Podczas przeglądania internetu do zarządzania swoimi danymi używam aplikacji 1password (to taki manager zarządzania hasłami dla Mac OS – podobnych programów jest całkiem dużo), zajrzałem ostatnio do środka tego programu i okazało się, że nazbierał on już 78 różnych haseł do serwisów w których się rejestrowałem (podejrzewam, że nie jestem rekordzistą czy też jakimś specjalnie odosobnionym przypadkiem). Nie rejestruję się do każdego serwisu jaki napotkam ale i tak z odwiedzanych przeze mnie stron społecznościowych, sklepów itp i tak nazbierało się tego dość sporo. Muszę również przyznać, że jeśli jest możliwość to korzystam z openid czy też facebook connect ale oba te nazwijmy to standardy są na razie bardzo rzadko spotykane w sieci.
Pamiętam, że chyba rok 2007 miał być rokiem OpenID, rok 2008 z pewnością nim nie był ale powstał za to facebook connect który ma pomóc nam w zarządzaniu naszymi danymi i przy rejestracji w różnego rodzaju serwisach. I wszystko było by pięknie gdyby nie fakt, że Facebook jak na razie nie jest jeszcze tak popularny w Polsce aby właściciele stron internetowych integrowali z nim swój proces rejestracji i logowania.
Czy więc rok 2009 będzie rokiem łatwiejszego zarządzania naszymi danymi i hasłami?
Mam ogromną nadzieję, że tak będzie bo w przeciwnym wypadku sytuacja z kontrolą naszych danych w internecie będzie coraz trudniejsza. Wprawdzie mamy wiele rozwiązań typu 1password ale moim zdaniem jedynym skutecznym rozwiązaniem będzie ustalenie powszechnie używanego standardu (o ile oczywiście jest to możliwe i internetowi giganci będą zainteresowani współpracą)
A może potrzebne jest zupełnie inne spojrzenie na proces rejestracji w serwisach internetowych? Może powinny zmienić się niektóre przepisy i prawo definiujące obowiązku dostawcy usług ?
Ciekawy jestem jak wy radzicie sobie z zarządzanie hasłami i własnymi danymi, czy wspomagacie się też jakimś programem desktopowoym a może korzystacie z jakiegoś serwisu internetowego (mi jest jakoś trudno zaufać takim rozwiązaniom)?
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Faktycznie mało. W KeePass mam 575 wpisów :) W Firefoksie podejrzewam, że jest więcej, bo KeePass zawiera jedynie najważniejsze loginy i hasła. Co do systemów typu OpenID, to nie jestem zwolennikiem tego rozwiązania. Zdecydowanie wolę większą kontrolę nad moimi “credentials” ;)
Ja korzystam na prywatnym desktopie z zapamiętywania haseł w Firefoxie, natomiast jeśli mam potrzebę zalogowania się gdzieś z dala od domu to mam specjalnie spreparowany plik w Google Docs i tam zawsze mogę sobie podejrzeć co do czego :)
Pytanie z czystej ciekawości — dlaczego ten wpis posiada tagi: „microsoft”, „google” i „yahoo”?
Dla mnie jak na niespełna miesiąc czy dwa korzystania z takiego programu to dość sporo – ale jak widać po twoim wyniku to, rzeczywiście jestem dość oszczędny jeśli chodzi o ilość rejestracji :)
Powiało mi hipokryzją… Skoro tak apelujesz o OpenID, to dlaczego nie zaimplementujesz go tutaj, dla komentarzy?
Wasacz – jaką hipokryzją? Po co ty chcesz się na blogu logować i do czego ? Poza tym raz miałem plugin OpenID i niestety nie działał on najlepiej.
Ja tam się cieszę, że nikt mnie nie zmusza do korzystania z jednego hasła do kilku stron. Hasła trzymam na papierze. Na trzymanie ich w sieci nigdy bym się nie zdecydował, podobnie z desktopem. Nie używam też nigdzie zapamiętywania, ba, denerwuje mnie nawet zapamiętywanie loginów. Centralizacja bezpieczeństwa jest zuaaa, a jak nie jest, to kiedyś zacznie, gdy już większość będzie miała jedno wygodne hasło do banku, lodówki i drzwi wejściowych.
Proszenie sie o openID czy jakiekolwiek inne podobne rozwiazanie jest proszeniem sie o wielkie klopoty. Wyobraz sobie, ze ktos zaataktuje albo przejmie dostep do serwerow openID – co wtedy? Wyobraz sobie, ze serwery openID beda mialy problemy z łączem – co wtedy? Wyobraz sobie, ze ktos ukradnie Twoje JEDNO haslo na jakimkolwiek slabo zabezpieczonym serwisie – ukradnie wtedy tez cala Twoja tozsamosc.
W przypadku braku openID kiedy ktos pozna haslo do jednego serwisu gdzie jestes zarejestrowany, to nawet zakladajac ze w 10 innych bedziesz mial ustawione identyczne, po pierwsze – musi odgadnac gdzie jestes zarejestrowany, po drugie musi sie do kazdego z nich z osobna zalogowac, zmienic maila i zmienic haslo. To zabiera czas, masz szanse zareagowac jak tylko zauwazysz ze cos jest nie tak i masz duze szanse ze uda Ci sie odzyskac konta.
W przypadku gdy mialbys cos na wzor openID gosc zmienia jedno pole w formularzu (email) i nie odzyskasz zadnego ze swoich kont. Zagrozenia sa ogromne.
Ja używam do tego celu KeyChain Access. Także w Mac OS X.
ja póki co polegam na sobie – do ważniejszych systemów , np. gdzie mam uprawnienia admina (serwery, strony www, bios) wypracowałem prosty system budowania haseł z częścią stałą i zmienną, do mniej ważnych serwisów lub tam gdzie nie mam żadnej ‘władzy’ mam jedno hasło, korzystam też z zapamiętywania go w firefox i jakoś daję radę. Poza tym mam mały czarny notatnik na wszystkie ważniejsze hasła (np. banki, serwery) w razie gdybym nagle zapomniał swojego systemu :)
A jaki program do zbierania haseł możecie polecić? Jedyny warunek: musi działać pod Windows XP.
@Scrm – openID to tylko hasło (sam kiedyś pisałem o zagrożeniach związanych z standardem opneid)
@scrm
- część problemów z openid (tych technicznych) można obejść wiążąc go z własną, a nie cudzą domeną – w razie problemów dostawcy po prostu przełączysz backend (howto: http://notatnik.mekk.waw.pl/archives/120-Moje_wlasne_OpenId.html)
- włamanie na serwis, na który loguję się przez openid, nie daje włamującemu mojego hasła. Choć oczywiście może on spróbować zrobić phishingową stronę logowania openid – dlatego trzeba uważać, gdzie tak naprawdę ląduję w celu zalogowania się.
@Grzegorz
openId to nie do końca tylko hasło, część serwisów ma dodane usługi typu “historia logowań”. To ogólnie użyteczne ale np. może posłużyć do uzyskania info z czego korzystał użytkownik skompromitowanego konta.
@Ravicious KeePassX jest fajny i działa zarówno pod Windows, jak pod Linuksem. Są drobne różnice funkcjonalności ale podstawy są te same (i ten sam format bazy danych, można położyć na dzielonym dysku i używać to stąd, to stąd).
@Ravicious http://keepass.info/
Cóż, ja mam do użytku dwa różne hasła do wszystkich serwisów, czasem ewentualnie nieco przeinaczone, ale w każdym bądź razie są bazowe.
Gdy zapomnę jakiegoś hasła, patrzę także w pocztę, czy przypadkiem tam nie mam go. Jeśli nie mam – od czego jest funkcja “Zapomniałem hasła?” :)
Ja jestem zwolennikiem przechowywania haseł lokalnie. Już jakiś czas używam RoboForm wraz z Firefoxem (działa też z IE i innymi, z Operą nie).
Może w takim razie połączenie biometrii z hasłami: zintegrowane na kompie czytniki linii papilarnych “załączają się” w momencie wejścia na stronę… lub coś w tym stylu :) W każdym razie myślę, że mała jest szansa na to, że za 10-15 lat ktokolwiek będzie musiał pamiętać jakiekolwiek hasła.
IMHO tylko biometria ma przyszłość w tematach weryfikacji tożsamości…
Jak rozumiem chodzi o aplikacje typu SSO Single sign-on a nie 1password
http://en.wikipedia.org/wiki/Single_sign-on
Główne powody małej popularności tego typu rozwiązań są w zasadzie dwojakie:
1. Przechowywanie jednego hasła/profilu musi być bezpieczniejsze, bo jeśli ktoś włamie się do naszego profilu OpenID – to ma klucz do pozostałych. Dlatego liczy się, że karty chipowe lub podpis elektroniczny będzie takim OpenID
2. Dostawcy komercyjni i nie tylko usług/serwisów/portali nie są zainteresowani rozwiązaniami OpenID z prostego powodu. Dysponując bazą danych użytkowników – dysponują informacjami na temat potencjalnych klientów usług/produktów oraz bardzo cenną z marketingowego punktu widzenia bazą danych osobowych.
Niestety nie wyobrażam sobie na dobry program czy też witrynę do trzymania haseł. Program jest zainstalowany lokalnie – a co jeżeli pracujemy w kilku miejscach, np w firmie (gdzie jest dodatkowo polityka nie instalowania dodatkowego oprogramowani)?
Witryna – opisaliście wyżej :)
Mam 156haseł, mniej lub bardziej używanych. Na razie stosuję, jak najbardziej mogę, z pamięci – jak się nie da to z pliku.
Notatnik jest okejsiu pod warunkiem pisania haseł w notatniku zaszyfrowanych :D Chodzi mi o jakąś politykę np. ostatnia litera z małej na dużą (zmiana), litera na cyfrę, itd :) Chroni to też odgadnięcie haseł przez złodzieja notatnika :)
Ja używam SuperGenPass: http://supergenpass.com/
Jedno hasło do wszystkich serwisów.
Polecam Roboform i zapisywanie hasel w jakims pliku tekstowym zakodowanym TrueCryptem :)
Kilka dni temu zastanawiałem się też nad napisaniem artu o hasłach :) Sam mam ich ok 160szt. Jedne mniej, drugie bardziej ważne.
Moim zdaniem ani program, ani serwisy nie są najlepszym wyborem.
Program jest instalowany lokalnie – co w przypadku jeżeli pracujemy na kilku komputerach? Np w pracy (gdzie dodatkowo admin narzucił swoją politykę bezpieczeństwa i z instalacji softu na końcówkach nici? :))
Serwisom nie – bo już opisaliście wyżej :)
Jeżeli chodzi o notatnik jest okej – ale i tutaj się zabezpieczmy (np. przed kradzieżą). Ustalmy swoją politykę – np. ostatnia litera na jakąś cyfrę, lub też dana litera zmiana z małej na dużą…
Jak to mówią, przezorny ubezpieczony,
Z pozdrowieniami,
Apaczus :)
Po 1. żaden Facebook nie będzie wyznaczał standardów
Po 2. OpenID może jest wygodne, ale cholernie niebezpieczne
@Lukasz – w dyskusji podaje się jeszcze argumenty a co do Facebooka to zobaczymy – wystarczy, że swoją bazą dołączy do jakiejś inicjatywy.
Ja trochę inaczej do tego podszedłem. Generalnie mam dwa hasła: jedno które musi być bardzo mocne (np. do banków, poczty itp.), a drugie łatwiejsze, ale długie (do sieci bezprzewodowej, forów dyskusyjnych i całej reszty). To mocne jest złożone z losowo wygenerowanych 16 znaków (chciałem użyć 32 znaki, ale wiele serwisów i usług ma ograniczenia…) które są zapisane na jednej ze stron internetowych :-) Owe hasło wygląda mniej więcej tak: 1k3S62ddJK… I kiedy chciałem go użyć to wchodziłem na www i patrzyłem zapamiętując. Oczywiście znam już je na pamięć, więc z WWW hasło zniknęło. Drugie hasło “do całej reszty” składa się z 17 znaków które… mam wytatuowane na ręce :-)
ja tam zapisuje na takich malych zółtych karteczkach i przyklejam pod biurkiem