четверг, 29 сентября 2011 г.

Удобное и надежное хранение паролей


Всем доброго времени суток. После перегруза на работе и отпуска возвращаюсь к своему блогу. Чтобы не было резкого перехода ни для меня, ни для читателей, начну с небольшой заметки о моей инфраструктуре для хранения паролей. Сначала – небольшое лирическое отступление, а самые нетерпеливые могут пролистать до резюме.

История

Лет 15 назад паролей у меня было немного – интернет тогда еще не проник в мелкую бытовую технику :) Время шло, менялись работодатели, множились проекты, открывались новые нужные и ненужные сервисы… И лет 7 назад я понял, что держать важные пароли в голове мне надоело, даже учитывая их “генерацию” по определенным правилам. Альтернатива же использовать одинаковые пароли для разных сервисов была отметена задолго до этого :)

Разумеется, совершенно не хотелось хранить пароли в открытом виде. Поэтому, загуглив первое попавшееся приложение “X” для хранения паролей (которое вызвало некоторое доверие, сейчас уже не помню почему), я стал пользоваться им. Я сознательно не называю “старые” приложения, чтобы не обижать их создателей – при всех недостатках польза от них была существенная.

Основной плюс – надо помнить только один “мастер-пароль”, а это приводит, в зависимости от ситуации, к значительному или небольшому снижению стрессов :)

Промежуточный вывод: когда паролей много – полезно хранить их в надежном хранилище.

Синхронизация

Единственный минус – приходилось таскать пароли на флэшке. После выхода на рынок DropBox эта проблема быстро исчезла. В это же время я озадачился поиском приложения поудобнее, нашел, мигрировал данные (руками, потому что в первом приложении не было импорта) и стал использовать более удобный вариант.

На данный момент альтернативных вариантов синхронизации чуть более чем много, поэтому дам ссылку на то, чем пользуюсь сейчас: DropBox + SugarSync, остальные варианты тоже ищутся без проблем.

Промежуточный вывод: использование “облачных” хранилищ для паролей позволяет не беспокоиться о синхронизации. Разумеется, при необходимости/желании можно использовать другие альтернативы для синхронизации.

Выбор приложения для хранения паролей

К сожалению, только год назад я перешел на KeePass Password Safe.
Перечислять все фичи не буду, остановлюсь на тех, которые интересны для меня:

  • Импорт из длинного списка аналогичных приложений, CSV и т.п.
  • Сравнительно удобный поиск.
  • Каталог в виде дерева (есть у большинства аналогов) с возможностью назначить разные иконки (мелочь, а приятно).
  • Открытие папки с последними изменениями при следующем запуске.
  • Удачное название :)

И перечислю базовые фичи, без которых сложно себе представить нормальное хранилище паролей:

  • Хорошее шифрование информации. Кстати, для особо критичных данных в KeePass можно дополнительно задать файл-ключ и таскать его на флэшке, на случай если основного пароля кажется маловато (использовать эту опцию без мастер-пароля мне кажется нелогичным).
  • Удаление информации из буфера обмена через определенный интервал времени.
  • Сохранение и открытие из приложения URL сервисов.
  • Генерация паролей. В KeePass генерация достаточно удобно настраивается и используется.

Промежуточный вывод: вероятно, есть более удобные альтернативы, однако пока мне все нравится.

Резюме

Краткое резюме рекомендательного характера (прислушиваться или нет – дело ваше):

  • Когда паролей много – полезно хранить их в надежном хранилище – бережем нервные клетки :)
  • Использование “облачных” хранилищ для паролей позволяет не беспокоиться о синхронизации – скажем  так, для особо беспокойных, позволяет меньше беспокоиться о синхронизации (для надежности можно использовать два хранилища).
  • KeePass – хорошее приложение для хранения паролей – рекомендую.

Если у вас есть замечания, пожелания или новые темы – пишите в комментариях или на olegaxenow.reformal.ru. Постараюсь учесть.

14 комментариев:

  1. Я себе ставил этот KeePass, но два раза забывал мастер-пароль. Сейчас пока храню пароли в таблице от гугл-документов.

    ОтветитьУдалить
  2. Неужели удобно каждый раз когда надо куда-то залогиниться лезь в какую-то программу? Можно сделать так: для систем с деньгами - один сложный пароль, почта - другой, ну и третий для всяких сервисов..

    ОтветитьУдалить
  3. Поддерживаю Сергея, тоже пользуюсь такой схемой.

    ОтветитьУдалить
  4. @Артур Терегулов, вероятно поможет мой совет - выбрать пароль по некоторому правилу или сочетанием цифр/символов, который будет просто невозможно забыть и попробовать еще раз ;) А табличку на полгода оставить пока в гугле, а потом удалить.

    @Сергей, @Дмитрий - с одним паролем для нескольких систем с деньгами лично мне было бы некомфортно. Да и к сервисам не хочется один пароль держать - некоторые из них сырые или просто не вызывают доверия - оставишь там пароль, а потом кто-нибудь в твиттере будет от моего имени гадости писать :) Ради интереса посмотрел - у меня сейчас 242 пароля (правда, включая ключи от софта и настройки сети). Где-то половиной давно не пользовался, но мало ли...

    ОтветитьУдалить
  5. Ещё есть интересное предложение базирующееся на мастер-пароле и букмарклете. Итого:
    1. не нужны сторонние программы,
    2. платформенно независимо (Windows, Mac, Linux, браузер, ipad)
    3. быстро в использовании.

    Написал подробно об этом Стас Фомин
    http://lib.custis.ru/SuperGenPass

    Пароли нигде не хранятся и генерируются на лету букмарклетом.

    ОтветитьУдалить
  6. Андрюха, поддерживаю полностью! Супергенпасс - отличная штука. Спасибо Стасу.

    ОтветитьУдалить
  7. IMHO, SuperGenPass хорош как идея, но лично мне KeePass больше подходит как единое хранилище *информации*, связанной с учетными записями (username, email, настройки). Помимо этого, есть пароли (и другая критичная информация, вроде PIN от карт):
    * не связанные с сайтами
    * про которые знают несколько человек - пароли от виртуалок и т.п.

    ОтветитьУдалить
  8. А я предпочитаю хранить пароли в текстовом файле на диске, зашифрованном TrueCrypt (http://www.truecrypt.org/)

    ОтветитьУдалить
  9. Минус в том, что не так удобно бэкапить в облако, по сравнению с отдельным файлом.

    ОтветитьУдалить
  10. Пользуюсь LastPass - очень удобная фича автозаполнение паролей во всех основных браузерах

    ОтветитьУдалить
  11. На LastPass посмотрел - вроде интересно, однако мне всё-таки хочется хранить пароли не только от сайтов. После написания статьи специально обратил внимание, что если исключить "денежные" пароли, паролями для сайтов я пользуюсь реже (куки) чем паролями от виртуалок и т.п.

    А денежные пароли плагину к браузеру я не доверю :)

    ОтветитьУдалить
  12. По поводу денежных паролей согласен на 100%
    Я и сам их не доверяю LastPass.
    Тем более что у них уже были прецеденты со взломом.

    ОтветитьУдалить
  13. А что вы думаете о 1Password?

    ОтветитьУдалить
  14. To @Анонимный
    Про 1Password думаю что у него красивые скриншоты :)

    Если серьезно, чтобы что-то думать надо пробовать. Судя по описанию функционала у него немного больше чем у KeePass, но пробовать что-то, что потом будет стоить $50 не очень не хочется...

    ОтветитьУдалить