Question Comment stocker et gérer en toute sécurité 180 mots de passe?


J'ai environ 180 mots de passe pour différents sites Web et services Web. Ils sont tous stockés dans un seul document Excel protégé par mot de passe. Comme la liste s'allonge, je suis de plus en plus préoccupé par sa sécurité.

À quel point un document Excel protégé par mot de passe est-il sécurisé ou devrais-je dire peu sûr? Quelle est la meilleure pratique pour stocker autant de mots de passe de manière simple et sécurisée?

Je trouve la méthode Excel facile, mais je suis préoccupé par l'aspect de la sécurité.


146
2018-06-05 10:47


origine


Un produit commercial comme CyberArk répond à vos besoins. - Ivan Chau


Réponses:


Mon outil de stockage de mot de passe préféré est KeePass:

enter image description here

Qu'est-ce que KeePass?

Aujourd'hui, vous devez vous souvenir de nombreux mots de passe. Vous avez besoin d'un mot de passe pour la connexion au réseau Windows, votre compte de messagerie, le mot de passe FTP de votre site Web, les mots de passe en ligne (comme le compte de membre du site Web), etc. De plus, vous devez utiliser des mots de passe différents pour chaque compte. Parce que si vous utilisez un seul mot de passe partout et que quelqu'un obtient ce mot de passe, vous avez un problème ... Un problème grave. Le voleur aurait accès à votre compte e-mail, site web, etc. Inimaginable.

KeePass est un gestionnaire de mots de passe open source gratuit qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale ou un fichier de clé. Il suffit donc de mémoriser un seul mot de passe principal ou de sélectionner le fichier clé pour déverrouiller la base de données entière. Les bases de données sont cryptées à l'aide des algorithmes de cryptage les meilleurs et les plus sécurisés actuellement connus (AES et Twofish). Pour plus d'informations, consultez le page fonctionnalités.


Y a-t-il une limite au nombre de mots de passe que vous pouvez y stocker?

Seulement en théorie Vous pouvez mettre autant d'entrées dans la base de données que vous le souhaitez, mais à un moment donné, votre clé USB ou votre disque dur sera plein.

Est-il possible de synchroniser automatiquement les mots de passe modifiés?

Non, pas comme vous l'attendez.
Vous voudrez en faire un processus manuel régulier. Ceci ne peut pas et ne devrait pas être automatisé.

J'aime configurer des dates d'expiration pour toutes mes entrées de mot de passe: enter image description here
Ensuite, je me souviens de changer mes mots de passe régulièrement. Je stocke l'URL du site Web avec la saisie du mot de passe, ce qui accélère le processus.

Puis-je me connecter automatiquement à un site Web comme Facebook en utilisant ce logiciel?

Non, pas automatiquement soit (au moins à ma connaissance). Mais c'est où Autotype entre en jeu. Par exemple, pour Facebook, il s’agit de ma configuration automatique:

enter image description here

Comme vous pouvez le voir, j'ai créé 3 configurations pour différents titres de navigateur. Cela me permet simplement d'aller à facebook.com, presse Ctrl+Alt+UNE, et le nom d'utilisateur et le mot de passe seront automatiquement entrés et je serai connecté.

Si vous avez plusieurs combinaisons nom d'utilisateur / mot de passe pour le même titre de la fenêtre, vous obtiendrez une fenêtre vous demandant quelle entrée de mot de passe doit être utilisée.

Qu'en est-il du mobile?

Il existe des applications qui prennent en charge le format de conteneur KeePass sur les appareils mobiles. Mais je reste loin de ceux-là. Je n'aime pas l'idée de ma base de données KeePass sur mon téléphone.

Je préfère ne transférer que des mots de passe uniques en utilisant le Générateur de code QR brancher. Il vous permet de générer un QR Code à partir d'un mot de passe, que vous pouvez alors scanner avec votre téléphone. Ça aide d'avoir Une application qui peut copier le contenu numérisé dans le presse-papier.

enter image description here


207
2018-06-05 10:51



Si vous le mettez dans Dropbox, vous pouvez l’ouvrir n'importe où (il existe une version portable), même sur votre téléphone. De plus il peut être importé dans Lastpass. Bon choix - Ivo Flipse♦
@Oliver Cela semble être juste l'outil dont j'ai besoin. Je vais certainement essayer. La fonctionnalité de date d'expiration est douce! Et le type automatique est assez simple. Je comprends que certains sites Web peuvent vous obliger à confirmer un changement de mot de passe en cliquant sur un lien qu'ils envoient par courrier électronique. Par conséquent, toute fonction de synchronisation automatique telle que je l'imaginais C'est un plus que cela fonctionne sur d'autres systèmes d'exploitation que Windows. Danke Oli! ;) - Samir
Si vous souhaitez ajouter une sécurité d'utilisation dans Dropbox, utilisez un fichier de clé associé à un mot de passe et copiez-le manuellement sur n'importe quel ordinateur ou périphérique auquel vous souhaitez avoir accès (ne stockez pas la clé dans Dropbox). AFAIK cela fonctionne uniquement avec les appareils Android et rootés, car vous avez besoin d'accéder au système de fichiers, mais sans le fichier de clé, le fichier de mot de passe est tout à fait inutilisable. - Chad Levy
Notez que KeePass 2 est uniquement Windows (au moins, les interpréteurs Mono gratuits sous Linux l'ont très mal exécuté). Il y a un ancien clone de KeePass 1 appelé KeePassX que j'utilise sous Mac et Linux et qui fonctionne très bien. - Reid
@Reid: D'après mon expérience, KeePass2 fonctionne bien sur Mono; c'est juste moche, et c'est une chose Mono vs .NET. - grawity


Il semble y avoir plusieurs craqueurs de mots de passe Excel faciles à utiliser.

Je voudrais utiliser un système de gestion de mot de passe comme 1 mot de passe ou Dernier passage qui fonctionnent sur plusieurs systèmes d'exploitation, y compris les mobiles.

Ceux-ci ont des plugins pour la plupart des navigateurs qui peuvent remplir des mots de passe et d'autres informations sur le formulaire Web. 1password peut également créer un signet dans le navigateur qui se connectera automatiquement (toutes les utilisations de l'application nécessitent un mot de passe principal en premier)

1password peut également stocker des notes, un compte (par exemple, un courrier électronique, un ftp) et des modèles pour aider à stocker la carte de crédit, le compte bancaire et d'autres informations. Bien qu'il soit commercial, vous pouvez obtenir une démo gratuite qui vous permet d'entrer jusqu'à 20 éléments.

Une différence entre les deux est que 1password stocke uniquement les données localement (bien que vous puissiez synchroniser les données en utilisant dropbox ou similaire), Lastpass peut (doit, s'il vous plait, corriger ceci) stocker les données sur son site Web données et pas besoin de dropbox etc.


68
2018-06-05 10:55



Les mots de passe Excel sont très faciles à déchiffrer. Google Excel Password Cracker et vous verrez de nombreuses options. +1 pour Lastpass. J'avais l'habitude d'utiliser Roboform, mais j'aimais mieux Lastpass parce que c'est multi-plateforme. J'utilise leur générateur de mots de passe pour randomiser les mots de passe. - Kendor
+1 pour LastPass - Il est malheureux que KeePass réponde à toutes les questions de formatage et de photos, car LastPass est largement supérieur: il fait tout ce que fait KeePass, mais aussi des plugins pour tous les principaux navigateurs, systèmes d'exploitation et plates-formes mobiles. Il stocke également des données en ligne afin que vous n'ayez jamais à craindre de le perdre (et la met en cache localement, de sorte que vous n’ayez jamais à vous soucier de la panne de leurs serveurs), tout en crypte tout en utilisant TNO (ne faites confiance à personne), de sorte que LastPass ne peut jamais réellement voir vos mots de passe. Il y a très peu de programmes que j'appelle jamais absolument parfait, mais LastPass est l'un d'entre eux. - BlueRaja - Danny Pflughoeft
LastPass prend désormais également en charge l'authentification à deux facteurs via Android / iPhone, ce qui signifie que quelqu'un doit d'abord voler votre téléphone pour lancer votre application Authenticator (qui génère un code aléatoire toutes les 30 secondes) pour accéder à vos mots de passe. - glenneroo
@Sammy: Oui, la plupart des fonctionnalités sont libres pour toujours le seules les fonctionnalités que vous devez payer sont les applications mobiles et l’authentification multi-facteurs, qui nécessitent un «compte premium» (12 dollars par an). L'auteur n'essaie pas de s'enrichir avec le programme - je n'utilise pas les fonctionnalités premium, mais paye quand même un compte premium pour montrer ma gratitude. Je ne fais généralement que faire un don à des projets open-source, alors ça vous dit quelque chose :) - BlueRaja - Danny Pflughoeft
LastPass est pratique, mais la plupart du temps fermé et acquis par LogMeIn. Les serveurs de LastPass ont été violés (au moins partiellement) à plusieurs reprises et leur client a autorisé "lire des mots de passe en texte brut pour des domaines arbitraires à partir du coffre-fort d'un utilisateur LastPass lorsque cet utilisateur a visité un site Web malveillant"et actuellement (Mar2017)"le binaire LastPass ... permet aux sites Web malveillants d’exécuter du code de leur choix. Même lorsque le binaire n'est pas présent ... permet aux sites malveillants de voler les mots de passe du coffre protégé LastPass"Voir en.wikipedia.org/wiki/LastPass#Security_issues pour références - Xen2050


j'ai utilisé Dernier passage pendant un moment maintenant et le recommande fortement. Il dispose de merveilleux plug-ins de navigateur et d'un ensemble de fonctionnalités qui facilitent l'utilisation de mots de passe plus sécurisés.

Le plug-in de navigateur remplira automatiquement les informations de connexion (une fois connecté au plug-in). Il a également une fonction d'exportation, de sorte que vous pouvez récupérer votre base de données et l'importer dans KeePass par exemple. Il utilise également une authentification en deux étapes pour plus de sécurité.

Client de bureau:

desktop client

Plugin du navigateur:

browser plugin


49
2018-06-05 14:36



@PITaylor Merci! Je vais certainement tester LastPass. Mais pour l'instant, je donnerai à KeePass un peu plus de temps pour l'évaluer. - Samir
La raison principale pour laquelle j'aime LastPass est qu'il est facile de partager facilement un ensemble de mots de passe sur plusieurs ordinateurs et que vous pouvez toujours accéder à vos passes sur un ordinateur aléatoire via l'interface Web. - PlTaylor
J'utilise lastpass, mais il y a 2 inconvénients. 1) Le serveur peut tomber en panne (soit des problèmes techniques, soit la faillite de la société, etc.) 2) certaines entreprises ne le permettent pas, car vous envoyez des informations sur les tâches à l'entreprise. - Keltari
LastPass est pratique, mais la plupart du temps fermé et acquis par LogMeIn. Les serveurs de LastPass ont été violés (au moins partiellement) à plusieurs reprises et leur client a autorisé "lire des mots de passe en texte brut pour des domaines arbitraires à partir du coffre-fort d'un utilisateur LastPass lorsque cet utilisateur a visité un site Web malveillant"et actuellement (Mar2017)"le binaire LastPass ... permet aux sites Web malveillants d’exécuter du code de leur choix. Même lorsque le binaire n'est pas présent ... permet aux sites malveillants de voler les mots de passe du coffre protégé LastPass"Voir en.wikipedia.org/wiki/LastPass#Security_issues pour références - Xen2050
Je vais laisser ce lien ici, parce que M. Hunt dit mieux que moi. troyhunt.com/ - PlTaylor


Mot de passe hasher Le plugin (pour Firefox) est ce que j'utilise personnellement.

Comment Password Hasher aide:

  • Génère automatiquement des mots de passe forts.
  • Une clé principale produit des mots de passe différents sur de nombreux sites.
  • Mettez rapidement à jour les mots de passe en "sautant" le tag du site.
  • Mettez à niveau une clé principale sans mettre à jour tous les sites en même temps.
  • Prend en charge différents mots de passe de longueur.
  • Prend en charge les exigences spéciales, telles que les chiffres et la ponctuation.
  • Permet de limiter un mot de hachage pour ne pas utiliser de caractères spéciaux. (Nouveau!)
  • Enregistre toutes les données dans la base de données de mots de passe sécurisée du navigateur.
  • Génère une page HTML portable avec les balises de site et les paramètres d’option qui vous permettent de générer vos mots de hachage dans tout navigateur   toute machine sans l'extension installée. (Nouveau!)
  • Peut ajouter des boutons de marqueur pour démasquer les mots de passe sur n'importe quel site Web. (Nouveau!)
  • Extrêmement simple à utiliser!

enter image description here


10
2018-06-05 12:48



Ils doivent être stockés quelque part ou bien ils seraient oubliés - Mark
Il existe également des ports pour Chrome. - rishimaharaj
Par @kutschkem: Non, les mots de passe n'ont pas besoin d'être stockés quelque part. Ce que le plugin fait probablement (du moins c'est ce que je ferais), est de hacher la concaténation de la balise du site et du mot de passe principal, ce qui entraînera un mot de passe différent (et supposé fort) pour chaque site (sans rien stocker , voir?). Bien sûr, votre mot de passe maître devra toujours être fort. L'avantage est que non seulement chaque mot de passe sera différent, mais qu'il sera très différent (du moins si la fonction de hachage est bonne). - Der Hochstapler
Il y a aussi un port pour IE, écrit par une personne très belle - BlueRaja - Danny Pflughoeft
@Matthew: C'est vrai de chaque solution de stockage de mot de passe ... - BlueRaja - Danny Pflughoeft


Je utilise personnellement PasswordMakerpour générer des mots de passe à partir d'un mot de passe principal et de l'URL du site. Le projet est assez mature, open-source et stable. Il est disponible pour Firefox (en extension), Linux CLI, Android etc.

Comment ça marche:

Attention - jargon technique dans cette section! Tu fournis   PasswordMaker deux informations: un "mot de passe principal" - qui   un seul mot de passe que vous aimez - et l’URL du site Web   Un mot de passe. Grâce à la magie des algorithmes de hachage à sens unique,   PasswordMaker calcule un résumé de message, également appelé numérique   empreinte digitale, qui peut être utilisée comme mot de passe pour le site Web.   Bien que les algorithmes de hachage à sens unique aient un certain nombre de   caractéristiques, celui capitalisé par PasswordMaker est que le   L’empreinte digitale résultante (mot de passe) ne "révèle rien sur le   entrée utilisée pour le générer. "En d’autres termes, si quelqu'un a   un ou plusieurs de vos mots de passe générés, c'est informatique   impossible pour lui de dériver votre mot de passe maître ou de calculer votre   autres mots de passe. Inutile de calculer signifie même les ordinateurs comme   cela ne va pas aider!


9
2018-06-05 13:59





C'est risqué de faire confiance une application tierce pour stocker vos mots de passe importants en particulier les applications qui sont potentiellement capable de se connecter en ligne ou ceux que vous les autorisez à accéder aux processus d'un autre programme; et surtout de faire confiance source non ouverte ceux

Un moyen plus sûr, à mon avis, est de stocker vos mots de passe importants dans un fichier texte (.TXT), puis cryptez le fichier avec Algorithme AES par dsCrypt.exe. Vous devez entrer votre mot de passe principal dans dsCrypt juste une fois et vous pourrez crypter décrypter vous mot de passe le fichier texte plusieurs fois sans vous demander de ressaisir le mot de passe principal à chaque fois que dsCrypt est en cours d'exécution. Vous pouvez lancer automatiquement dsCrypt avec votre démarrage Windows et entrer votre mot de passe principal une fois; et ce dont vous avez besoin est juste pour glisser déposer votre fichier de mots de passe (.txt) sur dsCrypt pour le / déchiffrer quand tu as besoin vos mots de passe


4
2018-03-27 22:26



Remplacer dsCrypt par PGP / GPG, les dérivés TrueCrypt, LUKS, etc. serait tout aussi bon, toujours +1 - Xen2050
mais il y a une faille dans votre réponse: dsCrypt.exe est un logiciel tiers :-)! Je préfère faire confiance à un programme open source, que je peux recompiler, sur un exe - spiritoo


je recommande KeePassXC qui est une fourchette de la communauté de KeePassX, un port multi-plateforme natif de KeePass Password Safe, dans le but de l'étendre et de l'améliorer avec de nouvelles fonctionnalités et de nouvelles corrections de bogues afin de fournir un gestionnaire de mots de passe open-source complet, multi-plateforme et moderne.

Ce client est également recommandé par Auto-défense de surveillance.

Caractéristiques principales KeePassXC:

  • Stockage sécurisé des mots de passe et autres données privées avec cryptage AES, Twofish ou ChaCha20
  • Cross-platform, fonctionne sous Linux, Windows et macOS sans modifications
  • Compatibilité des formats de fichiers avec KeePass2, KeePassX, MacPass, KeeWeb et bien d'autres (KDBX 3.1 et 4.0)
  • Intégration de l'agent SSH
  • Type automatique sur toutes les plateformes prises en charge pour remplir automatiquement les formulaires de connexion
  • Fichier de clés et prise en charge de la réponse à la demande YubiKey pour plus de sécurité
  • Génération TOTP (y compris Steam Guard)
  • Importation CSV à partir d'autres gestionnaires de mots de passe (par exemple, LastPass)
  • Interface de ligne de commande
  • Mot de passe autonome et générateur de mots de passe
  • Indicateur de force mot de passe
  • Icônes personnalisées pour les entrées de base de données et le téléchargement des favicons du site Web
  • Fonctionnalité de fusion de base de données
  • Rechargement automatique lorsque la base de données a été modifiée en externe
  • Intégration du navigateur avec KeePassXC-Browser pour Google Chrome, Chromium, Vivaldi et Mozilla Firefox.
  • Prise en charge (héritée) de KeePassHTTP pour une utilisation avec KeePassHTTP-Connector disponible pour Mozilla Firefox et Google Chrome, et passafari pour Safari.

0
2018-04-26 16:46





J'utilise les fichiers Notepad et .txt. Si vous voulez mon conseil, je vous conseille de ne pas utiliser un logiciel tiers. D'où savez-vous qu'ils ne volent pas vos mots de passe?
Donc, utiliser des fichiers texte serait le meilleur.
Aussi, si vous êtes un programmeur, je vous suggère de vous en construire un simple qui utilise l'encodage pour sécuriser les données. C'est la meilleure solution.


-4
2017-09-26 16:46



Je prendrai mes chances que la base de données du gestionnaire de mots de passe crypté soit plus vulnérable que le fichier texte brut, car ce dernier sera récupéré par le logiciel malveillant suivant qui effectuera une recherche rapide du mot sur mon ordinateur. mot de passe. - Twisty Impersonator
Cryptez au moins votre fichier texte brut avec gpg / pgp ou quelque chose, n'importe quoi, puis souvenez-vous de ce mot de passe - Xen2050