9 февраля 2016
Пароли на смартфоне: хранить или нет?
Артем Лутфуллин
У меня есть хороший блокнот: черный, компактный («молескин», да!), с аккуратной лентой-закладкой и проставленными внутри цветными клейкими стикерами, где подписаны категории: Деньги, Форумы, Облачные сервисы, Работа и так далее. В этом блокноте я бережно храню все пароли от интернет-сервисов, ПИН-коды банковских карт, логины-пароли для игр и игровых сервисов (Steam, Origin и Battle.NET), а также все другие данные, так или иначе связанные с доступом на какие-то сайты, форумы и личные кабинеты чего бы то ни было. Но! Описанный способ – очень древний вариант хранения важной информации. Теперь есть смартфоны с паролями, ПИН-кодами для отдельных приложений и даже сканерами отпечатков пальцев, куда можно установить специальное приложение, закрыть к нему доступ для всех (тем же отпечатком пальца) и уже в нем хранить все ценные сведения. Вопрос – что лучше, и каким способом пользуетесь лично вы?
Для устройств на базе Android (как и для iOS, впрочем) есть масса приложений, позволяющих систематизировать все ваши пароли, ПИН-коды и прочую ценную информацию и хранить ее в одном удобном приложении. Keeper, 1Password, LastPass, Lockdown Pro и множество других программ, имеющих свои плюсы и минусы, с радостью «примут» все ваши тайны и даже в какой-то степени сохранят их.
Преимущества таких приложений перед бумажным блокнотом очевидны.
Все пароли и данные всегда у вас под рукой, тогда как блокнот возить с собой лично я не рискую, тем более, если какая-то командировка, он просто лежит у меня в тумбочке и используется, когда я дома. Соответственно, иногда возникает ситуация, что нужно зайти в личный кабинет какого-то сервиса, пароль к которому я не помню, и тогда либо приходится сильно задумываться и вспоминать, либо писать родным домой и просить найти на такой-то страничке данные. Неудобно. С программой все просто – зашел, нашел, вбил.
Другой плюс – систематизация всей информации и удобный поиск по данным. В блокноте я все систематизирую сам, по мере своих умений, а для поиска мне нужно листать странички, и иногда искомый пароль попадается далеко не за пару секунд. С приложением такого нет – вбил то, что тебе нужно, и программа выдала результат.
Третий плюс – синхронизация между различными устройствами, включая ноутбук и ПК, например, если сервис поддерживает разные платформы. Все пароли у вас на смартфоне, на ноутбуке и на компьютере дома и в офисе – удобно, черт подери. С блокнотами такое не пройдет, разве что покупать десять молескинов и в каждом дублировать информацию.
Впрочем, у блокнота есть одно неоспоримое преимущество – он гораздо в меньшей степени заставляет вас волноваться.
Да, квартиру, где хранится блокнот, могут ограбить, дом может сгореть, возможен метеоритный дождь или конец света, в конце концов, и тогда блокнот вместе со всеми данными пропадет. Но даже в этих ситуациях наиболее ценной информацией воришка воспользоваться не сможет, потому что если вы делаете все как положено, для всех интернет-банков и важных сервисов (включая сервисы Google) у вас давно настроена двухэтапная аутентификация с вводом кода, который приходит в текстовом сообщении, парам-пам-пам, на ваш смартфон! И совершенно другая ситуация, если все явки и пароли хранятся на смартфоне. Вдруг воришка, укравший у вас смартфон, смог подобрать к приложению ПИН-код или как-то взломать его, тогда он получает доступ ко всем данным и на этот же смартфон легко может получить коды доступа двухэтапной аутентификации, переводить деньги, менять пароли в сервисах и делать много других грустных вещей. Да, такая ситуация так же маловероятна, как метеоритный дождь (наверное), но в моем понимании она все-таки возможна (а метеоритный дождь пока нет).
Именно поэтому я храню все пароли, ПИН-коды и другие данные в блокноте дома, использую двухэтапную аутентификацию везде где только можно и ничего ценного не записываю в электронные блокноты и разные «хранители паролей» на смартфоне или ноутбуке. А как делаете вы?
Все пароли храню в google docs а помню только один-от Google. Все! Везде и отовсюду имею доступ.
> Везде и отовсюду имею доступ.
и не только ты))
Шапочку из фольги одень, я читаю твои мысли))
не льсти себе) а вот утечки данных случаются у всех и постоянно. ещё есть не добросовестные сотрудники.
я вот не хочу потерять свои данные и покупки.
Да ты обманул систему!
Пользовался Evernote премиум, потом денег стало жалко. Теперь все в том же Evernote многое хранится, бесплатном, просто все завуалированно.
Lastpass для онлайн паролей. Правда не продлеваю подписку.
Другие пароли и фото документов,и тп в Сейф+
Обычные записи с личной информацией в блокноте.Использую Gnotes (бесплатный,с папками,списками и паролями на папки)
Дома конечно тоже есть бумажный блокнотик.
Использую keepassx на компе, на телефоне, повсеместно. Базу храню в облаке.
вы знаете что keep ass переводится как держу за жепу?
Очень познавательно.
1) Насчёт «украдут смартфон». Его украдут, только если вы его в макдоналдсе забудете (и то скорее его вам вернут, а не стырят); целенаправленно этим уже года 2 никто не занимается, так как смартфоны мгновенно отслеживаются вместе с вором и это общеизвестно.
2) Меня больше волнуют авторы этих приложений: они 100% могут получить все пароли и либо отдать их админам на забаву (в лучшем случае), либо слить за деньги всей базой данных. Поэтому только офлайн-приложения.
3) Метеоритного дождя не будет, будет один-единственный астероид, и этого хватит.
Насчёт 2го пункта — вот представьте как над вами шутят/забавляются Google, Microsoft и тп с вашими паролями, геолокацией…
А еще представьте, что работники РЖД/банка/налоговой оформляют на ваши паспортные данные кучу кредитов, работники ДПС выписывают на известные им ваши права/паспорт несуществующие штрафы…
Как страшно жить
Ну хорошо, насчёт админов я погорячился, но всё же очевидно, что они сами (сколько-то человек) имеют доступ и могут чьими-нибкдь аккаунтами воспользоваться в личных целях.
смартфон можно пустить на запчасти: один экран он айфона стоит 80% айфона
Плюс сканер отпечатка пальца ещё 30% !
2) Если у вас просто перечислены пароли и пин коды без пояснения к каким это сайтам/картам, то ценность этой базы нулевая для сливщиков.
Никаких телефонов, все в ежедневнике в зашифрованном виде. Квартиру грабили на ежедневник не позарились, их у меня несколько одинаковых лежит, для разных целей. Сейчас установлена сигнализация.
Использую «В кармане». Не могу точно сказать почему их приложение мне понравилось больше всех. Чем-то импонируют мне эти ребята. И приложение понравилось.
SafeInClouds, шифрование базы, база в облаке (которое можно выбрать: Гугл, Дропбокс и т. д), не высокая стоимость приложения без ежемесячных платежей.
не критически важную информацию в Гугл Keep.
Использую несколько вариаций одинакового по сути пароля, не подошла одна, так подойдет другая. Да и вообще, сейчас много куда можно войти просто используя учетку Google, или одной из соц. сетей, зачем для каждого сервиса придумывать отдельный логин/пароль? В смартфоне есть сканер отпечатков, так что за него я более или менее спокоен.
>>>зачем для каждого сервиса придумывать отдельный логин/пароль?
Чтоб не пролюбить всё разом же.
Сейф+ На смарте и ПК, база синхронизируеться через облако. При утере/поломки смарта всегда можно восстановить базу с облака. База данных зашифрованна, уповаю на порядочность автора программы 🙂
Я не очень понимаю смысл всяких прог типа 1Password, если в телефоне работает сканер отпечатка пальца. У меня было приложение «В кармане», там удобно, что данные можно по категориям раскидать, но вся эта систематизация легко дублируется теми же заметками на телефоне. К тому же на андроиде еще и отдельные приложения можно под пароль загонять, а не только всю систему в целом.
Так что Touch ID+заметки. И не парюсь, а если мания преследования и повышеная секьюрность, то смартфоном в принципе пользоваться противопоказанно, нужно память тренировать. 🙂
а я вот боюсь!!
Здесь принцип в общем-то простой: если именно вас захотят взломать, то взломают. Вне зависимости от сложности защиты. Целевой взлом — он, обычно, высокопрофессиональный и бескомпромиссный.
Задача всех этих длинных паролей, аутентификаций по отпечатку/голосу/лицу (а также автосигнализаций, домашних сигнализаций и защищенных дверей в квартиры) — предотвратить или максимально усложнить взлом средней руки (банальным воришкой, выбившим телефон у вас в подворотне). Из расчета на то, что пока он пытается взломать — вы уже либо удаленно заблокируете/сотрете устройство, либо его найдут компетентные органы.
Так что пользуйтесь спокойно. Тем более, что все нормальные хранители паролей позволяют синхронизировать смартфон и компьютер напрямую, без участия облака
«Целевой взлом — он, обычно, высокопрофессиональный и бескомпромиссный.»
В кинофильмах про хакеров конечно всё эффектно. А на практике случайно сгенерированный пароль из 10 знаков подбору не поддается даже суперкомпьютеру. Шифрование 128 bit тем более. Так что бескомпромисность сведется к «опросу» владельца.
История Мэта Хонана наглядно показала, что даже опрашивать никого не обязательно. Достаточно немножко покопаться в общедоступной цифровой жизни и сделать определенные выводы
История Мэтта Хонана показала, что даже опрашивать никого не нужно — достаточно покопаться в общедоступных данных и сделать правильные выводы
Поэтому я и говорю о случайно сгенерированных паролях специальным софтом, а не придуманных лично. Это полностью исключает возможности применения «социальной инженерии». Такой пароль, состоящий из не менее чем 8 символов, включающий прописные и заглавные буквы, цифры и спец. символы, возможно узнать только у самого владельца (перехватить при вводе пароля на клавиатуре).
Согласен, но в той истории Хонана взломали по секретным вопросам.
Погуглите его имя (Matt Honan), там вообще довольно поучительная история о том, как НЕ стоит работать с паролями и их восстановлением как пользователям, так и корпорациям.
А когда папа спит, дети просто прикладывают папин палец к датчику и спокойно делают покупки для себя (начиная от AppStore и заканчивая пиццей). Отсутствие у папы мании преследования не только не мешает, а наоборот — помогает.
вирус может залезть и с 10 сканерами отпечатка
LastPass
Использую KeePass и SafeInCloud.
В первой 3 базы. Первая для сайтов с малосекретной информацией (аля автозаполнение в браузере) запаролена простенько, вторая с данными личного характера в т.ч. доступы к онлайн ресурсам банков и данные документов запоролена длинным, сложным паролем и третья с данными по работе.
SafeIbCloud использую только для личных данных (у нее хуже автозаполнение в браузере).
Обе синронизирую в облаке и доступны с телефона.
бумажка! Стандартный А4 для сверхважных паролей, для чепухи пароли простые и похожие.
Пин-коды для банков не храню вообще нигде — просто помню, благо их мало
Храню всё в шифрованных базах keepassx, которые синхронизируется между устройствами через свой VPS.
Блокнот сливает базам по удобству, и ситуациям, когда требуется доступ вне дома (а если таскать его с собой, то жёсткий слив по безопасности).
Всякая мерзкая проприетарщина, которая может делать всё что угодно и никогда ты об этом не узнаешь — лесом.
Мерзкая проприетарщина, которая при этом заставляет покупать себе раз за разом (привет, 1Password) дважды лесом.
Пользователи всяких LastPass’ов вообще эталонные ССЗБ — мало того, что самому отдавать свои пароли дяде, так ещё и дядя, судя по переодически возникающим новостям, не шибко то переживает за их безопасность.
Критическая информация, по типу PIN-кодов карт в голове, там, где надо (личные кабинеты банков) — двухфакторная авторизация.
Как показал Shellshock + Heartbleed — и прекрасный опенсорс может делать все, что угодно, и ты об этом не узнаешь.
Не путай уязвимости (в проприетарщине их не меньше) и плохие намерения.
К тому же в опенсорсе ряд уязвимостей можно закрыть самостоятельно (как, например, с недавней уязвимостью эппловского протокола в ffmpeg. Пакет можно было просто пересобрать без него, чем довольно быстро занялись не только пользователи, но и мейнтейнеры дистрибутивов), а в случае с проприетарщиной пока разработчик не почешется — уязвимость будет висеть как бы известна и опасна она не была.
Чтобы исправить уязвимость, нужно её сначала найти.
А найти её одинаково трудно, как в проприетарном, так и в открытом коде
Эмммм… и?
«И» — мы с вами одинаково полагаемся на ПО. Просто вы верите в то, что раз исходный код открыт, то в нем нет уязвимостей (что не так) или их быстро найдут (что тоже не так), а я верю в то, что репутационные потери владельца проприетарного кода дороже той выгоды, которую он получит от продажи пользовательских данных.
>>>Просто вы верите в то, что раз исходный код открыт, то в нем нет уязвимостей (что не так) или их быстро найдут (что тоже не так)
Меня что, взломали? Тыкни меня носом туда, где такую херню из под моего аккаунта написали. Про быстрое нахождение я в принципе ничего не писал — лишь про возможность быстрого исправления свежеобнаруженной уязвимости пользователями/мейнтейнерами без ожидания реакции (если такая ещё будет) основного разработчика. Даже если его машина сбила — уязвимость можно закрыть и продолжать пользоваться нужным ПО.
Про то, что в открытом коде уязвимостей нет я тоже ничего не говорил — вероятность их значительно меньше просто потому, что это можно проверить в принципе, в отличие от проприетарщины.
Про репутацию насмешил — Google, microsoft, facebook и прочие прямым текстом заявляют что сливают о тебе тонну информации, об этом постоянно трубят в СМИ — и что-то не шибко им это вредит. Нынешние пользователи на такое уже просто не реагируют.
ОК, чтобы больше вам соответствовало, мою фразу про «нет уязвимостей или их быстро найдут» можно спокойно расширить до «нет уязвимостей, или их быстро найдут, или их быстро исправят и оповестят об этом всех».
Мало исправить уязвимость, нужно еще, чтобы об этом исправлении все узнали и почесались что-то сделать. Heartbleed крупные игроки исправляли почти полгода (а если взять всякую мелочь — то наверняка остались сайты, бегущие на серверах с необновленным SSL).
Google, Microsoft, Facebook и прочие на этом зарабатывают. В обмен они предоставляют вам свои услуги. Бартер в полный рост. И это нормально — у них бизнес-модель такая. Согласитесь, странно было бы, чтобы у того же 1Password или LastPass была такая бизнес-модель.
Кстати, раз уж заговорили — а Keepassx вы сами собираете из исходников? Каждый раз при выходе свежей версии? И на закладки/уязвимости наверняка проверяете, да?
>>…мою фразу про «нет уязвимостей или их быстро найдут» можно спокойно расширить…
Я же прямым текстом написал что она не верна. Её выкинуть надо а не расширить.
>>Мало исправить уязвимость, нужно еще, чтобы об этом исправлении все узнали и почесались что-то сделать.
Согласен — но это от разработчика и открытости кода вообще не зависит, следовательно оффтоп к обсуждаемой теме.
>> И это нормально — у них бизнес-модель такая.
Нет. То что всякая шваль суёт свои носы куда не следует это не нормально.
Вот кстати к слову о потере репутации: большинство пользователей уже приучили к эксгибиционизму и мыслям «ну это же нормально, что всякая собака обо мне всё знает, ну у них же бизнес-модель такая», так что новость об очередном сливе вызовет лишь поток оправданий от пользователей.
>>Согласитесь, странно было бы, чтобы у того же 1Password или LastPass была такая бизнес-модель.
Не соглашусь — что странного разработчикамодному из разработчиков сливать часть данных за профиты себе?
>>Кстати, раз уж заговорили — а Keepassx вы сами собираете из исходников? Каждый раз при выходе свежей версии?
У меня он тащится пакетным менеджером из git’a (там с поддержкой баз второго keepass), так что, внезапно, да и да.
>>И на закладки/уязвимости наверняка проверяете, да?
Нет, его проверяет уйма народу, что, конечно же, не даёт абсолютных гарантий, но ощутимо надёжнее «полутора скрытных землекопов, которых не проверить в принципе».
Плюс потенциальная возможность проверки не шибко располагает к впендюриванию бэкдоров.
Проверяет уйма народу? Где независимый аудит каждой версии кода? «Видит уйму народу» и «проверяет уйма народу» — не одно и то же.
Ну и про уйму народу — OpenSSL проверяла гораздо большая уйма народу (проект немного более значимый), а уязвимость проморгали
>>По поводу слива данных — как-то у вас нескладно выходит: значит Microsoft/Facebook/Google сливают данные — они плохие, а 1Password сливают данные (кстати, доказательства где? 🙂 ) — это нормально.
Прекращай постить свои фантазии — как и в случае про «нет уязвимостей» я ничего подобного не утверждал.
>>Все честно,
Вот о чём я и говорил — шваль, без спросу и разбору шпионящая за всем, что шевелится, внезапно, оказалась честнейшими людьми. Особенно, наверное, Microsoft, продающий свои терминалы сбора данных под видом ОС за нехилые такие деньги, да? Объясни — какую пользу мне приносит прогон моих паролей «через их сети» и какими такими сервисами я бесплатно пользуюсь, используя винду лишь как плеер для игрушек?
>>Проприетарные хранилища паролей уже берут деньги за доступ к сервисам. Соответственно, любая утечка персональных данных пользователей — репутационная потеря (вспомним последние несколько взломов LastPass, а также крупные взломы Steam и PSN).
Использовать зело, до сих пор, популярные сервисы, которыми как пользовались, так и продолжают пользоваться уйма людей в качестве примера «репутационных потерь» как-то ну вот совсем не убедительно.
>>Проверяет уйма народу? Где независимый аудит каждой версии кода? «Видит уйму народу» и «проверяет уйма народу» — не одно и то же.
Ну и про уйму народу — OpenSSL проверяла гораздо большая уйма народу (проект немного более значимый), а уязвимость проморгали.
Чувак, хватит рассматривать только крайности. Я не новорил об абослютной защищённости опенсорса и абсолютном шпионаже в проприетарщине. Есть де ещё уйма промежуточных вариантов, которые могут быть один лучше другого и опенсорсу доверия куда больше по описанным выше причинам, только и всего.
> через свой VPS
Используете VPS на устройствах вообще или настраиваете синхронизацию как-то отдельно?
>>Используете VPS на устройствах вообще
Эмммм… VPS, он же VDS — виртуальный выделенный сервер. Это когда арендуешь часть мощностей реального сервера в сети. «На устройствах» он не используется.
Что касается синхронизации — На смартфоне FolderSync через FTPES. На десктопе — набор скриптов в cron’е которые используют rsync. По идее можно синхронизировать и по локальной сети, но мне лень заморачиваться с этим. На VPS оно один фиг будет улетать в качестве резервных копий.
Прочитал VPS как VPN =(
> FTPES… rsync…
Ясно, спасибо.
1password. Пару раз меня ломали брутом, с тех пор использую длинные случайно сгенерированные пароли, вбивать их вручную неудобно, поэтому 1password — самый удобный для меня вариант.
Есть Evernote, в нем одна неприметная заметка под названием… ну скажем «вертопрахи», там просто списком пароли без логинов и намёков на то, откуда они — это личные кабинеты банков и налоговой
Ниже список паролей с буквенными идентификаторами типа Y (скайп), Й (mail), X (яндекс).
Ниже просто списком пароли к электронным кошелькам задом-наперед.
Как-то так.
Все пароли длиннющие, везде, где можно, включено СМС-подтверждение.
В блокнотике, который с собой (там прям самое критичное).
И в блокноте, который дома (там всё подряд).
Был когда то keepass на старом ноутбуке, но это оказалось очень очень неудобно. Его надо найти, включить, поглядеть… с блокнотиком всё это проще.
На мобиле есть какой-то password… но там вбита левая гугл почта для попробывать… в итоге не пользуется спросом, не знаю почему, блокнотик удобнее.
SPB Wallet. Тот самый, еще с ВинМоб привык. Прелесть в том, что никаких «облаков».Файл данных легко переносится на ПК и обратно. Есть только один минус: прекратили поддержку после покупки Яндексом((.А зря! Сабж -шикарен!
Интересная трактовка: достоинство в том, что нет функционала.
PS. Остальные парольные менеджеры, те, которые через облако, вручную тоже можно синхронизировать.
Смотря что считать функционалом) Некоторым и тунец функционален))
Именно. По той же самой причине (никаких облаков) использую старинный Handy Safe — файл данных легко синхронизируется между телефоном и ПК. И также его развитие было прекращено, хотя функциональность до сих пор устраивает.
Сайты и Интернет-сервисы уже давным-давно в Хроме, пароли поважней — в голове, сейчас даже записывать ничего не надо, везде привязка к телефону: забыл, СМС, восстановил , — дел на минуту. А вот почему от карточек все пароли забывают, тоже не понятно, ПИН выбираешь сам, а это, обычно, знакомые с детства цифры…
Сколько у меня карт было так после перевыпуска по истечению периода владения картой, всегда банк назначает новый PIN, если не считать, конечно,
Джеймса КрюкаСбера, там PIN сохраняют и на перевыпущенной карте.А вот на прошлой неделе менял SIM карту у Beeline и к удивлению не обнаружил там не PIN’а, ни PUK’а. Так что запоминать уже и нечего стало.
Я уж и забыл, когда последний раз симку с ПИНом давали…0000 и тот не активен…
Теле2 выдает.
Вы не из-за этого к ним перешли, не из-за надёжности?)
Я вам уже подробно все расписал, зачем повторяться?
Вы романтизируете воров. Обычный вор телефона не знает разницы между «айфоном» и «айфоном на андроиде», потому ничего взломать не сможет, кроме полного сброса данных перед продажей.
Помню только пароли на рабочие и домашние машины, пин-код на сотовый, а также пароль для 1Password.
Все остальное тупо лежит в 1Password (начиная от паролей и заканчивая контрольными вопросами (лафйхак — выбираете «мой собственный контрольный вопрос и в качестве ответа вводите генерированный 1Password длинный пароль), доступ к которому — либо по длинному паролю, либо по отпечатку (впрочем, как и к телефону).
Основная проблема при таком подходе — появление новых устройств и миграция с одного устройства на другое. Потому что как минимум пароль от Wi-Fi и 1Password приходится вводить вручную. Нужен какой-то стандартизованный и кроссплатформенный способ быстрой передачи пароля.
Бумажный блокнотик — это, конечно, безопасно и все такое, но там уж слишком быстро становится неудобно искать среди кучи записей и зачеркиваний (не всегда придуманный пароль подходит с первого раза, а потом пароли еще и менять надо), а самое главное — вводить вручную задалбывает.
Однозначно храню в облаке. Если элементарные правила безопасности соблюдаешь, то спишь спокойно.
Я насчитал 48 различных учетных записей, сведения о которых может и доверил бы бумажному блокноту, но только при условии его хранения в банковской ячейке. Всё держать в голове не выходит, поэтому пользуюсь SafeInCloud уже более 2-х лет. В целом нравится. Есть клиенты как для Андроид, так и для Windows, синхронизация данных между которыми проводится через облако (доступны Google Disk, Yandex Disk, OneDrive и Dropbox). Есть встроенный генератор паролей, плюс программа анализирует пароли на сложность для взлома. Подгружает из Интернет иконки для аккаунтов по их названиям. Ну и разумеется функция создания резервных копий базы данных в зашифрованных файлах , в том числе автоматически по расписанию. Так что гарантия утраты информации стремится к нулю, если хранить пару резервных копий в разных местах. Важно не забыть пароль к самой SafeInCloud.
Согласен, тоже остановился на этой программе, перепробовав кучу других. Очень хороша.
KeePass. Синхронизация через BTSync. И то, и другое есть подо все платформы. Так что пароли со мной всегда и везде (дома, на работе, в смартфоне).
Многие пароли хранятся самим браузером. Самый удобный вариант для меня.
Что касается «украдут телефон и взломают банк», то:
1. Воришке нужно время, чтобы узнать, что на телефоне реально хранятся пароли.
2. Нужно взломать программу/пин.
3. Нужно понять, что к чему (я, например, храню только обрывки паролей и логинов — достаточно для моей памяти, но не достаточно для использования посторонним человеком).
Пока это будет сделано, можно несколько раз заметить пропажу и заблокировать СИМ.
ну для большинства сервисов я использую один и тот же сложный пароль(иногда в разных вариациях-букву добавлю, цифру). Пинкоды от карточек(4 штуки, разные) помню наизусть, хотя можно и один пин для всех сделать.., для сайтов, где пофиг на сохранность аккаунта использую простой цифровой пароль один и тот же. Ну и некоторые вещи типа данных паспорта, снилс, полис, права и прочая лабуда, включая сложные, выдаваемые некоторыми сайтами пароли — это я в Evernote храню, за них мне не страшно, т.к. те же данные паспорта уже есть , похоже, везде, скрывать уже нет смысла давно..
Нигде не храню(и наизусть не помню) данные карточек(дебетовой, кредитной, зарплатной) , т.к. эти данные вполне можно использовать для списания с них средств.
ага, тоже что то типа того…
мудреный пароль с цифрами, спецсимволами, разным регистром в 10+ символов помню наизусть, машинально его на клаве вбиваю, а дальше, по смыслу сервиса, идет дополнение — буквы ли, цифры ли, символы ли… тут просто нужно логику дополнения к основному паролю правильно построить и на ура вспоминаются пароли на не пойми каких сервисах, на которых регистрировался черт знает когда и черт знает зачем
Большое спасибо за наводку! У меня тоже есть некий пароль-черновик, который я дополняю для разных сайтов и последнее время стал путаться в дополнениях, теперь буду пользовать ваш метод дополнения пароля
Многие используют одинаковый пароль а в конце добавляют приписку MB (мобайл ревью) VK (в контакте) и т.д. По сути это равносильно использованию одинакового пароля. Достаточно его запалить на каком нибудь левом ресурсе и считай всё, все двери открыты настежь. Поэтому лучше блокнотик, сгенерированный код а к нему пару нигде не записанных символов.
это самый простой вариант, да
но ведь можно придумать и посложнее логику, например, выбирайте вторую букву или по нарастающей, будет типа не MR, а ОE или МЕ… слова с конца читайте… вариантов очень много
+
необязательно в конце это все вставлять, можно же где угодно в своем пароле
Без самой карточки или номера от нее, ПИН код же все равно бесполезен
Использую 3-4 разных пароля (и двухэтапную аутентификацию везде, где только можно). К основным не-финансовым сайтам пароли храню в хроме, к гугл-учетке (и на вход на компы, где хром установлен) пароль, соответственно, самый сложный. ПИНы, полные данные кредиток и прочую хрень просто запоминаю. =)
в инторнете для мусорных сайтов и сайтов, на которых аккаунты потерять не жалко использую просто цифровой пароль. если нельзя использовать цифровой, то простой с 3 типами символов.
для всего остального сразу включаю двухфакторную авторизацию и использую один и тот же сложный пароль.
Все пароли исключительно в голове. Работаю сисадмином и поэтому прекрасно знаю, что абсолютно надежных способов хранения в цифровом или тем более бумажном виде просто нет. Хотя бумага, при должном обращении, надежнее.
А работал бы медиком — и на голову не шибко бы надеялся 🙂
очень жаль ваше руководство, что держат такого «специалиста». что будет с вашей конторой если что-то произойдет с вами? правильно — капец ей будет. хранить пароли нужно в опечатанном конверте в сейфе.
На любом сервере можно сбосить пароль без ущерба для содержимого при обладании физическим доступом к телу.
отличный ответ. ключевая фраза — при обладании физическим доступом к телу.
Я это к тому написал, что не будет в конторе «капец». Всё будет работать как и при Ктулху, до тех пор пока не понадобится что-то новое сконфигурировать.
ваша политика хранения паролей аналогична вышеуказанному «специалисту»?
я не работаю системным администратором.
Кроме меня от моей политики хранения паролей никто не зависит. А так как «капец» моим данным ещё не пришёл и, учитывая, что мне уже за сорок, то склонен считать, что для меня самого стратегия сохранения паролей выбрана верно.
тогда непонятно зачем вы комментируете то, с чем не работаете. как говорится — мимо проходил.
Я прокомментировал ваше замечание насчёт конца конторы с точки зрения руководства.
Никакой трагедии с концом сисадмина в конторе не будет, ну разве чисто по человечески руководство выразит сочувствие и соболезнования родственникам.
если вы считаете утерю паролей отсутствием трагедии для конторы — это да. особенно ввиду того что вы в этом совершенно не разбиратетесь…
я понял вашу точку зрения. вы никогда с этим не сталкивались. поэтому говорить по конкретной ситуации не можете. разговор ниочем.
чушь. если вышеупомянутые тома сдохли — умрёт и вся бухгалтерия. учите мат. часть.
Не надо его жалеть — я в конторе далеко не один. Единственное, к чему руководство не сможет получить доступ — это к моему личному профилю в Лотосе и в Винде. И то, это легко решается сбросом оных другим админом. Вот если бы я был в единственном числе, то сделал бы, как вы говорили выше.
сброс ничего не решает. плохо работаете. скажем так спустя рукава…
У нас решает. Работаем хорошо — засучив рукава. Нет, я не эникейщик. Просто такова политика безопасности. Утечка персональных данных и прочего у нас регулируется не дырявыми политиками Мелкософта, а специализированным ПО. А вот необходимость получить доступ к УЗ в случае определенных обстоятельств у нас закреплена на уровне чуть ли не устава компании.
политика безопасности хранить пароли в ГОЛОВЕ! уважаемый?
Если у вас плохое восприятие текста ну уровне чтения, то я повторю — я в компании не единственный сисадмин, нас целая команда и вся эта команда знает все необходимые пароли. Так понятно?
и вся ваша компания хранит пароли в голове как и вы?
Да. У вас есть какие-то предубеждения относительно этого?
нет. этого достаточно. с безопасностью у вас очень туго в компании. аудит вы точно не пройдёте.
Проходили и не раз. Пока никаких проблем нет. Опять же, я могу быть просто не осведомлен относительно того, что все пароли хранятся где-нибудь в сейфе в центральном представительстве.
вы хоть читали начальные вещи по безопасности? вы морозите.
Я конечно понимаю, что вам женщины не дают, но не стоит свою неудовлетворенность обращать в агрессию и выплескивать на других. И можете мне не отвечать. После этого наша с вами дискуссия подошла к концу.
безусловно. мне странно, что вы решили мне ответить. человек изначально говорил, что пароли хранит в голове, затем сообщает что они ВОЗМОЖНО! хранятся в сейфе. при этом называет себя системным администратором. позорище…
Вы можете сколь угодно долго обзываться и брызгать ядом, но я до сих пор не услышал ни одного аргумента или факта в защиту того, что все прям обязаны хранить пароли на бумажке в сейфе. Это проверенный дедовский метод? Или вы из престарелых, так сказать, админов, которые какждый раз, когда надо зайти на сервер или циску лезут в сейф за бумажкой? Это ли не позорище?
1. я говорил лишь о вашей проф. непригодности. это вы решили порассуждать о моей половой жизни.
2. почему обязаны? это вам любой аудитор скажет. это просто стандарт.
Ссылку на стандарт в студию. Иначе просто голословное трепло. И наезжать и называть меня всякими обзывательствами начали вы.
я сказал что вы проф. непригодны.
Вы можете говорить, что угодно. Ваш пустой трёп пока не был подтвержден ни одним не то чтобы фактом, даже ни одного разумного аргумента приведено не было.
дискуссиии и не было. с вашей стороны были жалкие попытки озвучить свою проф. пригодность. в частности вы сразу озвучили что пароли вы храните в голове, а потом вы сообщили аудитории о их наличии ЯКОБЫ в сейфе. вы НЕКОМПЕТЕНТНЫ.
Вам не кажется, что вас тупо заклинило на одной и той же теме? Пароли в голове, пароли на бумажке и так по кругу. Вызовите скорую что ли, дабы они вам живительную дозу голоперидола вкатили, дабы вас отклинило.
Ребзя, а если завтра трамп иванович за хим оружие в сирии отключит интернет, пиздец придет всем онлайн паролям?
это как Dmitriy Galkin что ляпнул как баран.
Наверное вы читали книжку Андрея Робачевского «Операционная система UNIX». В связи с нашей беседой с безумным максимкой мне вспомнилась тамошняя классификация системных администраторов.
Вот наш оппонент ярко выраженный представитель второго типа: хранит пароли в сейфе, жестко квотирует ресурсы, проверят пользователей на компетентность, а не компетентных, по его мнению, жёстко банит.
К сожалению, эту книжку я не читал, но наш собеседник, как мне кажется, вполне вписывается в этот типаж. 🙂 Тот еще параноик.
я из ваших постов наблюдаю только то, что вы сначала говорили что пароли хранятся у вас в голове. потом вы сообщили, что они ВОЗМОЖНО! где-то еще могут быть в сейфе. этого достаточно. и вы мне будете городить что вы системный администратор….
Это ваши пустые домысли, не более. Из ваших агрессивных нападков и ничего не значащих выводов я делаю вывод, что вы неудачник по жизни, не удовлетворены сексуально и ничего из себя не представляете, т.к. являетесь диванным экспертом.
еще расскажите где вы работаете и в каком статусе. если не боитесь опозориться.
Озвучивать свое место работы я не стану, ибо это уже служебная тайна. 😉 Да и делать такие запросы самому не представившись очень невежливо. Если уж на то пошло, то вы даже не сказали свою профессию. Надо же знать, кем работают такие умненькие, но невоздержанные мальчики.
Согласен
Раньше тоже использовал несколько паролей… Потом их стало столько, что стал путаться. Теперь пользуюсь LastPass и не парюсь. Это для PC, а к смартфону доступ по отпечатку.
Года 4 использую Sticky Password, сперва купил его под видом Kaspersky Password Manager для компа. Но так как продукт не развивался, купил повторно у производителя. Уже года два есть мобильная версия, для моих нужд хватает. Параноей не страдаю, поэтому использую облачную синхронизацию. Есть вариант без нее.
keepass — прозрачно, мультиплатформено, бесплатно и сообщество с кучей дополнений.
От блокнота отказался давно, как только дети начали подрастать! 🙂 Вдобавок блокнот не решает многих проблем с условно «секретными» домашними данными…
Путь выбрал простой и на мой взгляд достаточно надежный.создал в гугле отдельный, не используемый больше нигде аккаунт, без входящего и исходящего трафика с приличным паролем, который храню в голове. И на гуглдиске сложил аккуратными стопочками: явки, пароли, сканы документов о собственности, ценных бумаг, паспортов, прав, техталонов и иже с ними.
Когда спрашивал совета у своих паяльников, они рекомендовали для полной защиты прилепить к диску еще и шифровалку BoxCryptor. Купил, но пользоваться чет так и не сподобился…
закладки надо было подписать не деньги, банки, а любовницы, любовники, сантехник, пицца и т.д.
Я сам уже давно перешел на lastPass, когда количество регистраций перевалило за 100. Удобно когда у каждого сайта свой случайный пароль на 20 символов-не за брутфорсят. Для безопастности не держу lastpass все время залогиненым, а логинюсь только перед тем как нужен пароль и все
точь в точь как у меня)
А планируется ли сравнительный обзор таких приложений? Пользовался Handy Safe Pro, но разработчики его забросили. Хочу поменять на что нибудь другое с нормальной синхронизацией, а предложений в маркете очень много — тяжело что то выбрать. Очень интересно было бы почитать.
Я пользуюсь, как и автор статьи, простым надёжным блокнотом.
Осваивать ещё одну прогу нет желания, д и переносить в неё все логины и пароли просто в лом. Я быстей в новый блокнот перепишу данные со старого, чем вобью это в электронный. Ну не всё же должно быть электронным, пусть ручки и бумага ещё поживут.
Я тоже пользуюсь простым бумажным блокнотом.Старые пароли вместе с листами выбрасываю, если не осталось места для записи.Новые пароли, логины и прочее дописываю и всё, ничего сложного. Удобно, быстро. Конечно, не игнорирую и записную книжку- заметки в телефоне.Туда я записываю не всё, но то, что мне нужно всегда, без чего нельзя обойтись.
хранить
хранить, но таким сервисом, чтобы на собственный сервер не синхронил, я из таких выбрал Safe in cloud, прицепил свой дропбокс (можно разные облака цеплять), устраивает, хранить однозначно.
так же юзаю его но на гугл облаке
Все уже придумано до нас, а именно:
Чтобы никогда не забывать любое количество паролей, нужно всего на всего разработать механизм генерации паролей и запомнить его (например, пароль содержит: «название_сайта_без_последней_буквы» + любимое_число + кличка_любимого_питомца).
Всё. Даже если вы забудете пароль, вы его легко воспроизведёте. Профит.
Для себя я, конечно, выбрал keepass, как удобный кроссплатформенный с открытым исходным кодом — но это из разряда «на всякий случай», и так как я люблю порядок.
И введя такой пароль на одном из сайтов с недобросовестными админами, вы легко потеряете доступ ко всем сайтам где еще зарегистрированы.
Не факт. Я написал достаточно примитивный механизм. Реально он может быть сложнее (но будет прост для Вас) и похож на случайный набор символов. =)
этот «способ» на каждой первой лекции по сетевой безопасности обсуждают. как один из самых не надёжных. т.е. 1234 ещё хуже, но …
Sticky Password — удобно и хорошо
Я использую Pocket CITC (https://timothyjc.blogspot.com/2010/12/wallet-for-android.html) Android/Win/Mac/Unix
Сломают??! Ага! AES-256, мастер пароль в виде SHA-512 hash хранится. Ну и автор грамотный.
Вот только приложение не обновлялось почти 3 года. И реклама, я так понимаю, там есть. И нет версии для компа. Переходите на KeePass.
Зачем???! Меня всё устраивает.
И Вы невнимательны. Повторюсь .Android/Win/Mac/Unix
А зачем его обновлять если все довольны? Автор доступен, отвечает на емейлы, баги чинит.
Рекламы нет. Я с удовольствием купил платную, что бы его поддержать. Хотя и бесплатная хороша.
У меня KeePass2Android на смартфоне и на компе тоже KeePass, синхронизация базы через Dropbox. Выбрал его потому что OpenSource. За безопасность не особо переживаю, т.к. смартфон залочен а на сам KeePass тоже пароль стоит.
Многое зависит от стиля человека, степени владения технологиями, аккуратности и пр.
Я уже много лет храню все пароли в смартфонах. Теперь в Evernote. Считаю, что хранить в бумажном виде опаснее, к тому же крайне неудобно.
Разумеется, на смартфоне установлена возможность удалённого стирания данных (но телефоны я теряю крайне редко:) Так что это только на крайний случай.)
P.S. А вообще, это как бумажные деньги/карты. Кому что удобнее, кому-что кажется надёжнее..
так я вам с сказал как и где я храню пароли 🙂
Всё в голове, так оно надёжнее. Есть всего несколько паролей, которые использую для разных сервисов в зависимости от значимости и требований к набору букв, цифр, символов.
» Вдруг воришка, укравший у вас смартфон, смог подобрать к приложению ПИН-код или как-то взломать его» Вот если воришка такое смог… то ему точно не нужен ваш бумажный блокнот он и так всё сделает даже при двухэтапной аутентификациии, А симкарту вы можете восстановить у оператора, тем самым отменив аутентификацию для ваоришки, и удалить всю информацию с аппарата и заблокировать его через акаунт через ПК.
И да! квартиру, где хранится блокнот, могут ограбить, дом может сгореть, возможен метеоритный дождь или конец света, в конце концов, и тогда бумажный блокнот вместе со всеми — ВСЕМИ!!! данными пропадет…А записная книжка в инет-ресурсе так и будет висеть ожидая очередной синхронизации.
давно пользуюсь lastpass’ом — удобно и надёжно.
с помощью него можно легко иметь разные *сложные* пароли на разные сайты. с блокнотом — это невозможно.
в потере телефона — большой проблемы не вижу. поменять мастер пароль и всё нормально. потеря блокнота — no comments.
https://lastpass.com/support.php?cmd=showfaq&id=886
хранить пароли в блокноте это какой-то анахронизм
1. для браузера есть lastpass
2. остальные пароли, в том числе банковские и какие угодно в keepass или 1password
3-5 штук разных паролей (разной длинны и сложности естественно) запомнить можно и использовать их по разному в зависимости от степени значимости того места где пароль используется. В самом крайнем случае всегда можно перепробовать их все по порядку и зайти на нужный сервис, пусть и не с первого раза)
Использую только свою голову. Все сайты я разбил на несколько категорий и использую для каждой категории отдельный ящик и отдельный пароль. Соответственно везде ставлю привязку к телефону и тд. Запомнить примерно 5-10 паролей не составит труда, а если и забудешь, то легко можно восстановить доступ с помощью телефона.
Codebook — наше всё!
1Password решает все вопросы.
я использую программу записная книжка»MyTreeNotes» которая позволяет хранить пароли в виде дерева и пока не думаю переходить на другую.
я использую сложные пароли, и храню их на сим карте которая уже давно не обслуживается оператором сотовой связи, храню в виде смс на ней