Bitcoin Forum

В последнее время паролей расплодилось столько что уже начинаешь в них путаться.
Пароли от кошельков, пароли от бирж, пароли от vps, пароли от всяких платформ и форумов, пароли от почты, пароли дискорда и тд и тп.
Слишком много паролей. Как их удобно\безопасно хранить и использовать? Запомнить это всё уже невозможно. Использовать же один и тот же пароль везде – плохая идея.
 ??? ???

Как вариант использовать сервисы для хранения паролей.
Видел что-то подобное в платной версии Avast.

Минус: всё же сервисы не очень надежны. Сегодня они есть, а завтра уже нет.


Сейчас еще погуглил. Есть всякие менеджеры паролей. Это безопасно? Не получится так что разработчик эти пароли уведет.

Создай файл Excel и сделай таблицу.
Адрес сайта, логин, пароль и т.д.
Поставь пароль на файл и всё...

Даже если "уведут" файл, взломать его будет проблематично.
А сторонние проги не используй вообще!!!

Я так и не нашел для себя более безопасного хранения паролей, чем бумажный блокнот. Он всегда под рукой, также резервные копии паролей хранятся на двух съемных носителях на случай размытого текста от пролитого на блокнот чая или порчи его детьми.

Кстати, недавно Xal0lex писал про очень интересую программу:

 

https://bitcointalk.org/index.php?topic=5113775.0
#ShareATool

Вот в этой теме собраны очень многие инструменты. В том числе и менеджеры паролей.

https://securityinabox.org/ru/guide/keepassx/windows/ (https://securityinabox.org/ru/guide/keepassx/windows/)
Гайд по использованию.

---

Бумага - это хороший вариант, если доступ в помещение изолирован и есть возможность уничтожения.
Но бумага не мобильна, вы привязаны к месту и не сможете двигаться по городам, странам с таким открытым архивом.
+ бумага достаточно хрупка, есть риски повреждения, утери, похищения и тд.

Флешки, хоть две, хоть 10 - тоже могут выйти из строя. Но будут попрочнее бумаги.
Однако открытость информации на них - это огромный минус, здесь тоже самое, риски утери и так далее и отсутствие мобильности.

https://bitcointalk.org/index.php?topic=5103575.0
PGP Подпись - Шифровка / Дешифровка сообщения

Один из самых лучших инструментов шифрования. Рекомендуется для шифрования от файлов до текстовых документов (Блокнот).
Задача только в одном, запомнить навсегда только один пароль. Потому что забыв/потеряв его - вы утратите доступ ко всем(!) зашифрованным файлам.

ps: Вы на форуме о биткоине, криптовалютах и криптографии - учите шифрование.

pps: Насчет того, что кто-то сможет получить доступ к вашим зашифрованным файлам со стороны разработчика. Используйте инструменты с открытым исходным кодом, читайте про них, изучайте вопрос.

Я думаю что лучше всего хранить их на защищённых папках в компьютере или вообще в письменном виде

Спокойно перемещаюсь со всем этим добром в другой город (270 км), также ноутбук беру с собой. Но за информацию спасибо. В любом случае изучу для общего развития. Читал тему пользователя TheFuzzStone, еще когда у него не было описания ресурсов в шапке. С дополнением этого она стала еще интереснее. Меня беспокоит пара вопросов: - не уж то хакеры, не смогут получить ключи шифрования от таких программ-шифровальщиков?
- ПО с открытым исходным кодом также подвержено взлому как и любое другое ПО?  

В пределах одной страны - можно многое. И скорость превышать и ноут без пароля таскать :)
Я говорю про процедуру физического изъятия оборудования. А как показывает практика и в свете новых законодательных инициатив - от этого не застрахован никто.
Просто на секунду задумайтесь о том, что сегодня все хорошо, но вдруг завтра вас попросят включить ноутбук и показать все, что у вас на нем находится?
А там все в открытом доступе.

Второй момент, на который тоже никто не даст страховки - это противоправные действия третьих лиц. Та же самая картинка, но в любом случае - ваш бук и флешки в чужих руках.

Незашифрованные письма? С учетом серверов в стране - вся переписка в открытом доступе. Но это так, для полноты картины.
И очень многое может поменяться в случае пересечения границы. Ведь таможенное законодательство - это очень отдельная тема.
Почитать можно здесь:
https://bitcointalk.org/index.php?topic=5057983.0
Таможня (Законы, правила в разных странах)



Вопрос в алгоритмах шифрования. Например насколько сложно подобрать сид-фразу из 24-х слов? Или приватный ключ.

Про безопасность в сети существует несколько тем на форуме, там начиная от фишинговых ссылок и роутера и заканчивая специальными средствами. Но это больше имеет отношение к общей защите компьютера.

Соглашусь, что нельзя надеяться только на супер-защищенный менеджер паролей, ведь безопасность - это комплекс мероприятий, каждое из которых необходимо предусмотреть.

Но если брать в расчет потенциальный взлом именно менеджера паролей, допустим при физическом изъятии компьютера - то расшифровать зашифроанные файлы (PGP) - лично я не слышал про такое. Потому что иначе, даже при едином намеке на безопасность - PGP не получила бы такого распространения.

Ломать мастер-пароль на вход в менеджер паролей - сомнительное удовольствие, особенно если там не будет фамилиии любимой собачки учительницы младших классов :)  А будет там 60 символов, со всеми спецсимовлами.

ps: У вас видна почта в аккаунте. Конечно, это не моё дело - но это дырочка в безопасности.

Я думаю, что встретившись с нашими правоохранительными органами либо любителями подогреть утюгом живот с целью добычи нужной им информации 99% людей отдадут все пароли лишь бы их отпустили.


Спасибо. Никогда не видел свой профиль со стороны. Думал что поставил галочку сразу после регистрации. В любом случае прислушаюсь к вашему совету, так как доверяю вам и знаю вас только как порядочного пользователя форума.

Интересно, начиная с какой суммы денежных средств люди начнут драться за своё?
Представьте ваш криптовалютный кошелек.
1000$
10000$
100000$...

Отдадите? Почему то у меня есть очень большие сомнения в этом.


Если мы говорим о дальшейнем развитии криптографии, то одним из главных моментов в этом развитии будет полный отказ от доверия и старых терминов, в том числе я и о порядочности (спасибо за добрые слова).

Криптография дала очень много этому миру. Отказавшись от доверия - человек получает уверенность. Например никто кроме вас не сможет контролировать, регулировать и быть гарантом вашего приватного ключа. Вы самостоятельно несете за это отвественность.

То же самое касается любых паролей, есть различные методы.
Первый - самый простой, паролить все датой рождения. Это просто, легко запоминается, очень удобно - но это огромная дыра в безопасности всех аккаунтов.

Второе - это доверить сохрание паролей Гуглу, Яндексу или другой корпорации. Да, здесь защита побольше, да, менеджеры паролей предлагают более 10-и знаков, генерируя пароль. Да, это удобно.
Но при этом мы получаем дыру в безопасности поменьше. Ведь нужен только пароль от учетки Гугла. И все, дальнейшее - дело техники. Плюс к этому - ваши пароли хранятся на серверах, соотвественно вы по умолчанию доверяете корпорациям. Хорошо это или плохо - каждый решает сам.

Третий путь - это шифрование, пароли и сид-фразы в специальные менеджеры паролей. В этом случае вы доверяете только себе, но и отвественность несете самостоятельно. Мастер-пароль только у вас, его не возможно "восстановить по е-мэйл".

Вот такая логическая цепочка, чем меньше удобства - тем больше отвественности, соотвественно выигрыш в безопасности.

Криптография постепенно убирает доверие. Никому не надо больше думать о том, что "этому можно доверять, а этому нет".
Есть только личная отвественность за свой пароль, свой сид, а значит - и за свои деньги.

И последнее - чтобы говорить о правоохранительных органах, либо любителях утюгов, у них должно быть знание о том, что на вашем буке есть подобная информация. А если ее не видно обычным взглядом на папки и процессы?

Криптография дает очень много инструментов для сокрытия своей деятельности. Например часть пароля находится совершенно в другом месте, зашифрованно. И человек, физически в состоянии отдать только то, что у него есть, не больше.

ps: Конечно будут мысли о том, что крипта это не основное, ну подумаешь отдам пароль от 100-1000 долларов... Однако задумайтесь, что произойдет, если вдруг токены вашей подписной выстрелят и у вас на счету будет пара квартир?

---

forklog.com/gosduma-mozhet-obyazat-vladeltsev-kriptovalyut-prohodit-identifikatsiyu-dlya-polucheniya-vizy/ (http://forklog.com/gosduma-mozhet-obyazat-vladeltsev-kriptovalyut-prohodit-identifikatsiyu-dlya-polucheniya-vizy/)

Хорошая статья на Форклоге про сегодня и про завтра.

KeePass интересная штука!
Так понимаю программа "офлайн" ? В интернет не лезет?

KeePass Password Safe (https://ru.wikipedia.org/wiki/KeePass) — кроссплатформенная свободная программа для хранения паролей, распространяемая по лицензии GPL. Программа разработана Домиником Райхлом (нем. Dominik Reichl), изначально только для операционной системы Windows. KeePass поддерживает алгоритмы Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish для шифрования паролей своих баз данных. Программа переведена более чем на 40 языков, включая русский. KeePass имеет портативную версию программы, устанавливать которую не обязательно. Экспорт в форматы TXT, HTML, XML и CSV, а также импорт из множества различных форматов.

Windows версия KeePass в данный момент развивается в двух направлениях, Classic Edition и Professional Edition.

1.x Classic Edition облегчённая версия.

2.x Professional Edition более функциональная версия, является кроссплатформенной, работает без перекомпиляции в ОС Windows, macOS и Linux, но требует для своей работы .NET Framework версии не ниже 2.0 или Mono (https://ru.wikipedia.org/wiki/Mono) версии не ниже 2.6.

Чтобы сделать её полностью "оффлайн" нужно сделать пару телодвижений:

1. Отключить автоматическую проверку обновлений:

https://i.imgur.com/b3B590B.png

2. Выбрать источник справки:

https://i.imgur.com/9nmuzvS.png

https://i.imgur.com/1p11Xt3.png

Хорошее руководство по программе на русском языке:

Бесплатный менеджер паролей KeePass 2: инструкция по эффективному использованию. Часть 1 (https://www.comss.ru/page.php?id=3250)
Бесплатный менеджер паролей KeePass 2: инструкция по эффективному использованию. Часть 2 (https://www.comss.ru/page.php?id=3760)

К сожалению браузер на компьютере не считывает отпечаток пальца) Какими бы пароли не были неудобными лучше защиты пока не придумали. В такой ситуации разве что менеджеры паролей могут помочь)

Вопрос, а как быть с разными пк? Если есть несколько рабочих компьютеров? Плюс как быть в поездках?
Я правильно понял что KeePass формирует некий шифрованный контейнер с паролями. И этот контейнер можно подсовывать в разные копии программы?

Так а в чём проблема? Программа портативная, скиньте на флэшку и используйте в поездках или на разных компьютерах. Или скопируйте с флэшки на разные ПК, если вы хотите, чтобы программа присутствовала на этих самых разных ПК.


Правильно. KeePass создаёт файл с расширением "kdbx" или "kdb" (для версии 1.х). Это и есть "шифрованный контейнер с паролями", который можно "подсовывать в разные копии программы". Если вы защитите свои базы ключом, то для работы с этими базами потребуется ещё и файл с расширением "key", который тоже будет находиться в папке с программой.

Плюс, вы можете экспортировать свою базу в различные форматы:

https://i.imgur.com/be3P0TR.png

Может идея и плоская, но по факту взламывают вас не потому что одинаковый пароль. А из-за оплошностей, отсутствия двухфакторки и пренебрежения безопасностью.

да запомните один большой пароль, например JKAdjk1828KAK, а потом добавляйте в его начало или конец 2-3 символа в зависимости от начала имени сайта, например bi или BI , вот и делов то.

Хех, вы будете удивлены, но очень много людей делают именно так. И зная основной пароль (допустим взломали одну из платформ и пароль скомпрометирован) подобрать оставшиеся символы дело 2х часов максимум. Нет, это плохая идея. Чисто на мой взгляд.


Xal0lex Спасибо за развернутый и полный ответ! Буду пробовать KeePass. Чуть позже отпишусь как оно.

Enpass если и не лучший, то один из лучших кросс-платформенных менеджеров паролей. База паролей хранится в виде зашифрованного файла локально, есть возможность подключить облачные сервисы для хранения базы, осуществляется 256-битное AES-шифрование. Полная поддержка всех популярных ОС и браузеров, даже в ЯБ встраивается, хотя официально поддержка и не заявлена, важно только не забыть главный пароль, иначе доступ к базе будет потерян навсегда.
Расширения для браузеров можно подключить из десктопной версии клиента, синхронизация с базой данных происходит без записей в самом браузере и в cookie ничего не остаётся. Буфер обмена очищается автоматически и можно настроить задержку, есть масса шаблонов.
Десктопной версией пользуюсь бесплатно, ограничений на количество записей нет, для мобильных клиентов разовая оплата для снятия ограничений.

1. Закрытое ПО для хранения паролей? Не, спасибо, не надо. Я, конечно, против индийцев ничего не имею, но...;
2. Портатива не предусмотрено. Нафиг надо встраивать в систему менеджер паролей;
3. Setup весит 56(!) мегабайт;
4. За разблокировку дополнительных функций в Desktop-версии (Premium (https://www.enpass.io/pricing/)) - $11.99.

Можно обойтись без разблокировки с помощью Windows Hello и тёмного режима и ещё кое-чего по мелочи, хоть и платёж опять же разовый. 

тут основная проблема не в оплате, а в том что софт "закрытый". Т.е. только разрабы знают чего туда намешано. КиПасс же открытый. Давно уже, скорее всего, каждую строчку побуквенно разобрали. Если бы там было что-то не так то об этом было бы уже известно. Но за совет большое спасибо!


пс. или у меня уже паранойя и закрытый софт даже надежнее? Эпл то тоже закрытая платформа, однако никто не жалуется.

Как может закрытый софт быть надёжнее? Баги в открытом ПО могут искать миллионы программистов во всём мире, а закрытое ПО тестируют единицы (ну, может быть десятки). А, например, чтобы даже не тестировать (упаси бог), а стать разработчиком под iOS, нужно платить Apple:

---

Жалуются, ещё и как. Если есть желание, Google поможет.
Например, коллективный иск на $125 млн. против Apple подан в Израиле:

Уже давно пользуюсь парольными менеджерами. Еще на слабых компах была прога сделанная на Визуал Бейсике. Лучше так, хоть чем-то закрыть доступ к паролям, чем держать их в открытом доступе в каком-то файле. Сейчас отдаю предпочтение LastPass, где пароли находятся в шифрованном облаке под присмотром у спецов по безопасности.

Так а какой вариант мобильного хранения без рисков хищения и т.д.? Только облачное хранение в зашифрованном виде? Причем доступ к облаку должно быть без 2fa, на случай если вдруг остался с голой жопой и без доступа к устройству(цунами все уничтожил разом :o).
Раскидать зашифрованный файл на разные облака, где доступ просто по почте и паролю, а так же не реагирует(не дает зайти) на новое устройство/браузер(Такие вообще существуют?). Почта чисто только для этих целей, пароль уникальный запомнить.
В итоге запомнить адрес почты, пароль к ней и другой пароль к самому зашифрованному файлу. Получается аварийный доступ к паролям из любой точки мира. Сомнения только в облачных сервисах, видимо, надо будет вручную проверять на доступ из нового места.

p.s.Понимаю что старая тема, но в поиске нашел это как самое подходящее, может кто другой ответит.

У меня пароли хранятся в блокноте дома, и в мессенджере в избранном. Самые важные пароли в блокноте, остальное уже под рукой всегда. Вообще сомневаюсь, что есть какое то самое безопасное хранилище данных, и не особо на этот счет заморачиваюсь)

Видел приложуху от  NordVPN, называется Nordpass. вроде бы компания неплохо себя зарекомендовала, и у них есть бесплатная версия. Хотя сам ей не пользовался.

Не доверюсь хранение своих паролей каким-то сервисам, поэтому использую обычный блакнот

Чем плох старый добрый КееPass?
(KeePassXC). Сейчас у десктопного приложения хороший интерфейс, локальная база, мобильные клиенты.