Quel est le système de mot de passe en ligne le plus sûr?


11

Il est si difficile de suivre des dizaines de mots de passe à différents endroits. La synchronisation échoue de temps en temps et vous vous retrouvez avec un syndrome d'évitement de correction de collision.

Existe-t-il une source unique de stockage sécurisé, en ligne et commercial des mots de passe quelque part? Celui qui sera là pour les années à venir et celui qui est vraiment assez sûr pour assurer la protection?


1
Voulez-vous dire le plus sécurisé ou celui qui cause le moins de problèmes?
ojblass

En ligne == non disponible parfois lorsque vous en avez besoin. Restez sur un PDA ou quelque chose.
womble

«En ligne = non disponible» est probablement moins problématique que de dépendre d'un PDA pour être disponible. (Je ne peux tout simplement pas prendre l'habitude d'en porter un.)
Darian Miller

Que diriez-vous en ligne == reproductible avec un peu de mémoire et un ordinateur? (c.-à-d. hachage d'un ou deux mots de passe avec les domaines
auxquels

Réponses:


11

Utilisez keypass et stockez la base de données dans gmail, maillage en direct ou quelle solution de storrage de fichiers en ligne que vous souhaitez. Ensuite, vous pouvez toujours en obtenir une copie à utiliser en supposant que vous avez accès au clavier qui peut être sur un lecteur flash et une connexion Internet.


C'est la solution sur laquelle je travaille actuellement et je me demandais s'il y avait quelque chose de mieux.
Darian Miller

(+1 en ce moment ... sera la réponse si aucune autre idée n'apparaît) Merci
Darian Miller

4

Si vous êtes vraiment sur un modèle en ligne, quelques-uns de mes collègues utilisent Passpack , et ils en sont assez satisfaits. Je ne peux pas dire oui ou non, car je ne l'utilise pas, mais cela semble assez sûr et sécurisé.


+1 Merci. Je l'ai vu depuis un certain temps et cela a éveillé mon intérêt, mais je ne me suis jamais senti suffisamment à l'aise pour `` appuyer sur la gâchette '' et charger tous les mots de passe sur un service gratuit.
Darian Miller

4

J'ai trouvé LastPass comme un merveilleux gestionnaire de mots de passe pour mes mots de passe personnels. Consultez la liste des fonctionnalités .

Je suis toujours à la recherche du meilleur gestionnaire de mots de passe d'entreprise (mais abordable) .


1
À quoi ressemble cette décision deux ans plus tard?
jldugger

Toujours heureux d'utiliser LastPass pour mon gestionnaire d'informations personnelles sécurisé. Je me sentais encore mieux après que Steve Gibson eut donné son approbation ( twit.tv/sn256 ). Malheureusement, aucun mouvement (en interne) sur la solution d'entreprise ....
Nathan Hartley

1
LastPass a maintenant une version entreprise. Je ne sais pas comment c'est (mais je le regarde bientôt, nous pourrions utiliser une telle chose).
Ronald Pottol

3

Je n'en utiliserais pas un en ligne. J'utiliserais (et utiliserais) KeePass . Sur une note latérale, vous pouvez vérifier la force brute de vos mots de passe ici


1
+1 KeePass est bon, mais pas aussi pratique que quelque chose comme KWallet ou le gestionnaire de mots de passe intégré de Firefox ... mais je suis entièrement d'accord avec le fait que les mots de passe doivent être conservés localement et en privé, pas stockés sur un site Web (sauf si vous avez créé le site Web code vous-même et l'hébergez sur votre propre serveur auquel personne d'autre n'a accès)
David Z

il a demandé un service "en ligne".
cd1

Keepass, en conjonction avec le maillage en direct ou tout autre stockage en ligne, comme Jared a suggéré est une option. Je n'ai pas utilisé KeePass mais je vais y jeter un œil. (J'utilise e-Wallet depuis des années.) Merci.
Darian Miller

@ cd1- Je me rends compte que Darian demandait un service en ligne mais je ne peux en toute conscience recommander à personne de stocker des mots de passe sur quelque chose sur lequel ils n'ont pas de contrôle physique. Chaque question de type informatique (sans dépannage) devrait être (à mon humble avis) évaluée en pensant que même si possible, c'est la meilleure solution pour l'objectif visé. Je suppose que la réponse aurait pu être "Non" mais cela n'aurait pas été très instructif.
Jim B

3

Bruce Schneier a Password Safe, qui est suffisamment sécurisé pour que Bruce Schneier l'approuve, si vous le souhaitez. Ce n'est peut-être que Windows. http://www.schneier.com/passsafe.html


1
Il existe une version java disponible au téléchargement qui devrait fonctionner n'importe où. J'en garde une copie sur ma clé USB.
pages

Je garde une copie de la mienne dans mon compte Dropbox.
reconbot

1

Je ne conseillerais pas non plus d'utiliser un service en ligne. Vous n'avez aucune garantie que vos données ne sont pas accessibles aux autres. Si vous êtes sur un système Linux, essayez Revelation , simple et direct


1

Jetez un œil au Yubikey de Yubico; il semble que ce soit ce que vous recherchez. Un Yubikey connecté à un MacBook http://yubico.com/img/finger_key.jpg

http://yubico.com/products/yubikey/

Sa configuration par défaut (c'est-à-dire conçue) doit être utilisée comme un bloc unique pour l'authentification à deux facteurs en ligne, mais elle a également un mode "mot de passe statique" qui produira (le même) 64 caractères pseudo-aléatoires quand un peu le cercle capacitif vert est touché. Fonctionne comme un clavier USB, il est donc universel et fonctionne même hors ligne. Le mot de passe statique de la chaîne aléatoire peut être modifié à tout moment.

Un peu plus de 30 $ et arrive dans une enveloppe régulière de 30 grammes (que je trouvais trop cool pour être vrai) et en un rien de temps.

Honnêtement, toutes les astuces pour conserver un fichier crypté sur une clé USB sont à la fois un tracas énorme et surtout inutiles. Tout ce dont vous avez besoin est un mot de passe avec une entropie raisonnable que vous ne pouvez pas facilement deviner ou brutaliser. Entrez Yubikey.

Je développe des applications d'authentification en ligne OTP avec leur API; c'est plutôt soigné, en fait. Je peux également garantir sa solidité physique.

Clarification : j'ai proposé cela comme une alternative au stockage de mot de passe en ligne, d'autant plus qu'il est basé sur l'API et peut être utilisé en ligne. Cependant, il pourrait également remplacer plusieurs mots de passe, si cela vous convenait.


2
Les YubiKeys sont excellents, mais vous avez toujours besoin d'un serveur d'authentification et d'une application utile qui communique avec le serveur d'authentification pour lui permettre de faire quoi que ce soit de valeur.
Nathan Hartley

1
+1 @nathan c'est vrai, malheureusement, bien que vous ayez au moins un mot de passe long, ce qui est bien.
msanford le

1
Je voulais jouer avec un depuis longtemps maintenant, je viens d'en commander un grâce à toi.
reconbot

@wizard, dommage qu'ils n'aient pas de programme de parrainage ^ _ ^ Vraiment, cependant, je pense que vous apprécierez le Yubikey 2. Je vais en commander un sous peu pour le tester.
msanford

1

SuperGenPass pourrait être votre réponse. Il ne stocke rien, peut être utilisé à partir de n'importe quel navigateur, aucun compte n'est nécessaire. Il fonctionne en hachant un mot de passe "maître" avec les deux premiers niveaux du domaine. J'ai discuté avec le créateur, c'est un gars sympathique.

Depuis leur site:

SuperGenPass est un autre type de gestionnaire de mots de passe. Au lieu de stocker vos mots de passe sur votre disque dur ou en ligne, où ils sont vulnérables au vol et à la perte de données, SuperGenPass utilise un algorithme de hachage pour transformer un mot de passe principal en mots de passe complexes et uniques pour les sites Web que vous visitez. Aucun logiciel à installer: SuperGenPass est un bookmarklet et s'exécute directement dans votre navigateur Web. Et comme il ne stocke ni ne transmet jamais vos mots de passe, il est idéal pour une utilisation sur plusieurs ordinateurs publics. C'est aussi totalement gratuit.

Étant javascript, il a eu beaucoup de révision de code, il a un bookmarklet qui a parfaitement fonctionné sur 99% des sites sur lesquels je l'ai essayé, et le temps occasionnel, vous ne pouvez pas facilement utiliser la version mobile et copier-coller.



1

Plus le système est simple, mieux c'est.

Prenons un système de mots de passe composé de:

  1. un mot de passe maître fort
  2. un identifiant unique pour chaque site

Donc, étant donné que votre mot de passe principal est très long, rapide à taper et introuvable dans aucun dictionnaire (par exemple Very12% Long91! Password86 # EasilyTyped), le mot de passe que vous utilisez sur example.com serait un hachage d'un hachage de Very12% Long91! Password86 # EasilyTyped + example.com

$ echo -n 'Very12% Long91! Password86 # EasilyTyped + example.com' | sha1
7d123b486ece9841879135562125d3317e7d4436
$ echo -n 7d123b486ece9841879135562125d3317e7d4436 | sha1
5a19c98f66fc82e6af85b8bcf341734b6c44a8d6

Il existe des extensions de navigateur qui peuvent vous aider. Il est légèrement ennuyeux d'utiliser ce système sur des systèmes non Web qui n'offrent pas de se souvenir des mots de passe et vous devez inventer un schéma au cas où quelqu'un vous obligerait à changer de mot de passe de temps en temps.

Bien sûr, vous ne pouvez saisir votre mot de passe principal que sur des terminaux fiables.


Il me semble que l'utilisation de Hashs comme mot de passe réduirait considérablement l'espace du mot de passe ...
S19N

Comment figurez-vous?
Alex Holst


0

Fichier texte chiffré Gpg stocké dans le contrôle de version. Utilisez quelques scripts pour décrypter / crypter le fichier comme vous le souhaitez. Vous contrôlez la disponibilité du fichier, vous pouvez utiliser le contrôle de version distribué pour avoir toujours accès lorsque vous êtes hors ligne, et la durée de sa disponibilité est déterminée par vous (c'est-à-dire qu'il est facile de passer à différents systèmes si nécessaire). Gpg a également l'avantage de pouvoir chiffrer à plusieurs destinataires, permettant à plus d'une personne d'afficher le fichier de mot de passe. Chiffrez différents fichiers à différents destinataires pour limiter les personnes autorisées à accéder aux informations d'identification d'un certain groupe.


0

Ce n'est pas une réponse à votre question, mais il est lié - les execs sur Twitter avaient juste leur compte Google divisé en exposant un tas d'informations confidentielles sur la société.

Je suppose que Twitter est une cible beaucoup plus grande que vous, donc cela a certainement quelque chose à voir avec l'effraction. Je ne pense pas non plus que cet incident exclut complètement le cloud computing. Cependant, TOUT service de mot de passe en ligne est une grande cible. Les mots de passe sont trop importants pour être stockés en ligne.


0

J'hésiterais à stocker mes informations sensibles avec une entreprise externe. Envisagez-vous d'implémenter vous-même un produit Web; vous pouvez ensuite le faire face à l'extérieur si vous le souhaitez, le rendant accessible de n'importe où.


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.