Comments 74
Например, у меня он имеет длину более 20 символов.Это значит, что ваш пароль это некая фраза. Вполне вероятно, что эта фраза некое изречение которое вам понравилось или нечто подобное ⇒ возможна атака по словарю. Например, фраза из вашего избранного в LJ "И ты идешь по городу, и за тобой летят бабочки.".
OffTopic: Кармограф это вещь, в картинку бы ещё добавить текущую карму и рейтинг ;)
Замечательное наблюдение! :) Только это совсем не фраза, это такая штука, которую можно засветить на несколько секунд, и всё равно её никто не запомнит :)
За кармаграф спасибо, ещё много работы, потом публично объявлю :)
За кармаграф спасибо, ещё много работы, потом публично объявлю :)
У технологии хранения всех паролей в одном месте есть недостаток для того что бы получить все пароли надо украсть базу и кейлогером отследить всего один пароль после чего можно приступить к осуществлению коварных планов.
Про кейлогеры совсем забыл.. Спасибо, обновил)
Если человек A смог украсть у человека B базу паролей и кейлогером подслушал мастер-пароль – это значит, что человек A без труда этим же кейлогером украдет у человека B пароли к почтам, аськам и чему угодно.
Кроме того, KeePass позволяет защищать базу key-file'ом, а этот key-file может лежать где угодно на многогигабайтном винчестере и украсть его будет малореально, если не знать где именно он лежит.
Кроме того, KeePass позволяет защищать базу key-file'ом, а этот key-file может лежать где угодно на многогигабайтном винчестере и украсть его будет малореально, если не знать где именно он лежит.
Если кейлогер поддерживает KeePass то ему не будет проблемой проследить куда же обращается эта программа.
На то что бы красть кейлоггером пароли от не самых посещаемых надо время за которое его могут и обнаружить, а тут человек постоянно, каждый день вводит мастер пароль и его надо один раз записать и украсть базу с кей файлом.
На то что бы красть кейлоггером пароли от не самых посещаемых надо время за которое его могут и обнаружить, а тут человек постоянно, каждый день вводит мастер пароль и его надо один раз записать и украсть базу с кей файлом.
Если кейлогер поддерживает KeePass то ему не будет проблемой проследить куда же обращается эта программа.KeePass при запуске загружает множество DLL из system32 — одна из них может быть key-file'ом.
На то что бы красть кейлоггером пароли от не самых посещаемых надо время за которое его могут и обнаружить, а тут человек постоянно, каждый день вводит мастер пароль и его надо один раз записать и украсть базу с кей файлом.Зато пароли от самых посещаемых мест тем же кейлоггером украдутся сразу же и не факт, что пароли от не самых посещаемых имеют большую ценность.
Я вообще к чему. Конечно, "хранить все яйца в одной корзине" опасно. Но вред от подхваченного кейлогера будет примерно одинаков, используй ты хранилище паролей или не используй. ИМХО конечно.
Большое спасибо ! буду тестировать
UFO just landed and posted this here
Вот он: RoboForm, если кому будет интересно и с ним познакомиться.
А автозаполнение есть в KeePass :) Причём по произвольному шаблону. Но мне например нужен только пароль, потому что остальное есть в автозаполнении в Опере, да и чепятаю я быстро :)
А автозаполнение есть в KeePass :) Причём по произвольному шаблону. Но мне например нужен только пароль, потому что остальное есть в автозаполнении в Опере, да и чепятаю я быстро :)
Пароли не ограничиваются интернетом, к сожалению.
Поддерживаю, для хранения и автозаполнения паролей в веб это очень удобное решение.
Экономит массу времени как при регистрациях (генерирование пароля/автозаполнение полей), так и при логине (один клик).
Экономит массу времени как при регистрациях (генерирование пароля/автозаполнение полей), так и при логине (один клик).
кинулся было в свое время как раз робоформ использовать и обалдел. как можно не поддерживать оперу? ну да сейчас это не самый популярный браузер.. но ведь 15-20% серферов пользуются именно им. отсюда вопрос - откуда такое? почему именно оперу робоформ усиленно не поддерживает?
Замечательная программа - Personal Passworder, очень удобна и русская :) все собираюсь на нее перейти с Password Boss, который использую сейчас - лень переносить пароли ;)
Использую KeePass очень давно.
Выбрал его потому, что есть клиент под Windows Mobile, полноценный.
И твои пароли всегда с собой на коммуникаторе - крайне удобно.
Выбрал его потому, что есть клиент под Windows Mobile, полноценный.
И твои пароли всегда с собой на коммуникаторе - крайне удобно.
Абсолютное большинство сервисов требуют почтовый ящик для активации аккаунта. С его помощью можно узнать забытый пароль или сменить на новый. Получаются те же яйца с теми же плюсами и минусами. Вот только в случае с ящиком на gmail отсутствует необходимость использования ПО на рабочей станции - доступ к паролям можно получить из любого места, где есть интернет.
а еще есть OpenID.
а еще есть OpenID.
хм.. не напоминает ли кому-нибудь такая система "все яйца в одном лукошке"?..
Если я все правильно понял (программу не тестировал), то у меня к вам вопрос. А что если вам вдруг очень нужно залогиниться где-нибудь с другого компьютера, не вашего. И у вас нету флешки с этим файлом. Ну вот где вы будете хранить этот ваш файл? Ну можно, конечно, варианты всякие придумать, типа попросить у кого-нибудь из друзей на платном хостинге держать, причем постоянно туда нужно заливать свежий файл. В общем, есть над чем подумать.
У меня есть немножко другое предложение по поводу паролей. Во-первых, нужно придумать какое-то уникальное слово (УК) и его запомнить. Затем придумать какое-то мнемоническое правило для создания паролей, чтобы это правило не было понятно никому, если вдруг он получит пароль одного из ваших предыдуших логинов (да, надо немножко подумать). Ну, например *"ПБС""УК""нс"Ff (Придумало от балды), где "ПБС" надо заменить на первую букву сайта "УК" надо заменить на уникальное слово, а "НС" на название сайта. И запомнить правило легко - сами же придумываете, и различен для всех сайтов, и отгдадать при хорошем правиле не легко.
У меня есть немножко другое предложение по поводу паролей. Во-первых, нужно придумать какое-то уникальное слово (УК) и его запомнить. Затем придумать какое-то мнемоническое правило для создания паролей, чтобы это правило не было понятно никому, если вдруг он получит пароль одного из ваших предыдуших логинов (да, надо немножко подумать). Ну, например *"ПБС""УК""нс"Ff (Придумало от балды), где "ПБС" надо заменить на первую букву сайта "УК" надо заменить на уникальное слово, а "НС" на название сайта. И запомнить правило легко - сами же придумываете, и различен для всех сайтов, и отгдадать при хорошем правиле не легко.
Я так и делаю. Ни одного пароля не забыл :-)
Вот один из вариантов ответа: Я умный и поэтому не храню пароли.
Да, это имхо самый легкий способ придумать пароль, довольно сложный для взлома но легкий для запоминания. Я вот и ники так придумываю если мой обычный занят, а использование спецсимволов не разрешено :) lexus-at-habr :)
UFO just landed and posted this here
Зато если кому-то повезет разгадать алгоритм, то "нате вам, уважаемые хакеры, пароли от всех моих аккаунтов".
Поэтому алгоритмы - хорошо, но рандом лучше (и тренировка памяти).
Поэтому алгоритмы - хорошо, но рандом лучше (и тренировка памяти).
Ээ.. а легко ли будет догадаться кому-либо, что у тебя пятым символом идет первая буква названия сайта, седьмым символом идет последняя буква названия сайта ну и тд.. выдумаешь хороший алгоритм - фиг кто отгадает.
А рандом.. это значит что все равно все пароли как-то взаимосвязаны, в них есть общие слова. Иначе ты сама это все равно не запомнишь (Признайся, Люсь, в скольких местах у тебя аккаунты? И что, везде разные пароли?)
А рандом.. это значит что все равно все пароли как-то взаимосвязаны, в них есть общие слова. Иначе ты сама это все равно не запомнишь (Признайся, Люсь, в скольких местах у тебя аккаунты? И что, везде разные пароли?)
А дело не в этом. Человек может узнать один из твоих паролей, на основе этого будет не слишком сложно построить алгоритм. Следующим шагом будет лишение тебя всех аккаунтов.
И про разные никто и не говорил. У меня 4-5 паролей, которые вряд ли кто узнает. И даже если узнает один из них - не все мои аккаунты окажутся похеренными.
И про разные никто и не говорил. У меня 4-5 паролей, которые вряд ли кто узнает. И даже если узнает один из них - не все мои аккаунты окажутся похеренными.
Ну а теперь скажи мне каким образом человек может догадаться, что а) я использую какое-то правило по созданию. б) догадаться что это за правило не зная хотя бы двух моих паролей.
Такой вид генерации паролей как минимум не опасней твоего способа - 5 паролей на все аккаунты.
Ну вот грубо. Пароль для хабра *DVdh1r234 (по вышеуказанному алгоритму h 5ым, r-7ым, остальное фикс. - самый простой алгоритм) И что, вот ты сразу догадаешься каков алгоритм составления паролей? (Пусть ты уже знаешь что я использую некий алгоритм)
Такой вид генерации паролей как минимум не опасней твоего способа - 5 паролей на все аккаунты.
Ну вот грубо. Пароль для хабра *DVdh1r234 (по вышеуказанному алгоритму h 5ым, r-7ым, остальное фикс. - самый простой алгоритм) И что, вот ты сразу догадаешься каков алгоритм составления паролей? (Пусть ты уже знаешь что я использую некий алгоритм)
как вариант: хранить пароли в часах. если оторвут, то вместе с рукой :)
для этого нужны часы с записной книжкой, не обязательно сильно большой.
я использовал Casio EDB-1 - 50 записей в книжке, вполне достаточно.
сама книжка тоже запаролена мастер-паролем.
казалось бы, всё хорошо, НО. обнаружилась брешь в защите: после замены батарейки пароль на зап. книжку сбросился, т.е. хотя сами записи хранятся в NVRAM, но пароль хранится почему-то в оперативке и сбрасывается на дефолтный при замене батарейки. абсолютно неприемлемый дизайн данной фичи в данной конкретной модели часов. тем не менее, сама идея мне нравится, буду пользоваться дальше, если найду грамотную реализацию.
для этого нужны часы с записной книжкой, не обязательно сильно большой.
я использовал Casio EDB-1 - 50 записей в книжке, вполне достаточно.
сама книжка тоже запаролена мастер-паролем.
казалось бы, всё хорошо, НО. обнаружилась брешь в защите: после замены батарейки пароль на зап. книжку сбросился, т.е. хотя сами записи хранятся в NVRAM, но пароль хранится почему-то в оперативке и сбрасывается на дефолтный при замене батарейки. абсолютно неприемлемый дизайн данной фичи в данной конкретной модели часов. тем не менее, сама идея мне нравится, буду пользоваться дальше, если найду грамотную реализацию.
Я использую для хранения паролей RoboForm, в нем встроенный генератор паролей, плагины для IE/FF, есть переносная версия для флешки.
Использую Portable-версию KeePass. Доволен, хотя некоторые моменты в интерфейсы нелогичны.
Главное преимущество против RoboForm - бесплатность при практически аналогичном функционале.
Правило придумывания пароля - секретный алгоритм моего мозга на основе ассоциаций с названием сайта :)
Главное преимущество против RoboForm - бесплатность при практически аналогичном функционале.
Правило придумывания пароля - секретный алгоритм моего мозга на основе ассоциаций с названием сайта :)
Есть еще вот такой паролезаменитель: http://matchlogon.ru/
только годится не для всего, насколько я понимаю. Хотя, наверняка можно настроить и для всего.
только годится не для всего, насколько я понимаю. Хотя, наверняка можно настроить и для всего.
я пользуюсь www.passpack.com
софт для хранения паролей на локальном компьютере почему-то не вдохновляет
софт для хранения паролей на локальном компьютере почему-то не вдохновляет
Пароли все-таки лучше запоминать, сочиняя по какому-либо ассоциативному правилу (правилам). Тогда не грозит забывание флешки, снос системы/базы с паролями и т.п.
Да и память тренируется. Голова — она на то и голова, что лучше всяких флешек, хостингов, почтовых ящиков и файлов на винчестере.
Да и память тренируется. Голова — она на то и голова, что лучше всяких флешек, хостингов, почтовых ящиков и файлов на винчестере.
а между тем лучшем общепризнанным местом зранения признанна именно бумажка с паролями, спрятанная в недоступном для других месте...
Кстати по поводу брутфорса. В KeePass в Database settings можно настроить такую опцию, как Number of key encryption rounds, что позволяет защититься от брутфорса. Например можно настроить базу так, чтобы на проверку одного варианта пароля уходило 5 секунд - в этом случае брутфорс становится бессмысленным, если конечно у злоумышленника нет в наличии каких-нибудь экстраординарных вычислительных мощностей.
Отличная программа, то что надо - open source, free, cross-platform.
Будем переезжать в неё, спасибо за информацию, не пришлось искать самому.
Будем переезжать в неё, спасибо за информацию, не пришлось искать самому.
Если собрались переезжать, проверьте, возможно есть плагин, импортирующий данные из Вашего текущего Password Manager'а.
о данной программе узнал недавно. до этого пользовался (и продолжаю пользоваться) программой NhT Password Manager - 0.1.0.86 beta вот уже очень длительное время. Но давно подумывал о запасной проге на предмет дублирования (потому как всё виндовое рано или поздно глючит)
Последняя ссылка неверная, должна вести на http://www.habrahabr.ru/blog/i_am_clever…
Спасибо за статью. Для объективности нехватает лишь сравнения с конкуретами.
Спасибо автору за ссылку на программу.
Я разобрался с ней за несколько минут, и сделал так чтобы она работала с флешки. Теперь база классных паролей у меня всегда с собой.
Я разобрался с ней за несколько минут, и сделал так чтобы она работала с флешки. Теперь база классных паролей у меня всегда с собой.
PassReminder OpenSource менеджер паролей, простой, все необходимые функции, доступен на разных платформах. Из минусов - использует Java машину.
А мне нравится Password Boss http://www.ammosoft.com/
Free и все такое))
Ну а если по правде, то всяк свое болото хвалит.
Free и все такое))
Ну а если по правде, то всяк свое болото хвалит.
И одна из приятных уникальных фич: умеет хранить любые файлы до 16 мб прямо в базе, которую шифрует. Вот так-то!
Free и всё такое говорите? А это тогда что? :)
У нас в России много чего фрии :)) и люди даже не могут задумываться о том, что за софт то надо платить, а что такое опен сорс знает процентов 5 населения страны. Так чему тут удивляться! :)
Однажды мой знакомый попросил ему поставить Windows, и был крайне удивлен тому, что я попросил с него лиц. ключ. Он вообще просто не понимал, что это такое, а во вторых практически полностью отказывался понимать что Windows платная программа, а не зашита каким то волшебным образом в писюк.
Однажды мой знакомый попросил ему поставить Windows, и был крайне удивлен тому, что я попросил с него лиц. ключ. Он вообще просто не понимал, что это такое, а во вторых практически полностью отказывался понимать что Windows платная программа, а не зашита каким то волшебным образом в писюк.
Отличная программа, я пользователь apple, и ранее пользовался wallet — это такая система подобного запоминания паролей. Но вот не так давно после того как я решил переустановить систему, обнаружил что бекап от wallet НЕ заливается НО только категории а самих паролей ёк. Короче пробежал по лбу холодный пот… я вспомнил что есть бекап 3 месячной давности на флешке, открыл его все прошло успешно. После этого инцидента я стал судорожно искать программу которая станет альтернативой этого Wallet, наткнулся на KeePass, очень обрадовало, что есть под мак версия, да еще и под винду… (интресно файлы *.kdb как то можно использовать с версии мака на винде). При использовании понравилось все, куча функций которые мне нужны и не хватало в wallet, но есть одна проблема поиск паролей не работает в KeePass на маке.
Sign up to leave a comment.
и умею хранить пароли