Comments 104
Пароли на стикерах это как иконки в автомобиле: безопасность конечно не безупречная, но она ведь есть!
Расшифруйте про иконки плз, не понял)
Иконки буквальные
Смысл в том что каким бы сложным и длинным не был бы пароль, он не имеет абсолютно никакого смысла, так как хранится в открытом виде на стикерах. Так же с иконками в автомобиле: существует определенная категория людей, которые считают, что можно обвешать ими весь салон и полностью наплевать как на элементарные правила безопасности ( ремень ) так и на пдд в целом ( скорость и т.п. )
— У нас дыра в безопасности.
— Ну хоть что-то у нас в безопасности.
— Ну хоть что-то у нас в безопасности.
Кто бы сломал первый канал и россию и пустил в прайм тайм фильм Срок или что-то подобное
С начала пытался ругать, когда сотрудники пароли хранили где то на стикерах, потом сделал проще — пусть хранят, но «шифруют» их там для себя. Метод шифрования подходил, если я не мог подобрать пароль имея стикер)
Стикеры надо хранить под клавиатурой, мы всегда так делаем.
UFO just landed and posted this here
Да, один.
И сколькл паролей Вы вообще помните? Несколько сотен таких запомните?
На а какие проблемы-то?
ИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
[a@o]# modprobe petrosyan
ПарольОтГмэйла — GfhjkmJnUv'qkfИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
Без клавиатуры с кириллицей набор такого пароля (с тач-смартфона) превращается в пытку…
Угу, с телефона например.
Мне мама сломала мозг придумав пароль от вайфая, как номер моего телефона наоборот. Для меня ввести его оказывается крайне сложно, а ей легко запоминается.
Интересно, а чем отличается пароль на стикере от пароля на аппаратном токене?
Кстати, хорошая идея. Keepass с аппаратной реализацией.
Кстати, хорошая идея. Keepass с аппаратной реализацией.
По мне так лучше на сертификатах с открытым и закрытым ключом работать.
Вы знаете, но нет. Если малваря на компьютере, то она спокойно подпишет себе всё, что нужно. В отличие от этого ручной перенос пароля из одного устройства в другое — совершенно неавтоматизируемая процедура и каждый пароль придётся тырить с большим оверхедом. И даже до идиота дойдёт, что если компьютер спрашивает все пароли по-очереди, то тут что-то не так.
А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
Вот она, квинтэссенция современной безопасности!
Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
К слову, я обычно делаю ответ на секретный вопрос аналогичный паролю, т. е. rsekt7b6aKYBwveriIA465wKjssdgd54 например (не те же самые символы, что и в пароле, но именно что-то сложное для взлома). Так вот, как-то надо было то-ли на mail.ru зарегистрироваться, или еще где-то в подобном месте, так вот, там было ограничение на ответ на секретный вопрос 10 символов, даже сам пароль мог быть длиннее.
UFO just landed and posted this here
Все продвинутые перцы давно уже пишут на стикерах хеши паролей.
Зачем? Их там обычно пишут чтобы не забыть. Ну вот забыли вы пароль, и чего вы с хэшем сделаете?
Крутые перцы хеши всех своих паролей знают наизусть
MD5 («123456») = e10adc3949ba59abbe56e057f20f883e
MD5 («pupkin») = 5c18188325b1bc0e708c09086e5394c3
MD5 («pupkinpupkin») = c7788fbd3aef87b5893a5ddcf83b758a
Do you even joke, brah?
UFO just landed and posted this here
Этот способ дурно влияет на отношения в коллективе.
Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
А какое он имеет право оставлять комп с рабочей информацией не заблокированным?
Так то оно так. Но какое право сосед имеет лезть в чужой комп а посторонних на закрытой территории не бывает.
Пожалуй, в некоторой степени правы и вы, к тому-же на столах могут быть рабочие бумажные документы, их что, тоже постоянно запирать в сейф? В любом случае, вопрос информационной безопасности — тема обширная, и человеческий фактор — один из основных ее разделов. Вариант, описанный выше — просто идея, как с этим можно работать.
UFO just landed and posted this here
Таки пустое или с именем?)
По-моему, довольно очевидным является соображение, что вся эта порнография с паролями попросту не работает. Когда один сайт требует не менее 10 символов, другой не более 9, третий хочет спецсимволы, четвёртый их не переваривает и так далее, то человеку ничего не остаётся делать, кроме как записывать туда, где никто ему таких ограничений ставить не будет.
У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
В качестве некоего щадящего режима, можно придумать себе одну, сколь угодно сложную основу, которая по условиям будет подходить на большую часть обычных требований к паролю и добавлять к ней какой-то ваш способ идентификации сайта. Например:
Основа: V3b1n2
Пароль для хабра: habrV3b1n2
Пароль для фейсбука: faceV3b1n2
Основа: V3b1n2
Пароль для хабра: habrV3b1n2
Пароль для фейсбука: faceV3b1n2
Достаточно пару утекших баз с паролями и можно получить доступ ко всем остальным.
Для этого надо целенаправленно знать, к кому мы получаем доступ. А для целенаправленной атаки, ясно дело, этот способ не спасает, никто и не спорит. Как я и написал, это щадящий режим — который обеспечивает какую-то приемлемую защиту, но не заставляет пользователя взрывать мозг в попытке запомнить незапоминающееся.
Я понимаю, что вы предлагаете решение для реального мира как он есть, но согласитесь, порочна сама идея того, что надо заставлять человека выдумывать какие-то безумные комбинации с ограничениями, а потом ещё наказывать за то, что не у всех это получается.
А потом внезапно найдется сайт/сервис, которому ваш пароль не понравится, и система начинает рушится как карточный домик.
Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
Честно говоря, я этой системой пользуюсь последние пять лет (за исключением сервисов связанных с деньгами) и ни разу мне такого не попадалось.
Мне вот попадается регулярно.
Забил на запоминание паролей, голова не резиновая все запоминать.
Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
Забил на запоминание паролей, голова не резиновая все запоминать.
Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
Обидно, но далеко не везде восстановление пароля — работает. В одном малобюджетном интернет-магазине игр, восстановление пароля оказалось сломано, и на запрос «что делать и когда заработает восстановление пароля» мне не ответили. Прошло около двух месяцев, прежде чем я снова смог залогиниться на том сервисе путем высылки «инструкций» на почту.
у кого-то KeePass и куча других неудобствНеудобства не уменьшают безопасность.
Это из оперы «шашечки или ехать».
Особенно глупо выглядят все эти ограничения, когда знаешь, что хранится все равно хеш, длина у которого одинакова, блин.
у нас добрее немного :)
никакой премии, конечно, не лишают
но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
ну или ещё что-то такое прикольное
никакой премии, конечно, не лишают
но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
ну или ещё что-то такое прикольное
Да ну, постанова какая-то
А уж какие возможности дают методы Super-resolution! Даже если стикер с паролем так попал в кадр, что ничего разобрать вроде бы невозможно — информацию из нескольких кадров можно особым образом совместить и получить изображение с более высоким разрешением.
Как раз недавно читал, что отношение сигнал-шум при этом увеличивается как корень из количества совмещаемых кадров. Иными словами, снять и совместить текущей матрицей 100 кадров будет аналогично снятию одного кадра с матрицей, имеющей в 10 раз лучшие характеристики.
Вечная проблема прокладки между клавиатурой и стулом.
Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:
Одновременно, в один и тот же момент, погасли все экраны TV5, прекратилось вещание, просто черный экран, что называется, все 11 телеканалов выключились. Одновременно был перехвачен контроль злоумышленниками над сайтом TV5, [...] Одновременно был перехвачен контроль над аккаунтами TV5 в Фейсбуке, в Твиттере и в других социальных сетях. Все это произошло в одну секунду, все это потом продолжалось почти сутки.Если это всё так (а у меня нет причин не верить Сергею), то одними бумажками с паролями от соцсетей тут явно не обошлось; интересны остальные подробности атаки, в частности, как именно злоумышленники получили управление телеэфиром?
Ну, теоретически в личках социалок могла быть критичная переписка. Да и затроянить внутреннюю сеть компании через их же собственные аккаунты легче — сотрудники ткнут в любую присланную фишинговую ссылку.
> Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:…
>… Если это всё так (а у меня нет причин не верить Сергею)…
Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
Пора взрослеть пока не поздно.
>… Если это всё так (а у меня нет причин не верить Сергею)…
Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
Пора взрослеть пока не поздно.
Если бы они (те, кто предполагается захватил эккаунты) получили управление эфиром, на экранах появились бы неприятные бородатые типы в простынях и с калашами. Я за то, что руководство канала запаниковало и на всякий случай повелело отключить трансляцию.
Добровольное отключение «на всякий случай» плохо соотносится с этой фразой: Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов».
«A trust is its weakest point,» said Jeff Peters.…
… The only way to break up a trust is from the inside.…
… The only way to break up a trust is from the inside.…
Я конечно согласен, что хранить на общедоступных стикерах, да еще и показывать в интервью — это идиотский поступок. Но тем не менее, проблема хранения паролей все еще качественно не решена. Кто-то запоминает, кто-то делает везде одинаковые, кто-то записывает, но все это неудобно. А если в прфессиональных целях регулярно нужны десятки паролей (как в сабже)?
Мне кажется это потенциальная ниша для инноваций.
Мне кажется это потенциальная ниша для инноваций.
UFO just landed and posted this here
У вашей схемы есть еще один недостаток. Вернее два.
1. Потеряется / сломается телефон — и все.
2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.
Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
1. Потеряется / сломается телефон — и все.
2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.
Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
UFO just landed and posted this here
lastpass?
Я, конечно, тот еще параноик, но хранить пароли на третьестороннем сервисе, это как-то уж слишком.
Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
Расскажите прямо сейчас, чем шифрованная база в дропбоксе отличается от шифрованных паролей в ластпассе, в смысле паранойи.
Да легко. В дропбоксе лежит контейнер, который я сам зашифровал как мне нужно и туда положил. А в ластпассе я хрен его знает как они там хранят базу и кто имеет к ней доступ.
Зашифрованная БД Keepass хранится в зашифрованном контейнере который синхронизируется с Dropbox. Такой вариант явно надежнее чем сторонний lastpass.
Не вижу разницы. Ластпасс хранит базу, зашифрованную вашим мастер-паролём, который никогда не передаётся. «Как нужно» вам может и правильно, а может и нет. Я вот, к примеру, не считаю себя криптографически более образованным, чем специализированная фирма вроде Ластпасс, и если они говорят AES-256 плюс PBKDF2 это хорошо, то я склонен им верить больше, чем себе, ибо как я бы хотел заниматься тем, чем я хочу заниматься, а не думать о шифровании.
И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
Потеряется телефон — останется на локальной машине(нах).
Теперь, я понял историю с anekdot.ru, о том как телефон уронили в дырку общественного сортира…
Идея хранения паролей на телефоне, навела меня на мысль, что нужно отдельное устройство хранения, вроде когда-то популярных Электронных Записных Книжек, постоянное находящееся в OFF-Line, что исключило бы вероятность взлома через Wi-Fi, java в браузере телефона и тому подобное — чтобы к устройству было бы физически невозможно подключиться без желания владельца. А на случай крайней надобности можно и USB-порт иметь. Само же электронная записная книжка для паролей, помимо ввода паролей, должно иметь и биометрическую аутентификацию, на случай случайной потери (от преднамеренного похищения записной книжки и отпечатка — конечно это не спасёт, но если случайно потерять...). На случай потери, так же должно иметься отдельное подключаемое напрямую через USB мини-устройство для бэк-апа, которое надлежит хранить отдельно в надёжном сейфе.
А если кейлогер схватите? Мастер пароль улетит, а с ним и все остальные…
>Храню пароли в Keepass все пароли не менее 16 символов
Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
Про Keepass или Password погуглите.
Вот как-то не ожидаешь на хабре таких формулировок: кто-то воспользовался паролями из открытого источника и это, блин, взлом! Что ломали — пиксели в Youtube? Ладно там на ленте, если так напишут, но здесь-то можно различать такие понятия.
Помню свой первый пароль в далёком прошлом (да да это была почта на mail.ru). Это казалось каким то таинственным и загадочным. Сразу представил себя агентом спецслужб. Круто, подумал я. Ведь теперь у меня есть свой пароль, который я никому не должен говорить и это должна быть моя тайна, которую я должен хранить. Сейчас это не кажется таким крутым:) Теперь я использую менеджер паролей для запоминая логинов и паролей от сотни сайтов, сервисов и админок с такими цифрами и буквами что запомнить их все для меня невозможно :)
Сколько было утечек с этими паролями, то человек уволился и забрал все пароли, то чья-нибудь подруга увидела и передала куда не надо. Ну смешно уже. Серьезные компании. А со стороны популярных сервисов twitter, youtube и тд. — ну сделали бы для корпоративных клиентов авторизацию по токену + логин/пароль + одноразовая смс, согласен это не панацея, но хотя бы от таких курьезов избавила бы мир.
Не совсем улавливаю каким образом имея пароль к аккам в соц. сетях ( и даже допустим, к оф. сайту) можно было взломать систему трансляций.
Какая-то криворукая система у них там в этом случае.
Какая-то криворукая система у них там в этом случае.
Sign up to leave a comment.
Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями