Comments 94
Сделали бы они еще мастер-пароль, как в FF…
Пароль на гугло-аккаунт уже не мастер-пароль?
нет, я хочу защищать свои пароли при запуске хрома
Либо я плохо понял, либо еще что, но вроде как хром после привязки к нескольким гугло-аккаунтам разделяет и пароли, прочую синхронизируемую инфу для них.
Или суть в том, чтобы иметь еще и гостевой аккаунт, доступный сразу после запуска? Тогда поддерживаю.
Или суть в том, чтобы иметь еще и гостевой аккаунт, доступный сразу после запуска? Тогда поддерживаю.
когда ко мне приходит друг и я выхожуиз комнаты он запускает хром и тырит все мои пароли
хочу чтобы в хроме была возможность типа разблокировать цепочку ключей по вводу мастерпароля
без меня никто не может запустить мой хром и забрать мои пароли
Рабочая ситуация — приходит администратор домена, спокойно логинится на мой комп и тырит мой паролль от контакта! И профиль хрома тут не поможет — администратор домена обладает достаточными правами для представления себя мной ( имперсонация )
хочу чтобы в хроме была возможность типа разблокировать цепочку ключей по вводу мастерпароля
без меня никто не может запустить мой хром и забрать мои пароли
Рабочая ситуация — приходит администратор домена, спокойно логинится на мой комп и тырит мой паролль от контакта! И профиль хрома тут не поможет — администратор домена обладает достаточными правами для представления себя мной ( имперсонация )
Нет-нет, я имею ввиду не системные профили пользователей, а гугловские профили (Параметры — Персональные — Пользователи). Если бы была учетка гостя, которая активировалась по умолчанию, пока ты где-нибудь не залогинишься в гугл, то думаю, ваша проблема была бы решена.
Конечно же, учетная запись по умолчанию должна выбираться в настройках.
Конечно же, учетная запись по умолчанию должна выбираться в настройках.
От доменного админа мастер-пароль не спасет ;)
еще как спасет — например если пароль это ключ которым зашифрован файл паролей
И что?
У админа еще как минимум остаются варианты: удаленно поставить кейлоггер, поймать пароль от ВК на прокси.
У админа еще как минимум остаются варианты: удаленно поставить кейлоггер, поймать пароль от ВК на прокси.
и что?
кейлоггер ему ничего не даст — такие ПИНы делаются гуишкой с кнопками которыми конечно ты можешь пользоваться а можешь и с клавиатуры вбивать. А мой пароль от гмейла ему не достать из хттпс-а
кейлоггер ему ничего не даст — такие ПИНы делаются гуишкой с кнопками которыми конечно ты можешь пользоваться а можешь и с клавиатуры вбивать. А мой пароль от гмейла ему не достать из хттпс-а
Админ может сделать дамп памяти Chrome удаленно. В тот момент, когда ты вводишь мастер-пароль (или необязательно в этот момент, если пароль только при запуске вводить надо).
А теперь посмотри — насколько простая операция ( залогинится, или вытащить винт из компа ) сменилась очень сложной — удаленный съем дампа памяти в хром да еще и поиск паролей в нем… В этом и смысл такой функции
а вывод один и тот же — кто захочет (если он администратор домена) — всеравно получит доступ к вашим данным, как бы вы не извращались.
Это очень глупый подход к безопасности конфеденциальной информации
как показала моя карьера — администраторам домена и прокси некогда в обед башорг почитать, не то, что тырить чьи-то пароли на контактик, потому как работы и вечером с головой хватает.
а во вторых — зачем надо тот пароль? порнуху на стенке постить?
а во вторых — зачем надо тот пароль? порнуху на стенке постить?
Какие хорошие друзья у Вас.
Есть еще неплохой генератор от PC Tools
Можно сгенерировать 100 случайных паролей и выбрать себе самый красивый! :)
Можно сгенерировать 100 случайных паролей и выбрать себе самый красивый! :)
Попробуйте SuperGenPass. Отличная штука!
SGP давно скомпрометирован (любой сайт может вытащить master password из DOM).
akibjorklund.com/2009/supergenpass-is-not-that-secure
akibjorklund.com/2009/supergenpass-is-not-that-secure
Не надо его использовать, как букмарклет, используйте как дополнения к браузеру и статический генератор.
В чём тогда преимущество перед простой запоминалкой паролей? В том, что указанные адреса открываются с любого компьютера за пару секунд.
Достать базу паролей из дома — сложнее. :)
В чём тогда преимущество перед простой запоминалкой паролей? В том, что указанные адреса открываются с любого компьютера за пару секунд.
Достать базу паролей из дома — сложнее. :)
Такое есть на маке, там все пароли хром хранит в связке ключей, а в настройках связки можно сделать так, что бы при каждом обращении спрашивался мастер пароль.
Где-то пробегала ссылка на дискуссию с разработчиками, они принципиально не хотят делать мастер-пароль и советуют пользоваться сторонними продуктами для запоминания паролей. У меня на машине этим занимается KWallet, вроде, то есть в самом профиле хрома пароли не хранятся.
KeePass [+ KeePassHTTP (плагин для KP) + ChromeIPass (экстеншн для хрома)]
Мастер-пароль спрашивает при каждом открытии файла с паролями, кроссплатформенная реализация (win/linux).
И сгеренит и сохранит и энтропию покажет, да еще и за пользователя куда нужно поставит (если, конечно, настроить)
Мастер-пароль спрашивает при каждом открытии файла с паролями, кроссплатформенная реализация (win/linux).
И сгеренит и сохранит и энтропию покажет, да еще и за пользователя куда нужно поставит (если, конечно, настроить)
все пользователи без исключения будут жамкать на сгенерированный пароль даже не взглянув. Потом будут регистрироваться заново либо восстанавливать этот набор стандартным на сайтах способом (Вы забыли пароль? Введите свой почтовый адрес… и т.д.).
Там же написано что она соэраняет в менеджер а дальше гуглсинк и она уже в облаке
UFO just landed and posted this here
вот не знаю, видимо просто чтобы удостоверится что там не qwerty
UFO just landed and posted this here
я бы сказал многие сайты придирчивые. за время поиска работы и регистрации на сайтах работодателей встречал кучу разных порой взаимоисключающих требований:
— длина пароля не менее 6 символов
— длина пароля не более 12 символов
— обязательно наличие цифр
— только цифры
— обязательно наличие верхнего регистра
— обязательны спецсимволы и/или пунктуация
— спецсимволы и пунктуация не принимаются
— длина пароля не менее 6 символов
— длина пароля не более 12 символов
— обязательно наличие цифр
— только цифры
— обязательно наличие верхнего регистра
— обязательны спецсимволы и/или пунктуация
— спецсимволы и пунктуация не принимаются
Вот она! Вот она — благодатная почва для фанатов теории заговора!
Следующим этапом будет автоматическая регистрация
На многих сайтах очень нехорошие разработчики запрещают использовать спец символы в поле ввода пароля, а еще ограничивают длину. Так что не всегда поможет эта штука судя по ^ и #. Или нужно делать какие то профили для генерации пароля.
И почему до этого додумались только сейчас.
Не посмотрят — забудут, это не проблема по сравнению с паролем «пароль».
Не посмотрят — забудут, это не проблема по сравнению с паролем «пароль».
Сделали бы пароль как хэш от домена, логина и соли — хранить ничего не надо.
Типа коммунизм?) Все пароли общие?)
Соль пользователя — считай пароль, но поскольку это Гугл, то пароль должен быть один, значит надо брать соль с сервера Гугл, где-нибудь 512 байт, ну или пользователь вводит. Не суть важно. Логин тоже пользователь вводит. Коммунизма не заметил.
Помнится ключи под коврик ложили… а кто и вовсе не закрывал.
Юзаю PasswordMaker Pro (есть и под фф и под хром), который генерит пароли на основе домена и мастер-пароля. Имхо оптимальное решение, позволяющее и не запоминать, и не сохранять важные пароли.
все равно пароли в хроме хранятся в незашифрованном виде в sqlite базе, просматриваются этой утилиткой: www.nirsoft.net/utils/chromepass.html
KeePass надежнее будет.
KeePass надежнее будет.
А зачем тогда опция Encrypt all synced data?
Для транспортировки и хранения на сервере.
Странно, я в дампе своей sqlite базы не смог ничего найти, всё закриптовано (кроме имени гмэйл аккаунта). Но это в Линуксе. Дома посмотрю на Окнах
Под форточками пароли великолепно выуживаются спец. утилитками. В один клик.
В окнах пароли зашифрованы на уровне пользователя операционной системы, т.е. любая программа их может читать.
В принципе, это справедливо. Любая программа может и кейлоггер поставить.
В принципе, это справедливо. Любая программа может и кейлоггер поставить.
Скорее всего, пароли хранятся в незашифрованном виде когда синхронизация отключена, когда она включена — всё зашифровано, даже локально.
Ну да, пароль типа имя_собачки небезопасно, а хранить пароль в браузере — верх безопасности…
Ну т.е. гугл будет сам же генерировать пароли и сам их хранить? Может тогда уж вообще отключить в хроме отображение поля для пароля, гугл в бэкграунде будет всё делать сам, а домохозяйке останется только ввести своё имя:)
а домохозяйке останется только ввести своё имяЭто, пожалуй, тоже лишнее.
Какое имя? Ты открыл хром — твое имя тут же всплыло в куках.
Давно уже пора уйти от паролей. Сел за компьютер (включил планшет, раскрыл ноутбук, вставил штекер в разъем на затылке), система определила тебя (по сетчатке глаза, по тепловым зонам лица, по отпечатку пальца, в конце концов, как на всех современных ноутбуках). Все, дальше не должно быть никаких паролей, ибо система знает, что это ты, какая разница гуглом в браузере ты пользуешься, или гуглом в виде хрома / андроида.
Давно уже пора уйти от паролей. Сел за компьютер (включил планшет, раскрыл ноутбук, вставил штекер в разъем на затылке), система определила тебя (по сетчатке глаза, по тепловым зонам лица, по отпечатку пальца, в конце концов, как на всех современных ноутбуках). Все, дальше не должно быть никаких паролей, ибо система знает, что это ты, какая разница гуглом в браузере ты пользуешься, или гуглом в виде хрома / андроида.
Сервис LastPass уже на пару шагов дальше продвинулся.
Может пора Google поглотить его и растворить в своём браузере…
Может пора Google поглотить его и растворить в своём браузере…
Угу и массово народ будет забывать эти пароли. А с другого компа, например, так и вовсе попасть не сможет. Лучше бы генерили не просто криптостойкие пароли, но еще и какую-нибудь мнемосхему к ним подгоняли для запоминания.
Типо как: SMuP5Kr&D
S uper
M an
u nder
P rotection, but
5 kilo
Kr
&
D ie
Достаточно на каждый слог, букву или буквосочетание насовать слов в базу. В результате может получиться прикольный бред, легко запоминающийся.
Типо как: SMuP5Kr&D
S uper
M an
u nder
P rotection, but
5 kilo
Kr
&
D ie
Достаточно на каждый слог, букву или буквосочетание насовать слов в базу. В результате может получиться прикольный бред, легко запоминающийся.
Гугл сгенерил, сохранил в менеджере, а захочешь зайти с другой машины — начнется восстановление и прочее.
Если пароль не вводить часто, то он быстро забудется (тем более для сложных паролей).
Сгенерил — запиши на листочке бумаги или запомни.
Если пароль не вводить часто, то он быстро забудется (тем более для сложных паролей).
Сгенерил — запиши на листочке бумаги или запомни.
UFO just landed and posted this here
По моему скромному мнению, если уже хочется чтобы компьютер генерировал и запоминал пароли вместо тебя, лучше использовать KeePass или 1Password, а не встроенные средства браузера. У 1Password и замечательный плагин к тому же Хрому имеется.
я считаю, что такой функционал должен быть расширением. Иначе начинается превращение в комбайн типа Оперы. Это совсем не плохо, просто я считаю, что не Гугл-way.
Лучше бы поддержали BrowserID :)
То есть отнимают хлеб у LastPass.
У меня запоминание форм в браузере вообще отключенно, не то что пароли. Мало ли кто зайдёт в хром, а там нате, уже всё заполненно заходи меняй что хочешь.
Если можно включить вашего пользователя на вашем компьютере, то можно и любой кейлоггер поставить, так что ваши пароли всё равно под угрозой.
Попробуйте поставить пароль на пользователя. Желательно и домашний каталог зашифровать.
Попробуйте поставить пароль на пользователя. Желательно и домашний каталог зашифровать.
Пароль конечно стоит, если к вам придёт друг и захочет зайти куда то, вы будете менять пользователя? Я обычно открываю «New incognito window». Если и должно быть авто заполнение то только по клику + ввод мастерпароля, иначе смысл?
Если вы доверяете другу, то он пароли смотреть не будет.
Если не доверяете, то инкогнито не спасёт от кейлоггера и банально от просмотра ваших документов на рабочем столе и папки «наши эро-фото».
Если доверяете, но не хотите, чтобы случайно пароли мешались, да, режим гостя в операционной системе. На всех трёх занимает до 10 секунд.
А если и это не подходит, просто другой профиль Хрома.
Если не доверяете, то инкогнито не спасёт от кейлоггера и банально от просмотра ваших документов на рабочем столе и папки «наши эро-фото».
Если доверяете, но не хотите, чтобы случайно пароли мешались, да, режим гостя в операционной системе. На всех трёх занимает до 10 секунд.
А если и это не подходит, просто другой профиль Хрома.
Что ж, было бы очень здорово. Сам пока генерирую пароли в GNOME Password Generator и храню их в KeePassX.
Потом они наиболее активным пользователям будут дарить фирменные стикеры с паролями, чтобы было удобно на монитор клеить.
Куда полезней генератор незанятых логинов
UFO just landed and posted this here
LastPass — и никаких проблем.
Они что думают что кто-то это дело запишет в блокнотик и потом будет вводить все время?
Я просто такой размышляю:
у полей type=password автоматом генерятся пароли, если они не были еще сохранены, а если уже сохранены, то подставляются. И не надо даже смотреть на них и нажимать никуда лишний раз.
Было бы вообще классно, если бы при входе на сайт шла просто проверка через email, и тогда вообще не надо никаких паролей. Бывает так?
Я просто такой размышляю:
у полей type=password автоматом генерятся пароли, если они не были еще сохранены, а если уже сохранены, то подставляются. И не надо даже смотреть на них и нажимать никуда лишний раз.
Было бы вообще классно, если бы при входе на сайт шла просто проверка через email, и тогда вообще не надо никаких паролей. Бывает так?
Раньше тоже пренебрегал паролем, но после одного сюжета о паролях, придумал свою маску:
на практике выглядит это так:
(сокращенное название ресурса в верхнем регистре) в перемешку (неизменное количество неких символов) (спец.символ)(кодовое название времени года в момент регистрации)на практике выглядит это так:
aHdHaRm&0se№ - HabraHabR adam $ ОсеньSign up to leave a comment.
Google готовит встроенный генератор паролей для Chrome