Como faço para armazenar e gerenciar com segurança 180 senhas?


146

Eu tenho cerca de 180 senhas para diferentes sites e serviços da web. Todos eles são armazenados em um único documento do Excel protegido por senha. À medida que a lista aumenta, fico cada vez mais preocupado com sua segurança.

Quão seguro é, ou devo dizer inseguro, um documento do Excel protegido por senha? Qual é a melhor prática para armazenar tantas senhas de uma maneira fácil e segura de gerenciar?

Acho o método Excel bastante fácil, mas estou preocupado com o aspecto da segurança.


Produtos comerciais como o CyberArk atendem às suas necessidades.
Ivan Chau

Respostas:


207

Minha ferramenta favorita de armazenamento de senhas é o KeePass :

insira a descrição da imagem aqui

O que é o KeePass?

Hoje você precisa se lembrar de muitas senhas. Você precisa de uma senha para o logon na rede Windows, sua conta de email, a senha FTP do seu site, senhas on-line (como a conta de membro do site), etc. etc. etc. A lista é interminável. Além disso, você deve usar senhas diferentes para cada conta. Porque se você usar apenas uma senha em todos os lugares e alguém obtiver essa senha, você terá um problema ... Um problema sério. O ladrão teria acesso à sua conta de e-mail, site, etc. Inimaginável.

O KeePass é um gerenciador de senhas de código aberto gratuito, que ajuda você a gerenciar suas senhas de maneira segura. Você pode colocar todas as suas senhas em um banco de dados, bloqueado com uma chave mestra ou um arquivo de chave. Portanto, você só precisa se lembrar de uma única senha mestra ou selecionar o arquivo de chave para desbloquear todo o banco de dados. Os bancos de dados são criptografados usando os melhores e mais seguros algoritmos de criptografia atualmente conhecidos (AES e Twofish). Para mais informações, consulte a página de recursos .


Existe algum limite para quantas senhas você pode armazenar nela?

Somente na teoria. Você pode colocar quantas entradas no banco de dados desejar, mas em algum momento sua chave USB ou HDD estará cheia.

Existe uma maneira de sincronizar automaticamente as senhas alteradas?

Não, não como você espera.
Você quer fazer disso um processo manual regular. Isso não pode e não deve ser automatizado.

Gosto de configurar datas de vencimento para todas as minhas entradas de senha: insira a descrição da imagem aqui
lembro-me de alterar minhas senhas regularmente. Eu armazeno o URL do site com a entrada de senha, por isso é um processo rápido.

Posso fazer logon automaticamente em um site como o Facebook usando este software?

Não, também não automaticamente (pelo menos que eu saiba). Mas é aqui que o Auto-Type entra em ação. Por exemplo, para o Facebook, esta é minha configuração de Tipo automático:

insira a descrição da imagem aqui

Como você pode ver, eu criei 3 configurações para diferentes títulos de navegadores. Isso permite que eu simplesmente vá para facebook.com, pressione Ctrl+ Alt+ A, e o nome de usuário e a senha serão inseridos automaticamente e eu entrarei.

Se você tiver várias combinações de nome de usuário / senha para o mesmo título de janela, você verá uma janela pop-up perguntando qual entrada de senha deve ser usada.

E o celular?

Existem aplicativos que suportam o formato de contêiner KeePass em dispositivos móveis. Mas eu fico longe disso. Eu simplesmente não gosto do pensamento do meu banco de dados KeePass no meu telefone.

Prefiro transferir senhas únicas usando o plug-in QR Code Generator . Permite gerar um QR Code a partir de uma senha, que pode ser digitalizada com o telefone. Ajuda a ter um aplicativo que pode copiar o conteúdo digitalizado para a área de transferência.

insira a descrição da imagem aqui


3
Se você o colocar no Dropbox, poderá abri-lo em qualquer lugar (existe uma versão portátil), mesmo no seu telefone. Além disso, ele pode ser importado para o Lastpass. Ótima escolha
Ivo Flipse

2
@ Oliver Esta parece ser apenas a ferramenta que eu preciso. Definitivamente vou tentar isso. O recurso de data de validade é legal! E o tipo automático é bastante simples. Entendo que alguns sites podem exigir que você confirme uma alteração de senha clicando em um link que eles enviam por e-mail; portanto, por esse motivo, qualquer recurso de sincronização automática da maneira que eu imaginava falharia ao sincronizar e atualizar a senha automaticamente. É uma vantagem que isso funcione em outros sistemas operacionais além do Windows. Danke Oli! ;)
Samir

9
Se você deseja aumentar a segurança para uso no Dropbox, use um arquivo de chave em conjunto com uma senha e copie-o manualmente para qualquer computador ou dispositivo ao qual deseja ter acesso às suas senhas (não armazene a chave no Dropbox). AFAIK, isso só funciona com dispositivos Android com iOS e com raiz, já que você precisa acessar o sistema de arquivos, mas sem o arquivo de chave, o arquivo de senha é praticamente intransponível.
Chad Levy

2
Observe que o KeePass 2 é apenas para Windows (pelo menos, os intérpretes Mono gratuitos no Linux o executaram muito mal). Existe um clone mais antigo do KeePass 1 chamado KeePassX que eu uso no Mac e Linux e funciona muito bem.
Reid

2
@Reid: Pela minha experiência, o KeePass2 funciona bem em Mono; é feio, e isso é Mono vs .NET.
grawity

68

Parece haver vários fácil de usar crackers de senha do Excel.

Eu usaria um sistema de gerenciamento de senhas como 1password ou LastPass, que funciona em vários sistemas operacionais, incluindo celulares.

Eles possuem plugins para a maioria dos navegadores, que podem preencher senhas e outras informações no formulário da web. O 1password também pode configurar um marcador no navegador que fará login automaticamente (todos os usos do aplicativo requerem o uso de uma senha mestra primeiro)

O 1password também pode armazenar notas, conta (por exemplo, email, ftp) e modelos para ajudar a armazenar cartão de crédito, conta bancária e outras informações. Embora seja comercial, você pode obter uma demonstração gratuita que permite a entrada de até 20 itens.

Uma diferença entre os dois é que o 1password armazena apenas os dados localmente (embora você possa sincronizar os dados criptografados usando o dropbox ou similar), o Lastpass pode (alguém deve corrigir isso) armazenar os dados em seu site, o que permite o acesso da web ao dados e não há necessidade de dropbox etc.


4
As senhas do Excel são muito fáceis de decifrar. Quebra de senha do Google Excel e você verá muitas opções. +1 para Lastpass. Eu costumava usar Roboform, mas gostava mais do Lastpass porque é multiplataforma. Eu uso o gerador de senhas para randomizar senhas.
Kendor

23
+1 para o LastPass - É lamentável que a resposta com toda a boa formatação e imagens seja para o KeePass, pois o LastPass é muito superior: ele faz tudo o que o KeePass faz, mas também possui plugins para todos os principais navegadores, sistemas operacionais e plataformas móveis. Ele também armazena dados on-line para que você nunca precise se preocupar em perdê-lo (e o armazena em cache localmente, para que você nunca precise se preocupar com a queda de seus servidores) , mas criptografa tudo usando o TNO (não confie em ninguém), para que o LastPass nunca possa realmente ver suas senhas. Existem muito poucos programas que eu chamo de absolutamente perfeitos , mas o LastPass é um deles.
BlueRaja - Danny Pflughoeft

3
Agora, o LastPass agora também suporta autenticação de dois fatores via Android / iPhones, o que significa que alguém primeiro precisaria roubar seu telefone para iniciar seu aplicativo Authenticator (que gera um código aleatório a cada 30 segundos) para acessar suas senhas.
glenneroo

3
@ Sammy: Sim, a maioria dos recursos são gratuitos para sempre. Os únicos recursos pelos quais você precisa pagar são os aplicativos móveis e a autenticação multifator, que exigem uma "conta premium" (US $ 12 / ano). O autor não está tentando ficar rico com o programa - não uso os recursos premium, mas ainda pago por uma conta premium para mostrar minha gratidão. Eu normalmente só doar ao open-source projetos, de modo que você diz algo :)
BlueRaja - Danny Pflughoeft

2
O LastPass é conveniente, mas é principalmente de código fechado e adquirido pelo LogMeIn. Os servidores do LastPass foram violados (pelo menos parcialmente) várias vezes, e seu cliente permitiu " ler senhas em texto sem formatação para domínios arbitrários do cofre de um usuário do LastPass quando esse usuário visitou um site mal-intencionado " e atualmente (março de 2017) " o binário do LastPass. permite que sites mal-intencionados executem o código de sua escolha. Mesmo quando o binário não está presente ... permite que sites mal-intencionados roubem senhas do cofre protegido do LastPass "Consulte o site en.wikipedia.org/wiki/LastPass#Security_issues para obter referências
Xen2050

49

Eu tenho usado Lastpass por um tempo agora e recomendo. Possui alguns maravilhosos plugins de navegador e vários recursos que facilitam a obtenção de senhas mais seguras.

O plug-in do navegador preencherá automaticamente as informações de login (quando conectado ao plug-in). Ele também possui uma função de exportação, para que você possa recuperar seu banco de dados e importá-lo para o KeePass, por exemplo. Ele também usa autenticação em duas etapas para segurança extra.

Cliente de desktop:

cliente de desktop

Plugin do navegador:

plugin do navegador


11
@PITaylor Obrigado! Definitivamente vou testar o LastPass. Mas, por enquanto, darei mais tempo ao KeePass para avaliá-lo.
Samir

4
A grande razão pela qual eu gosto do LastPass é porque é fácil compartilhar um conjunto de senhas em vários computadores com facilidade e você sempre pode acessar seus passes em um computador aleatório através da interface da web.
PlTaylor

2
Eu uso lastpass, no entanto, existem 2 desvantagens. 1) O servidor pode ficar inoperante (problemas técnicos ou a empresa encerra suas atividades, etc.) 2) Algumas empresas não permitem isso, pois você está enviando informações de senha da empresa.
Keltari

11
O LastPass é conveniente, mas é principalmente de código fechado e adquirido pelo LogMeIn. Os servidores do LastPass foram violados (pelo menos parcialmente) várias vezes, e seu cliente permitiu " ler senhas em texto sem formatação para domínios arbitrários do cofre de um usuário do LastPass quando esse usuário visitou um site mal-intencionado " e atualmente (março de 2017) " o binário do LastPass. permite que sites mal-intencionados executem o código de sua escolha. Mesmo quando o binário não está presente ... permite que sites mal-intencionados roubem senhas do cofre protegido do LastPass "Consulte o site en.wikipedia.org/wiki/LastPass#Security_issues para obter referências
Xen2050

Vou deixar esse link aqui, porque o Sr. Hunt diz isso muito melhor do que eu. troyhunt.com/...
PlTaylor

10

O plugin Password Hasher (para Firefox) é o que eu pessoalmente uso.

Como o Password Hasher ajuda:

  • Gera automaticamente senhas fortes.
  • Uma chave mestra produz senhas diferentes em muitos sites.
  • Atualize rapidamente as senhas "bloqueando" a tag do site.
  • Atualize uma chave mestra sem atualizar todos os sites de uma só vez.
  • Suporta senhas de comprimento diferente.
  • Oferece suporte a requisitos especiais, como dígitos e pontuação.
  • Suporta a restrição de uma palavra hash para não usar caracteres especiais. (Novo!)
  • Salva todos os dados no banco de dados de senhas seguras do navegador.
  • Gera uma página HTML portátil com as tags do site e as configurações das opções que permitem gerar hash em qualquer navegador de qualquer máquina sem a extensão instalada. (Novo!)
  • Pode adicionar botões de marcador para desmascarar senhas em qualquer site. (Novo!)
  • Extremamente simples de usar!

insira a descrição da imagem aqui


6
Eles devem ser armazenados em algum lugar, ou então eles seriam forgotton
user151019

Também há portas para o Chrome.
precisa saber é o seguinte

6
Por @kutschkem: Não, as senhas não precisam ser armazenadas em algum lugar. O que o plug-in provavelmente faz (pelo menos é o que eu faria) é misturar a concatenação da tag do site e da senha mestra, o que resultará em uma senha diferente (e supostamente forte) para cada site (sem armazenar nada) , Vejo?). É claro que sua senha mestra ainda precisaria ser forte. A vantagem é que não apenas todas as senhas serão diferentes, elas serão muito diferentes (pelo menos se a função de hash for boa).
Der Hochstapler

Existe também uma porta para o IE , escrita por uma pessoa muito bonita
BlueRaja - Danny Pflughoeft 5/12

@Matthew: Isso é verdade para cada solução de armazenamento de senha ...
BlueRaja - Danny Pflughoeft

9

Eu pessoalmente uso o PasswordMaker para gerar senhas a partir de uma senha mestra e da URL do site. O projeto é bastante maduro, de código aberto e estável. Está disponível para Firefox (como uma extensão), Linux CLI, Android etc.

Como funciona:

Aviso - jargão técnico nesta seção! Você fornece ao PasswordMaker duas informações: uma "senha mestre" - a única senha que você gosta - e o URL do site que exige uma senha. Com a mágica dos algoritmos de hash unidirecional, o PasswordMaker calcula um resumo da mensagem, também conhecido como impressão digital, que pode ser usada como sua senha para o site. Embora os algoritmos de hash unidirecionais possuam várias características interessantes, o maiúsculo do PasswordMaker é que a impressão digital resultante (senha) "não revela nada sobre a entrada usada para gerá-la". Em outras palavras, se alguém tiver uma ou mais de suas senhas geradas, é inviável computacionalmente derivar sua senha mestra ou calcular suas outras senhas.


4

É arriscado confiar em um aplicativo de terceiros para armazenar suas senhas importantes, especialmente nos aplicativos com potencial de conexão on - line ou nos que você os autoriza a acessar os processos de outro programa; e, mais importante, confiar nos de código não aberto .

Uma maneira mais segura, na minha opinião, é armazenar suas senhas importantes em um arquivo de texto (.TXT) e depois criptografar o arquivo com o algoritmo AES pelo dsCrypt.exe . É necessário digitar sua senha principal no dsCrypt apenas uma vez e você poderá criptografar / descriptografar o arquivo de texto da senha várias vezes sem solicitar que você digite novamente a senha principal sempre que o dsCrypt estiver em execução. Você pode executar automaticamente o dsCrypt com o Windows iniciar e inserir sua senha principal uma vez; e o que você precisa é apenas arrastar e soltar seu arquivo de senha (.txt) no dsCrypt para descriptografá-lo / criptografá-lo quando precisar de suas senhas.


Substituindo dsCrypt com PGP / GPG, derivados TrueCrypt, LUKS, etc seria tão bom, ainda +1
Xen2050

mas há uma falha na sua resposta: dsCrypt.exe É um software de terceiros :-)! Eu prefiro confiar em um programa de código aberto, que pode recompilar, ao longo de um exe
spiritoo

0

Eu recomendo o KeePassXC, que é um fork da comunidade do KeePassX , uma porta nativa de plataforma cruzada do KeePass Password Safe , com o objetivo de estendê-lo e aprimorá-lo com novos recursos e correções de bugs, para fornecer uma plataforma aberta moderna e rica em recursos gerenciador de senhas de origem.

Esse cliente também é recomendado pela Autodefesa da Vigilância .

Principais Características do KeePassXC :

  • Armazenamento seguro de senhas e outros dados privados com criptografia AES, Twofish ou ChaCha20
  • Multiplataforma, roda em Linux, Windows e macOS sem modificações
  • Compatibilidade de formato de arquivo com KeePass2, KeePassX, MacPass, KeeWeb e muitos outros (KDBX 3.1 e 4.0)
  • Integração do agente SSH
  • Digite automaticamente em todas as plataformas suportadas para preencher automaticamente os formulários de login
  • Arquivo de chaves e suporte à resposta a desafios do YubiKey para segurança adicional
  • Geração TOTP (incluindo Steam Guard)
  • Importação de CSV de outros gerenciadores de senhas (por exemplo, LastPass)
  • Interface da Linha de comando
  • Gerador autônomo de senha e senha
  • Medidor de força da senha
  • Ícones personalizados para entradas de banco de dados e download de favicons de sites
  • Funcionalidade de mesclagem de banco de dados
  • Recarga automática quando o banco de dados foi alterado externamente
  • Integração do navegador com o KeePassXC-Browser para Google Chrome, Chromium, Vivaldi e Mozilla Firefox.
  • (Legado) Suporte KeePassHTTP para uso com o KeePassHTTP-Connector disponível para Mozilla Firefox e Google Chrome e passafari para Safari.

-4

Eu uso os arquivos do bloco de notas e .txt. Se você quiser meu conselho, aconselho você a não usar um software de terceiros. De onde você sabe que eles não estão roubando suas senhas?
Então, usar arquivos de texto seria o melhor.
Além disso, se você é um programador, sugiro que você crie um programa simples que use codificação para proteger dados. Essa é a melhor solução.


2
Vou me arriscar que o banco de dados do gerenciador de senhas criptografadas seja mais vulnerável que o arquivo de texto sem formatação, já que o último será coletado pelo próximo malware que faz a pesquisa rápida do meu computador pela palavra senha .
Twisty Imitador

11
Pelo menos criptografar seu arquivo de texto simples com gpg / pgp ou algo, qualquer coisa , e, em seguida, lembre-se que uma senha
Xen2050
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.