Google готовит встроенный генератор паролей для Chrome

[@Timm]

Сделали бы они еще мастер-пароль, как в FF…

[@Volshebnyi]

Пароль на гугло-аккаунт уже не мастер-пароль?

[@sadgb]

нет, я хочу защищать свои пароли при запуске хрома

[@Volshebnyi]

Либо я плохо понял, либо еще что, но вроде как хром после привязки к нескольким гугло-аккаунтам разделяет и пароли, прочую синхронизируемую инфу для них.
Или суть в том, чтобы иметь еще и гостевой аккаунт, доступный сразу после запуска? Тогда поддерживаю.

[@sadgb]

когда ко мне приходит друг и я выхожуиз комнаты он запускает хром и тырит все мои пароли
хочу чтобы в хроме была возможность типа разблокировать цепочку ключей по вводу мастерпароля
без меня никто не может запустить мой хром и забрать мои пароли

Рабочая ситуация — приходит администратор домена, спокойно логинится на мой комп и тырит мой паролль от контакта! И профиль хрома тут не поможет — администратор домена обладает достаточными правами для представления себя мной ( имперсонация )

[@Volshebnyi]

Нет-нет, я имею ввиду не системные профили пользователей, а гугловские профили (Параметры — Персональные — Пользователи). Если бы была учетка гостя, которая активировалась по умолчанию, пока ты где-нибудь не залогинишься в гугл, то думаю, ваша проблема была бы решена.
Конечно же, учетная запись по умолчанию должна выбираться в настройках.

[@AstonMartin]

От доменного админа мастер-пароль не спасет ;)

[@sadgb]

еще как спасет — например если пароль это ключ которым зашифрован файл паролей

[@AstonMartin]

И что?
У админа еще как минимум остаются варианты: удаленно поставить кейлоггер, поймать пароль от ВК на прокси.

[@sadgb]

и что?
кейлоггер ему ничего не даст — такие ПИНы делаются гуишкой с кнопками которыми конечно ты можешь пользоваться а можешь и с клавиатуры вбивать. А мой пароль от гмейла ему не достать из хттпс-а

[@burdakovd]

Админ может сделать дамп памяти Chrome удаленно. В тот момент, когда ты вводишь мастер-пароль (или необязательно в этот момент, если пароль только при запуске вводить надо).

[@sadgb]

А теперь посмотри — насколько простая операция ( залогинится, или вытащить винт из компа ) сменилась очень сложной — удаленный съем дампа памяти в хром да еще и поиск паролей в нем… В этом и смысл такой функции

[@anycolor]

а вывод один и тот же — кто захочет (если он администратор домена) — всеравно получит доступ к вашим данным, как бы вы не извращались.

[@MidNight-er]

Это очень глупый подход к безопасности конфеденциальной информации

[@foxmuldercp]

как показала моя карьера — администраторам домена и прокси некогда в обед башорг почитать, не то, что тырить чьи-то пароли на контактик, потому как работы и вечером с головой хватает.
а во вторых — зачем надо тот пароль? порнуху на стенке постить?

[@anycolor]

я собственно об этом же, что это все параноя. К тому же — если даже кому-то захочется — всеравно завладеет паролями, как ни усложняй эту задачу.

[@cyberyak]

Какие хорошие друзья у Вас.

[@deadmoto]

Есть еще неплохой генератор от PC Tools
Можно сгенерировать 100 случайных паролей и выбрать себе самый красивый! :)

[@ComodoHacker]

Вот так лучше: secure.pctools.com/guides/password/

А еще есть KeePass.

[@ValdikSS]

Попробуйте SuperGenPass. Отличная штука!

[@Joric]

SGP давно скомпрометирован (любой сайт может вытащить master password из DOM).

akibjorklund.com/2009/supergenpass-is-not-that-secure

[@akral]

Не надо его использовать, как букмарклет, используйте как дополнения к браузеру и статический генератор.

В чём тогда преимущество перед простой запоминалкой паролей? В том, что указанные адреса открываются с любого компьютера за пару секунд.
Достать базу паролей из дома — сложнее. :)

[@foxmuldercp]

у меня шифрованная база паролей лежит в скайдрайв. синхронизируется между всеми машинами. никаких проблем нет.
keepassx работал с keepass даже с кпк на винмобил6. и кажется на жава на обычном телефоне, но могу и врать, т.к. давно с этим возился.

[@akral]

Чужой компьютер, ничего на нём нету.
Будете качать на него базу и KeePassX? :)
Компьютер может быть Chrome OS, например.
KeePassX там не запустится.

[@foxmuldercp]

на чужих машинах я максимум зайду домой по рдп с выключенным обменом буфера обмена. а дальше все по прежнему :)

[@shifttstas]

Такое есть на маке, там все пароли хром хранит в связке ключей, а в настройках связки можно сделать так, что бы при каждом обращении спрашивался мастер пароль.

[@Cancel]

Где-то пробегала ссылка на дискуссию с разработчиками, они принципиально не хотят делать мастер-пароль и советуют пользоваться сторонними продуктами для запоминания паролей. У меня на машине этим занимается KWallet, вроде, то есть в самом профиле хрома пароли не хранятся.

[@Gendalph]

KeePass [+ KeePassHTTP (плагин для KP) + ChromeIPass (экстеншн для хрома)]
Мастер-пароль спрашивает при каждом открытии файла с паролями, кроссплатформенная реализация (win/linux).
И сгеренит и сохранит и энтропию покажет, да еще и за пользователя куда нужно поставит (если, конечно, настроить)

[@SSSurkv]

все пользователи без исключения будут жамкать на сгенерированный пароль даже не взглянув. Потом будут регистрироваться заново либо восстанавливать этот набор стандартным на сайтах способом (Вы забыли пароль? Введите свой почтовый адрес… и т.д.).

[@sadgb]

Там же написано что она соэраняет в менеджер а дальше гуглсинк и она уже в облаке

[@sadgb]

вот не знаю, видимо просто чтобы удостоверится что там не qwerty

[@zeliboba]

я бы сказал многие сайты придирчивые. за время поиска работы и регистрации на сайтах работодателей встречал кучу разных порой взаимоисключающих требований:
— длина пароля не менее 6 символов
— длина пароля не более 12 символов
— обязательно наличие цифр
— только цифры
— обязательно наличие верхнего регистра
— обязательны спецсимволы и/или пунктуация
— спецсимволы и пунктуация не принимаются

[@SVlad]

Думаю, именно для таких случаев пользователю даётся возможность посмотреть и изменить пароль.

[@r13]

Вот она! Вот она — благодатная почва для фанатов теории заговора!

[@Dr_Logic]

All your password are belong to us!

[@Flexo]

Следующим этапом будет автоматическая регистрация

[@forgotten]

… без ведома пользователя.

[@sadgb]

на самом деле хром почти полностью угадывает поля логина и почты при регистрации
Где то на хабре проскакивала статья о стандартизации имен для полей форм при регистрации чтобы автозаполнялкам легко жилось

[@iTs]

… и спам ботам. Хотя банальное изменение местами имен полей и можно забыть про рекапчу, на разгадку которой из года в год уходит всё больше времени и нервов.

[@Claud]

На многих сайтах очень нехорошие разработчики запрещают использовать спец символы в поле ввода пароля, а еще ограничивают длину. Так что не всегда поможет эта штука судя по ^ и #. Или нужно делать какие то профили для генерации пароля.

[@sadgb]

я думаю хром с этим справится позволив задать набор символов для автогенерации, но замечание очень дельное

[@jrip]

И почему до этого додумались только сейчас.
Не посмотрят — забудут, это не проблема по сравнению с паролем «пароль».

[@sadgb]

все таки эта штука сверхудобна для тех кто использует синхронизацию паролей хрома

[@senyai]

Сделали бы пароль как хэш от домена, логина и соли — хранить ничего не надо.

[@jrip]

Типа коммунизм?) Все пароли общие?)

[@senyai]

Соль пользователя — считай пароль, но поскольку это Гугл, то пароль должен быть один, значит надо брать соль с сервера Гугл, где-нибудь 512 байт, ну или пользователь вводит. Не суть важно. Логин тоже пользователь вводит. Коммунизма не заметил.

[@brick812]

Помнится ключи под коврик ложили… а кто и вовсе не закрывал.

[@Qiwichupa]

Юзаю PasswordMaker Pro (есть и под фф и под хром), который генерит пароли на основе домена и мастер-пароля. Имхо оптимальное решение, позволяющее и не запоминать, и не сохранять важные пароли.

[@jrip]

А какой у него алгоритм генерации? Если хотя бы теоретически обратимый, то это ничем не отличается от регистрации везде под одним и тем же паролем.

[@lashtal]

все равно пароли в хроме хранятся в незашифрованном виде в sqlite базе, просматриваются этой утилиткой: www.nirsoft.net/utils/chromepass.html
KeePass надежнее будет.

[@a9V]

А зачем тогда опция Encrypt all synced data?

[@akral]

Для транспортировки и хранения на сервере.

[@a9V]

Странно, я в дампе своей sqlite базы не смог ничего найти, всё закриптовано (кроме имени гмэйл аккаунта). Но это в Линуксе. Дома посмотрю на Окнах

[@Gendalph]

Под форточками пароли великолепно выуживаются спец. утилитками. В один клик.

[@akral]

В окнах пароли зашифрованы на уровне пользователя операционной системы, т.е. любая программа их может читать.

В принципе, это справедливо. Любая программа может и кейлоггер поставить.

[@a9V]

Посмотрел у себя дома.
Юзер виндовса без пароля вообще (хоть и без админских прав). 2 профиля в Хроме. ChromePass ничего не видит. Через SQLite Browser тоже ничего, всё зашифровано. Наверное с какой-то версии поправили…

[@a9V]

Скорее всего, пароли хранятся в незашифрованном виде когда синхронизация отключена, когда она включена — всё зашифровано, даже локально.

[@iByte]

Ну да, пароль типа имя_собачки небезопасно, а хранить пароль в браузере — верх безопасности…

[@grokinn]

Ну т.е. гугл будет сам же генерировать пароли и сам их хранить? Может тогда уж вообще отключить в хроме отображение поля для пароля, гугл в бэкграунде будет всё делать сам, а домохозяйке останется только ввести своё имя:)

[@Paul]

а домохозяйке останется только ввести своё имя

Это, пожалуй, тоже лишнее.

[@sly2m]

Какое имя? Ты открыл хром — твое имя тут же всплыло в куках.

Давно уже пора уйти от паролей. Сел за компьютер (включил планшет, раскрыл ноутбук, вставил штекер в разъем на затылке), система определила тебя (по сетчатке глаза, по тепловым зонам лица, по отпечатку пальца, в конце концов, как на всех современных ноутбуках). Все, дальше не должно быть никаких паролей, ибо система знает, что это ты, какая разница гуглом в браузере ты пользуешься, или гуглом в виде хрома / андроида.

[@Memphis]

Сервис LastPass уже на пару шагов дальше продвинулся.
Может пора Google поглотить его и растворить в своём браузере…

[@Dr_Logic]

На мой взгляд, это и должно быть реализовано именно в виде плагина — странноватая примочка для базового функционала. Вот RSS у них видите ли делается плагином, а менеджер паролей встроенный!

[@Memphis]

Всё, что прячется за плагинами / расширениями, слишком долго приходит в массы…
А тут мы видим попытку привить среднестатистическому пользователю культуру выбора паролей.

[@DIHALT]

Угу и массово народ будет забывать эти пароли. А с другого компа, например, так и вовсе попасть не сможет. Лучше бы генерили не просто криптостойкие пароли, но еще и какую-нибудь мнемосхему к ним подгоняли для запоминания.

Типо как: SMuP5Kr&D

S uper
M an
u nder
P rotection, but
5 kilo
Kr
&
D ie

Достаточно на каждый слог, букву или буквосочетание насовать слов в базу. В результате может получиться прикольный бред, легко запоминающийся.

[@Colobock]

льстивый цыплёнок увлажняет мартышку

[@MaximKat]

Сорок тысяч обезьян…

[@Lexozz]

Гугл сгенерил, сохранил в менеджере, а захочешь зайти с другой машины — начнется восстановление и прочее.
Если пароль не вводить часто, то он быстро забудется (тем более для сложных паролей).
Сгенерил — запиши на листочке бумаги или запомни.

[@charon]

как бы предполагается, что на другой машине тоже Хром, и включена синхронизация ;) Что-то типа привязывания к вендору.

[@kreativf]

У меня хром уже пару раз забывал сохранённые пароли. Если я сгенерирую себе пароль а он его забудет, это же жуткий гемор будет с восстановлением.

[@rayevg]

По моему скромному мнению, если уже хочется чтобы компьютер генерировал и запоминал пароли вместо тебя, лучше использовать KeePass или 1Password, а не встроенные средства браузера. У 1Password и замечательный плагин к тому же Хрому имеется.

[@charon]

я считаю, что такой функционал должен быть расширением. Иначе начинается превращение в комбайн типа Оперы. Это совсем не плохо, просто я считаю, что не Гугл-way.

[@leotsarev]

Лучше бы поддержали BrowserID :)

[@veter]

То есть отнимают хлеб у LastPass.

[@FanKiLL]

У меня запоминание форм в браузере вообще отключенно, не то что пароли. Мало ли кто зайдёт в хром, а там нате, уже всё заполненно заходи меняй что хочешь.

[@akral]

Если можно включить вашего пользователя на вашем компьютере, то можно и любой кейлоггер поставить, так что ваши пароли всё равно под угрозой.
Попробуйте поставить пароль на пользователя. Желательно и домашний каталог зашифровать.

[@FanKiLL]

Пароль конечно стоит, если к вам придёт друг и захочет зайти куда то, вы будете менять пользователя? Я обычно открываю «New incognito window». Если и должно быть авто заполнение то только по клику + ввод мастерпароля, иначе смысл?

[@akral]

Если вы доверяете другу, то он пароли смотреть не будет.

Если не доверяете, то инкогнито не спасёт от кейлоггера и банально от просмотра ваших документов на рабочем столе и папки «наши эро-фото».

Если доверяете, но не хотите, чтобы случайно пароли мешались, да, режим гостя в операционной системе. На всех трёх занимает до 10 секунд.
А если и это не подходит, просто другой профиль Хрома.

[@FanKiLL]

Trust No One — поэтому запоминание форм и паролей отключенно + самописанный генератор паролей по master password.

[@ArtKun]

Что ж, было бы очень здорово. Сам пока генерирую пароли в GNOME Password Generator и храню их в KeePassX.

[@Paul]

В KeePassX же есть встроенная генерилка паролей, зачем в гномовской генерировать?

[@Pilat]

Потом они наиболее активным пользователям будут дарить фирменные стикеры с паролями, чтобы было удобно на монитор клеить.

[@Aga]

Куда полезней генератор незанятых логинов

[@dikkini]

LastPass — и никаких проблем.

[@demshin]

Теперь про LastPass можно будет забыть.

[@happyproff]

Забыть — и никаких проблем.

[@dikkini]

Вы считаете что LastPass это генератор паролей?

[@demshin]

Для меня LastPass — это хранилище паролей + их генератор, естественно с синхронизацией между машинами. С недавних пор в Хроме появилась синхронизация базы паролей, теперь и их генерирование.

[@jkeks]

Они что думают что кто-то это дело запишет в блокнотик и потом будет вводить все время?
Я просто такой размышляю:
у полей type=password автоматом генерятся пароли, если они не были еще сохранены, а если уже сохранены, то подставляются. И не надо даже смотреть на них и нажимать никуда лишний раз.

Было бы вообще классно, если бы при входе на сайт шла просто проверка через email, и тогда вообще не надо никаких паролей. Бывает так?

[@sheber]

Раньше тоже пренебрегал паролем, но после одного сюжета о паролях, придумал свою маску:

(сокращенное название ресурса в верхнем регистре) в перемешку (неизменное количество неких символов) (спец.символ)(кодовое название времени года в момент регистрации)

на практике выглядит это так:
aHdHaRm&0se№ - HabraHabR adam $ Осень