Gdzie trzymacie i jak często wymyślacie nowe hasła?

Mam wrażenie, że włamy na nawet spore serwisy się coraz częściej zdarzają. ZTCP to 4p niedawno zaliczyło wpadkę :P a teraz np LinkedIn, który jest niby dla 'profesjonalistów': http://niebezpiecznik.pl/post/wyciek-6-5-miliona-hashy-hasel-z-linkedin/

Co chwilę wyciekają jakieś hasła z jakiegoś serwisu i trzeba te hasła zmieniać, jak również pasuje generować osobne hasło do każdego serwisu. Mając wiele różnych haseł nie idzie ich spamiętać, a więc trzeba gdzieś zbiorczo zapisać w jakimś zasobie (pliku zawierającego np bazę danych). A co jeśli ten zasób nam wycieknie? Zwykle stosuje się więc hasło główne i/ lub dane jako klucz. A co jeśli zapomnimy głównego hasła albo zgubimy dane klucz, lub nośnik na którym jest ten klucz się zepsuje?

Napiszcie jakie macie sposoby na przechowywanie haseł i z jakich programów do zarządzania hasłami korzystacie.

lastpass.com. Są wtyczki do wszystkich przeglądarek.
Gorzej jak ich baza wycieknie :]

Napisałbym gdzie trzymam ale boje się...
Wymyślać nowe? Nie żartuj. Nie chciało by mi się zmieniać. Od pewnego czasu mam system haseł i praktycznie na każdej stronie mam inne - ciężko je wszystkie spamiętać, a raczej łatwo pomylić.

Gdzie ? We głowie.
Jak często ? Różnie :)

Wibowit napisał(a):

Mając wiele różnych haseł nie idzie ich spamiętać

Bez przesady, jak się sensownie wymyśla hasła, to się zapamięta. A nawet jeśli się zapomni, to zawsze gdzieś jest link do przypominania. Najważniejsze, to nie zapomnieć hasła do GMaila.

W ogóle nie trafia do mnie koncepcja chronienia wielu haseł jednym i trzymania w pliku u siebie, albo co gorsza na jakimś zewnętrznym serwerze. Brzmi równie rozsądnie jak seks bez zabezpieczenia z narkomanem na Dworcu Centralnym.

KeePass z wtyczką KeeFox do Firefoksa. Większość haseł sobie generuję (znam tylko te, do których muszę mieć dostęp bez bazy), baza jest chroniona dość silnym hasłem i plikiem-kluczem, wszystko lokalnie (w przeciwieństwie do np. LastPassa). Do stron loguję się jednym kliknięciem, haseł nie zapominam (bo nie muszę pamiętać).

@somekind, możesz powiedzieć, dlaczego uważasz takie rozwiązanie za niebezpieczne? Albo bardziej bezpieczne od jednego hasła do wszystkiego? Albo — dlaczego przypominanie sobie haseł gmailem jest bezpieczniejsze? Przecież na jedno wychodzi: dostęp do poczty == dostęp do wszystkich pozostałych stron. A żeby włamać się do bazy KeePassa, potrzeba fizycznego dostępu do kompa.

Co się stanie, gdy użytkownik zaufa takim narzędziom, a potem straci plik z hasłami do wszystkiego, łącznie z kontem pocztowym?

KeePass jest otwarty, można sobie przejrzeć źródła i samemu zbudować. W dodatku jest to raczej popularne i sprawdzone narzędzie, równie dobrze Google może ci ukraść konto.
A jeśli chodzi o przypadkowe stracenie, to w KeePassie można sobie ustawić trigger przy zapisie na robienie backupów. Wystarczy trochę ostrożności.

Aha, są też do niego wersje mobilne i portable, więc to samo można mieć w telefonie / na pendrivie. Problemem może być synchronizacja, bo nie ma chmury (jest jedynie opcja synchronizacji z ftp/http, ale nie wiem, jak działa).

Wydrkujcie sobie to na kartce, zapiszcie na telefonie i oby wam to nie zgineło :d

Hasła idą według prostego generatora :) Łatwe do zapamiętania, 12+ znaków tam gdzie można :) Zmiany? Raz w miesiącu, ale tylko tam gdzie mam wrażliwe dane - bank, system, google.

Moje hasło jest napisane wielkimi literami na pulpicie. To znaczy napisane jest słowo, na podstawie którego generuję hasło. Zmieniam raz na miesiąc, wiec i klucz zależy od obecnego miesiąca.
Jak zapomnę hasła, sprawdzam kombinację dla obecnego miesiąca, dla poprzedniego i ewentualnie dla przyszłego (czasem w niektórych miejscach zmieniam hasło wcześniej).
Mam też jedno hasło śmieciowe, którego używam wszędzie tam, gdzie prawdopodobnie nigdy więcej nie zajrzę (jakieś fora, blogi, na których trzeba się logować by skomentować). Całkiem oddzielne własne (i przez to zmieniane znacznie rzadziej) mam hasła do google'a i do kont bankowych.

KeePass synchronizowany przez SkyDrive pomiędzy komputerami.

Ale hasło do poczty, banku, systemu i paru innych miejsc po prostu pamiętam.

najfajniej mają ludzie nieogarnięci w biurach, urzędach itp.. Szef każe zmieniać hasła co miesiąc? Ok, żaden problem więc dziś będzie hasło: czerwiec07, za miesiąc lipiec07, później sierpien07 :D :D
Tak mi kolega opowiadał i to masowo w wielu firmach/instytucjach tak mają. Raz mówił, że wywalił stary kalendarz i powiesił nowy bo już był kolejny rok, a facetka go pyta gdzie tamten kalendarz bo ona jak na niego spojrzała to wiedziała jakie ma hasło do kompa xD myślałem, że dostanę krwotoku rozległego jak to słyszałem :P

Ja swoje hasła mam w głowie, co innego, że czasem się mieszają, ale to już mniejszy problem. Kiedyś na kompie zapisywałem z wykorzystaniem steganografii w obrazku :)

Do serwisów niekrytycznych (4p, jakieś fora, czy część sklepów internetowych) mam jedno i to samo hasło.
Do serwisów, których rejestruje się, bo bez rejestracji czegoś tam nie mogę i koniecznie chcą mój e-mail, którego nigdy nie sprawdzam - daję kolejne hasło, na ogół identyczne jak login, jak nie pozwala - dopisuję jedynkę, jak nie pozwala, to 10x "q", jak nie to mam gdzieś ;P
Do rzeczy krytycznych - bank, kontenery truecrypta używam superdługiego hasła, małe/duże znaki, cyfry itp., prawie takiego samego - wymieniane jest tylko jedno słowo.

Ale ostatnio zdecydowałem się do każdego serwisu na którym mi jako tako zależy - np. konto SkyDrive gdzie trzymam backupy, allegro, konta hostingowe - wymyślam sobie hasło, składające się z kilku słów, układających się np. w zdanie. Haseł tych nie idzie spamiętać, więc przechowuję je w Notatkach w Operze :P (oraz używam opcji Zapamiętaj Hasło) - z tym, że dysk mam szyfrowany jak coś.

Przykłady ciekawszych haseł:
allegroToChuj1 - po problemach ze zmianą hasła (limit do 16 czy 12 znaków (ale pisze tylko "za długie"), jakieś dziwne zasady układania haseł, niedziałający formularz zmiany hasła - i przez to przypadkowa zmiana hasła na jakieś "aaaaa5") - ofc hasło jest już inne.
NazwaFirmy_trzyma_hasla_w_plaintext - po tym jak zapomniałem jakiegoś hasła i w przypomnieniu mi przyszło wpisane hasło :/

Ja hasła trzymam w plikach tekstowych na pulpicie. Zmieniam może raz na rok. :D

ja stosuję 3 hasła w zależności od tego jak bardzo mi zależy żeby nie stracić danych

w serwisach typu 4p i innych śmieciowo założonych mam jedno proste słowo / do złamania słownikowo w 4 sekundy
do kont na których mi trochę bardziej zależy, lub zapłaciłem za nie mam hasło ustawione na dwa krótkie słowa; duże/małe litery + 2 znaki specjalne
do poczty, banków stosuję połączenie dwóch pierwszych haseł + jakiś dopisek (unikalny dla każdej strony, nie jest tych stron dużo więc idzie spamiętać)

zmieniam tylko to trzecie hasło (a właściwie tylko ten dopisek) i to też niezbyt często

kiedyś w każdym serwisie miałem hasło wygenerowane na zasadzie <hasło główne> + <parę pierwszych liter nazwy serwisu> ale stwierdziłem że to nie ma żadnego sensu (jeśli ktoś by poznał jedno z moich haseł to i tak pewnie by się zorientował jak je dopasować do innych serwisów)

z lastpass próbowałem korzystać, ale wydaje mi się zbyt niewygodne; poza tym tych dłuższych haseł i tak bałem się tam wpisać

ja mam dwa różne proste hasła do śmieciowych serwisów. a do tych co mi bardziej zależy jedno proste, ale dość długie (koło 20 znaków). Wychodze z założenia, że i tak w większości przypadków jeśli się ktoś włamie to nie dlatego, że znał hasło więc mi aż tak bardzo nie zależy. Od czasu do czasu zmieniam te długie hasło i czasem jedno z tych krótszych (drugie proste jest zawsze takie same :P)

unikalna_nazwa napisał(a):

w serwisach typu 4p i innych śmieciowo założonych

WIN! :D

W kwestii "bezpiecznych" haseł. Kumpel mnie poprosił o napisanie narzędzia, który na podstawie nazwy/domeny serwisu + hasła własnego (zawsze ten sam string) generuje hasło. No to użyłem mojej ulubionej funkcji - md5 i przygotowałem prosty generator, mniej więcej coś takiego:
Tajne hasło:
[ ***** ]
Nazwa domeny/serwisu:
[ dupa.pl ]
No i potem skrypt łączy oba stringi, dorzuca (stałą) sól (wiem, że to bezcelowe), wycina 16 znaków z wygenerowanego hasha.
Takie hasło jest potem używane w serwisie. Sadzę, że gdyby potem ktoś dostał w plaintekście takiego 16znakowca to i tak z połowy hasha nie jest w stanie wygenerować pierwotnego stringa, nawet jeżeli wiedziałby, w jaki sposób został wygenerowany, by potem na jego podstawie podmieniać sobie nazwę domeny/serwisu.
Wydaje mi się to bardzo rozsądne, ale jednocześnie bardzo wygodne - jak nie jesteś małym inteligentnym chińczykiem z fotograficzną pamięcią to jeżeli nie chcesz używać opcji zapamiętania hasła, bądź logujesz się w nowym miejscu - musisz zawsze używać tego narzędzia.

Ja korzystam z generatora haseł do sieci domowej w Windows a trzymam w głowie bądź zabezpieczonym wzorkiem, pinem i hasłem folderze w telefonie ;)

Wszędzie mam hasło 'admin1' :)

a ja mam proste algorytmy do haseł: tam gdzie trzymanie haseł ze spacjami i o dowolnej długości jest możliwe moim hasłem jest dość długie zdanie, zależne od kontenstu strony, które mogę łatwo zapamiętać. jesli nie pozwala na spacje i jest w jakiś sposób ograniczone, to generator mam prosty bazujący na nazwie strony i moim loginie. generowene hasło ma 8-12 znaków w zależności od potrzeb.

hasła do serwisów krytycznych, piny do kart itp mam generowane innym kluczem, ale takim aby mi gwaratnował że wystarczy jeden rzut oka i wiem jakie jest hasło, ale żeby nie było sposobu na łatwe odgadnięcie go przez osobę postronną.