אני מחפש תוכנה מומלצת לניהול סיסמאות. גם בתשלום במידת הצורך.

אני מעדיף משהו בפורמט של טוקן, כלומר תוכנה שיושבת על DOK ומכניסה את הסיסמה לאחר חיבור ה-DOK למחשב.

משהו מכיר תוכנות מומלצות בסגנון?

אני לא בטוח אם הבנתי את הבקשה שלך לגמרי. אתה מחפש תוכנה לניהול מספר סיסמאות כגון כאלו של חשבונות מקוונים, או תוכנה רק לצורך גישה לתוכן של מערכת מסוימת?

אם התכוונת לאפשרות הראשונה, אני באופן אישי יכול להמליץ על Keepass. תוכנה לניהול סיסמאות במבנה שגרתי - בסיס נתונים מוצפן שמכיל את כל הרשומות עם ממשק שמאפשר לך להעתיק את הנתונים באופן ידני או להדביקם באופן אוטומטי (כולל מנגנון סקריפטים פשוט שמאפשר לך להתאים את ההדבקה האוטומטית עבור רשומות שחורגות מהמבנה הטיפוסי של 'שם משתמש' ו'סיסמה' ומכילות שדות זיהוי/אימות נוספים). יש לה גם לא מעט פלאגינים להתממשקות עם דפדפנים ולהוספת פונקציונליות. תוכנה פשוטה ונוחה. קיימת בגרסת Portable כך שניתן לקחת איתה על החסן נייד לכל מקום. מומלץ ורצוי ליצור בעזרתה (מכילה מחולל סיסמאות מובנה) סיסמאות חזקות (אפילו מאוד חזקות) רק חשוב מאוד לא לשכוח לגבות את בסיס הנתונים.

אם רוצים שירות ענן שעושה את אותו הדבר אז Lastpass הוא מקום טוב להתחיל ממנו.

אם אתה מחפש סוג של Hardware Token לגישה אל כונן/מערכת, אני חושב, אך לא לגמרי בטוח, שאפשר לעשות את זה עם Truecrypt.

תודה על העזרה, אני אתחיל מזה ואקרא קצת.

יש מצב שזה עונה בדיוק לצרכים

מצטרף להמלצה על LASTPASS. בקשר לבחירת סיסמת העל:

http://xkcd.com/936/

נוצר database ראשוני, ונראה שזה עובד טוב.

יש דרך להפוך DOK לטוקן כך שהוא יהיה המפתח היחיד להצפנה של ה-database?

יש תוכנה שעושה כזה דבר? (הופכת DOK לטוקן)

בערך. ביצירת בסיס הנתונים אתה יכול לבחור את שיטות האימות שידרשו כדי לפתוח אותו. אתה יכול להשתמש באחת או במספר במקביל.

אחת מהן היא Keyfile. כלומר, אתה צריך לנווט לקובץ המפתח כדי שבסיס הנתונים ייפתח. אם תאחסן את הקובץ הזה על החסן נייד, הוא ישמש כמעין Hardware Token.

אם להתייחס לנושא באופן ענייני אז לדעתי זה מיותר. אני בספק אם המחשב של ידידה שלך הוא יעד מבוקש להאקרים והפריצה לחשבון שלה היא כנראה לא יותר מהתקפת Brute force אקראית שניצלה את חולשת הסיסמה הקודמת שלה. שימוש בסיסמאות חזקות (אפילו חזקות מאות, אני משתמש לפעמים גם בסיסמאות של 20-25 תווים כשזה נוגע למידע רגיש) ושימוש בסיסמה חזקה, אך שניתן לזכור אותה, להצפנת בסיס הנתונים זה די והותר למשתמש ביתי ממוצע ואין צורך לסרבל דברים יתר על המידה, כי בסוף סרבול מוביל לכך שלא משתמשים בכלי הזה.

סיסמה חזקה ושקל לזכור יכול להיות כל סיסמה באורך של 6-8 תווים שמכילה אותיות ומספרים, רצוי אותיות רישיות וקטנות. לדוגמה, שתחשוב על סרט, אלבום מוזיקה, משפט, כל דבר אחר שהיא אוהבת ושתנסה להפוך אותו לסיסמה באמצעות כתיבת שמו תוך החלפת אותיות במספרים (3 במקום E נניח וכדומה) כך שבסוף תתקבל סיסמה חזקה מספיק. כמובן שלא מומלץ לקחת מילה מהמילון ופשוט להחליף לה אותיות, אלא יותר לקחת משפט או שם שמורכב מכמה מילים ול"לאחד" אותן למילה אחת חסרת משמעות (סוג של ראשי תיבות) שתהווה את הסיסמה.

אני מבין מה אתה אומר, אבל היא קצת בפרנויה כרגע.

את הקובץ שהוא המפתח הצפנה יצרנו בתחילת התהליך (במקום סיסמא) מטעמי נוחות.

היא טוענת שהיא מעדיפה את זה בצורה הזאת.

תודה על העזרה!

אין בעד מה כמובן.

לדעתי תגיד לה להרגע, לקחת נשימה עמוקה, ולחשוב על הנושא הזה בצורה עניינית.

מניסיוני עם מספר אנשים בנושא הזה, זמן קצר אחרי האירוע שגרם להם לחשוב מחדש על נושא אבטחת המידע שלהם, הם מוכנים לעשות כמעט הכל. אך עם הזמן הם חוזרים לשגרת השימוש הרגילה שלהם, שבהיבט הזה הייתה רחוקה מלהיות אידאלית מלכתחילה. או במילים אחרות וקצת יותר בוטות, חלק גדול חוזר ל"עצלות" שהובילה אותו מלכתחילה לשימוש בסיסמאות חלשות, בשימוש בסיסמה אחת לכל האתרים/חשבונות וכו'. בשלב הזה אם מערכת ניהול הסיסמאות דורשת יורת מדי התעסקות הם נוטים לוותר עליה ולחזור להרגלים ה"רעים" שלהם. אז צריך למצוא את נקודת האיזון בין מערכת מאובטחת מספיק אך במקביל גם קלה מספיק לשימוש וניהול.

כאשר מדובר על Keyfile ועל קובץ בסיס הנתונים, חשוב מאוד לדאוג לגיבוי שלהם. אובדן של כל אחד מהם עלול להוביל לבעיה לא קטנה. יש ל-Keepas פלאג-אין בשם DataBaseBackup שמאפשר לך לגבות את בסיס הנתונים באופן אוטומטי בכל פעם שאתה שומר אותו (כלומר בכל פעם שנעשה בו שינוי) כך שהמבחינה הזאת רק צריך להגדיר יעד ולא ממש צריך להתעסק עם זה יותר. יש גם את הפלאג-אין DropboxSave אם רוצים לגבות לענן. באופן כללי כדאי לעבור על רשימת הפלאג-אינים ולראות אם יש משהו שמוסיף או משנה פונקציונליות מסוימת שיכולה להקל על השימוש בהתאם להעדפות של המשתמשת הספציפית הזאת. ובלי קשר בהחלט חשוב לגבות גם את קובץ המפתח כי עד כמה שאני יודע, זה לא משהו שניתן לשחזר ומחיקתו בטעות או כתוצאה מתקלה עלולה להוביל להשבתת כל בסיס הנתונים (עוד סיבה שסיסמה ראשית חזקה אך שניתן לזכור אותה עדיפה לדעתי לאורך זמן).