式管理您的密码。您可以将所有密码放在一个数据库中,该数据库由一个主密钥或一个密钥文件锁定。因此,您只需记住一个主密码或选择密钥文件即可解锁整个数据库。数据库使用目前已知的最好和最安全的加密算法(AES 和 Twofish)进行加密。有关更多信息,请参阅功能页面。
您可以在其中存储多少个密码是否有限制?
只是理论上。您可以根据需要将任意数量的条目放入数据库,但在某些时候您的 USB 密钥或硬盘驱动器将已满。
有没有办法自动同步更改的密码?
不,不像你期望的那样。
您将希望使其成为常规的手动过程。这不能也不应该自动化。
我喜欢为我所有的密码条目设置到期日期:
然后我记得定期更改我的密码。我用密码条目存储了网站的 URL,所以这是一个快速的过程。
我可以使用此软件自动登录 Facebook 等网站吗?
不,也不会自动(至少据我所知)。但这就是Auto-Type发挥作用的地方。例如,对于 Facebook,这是我的自动类型设置:
如您所见,我为不同的浏览器标题创建了 3 种配置。这让我只需转到facebook.com,按Ctrl+ Alt+ A,就会自动输入用户名和密码,然后我就可以登录了。
如果同一个窗口标题有多个用户名/密码组合,您将看到一个弹出窗口,询问您应该使用哪个密码条目。
手机呢?
有些应用程序支持移动设备上的 KeePass 容器格式。但我远离那些。我只是不喜欢我手机上的 KeePass 数据库的想法。
我更喜欢使用QR Code Generator插件只传输单个密码。它可以让您从密码生成二维码,然后您可以用手机扫描它。拥有一个可以将扫描的内容复制到剪贴板的应用程序会有所帮助。
- 如果您想在 Dropbox 中使用更高的安全性,请将密钥文件与密码结合使用,然后手动将其复制到您想要访问密码的任何计算机或设备上(不要将密钥存储在 Dropbox 中)。AFAIK 这仅适用于 Android 和 root 的 iOS 设备,因为您需要访问文件系统,但没有密钥文件,密码文件几乎无法破解。 (9认同)
- 如果你把它放在 Dropbox 中,你可以在任何地方打开它(有便携版),甚至在你的手机上。此外,它可以导入到 Lastpass。选的好 (3认同)
- @Oliver 这似乎正是我需要的工具。我一定会试试这个。到期日期功能很贴心!并且自动类型很简单。我了解某些网站可能会要求您通过单击他们通过电子邮件发送的链接来确认密码更改,因此,出于这个原因,任何自动同步功能都无法像我想象的那样同步和自动更新密码。这是一个优点,它适用于其他操作系统,而不仅仅是 Windows。丹克奥利!;) (2认同)
- 请注意,KeePass 2 仅适用于 Windows(至少,Linux 上的免费 Mono 解释器运行得非常糟糕)。我在 Mac 和 Linux 上使用了一个名为 KeePassX 的旧版 KeePass 1,它运行良好。 (2认同)
- @Reid:根据我的经验,KeePass2 在 Mono 上运行良好;它只是丑陋,这是一个 Mono 与 .NET 的事情。 (2认同)
mmm*_*mmm 68
似乎有几个易于使用的 Excel 密码破解程序。
我会使用像1password或LastPass这样的密码管理系统,它可以在包括手机在内的多个操作系统上运行。
它们具有适用于大多数浏览器的插件,可以在网络表单中填写密码和其他信息。1password 还可以在浏览器中设置一个书签,它会自动登录(所有应用程序的使用都需要先使用主密码)
1password 还可以存储笔记、账户(例如电子邮件、ftp)和模板,以帮助存储信用卡、银行账户等信息。尽管它是商业广告,但您可以获得一个免费演示,最多可以输入 20 个项目。
两者之间的一个区别是 1password 仅在本地存储数据(尽管您可以使用 dropbox 或类似工具同步加密的数据),Lastpass 可以(必须?有人请纠正这一点)将数据存储在其网站上,允许网络访问数据,不需要保管箱等。
- LastPass 的 +1 - 不幸的是,所有漂亮的格式和图片的答案都适用于 KeePass,因为 LastPass 非常出色:它可以完成 KeePass 所做的一切,但还具有适用于每个主要浏览器、操作系统和移动平台的插件。它还在线存储数据,因此您永远不必担心丢失它*(并在本地缓存它,因此您永远不必担心他们的服务器停机)*,但使用 TNO 加密所有内容(不信任任何人),因此 LastPass 永远不会实际上看到你的密码。很少有我称之为**绝对完美**的程序,但 LastPass 就是其中之一。 (23认同)
- Excel 密码非常容易破解。谷歌 Excel 密码破解器,你会看到很多选项。+1 为 Lastpass。我曾经使用 Roboform,但更喜欢 Lastpass,因为它是跨平台的。我使用他们的密码生成器来随机化密码。 (4认同)
- LastPass 现在还支持通过 Android/iPhone 进行 2 因素身份验证,这意味着有人首先需要窃取您的手机才能启动您的 Authenticator 应用程序(每 30 秒生成一个随机代码)来访问您的密码。 (3认同)
- @Sammy:是的,[大部分功能](https://lastpass.com/features_free.php) 永远免费。[您需要付费的唯一功能](https://lastpass.com/features_premium.php) 是移动应用程序和多因素身份验证,需要“高级帐户”(12 美元/年)。作者并没有试图通过该程序致富 - 我不使用高级功能,但仍然支付高级帐户以表达我的感激之情。我通常只捐赠给开源项目,所以这会告诉你一些事情:) (3认同)
- LastPass 很方便,但主要是封闭源代码并由 LogMeIn 收购。LastPass 的服务器已多次(至少部分地)遭到破坏,他们的客户端允许“*当用户访问恶意网站时,从 LastPass 用户的保险库中读取任意域的明文密码*”,目前(2017 年 3 月)“*LastPass二进制......允许恶意网站执行他们选择的代码。即使没有二进制文件......让恶意网站从受保护的LastPass保险库中窃取密码*”见https://en.wikipedia.org/wiki/ LastPass#Security_issues 供参考 (2认同)
PlT*_*lor 48
我已经使用Lastpass一段时间了,强烈推荐它。它有一些很棒的浏览器插件和一系列功能,可以更轻松地获得更安全的密码。
浏览器插件会自动填写登录信息(登录插件后)。它还具有导出功能,因此您可以检索数据库并将其导入到KeePass中。它还使用两步身份验证以提高安全性。
桌面客户端:
浏览器插件:
- 我喜欢 LastPass 的一个重要原因是因为它很容易在多台计算机上轻松共享一组密码,并且您始终可以通过 Web 界面在随机计算机上访问您的通行证。 (4认同)
- 我使用 lastpass,但是有两个缺点。1) 服务器可能宕机(技术问题,或公司倒闭等) 2) 有些公司不允许,因为您将密码信息发送到公司外。 (2认同)
小智 11
Password Hasher插件(适用于 Firefox)是我个人使用的。
密码哈希器如何提供帮助:
- 自动生成强密码。
- 一个主密钥在许多站点产生不同的密码。
- 通过“碰撞”站点标签快速升级密码。
- 升级主密钥而无需一次更新所有站点。
- 支持不同长度的密码。
- 支持特殊要求,例如数字和标点符号。
- 支持限制哈希词不使用特殊字符。(新的!)
- 将所有数据保存到浏览器的安全密码数据库中。
- 使用您的站点标签和选项设置生成一个可移植的 HTML 页面,允许您在没有安装扩展程序的任何机器上的任何浏览器中生成您的哈希词。(新的!)
- 可以添加标记按钮以在任何网站上取消屏蔽密码。(新的!)
- 使用极其简单!
- 它们必须存放在某个地方,否则它们会被遗忘 (6认同)
- @kutschkem:不,密码不需要存储在某个地方。该插件可能会做的事情(至少我会这样做)是散列站点标签和主密码的连接,这将导致每个站点的密码不同(并且据称是强密码)(不存储任何内容) , 看?)。当然,您的主密码仍然需要很强。优点是每个密码不仅会不同,而且会非常不同(至少如果散列函数很好的话)。 (6认同)
小智 9
我个人使用PasswordMaker从主密码和站点的 URL 生成密码。该项目相当成熟,开源且稳定。它可用于 Firefox(作为扩展)、Linux CLI、Android 等。
这个怎么运作:
警告 - 本节中的技术术语!您向 PasswordMaker 提供两条信息:“主密码”——您喜欢的单一密码——以及需要密码的网站 URL。通过单向哈希算法的魔力,PasswordMaker 计算出一个消息摘要,也称为数字指纹,可用作您网站的密码。尽管单向哈希算法具有许多有趣的特征,但 PasswordMaker 大写的一个特征是生成的指纹(密码)“不会透露有关用于生成它的输入的任何信息。”。换句话说,如果某人拥有您生成的一个或多个密码,那么他推导出您的主密码或计算您的其他密码在计算上是不可行的。