Парольные менеджеры обладают рядом существенных преимуществ перед подходом с мнемоническими паролями.

Во-первых, как это ни странно, большее удобство ввода пароля — за счет дополнительных плагинов к браузерам. Необходимо запомнить только один мастер-пароль, который будет набираться единообразно на разных платформах.

Во-вторых, в привязке к конкретному ресурсу можно хранить и другую информацию, например, использованный номер телефона для двухфакторной аутентификации, контрольные вопросы для восстановления и ответы на них, привязанный ящик электронной почты, и прочая, прочая...

В-третьих, можно сохранять для одного и того же ресурса несколько аккаунтов.

В-четвертых, нет привязки к веб-ресурсам, ведь сохранить парольную информацию вы можете для любого приложения или вообще для сторонней железки, того же роутера.

В-пятых, современные парольные менеджеры — вещи существенно более функциональные, нежели банальные запоминалки паролей. Можно хранить любую конфиденциальную информацию, для удобства определяя собственные поля. Например, в случае банковского счета можно указать необходимые для зачисления реквизиты, а для транспортного средства — VIN и данные свидетельства о регистрации. А заодно и дату последнего ТО с перечнем всех парт-номеров. А можно записать регистрационный ключ к какой-нибудь софтине. Или СНИЛС. Или mac-адреса устройств в домашней сети.

Естественно, возникает закономерный вопрос — а что будет в случае атаки MitM или вообще компрометации места хранения? В случае современных парольных менеджеров — вообще ничего. Ибо в сети (облаке) хранится только зашифрованный файл, расшифровывается он при локальном доступе на клиентском устройстве. В расшифрованном виде не хранится ничего. Более того, все нормальные парольные менеджеры имеют базовый набор обеспечения безопасности, как-то очистка буфера обмена, автоблокировка при неактивности, в случае мобильных версий — скрытие изображения основного окна.

Естественно, парольный менеджер будет совершенно беззащитен в ситуации заражения кейлоггером — но тут уже, как говорится, поздно пить боржоми. Если у вас пишется вся клавиатурная активность, а в придачу и экран — пароли будут скомпрометированы при любом раскладе.

Из собственного опыта могу порекомендовать KeePass (есть форки KeePassX, KeePassXC). GPL со всеми вытекающими. Есть варианты для Андроида, лучшим из которых, на мой взгляд, является Keepass2Android Password Safe.

Либо Enpass, который мне нравится больше с точки зрения интерфейса. Тоже кроссплатформенный, но закрытый и местами платный.

Привет

Хотелось бы поделиться пару лайфаков, как упростить себе жизнь на компьютере. Уже 10 лет фрилансер, и практически весь мой день у компьютера, и так как лень двигатель прогресса, однажды пришлось посидеть подумать, как облегчить себе жизнь. И за 10 лет я оттачивал эти моменты до самого логичного и простого результата. И хотелось бы поделиться с вами такими вещами:

- Как систематизировать все проекты, без названий 99_final_5_ final.PSD и легко находить их по именам, датам, заказчикам и последним версиям проектов, разных вариантов.

- Как я сократил процесс поиска проектов на фрилансе по времени до минимума и простым действием поднял свой ценник на свои услуги.

- Как хранить много личных фотографий на компьютере и легко находить их потом в нужный момент

Но это будет в следующих постах. А сейчас расскажу, как я избавился от запоминания паролей. Возможно, подобный пост уже был, но всегда он был расписан как-то не до конца, да и вдруг это кому-то будет в новинку. Постараюсь быть кратким, но букв все равно много получилось, цель:

- Должно быть более 8 символов

- пароль должен быть однотипным на запоминание на всех сайтах

- чем то все таки отличатся от друг друга на разных сайтах

- содержать букву (заглавную и строчную), цифру, и символ

- и пару раз натыкался на такую вещь, как первая буква пароля должна быть буквой.

В итоге мой пароль выглядит так:

Заглавная буква + набор цифр + символ + строчная буква

Разбираем:

-чтобы было проще запомнить, «набор цифр + символ» мы делаем одинаковую на всех сайтах. Для примера возьмем: 139742685!

-Букву заглавную и строчную мы берем из заголовка сайта, первую и вторую букву, например для pikabu.ru это будет заглавная «P» и строчная «i»

В итоге имеем пароль:

P1397426845!i

Пример для yandex.ru

Y1397426845!a

А теперь тонкости:

- но иногда существуют вот такие домены третьего уровня, например почта mail.google.com Мы всегда берем буквы со второго(второй справа) главного домена, т.е google, и получаем пароль G1397426845!o Так мы получим один пароль на всех сервисах гугла. Зайдя на «гугл диск» drive.google.com аккаунт остается тот же, как и пароль.

- есть сайты по типу 3ddd.ru, т.е первая цифра, то тут мы пропускаем цифру и берем буквы «D» и «d», хоть они и одинаковые, в итоге пароль D1397426845!d

- есть сайты только с цифрами 74.ru, тут мы берем английские буквы первой цифры 7 = seven, думаю до 10 все умеют считать=) и пароль получаем S1397426845!e

-Если в домене сайта одна буква и цифра, например u2.com, то берем одну букву «U» и как в предыдущем пункте букву «t» из слова two = 2, получаем U1397426845!t

- А теперь посмотрим на цифры 139742685 Обратите внимание, кажется, что цифры идут в хаотичном порядке, но попробуйте их набрать на правой добавочной клавиатуре, и вы поймете, что они идут как бы по кругу, набирать их в слепую очень легко, т.е в итоге запомните не цифры, а как движется рука, в моем варианте круговые движения.

Но беда в том, что на телефоне этого круга нет и пароль все равно надо будет запомнить, но лично я работаю на компе, и таким образом набрать цифры куда быстрее.

-Если вдруг в пароле нельзя использовать символ, то просто его убираете из пароля. При регистрации и при авторизации он вам тоже напомнит, что символы использовать нельзя, и так же введете его без символа.

Ну и самый проблемный вопрос, если сайт потребует поменять пароль?

тут мы действуем просто, в конец пароля добавляем цифру:

- старый P1397426845!o

- новый P1397426845!o2

Если потребовалось снова сменить пароль:

- новый P1397426845!o3

и так далее.

как же потом вспомнить какую цифру мы использовали? Да все просто, так как я знаю что у меня все пароли идут по этой системе я просто сначала ввожу стандартный пароль, и если он пишет, что пароль не верный, начинаю перебор пароль с цифрой 2 пароль, с цифрой 3 и т.д

В итоге, такими методами я полностью избавился от запоминания разных паролей на всех сайтах и сделал пароль скоростным к набору.

Страшилка: у вас может возникнуть вопрос, что если администратор сайта увидит ваш пароль, поймет что буквы берутся с названия (домена) сайта и воспользуется этим по аналогии на других сайтах. То сообщаю, что на большинстве сайтах пароли не хранятся в том виде, в котором вы их вводите. Они хэшируются (превращаются в хаотичный набор цифр и букв) и в таком виде они хранятся в базе данных на сайте. И когда вы пытаетесь авторизоваться на сайте, он снова хеширует пароль, который вы только что ввели, и сравнивает эти два хаотичных числа, если они одинаковы, то он вас авторизует. Обратно эти хаотичные цифры в пароль превратить невозможно. Узнать пароль можно только посредством перебора, поэтому пароли 12345 очень быстро можно подобрать, а такие как P1397426845!o займут вечность для тех, кто решился их подобрать.

Надеюсь пост будем вам полезен, а я вскоре напишу еще посты выше указанных тем.