我有大约180个用于不同网站和Web服务的密码。它们全部存储在一个受密码保护的Excel文档中。随着列表的增加,我越来越关注它的安全性。
密码保护的Excel文档到底有多安全,或者应该说不安全?以安全且易于管理的方式存储这么多密码的最佳实践是什么?
我发现Excel方法足够简单,但是我担心安全性。
#1 楼
我最喜欢的密码存储工具是KeePass:什么是KeePass?
今天,您需要记住许多密码。您需要Windows网络登录的密码,您的电子邮件帐户,网站的FTP密码,在线密码(例如网站会员帐户)等,等等。列表是无止境的。另外,您应该为每个帐户使用不同的密码。因为如果您到处只使用一个密码,而有人得到了这个密码,那么您就会遇到问题...一个严重的问题。小偷可以访问您的电子邮件帐户,网站等。这是不可思议的。
KeePass是一个免费的开源密码管理器,它可以帮助您以安全的方式管理密码。您可以将所有密码放在一个数据库中,该数据库由一个主密钥或一个密钥文件锁定。因此,您只需要记住一个主密码或选择密钥文件即可解锁整个数据库。使用当前已知的最佳和最安全的加密算法(AES和Twofish)对数据库进行加密。有关更多信息,请参见功能页面。
可以存储多少个密码有任何限制吗?
从理论上讲。您可以根据需要在数据库中输入任意数量的条目,但有时USB闪存盘或HDD已满。
是否可以自动同步更改的密码?
否,不像您期望的那样。
您需要使它成为常规的手动过程。
我想为所有密码条目设置失效日期:
然后我记得要定期更改密码。我使用密码输入来存储网站的URL,因此这是一个快速过程。
我可以使用该软件自动登录到Facebook这样的网站吗?
不,也不自动(至少据我所知)。但这就是自动键入起作用的地方。例如,对于Facebook,这是我的自动类型设置:
如您所见,我为不同的浏览器标题创建了3种配置。这使我可以简单地转到
facebook.com
,按Ctrl + Alt + A,将自动输入用户名和密码,并且我将登录。如果您有多个用户名/密码组合,相同的窗口标题,您会看到一个弹出窗口,询问您应使用哪个密码输入。
移动设备呢?
有一些应用程序支持KeePass容器格式。移动设备。但我远离那些。我只是不喜欢手机上的KeePass数据库。
我更喜欢只使用QR Code Generator插件传输单个密码。它使您可以从密码生成QR码,然后可以使用手机进行扫描。拥有一个可以将扫描的内容复制到剪贴板的应用程序会有所帮助。
评论
如果将其放在Dropbox中,则即使在手机上也可以在任何位置(便携式版本)打开它。另外,可以将其导入Lastpass。选的好
– Ivo Flipse
2012年6月5日在11:19
@Oliver这似乎只是我需要的工具。我一定会试试看。到期日期功能很不错!自动类型非常简单。我了解某些网站可能会要求您通过单击通过电子邮件发送的链接来确认密码更改,因此,出于任何原因,任何自动同步功能都无法像我想象的那样同步和自动更新密码。另外,它还可以在其他操作系统上运行,而不仅仅是Windows。丹克·奥利! ;)
–萨米尔
2012年6月5日在11:36
如果您想在Dropbox中使用更高的安全性,请结合使用密钥文件和密码,然后将其手动复制到您想要访问密码的任何计算机或设备上(不要将密钥存储在Dropbox中)。由于您需要访问文件系统,因此AFAIK仅适用于Android和根目录iOS设备,但是如果没有密钥文件,密码文件几乎是无法破解的。
–乍得·利维(Chad Levy)
2012年6月5日12:19
请注意,KeePass 2仅适用于Windows(至少,Linux上的免费Mono解释器运行得很差)。我在Mac和Linux上使用过一个较旧的KeePass 1克隆,称为KeePassX,它运行良好。
–里德
2012年6月5日在13:48
@Reid:根据我的经验,KeePass2在Mono上运行良好;这很丑陋,这是Mono vs .NET的事情。
–user1686
2012年6月5日15:25
#2 楼
似乎有几个易于使用的Excel密码破解程序。我会使用像1password或LastPass这样的密码管理系统,该系统可在包括手机在内的多个OS上运行。
大多数浏览器的插件,可以将密码和其他信息填写到Web表单中。 1password还可以在浏览器中设置一个书签,该书签将自动登录(应用程序的所有使用都需要先使用主密码)
1password还可以存储便笺,帐户(例如电子邮件,ftp)和模板,以帮助存储信用卡,银行帐户和其他信息。尽管它是商业性的,但您可以获得一个免费的演示,该演示允许最多输入20个项目。
两者之间的区别是1password仅在本地存储数据(尽管您可以使用保管箱同步加密的数据或类似的文件),Lastpass可以(必须?有人请对此进行更正)将数据存储在其网站上,该网站允许通过网络访问数据,而无需使用保管箱等。
评论
Excel密码非常容易破解。 Google Excel密码破解程序,您将看到许多选项。 +1为Lastpass。我曾经使用过Roboform,但因为它是跨平台的,所以更喜欢Lastpass。我使用他们的密码生成器将密码随机化。
–肯德尔
2012年6月5日12:56
LastPass +1 –不幸的是,所有出色的格式和图片的答案都适合KeePass,因为LastPass非常优越:它可以完成KeePass的所有工作,而且还为每个主要的浏览器,操作系统和移动平台提供了插件。它还可以在线存储数据,因此您不必担心丢失数据(并将其缓存在本地,因此您不必担心其服务器出现故障),但可以使用TNO加密所有内容(不信任任何人),因此LastPass永远不会真正看到您的密码。我称绝对完美的程序很少,但LastPass是其中之一。
– BlueRaja-Danny Pflughoeft
2012年6月5日在16:25
LastPass现在也还支持通过Android / iPhone进行2要素身份验证,这意味着有人首先需要窃取您的手机才能启动Authenticator应用程序(每30秒生成一个随机代码)来访问您的密码。
– Glenneroo
2012年6月5日18:04
@Sammy:是的,大多数功能都是永久免费的。您需要付费的唯一功能是移动应用程序和多因素身份验证,这需要“高级帐户”(每年12美元)。作者并没有试图从该程序中致富-我不使用高级功能,但仍然支付高级帐户来表示感谢。我通常只捐赠开源项目,这样可以告诉您一些信息:)
– BlueRaja-Danny Pflughoeft
2012年6月6日15:58
LastPass很方便,但大多是开源的,并由LogMeIn获取。 LastPass的服务器已(至少部分)遭到破坏,并且其客户端允许“当用户访问恶意网站时从LastPass用户的保险库中读取任意域的明文密码”,并且当前(2017年3月)“ LastPass二进制文件。允许恶意网站执行其选择的代码。即使二进制文件不存在,也可以...让恶意网站从受保护的LastPass保险库中窃取密码”。请参见en.wikipedia.org/wiki/LastPass#Security_issues以获取参考。
– Xen2050
17年3月31日在17:47
#3 楼
我已经使用Lastpass一段时间了,强烈推荐它。它具有一些出色的浏览器插件和许多功能,可更轻松地获得更安全的密码。浏览器插件将自动填写登录信息(登录到插件时)。它还具有导出功能,因此您可以检索数据库并将其导入例如KeePass。它还使用两步身份验证来提高安全性。
桌面客户端:
浏览器插件:
评论
@PITaylor谢谢!我一定会测试LastPass。但是现在,我将给KeePass更多时间进行评估。
–萨米尔
2012年6月6日上午9:55
我喜欢LastPass的最大原因是,它易于在多台计算机上轻松共享一组密码,并且您始终可以通过Web界面在一台随机计算机上访问密码。
–泰勒
2012年6月6日13:38
我使用lastpass,但是有2个缺点。 1)服务器可能宕机(技术问题或公司倒闭等)2)一些公司不允许使用该服务器,因为您正在从公司外发送通行证信息。
–凯尔塔里(Keltari)
13年5月13日在17:30
LastPass很方便,但大多是开源的,并由LogMeIn获取。 LastPass的服务器已(至少部分)遭到破坏,并且其客户端允许“当用户访问恶意网站时从LastPass用户的保险库中读取任意域的明文密码”,并且当前(2017年3月)“ LastPass二进制文件。允许恶意网站执行其选择的代码。即使二进制文件不存在,也可以...让恶意网站从受保护的LastPass保险库中窃取密码”。请参见en.wikipedia.org/wiki/LastPass#Security_issues以获取参考。
– Xen2050
17年3月31日在17:48
我将在此处保留此链接,因为亨特先生说的比我更好。 troyhunt.com/…
–泰勒
17年4月4日在12:30
#4 楼
我个人使用的是Password Hasher插件(适用于Firefox)。Password Hasher如何帮助您:
自动生成强密码。
一个主密钥在许多站点上会产生不同的密码。
通过“突出”站点标记来快速升级密码。
升级主密钥而无需一次更新所有站点。
支持不同长度的密码。
支持特殊要求,例如数字和标点符号。
支持限制散列词不使用特殊字符。 (新功能!)
将所有数据保存到浏览器的安全密码数据库中。
生成带有网站标记和选项设置的可移植HTML页面,使您可以在任何浏览器上生成散列字
任何未安装扩展名的机器。 (新功能!)
可以添加标记按钮来取消屏蔽任何网站上的密码。 (新功能!)
使用非常简单!
评论
必须将它们存储在某个地方,否则将被遗忘
–mmmmm
2012年6月5日13:04
还有用于Chrome的端口。
– rishimaharaj
2012年6月5日13:10
@kutschkem:不,密码不需要存储在某个地方。插件可能会做的事情(至少这是我要做的),是哈希站点标记和主密码的连接,这将导致每个站点使用不同的(并且应该是强健的)密码(不存储任何内容) ,看到吗?)。当然,您的主密码仍然需要很强。好处是不仅每个密码都会不同,而且密码也会非常不同(至少在哈希功能良好的情况下)。
–霍赫斯塔普勒(Der Hochstapler)
2012年6月5日15:12
还有一个IE的端口,由一个非常英俊的人编写
– BlueRaja-Danny Pflughoeft
2012年6月5日在16:12
@Matthew:每个密码存储解决方案都是如此...
– BlueRaja-Danny Pflughoeft
2012年6月5日19:19
#5 楼
我个人使用PasswordMaker从主密码和网站的URL生成密码。该项目相当成熟,开源且稳定。它可用于Firefox(作为扩展),Linux CLI,Android等。工作原理:
警告-本节中的技术术语!您提供
PasswordMaker两条信息:“主密码”(您想要的一个单一密码)和需要密码的网站URL。通过单向哈希算法的神奇之处,
PasswordMaker可以计算消息摘要,也称为数字指纹,可以用作网站的密码。
虽然是单向的散列算法具有许多有趣的特征,PasswordMaker充分利用了这一特征,即所产生的指纹(密码)不会“揭示用于生成它的输入的任何信息”。 。换句话说,如果某人拥有
您生成的一个或多个密码,则在计算上
他无法获得您的主密码或计算您的其他密码。计算上的不可行意味着即使像
这样的计算机也无济于事!
#6 楼
信任第三方应用程序来存储您的重要密码是有风险的,尤其是那些可能在线连接的应用程序或您授权它们访问其他程序的进程的应用程序;我认为,一种更安全的方法是将您的重要密码存储在文本文件(.TXT)中,然后使用AES算法对文件进行加密,这是更安全的方法。由dsCrypt.exe。您仅需将一次主密码输入dsCrypt,并且只要dsCrypt运行,您就可以多次对密码文本文件进行加密/解密,而无需每次都重新输入一次主密码。您可以在Windows启动时自动运行dsCrypt,然后输入一次主密码。然后您只需要将密码文件(.txt)拖放到dsCrypt即可在需要密码时对其进行解密/加密。评论
用PGP / GPG,TrueCrypt派生产品,LUKS等替换dsCrypt会一样好,但仍然+1
– Xen2050
17年3月31日在17:29
但是您的回答中有一个缺陷:dsCrypt.exe是第三方软件:-)!我更喜欢在exe上信任可以重新编译的开源程序
–spiritoo
18 Mar 9 '18 at 16:10
#7 楼
我建议使用KeePassXC,它是KeePassX(KeePass Password Safe的本地跨平台端口)的社区分支,目的是通过新功能和错误修正来扩展和改进它,以提供功能丰富的,完全跨平台的现代开放式网站。源密码管理器。Surveillance Self-Defense也推荐此客户端。
主要功能KeePassXC:
安全存储具有AES,Twofish或ChaCha20加密的密码和其他私人数据
跨平台,无需修改即可在Linux,Windows和macOS上运行
与KeePass2,KeePassX,MacPass,KeeWeb和许多其他文件格式兼容(KDBX 3.1和4.0)
SSH代理集成
在所有受支持的平台上自动键入,以自动填写登录表单
密钥文件和YubiKey质询响应支持,以提高安全性
TOTP生成(包括Steam Guard)
从其他密码管理器(例如LastPass)导入CSV
命令行界面
独立的密码和密码生成器
密码强度计
用于数据库条目的自定义图标和网站图标的下载
数据库合并功能
从外部更改数据库时自动重新加载
与KeePassXC-Browser的浏览器集成,适用于Google Chrome,Chromium,Vivaldi和Mozilla Firefox。<传统>(传统)KeePassHTTP支持与KeePassHTTP-Connector一起使用,可用于Mozilla Firefox和Google Chrome,以及用于Safari的passafari。
#8 楼
我使用记事本和.txt文件。如果您需要我的建议,我建议您不要使用第三方软件。所以使用文本文件是最好的方法。
如果您是一名程序员,我建议您为自己构建一个简单的编码来使用安全数据。那是最好的解决方案。
评论
我会冒险使用加密的密码管理器的数据库比纯文本文件更容易受到攻击,因为后者将被下一个恶意软件捕获,该恶意软件会在我的计算机中快速搜索单词password。
–我说恢复莫妮卡
2014年11月29日在18:10
至少使用gpg / pgp或其他任何东西加密您的纯文本文件,然后记住一个密码
– Xen2050
17年3月31日在17:16
评论
CyberArk等商业产品可以满足您的需求。