Comments 82
Ой не зря у меня самописный хранитель паролей…
Лучший хранитель паролей это голова.
Да, да пара сотен ресурсов, везде уникальные пароли и все это в голове :)
Достаточно придумать для себя алгоритм завязанный на доменном имени и всё.
Или пользоваться чужими логином-паролем… зачем нагружать ресурс лишней учеткой?) и если утащат, не так жалко будет)
Ещё PasswordCard
Единый алгоритм для паролей, в плане безопасности вещь не менее спорная ;)
И вбивать логин/пароль пальчиками, на радость кейлоггеру.
UFO just landed and posted this here
Есть особо хитрые люди, которые вводят пароль с экранной клавиатуры. Причем человек этот даже не IT-шник :)
Да я и сам вбиваю мастер-пароль в ластпассе только через виртуальную клавиатуру.
Дайте пример виртуальных клавиатур которые работают со всеми полями. С удовольствием буду пользоваться, ибо сколько ни искал, ничего хорошего найти не удалось.
Дайте пример виртуальных клавиатур которые работают со всеми полями. С удовольствием буду пользоваться, ибо сколько ни искал, ничего хорошего найти не удалось.
Передайте ему, чтобы сильно не обольщался на этот счет. Есть и мышиные снифферы.
Типовая функция большинства кейлоггеров — скриншот активного окна по клику мыши. На выходе получаем серию скриншотов с вашим паролем.
Спасибо, не знал. Таким образом, виртуальные клавиатуры отнюдь не панацея…
типовая функция «безопасной» скринклавиатуры — нажатие по задержке мыши над кнопкой, а не по щелчку
сильно снижает юзабилити, т.к. более-менее приличный пароль запаришься набирать
Вам шашечки или ехать? :)
мне — ехать, а вот эти шашечки в виде хитрых onscreen keyboard — не нужны. Три составляющие ИБ, как известно — конфиденциальность, целостность, доступность. Так вот, такая вот клавиатура сильно дискриминирует доступность, выпячивая конфиденциальность. Необходимо соблюдать баланс, иначе это не ИБ, а цирк.
А если пароль к какому-нибудь ресурсу будет скомпрометирован и его нужно будет поменять?
«Доверяй, но проверяй» — хороший принцип. Особенно для сторонних сервисов, которые хранят критически важную информацию.
Спасибо за обзор.
Спасибо за обзор.
Lastpass? Одинаковые логины\пароли!!?
Одинаковые пароли — меня это тоже удивило :) Смысл плагина отпадает сразу. А с одинаковыми логинами вроде все логично.
Например, пароли, созданные до ЛастПасса, которые просто лень поменять.
Где созданные? В голове? Тогда зачем их записывать?
Если в другой генерилке, то они не будут одинаковыми.
Если в другой генерилке, то они не будут одинаковыми.
Да, в голове. Вот заходит человек на сайт, вбивает старый пароль, а у него спрашивают «сохранить или нет?» Зачем ему отвечать «нет»? Пускай пока хранится такой, а потом как нибудь поменяет.
И не лень же ЛастПасс использовать.
Думаю, для рядового юзера такая уязвимость не настолько критична, чтоб он заметил. Были ли случаи утечек?
перешел несколько месяцев назад на 1password, после этой статьи окончательно удалил аккаунт lastpass
Кроме всех уже сделанных автором выводов надо сделать еще один — необходимо не полениться и
а) использовать средство аудита паролей и безжалостно истребить дубликаты
б) можно скипнуть п.а и просто поменять пароли на всех сервисах. Займет около 10 минут, после этого дубликатов не останется.
а) использовать средство аудита паролей и безжалостно истребить дубликаты
б) можно скипнуть п.а и просто поменять пароли на всех сервисах. Займет около 10 минут, после этого дубликатов не останется.
Roboform. Синхронизируются с онлайн-хранилищем уже полностью зашифрованные файлы пасскарт.
Приватности в интернете нет. Google со своими сервисами знает про нас все. Реальная кривизна это передавать логин и пароль в отдельных полях и не использовать при шифровании вектор инициализации.
Лучший хранитель паролей — оффлайновый хранитель паролей.
С идентификацией по отпечатку пальца и сетчатке глаза, запрятанный в сейфе подземного бункера. Вот только все равно от прецельной атаки на необходимые данные такие меры полностью спасти не могут :)
ИМХО, даже использование хранителя паролей не убирает необходимость менять свои пароли с определенной периодичностью, чего я и советую всем сознательным пользователям интернета.
P.S. Продолжаю использовать LastPass, генерирую пароли по своему алгоритму, который, как и пароли, тоже меняется с определенной периодичностью.
ИМХО, даже использование хранителя паролей не убирает необходимость менять свои пароли с определенной периодичностью, чего я и советую всем сознательным пользователям интернета.
P.S. Продолжаю использовать LastPass, генерирую пароли по своему алгоритму, который, как и пароли, тоже меняется с определенной периодичностью.
Тогда нужно пожертвовать синхронизацией.
А по-моему, все это не так уж плохо. Продолжу пользоваться LastPass.
«Таким образом, совершенно случайно, на сервер LastPass в открытом виде передается информация о том, на каких сайтах вы зарегистрированы.»
Ну все таки не совсем в открытом виде, а через HTTPS. Т.е. простым прослушиванием эту информацию не получить.
Ну все таки не совсем в открытом виде, а через HTTPS. Т.е. простым прослушиванием эту информацию не получить.
Реквестирую подобный анализ для 1Password и Roboform. Ну или к другим достойным альтернативам.
Не зря у меня KeePass + Wuala
Меня буквально вчера научили одному хитромудрому способу по работе с паролями.
Придумываете или генерируете длинный пароль и храните его на бумаге.
А чтобы каждый раз не вбивать — набираете его с неправильной последней буквой.
Далее, сохраняете в сохранялке паролей, которая встроена в браузер.
А когда заходите на ресурс — меняете последнюю букву пароля, показываемую звездочкой, на нужную.
Придумываете или генерируете длинный пароль и храните его на бумаге.
А чтобы каждый раз не вбивать — набираете его с неправильной последней буквой.
Далее, сохраняете в сохранялке паролей, которая встроена в браузер.
А когда заходите на ресурс — меняете последнюю букву пароля, показываемую звездочкой, на нужную.
Статья хороша.
Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.
P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.
Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.
P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.
Ну он и показывает, перед сохранением все данные, чтоб можно было исправить.
Я вот вообще не понимаю граждан, хранящих пароли на каких-то там сервисах в интернете. KeePass есть для винды, мака, андроида и мобильников с джавой. Есть всякие там дропбоксы, через которые можно синхронизировать, если так уж охота.
Обидно что Xmarks (LastPass) не поддерживают механизм BYOS, т.е. своего сервера. Функция как бы есть, но она работает через раз и не понятно в чем загвоздка. А с паролями наверно было бы удобно если в каждом браузере была возможность синхронизировать пароли и закладки через WebDav over https.
Если дело дошло до трояна, то лучше сразу форматировать диск, а не надеяться на «авось».
Лучший способ хранения паролей — на нетбуке, и использовать его исключительно для почты, браузера, офисных приложений (ворд, эксель). То есть набор текста и чтение текста. Никаких лишних программ. Его желательно не выпускать из рук. Пароли можно копипастить, либо хранить в менеджере паролей (чтобы не подсмотрели в кафе). На сомнительные ресурсы (которые могут воспользоваться дырами в браузере) — не ходить. В самом браузере максимально ограничить интерактивность (отключить плагины, флеш) для всех ресурсов, кроме доверенных.
Также, чтобы спать спокойно, есть хорошая программа True Crypt. Даже если ноутбук будет утерян, — вор не вытащит из него данные. На случай кражи в режиме сна — нужен нетривиальный пароль при выходе из этого режима. Это единственный пароль, который придется держать в голове, и набирать часто и быстро.
Лучший способ хранения паролей — на нетбуке, и использовать его исключительно для почты, браузера, офисных приложений (ворд, эксель). То есть набор текста и чтение текста. Никаких лишних программ. Его желательно не выпускать из рук. Пароли можно копипастить, либо хранить в менеджере паролей (чтобы не подсмотрели в кафе). На сомнительные ресурсы (которые могут воспользоваться дырами в браузере) — не ходить. В самом браузере максимально ограничить интерактивность (отключить плагины, флеш) для всех ресурсов, кроме доверенных.
Также, чтобы спать спокойно, есть хорошая программа True Crypt. Даже если ноутбук будет утерян, — вор не вытащит из него данные. На случай кражи в режиме сна — нужен нетривиальный пароль при выходе из этого режима. Это единственный пароль, который придется держать в голове, и набирать часто и быстро.
Sign up to leave a comment.
Что не скрывает LastPass?