Как стать автором
Обновить

Комментарии 236

Кто какие средства для хранения паролей использует?
Как не странно, но как раз вчера я скачал KeePass, и теперь не могу с него нарадоваться) Спасибо за хороший обзор.
Уже давно использую KeePass... Доволен везде...
НЛО прилетело и опубликовало эту надпись здесь
В FF итегрируется, но как-то не совсем гладко. Сразу видно что порт.
НЛО прилетело и опубликовало эту надпись здесь
Работает отлично сам пользуюсь, и не нужно буфером копировать
Я вот тоже использовал пока совершенно случайно сам не взломал всю свою базу паролей. Случилось это при переносе на другой компьютер, я производил какие-то банальные манипуляции с файлами и владельцем базы и вдруг увидел все свои пароли. При этом пароль владельца я не вводил. Может это конечно чистая случайность, но мне лично стало страшно. Поискав нашел KeePass и теперь им пользуюсь. Жаль только под Palm нет версии.
НЛО прилетело и опубликовало эту надпись здесь
Зря вы иронизируете. Я понимаю, что вы там работали и все такое, но предвзятость здесь неуместна. Предлагаю вам эксперимент. Пришлите мне вашу базу (то есть файлы, где все хранит робоформ) и я попытаюсь провернуть все тоже самое. Если все нормально, то бояться вам совершенно нечего, верно?
НЛО прилетело и опубликовало эту надпись здесь
Сейчас примерно опишу последовательность.
У меня было два компа. С одного я переносил всю инфу и соответственно Робоформ тоже. Установил Робоформ на втором компе и оставил мастеркод пустым. Просто скопировал файлы со своими паролями и толи переписал поверх те, которые были, толи указал где мои файлы Робоформу... точно не помню уже. Но фишка в том получилась, что под новым пользователем с открытым мастерпаролем все мои карты отобразились в открытом виде. То есть мне не пришлось вводить свой мастерпароль.
Может когда мастерпароль вводят, то какие-то файлы с открытыми данными на диске появляются? Возможно я копировал файлы в то время как раз, когда на первом компе все было открыто.

Короче разбираться я не стал дальше, а начал искать какие есть еще программы хранения паролей и был приятно удивлен, когда нашел бесплатную и очень функциональную.
НЛО прилетело и опубликовало эту надпись здесь
Юзаю KeePass + Roboform. На счет того, что пароли не нужно помнить - не согласен. Несколько штук (6-8) все-таки нужно держать в памяти. И удобно и быстро.
Достаточно долгое время использую 1Passwd. Умеет автозаполнение/автосохранение (если надо). Минусов два:
- только под мак
- не поддерживается автозаполнение в опере
PasswordBoss, уже несколько лет...
И я, и я, и я того же мнения :)
аналогично
Гм, люблю хабр — коменты даже спустя год оставляют o_O
И даже два =)
Ну вы даете, блин! ._o
И даже три =))
и даже больше!
И даже четыре =)))
И даже пять! :)
И шесть
переехал на KeePass с проги Password Commander (сцуко, потратил на это двое суток!!!)
мотив перехода - наличие версии KeePassдля КПК.

единственный недостаток - категории создаются не в активной категории, а всегда в корневой - приходится перетаскивать.
Надо просто создавать "subgroup".
А Password Commander не умеет экспорт делать? Можно было бы в KeePass импортнуть из txt.
совпал у этих двух прог формат CSV, с ним и работал
сложность была в том, что последовательность полей у обеих прог разная, а для кипасс - обязательно прописывать поля даже если они пустые.
короче, заморочился, честично правил руками, но БД паролей - перегнал из одной проги в другую.
Конечно постфактум советы давть бесполезно, но можно было затянуть в эксель и поменять поля именно так как нужно.
затягивал в эксель :)
он там все в одну ячейку пишет, так что или я ничего не понимаю в экселе, или хрен там чего можно было батчем поменять.

да ладно, я ж уже сконвертил каким то образом... (помню, что руками делал немного)...
В Экселе надо было через меню открывать, тогда бы импортёр предложил выбрать, какие разделители и ограничители используются.
Давно пользуюсь KeePass.
Вполне устраивает.
Юзаю листочек бумаги. Удобно. Работает даже с телефонами. Невозможно не имея самого листка узнать, что в нем записан (если не подсмотреть когда вводишь). Единственный недостаток - при получении посторонними к нему доступа (потере и т.п.) ничто вас уже не спасет.
НЛО прилетело и опубликовало эту надпись здесь
Ещё недостаток — порой сложно отличить 1 (единицу), l (строчную L), | (вертикальную черту), / (слэш) и т. п.
Огромное спасибо!
У меня как раз наступил тот критический момент, когда запоминать пароли уже не представляется возможным.

Пощупаю вашу рекомендацию...
На здоровье. KeePass — тот случай, когда по удобству бесплатная программа в пух и прах бьет все платные аналоги.
Я, конечно, извиняюсь, но хранение паролей - как раз тот случай, когда платные программы даже рассматривать не стоит. Просто из соображений безопасности.
почему?
Может, не "платные", а "закрытые"?
Спасибо за обзор, пошел качать программу.
Большое спасибо!
Экзотический аналог KeePass — хранение паролей в текстовом файле, зашифрованном PGP или чем-то в этом духе. Человек открывает его в ViM, для навигации по списку использует вимовский Folding :)
Так и делю :) (txt + PGP)
очевидный недостаток по сравнению с KeePass - нет мобильности на мобильном!
Это не экзотический аналог, это вполне разумное средство, с учетом простоты, открытости библиотек и т.п. Настоящим гикам фенечки-рюшечки не нужны :) Я использую OpenSSL и des3 в нем чего и всем советую. VIM совершенно необязателен. Навигация по списку из 100 паролей осуществляется поиском. С мобильного если приспичит можно зайти по ssh на машину с паролями и расшифровать их. Только непонятно, зачем оно нужно: ведь если у айтишника рядом нет лаптопа, значит он в глубоком отдыхе и пароли ему не нужны :)
А если просто в шифрованный зип положить, и использовать длинный пароль, быстро сломают? А то PGP далеко не везде есть.
Вот ZIPам и их "защите" точно не стоит доверять. Уже давно есть специальные ломалки, на раз-два открывают.
НЛО прилетело и опубликовало эту надпись здесь
Тоже нет. Только специализированные средства. TrueCrypt, например.
Паранойей не страдалец.
При чем же тут паранойя, Александр? :)
К тому, что не пользуюсь паролезапоминалками, а удобный пароль всего один и хрен кто догадается, какой :-)

Помните, у Лукьяненко "двенадцать обезьян в жопу сунули банан"? Вот это тоже, кстати, паранойя.

Хотя, KeyPass-ом попробую попользоваться. Раз уж ты советуешь, Алексей :-)
Недавно как раз у моей знакомой подобрали пароль к "Одноклассникам"... ну и далее по "Вконтакте", "Мейл-агенту". Бедная аж плакала :((

:)
причем пароль - дата ее рождения... да?
Рано или поздно свой единственный пароль вы посеете сами или его уведут трояном...
Когда один пароль, даже если он сложный, утечка на одном сервисе ставит под угрозу все остальное.
Сейчас понимаю это, на неделе обойду все сервисы - поменяю пароли
Один пароль на всех ресурсах означает, что: а) защита пароля на каждом ресурсе не превосходит защиты пароля на ресурсе с самой слабой защитой; б) сложность подбора пароля злоумышленником убывает пропорционально количеству ресурсов.
у меня разные пароли :-) просто я редко регистрируюсь.
Помните, у Лукьяненко "двенадцать обезьян в жопу сунули банан"?
Мы-то помним, так что не "двенадцать", а сорок тысяч обезьян :)
спасибо, что поправил :-)
НЛО прилетело и опубликовало эту надпись здесь
Да даже и фишинговый не надо сервис, ведь не все сайты шифруют пароли до сих пор. А вдруг самому владельцу захочется посмотреть что там у тебя "Вконтакте"?

Вообщем пароли должны быть и сложны и разные и много.
НЛО прилетело и опубликовало эту надпись здесь
Так вот хорошие сайты открытые пароли не хранят. Доступ к базе понятно дело всегда есть.
Спасибо за обзор, хорошая программа.
Но хотелось бы найти такую прогу, которая могла бы сохранять конкретно пароли по типам и отдавать соотвественно. А тут соблюден универсализм (это конечно хорошо, но не всегда).

К примеру нужно запомнить пароль на фтп, выдаются соответствующие поля: фтп-хост, юзер и пароль. А отдается в нужном формате, таком как ftp://user:password@ftp_host/. Так бы для людей которые в плотную занимаются разработкой или часто используют форматы ввода эта программа была бы намного полезней и удобней.

Нужно еще чуток поработать над юзабилити и все будет замечательно. Ну все-ровно респект разработчикам за нормальное начало развития программы и успехов в дальнейшем совершенствовании.
Насчет юзабилити — нет программ, в которых над этим не надо работать. Но вот все виденные мною аналоги и близко не стоят.
Да, действительно очень приятно что появилась более профессиональная программа чем подобные ей. Чувствуется, что работал не один человек. Единственное что меня беспокоит в ней - это стремление к универсализм.
Вообще-то разработчик один, Доминик Райхл, хотя, бесспорно, без советов и помощи со стороны пользователей не обошлось.
О, спасибо. Как всегда подвело поверхностное знание. Теперь можно уверено пользоваться и не говорить глупостей.
У меня 99% паролей в браузере нужны. Для этого идеально подходит AI Roboform (чем и пользуюсь, вот только поддержки Оперы там нет, а жаль) - он еще и пароли для нужного домена автоматом выбирает. А в KeePass как интеграция с браузерами, удобна ли?
Насколько я знаю, там есть плагины для этого, аналогично "Робоформу" работают. Но я не пользуюсь ими, парой кликов мыши копирую и вставляю пароль, и все окей.
Я ниже добавил кое-что.
Забыл добавить - в AI Roboform и запоминание пароля через браузер работает. То есть первый раз мне нужно просто ввести данные и нажать ввод - он сам спросит, хочу ли я сохранить их. То есть работы для меня - минимум, пользы - максимум.
Но Roboform не возьмешь с собой. Например, мне иногда надо воспользоваться паролем на чужом компе. Или с наладонника. Вот тут-то важные преимущества KeePass и раскрываются.
Почему, есть версия для флешки.
НЛО прилетело и опубликовало эту надпись здесь
А не подскажешь, где свежий робоформ можно слить, с кряком, а то паролей много, а кряк рабочий не найду
Вот это и есть минус Roboform'а - платность
Его купить можно.
Ну купить почти все можно, а для русского человека это имхо неприемлимо ;) с кряком кто нибудь видел в нете?
Я свой купил. После того как достаточно им попользовавшись, понял, что это очень удобная для меня программа.
а беслатная версия чем не устраивает?
Тем, что у меня больше 100 сохраненных паролей, а в бесплатной штук 30 всего можно
НЛО прилетело и опубликовало эту надпись здесь
Да не, все ok, прекрасно понимаю
А зачем за это вообще извиняться? Если человек занимается противозаконным - ворует программы - он так или иначе портит себе карму. И не только "хабровскую"... А если он к тому же афиширует это и вовлекает других людей - так уж точно заслуживает минуса.
НЛО прилетело и опубликовало эту надпись здесь
Раньше тоже хранила пароли в специальных программах, но однажды у меня грохнулся жесткий диск, а с ним все явки-пароли. Сейчас дублирую на бумажке и думаю об альтернативном варианте... Может, домашний сервер с RAID замутить? Дисками с бэкапами уже все ящики завалены; не бэкапить же на DVD каждый день?
У меня файл с паролями в нескольких копиях есть, а что касается бекапов, так есть внешние жесткие диски, даже со специализированными функциями типа "бекап одной кнопкой".
Из Робоформа можно распечатать все пароли ;) удобнее бекапа не придумать ;)
Из KeePass тоже можно — экспортнул в Excel — и печатай
НЛО прилетело и опубликовало эту надпись здесь
Главное — запомнить пароль к gmail. А то получится pkunzip.zip
В интернетах пользую http://userscripts.org/scripts/show/1341
А вне интернетов?
Т
...ам простое вычисление MD5 для строки домен + мастер_пароль. По такому же принципу можно вычислять пароль для любой строки. Написть скрипт или прогу - дело получаса
Второй год пользуюсь Password Commander (http://www.pascom.ru/).
Удобная, безопасная и плюс ко всему есть еще автозаполнение паролей и логинов из программы.
А версии для КПК есть у нее?
К сожалению, максимум это только портативная версия. Ни для КПК, ни для J2ME пока нет решений.
А я как раз зашел на их сайт, да вспомнил. Именно отсутствие мобильной версии и вынудило продолжать поиски. А так Password Commander — тоже хорошая программа.
Пользуюсь Password Commander'ом уже года три. Наладонника нет, а с флешки, рабочего и домашнего компьютеров прекрасно фурычит. Была мысль чтоб не париться со вводом мастер-пароля купить флешку со сканером отпечатка пальца (а PassCom умеет с ними работать), но пока не купил ещё, хотя в продаже они появились.
Подарили такую флешку.. "Преглючнейшая вещь"
Работает только в ИЕ, в пхпмайадмин вообще не зайдешь (раза с 20-го), систему вешает напрочь запросто
Итого - пылится на полке
Keychain — наше всё :)
+1
Программа действительно предельно проста и удобна в использовании.
Автору спасибо!
На здоровье! :)
Счастливчик...
Когда вы последний раз видели троян или червя под мак? :)
Под винду у вас не только бы пароли уперли, еще саму программу, поселили с десяток ботов, с двадцать сокс-троянов, нашли бы порнуху, поставили торрент-клиент и подымали бы себе рейтинг :))))
у меня в голове лежит паролей 10, которые я сортирую по типу соц.сети, форумы, важные форумы, и тд. Если кто-то и узнает что-то, то мне это вреда не принесет, восстановлю за 5 минут и поменяю.

Самые важные пароли: ася, гугл, система бекапа - не хранятся нигде. я их просто помню в любом состоянии.

Пароли от серваков, всяких акков полунужных и тп хранится в одном текстовом файле, который постоянно бекапится на удаленный сервак.

так и живем)
p.s. macosx
Наверное, всё-таки это у меня на хабре первый раз.
Искреннее спасибо автору поста и авторам программы.
спасибо в очередной раз:))
KWallet - наше всё -)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Интересно, а как быть, если надо записать 32-ух символьный пароль, ну к примеру, на кпк? Или в мини Оперу на телефоне? Как тогда?
НЛО прилетело и опубликовало эту надпись здесь
Откуда?
НЛО прилетело и опубликовало эту надпись здесь
Откуда она в мобильнике с мини Оперой?
НЛО прилетело и опубликовало эту надпись здесь
Одна проблема: Linux-порт, KeePassX, слишком урезан по сравнению с Win32-версией, поэтому приходится использовать последнюю под Wine'ом.

Может быть, кто-то знает способ лучше?
А, собственно, чего именно не хватает? Я попользовался и как-то не заметил, чтобы отсутствовали какие-то критически важные функции.
НЛО прилетело и опубликовало эту надпись здесь
Терморектальный метод взлома, к сожалению, и такое обходит :(
Интересно чем вы должны заниматься и кому насолить, чтобы на вас стали применять вышеозначенный метод взлома? :)
Ответа на вопрос не знаю и знать не хочется :))
НЛО прилетело и опубликовало эту надпись здесь
А как быть если пришел в гости, если нужно ввести пароль в, например, в интернет-кафе?
И главное, как быть если ваш единственный пароль подобрали?

Имхо, все пароли нужно знать по памяти. Подумать только, есть 150 паролей. которые вы не знаете! От этой программы зависит, сможете ли вы доказать что вы именно тот человек за которого себя выдаете! Я конечно понимаю, что вероятность потерять оригинал и бэкап одновременно очень мала, но все же, например у меня недавно одновременно полетел плеер и звуковая карта...

Потеря файла с данными или, мастер-пароля разрушит все ваши интернет-связи. Очень рискованно.
1. С собой носить KeePass на флешке.

2. Мастер-пароль следует выбирать крайне стойким.

3. Бэкапы надо делать многочисленные. Например: на домашнем компьютере, на рабочем компьютере, на ноутбуке, на КПК, на флешке, на своём сайте и на почтовом сервере.
НЛО прилетело и опубликовало эту надпись здесь
Пример с полной потерей звука у себя дома я вам привел.. Это о возможности утраты файла.
Я не говорю, что это очень вероятно, конечно такое может случиться только с таким неудачником как я :) Но всеже утеря доступа к 150 сервисам - это очень серьезно..

Просто я опасаюсь не знать свои пароли, чисто психологически тяжело.
НЛО прилетело и опубликовало эту надпись здесь
Храню пароли в текстовом файлике :)
Файлик - на виртуальном диске, диск - на флэшке, зашифрованный DriveCrypt'ом.
А все после того как у меня стащили три кошелька с примерно $1000. Один - WM, другой RuPay, третий - YD. Я тогда был пацифистом, и думал, что вирусы - выдумка производителей антивирусов. Я очень гордился, что не хожу по порносайтам и не скачиваю кряки и думал что вирусам просто неоткуда взяться. Паролей у меня было несколько и я их не хранил нигде на машине. И в один прекрасный вечер я почувствовал что браузер как то неестественно тормозит. Скачал Nod и поймал вирус! Радости - полные штаны :) А на утро я уже не смог зайти в свой WM, RuPay и YD. Неделю бодался с сервисами, чтобы только кошельки вернуть, пусть и пустые. Они были аттестованными, то есть второй кошелек на свой пасспорт я уже обламывался получить, а аттестация нужна для автоматизированного использования в веб-магазине. Деньги, конечно, не вернул... Но суть истории не в этом: откуда они могли вытащить мои пароли?? Долго думая, я пришел только к одному выводу - из почтовика. Пароли ящиков передаются на сервер без шифрования (и потом, эксперементируя, я не смог заставить передавать их шифрованными - серверы не поддерживают этой фичи). Да и хранятся тоже не ахти шифрованными. Имея пароль от ящика можно запросить восстановление пароля к кошельку. То, что деньги не просто были сняты, а еще и пароль сменен это подтверждает. С WM я лоханулся и на том, что файлы кошельков лежали свободно на диске. Так что советую не чураться использовать на денежных сервисах все предлагаемые виды защиты (по IP, например), чтобы иметь некую гарантию. И конечно связка файрвол+антивирус обязательна.
А у меня не пароли украли, а сразу деньги: запустил кипер (тогда еще 2.0.х.х был), ввел пароль, а тот быстренько прошел все проверки и выслал деньги (причем все до нуля) на чей-то кошелек.
Так вот зачем там капча...
Да, именно, теперь там очень навороченная каптча - слишком уж мудрено.
А браузер какой был?
Я для дома для семьи Оперой пользуюсь, но в тот вечер по работе в Макстоне сидел. Он притормаживать стал при отправке запросов. И даже не он (!) а какое-то crsvr.exe грузило проц, но именно в моменты отправки запросов браузером - конспирация такая, видимо :)
У KeePass есть еще одна замечательная вещь: он умеет вводить адреса, логины и пароли в нужное окно, в нужной последовательности. Это называется Auto-Type.
Например, я использую для работы по ftp из-под Windows программу CuteFTP. Чтобы открыть определенный сервер, нужно сделать следующее: нажать Ctrl+F8, ввести имя хоста, нажать TAB, ввести логин, нажать TAB, ввести пароль, нажать Enter. Эту комбинацию можно набрать в KeePass следующим образом: Auto-Type: ^{F8}{URL}{TAB}{USERNAME}{TAB}{PASSWORD}~
Также необходимо задать Auto-Type-Window — параметр, задающий, в какое окно нужно вводить комбинацию. В данном примере будет так: Auto-Type-Window: *CuteFTP*
Теперь, можно просто открыть CuteFTP, нажать Ctrl+Alt+A, и появится окно с выбором записи KeePass, если для окна CuteFTP определено несколько записей.
Естественно, можно настроить несколько последовательностей для разных программ.
Подробнее можно почитать тут: http://keepass.info/help/base/autotype.h…
для интернетных паролей - Passowrd Hasher - плагин к файрфоксу. он генерирует сложный пароль по своему алгоритму, смешивая его из 3 ингридиентов: произвольных символов, названия сайта (вернее, домен до корня - например, habrahabr) и ключевой фразы, которую пользователь помнит.

ключевая фраза одна, сгенерированный пароль вы можете не знать. каждый раз вы вводите свою фразу, программа как бы генерирует пароль заново, идентичный тому, какой вы выбрали.

в общем, сложность сводится к выбору сложной фразы, которую нужно держать в голове и вводу ее в окошко плагина.

и еще вдруг кто-то позабыл - чтобы хоть попытаться обойти клавиатурные шпионы на чужих компьютерах: как вводить пароль в инете - пару символов пароля в строку ввода пароля, потом курсором выбрать произвольное место на страничке, попечатать произвольные символы, опять в строку ввода пароля и дописать пароль.
против клавиатурных шпионов для того же фаерфокса есть KeyScrambler

а ещё есть аналог Password Hasher — сайт hashapass.com с уменьшенной версией. То есть, можно просто создать веб-панель в фаерфоксе или опере с этой страничкой, или сохранить страницу локально.
На Маке я счастлив используя 1Password. Она хранит все данные в стандартном для ОС подходе — в keychain. А сама программа предоставляет суперудобное средство подтыкания паролей и других личных данных (если надо) на сайты. При наличии нескольких Маков и эпловской службы .Mac все синхронизируется между компьютерами. При наличии Айфона, синхронизируется и туда.
Одна беда — .mac платный. Есть ли аналогичные бесплатные решения для синхронизации нескольких маков?
Спасибо автору за предстоящую бессонную ночь в связи с переводом хранения паролей на нормальный софт! )
а возможно ли в этой программе добавлять свои дополнительные поля?
Нет, разве что в заметках писать.
Программа хорошая, пользуюсь уже больше года, но, бывает, что логиниться приходиться с произвольных мест, где ни базы, ни покета ничего нет. Посему приходиться придумывать длинные, но хорошозапоминаемые пароли.
Носите ее в сотовом :)
более чем 6 лет проживал в интернете, никогда не переживал за пароли... после угона аськи пару дней назад - все пароли теперь только набор символов, букв разного регистра (храню на бумажке...)
для лисы ничего удобнее sxipper'а нет
А не только для лисы? пароли вводят в электрокошельки, называют по телефону банкам и т.п.
Очень скептически к таким программам отношусь. Самый дырявый элемент в любой системе паролей = человеческий фактор.

Как сказал один мой знакомый (возможно процитировал кого-то): "Если спец-служба захочет узнать твой пароль, им на это понадобиться ровно 6 минут. 3 из которых уйдут на то чтоб найти верёвку и привязать тебя к стулу".

А говоря конкретно о программе хранения паролей - если ты имеешь доступ к своим паролем через неё, то и кто-то другой тоже сможет получить доступ. Вместо запоминания множества паролей - мы запоминаем Мастер-пароль к базе паролей в программе. Это аналогично тому как люди используют один и тот же пароль на всех инет\не-инет системах\сервисах.

Порядок действий прост как двери:
1. Куча Бекапов базы паролей, а значит угнать базу уже не составляет труда, так как она лежит не в одном месте. В актуальности угнанной базы я ни на секунду не буду сомневаться так как знаю что каждый день вы пароли ко всем сервисам менять не будете.
2. Осталось дело за малым, угнать 1 (ОДИН!) мастер-пароль! (не важно как он выглядит, это строковая запись, или кей-файл, или комбинация кей-файла и текстового пароля. Но он всего один!

Храню пароли в текстовом файле, каюсь что это вообще ни как не надёжно, но лучшей альтернативы пока не нашол :(
1. Если спецслужбы захотят что-то узнать, узнают по-любому. Зато вот для таких настойчивых ребят можно внутри шифрованного файла делать как бы фальшивый уровень.

2. Это абсолютно не аналогично. Между мастер-паролем к программе и одинаковым паролем ко всем сайтам разница огромна.

3. Бекапы шифрованы.
Заметил странную тенденцию. Тех кто не согласен с автором что пароли надо хранить в подобной программе тех минусуют. Типа: те кто не с нами - те против нас?

Абсолютно аналогично - если человек использует одинаковый пароль везде, то заполучив его мы получим доступ ко всем его службам\сервисам и т.п. Так же и с программами хранителями - заполучив мастер пароль, у нас есть всем пароли к тем же службам.

Древняя мудрость гласит: «Не клади все яйца в одну корзину!». База с паролями - как раз та самая корзина, даже если закрыта на замок (зашифрована).

Можно экспортировать пароли в XML, TXT, CSV, HTML при необходимости.
Пользователь вышел покурить или срочно его вызвали куда-то или ещё что-то и забыл закрыть(залочить) программу (или комп), она была под кучей открытых окон других приложений.
По идее достаточно сделать Экспорт на флешку, без всех выше описанных сложностей.
Тех кто не согласен с автором что пароли надо хранить в подобной программе тех минусуют.


Это заговор, точно Вам говорю ;-)
тулза полезная, но чтобы сейчас все пароли перекинуть в нее.... часа 2-3 времени. Будет время - потестим:)
Пару недель назад в комментариях к какому-то топику на Хабре увидел ссылку на KeePass программу, с тех пор и использую. Очень доволен.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Такую гарантию можете дать только Вы сами — скомпилировав из предварительно проверенных исходников
На самом деле, любая программа, чисто теоретически, может тырить пароли. Было бы желание и нужда у разработчиков.

Так что, лучшее в таком случае - особо не заморачиваться :)
НЛО прилетело и опубликовало эту надпись здесь
во-первых, есть лёгкое неподтверждённое подозрение, что ты на эту фирму работаешь, которая программулю для паролей выпустила. во-вторых, что будет, если доступ к паролям нужен вне домашнего компа? в третьих: считаю, что для запоминаемости и сложности паролей, в пароль должно входить название службы, для которой пароль. Например: логин для аськи: василий, пароль для аськи: аськинпарольвасилия. в четвёртых: почему не пользоваться штатными/браузерными запоминалками? в пятых: есть ли уверенность, если да, то откуда, что программа эта (или любая другая) не звонит домой и не рассказывает, какой пароль для какой службы с какого, например, АйПи-адреса был введён? типа того. и так далее.
1. даже не комментирую
2. вне домашнего компа у меня есть КПК, мобильный, флешка
3. вот такие пароли и тырят
4. помимо браузеров, есть еще куча мест, где пароли вводить надо
5. у меня нет оснований им не доверять, но вообще исходники открыты
1. можешь не комментировать - схема оплаченной статьи известна всем.
2. неясна схема внедрения программ запоминалок на кпк, мобильнике, флэшке...
3. опа! неужто такие тырят? оповести об алгоритме подбора ;)
4. так вот, помимо браузерных запоминалок используются штатные системные, типа как в Маках.
5. открытые иходники это хорошо
6. лишняя программа - лишнее слабое звено, тонкое место, источник ошибок, усложнение (нужное подчеркнуть) в общей системе. КПД жизни снижает.
1. мне заплатили 258193 доллара и 74 цента за пиар бесплатной опен-сурс программы :)
2. схема проста: ставится программа, копируется база паролей
3. находят один, а остальные по аналогии
4. как называется штатная системная запоминалка в Виндах, которая, к тому же, позволяет ту же базу паролей иметь на кпк и перенести на другие платформы?
5. кто бы спорил
6. у меня так после перехода на KeePass КПД жизни повысился. в голове место освободилось, времени на ввод паролей меньше, да и самому спокойнее ;)
На сайте программы не нашел, спрошу тут: а синхронизировать базы keypass умеет? Например, работая на лаптопе создал 2 новых пароля, на смартфоне еще два, плюс на настольном ПК еще одна база. Можно все это слить в одну кучу без проблем?
не умеет
Не знаю, увы. Думаю, можно написать feature request автору программы.
А есть какая-то синхронизация между PC-версией и java для мобил?
В той java-версии, которую я скачал, синхронизация - это ручное копирование kdb-файла. Причём если создать этот файл в русифицированной Keepass, то на телефоне разделы и названия записей показываются кракозябрами, правда внутри записи с русским всё ок. Приложение служит лишь для просмотра и ввод новых записей не поддерживает.
НЛО прилетело и опубликовало эту надпись здесь
Лет 5 уже пользуюсь Password Agent.
Писал статейку "безопасные пароли" - http://aboutall.nnm.ru/bezopasnye_paroli
Там описывал прогу - Password Comander
Пользуюсь давно очень, более чем доволен :)
Но может и эту качну - все таки, версия для кпк привлекает внимание )
Отличная прога, только вот если в категории больше 50 записей, долго ее открывает (в ubuntu). В леопарде все летает.
Хотел уточнить непонятный момент:
Если есть всего один мастер-пароль, значит заполучив его (способов много, клавиатурные шпионы, трояны и т.п.), злоумышленник сразу получает доступ к базе всех паролей.

У меня пароли и важные документы хранятся в зашифрованном с помощью программы TrueCrypt (Open-Source, есть версии и под вин,мак,лин) файле, который монтируется как виртуальный диск. А уже на этом диске пароли хранятся в текстовых файлах. При переходе в ждущий/спящий/итп режимы, диск отсоединяется и снова смонтировать его можно только после ввода мастер-пароля.

Теперь объясните, какие отличия у этих двух методов хранения паролей (TrueCrypt и KeePass). Кроме удобства конечно. Хотя TrueCrypt удобна по-своему тем, что можно хранить не только пароли, но и все важные документы.
Помимо мастер-пароля, можно еще и ключевой файл подключать, а все вместе это хранить на флешке со сканером отпечатков пальцев :)
Отличие — как раз в удобстве. И в том, что я могу эту же базу на мобильных устройствах пользовать.
Вообще кроме самого мастер пароля нужно заполучить и файл со всеми остальными.
В связи с поднятой темой хотел бы спросить: есть ли какое-то кросс-платформенное решение для хранения в закрытом виде браузерных паролей? Выше писалось про плагин для героя обзора — KeePass. Но кто-то может кратко поделиться опытом использования такого плагина?
Интересно, к какому сервису вот этот пароль:
96DtL`yL\,B C#@2w'QEP
=)
Замечательная програмка. Давно искал надежное хранилеще для паролей и кажется наконец его нашел.
Простите, но версии под линукс, на сколько я знаю, не существует. Разработчики предлагают запускать программу под wine.
Это кстати та причина, по которой я отказался от использования этой программы.
Есть клон, совместимый по формату файлов, называется KeePassX.
Точно! Спасибо! Буду пробовать еще раз :)
Из опенсорсных хранильщиков нашел ещё Password Safe от самого Брюса Шнайера. Вроде как есть версия под PocketPC, под линукс - MyPasswordSafe (ограничен весьма) и Password Gorilla (Tcl/Tk - Windows, Linux-BSD-Solaris, MacOS X; один недостаток - медленно открывает файл паролей).

Под пальмы - Keyring for PalmOS. Где-то как-то можно импортировать пароли из KeePass, как именно - забыл ужо.

Сам пользуюсь KeePass под виндой, под линуксом не удалось в своё время запустить клоны из-за старых библиотек в системе (а в Дебиане это чревато сносом половины системы... С тех пор думаю о переезде на Gentoo :) )
Основной минус подобных программ заключается в том, что они предназначены исключительно для персонального использования. У меня же в компании (как в прочем и у многих наших клиентов) задача заключается в том, чтобы обеспечить авторизованный и безопасный доступ к одному хранилищу паролей сразу нескольким сотрудникам. Т.е. единственным удобным вариантом является решение на вебе. И единственное, что удалось нам найти - это Adventnet Password Manager. Крайне функциональный (включая даже расстановку агентов, позволяющих регулярно автоматически менять пароль), но очень тормознутый вариант. Может быть кто-нибудь сталкивался с чем-либо подобным, но работающим пошустрее? Кстати, говоря, учитывая практически полное отсутствие конкуренции, это мог бы быть очень успешный стартап!
НЛО прилетело и опубликовало эту надпись здесь
Я тоже давноиспользую keepass (до этого пользовал pwd.txt ) , все впечетления только позитивные.
Раньше пользовался пиратской eWallet, сейчас купил SPB Wallet. Поддержи отечественного производтеля, как говорится :)

А если серьезно, давно подсел на продукты SPB Software Housе. Все очень удобно, красиво и функционально. Две версии PC и PPC, синхронизация, плагин для браузера. Настоятельно рекомендую.
у меня на флехе стоит keepass, штука очень удобная - держу в голове один 18-и значный, нечитабельный пароль, а остальные там...и прекрасно себя чувствую
Очень актуальная тема. Буквально сегодня я скачал keepass, а вот теперь вижу топик на хабре. Приятно, что сделал правильный выбор
Хорошо, версия под КПК есть, а КПК-ПК между собой синхронизируются?
Переносом файла с базой паролей.
В таком случае комбинация из SplashID mobile + SplashID desktop (http://splashdata.com/splashid/index.asp) мне кажется более удобной. Там дата синхронизируется автоматически (по активсинку). Поддержка платформ не менее обширна: Palm OS, Win mobile, BlackBerry, Symbian и для ПК это Windows и Mac.
Недостаток предложенного SplashID решения это его небесплатность.
Да, ещё забыл добавить: Web Auto Fill присутствует, а вот плагинов я не нашёл.
НЛО прилетело и опубликовало эту надпись здесь
Обхожусь пока как-то стандартным менеджером паролей в Опере, не веб-паролей у меня нет. Да и в голове они у меня имеются, не нужно загоняться по поводу синхронизации, таскания флешки и прочих вещей.
Если Вы потеряете (оставите, забудите и т.п.) wand.dat из Оперы - все пароли вскроются за пару секунд. :(
отличная программа, сам использую.
но есть один минус - насколько я знаю, на данный момент нет релиза keepassX, работающего под mac os 10.5 (см. багтрак). приходится пользоваться svn-сборкой.
Спасибо. Поставил. Будем пробовать. НО! Доверяю только своей голове.
Гм. А если работаешь с нескольких компов, как это решается?
НЛО прилетело и опубликовало эту надпись здесь
пример легко-запоминающегося пароля
J3QQ4-H7H2V -*****-*****-***** (что под звездами думаю все знают)
когда то давно оно было моим паролем от и-нет кошелька.

Вообще безусловную полезность хранилища паролей я осознал давно, но вот как быть когда у тя 70 нечитаемых паролей ssh от цисок и пусть они будут хоть 8 символов ... хоть один хранитель паролей может их вводить в консоль? А по хорошему пароли надо делать и длиннее и сложнее, но пока все храню в тексте и ввожу руками - тратя многа лишнего времени.
keepass как раз вводит в консоль пароли без проблем.
по крайней мере версия для linux
НЛО прилетело и опубликовало эту надпись здесь
Сотовый телефон у Вас есть? Вот в нем можно хранить.
главное - телефон не потерять потом... :)
Password Boss и Password Generator, хотя в первом есть генератор, он он мне не нравится.
Решил попробовать и сразу же напоролся на очень неприятный косяк. Если программу не выключить, то в буфере происходит что-то страшное.
Работаю в винде в Putty. При вставке из буфера по правой кнопке мыши вставляются какие-то символы, после которых консоли очень плохо ) Пришлось прогу прибить. Может у нее есть какие настройки против этого, не знаю. Нет времени ковырять. Но глюк очень неприятный :( А я 99% рабочего времени провожу в консоли ) страшно подумать как с помощью этой проги вводить в консоль все те же пароли ;)
заинтересовался вашим вопросом, однако читаю в мануале
For example, if you globally (i.e. using the Windows Explorer) register PuTTY for ssh:// URLs, KeePass will automatically use PuTTY for ssh:// URLs, too.
значит если url указывать через ssh://xxx и завязать putty на ssh://, то проблема вполне может быть разрешимой
Вы видимо не поняли проблемы )
Эта фраза из мануала скорее призвана открывать записи в которых указан урл. Т.е. если сделать как написано, то KeePass будет открывать по Ctrl+U Putty и вводить туда пароль ;)
С этим у меня нет проблем, используем собственные наработки )
Проблема в том, что при включенной программе вставить что-либо (не пароль) из буфера в Putty невозможно. Вернее оно вставляется, но консоли становится очень плохо, а это очень сильно мешает.
Попробуйте в Tools->Options->Memory поменять Clipboard behavior.
Спасибо за наставление.
"Рабочие" пароли храню пароли на eToken. Домашние в голове.
Программа хорошая, спасибо.
Кому-нибудь удалось подружить j2me версию с Nokia?
Друзья! Может, кто поможет советом... Прочитал статью, залил рекомендуюмую программу, начал использовать, но вот беда! SE810i при попытке синхронизации download from web, user code - 4 символа ввел, pass code - 4 символа ввел, а encryption code позволяет ввести только 10 символов из 16-ти и не более того. На Нокии 6230 все работает нормально, все 16 символов вводятся, а с Se810i не знаю что и делать. Есть идеи?
Боюсь, это дело в телефоне. Вряд ли смогу помочь :(
Спасибо, Алексей, за ответ. Но я исследовал все настройки телефона и нигде не нашёл ограничения на количество вводимых символов до 10 штук. И вообще ограничений на ввод информации в какие-либо окна. И не встречал нигде информации, что SonyEricsson ограничивает информацию, которую нужно вводить в окна... Скорее это встречается у производителей софта, на веб-страницах.
Может где-то в настройках java-клиента что-то нужно подкрутить? :)
Я может пропустил.

Если KeePass решает ситуацию, то с радостью на него переползу.
В телефоне хочется тоже читать почту и быть в аське. А два джава приложения запустить нельзя.
Единственный способ — перепечатать сложный пароль и потом сохраниться с куки?
Хм, это все понятно, НО, если у меня не кпк, нету мобилы которая держит J2ME, есть например одна Винда на компе и стоит данная программа. И вот произошел у меня апокалипсис: полетел хард (это один из вариантов) =) И ВСЕ! Нету проги, нету базы, бэкап на болванку не писал...
Что делать в таком случае. А пароли все длинные, навороченные, которые я даже не запоминаю! Это конечно бред, но вариант. Что делать???
Допустим паролей у меня к нескольким 10 сервисов и не только. Помню только 8-10. А к остальным придется восстанавливать все?
ИМХО, эти проги конечно удобны во всем, но всетаки лучше держать все в голове, или в конце концов писать на бумажку и хранить ее в сейфе=)))
Под Винды есть еще PINs (http://www.mirekw.com/winfreeware/pins.html) и замечательный своей простотой Steganos LockNote(http://locknote.steganos.com). А KeePass - очень качественная и удобная утилита, мне понравилась.
у всех хранилок и заполнителей паролей есть один самый главный недостаток, такой же как например у кошелька и т.п. - это лучший способ потерять все сразу.
http://www.security2day.ru
Ну вот есть теперь у меня kdb-файл с моими паролями. Но есть он у меня только в одном месте.
Теперь хотелось бы что бы дома этот файл тоже был. И тут встаёт вопрос синхронизации.
Можно было бы конечно самому писать его на флэшку, но это неудобно хотя бы тнм, что если забыл флэшку, то забыл и пароли вновь введённые.

Нужно что то типа SVN/CVS сервиса, который позволял бы любые файлв заливать/сливать.
Есть что нибудь подобное?
Dropbox попробуйте! :)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории