Как правильно и безопасно хранить пароли

| 09.09.2016 | Информационная безопасность | 3 комментария

dropbox keepass

 

 

 

 

 

Тема создания, запоминания и хранения паролей всегда была актуальна.

На сегодняшний день существует множество разных решений:

  • Хранение паролей в онлаин сервисах
  • Храненией паролей с помощью специального ПО локально на компьютере
  • Создание паролей по специальной маске, чтоб легке было запоминать и не надо было записывать

Мы же разберем следующие 2 метода:

  1. Создание и хранения паролей по маске
  2. Создание и храненией паролей при помощи KeePass и DropBox

Оба варианта довольно простые в реализации, не требуют с вашей стороны финансовых или каких-то серьезных временных затрат, достаточно просто до конца прочитать данный материал.

Создание и запоминание паролей по Маске

Давйте представим, что вы зарегистрированы на скажем, 5 разных сервисах, при этом вы стараетесь придерживаться разного рода рекомендаций связанных с безопасностью: длинна пароля, сложность, разные пароли под разные сервисы и т.д.

Как же вам с учетом этих рекомендаций абсолютно безболезненно для себя придумать и запомнить все эти пароли? Ответ очень простой — давайте придуем специальную маску для начала нашего пароля, а менять будем только какую-то его часть в зависимости от сервиса.

Итак, у нас есть 5 сферических сервисов в вакууме, пускай это будут: yandex, worldoftanks, github, vk.com, linkedin.

Пароль мы будем использовать сложный, бессмысленный и беспощадный!

Для начала, зададим маску, использовать будем такое слово (набор слов), которое мы точно никогда не забудем:

{hf,hsqCdthxtrBuhftn:tcnrj (на русском это будет выглядеть так: ХрабрыйСверчекИграетЖестко) — пароль получился свиду очень странным и «страшным» для запоминания, но, запоминать надо лишь русскую раскладку нашего словосочетания. Далее, оперируя уже нашей маской, будем придумывать концепт пароля для всех сервисов.

Давайте попробуем что-то вроде следующего:

Yandex{hf,hsqCdthxtrBuhftn:tcnrj

WOT{hf,hsqCdthxtrBuhftn:tcnrj

Git{hf,hsqCdthxtrBuhftn:tcnrj

VK{hf,hsqCdthxtrBuhftn:tcnrj

Смотрите так же   ZMap - быстро просканировать огромные диапазоны IP реально

linkedin{hf,hsqCdthxtrBuhftn:tcnrj

Получилось удобно, но, этого мало. Теперь, давайте мысленно создадим хотя бы 3 категории: общение, игры, работа и добавим в зависимости от категории несколько циферок: Общение = 123, Игры = 456, Работа = 789.

Конечный результат должен получиться таким:

Yandex{hf,hsqCdthxtrBuhftn:tcnrj123

WOT{hf,hsqCdthxtrBuhftn:tcnrj456

Git{hf,hsqCdthxtrBuhftn:tcnrj789

VK{hf,hsqCdthxtrBuhftn:tcnrj123

linkedin{hf,hsqCdthxtrBuhftn:tcnrj789

С виду кажется все очень сложным, но если вы попробуете использовать такой подход хотя бы 1 месяц, то потом просто привыкните и не сможете иначе 🙂

Играть с категориями, масками и названиями сервисов можно как угодно и в абсолютно любом порядке, адаптируйте под себя, а то что описал я — это лишь метод и некий пример.

 

Создание и хранение паролей при помощи KeePass и DropBox

Для второй части нашего материала, нам понадобится скачать программу и зарегистрироваться в сервисе облачного хранилища DropBox.

Скачать программу KeePass можно по этой ссылке. На страничке вендора выбирайте издание «Professional» и тип «Portable».

Объясню почему надо именно Portable:

  1. Это универсально если вы работаете с множеством компьютеров / серверов
  2. Если не хотите тягать сам KeePass, то можно использовать просто файлик базы данных, но опять же — зачем его качать или ставить если можно использовать то, что у вас уже есть
  3. Храниться все будет в облаке, смысла в инсталяторе просто нету

Распаковываем архив с KeePass и запускаем. Первый шагом будет создание файлика базы данных, выполняем нажатием CTRL+N, задаем название и сохраняем:

keepass_create_master_password

В этом случае, все, что вам нужно будет помнить — мастер пароль от KeePass, все остальное за вас запомнит программа. Соответственно, учитывая тот факт, что от одного пароля зависят все остальные, постарайтесь выбрать пароль как можно сложнее (запоминать придется только его).

В настройках базы ничего не меняйте, просто далее кликайте OK и все.

Смотрите так же   Как мы качали Линукс Академию или "Угнать за 60 секунд"

У базе у вас сразу будет внесено 2 тестовые записи, кликайте по любой из них 2 раза мышкой и у вас появится окно редактирования (либо их можно удалить и создать новую запись).

create_password

При добавлении в базу паролей всегда старайтесь создавать записи максимально информативно: указывайте ссылку на страничку авторизации сервиса, вносите дополнительные комментарии если требуется отмечать какие-то особенности. Пароли старайтесь генерировать как можно сложнее, этот параметр настраивается отдельно и применяться может индивидуально к каждой записи.

generate_password

После того, как закончите с созданием записи у вас должно получится что-то вроде этого:

add_account_keepass

Жмете далее «Ok» и запись сохраняется в базе. Все записи можно так же категоризировать, обратите внимание на левую панельку в KeePass (предварительно там уже есть несколько категорий с которыми можно работать). Все записи старайтесь правильно распределять по категориям, чтоб впоследствии было легко и удобно искать то, что вам нужно.

Перед выходом из программы всегда не забывайте нажимать «CTRL+S» для сохранения внесенных в базу изменений (либо если вы забудете, при выходе программа предложит вам сохранить данные).

Когда закончите работать с программой, закройте ее и проверье папку в которой вы ее распаковали, вы должны увидеть файлик базы данных с расширением *.kdbx — это и есть файл базы данных KeePass, его надо беречь, не терять и не забывать мастер пароль потому как способов восстановления доступа просто нет.

keepass_database_file

Далее у вас есть пара вариантов того, как хранить наши пароли:

  • Мы можем целиком упаковать всю папку с KeePass и базой, далее перенести ее в DropBox (архив можно защитить дополнительным паролем при желании)
  • Мы можем запаковать в архив лишь файлик базы данных и защитить дополнительным паролем
Смотрите так же   "Я от бабушки ушёл, я от дедушки ушёл" или "Как тру хэцкеры хранили базы взломанных почт на файлообменниках".

Архивируем все нужные файлы, добавляем к архиву пароль и заливаем данные в DropBox простым перетягиванием архива в папку (работаем в примере с web интерфейсом DropBox):

save_keepass_to_dropbox_1 save_keepass_to_dropbox_2 save_keepass_to_dropbox_3

 

 

 

 

 

Естественно, перед тем как это все сохранить, войдите в свой аккаунт DropBox и создайте какую-то папку в которой будете хранить ваш архив с паролями.

В данном случае, у нас получается всегда доступное хранилище с паролями которые лежат в безопасной программе и архиве.

Из плюсов:

  • Доступно откуда угодно (но помните, что нужен интернет)
  • Данные надежно защищены (особенно если вы еще дополнительно создавали пароль для архива)
  • Если вы случайно удалите архив в вашем облачно хранилище, то его можно восстановить без проблем в течении месяца (такой функционал присутствует в DropBox)

Выводы: нам не надо запоминать кучу паролей, надо знать только один — основной пароль от KeePass, данные надежно хранятся и к ним всегда можно получить доступ (не надо носить на флешках и т.д.). Зайти в ту же почту с KeePass можно всего в 2 простых клика: 1 — открыть нужную страничку командой «CTRL+U» и второй командой «CTRL+V» выполнить вход (логин и пароль программа введе самостоятельно).

С таким подходом риски к утечке паролей очень сильно снижаются, но 100% гарантии вам никто не даст т.к. всегда есть такое понятие как «человеческий фактор», но в данном случае даже он фактически исключается — все пароли ко всем сервисам у вас всегда будут отличаться, если вы используете генератор паролей. Рекомендуем создавать пароли не менее 14 символов если сервис дает возможность использовать пароли такой минимальной длинны.

Тэги:, , , , , , , , , ,

Может быть интересно:

Похожие записи

3 комментария
  1. Vanessa

    Здравствуйте.
    Моим единственным и бессменным менеджером паролей на протяжении нескольких лет, является — LastPass. Так как для сёрфинга в сети использую фаерфокс, то плагин для этого браузера стал моим незаменимым спутником. Но в свете недавних событий со взломом серверов lastpass (и уже ведь не первый раз), хотелось бы найти более безопасное решение. Но переход на тот же KeePass тормозит — привычка. Ведь юзабилити LastPass на высоте. Это и работа прямо в браузере, автозаполнение, различного рода «фишки». Единственный минус в том, что база с паролями хранится у «дяди».
    Понятно, что БД хранимая локально в зашифрованном виде теоретически безопаснее способа выше.Но опять же всё упирается в удобство использования. Таскать с собой базу паролей не всегда удобно. При внеплановой переустановке системы опять же лишние телодвижения по «спасению базы». Хранение в облаке так же доставляет лишние хлопоты: к примеру мне нужна постоянная синхронизация с БД учёток, так как практически ежедневно я регистрируюсь на интересных мне ресурсах (чем сложнее система, тем вероятнее в ней сбой).
    Попробую «объездить» KeePass или KeePassX (судя по отзывам, скорее все начну с него) . Правда ручное добавление сайтов и данных наводят уныние=(

    • sm0k3

      LastPass утекал уже в паблик, ломали их. У KeePass тоже есть своя особенность — когда копируешь пароль в буфер, его можно перехватить. Так же, еще была актуальна фича со считыванием базы пока залогинен в KeePass. Как говорится — идеальных решений не бывает 🙂

  2. Vanessa

    >еще была актуальна фича со считыванием базы пока залогинен в KeePass
    Если вы имеете в виду KeeFarce (https://github.com/denandz/KeeFarce ), то там вроде только под виндовс.
    Так же был баг в KeePass, когда во время обновления программы можно было совершить man-in-the-middle атаку, так как соединение с серверами обновлений было по протоколу http. После обнародования уязвимости, баг так и не был прикрыт (что в настоящий момент не знаю).
    >когда копируешь пароль в буфер, его можно перехватить.
    Там вроде можно поэкспериментировать с пунктом «автонабор» и функцией «двойное усложнение автонабора», что усложняет такой вид атаки.

Добавьте комментарий