Всем доброго времени суток. После перегруза на работе и отпуска возвращаюсь к своему блогу. Чтобы не было резкого перехода ни для меня, ни для читателей, начну с небольшой заметки о моей инфраструктуре для хранения паролей. Сначала – небольшое лирическое отступление, а самые нетерпеливые могут пролистать до резюме.
История
Лет 15 назад паролей у меня было немного – интернет тогда еще не проник в мелкую бытовую технику :) Время шло, менялись работодатели, множились проекты, открывались новые нужные и ненужные сервисы… И лет 7 назад я понял, что держать важные пароли в голове мне надоело, даже учитывая их “генерацию” по определенным правилам. Альтернатива же использовать одинаковые пароли для разных сервисов была отметена задолго до этого :)
Разумеется, совершенно не хотелось хранить пароли в открытом виде. Поэтому, загуглив первое попавшееся приложение “X” для хранения паролей (которое вызвало некоторое доверие, сейчас уже не помню почему), я стал пользоваться им. Я сознательно не называю “старые” приложения, чтобы не обижать их создателей – при всех недостатках польза от них была существенная.
Основной плюс – надо помнить только один “мастер-пароль”, а это приводит, в зависимости от ситуации, к значительному или небольшому снижению стрессов :)
Промежуточный вывод: когда паролей много – полезно хранить их в надежном хранилище.
Синхронизация
Единственный минус – приходилось таскать пароли на флэшке. После выхода на рынок DropBox эта проблема быстро исчезла. В это же время я озадачился поиском приложения поудобнее, нашел, мигрировал данные (руками, потому что в первом приложении не было импорта) и стал использовать более удобный вариант.
На данный момент альтернативных вариантов синхронизации чуть более чем много, поэтому дам ссылку на то, чем пользуюсь сейчас: DropBox + SugarSync, остальные варианты тоже ищутся без проблем.
Промежуточный вывод: использование “облачных” хранилищ для паролей позволяет не беспокоиться о синхронизации. Разумеется, при необходимости/желании можно использовать другие альтернативы для синхронизации.
Выбор приложения для хранения паролей
К сожалению, только год назад я перешел на KeePass Password Safe.
Перечислять все фичи не буду, остановлюсь на тех, которые интересны для меня:
- Импорт из длинного списка аналогичных приложений, CSV и т.п.
- Сравнительно удобный поиск.
- Каталог в виде дерева (есть у большинства аналогов) с возможностью назначить разные иконки (мелочь, а приятно).
- Открытие папки с последними изменениями при следующем запуске.
- Удачное название :)
И перечислю базовые фичи, без которых сложно себе представить нормальное хранилище паролей:
- Хорошее шифрование информации. Кстати, для особо критичных данных в KeePass можно дополнительно задать файл-ключ и таскать его на флэшке, на случай если основного пароля кажется маловато (использовать эту опцию без мастер-пароля мне кажется нелогичным).
- Удаление информации из буфера обмена через определенный интервал времени.
- Сохранение и открытие из приложения URL сервисов.
- Генерация паролей. В KeePass генерация достаточно удобно настраивается и используется.
Промежуточный вывод: вероятно, есть более удобные альтернативы, однако пока мне все нравится.
Резюме
Краткое резюме рекомендательного характера (прислушиваться или нет – дело ваше):
- Когда паролей много – полезно хранить их в надежном хранилище – бережем нервные клетки :)
- Использование “облачных” хранилищ для паролей позволяет не беспокоиться о синхронизации – скажем так, для особо беспокойных, позволяет меньше беспокоиться о синхронизации (для надежности можно использовать два хранилища).
- KeePass – хорошее приложение для хранения паролей – рекомендую.
Если у вас есть замечания, пожелания или новые темы – пишите в комментариях или на olegaxenow.reformal.ru. Постараюсь учесть.
Я себе ставил этот KeePass, но два раза забывал мастер-пароль. Сейчас пока храню пароли в таблице от гугл-документов.
ОтветитьУдалитьНеужели удобно каждый раз когда надо куда-то залогиниться лезь в какую-то программу? Можно сделать так: для систем с деньгами - один сложный пароль, почта - другой, ну и третий для всяких сервисов..
ОтветитьУдалитьПоддерживаю Сергея, тоже пользуюсь такой схемой.
ОтветитьУдалить@Артур Терегулов, вероятно поможет мой совет - выбрать пароль по некоторому правилу или сочетанием цифр/символов, который будет просто невозможно забыть и попробовать еще раз ;) А табличку на полгода оставить пока в гугле, а потом удалить.
ОтветитьУдалить@Сергей, @Дмитрий - с одним паролем для нескольких систем с деньгами лично мне было бы некомфортно. Да и к сервисам не хочется один пароль держать - некоторые из них сырые или просто не вызывают доверия - оставишь там пароль, а потом кто-нибудь в твиттере будет от моего имени гадости писать :) Ради интереса посмотрел - у меня сейчас 242 пароля (правда, включая ключи от софта и настройки сети). Где-то половиной давно не пользовался, но мало ли...
Ещё есть интересное предложение базирующееся на мастер-пароле и букмарклете. Итого:
ОтветитьУдалить1. не нужны сторонние программы,
2. платформенно независимо (Windows, Mac, Linux, браузер, ipad)
3. быстро в использовании.
Написал подробно об этом Стас Фомин
http://lib.custis.ru/SuperGenPass
Пароли нигде не хранятся и генерируются на лету букмарклетом.
Андрюха, поддерживаю полностью! Супергенпасс - отличная штука. Спасибо Стасу.
ОтветитьУдалитьIMHO, SuperGenPass хорош как идея, но лично мне KeePass больше подходит как единое хранилище *информации*, связанной с учетными записями (username, email, настройки). Помимо этого, есть пароли (и другая критичная информация, вроде PIN от карт):
ОтветитьУдалить* не связанные с сайтами
* про которые знают несколько человек - пароли от виртуалок и т.п.
А я предпочитаю хранить пароли в текстовом файле на диске, зашифрованном TrueCrypt (http://www.truecrypt.org/)
ОтветитьУдалитьМинус в том, что не так удобно бэкапить в облако, по сравнению с отдельным файлом.
ОтветитьУдалитьПользуюсь LastPass - очень удобная фича автозаполнение паролей во всех основных браузерах
ОтветитьУдалитьНа LastPass посмотрел - вроде интересно, однако мне всё-таки хочется хранить пароли не только от сайтов. После написания статьи специально обратил внимание, что если исключить "денежные" пароли, паролями для сайтов я пользуюсь реже (куки) чем паролями от виртуалок и т.п.
ОтветитьУдалитьА денежные пароли плагину к браузеру я не доверю :)
По поводу денежных паролей согласен на 100%
ОтветитьУдалитьЯ и сам их не доверяю LastPass.
Тем более что у них уже были прецеденты со взломом.
А что вы думаете о 1Password?
ОтветитьУдалитьTo @Анонимный
ОтветитьУдалитьПро 1Password думаю что у него красивые скриншоты :)
Если серьезно, чтобы что-то думать надо пробовать. Судя по описанию функционала у него немного больше чем у KeePass, но пробовать что-то, что потом будет стоить $50 не очень не хочется...