¿Cómo manejas tus contraseñas?

59

Obviamente, viendo cuántos de nosotros aquí somos personas de tipo administrador de sistemas, tenemos muchas contraseñas en numerosos sistemas y cuentas. Algunos de ellos son de baja prioridad, otros podrían causar graves daños a una empresa si se descubren (¿no te encanta el poder?).

Las contraseñas simples y fáciles de recordar simplemente no son aceptables. La única opción son las contraseñas complejas, difíciles de recordar (y escribir). Así que, ¿qué es lo que se utiliza para realizar un seguimiento de sus contraseñas? ¿Utiliza un programa para encriptarlos por usted (que requiere otra contraseña a su vez), o hace algo menos complicado, como un trozo de papel guardado en su persona, o está en algún lugar entre esas opciones?

DWilliams
fuente
¿Las contraseñas fáciles de recordar realmente no son aceptables? -> xkcd.com/936
Michuelnik

Respuestas:

63

KeePass es genial.

raspi
fuente
3
+1 para Keepass. Tengo una copia en mi computadora portátil y una copia sincronizada en mi Android G1.
KPWINC
Usé PassReminder por un tiempo porque era utilizable en Windows y Linux, pero el desarrollo se estancó. Me cambié a KeePass, y he tenido la misma base de datos durante más de dos años, en estaciones de trabajo con Windows, Linux y Mac OS X.
jtimberman
Debo señalar que en un trabajo anterior utilizamos una base de datos KeePass compartida entre el personal administrativo que almacenaba todas las contraseñas relacionadas con la infraestructura.
jtimberman
+1 para Keepass, FOSS.
Josh Brower
1
KeePass + Dropbox = Contraseñas de sincronización automática.
Hola71
30

Tengo una forma muy simple de manejar las contraseñas:

No me gustan los administradores de contraseñas, pero me gustan las criptomonedas, así que aprovecho los hashes unidireccionales (md5, sha1, etc.) y genero contraseñas con ellos.

¿Cómo funciona?

Primero, elijo una buena contraseña larga que usaré en todas partes. Por ejemplo qwerty (no use eso, solo un ejemplo). Ahora para cada sitio, su contraseña será el md5 (o sha1) del nombre del sitio qwerty +. Por ejemplo:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

De esa manera, mi contraseña para Facebook es 9d7d9b30592fd43dd6629ef5c12c6e9a y para twitter es: cdf0e74e19836efb20f29120884b988d

Tanto largo como seguro. Si alguien roba mi contraseña de Twitter, no tiene forma de retroceder para descubrir las otras contraseñas. Además, para hacerlo no necesita ningún software de contraseña almacenado (solo los binarios md5 / sha1 que vienen por defecto en Linux y son fáciles de encontrar en Windows).

sucursales
fuente
66
Buen esquema simple. ¿Qué haces en sitios que han limitado sus campos de contraseña a menos de 32 bytes, solo truncar?
pboin
1
¡Es un esquema bastante ingenioso! ¡bueno!
Sander Versluys
1
pwdhash < pwdhash.com > hace algo similar y está disponible como complemento de Firefox. Entonces, si simplemente desea controlar las contraseñas en la web, esto es ideal. También significa que puede usar cualquier PC, ya que no necesita llevar su base de datos de contraseñas.
Chris J
13
¿No dejará esto un rastro de comandos con su contraseña en texto sin formato en el historial de bash?
pez globo
1
Puede hacer que bash ignore los comandos configurando HISTCONTROL, consulte: commandlinefu.com/commands/view/1512/…
Matt V.
16

Password Safe tiene un cifrado sólido y un generador de contraseñas aleatorias. Luego, los grupos de contraseñas se distribuyen como archivos cifrados en función de quién necesita qué contraseñas.

pcapademic
fuente
¿Qué criptografía utiliza Password Safe? He estado por todo el sitio y aún no lo he encontrado.
Bob
Twofish schneier.com/passsafe.html
sh-beta
Considero que Password Safe es invaluable, porque puedo usarlo para generar contraseñas aleatorias siempre que sea el momento de rotar las contraseñas: cada entrada de contraseña puede tener reglas de complejidad personalizadas asociadas; Si una aplicación o sitio no permite la puntuación, puedo decirle a PS que no use símbolos al generar nuevas contraseñas. Para una administración de contraseñas más generalizada, tenemos CyberArk.
George Erhard el
7

Mantenemos nuestras contraseñas impresas, en una carpeta con nuestra otra documentación de red y en nuestra sala de servidores físicamente segura a la que solo algunas personas tienen acceso.

No sé qué piensan los 'administradores de sistemas reales' de esto, pero creo que es una buena solución para nosotros. Estoy interesado en las otras respuestas a esta pregunta.

Jay Riggs
fuente
En un trabajo anterior (una instalación informática central de la universidad) solíamos tener un pequeño cuaderno almacenado en nuestra caja de llaves dentro de nuestra sala de máquinas, que obviamente tenía un número limitado de personas que podían acceder a él.
David Pashley
1 porque este funciona y es la solución más simple ... si el portátil se mantiene encerrado en un lugar seguro ...
cop1152
Igualmente. Carpeta de contraseñas almacenadas en la caja fuerte, en la sala de máquinas. La contraseña de root central era conocida solo por unas pocas personas y luego se colocaba en un sobre cerrado; Acceso a sudo para cualquier otra persona que necesite acceso privilegiado.
CK.
Suena como una buena solución de baja tecnología. Me preocuparía un poco la gente como el personal de limpieza, técnicos de mantenimiento, etc., que ocasionalmente pueden ingresar a la habitación. Deberá recordar mantener la carpeta a salvo de ellos.
sleske
7

Tenemos un archivo de texto cifrado PGP. Se cifra con cada una de las claves del administrador del sistema. Utilizamos un complemento vim para facilitar la actualización.

En un trabajo anterior, utilizamos un esquema similar, pero utilizamos cifrado simétrico porque no habíamos descubierto el complemento (o aún no existía) y nadie había pasado el tiempo para averiguar cómo funcionarían las claves privadas.

David Pashley
fuente
+1 Esquema agradable, además de saber sobre el complemento :-).
sleske
5

Tengo una memoria fotográfica, puedo recordar las contraseñas de los archivos zip que creé en los años 80, en realidad no es tan genial como podrías pensar :)


fuente
Muy buena solución. Simplemente no escalo muy bien a los demás: - /.
sleske
También parece que puedo recordar todas las contraseñas que he usado ... lo que funciona muy bien hasta que inevitablemente olvides una, como lo hice yo. Fue para la firma de certificados de Android, lo que significa que nunca más podré actualizar una aplicación que escribí que está en el mercado de Google Play. Por supuesto, podría firmarlo con un certificado diferente, pero eso no atrae a los usuarios existentes.
Timothy Lee Russell el
5

KeePassX es una alternativa de KeePass multiplataforma. Una interfaz gráfica de usuario muy agradable (Qt) y una funcionalidad casi idéntica.

Ehtyar

[editar] Olvidé mencionar que admite bases de datos KeePass [/ editar]

revs Ehtyar
fuente
5

Yo uso un programa llamado pwsafe en mi escritorio. Si necesito una contraseña de otro lugar, uso SSH y la uso.

Bill Weiss
fuente
2

Supongamos que tiene muchas contraseñas (diferentes) para varios servicios y equipos en línea que posee. Desea almacenarlos en un archivo.

Nunca mantenga su archivo de contraseña abierto (como sin cifrar) en sus máquinas / servidores. Dicho esto, no lo mantenga cifrado con algún proveedor de espacio web que le brinde soporte de cifrado tampoco, a menos que realmente confíe en ellos.

Para el almacenamiento móvil de contraseñas, considere los volúmenes o archivos TrueCrypt que puede almacenar donde sea conveniente, como sus pendrives o incluso archivos adjuntos de correo electrónico. TrueCrypt es compatible con casi todas las plataformas y proporciona muy buena seguridad cuando descifra los archivos para verlos. Luego, debe tener cuidado de no copiar o dejar el archivo en algún sistema (o carpeta de archivos eliminados).

Ah! y toma en serio tu generación de contraseña :-)

nik
fuente
2

Llavero. Intenté 1password, pero el llavero hace lo que necesito que haga, y me gusta cómo funciona mejor.

churnd
fuente
1

Desafortunadamente, dentro de una hoja de cálculo protegida por contraseña.

Matt Hanson
fuente
1

Mantengo mis contraseñas en un archivo de texto para que sea fácil de ver, no necesito ninguna aplicación. Mantengo el archivo cifrado con una frase de contraseña larga que nunca he escrito. Supongo que uno de estos días debería decirle a mi esposa qué es ...

La versión "funcional" del archivo se imprime en una fuente pequeña para que quepa en una hoja de papel y se pliega en la pequeña libreta que llevo y hago un seguimiento como mi billetera. Básicamente, sigo el consejo de Bruce Schneier y tengo buenas contraseñas que están escritas en algún lugar seguro.

Nuestro plan de "qué pasa si un administrador es golpeado por un autobús" es que cada uno de nosotros tenga su propio archivo de contraseña cifrada. Hay un número bastante pequeño de nosotros y no todos somos lo suficientemente tontos como para dejar una lista impresa por ahí, así que funciona bien.

También tenemos un pequeño archivo en los directorios compartidos que usamos que tiene las contraseñas menos críticas a las que todos nos referimos.

"Generamos" nuestras propias contraseñas complejas para los usos más críticos: generalmente voy primero y elijo una letra o número. Luego, el siguiente tipo elige uno, luego yo (u otro tipo), y así sucesivamente. Terminamos con cosas como pl8u7ke que resultan no ser demasiado difíciles de recordar si las usas casi todos los días.

Sala
fuente
1

Para contraseñas personales, uso 1Password. Tiene una gran aplicación (gratuita) para iPhone / iPod Touch, así que tengo mis contraseñas donde quiera que vaya.

abourg
fuente
1

Debe consultar el Yubikey ( http://www.yubico.com/ ).

Genera una OTP para usar en un sistema de autenticación de dos factores, pero para aplicaciones no accesibles a la red, se puede configurar para generar una contraseña pseudoaleatoria de 64 caracteres (para todos los efectos, no se puede cuestionar), o puede configura la contraseña tú mismo.

La contraseña estática o de un solo uso se emite como desde un teclado, por lo que está disponible de forma casi universal. Yo uso el mío en Linux, MacOS y Windows.

Edición de PS: estoy jugando con mi propio Yubikey pero no tengo ningún interés personal; Solo creo que es una herramienta de contraseña muy útil.

msanford
fuente
Los YubiKeys son geniales, pero aún necesita un servidor de autenticación y una aplicación útil que hable con el servidor de autenticación para que haga algo de valor
Nathan Hartley es el
1

Yo uso 1Password de Agile Web Solutions. Se integra a la perfección con todos los navegadores comunes en Mac y con la ayuda de Dropbox , puedo acceder a la misma colección de contraseñas desde todas mis máquinas.

Si necesita acceder a sus secretos desde diferentes plataformas de sistema operativo, KeypassX es una buena opción.

geewiz
fuente
1

Si tiene sistemas OS X como estaciones de trabajo cliente, puede usar el programa Keychain Access para administrar las contraseñas. Usamos un archivo de llavero en una ubicación compartida accesible para los administradores del sistema y simplemente lo vinculamos a nuestro programa de acceso a llavero.

Kamil Kisiel
fuente
1

Yo recomendaría PasswordVault

Un grupo de nuestro departamento de TI lo usa y realmente le gustan las características que tiene para ofrecer.

Las contraseñas siempre están encriptadas. Los usuarios individuales pueden elegir qué contraseñas compartir. Lo mejor de todo es que el software es gratuito.

Independientemente de lo que decida usar, asegúrese de que el sistema operativo sea seguro y que las contraseñas estén encriptadas.

IOTAMAN
fuente
1
¿No debería el enlace decir PasswordVault?
David Pashley
"Esta edición Lite gratuita admite hasta 25 servicios e incluye una prueba de 30 días de distribución automática (una función de edición Pro)". - Suena bastante limitado.
Toto
1

Estaba usando el servicio TIPAS en twitter:

http://twitter.com/tipas/

Pero, por alguna razón, los administradores de Twitter parecen haber roto la búsqueda.

dr.pooter
fuente
1

Para contraseñas personales, dado que uso varias computadoras, me gusta el servicio gratuito en línea Clipperz . El cifrado se realiza del lado del cliente y se almacena de forma remota. Para el trabajo, +1 para Password Safe.

Chad Miller
fuente
+1 para Clipperz
elifiner
1

En la cabeza de varias personas. Los realmente importantes están escritos en pequeños trozos de papel, luego pegados en pequeños sobres. Grapamos los sobres, así que es obvio si alguien lo abrió.

koenigdmj
fuente
Además, firme y coloque la fecha sobre la costura del sobre, para que sepa que nadie usó un sobre nuevo.
Jay Bazuzi
0

Personalmente uso eWallet , para poder sincronizar mi archivo de contraseña con mi teléfono. Cuesta $ 30, pero he estado feliz con los años y el soporte siempre ha sido rápido y cortés.

En una situación laboral, mi solución preferida es Portable KeePass o similar. El archivo ejecutable y la contraseña se pueden colocar en un disquete o llave USB. Contraseña maestra escrita en el exterior del disquete / llave USB. Selle esto en un sobre, firme su nombre y fecha en la solapa, luego coloque cinta adhesiva transparente sobre la fecha y la firma. Actualice con un nuevo sobre cada 6 meses más o menos (1).

El sobre se coloca en un lugar seguro. De vez en cuando, los sobres deben ser inventariados.


(1) Opcionalmente, guarde los sobres viejos para fines históricos; de lo contrario, los viejos deben destruirse.

quux
fuente
0

Utilizo el método de los dados para generar contraseñas (para que sean más fáciles de recordar que la verdadera basura aleatoria):

http://world.std.com/~reinhold/diceware.html

Intento utilizar grupos de contraseñas para acceder a diferentes tipos de sistemas, tanto para limitar la cantidad de contraseñas que tengo que recordar en un momento dado como para limitar el daño si se ve comprometido.

Luego los cambio regularmente. La frecuencia con la que los cambie depende de la rapidez con que pueda entrenarse para recordar nuevas contraseñas.

Si es absolutamente necesario, puede mantener los resultados de los dados encerrados en algún lugar, como una caja fuerte o una caja de seguridad. Volver a crear las contraseñas de los rollos (solo haciendo las búsquedas de la lista de palabras) es una tarea lo suficientemente molesta como para disuadir el olvido. Y la peor parte es que una vez que has buscado las primeras palabras, generalmente recuerdas el resto de todos modos.

James F
fuente
0

Uso apg y pwsafe en mi servidor personal. apg (Generador automático de contraseñas) crea contraseñas aleatorias de acuerdo con los criterios que puede definir, y pwsafe es solo la versión Linux de Password Safe en la línea de comandos.

Siempre SSH en mi servidor puedo conseguir mis contraseñas si es necesario, aunque para sitios de bajo valor que no termino usar la misma contraseña en varios lugares.

Brad Beyenhof
fuente
0

Para ayudar a recordar las contraseñas, creo que es útil si son pronouncables, por lo que al menos puede decirlas.

Mantengo una lista de algunas contraseñas que comúnmente necesito en mi billetera. No es 100% seguro, pero creo que es poco probable que cause problemas importantes.

La lista maestra de todas las contraseñas se guarda en una caja fuerte a prueba de fuego.

marca
fuente
0

Solo tengo una hoja de cálculo en Google Docs con los datos.

Cesar
fuente
55
Por lo general, no soy alguien que golpee SaaS, pero poner sus contraseñas en una plataforma subcontratada parece algo bastante incorrecto.
Dan Carley
0

Yo uso Passkeeper . Es simple, gratuito, liviano y no requiere instalación.

Carl C
fuente
0

En un anterior. En mi vida, cuando tuve que "recordar" 20 contraseñas diferentes para varios entornos con diferentes reglas de generación de contraseñas para cada una, utilicé Whisper32 . Hizo el trabajo lo suficientemente bien.

J. Polfer
fuente
0

Usamos CyberArk, ya que necesitábamos una solución compatible con PCI (y también tenemos las necesidades de HIPPA), además de que es casi todos los sistemas del cliente. No estoy entusiasmado con CyberArk, pero funciona.

Ronald Pottol
fuente