Comments 82
Ой не зря у меня самописный хранитель паролей…
+7
Лучший хранитель паролей это голова.
-1
Да, да пара сотен ресурсов, везде уникальные пароли и все это в голове :)
+47
Достаточно придумать для себя алгоритм завязанный на доменном имени и всё.
+1
Или пользоваться чужими логином-паролем… зачем нагружать ресурс лишней учеткой?) и если утащат, не так жалко будет)
+22
Ещё PasswordCard
0
Единый алгоритм для паролей, в плане безопасности вещь не менее спорная ;)
+22
И вбивать логин/пароль пальчиками, на радость кейлоггеру.
+5
UFO just landed and posted this here
Есть особо хитрые люди, которые вводят пароль с экранной клавиатуры. Причем человек этот даже не IT-шник :)
0
Да я и сам вбиваю мастер-пароль в ластпассе только через виртуальную клавиатуру.
Дайте пример виртуальных клавиатур которые работают со всеми полями. С удовольствием буду пользоваться, ибо сколько ни искал, ничего хорошего найти не удалось.
Дайте пример виртуальных клавиатур которые работают со всеми полями. С удовольствием буду пользоваться, ибо сколько ни искал, ничего хорошего найти не удалось.
0
Передайте ему, чтобы сильно не обольщался на этот счет. Есть и мышиные снифферы.
+2
Типовая функция большинства кейлоггеров — скриншот активного окна по клику мыши. На выходе получаем серию скриншотов с вашим паролем.
+8
Спасибо, не знал. Таким образом, виртуальные клавиатуры отнюдь не панацея…
0
типовая функция «безопасной» скринклавиатуры — нажатие по задержке мыши над кнопкой, а не по щелчку
0
сильно снижает юзабилити, т.к. более-менее приличный пароль запаришься набирать
0
Вам шашечки или ехать? :)
0
мне — ехать, а вот эти шашечки в виде хитрых onscreen keyboard — не нужны. Три составляющие ИБ, как известно — конфиденциальность, целостность, доступность. Так вот, такая вот клавиатура сильно дискриминирует доступность, выпячивая конфиденциальность. Необходимо соблюдать баланс, иначе это не ИБ, а цирк.
+1
А если пароль к какому-нибудь ресурсу будет скомпрометирован и его нужно будет поменять?
0
«Доверяй, но проверяй» — хороший принцип. Особенно для сторонних сервисов, которые хранят критически важную информацию.
Спасибо за обзор.
Спасибо за обзор.
+1
Lastpass? Одинаковые логины\пароли!!?
+4
Одинаковые пароли — меня это тоже удивило :) Смысл плагина отпадает сразу. А с одинаковыми логинами вроде все логично.
0
Например, пароли, созданные до ЛастПасса, которые просто лень поменять.
+3
Где созданные? В голове? Тогда зачем их записывать?
Если в другой генерилке, то они не будут одинаковыми.
Если в другой генерилке, то они не будут одинаковыми.
-3
Да, в голове. Вот заходит человек на сайт, вбивает старый пароль, а у него спрашивают «сохранить или нет?» Зачем ему отвечать «нет»? Пускай пока хранится такой, а потом как нибудь поменяет.
+4
И не лень же ЛастПасс использовать.
-3
Думаю, для рядового юзера такая уязвимость не настолько критична, чтоб он заметил. Были ли случаи утечек?
0
перешел несколько месяцев назад на 1password, после этой статьи окончательно удалил аккаунт lastpass
-3
Кроме всех уже сделанных автором выводов надо сделать еще один — необходимо не полениться и
а) использовать средство аудита паролей и безжалостно истребить дубликаты
б) можно скипнуть п.а и просто поменять пароли на всех сервисах. Займет около 10 минут, после этого дубликатов не останется.
а) использовать средство аудита паролей и безжалостно истребить дубликаты
б) можно скипнуть п.а и просто поменять пароли на всех сервисах. Займет около 10 минут, после этого дубликатов не останется.
+1
Roboform. Синхронизируются с онлайн-хранилищем уже полностью зашифрованные файлы пасскарт.
0
Приватности в интернете нет. Google со своими сервисами знает про нас все. Реальная кривизна это передавать логин и пароль в отдельных полях и не использовать при шифровании вектор инициализации.
+2
Лучший хранитель паролей — оффлайновый хранитель паролей.
+4
С идентификацией по отпечатку пальца и сетчатке глаза, запрятанный в сейфе подземного бункера. Вот только все равно от прецельной атаки на необходимые данные такие меры полностью спасти не могут :)
ИМХО, даже использование хранителя паролей не убирает необходимость менять свои пароли с определенной периодичностью, чего я и советую всем сознательным пользователям интернета.
P.S. Продолжаю использовать LastPass, генерирую пароли по своему алгоритму, который, как и пароли, тоже меняется с определенной периодичностью.
ИМХО, даже использование хранителя паролей не убирает необходимость менять свои пароли с определенной периодичностью, чего я и советую всем сознательным пользователям интернета.
P.S. Продолжаю использовать LastPass, генерирую пароли по своему алгоритму, который, как и пароли, тоже меняется с определенной периодичностью.
0
Тогда нужно пожертвовать синхронизацией.
0
А по-моему, все это не так уж плохо. Продолжу пользоваться LastPass.
+7
«Таким образом, совершенно случайно, на сервер LastPass в открытом виде передается информация о том, на каких сайтах вы зарегистрированы.»
Ну все таки не совсем в открытом виде, а через HTTPS. Т.е. простым прослушиванием эту информацию не получить.
Ну все таки не совсем в открытом виде, а через HTTPS. Т.е. простым прослушиванием эту информацию не получить.
+4
Реквестирую подобный анализ для 1Password и Roboform. Ну или к другим достойным альтернативам.
0
Не зря у меня KeePass + Wuala
+1
Меня буквально вчера научили одному хитромудрому способу по работе с паролями.
Придумываете или генерируете длинный пароль и храните его на бумаге.
А чтобы каждый раз не вбивать — набираете его с неправильной последней буквой.
Далее, сохраняете в сохранялке паролей, которая встроена в браузер.
А когда заходите на ресурс — меняете последнюю букву пароля, показываемую звездочкой, на нужную.
Придумываете или генерируете длинный пароль и храните его на бумаге.
А чтобы каждый раз не вбивать — набираете его с неправильной последней буквой.
Далее, сохраняете в сохранялке паролей, которая встроена в браузер.
А когда заходите на ресурс — меняете последнюю букву пароля, показываемую звездочкой, на нужную.
0
И как вы думаете сколько продержится Ваш «пароль»?
0
Тогда уж лучше добавить в сохранении каждый второй символ лишним, и потом через одну звездочку удалить
0
Статья хороша.
Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.
P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.
Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.
P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.
0
Ну он и показывает, перед сохранением все данные, чтоб можно было исправить.
0
Я вот вообще не понимаю граждан, хранящих пароли на каких-то там сервисах в интернете. KeePass есть для винды, мака, андроида и мобильников с джавой. Есть всякие там дропбоксы, через которые можно синхронизировать, если так уж охота.
0
Обидно что Xmarks (LastPass) не поддерживают механизм BYOS, т.е. своего сервера. Функция как бы есть, но она работает через раз и не понятно в чем загвоздка. А с паролями наверно было бы удобно если в каждом браузере была возможность синхронизировать пароли и закладки через WebDav over https.
0
Если дело дошло до трояна, то лучше сразу форматировать диск, а не надеяться на «авось».
Лучший способ хранения паролей — на нетбуке, и использовать его исключительно для почты, браузера, офисных приложений (ворд, эксель). То есть набор текста и чтение текста. Никаких лишних программ. Его желательно не выпускать из рук. Пароли можно копипастить, либо хранить в менеджере паролей (чтобы не подсмотрели в кафе). На сомнительные ресурсы (которые могут воспользоваться дырами в браузере) — не ходить. В самом браузере максимально ограничить интерактивность (отключить плагины, флеш) для всех ресурсов, кроме доверенных.
Также, чтобы спать спокойно, есть хорошая программа True Crypt. Даже если ноутбук будет утерян, — вор не вытащит из него данные. На случай кражи в режиме сна — нужен нетривиальный пароль при выходе из этого режима. Это единственный пароль, который придется держать в голове, и набирать часто и быстро.
Лучший способ хранения паролей — на нетбуке, и использовать его исключительно для почты, браузера, офисных приложений (ворд, эксель). То есть набор текста и чтение текста. Никаких лишних программ. Его желательно не выпускать из рук. Пароли можно копипастить, либо хранить в менеджере паролей (чтобы не подсмотрели в кафе). На сомнительные ресурсы (которые могут воспользоваться дырами в браузере) — не ходить. В самом браузере максимально ограничить интерактивность (отключить плагины, флеш) для всех ресурсов, кроме доверенных.
Также, чтобы спать спокойно, есть хорошая программа True Crypt. Даже если ноутбук будет утерян, — вор не вытащит из него данные. На случай кражи в режиме сна — нужен нетривиальный пароль при выходе из этого режима. Это единственный пароль, который придется держать в голове, и набирать часто и быстро.
0
Sign up to leave a comment.
Что не скрывает LastPass?