web-dev-qa-db-ja.com

すべてのパスワードを管理する最良の方法

さまざまな種類のパスワードを保存するための最良の解決策を理解しようとしています:

  • 個人用パスワード(個人用メール、会社のメール、Amazonなどを購入するために使用するすべてのサービスなど)

  • 私のビジネスパスワード(私のビジネスの実行、収穫、Googleアプリ、Slack、Deploybotなどに使用されるすべてのツール)

  • 私のクライアントのパスワード、彼らが使用するために私と時々共有する彼ら自身のサービス(Amazon AWS、彼らが私のために作成するいくつかのメールアカウント、彼らがSalesforceのように使用する他のいくつかのツールなど)。

それらすべてを統治するためのツールを見つけられないことは確かですが、同じ状況に対処するためのアドバイスや経験をお聞きしたいと思います。

編集:

私の元の質問から3年以上が経過した後、私は@dotancohenが推奨するLastPassを使用していて、無料のアカウントであっても、私が説明したほとんどのユースケースを本当に解決しています。

passwordspassword-managementtools
29
Lautaro Rosales

正確な使用例として、私は個人的に Lastpass を使用しています。 Lastpassのキラー機能には、各クライアントのパスワードを区分化して、お互いのパスワードと自分のパスワードを分離する機能が含まれています。また、私の意見では、最高の ブラウザアドオン統合 があり、データを保存してオフラインで使用することもできます。

私は好きです パスワードPBKDF2の反復を増やします これは、平均的なユーザーよりもクラックするのが少し難しくなるので、私が制御していないコンピューターではサービスを絶対に使用しません。

12
dotancohen

最も簡単な方法は、複数のデータベースを使用することです。 KeePassなどのツールを使用すると、パスワードをさまざまなファイルに保存できます。たとえば、クライアントまたは目的に基づいて、別々のデータベースにパスワードを保存することを選択できます。

26
Lucas Kauffman

個人パスワードについては、ブラウザに組み込まれているパスワードマネージャを使用してみませんか?たとえばFirefoxでは、データベースを暗号化するマスターパスワードを設定することもできます。そのため、ブラウザを開くたびに入力する必要があります。

私はこれを答えとは思わなかったので、気づいていない深刻なセキュリティリスクがあるかどうか疑問に思っています。

他のパスワードについても、上記のように KeePass をお勧めします。これはクロスプラットフォームであり、かなり成熟したプロジェクトであり、パスワードを管理する多くの機能があります。また、クライアントの情報(暗号化されたものも含む)をサードパーティのWebサイトに保存することは、セキュリティ上のリスクとなるだけでなく、一部の国では違法となる場合もあります。

3
G. Kaklam.

6か月前、私はあなたと同じ状況にありました。私はすべてのパスワードをMySQLデータベースに保存していましたが(まったく安全ではありません)、Pythonスクリプトを使用してパスワードを抽出しました。これは目的を解決するための良い方法ではありませんでした。
現在、1passwordを使用してすべてのパスワードを1か所で管理および保護し、マスターパスワードで暗号化しています。

3
Sanidhay

pass が好きです。私はそれがすべての人向けではないことを理解しています(Linux用であり、ブラウザー統合やモバイルサポートなどの優れた機能がないため)。ただし、これが気に入っている理由は、gitgpgのラッパーにすぎないことです。彼らは、数十年とまではいかなくても、数年にわたって巨大なコミュニティによって吟味されてきました。スクリプト自体は読むのに十分短いです。 gpg-agentを利用できます。オンデマンドで単一のパスワードを復号化し、限られた時間の間それらを直接クリップボードにコピーできます。データベースはPGPキーで高度に暗号化されており、githubに安全に保存できますが、必要に応じて複数のコンピューターを異なる方法で同期することを選択しました。

2
Volker

私は単にGoogle Chromeに含まれる優れたパスワードマネージャを使用します。

  • Google Chromeが私のブラウザです。
  • パスワード管理が組み込まれています。
    • 便利で簡単です。
  • Webアプリケーションのパスワードはすべて保存されます。
  • 同じサイトの複数の資格情報を保存できます。
    • サインイン時にそれらのいずれかを選択できます。
  • 基盤となるオペレーティングシステムの資格情報管理システムと統合します。
    • ローカルセキュリティの強化。
    • パスワードをプレーンテキストで表示する前に、ローカルユーザーのパスワードを要求します。
  • Googleアカウントとの同期。
    • パスワードはどこでも利用できます。
  • すべての主要なデスクトップおよびモバイルオペレーティングシステムでシームレスに動作します。
  • Google Smart Lockで動作します。
    • 保存したパスワードを使用してモバイルアプリケーションにサインインできます。
    • Googleアカウントを使用してパスワードを表示および管理できます。
  • 必要に応じて、パスワードデータベース暗号化用の独自のパスフレーズを提供できます。
    • Googleはデータを見ることができません。
    • Smart Lockを解除します。
  • 独自のパスワードジェネレータが含まれています。
    • すべてのユーザーが簡単にできるようにすることで、セキュリティを全般的に向上させます
      • サイトごとに一意のランダムパスワードを生成します。
      • 彼らを助けろ。
      • すぐに忘れてください。
    • 適切なパスワードの選択と管理方法を奨励します。
    • フィッシング攻撃に対する脆弱性を減らします。
    • 特定のパスワードが侵害された場合の被害を制限します。
    • 他のすべてのセキュリティ対策と組み合わせると、安心感が高まります。
      • 個人ユーザー向け。
      • セキュリティを担当するシステム管理者向け。

ChromiumのセキュリティFAQ

Firefoxには、優れたパスワードマネージャも付属しています。一部の特定のサイトとIDに使用しています。また、パスワードをFirefoxアカウントと同期させることもできるため、非常に便利です。

Firefox|Google Chrom{e,ium}などのブラウザにこれらの機能がすべて組み込まれている場合、LastPassなどの理由でpayingを正当化できません。それらは永遠に存在し、どんどん良くなっていきます。

pass 私のプログラマには魅力的です。シンプルさと、GNUプライバシーガードとGit、私が個人的に使用して愛しているテクノロジー)に基づいている点は美しいと思います。残念ながら、現在Windowsを実行しています。

0
Matheus Moreira