سؤال كيف أقوم بتخزين وإدارة 180 كلمة مرور بشكل آمن؟


لدي حوالي 180 كلمة مرور لمواقع ويب وخدمات ويب مختلفة. يتم تخزينها كلها في مستند Excel واحد محمي بكلمة مرور واحدة. كلما طالت القائمة ، أصبحت أكثر قلقا بشأن أمنها.

ما مدى أمان ، أو يجب أن أقول غير آمن ، هو مستند Excel محمي بكلمة مرور؟ ما أفضل الممارسات لتخزين العديد من كلمات المرور هذه بطريقة آمنة وسهلة الإدارة؟

أجد طريقة Excel سهلة بما فيه الكفاية ، ولكن أنا قلق حول جانب الأمان.


146
2018-06-05 10:47


الأصل


منتج تجاري مثل CyberArk يلبي حاجتك. - Ivan Chau


الأجوبة:


أداة تخزين كلمات المرور المفضلة هي حرة KeePass:

enter image description here

ما هو KeePass؟

اليوم عليك أن تتذكر العديد من كلمات السر. أنت بحاجة إلى كلمة مرور لتسجيل الدخول إلى شبكة Windows ، وحساب بريدك الإلكتروني ، وكلمة مرور FTP الخاصة بموقع الويب ، وكلمات المرور عبر الإنترنت (مثل حساب عضو في موقع الويب) ، إلخ. إلخ. القائمة لا نهاية لها. أيضا، يجب عليك استخدام كلمات مرور مختلفة لكل حساب. لأنك إذا استخدمت كلمة مرور واحدة فقط في كل مكان وحصل شخص ما على كلمة المرور هذه لديك مشكلة ... مشكلة خطيرة. سيكون لدى اللص حق الوصول إلى حساب البريد الإلكتروني الخاص بك ، وموقع الويب ، وما إلى ذلك.

KeePass هو مدير كلمات مرور مجاني مفتوح المصدر ، مما يساعدك على إدارة كلمات المرور الخاصة بك بطريقة آمنة. يمكنك وضع كل كلمات المرور الخاصة بك في قاعدة بيانات واحدة ، وهي مؤمنة بمفتاح رئيسي واحد أو ملف مفتاح. لذلك عليك فقط تذكر كلمة مرور رئيسية واحدة أو تحديد ملف المفتاح لفتح قاعدة البيانات بأكملها. يتم تشفير قواعد البيانات باستخدام خوارزميات التشفير الأفضل والأكثر أمانًا المعروفة حاليًا (AES و Twofish). لمزيد من المعلومات ، راجع صفحة الميزات.


هل هناك أي حد لعدد كلمات المرور التي يمكنك تخزينها بها؟

فقط من الناحية النظرية. يمكنك وضع العديد من الإدخالات في قاعدة البيانات كما تريد ، ولكن عند نقطة ما ، سيكون مفتاح USB أو محرك القرص الصلب ممتلئًا.

هل هناك طريقة لمزامنة كلمات المرور التي تم تغييرها تلقائيًا؟

لا ، ليس كما لو كنت تتوقع ذلك.
ستحتاج إلى إجراء عملية يدوية عادية. هذا لا يمكن و لا يجب يكون الآلي.

أرغب في إعداد تواريخ انتهاء الصلاحية لجميع إدخالات كلمة المرور الخاصة بي: enter image description here
ثم أذكر أن أغير كلمات المرور الخاصة بي بانتظام. أقوم بتخزين عنوان URL الخاص بموقع الويب مع إدخال كلمة المرور ، لذا فهي عملية سريعة.

هل يمكنني تسجيل الدخول تلقائيًا إلى موقع ويب مثل Facebook باستخدام هذا البرنامج؟

لا ، لا تلقائيا إما (على الأقل على حد علمي). لكن هذا هو المكان نوع متشابه يأتي دور. على سبيل المثال ، بالنسبة إلى Facebook ، هذا هو الإعداد Auto-Type:

enter image description here

كما ترون ، قمت بإنشاء 3 تكوينات لعناوين المستعرض المختلفة. هذا يسمح لي ببساطة الذهاب إلى facebook.com، صحافة السيطرة+البديل+ا، وسيتم إدخال اسم المستخدم وكلمة المرور تلقائيًا وسيتم تسجيل الدخول.

إذا كان لديك عدة مجموعات من اسم المستخدم / كلمة المرور لـ نفسه عنوان النافذة ، ستحصل على نافذة منبثقة تطلب منك إدخال كلمة المرور التي يجب استخدامها.

ماذا عن الجوال؟

هناك تطبيقات تدعم تنسيق حاوية KeePass على الأجهزة المحمولة. لكنني أبقى بعيداً عن هؤلاء أنا لا أحب فكرة قاعدة بيانات KeePass على هاتفي.

أنا أفضل أن أنقل فقط كلمات المرور المفردة باستخدام مولد رمز الاستجابة السريعة توصيل في. فإنه يتيح لك إنشاء رمز الاستجابة السريعة من كلمة مرور ، والتي يمكنك بعد ذلك مسحها ضوئيًا باستخدام هاتفك. يساعد على الحصول عليها تطبيق يمكنها نسخ المحتوى الممسوح ضوئيًا إلى الحافظة.

enter image description here


207
2018-06-05 10:51



إذا قمت بوضعه في Dropbox ، يمكنك فتحه في أي مكان (يوجد نسخة محمولة) ، حتى على هاتفك. بالإضافة إلى أنه يمكن استيرادها إلى Lastpass. أختيار عظيم - Ivo Flipse♦
Oliver ويبدو أن هذا هو مجرد أداة أحتاج إليها. سأقدم بالتأكيد هذه المحاولة. ميزة تاريخ انتهاء الصلاحية حلوة! والسيارات نوع بسيط بما فيه الكفاية. أدرك أن بعض مواقع الويب قد تتطلب منك تأكيد تغيير كلمة المرور عن طريق النقر على رابط يتم إرساله عبر البريد الإلكتروني ، ولهذا السبب تظهر ميزة المزامنة التلقائية على النحو الذي تخيلت أنه سيفشل في مزامنة كلمة المرور وتحديثها تلقائيًا. انها زائد أن هذا يعمل على أنظمة تشغيل أخرى من ويندوز فقط. دانكي أولي! ؛) - Samir
إذا كنت تريد أمانًا إضافيًا لاستخدامه في Dropbox ، فاستخدم ملفًا رئيسيًا مع كلمة مرور ونسخه يدويًا إلى أي جهاز كمبيوتر أو جهاز تريد الوصول إلى كلمات المرور الخاصة بك (لا تخزن المفتاح في Dropbox). AFAIK هذا لا يعمل إلا مع Android وأجهزة الجذر التي تعمل بنظام iOS نظرًا لأنك تحتاج إلى الوصول إلى نظام الملفات ، ولكن بدون ملف المفتاح ، يكون ملف كلمة المرور غير قابل للفك. - Chad Levy
لاحظ أن KeePass 2 هو Windows فقط (على الأقل ، قام مترجمو Mono المجانيون على Linux بتشغيله بشكل سيء للغاية). هناك نسخة قديمة من KeePass 1 تسمى KeePassX والتي أستخدمها على Mac و Linux وتعمل بشكل جيد. - Reid
Reid: من تجربتي ، يعمل KeePass2 بشكل جيد على Mono ؛ انها مجرد قبيحة ، وهذا هو الشيء Mono مقابل NET. - grawity


يبدو أن هناك العديد من السهل استخدام المفرقعات كلمة Excel حولها.

أود استخدام نظام إدارة كلمات المرور مثل 1password أو لاست باس التي تعمل على العديد من أنظمة تشغيل بما في ذلك الهواتف النقالة.

تحتوي هذه البرامج على مكونات إضافية لمعظم المتصفحات والتي يمكن أن تملأ كلمات المرور والمعلومات الأخرى إلى نموذج الويب. يمكن لـ 1 كلمة مرور أيضًا إعداد إشارة مرجعية في المتصفح الذي سيتم تسجيل الدخول إليه تلقائيًا (تتطلب جميع استخدامات التطبيق استخدام كلمة مرور رئيسية أولاً)

يمكن لـ 1 كلمة مرور تخزين الملاحظات والحساب (مثل البريد الإلكتروني و ftp) والنماذج للمساعدة في تخزين بطاقة الائتمان والحساب المصرفي وغيرها من المعلومات. على الرغم من كونه تجاريًا ، يمكنك الحصول على عرض تجريبي مجاني يتيح إدخال ما يصل إلى 20 عنصرًا.

أحد الاختلافات بين الاثنين هو أن كلمة المرور 1 تخزن البيانات فقط محليًا (على الرغم من أنه يمكنك مزامنة البيانات التي تم تجميعها باستخدام صندوق الإسقاط أو ما شابه) ، فإن Lastpass (يجب أن يقوم شخص ما بتصحيح ذلك) قم بتخزين البيانات على موقع الويب الخاص به والذي يسمح بالوصول إلى الويب البيانات وليس هناك حاجة لصندوق التحميل


68
2018-06-05 10:55



كلمات مرور Excel من السهل جدا للقضاء. جوجل تكسير كلمة المرور إكسل وسترى العديد من الخيارات. +1 لـ Lastpass. اعتدت على استخدام Roboform ، ولكن أحب Lastpass أفضل لأنه عبر منصة. أنا استخدم مولد كلمة المرور الخاصة بهم لعشوائية كلمات المرور. - Kendor
إجراء 1+ لـ LastPass - من المؤسف أن تكون الإجابة مع جميع التنسيق والصور الرائعة لـ KeePass ، حيث أن LastPass متفوق بشكل كبير: فهو يفعل كل شيء يفعله KeePass ، ولكنه يحتوي أيضًا على مكونات إضافية لكل متصفح رئيسي ونظام تشغيل ومنصة جوّال. كما أنه يخزن البيانات عبر الإنترنت ، لذلك لا داعي للقلق بشأن فقدانها (وتخزينها مؤقتًا محليًا ، لذلك لا داعي للقلق بشأن خوادمها باستمرار)ومع ذلك ، فإنها تقوم بتشفير كل شيء باستخدام TNO (لا تثق بأحد) ، لذلك لا يمكن لـ LastPass رؤية كلمات المرور الخاصة بك. هناك عدد قليل جدًا من البرامج التي اتصل بها مثالي تماما، ولكن LastPass هو واحد منهم. - BlueRaja - Danny Pflughoeft
يدعم أيضًا LastPass الآن المصادقة الثنائية عبر Android / iPhones أيضًا ، مما يعني أن شخصًا ما سيحتاج أولاً إلى سرقة هاتفك لتشغيل تطبيق Authenticator (الذي ينشئ رمزًا عشوائيًا كل 30 ثانية) للوصول إلى كلمات المرور. - glenneroo
Sammy: نعم ، معظم الميزات احرار الى الابد. ال فقط الميزات التي تحتاج إلى دفع ثمن هي تطبيقات الأجهزة المحمولة والمصادقة متعددة العوامل ، والتي تتطلب "حسابًا متميزًا" (12 دولارًا في السنة). لا يحاول المؤلف أن يصبح غنيًا عن البرنامج - لا أستخدم ميزات الإصدار المميز ، ولكن لا يزال يدفع مقابل حساب ممتاز لإظهار امتناني. عادة ما أتبرع فقط بالمشروعات مفتوحة المصدر ، بحيث يخبرك بشيء :) - BlueRaja - Danny Pflughoeft
LastPass مريحة ، ولكنها في الغالب مغلقة المصدر ومكتسبة من قبل LogMeIn. تم خرق خوادم LastPass (جزئيًا على الأقل) عدة مرات ، وقد سمح عميلها "قراءة كلمات مرور نص عادي للنطاقات العشوائية من قبو مستخدم LastPass عندما زار ذلك المستخدم موقع ويب ضارًا"وحاليا (Mar2017)"يتيح الـ LastPass binary ... لمواقع الويب الضارة تنفيذ التعليمات البرمجية التي يختارونها. حتى في حالة عدم وجود الملف الثنائي ... تسمح المواقع الخبيثة بسرقة كلمات المرور من قبو LastPass المحمي" نرى en.wikipedia.org/wiki/LastPass#Security_issues للمراجع - Xen2050


لقد استعملت لاست باس لفترة من الوقت الآن ونوصي بشدة. لديه بعض الإضافات الرائعة للمتصفح ومجموعة من الميزات التي تسهّل الحصول على كلمات مرور أكثر أمانًا.

سيقوم ملحق المتصفح تلقائيًا بتعبئة معلومات تسجيل الدخول (عند تسجيل الدخول إلى المكون الإضافي). كما أن لديها وظيفة تصدير ، بحيث يمكنك استرداد قاعدة البيانات الخاصة بك واستيرادها حرة KeePass فمثلا. ويستخدم أيضًا مصادقة من خطوتين للحصول على أمان إضافي.

عميل سطح المكتب:

desktop client

مكوّن المتصفح:

browser plugin


49
2018-06-05 14:36



PITaylor شكرا لك! سأختبر بالتأكيد LastPass. ولكن في الوقت الحالي سأقدم لـ KeePass بعض الوقت لتقييمه. - Samir
السبب الكبير الذي يعجبني في LastPass هو أنه من السهل مشاركة مجموعة من كلمات المرور على أجهزة كمبيوتر متعددة بسهولة ، ويمكنك دائمًا الوصول إلى تصاريح المرور على جهاز كمبيوتر عشوائي من خلال واجهة الويب. - PlTaylor
أنا استخدم lastpass ، ولكن هناك سلبيات 2. 1) يمكن للخادم النزول (إما مشاكل فنية ، أو أن الشركة تخرج من العمل ، الخ) 2) لا تسمح بعض الشركات بذلك ، لأنك ترسل معلومات المرور بالخروج من الشركة. - Keltari
LastPass مريحة ، ولكنها في الغالب مغلقة المصدر ومكتسبة من قبل LogMeIn. تم خرق خوادم LastPass (جزئيًا على الأقل) عدة مرات ، وقد سمح عميلها "قراءة كلمات مرور نص عادي للنطاقات العشوائية من قبو مستخدم LastPass عندما زار ذلك المستخدم موقع ويب ضارًا"وحاليا (Mar2017)"يتيح الـ LastPass binary ... لمواقع الويب الضارة تنفيذ التعليمات البرمجية التي يختارونها. حتى في حالة عدم وجود الملف الثنائي ... تسمح المواقع الخبيثة بسرقة كلمات المرور من قبو LastPass المحمي" نرى en.wikipedia.org/wiki/LastPass#Security_issues للمراجع - Xen2050
سأترك هذا الرابط هنا ، لأن السيد هانت يقول إنه أفضل مما أستطيع. troyhunt.com/... - PlTaylor


كلمة المرور حشر البرنامج المساعد (لمتصفح فايرفوكس) هو ما استخدمه شخصيا.

كيف يساعدك حشر كلمة المرور

  • يولد تلقائيا كلمات مرور قوية.
  • ينتج مفتاح رئيسي واحد كلمات مرور مختلفة في العديد من المواقع.
  • ترقية كلمات المرور بسرعة عن طريق "الارتطام" بعلامة الموقع.
  • قم بترقية مفتاح رئيسي دون تحديث جميع المواقع في وقت واحد.
  • يدعم كلمات مرور مختلفة الطول.
  • يدعم المتطلبات الخاصة ، مثل الأرقام وعلامات الترقيم.
  • يدعم تقييد كلمة التجزئة لعدم استخدام أحرف خاصة. (الجديد!)
  • يحفظ جميع البيانات في قاعدة بيانات كلمة المرور الآمنة للمتصفح.
  • يولد صفحة HTML المحمولة مع علامات موقعك وإعدادات الخيار التي تسمح لك بإنشاء كلمات التجزئة في أي متصفح   أي جهاز بدون ملحق مثبت. (الجديد!)
  • يمكن إضافة أزرار علامة على كشف كلمات المرور على أي موقع ويب. (الجديد!)
  • بسيطة للغاية للاستخدام!

enter image description here


10
2018-06-05 12:48



يجب أن يتم تخزينها في مكان ما وإلا فسوف يُسامحون - Mark
هناك أيضًا منافذ لـ Chrome. - rishimaharaj
بواسطةkutschkem: لا ، كلمات المرور لا تحتاج إلى تخزينها في مكان ما. ما قد يفعله الملحق (على الأقل هذا كيف يمكنني القيام به) ، هو تجزئة سلسلة الموقع وكلمة المرور الرئيسية ، والتي ستؤدي إلى كلمة مرور مختلفة (ومفترض أنها قوية) لكل موقع (بدون تخزين أي شيء ، نرى؟). بالطبع ستظل كلمة المرور الرئيسية قوية. الميزة هي أنه لن تكون كل كلمة مرور مختلفة فحسب ، بل ستكون مختلفة تمامًا (على الأقل إذا كانت وظيفة التجزئة جيدة). - Der Hochstapler
يوجد ايضا منفذ ل IEمكتوبة من قبل شخص وسيم جدا - BlueRaja - Danny Pflughoeft
Matthew: هذا صحيح كل حل تخزين كلمة المرور ... - BlueRaja - Danny Pflughoeft


أنا شخصيا استخدم PasswordMakerلإنشاء كلمات مرور من كلمة مرور رئيسية وعنوان URL الخاص بالموقع. المشروع ناضج إلى حد ما ومفتوح المصدر ومستقر. وهو متاح لمتصفح فايرفوكس (كامتداد) ، Linux CLI ، Android إلخ.

كيف تعمل:

تحذير - المصطلحات التقنية في هذا القسم! أنت تزود   PasswordMaker اثنين من المعلومات: "كلمة مرور رئيسية" - ذلك   واحد ، كلمة مرور واحدة تريد - وعنوان URL الخاص بالموقع يتطلب   كلمة السر. من خلال سحر خوارزميات التجزئة أحادية الاتجاه ،   يحسب PasswordMaker رسالة الملخص ، والمعروف أيضًا باسم الرقمي   بصمة الإصبع ، والتي يمكن استخدامها ككلمة المرور الخاصة بك لموقع الويب.   على الرغم من أن خوارزميات هاش ذات اتجاه واحد لديها عدد من مثيرة للاهتمام   الخصائص، واحد كبير من جانب PasswordMaker هو أن   البصمات الناتجة (كلمة المرور) لا "تكشف أي شيء عن   المدخلات التي تم استخدامها لتوليد ذلك ". وبعبارة أخرى ، إذا كان شخص ما لديه   واحد أو أكثر من كلمات المرور الخاصة بك ، هو حسابيا   غير ممكن بالنسبة له لاشتقاق كلمة السر الرئيسية الخاصة بك أو لحساب الخاص بك   كلمات المرور الأخرى. يعني الحاسوبية غير المجدية حتى أجهزة الكمبيوتر مثل   هذا لن يساعد!


9
2018-06-05 13:59





أنه محفوف بالمخاطر على الثقة ا تطبيق طرف ثالث لتخزين كلمات المرور المهمة خاصةً تلك التطبيقات المحتملة قادرة على الاتصال عبر الإنترنت أو تلك التي تأذن لهم بها الوصول إلى العمليات من برنامج آخر ؛ والأهم من ذلك على الثقة غير مفتوح المصدر منها.

طريقة أكثر أمانًا ، في رأيي ، هي تخزين كلمات المرور المهمة في ملف نصي (.TXT) ثم تشفير الملف باستخدام خوارزمية AES بواسطة dsCrypt.exe. أنت مطالب بإدخال كلمة المرور الرئيسية في dsCrypt مرة واحدة فقط وستكون قادرًا على ذلك فك تشفير أنت كلمة المرور ملف نصي عدة مرات دون أن يطلب منك إعادة إدخال كلمة المرور الرئيسية في كل مرة طالما يتم تشغيل dsCrypt. يمكنك تشغيل dsCrypt تلقائيًا مع بدء تشغيل Windows وإدخال كلمة المرور الرئيسية الخاصة بك مرة واحدة ؛ وما تحتاجه هو فقط ل السحب والإسقاط ملف كلمة المرور (.txt) على dsCrypt to de / encrypt it عندما تحتاج كلمات المرور الخاصة بك.


4
2018-03-27 22:26



استبدال dsCrypt بـ PGP / GPG ، ومشتقات TrueCrypt ، و LUKS ، وما إلى ذلك سيكون جيدًا تمامًا ، - Xen2050
ولكن هناك خلل في إجابتك: dsCrypt.exe هو برنامج طرف ثالث :-)! أنا أفضل أن أثق في برنامج مفتوح المصدر ، والذي يمكنني إعادة ترجمة ، على إكس - spiritoo


انصح KeePassXC وهو شوكة مجتمعية من KeePassX، وهو منفذ عبر منصة الأصلية KeePass كلمة المرور آمنة، مع هدف لتوسيع وتحسينه مع ميزات جديدة و bugfixes لتوفير ميزة عبر منصة غنية بالكامل ، ومدير مفتوح المصدر الحديث.

هذا العميل يوصى به أيضا المراقبة الذاتية للدفاع.

الخصائص الرئيسية KeePassXC:

  • تخزين آمن لكلمات المرور والبيانات الخاصة الأخرى باستخدام تشفير AES أو Twofish أو ChaCha20
  • عبر النظام الأساسي ، يعمل على Linux و Windows و MacOS بدون تعديلات
  • توافق تنسيق الملف مع KeePass2 و KeePassX و MacPass و KeeWeb وغيرهم الكثير (KDBX 3.1 و 4.0)
  • تكامل عامل SSH
  • اكتب تلقائي على جميع الأنظمة الأساسية المدعومة لملء استمارات تسجيل الدخول تلقائيًا
  • ملف مفتاح ودعم تحدي YubiKey للأمن إضافية
  • جيل TOTP (بما في ذلك Steam Guard)
  • استيراد ملف CSV من مديري كلمات مرور آخرين (على سبيل المثال ، LastPass)
  • واجهة خط الأوامر
  • كلمة المرور المستقلة ومولد عبارة المرور
  • قوة كلمة المرور متر
  • أيقونات مخصصة لإدخالات قاعدة البيانات وتنزيل رموز مواقع الويب
  • وظيفة دمج قاعدة البيانات
  • إعادة التحميل التلقائي عند تغيير قاعدة البيانات خارجيًا
  • تكامل المستعرض مع KeePassXC-Browser لمتصفح Google Chrome و Chromium و Vivaldi و Mozilla Firefox.
  • (Legacy) دعم KeePassHTTP للاستخدام مع KeePassHTTP-Connector المتاح لكل من Mozilla Firefox و Google Chrome ، و passafari لـ Safari.

0
2018-04-26 16:46





أستخدم المفكرة وملفات txt. إذا كنت تريد نصيحتي ، أنصحك بعدم استخدام sodtware طرف ثالث. من أين تعرف أنهم لا يسرقون كلمات المرور الخاصة بك؟
لذا فإن استخدام الملفات النصية سيكون الأفضل.
أيضا إذا كنت مبرمجا ، أقترح عليك بناء واحد بسيط لنفسك يستخدم الترميز لتأمين البيانات. هذا هو الحل الأفضل.


-4
2017-09-26 16:46



سوف أواجه فرصتي في أن تكون قاعدة بيانات مدير كلمات المرور المشفرة أكثر عرضة من ملف النص العادي ، حيث ستتم حصادها من خلال الجزء التالي من البرامج الضارة التي تقوم بالبحث السريع عن جهاز الكمبيوتر الخاص بي للكلمة كلمه السر. - Twisty Impersonator
على الأقل تشفير ملف النص العادي الخاص بك مع gpg / pgp أو شيء ما ، اى شى، ثم تذكر أن كلمة مرور واحدة - Xen2050