Pull to refresh

Comments 236

Кто какие средства для хранения паролей использует?
Как не странно, но как раз вчера я скачал KeePass, и теперь не могу с него нарадоваться) Спасибо за хороший обзор.
Уже давно использую KeePass... Доволен везде...
UFO just landed and posted this here
В FF итегрируется, но как-то не совсем гладко. Сразу видно что порт.
UFO just landed and posted this here
Работает отлично сам пользуюсь, и не нужно буфером копировать
Я вот тоже использовал пока совершенно случайно сам не взломал всю свою базу паролей. Случилось это при переносе на другой компьютер, я производил какие-то банальные манипуляции с файлами и владельцем базы и вдруг увидел все свои пароли. При этом пароль владельца я не вводил. Может это конечно чистая случайность, но мне лично стало страшно. Поискав нашел KeePass и теперь им пользуюсь. Жаль только под Palm нет версии.
UFO just landed and posted this here
Зря вы иронизируете. Я понимаю, что вы там работали и все такое, но предвзятость здесь неуместна. Предлагаю вам эксперимент. Пришлите мне вашу базу (то есть файлы, где все хранит робоформ) и я попытаюсь провернуть все тоже самое. Если все нормально, то бояться вам совершенно нечего, верно?
UFO just landed and posted this here
Сейчас примерно опишу последовательность.
У меня было два компа. С одного я переносил всю инфу и соответственно Робоформ тоже. Установил Робоформ на втором компе и оставил мастеркод пустым. Просто скопировал файлы со своими паролями и толи переписал поверх те, которые были, толи указал где мои файлы Робоформу... точно не помню уже. Но фишка в том получилась, что под новым пользователем с открытым мастерпаролем все мои карты отобразились в открытом виде. То есть мне не пришлось вводить свой мастерпароль.
Может когда мастерпароль вводят, то какие-то файлы с открытыми данными на диске появляются? Возможно я копировал файлы в то время как раз, когда на первом компе все было открыто.

Короче разбираться я не стал дальше, а начал искать какие есть еще программы хранения паролей и был приятно удивлен, когда нашел бесплатную и очень функциональную.
UFO just landed and posted this here
Юзаю KeePass + Roboform. На счет того, что пароли не нужно помнить - не согласен. Несколько штук (6-8) все-таки нужно держать в памяти. И удобно и быстро.
Достаточно долгое время использую 1Passwd. Умеет автозаполнение/автосохранение (если надо). Минусов два:
- только под мак
- не поддерживается автозаполнение в опере
Гм, люблю хабр — коменты даже спустя год оставляют o_O
переехал на KeePass с проги Password Commander (сцуко, потратил на это двое суток!!!)
мотив перехода - наличие версии KeePassдля КПК.

единственный недостаток - категории создаются не в активной категории, а всегда в корневой - приходится перетаскивать.
А Password Commander не умеет экспорт делать? Можно было бы в KeePass импортнуть из txt.
совпал у этих двух прог формат CSV, с ним и работал
сложность была в том, что последовательность полей у обеих прог разная, а для кипасс - обязательно прописывать поля даже если они пустые.
короче, заморочился, честично правил руками, но БД паролей - перегнал из одной проги в другую.
Конечно постфактум советы давть бесполезно, но можно было затянуть в эксель и поменять поля именно так как нужно.
затягивал в эксель :)
он там все в одну ячейку пишет, так что или я ничего не понимаю в экселе, или хрен там чего можно было батчем поменять.

да ладно, я ж уже сконвертил каким то образом... (помню, что руками делал немного)...
В Экселе надо было через меню открывать, тогда бы импортёр предложил выбрать, какие разделители и ограничители используются.
Давно пользуюсь KeePass.
Вполне устраивает.
Юзаю листочек бумаги. Удобно. Работает даже с телефонами. Невозможно не имея самого листка узнать, что в нем записан (если не подсмотреть когда вводишь). Единственный недостаток - при получении посторонними к нему доступа (потере и т.п.) ничто вас уже не спасет.
UFO just landed and posted this here
Ещё недостаток — порой сложно отличить 1 (единицу), l (строчную L), | (вертикальную черту), / (слэш) и т. п.
Огромное спасибо!
У меня как раз наступил тот критический момент, когда запоминать пароли уже не представляется возможным.

Пощупаю вашу рекомендацию...
На здоровье. KeePass — тот случай, когда по удобству бесплатная программа в пух и прах бьет все платные аналоги.
Я, конечно, извиняюсь, но хранение паролей - как раз тот случай, когда платные программы даже рассматривать не стоит. Просто из соображений безопасности.
Может, не "платные", а "закрытые"?
Экзотический аналог KeePass — хранение паролей в текстовом файле, зашифрованном PGP или чем-то в этом духе. Человек открывает его в ViM, для навигации по списку использует вимовский Folding :)
Так и делю :) (txt + PGP)
очевидный недостаток по сравнению с KeePass - нет мобильности на мобильном!
Это не экзотический аналог, это вполне разумное средство, с учетом простоты, открытости библиотек и т.п. Настоящим гикам фенечки-рюшечки не нужны :) Я использую OpenSSL и des3 в нем чего и всем советую. VIM совершенно необязателен. Навигация по списку из 100 паролей осуществляется поиском. С мобильного если приспичит можно зайти по ssh на машину с паролями и расшифровать их. Только непонятно, зачем оно нужно: ведь если у айтишника рядом нет лаптопа, значит он в глубоком отдыхе и пароли ему не нужны :)
А если просто в шифрованный зип положить, и использовать длинный пароль, быстро сломают? А то PGP далеко не везде есть.
Вот ZIPам и их "защите" точно не стоит доверять. Уже давно есть специальные ломалки, на раз-два открывают.
UFO just landed and posted this here
Тоже нет. Только специализированные средства. TrueCrypt, например.
При чем же тут паранойя, Александр? :)
К тому, что не пользуюсь паролезапоминалками, а удобный пароль всего один и хрен кто догадается, какой :-)

Помните, у Лукьяненко "двенадцать обезьян в жопу сунули банан"? Вот это тоже, кстати, паранойя.

Хотя, KeyPass-ом попробую попользоваться. Раз уж ты советуешь, Алексей :-)
Недавно как раз у моей знакомой подобрали пароль к "Одноклассникам"... ну и далее по "Вконтакте", "Мейл-агенту". Бедная аж плакала :((

:)
причем пароль - дата ее рождения... да?
Рано или поздно свой единственный пароль вы посеете сами или его уведут трояном...
Когда один пароль, даже если он сложный, утечка на одном сервисе ставит под угрозу все остальное.
Сейчас понимаю это, на неделе обойду все сервисы - поменяю пароли
Один пароль на всех ресурсах означает, что: а) защита пароля на каждом ресурсе не превосходит защиты пароля на ресурсе с самой слабой защитой; б) сложность подбора пароля злоумышленником убывает пропорционально количеству ресурсов.
у меня разные пароли :-) просто я редко регистрируюсь.
Помните, у Лукьяненко "двенадцать обезьян в жопу сунули банан"?
Мы-то помним, так что не "двенадцать", а сорок тысяч обезьян :)
UFO just landed and posted this here
Да даже и фишинговый не надо сервис, ведь не все сайты шифруют пароли до сих пор. А вдруг самому владельцу захочется посмотреть что там у тебя "Вконтакте"?

Вообщем пароли должны быть и сложны и разные и много.
UFO just landed and posted this here
Так вот хорошие сайты открытые пароли не хранят. Доступ к базе понятно дело всегда есть.
Спасибо за обзор, хорошая программа.
Но хотелось бы найти такую прогу, которая могла бы сохранять конкретно пароли по типам и отдавать соотвественно. А тут соблюден универсализм (это конечно хорошо, но не всегда).

К примеру нужно запомнить пароль на фтп, выдаются соответствующие поля: фтп-хост, юзер и пароль. А отдается в нужном формате, таком как ftp://user:password@ftp_host/. Так бы для людей которые в плотную занимаются разработкой или часто используют форматы ввода эта программа была бы намного полезней и удобней.

Нужно еще чуток поработать над юзабилити и все будет замечательно. Ну все-ровно респект разработчикам за нормальное начало развития программы и успехов в дальнейшем совершенствовании.
Насчет юзабилити — нет программ, в которых над этим не надо работать. Но вот все виденные мною аналоги и близко не стоят.
Да, действительно очень приятно что появилась более профессиональная программа чем подобные ей. Чувствуется, что работал не один человек. Единственное что меня беспокоит в ней - это стремление к универсализм.
Вообще-то разработчик один, Доминик Райхл, хотя, бесспорно, без советов и помощи со стороны пользователей не обошлось.
О, спасибо. Как всегда подвело поверхностное знание. Теперь можно уверено пользоваться и не говорить глупостей.
У меня 99% паролей в браузере нужны. Для этого идеально подходит AI Roboform (чем и пользуюсь, вот только поддержки Оперы там нет, а жаль) - он еще и пароли для нужного домена автоматом выбирает. А в KeePass как интеграция с браузерами, удобна ли?
Насколько я знаю, там есть плагины для этого, аналогично "Робоформу" работают. Но я не пользуюсь ими, парой кликов мыши копирую и вставляю пароль, и все окей.
Забыл добавить - в AI Roboform и запоминание пароля через браузер работает. То есть первый раз мне нужно просто ввести данные и нажать ввод - он сам спросит, хочу ли я сохранить их. То есть работы для меня - минимум, пользы - максимум.
Но Roboform не возьмешь с собой. Например, мне иногда надо воспользоваться паролем на чужом компе. Или с наладонника. Вот тут-то важные преимущества KeePass и раскрываются.
Почему, есть версия для флешки.
UFO just landed and posted this here
А не подскажешь, где свежий робоформ можно слить, с кряком, а то паролей много, а кряк рабочий не найду
Вот это и есть минус Roboform'а - платность
Ну купить почти все можно, а для русского человека это имхо неприемлимо ;) с кряком кто нибудь видел в нете?
Я свой купил. После того как достаточно им попользовавшись, понял, что это очень удобная для меня программа.
Тем, что у меня больше 100 сохраненных паролей, а в бесплатной штук 30 всего можно
UFO just landed and posted this here
Да не, все ok, прекрасно понимаю
А зачем за это вообще извиняться? Если человек занимается противозаконным - ворует программы - он так или иначе портит себе карму. И не только "хабровскую"... А если он к тому же афиширует это и вовлекает других людей - так уж точно заслуживает минуса.
UFO just landed and posted this here
Раньше тоже хранила пароли в специальных программах, но однажды у меня грохнулся жесткий диск, а с ним все явки-пароли. Сейчас дублирую на бумажке и думаю об альтернативном варианте... Может, домашний сервер с RAID замутить? Дисками с бэкапами уже все ящики завалены; не бэкапить же на DVD каждый день?
У меня файл с паролями в нескольких копиях есть, а что касается бекапов, так есть внешние жесткие диски, даже со специализированными функциями типа "бекап одной кнопкой".
Из Робоформа можно распечатать все пароли ;) удобнее бекапа не придумать ;)
Из KeePass тоже можно — экспортнул в Excel — и печатай
UFO just landed and posted this here
Главное — запомнить пароль к gmail. А то получится pkunzip.zip
В интернетах пользую http://userscripts.org/scripts/show/1341
...ам простое вычисление MD5 для строки домен + мастер_пароль. По такому же принципу можно вычислять пароль для любой строки. Написть скрипт или прогу - дело получаса
Второй год пользуюсь Password Commander (http://www.pascom.ru/).
Удобная, безопасная и плюс ко всему есть еще автозаполнение паролей и логинов из программы.
К сожалению, максимум это только портативная версия. Ни для КПК, ни для J2ME пока нет решений.
А я как раз зашел на их сайт, да вспомнил. Именно отсутствие мобильной версии и вынудило продолжать поиски. А так Password Commander — тоже хорошая программа.
Пользуюсь Password Commander'ом уже года три. Наладонника нет, а с флешки, рабочего и домашнего компьютеров прекрасно фурычит. Была мысль чтоб не париться со вводом мастер-пароля купить флешку со сканером отпечатка пальца (а PassCom умеет с ними работать), но пока не купил ещё, хотя в продаже они появились.
Подарили такую флешку.. "Преглючнейшая вещь"
Работает только в ИЕ, в пхпмайадмин вообще не зайдешь (раза с 20-го), систему вешает напрочь запросто
Итого - пылится на полке
Программа действительно предельно проста и удобна в использовании.
Автору спасибо!
Счастливчик...
Когда вы последний раз видели троян или червя под мак? :)
Под винду у вас не только бы пароли уперли, еще саму программу, поселили с десяток ботов, с двадцать сокс-троянов, нашли бы порнуху, поставили торрент-клиент и подымали бы себе рейтинг :))))
у меня в голове лежит паролей 10, которые я сортирую по типу соц.сети, форумы, важные форумы, и тд. Если кто-то и узнает что-то, то мне это вреда не принесет, восстановлю за 5 минут и поменяю.

Самые важные пароли: ася, гугл, система бекапа - не хранятся нигде. я их просто помню в любом состоянии.

Пароли от серваков, всяких акков полунужных и тп хранится в одном текстовом файле, который постоянно бекапится на удаленный сервак.

так и живем)
p.s. macosx
Наверное, всё-таки это у меня на хабре первый раз.
Искреннее спасибо автору поста и авторам программы.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Интересно, а как быть, если надо записать 32-ух символьный пароль, ну к примеру, на кпк? Или в мини Оперу на телефоне? Как тогда?
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Одна проблема: Linux-порт, KeePassX, слишком урезан по сравнению с Win32-версией, поэтому приходится использовать последнюю под Wine'ом.

Может быть, кто-то знает способ лучше?
А, собственно, чего именно не хватает? Я попользовался и как-то не заметил, чтобы отсутствовали какие-то критически важные функции.
UFO just landed and posted this here
Терморектальный метод взлома, к сожалению, и такое обходит :(
Интересно чем вы должны заниматься и кому насолить, чтобы на вас стали применять вышеозначенный метод взлома? :)
Ответа на вопрос не знаю и знать не хочется :))
UFO just landed and posted this here
А как быть если пришел в гости, если нужно ввести пароль в, например, в интернет-кафе?
И главное, как быть если ваш единственный пароль подобрали?

Имхо, все пароли нужно знать по памяти. Подумать только, есть 150 паролей. которые вы не знаете! От этой программы зависит, сможете ли вы доказать что вы именно тот человек за которого себя выдаете! Я конечно понимаю, что вероятность потерять оригинал и бэкап одновременно очень мала, но все же, например у меня недавно одновременно полетел плеер и звуковая карта...

Потеря файла с данными или, мастер-пароля разрушит все ваши интернет-связи. Очень рискованно.
1. С собой носить KeePass на флешке.

2. Мастер-пароль следует выбирать крайне стойким.

3. Бэкапы надо делать многочисленные. Например: на домашнем компьютере, на рабочем компьютере, на ноутбуке, на КПК, на флешке, на своём сайте и на почтовом сервере.
UFO just landed and posted this here
Пример с полной потерей звука у себя дома я вам привел.. Это о возможности утраты файла.
Я не говорю, что это очень вероятно, конечно такое может случиться только с таким неудачником как я :) Но всеже утеря доступа к 150 сервисам - это очень серьезно..

Просто я опасаюсь не знать свои пароли, чисто психологически тяжело.
UFO just landed and posted this here
Храню пароли в текстовом файлике :)
Файлик - на виртуальном диске, диск - на флэшке, зашифрованный DriveCrypt'ом.
А все после того как у меня стащили три кошелька с примерно $1000. Один - WM, другой RuPay, третий - YD. Я тогда был пацифистом, и думал, что вирусы - выдумка производителей антивирусов. Я очень гордился, что не хожу по порносайтам и не скачиваю кряки и думал что вирусам просто неоткуда взяться. Паролей у меня было несколько и я их не хранил нигде на машине. И в один прекрасный вечер я почувствовал что браузер как то неестественно тормозит. Скачал Nod и поймал вирус! Радости - полные штаны :) А на утро я уже не смог зайти в свой WM, RuPay и YD. Неделю бодался с сервисами, чтобы только кошельки вернуть, пусть и пустые. Они были аттестованными, то есть второй кошелек на свой пасспорт я уже обламывался получить, а аттестация нужна для автоматизированного использования в веб-магазине. Деньги, конечно, не вернул... Но суть истории не в этом: откуда они могли вытащить мои пароли?? Долго думая, я пришел только к одному выводу - из почтовика. Пароли ящиков передаются на сервер без шифрования (и потом, эксперементируя, я не смог заставить передавать их шифрованными - серверы не поддерживают этой фичи). Да и хранятся тоже не ахти шифрованными. Имея пароль от ящика можно запросить восстановление пароля к кошельку. То, что деньги не просто были сняты, а еще и пароль сменен это подтверждает. С WM я лоханулся и на том, что файлы кошельков лежали свободно на диске. Так что советую не чураться использовать на денежных сервисах все предлагаемые виды защиты (по IP, например), чтобы иметь некую гарантию. И конечно связка файрвол+антивирус обязательна.
А у меня не пароли украли, а сразу деньги: запустил кипер (тогда еще 2.0.х.х был), ввел пароль, а тот быстренько прошел все проверки и выслал деньги (причем все до нуля) на чей-то кошелек.
Так вот зачем там капча...
Да, именно, теперь там очень навороченная каптча - слишком уж мудрено.
Я для дома для семьи Оперой пользуюсь, но в тот вечер по работе в Макстоне сидел. Он притормаживать стал при отправке запросов. И даже не он (!) а какое-то crsvr.exe грузило проц, но именно в моменты отправки запросов браузером - конспирация такая, видимо :)
У KeePass есть еще одна замечательная вещь: он умеет вводить адреса, логины и пароли в нужное окно, в нужной последовательности. Это называется Auto-Type.
Например, я использую для работы по ftp из-под Windows программу CuteFTP. Чтобы открыть определенный сервер, нужно сделать следующее: нажать Ctrl+F8, ввести имя хоста, нажать TAB, ввести логин, нажать TAB, ввести пароль, нажать Enter. Эту комбинацию можно набрать в KeePass следующим образом: Auto-Type: ^{F8}{URL}{TAB}{USERNAME}{TAB}{PASSWORD}~
Также необходимо задать Auto-Type-Window — параметр, задающий, в какое окно нужно вводить комбинацию. В данном примере будет так: Auto-Type-Window: *CuteFTP*
Теперь, можно просто открыть CuteFTP, нажать Ctrl+Alt+A, и появится окно с выбором записи KeePass, если для окна CuteFTP определено несколько записей.
Естественно, можно настроить несколько последовательностей для разных программ.
Подробнее можно почитать тут: http://keepass.info/help/base/autotype.h…
для интернетных паролей - Passowrd Hasher - плагин к файрфоксу. он генерирует сложный пароль по своему алгоритму, смешивая его из 3 ингридиентов: произвольных символов, названия сайта (вернее, домен до корня - например, habrahabr) и ключевой фразы, которую пользователь помнит.

ключевая фраза одна, сгенерированный пароль вы можете не знать. каждый раз вы вводите свою фразу, программа как бы генерирует пароль заново, идентичный тому, какой вы выбрали.

в общем, сложность сводится к выбору сложной фразы, которую нужно держать в голове и вводу ее в окошко плагина.

и еще вдруг кто-то позабыл - чтобы хоть попытаться обойти клавиатурные шпионы на чужих компьютерах: как вводить пароль в инете - пару символов пароля в строку ввода пароля, потом курсором выбрать произвольное место на страничке, попечатать произвольные символы, опять в строку ввода пароля и дописать пароль.
против клавиатурных шпионов для того же фаерфокса есть KeyScrambler

а ещё есть аналог Password Hasher — сайт hashapass.com с уменьшенной версией. То есть, можно просто создать веб-панель в фаерфоксе или опере с этой страничкой, или сохранить страницу локально.
На Маке я счастлив используя 1Password. Она хранит все данные в стандартном для ОС подходе — в keychain. А сама программа предоставляет суперудобное средство подтыкания паролей и других личных данных (если надо) на сайты. При наличии нескольких Маков и эпловской службы .Mac все синхронизируется между компьютерами. При наличии Айфона, синхронизируется и туда.
Одна беда — .mac платный. Есть ли аналогичные бесплатные решения для синхронизации нескольких маков?
Спасибо автору за предстоящую бессонную ночь в связи с переводом хранения паролей на нормальный софт! )
а возможно ли в этой программе добавлять свои дополнительные поля?
Программа хорошая, пользуюсь уже больше года, но, бывает, что логиниться приходиться с произвольных мест, где ни базы, ни покета ничего нет. Посему приходиться придумывать длинные, но хорошозапоминаемые пароли.
более чем 6 лет проживал в интернете, никогда не переживал за пароли... после угона аськи пару дней назад - все пароли теперь только набор символов, букв разного регистра (храню на бумажке...)
А не только для лисы? пароли вводят в электрокошельки, называют по телефону банкам и т.п.
Очень скептически к таким программам отношусь. Самый дырявый элемент в любой системе паролей = человеческий фактор.

Как сказал один мой знакомый (возможно процитировал кого-то): "Если спец-служба захочет узнать твой пароль, им на это понадобиться ровно 6 минут. 3 из которых уйдут на то чтоб найти верёвку и привязать тебя к стулу".

А говоря конкретно о программе хранения паролей - если ты имеешь доступ к своим паролем через неё, то и кто-то другой тоже сможет получить доступ. Вместо запоминания множества паролей - мы запоминаем Мастер-пароль к базе паролей в программе. Это аналогично тому как люди используют один и тот же пароль на всех инет\не-инет системах\сервисах.

Порядок действий прост как двери:
1. Куча Бекапов базы паролей, а значит угнать базу уже не составляет труда, так как она лежит не в одном месте. В актуальности угнанной базы я ни на секунду не буду сомневаться так как знаю что каждый день вы пароли ко всем сервисам менять не будете.
2. Осталось дело за малым, угнать 1 (ОДИН!) мастер-пароль! (не важно как он выглядит, это строковая запись, или кей-файл, или комбинация кей-файла и текстового пароля. Но он всего один!

Храню пароли в текстовом файле, каюсь что это вообще ни как не надёжно, но лучшей альтернативы пока не нашол :(
1. Если спецслужбы захотят что-то узнать, узнают по-любому. Зато вот для таких настойчивых ребят можно внутри шифрованного файла делать как бы фальшивый уровень.

2. Это абсолютно не аналогично. Между мастер-паролем к программе и одинаковым паролем ко всем сайтам разница огромна.

3. Бекапы шифрованы.
Заметил странную тенденцию. Тех кто не согласен с автором что пароли надо хранить в подобной программе тех минусуют. Типа: те кто не с нами - те против нас?

Абсолютно аналогично - если человек использует одинаковый пароль везде, то заполучив его мы получим доступ ко всем его службам\сервисам и т.п. Так же и с программами хранителями - заполучив мастер пароль, у нас есть всем пароли к тем же службам.

Древняя мудрость гласит: «Не клади все яйца в одну корзину!». База с паролями - как раз та самая корзина, даже если закрыта на замок (зашифрована).

Можно экспортировать пароли в XML, TXT, CSV, HTML при необходимости.
Пользователь вышел покурить или срочно его вызвали куда-то или ещё что-то и забыл закрыть(залочить) программу (или комп), она была под кучей открытых окон других приложений.
По идее достаточно сделать Экспорт на флешку, без всех выше описанных сложностей.
Тех кто не согласен с автором что пароли надо хранить в подобной программе тех минусуют.


Это заговор, точно Вам говорю ;-)
тулза полезная, но чтобы сейчас все пароли перекинуть в нее.... часа 2-3 времени. Будет время - потестим:)
Пару недель назад в комментариях к какому-то топику на Хабре увидел ссылку на KeePass программу, с тех пор и использую. Очень доволен.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Такую гарантию можете дать только Вы сами — скомпилировав из предварительно проверенных исходников
На самом деле, любая программа, чисто теоретически, может тырить пароли. Было бы желание и нужда у разработчиков.

Так что, лучшее в таком случае - особо не заморачиваться :)
UFO just landed and posted this here
во-первых, есть лёгкое неподтверждённое подозрение, что ты на эту фирму работаешь, которая программулю для паролей выпустила. во-вторых, что будет, если доступ к паролям нужен вне домашнего компа? в третьих: считаю, что для запоминаемости и сложности паролей, в пароль должно входить название службы, для которой пароль. Например: логин для аськи: василий, пароль для аськи: аськинпарольвасилия. в четвёртых: почему не пользоваться штатными/браузерными запоминалками? в пятых: есть ли уверенность, если да, то откуда, что программа эта (или любая другая) не звонит домой и не рассказывает, какой пароль для какой службы с какого, например, АйПи-адреса был введён? типа того. и так далее.
1. даже не комментирую
2. вне домашнего компа у меня есть КПК, мобильный, флешка
3. вот такие пароли и тырят
4. помимо браузеров, есть еще куча мест, где пароли вводить надо
5. у меня нет оснований им не доверять, но вообще исходники открыты
1. можешь не комментировать - схема оплаченной статьи известна всем.
2. неясна схема внедрения программ запоминалок на кпк, мобильнике, флэшке...
3. опа! неужто такие тырят? оповести об алгоритме подбора ;)
4. так вот, помимо браузерных запоминалок используются штатные системные, типа как в Маках.
5. открытые иходники это хорошо
6. лишняя программа - лишнее слабое звено, тонкое место, источник ошибок, усложнение (нужное подчеркнуть) в общей системе. КПД жизни снижает.
1. мне заплатили 258193 доллара и 74 цента за пиар бесплатной опен-сурс программы :)
2. схема проста: ставится программа, копируется база паролей
3. находят один, а остальные по аналогии
4. как называется штатная системная запоминалка в Виндах, которая, к тому же, позволяет ту же базу паролей иметь на кпк и перенести на другие платформы?
5. кто бы спорил
6. у меня так после перехода на KeePass КПД жизни повысился. в голове место освободилось, времени на ввод паролей меньше, да и самому спокойнее ;)
На сайте программы не нашел, спрошу тут: а синхронизировать базы keypass умеет? Например, работая на лаптопе создал 2 новых пароля, на смартфоне еще два, плюс на настольном ПК еще одна база. Можно все это слить в одну кучу без проблем?
Не знаю, увы. Думаю, можно написать feature request автору программы.
А есть какая-то синхронизация между PC-версией и java для мобил?
В той java-версии, которую я скачал, синхронизация - это ручное копирование kdb-файла. Причём если создать этот файл в русифицированной Keepass, то на телефоне разделы и названия записей показываются кракозябрами, правда внутри записи с русским всё ок. Приложение служит лишь для просмотра и ввод новых записей не поддерживает.
UFO just landed and posted this here
Писал статейку "безопасные пароли" - http://aboutall.nnm.ru/bezopasnye_paroli
Там описывал прогу - Password Comander
Пользуюсь давно очень, более чем доволен :)
Но может и эту качну - все таки, версия для кпк привлекает внимание )
Отличная прога, только вот если в категории больше 50 записей, долго ее открывает (в ubuntu). В леопарде все летает.
Хотел уточнить непонятный момент:
Если есть всего один мастер-пароль, значит заполучив его (способов много, клавиатурные шпионы, трояны и т.п.), злоумышленник сразу получает доступ к базе всех паролей.

У меня пароли и важные документы хранятся в зашифрованном с помощью программы TrueCrypt (Open-Source, есть версии и под вин,мак,лин) файле, который монтируется как виртуальный диск. А уже на этом диске пароли хранятся в текстовых файлах. При переходе в ждущий/спящий/итп режимы, диск отсоединяется и снова смонтировать его можно только после ввода мастер-пароля.

Теперь объясните, какие отличия у этих двух методов хранения паролей (TrueCrypt и KeePass). Кроме удобства конечно. Хотя TrueCrypt удобна по-своему тем, что можно хранить не только пароли, но и все важные документы.
Помимо мастер-пароля, можно еще и ключевой файл подключать, а все вместе это хранить на флешке со сканером отпечатков пальцев :)
Отличие — как раз в удобстве. И в том, что я могу эту же базу на мобильных устройствах пользовать.
Вообще кроме самого мастер пароля нужно заполучить и файл со всеми остальными.
В связи с поднятой темой хотел бы спросить: есть ли какое-то кросс-платформенное решение для хранения в закрытом виде браузерных паролей? Выше писалось про плагин для героя обзора — KeePass. Но кто-то может кратко поделиться опытом использования такого плагина?
Интересно, к какому сервису вот этот пароль:
96DtL`yL\,B C#@2w'QEP
=)
Замечательная програмка. Давно искал надежное хранилеще для паролей и кажется наконец его нашел.
Простите, но версии под линукс, на сколько я знаю, не существует. Разработчики предлагают запускать программу под wine.
Это кстати та причина, по которой я отказался от использования этой программы.
Есть клон, совместимый по формату файлов, называется KeePassX.
Точно! Спасибо! Буду пробовать еще раз :)
Из опенсорсных хранильщиков нашел ещё Password Safe от самого Брюса Шнайера. Вроде как есть версия под PocketPC, под линукс - MyPasswordSafe (ограничен весьма) и Password Gorilla (Tcl/Tk - Windows, Linux-BSD-Solaris, MacOS X; один недостаток - медленно открывает файл паролей).

Под пальмы - Keyring for PalmOS. Где-то как-то можно импортировать пароли из KeePass, как именно - забыл ужо.

Сам пользуюсь KeePass под виндой, под линуксом не удалось в своё время запустить клоны из-за старых библиотек в системе (а в Дебиане это чревато сносом половины системы... С тех пор думаю о переезде на Gentoo :) )
Основной минус подобных программ заключается в том, что они предназначены исключительно для персонального использования. У меня же в компании (как в прочем и у многих наших клиентов) задача заключается в том, чтобы обеспечить авторизованный и безопасный доступ к одному хранилищу паролей сразу нескольким сотрудникам. Т.е. единственным удобным вариантом является решение на вебе. И единственное, что удалось нам найти - это Adventnet Password Manager. Крайне функциональный (включая даже расстановку агентов, позволяющих регулярно автоматически менять пароль), но очень тормознутый вариант. Может быть кто-нибудь сталкивался с чем-либо подобным, но работающим пошустрее? Кстати, говоря, учитывая практически полное отсутствие конкуренции, это мог бы быть очень успешный стартап!
UFO just landed and posted this here
Я тоже давноиспользую keepass (до этого пользовал pwd.txt ) , все впечетления только позитивные.
Раньше пользовался пиратской eWallet, сейчас купил SPB Wallet. Поддержи отечественного производтеля, как говорится :)

А если серьезно, давно подсел на продукты SPB Software Housе. Все очень удобно, красиво и функционально. Две версии PC и PPC, синхронизация, плагин для браузера. Настоятельно рекомендую.
у меня на флехе стоит keepass, штука очень удобная - держу в голове один 18-и значный, нечитабельный пароль, а остальные там...и прекрасно себя чувствую
Очень актуальная тема. Буквально сегодня я скачал keepass, а вот теперь вижу топик на хабре. Приятно, что сделал правильный выбор
Хорошо, версия под КПК есть, а КПК-ПК между собой синхронизируются?
Переносом файла с базой паролей.
В таком случае комбинация из SplashID mobile + SplashID desktop (http://splashdata.com/splashid/index.asp) мне кажется более удобной. Там дата синхронизируется автоматически (по активсинку). Поддержка платформ не менее обширна: Palm OS, Win mobile, BlackBerry, Symbian и для ПК это Windows и Mac.
Недостаток предложенного SplashID решения это его небесплатность.
Да, ещё забыл добавить: Web Auto Fill присутствует, а вот плагинов я не нашёл.
UFO just landed and posted this here
Обхожусь пока как-то стандартным менеджером паролей в Опере, не веб-паролей у меня нет. Да и в голове они у меня имеются, не нужно загоняться по поводу синхронизации, таскания флешки и прочих вещей.
Если Вы потеряете (оставите, забудите и т.п.) wand.dat из Оперы - все пароли вскроются за пару секунд. :(
отличная программа, сам использую.
но есть один минус - насколько я знаю, на данный момент нет релиза keepassX, работающего под mac os 10.5 (см. багтрак). приходится пользоваться svn-сборкой.
Спасибо. Поставил. Будем пробовать. НО! Доверяю только своей голове.
Гм. А если работаешь с нескольких компов, как это решается?
UFO just landed and posted this here
пример легко-запоминающегося пароля
J3QQ4-H7H2V -*****-*****-***** (что под звездами думаю все знают)
когда то давно оно было моим паролем от и-нет кошелька.

Вообще безусловную полезность хранилища паролей я осознал давно, но вот как быть когда у тя 70 нечитаемых паролей ssh от цисок и пусть они будут хоть 8 символов ... хоть один хранитель паролей может их вводить в консоль? А по хорошему пароли надо делать и длиннее и сложнее, но пока все храню в тексте и ввожу руками - тратя многа лишнего времени.
keepass как раз вводит в консоль пароли без проблем.
по крайней мере версия для linux
UFO just landed and posted this here
Сотовый телефон у Вас есть? Вот в нем можно хранить.
главное - телефон не потерять потом... :)
Password Boss и Password Generator, хотя в первом есть генератор, он он мне не нравится.
Решил попробовать и сразу же напоролся на очень неприятный косяк. Если программу не выключить, то в буфере происходит что-то страшное.
Работаю в винде в Putty. При вставке из буфера по правой кнопке мыши вставляются какие-то символы, после которых консоли очень плохо ) Пришлось прогу прибить. Может у нее есть какие настройки против этого, не знаю. Нет времени ковырять. Но глюк очень неприятный :( А я 99% рабочего времени провожу в консоли ) страшно подумать как с помощью этой проги вводить в консоль все те же пароли ;)
заинтересовался вашим вопросом, однако читаю в мануале
For example, if you globally (i.e. using the Windows Explorer) register PuTTY for ssh:// URLs, KeePass will automatically use PuTTY for ssh:// URLs, too.
значит если url указывать через ssh://xxx и завязать putty на ssh://, то проблема вполне может быть разрешимой
Вы видимо не поняли проблемы )
Эта фраза из мануала скорее призвана открывать записи в которых указан урл. Т.е. если сделать как написано, то KeePass будет открывать по Ctrl+U Putty и вводить туда пароль ;)
С этим у меня нет проблем, используем собственные наработки )
Проблема в том, что при включенной программе вставить что-либо (не пароль) из буфера в Putty невозможно. Вернее оно вставляется, но консоли становится очень плохо, а это очень сильно мешает.
Попробуйте в Tools->Options->Memory поменять Clipboard behavior.
"Рабочие" пароли храню пароли на eToken. Домашние в голове.
Программа хорошая, спасибо.
Кому-нибудь удалось подружить j2me версию с Nokia?
Друзья! Может, кто поможет советом... Прочитал статью, залил рекомендуюмую программу, начал использовать, но вот беда! SE810i при попытке синхронизации download from web, user code - 4 символа ввел, pass code - 4 символа ввел, а encryption code позволяет ввести только 10 символов из 16-ти и не более того. На Нокии 6230 все работает нормально, все 16 символов вводятся, а с Se810i не знаю что и делать. Есть идеи?
Боюсь, это дело в телефоне. Вряд ли смогу помочь :(
Спасибо, Алексей, за ответ. Но я исследовал все настройки телефона и нигде не нашёл ограничения на количество вводимых символов до 10 штук. И вообще ограничений на ввод информации в какие-либо окна. И не встречал нигде информации, что SonyEricsson ограничивает информацию, которую нужно вводить в окна... Скорее это встречается у производителей софта, на веб-страницах.
Может где-то в настройках java-клиента что-то нужно подкрутить? :)
Я может пропустил.

Если KeePass решает ситуацию, то с радостью на него переползу.
В телефоне хочется тоже читать почту и быть в аське. А два джава приложения запустить нельзя.
Единственный способ — перепечатать сложный пароль и потом сохраниться с куки?
Хм, это все понятно, НО, если у меня не кпк, нету мобилы которая держит J2ME, есть например одна Винда на компе и стоит данная программа. И вот произошел у меня апокалипсис: полетел хард (это один из вариантов) =) И ВСЕ! Нету проги, нету базы, бэкап на болванку не писал...
Что делать в таком случае. А пароли все длинные, навороченные, которые я даже не запоминаю! Это конечно бред, но вариант. Что делать???
Допустим паролей у меня к нескольким 10 сервисов и не только. Помню только 8-10. А к остальным придется восстанавливать все?
ИМХО, эти проги конечно удобны во всем, но всетаки лучше держать все в голове, или в конце концов писать на бумажку и хранить ее в сейфе=)))
Под Винды есть еще PINs (http://www.mirekw.com/winfreeware/pins.html) и замечательный своей простотой Steganos LockNote(http://locknote.steganos.com). А KeePass - очень качественная и удобная утилита, мне понравилась.
у всех хранилок и заполнителей паролей есть один самый главный недостаток, такой же как например у кошелька и т.п. - это лучший способ потерять все сразу.
Ну вот есть теперь у меня kdb-файл с моими паролями. Но есть он у меня только в одном месте.
Теперь хотелось бы что бы дома этот файл тоже был. И тут встаёт вопрос синхронизации.
Можно было бы конечно самому писать его на флэшку, но это неудобно хотя бы тнм, что если забыл флэшку, то забыл и пароли вновь введённые.

Нужно что то типа SVN/CVS сервиса, который позволял бы любые файлв заливать/сливать.
Есть что нибудь подобное?
Sign up to leave a comment.

Articles