Bagaimana Anda mengelola kata sandi Anda?


59

Jelas melihat berapa banyak dari kita di sini adalah tipe orang administrator sistem, kami memiliki banyak kata sandi yang tersebar di berbagai sistem dan akun. Beberapa dari mereka adalah prioritas rendah, yang lain dapat menyebabkan kerusakan serius pada perusahaan jika ditemukan (bukankah Anda hanya mencintai kekuatan?).

Kata sandi yang sederhana dan mudah diingat tidak dapat diterima. Satu-satunya pilihan adalah kata sandi yang rumit, sulit diingat (dan ketik). Jadi, apa yang Anda gunakan untuk melacak kata sandi Anda? Apakah Anda menggunakan program untuk mengenkripsi mereka untuk Anda (membutuhkan kata sandi lain pada gilirannya), atau apakah Anda melakukan sesuatu yang kurang rumit seperti selembar kertas yang disimpan pada orang Anda, atau apakah itu di suatu tempat di antara opsi-opsi itu?


Apakah mudah untuk mengingat kata sandi yang benar-benar tidak dapat diterima? -> xkcd.com/936
Michuelnik

Jawaban:


63

KeePass sangat bagus.


3
+1 untuk Keepass. Saya memiliki salinannya di laptop saya dan salinan yang disinkronkan di Android G1 saya.
KPWINC

Saya menggunakan PassReminder untuk sementara karena itu dapat digunakan pada Windows dan Linux, tetapi pengembangannya mandek. Saya beralih ke KeePass, dan telah memiliki database yang sama selama lebih dari dua tahun, di seluruh workstation Windows, Linux dan Mac OS X.
jtimberman

Saya harus mencatat bahwa pada pekerjaan sebelumnya kami menggunakan basis data KeePass yang dibagi antara staf admin yang menyimpan semua kata sandi terkait infrastruktur.
jtimberman

+1 untuk Keepass, FOSS.
Josh Brower

1
KeePass + Dropbox = Autosyncing passwords.
Hello71

30

Saya memiliki cara yang sangat sederhana untuk berurusan dengan kata sandi:

Saya tidak suka pengelola kata sandi, tapi saya suka crypto, jadi saya memanfaatkan hash satu arah (md5, sha1, dll) dan menghasilkan kata sandi yang menggunakannya.

Bagaimana itu bekerja?

Pertama, saya memilih kata sandi panjang yang baik yang akan saya gunakan di mana-mana. Misalnya qwerty (jangan gunakan itu, hanya sebuah contoh). Sekarang untuk setiap situs, kata sandi Anda akan menjadi md5 (atau sha1) dari nama situs qwerty +. Sebagai contoh:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

Dengan begitu kata sandi saya untuk facebook adalah 9d7d9b30592fd43dd6629ef5c12c6e9a dan untuk twitter adalah: cdf0e74e19836efb20f29120884b988d

Keduanya panjang dan aman. Jika seseorang mencuri kata sandi twitter saya, dia tidak memiliki cara untuk mundur kembali untuk mengetahui kata sandi lainnya. Plus, melakukan itu Anda tidak memerlukan perangkat lunak kata sandi disimpan (hanya binari md5 / sha1 yang datang secara default di Linux dan mudah ditemukan di Windows).


6
Skema sederhana dan bagus. Apa yang Anda lakukan di situs yang membatasi bidang kata sandi hingga kurang dari 32 byte, terpotong saja?
pboin

1
itu skema yang cukup cerdik! keren!
Sander Versluys

1
pwdhash < pwdhash.com > melakukan sesuatu yang serupa dan tersedia sebagai add-in Firefox. Jadi, jika Anda hanya ingin mengontrol kata sandi di web, ini sangat ideal. Juga berarti Anda dapat menggunakan PC apa pun karena Anda tidak perlu membawa-bawa basis data kata sandi Anda.
Chris J

13
Tidakkah ini meninggalkan jejak perintah dengan kata sandi Anda dalam plaintext di bash history?
ikan buntal

1
Anda dapat meminta perintah abaikan bash dengan mengkonfigurasi HISTCONTROL, lihat: commandlinefu.com/commands/view/1512/…
Matt V.

16

Password Safe memiliki enkripsi yang solid dan generator kata sandi acak. Kelompok-kelompok kata sandi kemudian didistribusikan sebagai file terenkripsi berdasarkan siapa yang membutuhkan kata sandi mana.


Crypto apa yang digunakan Password Safe? Saya sudah menjelajahi seluruh situs dan belum menemukannya.
Bob


Saya menemukan Kata Sandi Aman tidak ternilai, karena saya dapat menggunakannya untuk menghasilkan kata sandi acak kapan pun saatnya untuk memutar kata sandi - setiap entri kata sandi dapat memiliki aturan kompleksitas khusus yang terkait dengannya; jika suatu aplikasi atau situs tidak mengizinkan tanda baca, saya dapat memberitahu PS untuk tidak menggunakan simbol saat membuat kata sandi baru untuk itu. Untuk manajemen kata sandi yang lebih luas, kami memiliki CyberArk.
George Erhard

7

Kami menyimpan kata sandi kami tercetak, dalam pengikat dengan dokumentasi jaringan kami yang lain, dan di ruang server kami yang aman secara fisik yang hanya dapat diakses oleh beberapa orang.

Saya tidak tahu apa yang 'admin sys' pikirkan tentang ini, tetapi saya pikir ini adalah solusi yang baik untuk kita. Saya tertarik pada jawaban lain untuk pertanyaan ini.


Dalam pekerjaan sebelumnya (fasilitas komputer universitas pusat) kami dulu memiliki buku catatan kecil yang disimpan di kotak kunci kami di dalam ruang mesin kami, yang jelas memiliki sejumlah orang yang dapat mengaksesnya.
David Pashley

+1 karena ini berfungsi dan merupakan solusi paling sederhana ... jika notebook tetap dikunci di lokasi yang aman ...
cop1152

Juga. Folder kata sandi disimpan di brankas, di ruang mesin. Kata sandi root pusat hanya diketahui oleh beberapa orang, dan kemudian dimasukkan ke dalam amplop tertutup; akses sudo untuk siapa pun yang membutuhkan akses khusus.
CK.

Kedengarannya seperti solusi teknologi rendah yang bagus. Saya akan sedikit khawatir tentang orang-orang seperti staf kebersihan, teknisi pemeliharaan dll yang kadang-kadang diizinkan masuk ke ruangan. Anda harus ingat untuk menjaga binder aman dari mereka.
sleske

7

Kami memiliki file teks terenkripsi PGP. Itu dienkripsi ke masing-masing kunci sysadmin. Kami menggunakan plugin vim untuk mempermudah pembaruan.

Pada pekerjaan sebelumnya kami menggunakan skema yang sama, tetapi menggunakan enkripsi simetris karena kami belum menemukan plugin (atau belum ada) dan tidak ada yang menghabiskan waktu untuk mencari tahu bagaimana kunci pribadi akan bekerja.


+1 Skema yang bagus, plus informasi yang bagus tentang plugin :-).
sleske

5

Saya memiliki memori fotografi, saya dapat mengingat kata sandi untuk menyalin file yang saya buat di tahun 80an - sebenarnya tidak sekeren yang Anda kira :)


Solusi yang sangat bagus Saya hanya tidak mengukur dengan sangat baik untuk orang lain: - /.
sleske

Saya juga sepertinya bisa mengingat semua kata sandi yang pernah saya gunakan ... yang berfungsi dengan baik sampai Anda lupa satu, seperti yang saya lakukan. Itu untuk penandatanganan sertifikat Android - yang berarti saya tidak akan pernah lagi memperbarui aplikasi yang saya tulis yang ada di pasar Google Play. Tentu saja, saya bisa menandatanganinya dengan sertifikat berbeda tetapi itu tidak membawa pengguna yang ada untuk ikut dalam perjalanan.
Timothy Lee Russell

5

KeePassX adalah alternatif KeePass lintas platform. GUI (Qt) yang sangat bagus dan fungsionalitas yang hampir identik.

Ehtyar.

[Sunting] Lupa menyebutkan itu mendukung KeePass DBs [/ edit]


5

Saya menggunakan program yang disebut pwsafe di desktop saya. Jika saya memerlukan kata sandi dari tempat lain, saya SSH dan gunakan itu.



2

Mari kita asumsikan bahwa Anda memiliki banyak kata sandi (berbeda) untuk berbagai layanan dan peralatan online yang Anda miliki. Anda ingin menyimpan ini dalam file.

Jangan pernah menyimpan file kata sandi Anda tetap terbuka (seperti dalam enkripsi) di mesin / server Anda. Karena itu, jangan tetap terenkripsi dengan beberapa penyedia ruang web yang memberi Anda dukungan enkripsi juga - kecuali jika Anda benar-benar mempercayai mereka.

Untuk penyimpanan kata sandi mobile, pertimbangkan volume TrueCrypt atau file yang dapat Anda simpan di mana pun nyaman - seperti pendrives atau bahkan lampiran email. TrueCrypt didukung di hampir semua platform dan memberikan keamanan yang sangat baik ketika Anda mendekripsi file untuk dilihat. Kemudian, Anda harus berhati-hati agar Anda tidak menyalin atau meninggalkan file pada beberapa sistem (atau folder file yang dihapus).

Ah! dan seriuslah dengan pembuatan kata sandi Anda :-)


2

Gantungan kunci. Saya sudah mencoba kata sandi, tetapi gantungan kunci melakukan apa yang saya perlukan, dan saya suka cara kerjanya lebih baik.



1

Saya menyimpan kata sandi dalam file teks sehingga mudah dilihat - tidak perlu aplikasi apa pun. Saya menyimpan file yang dienkripsi dengan frasa sandi yang panjang yang tidak pernah saya tulis. Saya kira suatu hari saya harus memberi tahu istri saya apa itu ...

Versi "berfungsi" dari file dicetak dalam font kecil sehingga pas di selembar kertas dan dilipat ke dalam buku catatan kecil yang saya bawa dan melacak seperti dompet saya. Pada dasarnya, saya mengikuti saran Bruce Schneier dan memiliki kata sandi yang baik yang ditulis di suatu tempat yang aman.

Paket "bagaimana jika satu admin kami terkena bus" adalah bahwa masing-masing dari kami memiliki file kata sandi terenkripsi mereka sendiri. Ada cukup sedikit dari kita dan kita semua tidak cukup bodoh untuk meninggalkan daftar tercetak di sekitar, sehingga berfungsi dengan baik.

Kami juga memiliki file kecil di direktori bersama yang kami gunakan yang memiliki kata sandi kurang kritis yang kita semua lihat.

Kami "menghasilkan" kata sandi rumit kami sendiri untuk penggunaan yang paling kritis: Saya biasanya pergi dulu dan memilih huruf atau angka. Kemudian lelaki berikutnya memilih satu, lalu saya (atau lelaki lain), dan seterusnya. Kita berakhir dengan hal-hal seperti pl8u7ke yang ternyata tidak terlalu sulit untuk diingat jika Anda menggunakannya cukup banyak setiap hari.


1

Untuk kata sandi pribadi, saya menggunakan 1Password. Ini memiliki aplikasi iPhone / iPod Touch yang hebat (gratis) jadi saya bawa kata sandi ke mana pun saya pergi.


1

Anda harus memeriksa Yubikey ( http://www.yubico.com/ ).

Ini menghasilkan OTP untuk digunakan dalam sistem otentikasi dua faktor, tetapi untuk aplikasi yang tidak dapat diakses jaringan, dapat dikonfigurasi untuk menghasilkan pada 64-karakter pseudo-random (untuk semua maksud dan tujuan, tidak dapat diterima) kata sandi, atau Anda dapat atur kata sandi sendiri.

Kata sandi statis atau sekali pakai dikeluarkan seolah-olah dari keyboard, sehingga hampir tersedia secara universal. Saya menggunakan milik saya di Linux, MacOS dan Windows.

Sunting PS: Saya bermain-main dengan Yubikey saya sendiri tetapi tidak memiliki kepentingan pribadi; Saya hanya berpikir itu alat kata sandi yang sangat berguna.


YubiKeys hebat, tetapi Anda masih memerlukan server otentikasi dan aplikasi yang berguna yang berbicara ke server otentikasi untuk membuatnya melakukan sesuatu yang bernilai
Nathan Hartley


1

Saya menggunakan 1Password dari Agile Web Solutions. Ini terintegrasi dengan mulus dengan semua browser umum di Mac dan dengan bantuan Dropbox , saya dapat mengakses kumpulan kata sandi yang sama dari semua mesin saya.

Jika Anda perlu mengakses rahasia Anda dari berbagai platform OS, KeypassX adalah pilihan yang baik.


1

Jika Anda memiliki sistem OS X sebagai workstation klien Anda, Anda dapat menggunakan program Keychain Access untuk mengelola kata sandi. Kami menggunakan file gantungan kunci di lokasi bersama yang dapat diakses oleh administrator sistem dan hanya menautkannya ke program Akses Keychain kami.


1

Saya akan merekomendasikan PasswordVault

Grup di Departemen IT kami menggunakannya dan sangat menyukai fitur yang ditawarkannya.

Kata sandi selalu dienkripsi. Pengguna individu dapat memilih kata sandi apa yang akan dibagikan. Yang terbaik dari semua perangkat lunak ini gratis.

Apa pun yang Anda putuskan untuk digunakan, pastikan OSnya aman dan kata sandi dienkripsi.


1
Bukankah seharusnya tautannya bertuliskan PasswordVault?
David Pashley

"Edisi Lite gratis ini mendukung hingga 25 layanan dan termasuk uji coba distribusi otomatis selama 30 hari (fitur Edisi Pro)." - Kedengarannya sangat terbatas.
Toto


1

Untuk kata sandi pribadi, karena saya menggunakan banyak komputer, saya suka layanan online Clipperz . Enkripsi dilakukan di sisi klien dan disimpan dari jarak jauh. Untuk yang terkait dengan pekerjaan, +1 untuk Kata Sandi Aman.


+1 untuk Clipperz
elifiner

1

Di kepala beberapa orang. Yang benar - benar penting dituliskan di selembar kertas kecil, lalu ditempelkan dalam amplop kecil. Kami menjepret amplop, jadi jelas kalau ada yang membukanya.


Juga, tandatangani & beri tanggal pada jahitan amplop, sehingga Anda tahu tidak ada yang menggunakan amplop baru.
Jay Bazuzi

0

Secara pribadi saya menggunakan eWallet , sehingga saya dapat menyinkronkan file kata sandi saya ke telepon saya. Biayanya $ 30, tapi saya senang dengan itu selama bertahun-tahun dan dukungan selalu cepat dan sopan.

Dalam situasi kerja, solusi pilihan saya adalah Portable KeePass atau serupa. File yang dapat dieksekusi dan kata sandi dapat diletakkan di floppy atau kunci USB. Kata sandi utama tertulis di bagian luar floppy / USBkey. Tutup ini ke dalam amplop, tandatangani nama dan tanggal Anda di flap, lalu tempelkan plester yang jelas pada tanggal dan tanda tangan. Perbarui dengan amplop baru setiap 6 bulan atau lebih (1).

Amplop itu kemudian ditempatkan di lokasi yang aman. Sering kali, amplop itu sendiri harus diinventarisasi.


(1) Secara opsional simpan amplop lama untuk tujuan historis - jika tidak, amplop lama harus dihancurkan.


0

Saya menggunakan metode diceware untuk menghasilkan kata sandi (sehingga lebih mudah diingat daripada sampah acak yang sebenarnya):

http://world.std.com/~reinhold/diceware.html

Saya mencoba menggunakan grup kata sandi untuk akses ke berbagai jenis sistem, untuk membatasi jumlah kata sandi yang harus saya ingat pada waktu tertentu dan untuk membatasi kerusakan jika ada yang dikompromikan.

Lalu saya mengubahnya secara teratur. Seberapa sering Anda mengubahnya tergantung pada seberapa cepat Anda bisa melatih diri untuk mengingat kata sandi baru.

Jika benar-benar harus, Anda dapat menyimpan hasil gulungan dadu terkunci di suatu tempat seperti brankas atau brankas. Menciptakan kembali kata sandi dari daftar (hanya melakukan pencarian daftar kata) adalah tugas yang cukup menjengkelkan untuk berfungsi sebagai pencegah untuk dilupakan. Dan bagian terburuknya adalah begitu Anda mencari beberapa kata pertama, Anda biasanya ingat sisanya.


0

Saya menggunakan apg dan pwsafe di server pribadi saya. apg (Automated Password Generator) membuat kata sandi acak sesuai dengan kriteria yang dapat Anda tentukan, dan pwsafe hanyalah versi Linux-baris-aman Password Safe versi Linux.

Aku bisa selalu SSH ke server saya untuk mendapatkan password saya jika perlu, meskipun untuk situs rendah-nilai yang saya lakukan angin menggunakan password yang sama di banyak tempat.


0

Untuk membantu mengingat kata sandi, saya menemukan bahwa kata itu berguna jika kata tersebut dapat diucapkan sehingga Anda setidaknya dapat mengatakannya.

Saya menyimpan daftar beberapa kata sandi yang biasanya saya butuhkan di dompet saya. Tidak 100% aman tapi saya pikir itu tidak akan menyebabkan masalah besar.

Daftar utama semua kata sandi disimpan di brankas tahan api.


0

Saya hanya punya spreadsheet di google docs dengan data.


5
Saya biasanya bukan orang yang mengetuk SaaS, tetapi menempatkan kata sandi Anda pada platform outsourcing tampaknya merupakan hal yang salah untuk dilakukan.
Dan Carley


0

Dalam prev. hidup, ketika saya harus "mengingat" 20 kata sandi yang berbeda untuk berbagai lingkungan dengan aturan pembuatan kata sandi yang berbeda untuk masing-masing, saya menggunakan Whisper32 . Itu melakukan pekerjaan dengan cukup baik.


0

Kami menggunakan CyberArk, karena kami membutuhkan solusi yang sesuai PCI (dan kami juga memiliki kebutuhan HIPPA), ditambah lagi hampir semua sistem pelanggan. Saya tidak senang dengan CyberArk, tetapi itu berhasil.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.