Како чувам лозинке и шта препоручујем за чување лозинки?

Дочекао ме је синоћ пун инбокс на ФеизБугу са питањима око чувања лозинки, па ево, овако одговора овде – да не понављам свима, шта ја користим, како и самим тим шта и препоручујем:

  • KeePass Password Safe Professional је бесплатан софтвер отвореног кода који се налази на локалном компјутеру и његова база са лозинкама је заштићена са мастер лозинком и једним кеy-фајлом и све што се чува кроз њега чува се у локалној бази података у једном фајлу – тако да је за бекап довољно сачувати тај један фајл негде….и тај један фајл је на шифрованој партицији (под BitLocker-ом)…тако да сам безбедан и ако неко мазне компјутер од некуд и некако.
    Кад сам на Линуксу користим овај програм кроз wine и ради одлично.
  • Синхронизација за другим компјутерима, телефоном и таблетом се ради аутоматски преко Јандекс Диск клијента и његовог централног складишта у клауду (cloudu). База на Јандекс Диску преко телефона је постављена у офлајн синхронизацију – тако да се све измене које направим на компјутеру одмах рефлектују и на телефону…али не и контра.
  • На телефону користим клијент за KeePass који се зове – Keepass2Android Password Safe и који ради само у read-only режиму а сам програм нема привилегије ни за шта – сем да чита и пише на складишту телефона тако да кад би аутор апликације и био малициозан и превеслао Гугл Продавницу некако – могао би у најгорем случају да ми обрише фајл са телефона што није никаква штета због једносмерне синхронизације.
  • Једном у месец-два…за сваки случај направим бекап ове базе са лозинкама – и тај бекап прво превучем у 7-зип на коме поставим једну лозинку па тај 7-зип уплоадујем на Гугл Драјв који се не синхронизује ни са чим али је под двостепеном аутентификацијом и једну копију оставим на компјутеру – дакле бекап је на два места.

Дакле, да би ми неко хакнуо лозинке да заврши ова три корака МИНИМУМ а с обзиром да KeePass програм још увек званично није хакнут како би се избегао логин мора да:

  1. Дође у посед те KeePass базе подата за лозинкама
  2. Да у њој дође до лозинке коју користим ту – а моје лозинке за те битне стварни су фазон IFgG&=+8H127d~
  3. Да дође у посед фајла који ми је key-fajl.

Да би тај неко дошао у посед KeePass базе са лозинкама мора или да ми хакне компјутер (који је иза фајлервола, 360 Total Security заштитног софтвера са BitDefender и Авира механизмом заштите, Firefox иза NoScripta, нон-администратор привилегије, BitLocker партиција за случај да неко украде латоп физички итд, итд, итд…) или да хакне Јандекс, који је узгред речено једна од највећих руских ИТ компанија (што је реално, велике фирме су свима мета)…или да ми хакне логин на Јандексу и некако добије приступ мом телефону како би видео SMS који добијам због двостепене аутентификације или да ми хакне друге уређаје који се синхронизују – а и кад дође до базе…не може ништа ако не зна главну (мастер) лозинку и фајл који користим за откључавање. Дакле минимум база, лозинка и фајл, свето тројство – ако има само два од ова три – не може ништа.

Дакле никакав LastPass (хакован већ 2 пута, $$$),  Dashline ($$$) и 1Password ($$$) и остали софтвери те намене – сасвим је довољан бесплатни KeePass који, признајем – није толико фенси и леп на око као рецимо LastPass – али је довољно безбедан.