Comment gérez-vous vos mots de passe?

De toute évidence, étant donné que nous sommes nombreux ici à être des administrateurs de système, nous avons beaucoup de mots de passe utilisés sur de nombreux systèmes et comptes. Certaines d'entre elles ont une faible priorité, d'autres pourraient causer de graves dommages à une entreprise si elles sont découvertes (vous n'aimez pas tout simplement le pouvoir?).

Des mots de passe simples et faciles à retenir ne sont tout simplement pas acceptables. La seule option est complexe, des mots de passe difficiles à mémoriser (et à saisir). Alors, qu'est-ce que vous utilisez pour garder une trace de vos mots de passe? Utilisez-vous un programme pour les chiffrer pour vous (nécessitant encore un autre mot de passe), ou faites-vous quelque chose de moins compliqué, comme un morceau de papier conservé sur vous, ou est-ce quelque part entre ces options?

KeePass est génial.

J'ai un moyen très simple de gérer les mots de passe:

Je n'aime pas les gestionnaires de mots de passe, mais j'aime bien la cryptographie. Je profite donc des hachages unidirectionnels (md5, sha1, etc.) et je génère des mots de passe à l'aide de ceux-ci.

Comment ça fonctionne?

Premièrement, je choisis un bon mot de passe long que je vais utiliser partout. Par exemple, qwerty (n'utilisez pas cela, juste un exemple). Maintenant, pour chaque site, votre mot de passe sera le md5 (ou sha1) de qwerty + nom du site. Par exemple:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

Ainsi, mon mot de passe pour facebook est 9d7d9b30592fd43dd6629ef5c12c6e9a et pour twitter, cdf0e74e19836efb20f29120884b988d.

À la fois long et sécurisé. Si quelqu'un vole mon mot de passe Twitter, il n'a aucun moyen de revenir en arrière pour trouver les autres mots de passe. De plus, vous n'avez besoin d'aucun logiciel de mot de passe stocké (uniquement les fichiers binaires md5 / sha1, fournis par défaut sous Linux et faciles à trouver sous Windows).

Password Safe a un cryptage solide et un générateur de mot de passe aléatoire. Les groupes de mots de passe sont ensuite distribués sous forme de fichiers cryptés en fonction de qui a besoin de quels mots de passe.

Nous conservons nos mots de passe imprimés, dans un classeur avec notre autre documentation réseau et dans notre salle de serveur physiquement sécurisée, à laquelle seules quelques personnes ont accès.

Je ne sais pas ce que les "vrais administrateurs système" en pensent, mais je pense que c'est une bonne solution pour nous. Je suis intéressé par les autres réponses à cette question.

Nous avons un fichier texte crypté par PGP. Il est crypté sur chacune des clés de l'administrateur système. Nous utilisons un plugin vim pour faciliter la mise à jour.

Lors d'un travail précédent, nous avons utilisé un schéma similaire, mais nous avons utilisé un chiffrement symétrique car nous n'avions pas découvert le plugin (ou il n'existait pas encore) et personne n'avait passé le temps de comprendre le fonctionnement des clés privées.

J'ai une mémoire photographique, je me souviens des mots de passe pour compresser les fichiers que j'ai créés dans les années 80 - pas vraiment aussi cool que vous pourriez le penser :)

KeePassX est une alternative KeePass multi-plateforme. Une très belle interface graphique (Qt) et une fonctionnalité presque identique.

Ehtyar.

[edit] J'ai oublié de mentionner qu'il prend en charge les bases de données KeePass [/ edit]

J'utilise un programme appelé pwsafe sur mon bureau. Si j'ai besoin d'un mot de passe quelque part ailleurs, je SSH et l'utiliser.

J'ai essayé de nombreuses applications et, pour une utilisation personnelle, mon préféré est LastPass (add-on gratuit, autonome ou pour navigateur).

Vous recherchez toujours une solution au travail et avez compilé une liste d'exigences et de solutions possibles dans un autre poste .

Supposons que vous avez beaucoup de mots de passe (différents) pour divers services et équipements en ligne que vous possédez. Vous voudriez les stocker dans un fichier.

Ne laissez jamais votre fichier de mots de passe ouvert (comme non chiffré) sur vos machines / serveurs. Cela dit, ne le gardez pas crypté avec un fournisseur d’espace Web qui vous offre une prise en charge du cryptage - à moins que vous ne leur accordiez votre confiance.

Pour le stockage mobile de mots de passe, considérez les volumes TrueCrypt ou les fichiers que vous pouvez stocker à tout moment, comme vos clés USB ou même les pièces jointes à vos courriers électroniques. TrueCrypt est pris en charge sur presque toutes les plateformes et offre une très bonne sécurité lorsque vous décryptez les fichiers pour les afficher. Ensuite, vous devez simplement veiller à ne pas copier ou laisser le fichier sur un système (ou un dossier de fichiers supprimés).

Ah! et soyez sérieux avec votre génération de mot de passe :-)

Porte-clés. J'ai essayé 1password, mais keychain fait ce que j'ai besoin de faire, et j'aime la façon dont il fonctionne mieux.

Malheureusement, dans une feuille de calcul protégée par mot de passe.

Je garde mes mots de passe dans un fichier texte, donc c'est facile à consulter - je n'ai besoin d'aucune application. Je garde le fichier crypté avec une phrase secrète longue que je n'ai jamais notée. Je suppose qu'un de ces jours je devrais dire à ma femme ce que c'est ...

La version "de travail" du fichier est imprimée dans une petite police, de sorte à ce qu'elle tienne sur une seule feuille de papier et qu'elle soit pliée dans le petit carnet que je porte et que je garde comme mon portefeuille. En gros, je suis les conseils de Bruce Schneier et j'ai de bons mots de passe écrits dans un endroit sûr.

Notre plan «Et si un administrateur est touché par un bus», c’est que chacun de nous a son propre fichier de mot de passe crypté. Nous sommes assez peu nombreux et nous ne sommes pas tous assez bêtes pour laisser une liste imprimée traîner, alors ça marche bien.

Nous avons également un petit fichier dans les répertoires partagés que nous utilisons qui contient les mots de passe moins critiques auxquels nous nous référons tous.

Nous "générons" nos propres mots de passe complexes pour les utilisations les plus critiques: je choisis généralement une lettre ou un chiffre. Ensuite, le gars suivant en choisit un, puis moi (ou un autre gars), etc. Nous nous retrouvons avec des choses comme pl8u7ke qui ne sont pas trop difficiles à retenir si vous les utilisez presque tous les jours.

Pour les mots de passe personnels, j'utilise 1Password. Il dispose d'une excellente application (gratuite) pour iPhone / iPod Touch. J'ai donc mes mots de passe partout où je vais.

Vous devriez vérifier le Yubikey ( http://www.yubico.com/ ).

Il génère un mot de passe à utiliser pour un système d’authentification à deux facteurs, mais pour les applications non accessibles au réseau, il peut être configuré pour générer un mot de passe pseudo-aléatoire de 64 caractères (pour toutes fins utiles, indiscutable), ou vous pouvez définir le mot de passe vous-même.

Le mot de passe statique ou à usage unique est généré comme à partir d'un clavier, de sorte qu'il est disponible presque universellement. J'utilise le mien sous Linux, MacOS et Windows.

PS edit: Je joue avec mon propre Yubikey mais je n’ai aucun intérêt acquis; Je pense simplement que c'est un outil de mot de passe très pratique.

pour les mots de passe personnels, j'utilise PassPack .

J'utilise 1Password de Agile Web Solutions. Il s'intègre de manière transparente à tous les navigateurs courants sur le Mac et, avec l'aide de Dropbox , je peux accéder à la même collection de mots de passe à partir de toutes mes machines.

Si vous avez besoin d'accéder à vos secrets depuis différentes plates-formes de système d'exploitation, KeypassX est un bon choix.

Si vous utilisez des systèmes OS X comme postes de travail clients, vous pouvez utiliser le programme Keychain Access pour gérer les mots de passe. Nous utilisons un fichier de trousseau dans un emplacement partagé accessible par les administrateurs système et le relions simplement à notre programme d’accès au trousseau.

Je recommanderais PasswordVault

Un groupe de notre service informatique l'utilise et aime vraiment les fonctionnalités qu'il a à offrir.

Les mots de passe sont toujours cryptés. Les utilisateurs individuels peuvent choisir les mots de passe à partager. Le meilleur de tous les logiciels est gratuit.

Quoi que vous décidiez d'utiliser, assurez-vous que le système d'exploitation est sécurisé et que les mots de passe sont cryptés.

J'utilisais le service TIPAS sur Twitter:

http://twitter.com/tipas/

Mais, pour une raison quelconque, les administrateurs de Twitter semblent avoir interrompu leurs recherches.

Pour les mots de passe personnels, comme j'utilise plusieurs ordinateurs, j'aime bien le service en ligne gratuit Clipperz . Le chiffrement est effectué côté client et stocké à distance. Pour le travail, +1 pour Password Safe.

Dans la tête de plusieurs personnes. Les plus importants sont écrits sur de petits morceaux de papier, puis collés dans de petites enveloppes. Nous agrafons dans les enveloppes, il est donc évident que quelqu'un l'ouvre.

Personnellement, j'utilise eWallet pour pouvoir synchroniser mon fichier de mots de passe sur mon téléphone. Cela coûte 30 $, mais j'en suis satisfait au fil des ans et le soutien a toujours été rapide et courtois.

En situation de travail, ma solution préférée est Portable KeePass ou similaire. L'exécutable et le fichier de mots de passe peuvent être placés sur une disquette ou une clé USB. Mot de passe principal inscrit à l'extérieur de la disquette / clé USB. Scellez-le dans une enveloppe, signez votre nom et la date sur le rabat, puis collez du ruban adhésif transparent sur la date et la signature. Mise à jour avec une nouvelle enveloppe tous les 6 mois environ (1).

L'enveloppe est ensuite placée dans un endroit sécurisé. De temps en temps, les enveloppes elles-mêmes doivent être inventoriées.

(1) Conservez éventuellement les anciennes enveloppes à des fins historiques. Sinon, les anciennes doivent être détruites.

J'utilise la méthode Diceware pour générer des mots de passe (afin qu'ils soient plus faciles à mémoriser que de véritables déchets aléatoires):

http://world.std.com/~reinhold/diceware.html

J'essaie d'utiliser des groupes de mots de passe pour accéder à différents types de systèmes, à la fois pour limiter le nombre de mots de passe dont je dois me souvenir à tout moment et pour limiter les dommages si l'un d'entre eux est compromis.

Ensuite, je les change régulièrement. La fréquence à laquelle vous les changez dépend de la rapidité avec laquelle vous pouvez vous entraîner à vous souvenir des nouveaux mots de passe.

Si vous en avez absolument besoin, vous pouvez conserver les résultats des jets de dés comme un coffre-fort ou un coffre-fort. Recréer les mots de passe à partir des rôles (il suffit de chercher dans la liste de mots) est une tâche suffisamment ennuyeuse pour dissuader d’oublier. Et le pire, c’est qu’une fois que vous avez lu les premiers mots, vous vous souvenez généralement du reste.

J'utilise apg et pwsafe sur mon serveur personnel. apg (Automated Password Generator) crée des mots de passe aléatoires en fonction de critères que vous pouvez définir, et pwsafe est simplement la version Linux en ligne de commande de Password Safe.

Je peux toujours SSH dans mon serveur pour obtenir mes mots de passe si nécessaire, bien que pour les sites à faible valeur que je n'enroule en utilisant le même mot de passe à plusieurs endroits.

Pour aider à me souvenir des mots de passe, j'estime qu'il est utile qu'ils soient prononçables afin que vous puissiez au moins les dire.

Je garde une liste de quelques mots de passe dont j'ai généralement besoin dans mon portefeuille. Pas sûr à 100% mais je pense qu'il est peu probable que cela cause des problèmes majeurs.

La liste principale de tous les mots de passe est conservée dans un coffre ignifuge.

Je viens d'avoir une feuille de calcul à Google Docs avec les données.

J'utilise Passkeeper . C'est simple, gratuit, léger et ne nécessite pas d'installation.

Dans un prev. Dans la vie, quand je devais "me souvenir" de 20 mots de passe différents pour des environnements variés, avec des règles de génération de mot de passe différentes pour chacun d’eux, j’utilisais Whisper32 . Cela a assez bien fait le travail.

Nous utilisons CyberArk, car nous avions besoin d’une solution conforme à la norme PCI (et nous avons également les besoins HIPPA), en plus de la quasi-totalité des systèmes clients. CyberArk ne me passionne pas, mais cela fonctionne.