Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 54
О, велосипед :) Но… нафига? Почему не случайный набор символов для пароля? Чтобы при порушенной базе можно было восстановить все пароли ко всем сайтам? А если захочется сменить пароль на один сайт — как быть? Неужели нужно будет для каждого сайта помнить «соль», «алгоритм», и «мастер-пароль»? Эээ…
Может быть для того, чтобы решить проблему резервного копирования базы паролей того же keepass, надо просто начать делать резервное копирование?
Может быть для того, чтобы решить проблему резервного копирования базы паролей того же keepass, надо просто начать делать резервное копирование?
Чтобы при порушенной базе можно было восстановить все пароли ко всем сайтам?
Тут как таковой базы нет, исключение только редкие сайты, где какие-либо ограничения на пароль. Не надо восстанавливать, оно генерируется.
А если захочется сменить пароль на один сайт — как быть? Неужели нужно будет для каждого сайта помнить «соль», «алгоритм», и «мастер-пароль»?
Да. Действительно минус. Не подумал. Но на этот случай можно иметь просто мастер-пароль1, мастер-пароль2 и так далее. Сейчас у многих, кто постоянно меняет пароли имеется несколько паролей. Но в любом случае согласен, что неудобно в данном случае. Спасибо за отзыв.
Может быть для того, чтобы решить проблему резервного копирования базы паролей того же keepass, надо просто начать делать резервное копирование?
Зачем лишние трудности?
И тут золото превращается в черепки: https://tproger.ru/articles/md5-hacking/
Помимо MD5 в планах и другие алгоритмы добавить, на выбор.
И может быть придумать что-то ещё, в частности со спец.символами.
Для пример сгенерировал пароль
и вбил на сайте
И даже, если учесть, что однажды какой-то пароль окажется в радужной таблицу.
Далее в приведённой статье говорится про соль. Но если внимательно прочитать мою статью, то можно увидеть ещё более сложный алгоритм.
По сути в моём примере тоже что на картинке, можно использовать «лошадь скрепка батарея» и пароль становится уникальным для каждого сайта.
Сейчас размышляю над идеей о шифрование соли и алгоритма дополнительно мастер-паролем.
И может быть придумать что-то ещё, в частности со спец.символами.
Для пример сгенерировал пароль
и вбил на сайте
И даже, если учесть, что однажды какой-то пароль окажется в радужной таблицу.
Далее в приведённой статье говорится про соль. Но если внимательно прочитать мою статью, то можно увидеть ещё более сложный алгоритм.
По сути в моём примере тоже что на картинке, можно использовать «лошадь скрепка батарея» и пароль становится уникальным для каждого сайта.
Сейчас размышляю над идеей о шифрование соли и алгоритма дополнительно мастер-паролем.
1) бэкапы!
2) если кинуть базу скажем в дропбокс то можно будет вытянуть недавнюю историю через сайт
3) keepass у меня ни разу не крашило базу, пользуюсь на трех разных ОС ежедневно многие годы
4) есть плагин для автоматического бэкапа (только windows), умеет хранить N последних копий
5) «Невозможность всегда и везде носить с собой базу» — для keepass не актуально. есть клиенты под все популярные платформы. синхронизация через дропбокс (для android рекомендую dropsync) или аналог. база всегда доступна оффлайн
2) если кинуть базу скажем в дропбокс то можно будет вытянуть недавнюю историю через сайт
3) keepass у меня ни разу не крашило базу, пользуюсь на трех разных ОС ежедневно многие годы
4) есть плагин для автоматического бэкапа (только windows), умеет хранить N последних копий
5) «Невозможность всегда и везде носить с собой базу» — для keepass не актуально. есть клиенты под все популярные платформы. синхронизация через дропбокс (для android рекомендую dropsync) или аналог. база всегда доступна оффлайн
Теперь осталось научить этим все пользоваться домохозяйку.
Я согласен, что моему велосипеду тоже надо учить. Но это не сложнее, чем научить использовать NoScript. А этому я учил уже многих людей и люди довольны.
Позже в планах тоже сделать синхронизацию для тех редких сайтов, где требуются особенные пароли, но в любом случае это надо сделать как-то проще. В остальных случаях, точнее в 99.9% случаев — это не надо.
Если по пунктам:
1 и 2 — на это в статье комментировал
3 — у меня было дважды, один раз когда закончилось место на диске, второе — когда сделал хардресет.
4 — есть плагин чтобы пользоваться плагином, для которого тоже есть плагин который помогает пользоваться плагином, чтобы пользоваться плагином
5 — останется только где-то эту базу оставить или потерять телефон с незапароленным keepass'ом
Я согласен, что моему велосипеду тоже надо учить. Но это не сложнее, чем научить использовать NoScript. А этому я учил уже многих людей и люди довольны.
Позже в планах тоже сделать синхронизацию для тех редких сайтов, где требуются особенные пароли, но в любом случае это надо сделать как-то проще. В остальных случаях, точнее в 99.9% случаев — это не надо.
Если по пунктам:
1 и 2 — на это в статье комментировал
3 — у меня было дважды, один раз когда закончилось место на диске, второе — когда сделал хардресет.
4 — есть плагин чтобы пользоваться плагином, для которого тоже есть плагин который помогает пользоваться плагином, чтобы пользоваться плагином
5 — останется только где-то эту базу оставить или потерять телефон с незапароленным keepass'ом
останется только где-то эту базу оставить или потерять телефон с незапароленным keepass'ом
В чем проблема, это же keepass. Если мастер пароль нормальный — оббрутфортьсесь на здоровье. Если нет — ССЗБ.
И да, паролей которые какие-то нестандартные у меня около половины. Или мне их дают и сменить нельзя, или странные требования безопасности или еще чего
Честно поставил KeePass, но не смог его настроить. Муторно там как то все. И готовые пароли из хрома он не достает и синхронизация там с OneDrive непонятная какая то.
Или мне их дают и сменить нельзя, или странные требования безопасности или еще чего
Ну данный велосипед сделан немного для другого — для интернета в первую очередь.
У меня нет таких паролей, которые нельзя сменить. Ну разве что от интернета только и банковской карточки, где двойная аутентификация с кодом из банкомата и СМС. Ну и госуслуги. Больше не припомню.
останется только где-то эту базу оставить или потерять телефон с незапароленным keepass'ом
По дефолту база закрывается (если не ошибаюсь со временем) через минуту простоя для мобильных версий. Пароли из буфера обмена тоже удаляются.
Пример с NoScript явно неудачный — очень неудобный и непонятный плагин.
Для Android рекомендую бесплатный Keepass4Android. Он одновременно держит локальную копию базы, и пытается при старте стянуть свежую копию из облака (dropbox, google drive) + умеет синхронизировать базы, если одновременно поменялась локальная и удалённая.
Ну давай автор, защищай идею.
Получается что где-то надо хранить незапароленные соль и мастер-пароль. На мой взгляд, тут две проблемы и их надо разделять:
1) проблема зпоминания большого количества разных паролей
2) создание достаточной сложности паролей для взлома
Вторая проблема решается путем усложнения пароля и тут масса способов и ваше решение просто повторяет их (добавление дополнительных символов и увеличение длины пароля)
Первая же проблема вытекает из второй, такие сложные пароли и в таком количестве сложно запоминать.
Решение, к которому приходит большинство — создание алгоритма генерации пароля. Причем, такого, который сможет запомнить человек.
Допустим, человек придумал такой алгоритм и успешно его запомнил. Тогда он может избавиться от программ для запоминания. НО! Дело в том, что количество мест, для которых нужно создавать уникальный пароль столь велико, что количество учитываемых параметров при генерации увеличивается и выходит за рамки человеческого желания их запоминать. А еще, иногда, эти параметры могут поменяться, например, сайт переехал на другой домен и надо менять пароль и вспоминать на каком домене он был до этого (если один из параметров был домен).
Человек, в конечном итоге, выбирает более простой путь, использовать менеджер для хранения паролей. Надо просто настроить бэкап файлика с базой. Тут сразу решается проблема взлома алгоритма генерации пароля и запоминания. Т.е. на данный момент, мне видится что менеджеры паролей предпочтительнее таких вот универсальных генераторов.
Где-то на Хабре была статья про бумажную карточку, которая является офлайновым генератором паролей. Так вот с точки зрения безопасности, она даже предпочтительнее онлайнового генератора, т.к. снижает вероятность взлома такого плагина и решает проблему синхронизации между всеми устройствами.
А вообще пароли это узкое место в системах безопасности. Биометрия в этом плане более выигрышна, т.к. избавляет от необходимости запоминать что-либо. С другой стороны, во всех местах используется один и тот же «биопароль», взломав который можно сразу получить доступ ко всему.
1) проблема зпоминания большого количества разных паролей
2) создание достаточной сложности паролей для взлома
Вторая проблема решается путем усложнения пароля и тут масса способов и ваше решение просто повторяет их (добавление дополнительных символов и увеличение длины пароля)
Первая же проблема вытекает из второй, такие сложные пароли и в таком количестве сложно запоминать.
Решение, к которому приходит большинство — создание алгоритма генерации пароля. Причем, такого, который сможет запомнить человек.
Допустим, человек придумал такой алгоритм и успешно его запомнил. Тогда он может избавиться от программ для запоминания. НО! Дело в том, что количество мест, для которых нужно создавать уникальный пароль столь велико, что количество учитываемых параметров при генерации увеличивается и выходит за рамки человеческого желания их запоминать. А еще, иногда, эти параметры могут поменяться, например, сайт переехал на другой домен и надо менять пароль и вспоминать на каком домене он был до этого (если один из параметров был домен).
Человек, в конечном итоге, выбирает более простой путь, использовать менеджер для хранения паролей. Надо просто настроить бэкап файлика с базой. Тут сразу решается проблема взлома алгоритма генерации пароля и запоминания. Т.е. на данный момент, мне видится что менеджеры паролей предпочтительнее таких вот универсальных генераторов.
Где-то на Хабре была статья про бумажную карточку, которая является офлайновым генератором паролей. Так вот с точки зрения безопасности, она даже предпочтительнее онлайнового генератора, т.к. снижает вероятность взлома такого плагина и решает проблему синхронизации между всеми устройствами.
А вообще пароли это узкое место в системах безопасности. Биометрия в этом плане более выигрышна, т.к. избавляет от необходимости запоминать что-либо. С другой стороны, во всех местах используется один и тот же «биопароль», взломав который можно сразу получить доступ ко всему.
Спасибо за такой развернутый комментарий.
Всё правильно и по делу. Почти и возразить нечего.
В моём велосипеде не сложнее чем запомнить «лошадь скрепка батарея»
Вы часто помогали как «тыжпрограммист»? Я бывало и постоянно «я не могу войти в одноклассники, в вконтактик». Большинство при этом имеют один пароль везде и часто типа Настя1981 или Костик2007. Вот таким я теперь точно буду ставить и запоминать там особо нечего будет, придумаю для них всех индивидуальные легкие соли и алгоритмы.
Сам я ушел от keepass к своему велосипеду. Для интернета я уже ощутил всё удобство и плюсы. Это точно проще, чем использовать keepass, действий при этом, от стандартного способа увеличивается всего на два — это щелкнуть по значку плагина и потом нажать ENTER или OK. В планах добавить ещё автозаполнение других полей и, может быть, шифрование, ведь тут уже надо будет базу. База эта всё-таки будет не жизненнонеобходима и её потеря или отсутствие в 99.9% случаев будет не смертельны.
Ну и keepass для домохозяек однозначно сложно.
Повторю, что вы всё правильно сказали, кроме сложности запоминания, остальное это сугубо личное мнение и выбранный путь, а не спор.
Всё правильно и по делу. Почти и возразить нечего.
в таком количестве сложно запоминать
В моём велосипеде не сложнее чем запомнить «лошадь скрепка батарея»
Человек, в конечном итоге, выбирает более простой путь
Вы часто помогали как «тыжпрограммист»? Я бывало и постоянно «я не могу войти в одноклассники, в вконтактик». Большинство при этом имеют один пароль везде и часто типа Настя1981 или Костик2007. Вот таким я теперь точно буду ставить и запоминать там особо нечего будет, придумаю для них всех индивидуальные легкие соли и алгоритмы.
Сам я ушел от keepass к своему велосипеду. Для интернета я уже ощутил всё удобство и плюсы. Это точно проще, чем использовать keepass, действий при этом, от стандартного способа увеличивается всего на два — это щелкнуть по значку плагина и потом нажать ENTER или OK. В планах добавить ещё автозаполнение других полей и, может быть, шифрование, ведь тут уже надо будет базу. База эта всё-таки будет не жизненнонеобходима и её потеря или отсутствие в 99.9% случаев будет не смертельны.
Ну и keepass для домохозяек однозначно сложно.
Повторю, что вы всё правильно сказали, кроме сложности запоминания, остальное это сугубо личное мнение и выбранный путь, а не спор.
Для «домохозяек» более секьюрный вариант — бумажка с паролями под клавиатурой, ее никакие вирусы не выкрадут. Я обычно таким людям сам генерю пачку паролей, они их записывают и пользуются. И, кстати, большинству нужны пароли не для сайтов, а для программ: скайп, аська, почтовый клиент, мобильный банк.
В вашем решении, когда тетя Мотя забудет мастер-пароль или соль, а плагин потеряется (или в нем данные не сохранятся), то пользователь потеряет сразу много паролей, если не все. В случае менеджера паролей (когда база будет утеряна) потеряются все пароли, но сама ситуация менее вероятна, чем «я забыла какая у меня соль» или «ты рассказывал, но ты же знаешь, я в этом ничего не понимаю и не слушала».
Так что для «домохозяек» однозначно лучше бумажка с паролями. Это для них проще, чем запоминать какой программой пароль генерировать.
Насчет кипаса для таких людей я польностью согласен, банально забывают сохранить изменения в базе. Вообще такого рода программы, как бэкапы, только когда беда случится, тогда начинают задумываться, а до тех пор «ой, это сложно».
В вашем решении, когда тетя Мотя забудет мастер-пароль или соль, а плагин потеряется (или в нем данные не сохранятся), то пользователь потеряет сразу много паролей, если не все. В случае менеджера паролей (когда база будет утеряна) потеряются все пароли, но сама ситуация менее вероятна, чем «я забыла какая у меня соль» или «ты рассказывал, но ты же знаешь, я в этом ничего не понимаю и не слушала».
Так что для «домохозяек» однозначно лучше бумажка с паролями. Это для них проще, чем запоминать какой программой пароль генерировать.
Насчет кипаса для таких людей я польностью согласен, банально забывают сохранить изменения в базе. Вообще такого рода программы, как бэкапы, только когда беда случится, тогда начинают задумываться, а до тех пор «ой, это сложно».
бумажка с паролями под клавиатурой
Сразу видно, не был тыжпрограммистом.
И бумажки, и блокнотики, и тетради под системником… ничего не помогает, максимум пару месяцев и теряют.
А если повезло и не потеряли, то там ад творится в записях, что даже черт ногу сломит.
чем «я забыла какая у меня соль» или «ты рассказывал, но ты же знаешь, я в этом ничего не понимаю и не слушала».
Тут я уже ответил
придумаю для них всех индивидуальные легкие соли и алгоритмы
Например всем поголовно дату рождения в алгоритме и имя в соли.
А пароль пусть хоть Настя1981 ставят, зато точно не будет «у меня вконтактик взломали».
Так значит это дело можно использовать для генерации сложного мастер-пароля от базы в keepass, чтобы можно было со спокойной совестью держать бэкапы на каком-нибудь облаке, и при этом, случайно, этот самый мастер-пароль не забыть?
Сразу видно, не был тыжпрограммистом.
Как раз был, поэтому сразу выдавал расчерченную на три столбика и 10-20 строчек бумажку. Людям просто следовать правилу, когда не они его придумали.
«Контактик» часто ломается без подбора пароля.
Я, кстати, не очень долго был «тыжпрограммистом», потому что я не любил помогать людям, которые сами не хотели себе помогать. Поэтому я сразу спрашиваю во сколько люди оценивают безопасность той или иной информации. Если «не хочу чтобы сосед Васька знал», то это бумажка с паролем. Потеря такого рода информации не великая потеря и люди не хотят заморачиваться ради ее охраны. А вот если «тут все мои сбережения», то, как правило, человек легко выучивает и как пользоваться менеджером паролей и двухфакторную аутентификацию.
Изначально в диалоге «тыжпрограммиста» и «домохозяйки» первый неверно полагает, что второй понимает суть проблемы. Решать вопросы обучения и безопасности можно и нужно строго ПОСЛЕ того, как второй участник поймет зачем это надо. До тех пор «домохозяйка» сама будет ломать стену безопасности со своей стороны.
Ну у всех разные подходы и разные люди.
У меня в половине случаев тетрадки терялись. Я говорил, что заводим тетрадку или блокнот и храним под системником, в неё записываем всё, что говорят. Однако спустя полгода-год, обязательно такие люди хватают всякие майлрушки приходится всё переустанавливать. Потом большую часть времени тратится на восстановление паролей.
У меня в половине случаев тетрадки терялись. Я говорил, что заводим тетрадку или блокнот и храним под системником, в неё записываем всё, что говорят. Однако спустя полгода-год, обязательно такие люди хватают всякие майлрушки приходится всё переустанавливать. Потом большую часть времени тратится на восстановление паролей.
Для интернета я уже ощутил всё удобство и плюсы. Это точно проще, чем использовать keepass, действий при этом, от стандартного способа увеличивается всего на два — это щелкнуть по значку плагина и потом нажать ENTER или OK.
Есть аддоны, интегрирующие keepass с браузерами.
Касаемо последней ремарки:
Давайте рассуждать так: если нет защищенного канала или хранилища, обсуждать методы аутентификации бесмыссленно. Все можно подсмотреть/украсть/отрезать. Но если, скажем, украсть нельзя, то подойдет физический USB ключ. Если подсмотреть нельзя — то пароль. Если отрезать нельзя — то биометрия. Все просто + можно комбинировать. Двухфакторная аутентификация, к примеру, подразумевает, что украсть и подсмотреть одновременно не получится (ну да, конечно).
Давайте рассуждать так: если нет защищенного канала или хранилища, обсуждать методы аутентификации бесмыссленно. Все можно подсмотреть/украсть/отрезать. Но если, скажем, украсть нельзя, то подойдет физический USB ключ. Если подсмотреть нельзя — то пароль. Если отрезать нельзя — то биометрия. Все просто + можно комбинировать. Двухфакторная аутентификация, к примеру, подразумевает, что украсть и подсмотреть одновременно не получится (ну да, конечно).
Одно время искал какое то приложение для паролей, не только генерировать, но и хранить. Потом забил. Твое решение хорошо.
Что меня не устраивает. У меня уже есть некоторое количество сайтов на которых созданы учетные записи и переписывать пароли не весело. Потом если я прихожу куда то мне нужен пароль, мне надо найти твой сайт, ввести там данные и получить пароль. Программа на телефоне могла бы избавить от этого, нажал кнопку получил пароль для сайт, причем в программе уже введены соли и алгоритмы… надо только домен ввести и получить пароль.
Как то примерно так.
Что меня не устраивает. У меня уже есть некоторое количество сайтов на которых созданы учетные записи и переписывать пароли не весело. Потом если я прихожу куда то мне нужен пароль, мне надо найти твой сайт, ввести там данные и получить пароль. Программа на телефоне могла бы избавить от этого, нажал кнопку получил пароль для сайт, причем в программе уже введены соли и алгоритмы… надо только домен ввести и получить пароль.
Как то примерно так.
На данный момент — есть плагины для браузеров, ради них и затевалось. Не обязательно искать сайт. Сайт сделан на тот случай, если ты вдруг оказался в гостях. В планах сделать и приложения. Пока останавливает то, что для этого надо будет node.js с хромиумом. Сам код с файлами на данный момент 40-60 кб для каждого браузера или для онлайн версии, а приложение будет весить в разу больше. Это конечно придирки и мелочи в наше время, поэтому чуть позже будет в виде приложения.
Сейчас как раз и работает
Надо ввести лишь пароль, плагин автоматом берет сайт из браузера.
На данный момент я не перебивал на старых сайтах пароли, я заменяю постепенно, по мере необходимости и использования.
У меня есть и блокнотик до сих пор и старые универсальные пароли. Постепенно избавляюсь от этого.
Сейчас как раз и работает
Программа на телефоне могла бы избавить от этого, нажал кнопку получил пароль для сайт, причем в программе уже введены соли и алгоритмы
Надо ввести лишь пароль, плагин автоматом берет сайт из браузера.
У меня уже есть некоторое количество сайтов на которых созданы учетные записи и переписывать пароли не весело
На данный момент я не перебивал на старых сайтах пароли, я заменяю постепенно, по мере необходимости и использования.
У меня есть и блокнотик до сих пор и старые универсальные пароли. Постепенно избавляюсь от этого.
Вы часто помогали как «тыжпрограммист»? Я бывало и постоянно «я не могу войти в одноклассники, в вконтактик». Большинство при этом имеют один пароль везде и часто типа Настя1981 или Костик2007. Вот таким я теперь точно буду ставить и запоминать там особо нечего будет, придумаю для них всех индивидуальные легкие соли и алгоритмы.
На данный момент — есть плагины для браузеров, ради них и затевалось. Не обязательно искать сайт. Сайт сделан на тот случай, если ты вдруг оказался в гостях. В планах сделать и приложения.Я вижу еще одно типичное применение вашего сайта — если пользователь захочет зайти в обозначенные выше «одноклассники» и «вконтакте» через мобильный телефон (как родное приложение, либо через веб-браузер). В таком случае ему либо придется иметь под боком настроенный вами компьютер с установленным плагином и перепечатывать 20+ символов вручную на тачскрине, либо, если такое возможно, воспользоваться заранее настроенным мобильным браузером вроде Firefox с установленным плагином, либо заходить на сайт. После чего вводить на тачскрине домен и мастер-пароль, что уже само по себе сомнительное удовольствие, тем более не исключена вероятность допущения ошибок. Скорее всего, данный сценарий выльется в звонок вам для получения подробных инструкций — а оно вам надо?
Но есть еще одна, более глубокая и важная проблема — она кроется в том, что плагин ограничен в использовании исключительно вебом: если в случае с тем же KeePass пользователю будет понятно, где искать все данные, что он не в состоянии запомнить (начиная от паролей и заканчивая пин-кодами, ответами на секретные вопросы и прочее), то в вашем случае хранение вынуждено фрагментируется. Мастер-пароль пользователь держит в голове, пароли для веб-сервисов генерирует через плагин к браузеру, данные для банк-клиента хранит в блокноте, а пароль для логина в ОС — вообще на листочке под клавиатурой. К сервисам, где невозможно/неудобно использовать ваш плагин, всё вообще будет по старому — либо один пароль на всё (и еще повезет, если это не мастер-пароль), либо в голове. Также интересна ситуация с сервисами, которые высылают предустановленные пароли по почте — пользователь может запросто забыть его сменить, а потом гадать, почему сгенерированный вашим плагином пароль не подходит. Я уж молчу, что у пользователя также может быть несколько почтовых ящиков и/или логинов, он может забыть под каким именем/почтой где регистрировался (и регистрировался ли) и прочее — ваш плагин такие проблемы не решает. В результате мы имеем ситуацию, когда пользователь рано или поздно, но что-то да потеряет/забудет — да, формально это не будет иметь отношения к вам/вашему плагину, ведь он покрывает исключительно пароли к веб-сервисам, но фактически ответственным за выбор такого фрагментированного способа хранения всё равно остаетесь вы.
Я хочу лишь сказать, что полумеры в вопросе хранения паролей совершенно неуместны. А если рассматривать ситуацию комплексно, то можно обнаружить, что городить свои велосипеды уже нет никакой необходимости — ведь существуют реализованные проекты практически на любой вкус и цвет.
Для первого случая и сделана онлайн версия.
Однако, как я тут уже писал в комментария, приложение, в том числе и для Андроид — будет. Не сразу, ибо не писал ещё, но будет. И да, я разок так перепечатывал в приложение для Али, удовольствия никакого :)
Но данная проблема полностью охватывает и остальные менеджеры паролей.
Вторая проблема.
К сожалению, вот так вот сразу, охватить всё и вся не способна ни одна программа, особенно на этапе зарождения. Если будет спрос и запросы на создание базы для тех сайтов, где нельзя сменить пароль — то это будет реализовано. Да и написано всё это на говнокоде JS, так что любой может форкнуть или написать своё. Про несколько почтовых ящиков — я писал: в принципе можно вместо соли писать имя ящика. Да, это получится надо запоминать отдельно, что тут надо действовать по другому. Также имеется идея о запоминание логина, для автоматического заполнения и использовать этот логин в алгоритме, тогда данная проблема отпадёт. Ещё была идея хранить пароли сгенерированые вместе с логином. Но что-то не давало покоя в этой идее. И буквально сегодня я понял как надо сделать подобное. Теперь в планах, помимо TODO на гатхабе
1) Сделать всё таки возможность запоминать пароль, это можно для малозначимых сайтов, и автозаполнение в один клик.
2) Сделать в алгоритме возможность указывать и сохранять логин и/или брать его автоматически из формы. Это получается четвертое слово или может быть, надо подумать, использовать его вместо соли? Такая идея мелькала в голове.
3) Сделать две базы для хранения — шифрованную, которая будет шифроваться мастер паролем и дешифроваться, когда его вбиваешь и обычную, для заполнения в один клик. Но это надо продумать ещё.
Ещё одна идея (правильнее сказать недоработка) вчера родилась, читая комменты — это не отключать поддомен (отключать тоже оставлю), а указывать там приложение, для которого генерируется пароль. Сейчас оно работает непродуманно. А всё потому, что я разрабатывал чисто под себя, у меня не было фидбека. Я бы и онлайн версию не делал и режим гостя, меня полностью устраивало, а пользовался я больше года, но решил вывести в свет этот велосипед. Удобства я ощутил. С некой неприязнью вспоминаю те времена, когда был листочек или txt файлик, когда был keepassx, когда потом были генерации в консоли. Да, есть пару косяков, которые мне попадались, в частности стим сайты, когда пароль на разных доменах надо вбивать, но это редкость.
Другие подобные приложения я не встречал. Хотя не исключено, что где-то есть брат близнец :)
Ну и главное, надо было сразу писать это: никто не мешает использовать два менеджера паролей, потому что мой, на данном этапе фактически не менеджер, а генератор паролей для сайтов. Можно им сгенерировать пароль и записать в любимый менеджер паролем и для удобства серфинга, когда требуется пароль — не открывать менеджер паролей, а воспользоваться моим велосипедом, ибо это быстрее.
(повторю) Надо понимать, что я писал для себя и у меня фидбека не было. После комментов тут, я постараюсь прислушаться к большинству и в будущем сделать на это поправки.
Однако, как я тут уже писал в комментария, приложение, в том числе и для Андроид — будет. Не сразу, ибо не писал ещё, но будет. И да, я разок так перепечатывал в приложение для Али, удовольствия никакого :)
Но данная проблема полностью охватывает и остальные менеджеры паролей.
Вторая проблема.
К сожалению, вот так вот сразу, охватить всё и вся не способна ни одна программа, особенно на этапе зарождения. Если будет спрос и запросы на создание базы для тех сайтов, где нельзя сменить пароль — то это будет реализовано. Да и написано всё это на говнокоде JS, так что любой может форкнуть или написать своё. Про несколько почтовых ящиков — я писал: в принципе можно вместо соли писать имя ящика. Да, это получится надо запоминать отдельно, что тут надо действовать по другому. Также имеется идея о запоминание логина, для автоматического заполнения и использовать этот логин в алгоритме, тогда данная проблема отпадёт. Ещё была идея хранить пароли сгенерированые вместе с логином. Но что-то не давало покоя в этой идее. И буквально сегодня я понял как надо сделать подобное. Теперь в планах, помимо TODO на гатхабе
1) Сделать всё таки возможность запоминать пароль, это можно для малозначимых сайтов, и автозаполнение в один клик.
2) Сделать в алгоритме возможность указывать и сохранять логин и/или брать его автоматически из формы. Это получается четвертое слово или может быть, надо подумать, использовать его вместо соли? Такая идея мелькала в голове.
3) Сделать две базы для хранения — шифрованную, которая будет шифроваться мастер паролем и дешифроваться, когда его вбиваешь и обычную, для заполнения в один клик. Но это надо продумать ещё.
Ещё одна идея (правильнее сказать недоработка) вчера родилась, читая комменты — это не отключать поддомен (отключать тоже оставлю), а указывать там приложение, для которого генерируется пароль. Сейчас оно работает непродуманно. А всё потому, что я разрабатывал чисто под себя, у меня не было фидбека. Я бы и онлайн версию не делал и режим гостя, меня полностью устраивало, а пользовался я больше года, но решил вывести в свет этот велосипед. Удобства я ощутил. С некой неприязнью вспоминаю те времена, когда был листочек или txt файлик, когда был keepassx, когда потом были генерации в консоли. Да, есть пару косяков, которые мне попадались, в частности стим сайты, когда пароль на разных доменах надо вбивать, но это редкость.
Другие подобные приложения я не встречал. Хотя не исключено, что где-то есть брат близнец :)
Ну и главное, надо было сразу писать это: никто не мешает использовать два менеджера паролей, потому что мой, на данном этапе фактически не менеджер, а генератор паролей для сайтов. Можно им сгенерировать пароль и записать в любимый менеджер паролем и для удобства серфинга, когда требуется пароль — не открывать менеджер паролей, а воспользоваться моим велосипедом, ибо это быстрее.
(повторю) Надо понимать, что я писал для себя и у меня фидбека не было. После комментов тут, я постараюсь прислушаться к большинству и в будущем сделать на это поправки.
И да, я разок так перепечатывал в приложение для Али, удовольствия никакого :)Да, вводить на тач-скрине мастер-пароль — действительно то еще удовольствие, но тут вопрос в том, как часто эти пароли нужно вводить на телефоне. К примеру, в Keepass2Android достаточно ввести мастер-пароль один раз, далее для разблокировки базы необходимо ввести лишь несколько последних символов пароля, что значительно быстрее ввода домена и соли. Сам же пароль прекрасно копируется через буфер обмена. Соответственно, если пароль на мобильном телефоне требуется получить раз в месяц — разницы никакой, а если на более-менее регулярной основе, то постоянно запущенный менеджер паролей будет быстрее.
Но данная проблема полностью охватывает и остальные менеджеры паролей.
в принципе можно вместо соли писать имя ящика. Да, это получится надо запоминать отдельно, что тут надо действовать по другомуВ этом и заключается ключевая проблема — исключение тут, исключение там и пользователь уже не помнит, как и куда зайти. Я вам более того скажу, как пользователь менеджеров паролей с 2010 я вообще периодически обнаруживаю удивительные для себя записи — делаю открытия, что я, оказывается, регистрировался когда-то на сайте, который, как посчитал, вижу впервые — при этом находясь в здравом уме и твердой памяти. Т.е. при более-менее частом использовании ваш вариант вполне рабочий, но в сценариях «зарегистрировался в этом интернет-магазине полгода назад» пользователь об этом может и не вспомнить (особенно если сайт сменит дизайн), только посмотреть в вашем случае будет негде.
С некой неприязнью вспоминаю те времена, когда был листочек или txt файлик, когда был keepassx, когда потом были генерации в консоли.
надо было сразу писать это: никто не мешает использовать два менеджера паролей, потому что мой, на данном этапе фактически не менеджер, а генератор паролей для сайтов. Можно им сгенерировать пароль и записать в любимый менеджер паролем и для удобства серфинга, когда требуется пароль — не открывать менеджер паролей, а воспользоваться моим велосипедом, ибо это быстрееМожно конкретно уточнить, чем вызвал ваше недовольствие тот же keepassx? Про быстроту ввода пароля я с вами не соглашусь — на 95% сайтов достаточно сделать ctrl+f domain, после чего ctrl+v и вы уже залогинились. Да, некоторых случаях придется менять фокус окна и нажимать ctrl+b ctrl+v и ctrl+c ctrl+v, но опять же, всё упирается в частоту использования — если пользователю потребуется несколько паролей подряд, то каждый раз вводить в плагине домен+мастер-пароль будет однозначно дольше. К тому же, существуют плагины для браузеров с интеграцией менеджеров паролей — я ими не пользовался (не было нужды), но что-то мне подсказывает, что там уже частично реализован тот функционал, который вы хотите заложить в ваш плагин.
К примеру, в Keepass2Android
Повторю, что всё ещё впереди и до мобильных платформ может доберусь.
Сейчас для этого есть или онлайн версия, если разово надо, или можно попробовать поставить дополнение в браузер. Мне не доводилось ещё использовать аддоны на мобильнике, не было нужды, но в планах есть проверить и, если потребуется, исправить под мобилы.
В этом и заключается ключевая проблема — исключение тут, исключение там и пользователь уже не помнит, как и куда зайти
Ещё раз. Проект только запущен в массы, исключения будут искореняться. Конечно все проблемы решить не получиться, тем более в одночасье, но если будет востребовано, то обязательно попытаюсь решить.
Сейчас диалог выглядит так:
— господа, я вот придумал свой велосипед, он пока ещё самокат, но удобный
— Но в нем же нет педалей, какой же это велосипед?
— Ну будут в будущем, если потребуется
— Но в нем же нет бензинового мотора, а вот без него очень неудобно. А ещё и крыльев не хватает.
То что вы озвучиваете эти проблемы, это хорошо, но не может быть сразу и самоката, велосипеда и самолета. Потом, со временем можно будет сделать некий трансформер, но постепенно.
но в сценариях «зарегистрировался в этом интернет-магазине полгода назад» пользователь об этом может и не вспомнить
Ну ситуации разные бывают, всё не угадать, а если ещё и придумывать на ходу. У меня например ситуация, то база два раза только на keepass в 2012-13 годах наворачивалась и все сохраненные пароли ушли в небытие. Благо важные пароли у меня в голове, а то представляете какая проблема восстанавливать пароль от ВебМоней? Остальные восстановил, благо это были не пароли, которые мне давали и которые нельзя было восстановить. А были бы такие пароли?
Исходя из вашей ситуации, то вам бы сервис сказал, что на ваше мыло уже есть регистрация. А если предположить, что регистрация была на умершее мыло? Предположим сервис закрылся, а вы по юной глупости в нем мыло держали. Или отобрали мыло, ибо долго им не пользовались? Как восстановить пароль? Никак! А вот с моим мегасуперкрутыминновационным плагином это можно было бы. Равно также, если сервис не предоставляет восстановление. Я вот с 2008 года много раз терял txt файлики, или в браузере сохранённые пароли. Разумеется люди делятся на тех кто делает бекапы и таких как я. И я с уверенностью могу сказать, что таких как я — больше.
То что вы придумываете сложные ситуации — это хорошо и под них тоже вероятно будут реализовываться решения.
Можно конкретно уточнить, чем вызвал ваше недовольствие тот же keepassx?
Уже много раз писал — база убивалась дважды (это то что я помню, когда большое число паролей уходило в небытие)
Про быстроту ввода пароля я с вами не соглашусь — на 95% сайтов достаточно сделать ctrl+f domain, после чего ctrl+v и вы уже залогинились.
А ещё запустить надо, ну и лишние движения, чтобы вы не говорили.
то каждый раз вводить в плагине домен+мастер-пароль будет однозначно дольше
Зачем же всё это вводить? Алгоритм вообще лучше не трогать. Если надо для разных сайтов, то только пароль, соль и алгоритм сохраняются в настройках (надо внести после установки). А соль новую и пароль придётся на данном этапе (как это будет исправлено в будущем я писал), если надо вводить на одном сайте. Домен сам определяется, если для него есть надстройки. Вы просто попробуйте в своём любимом браузере (если это не ИЕ) поставить, ради интереса.
Что касается горячих клавиш, то в планах тоже сделать горячие клавиши для вызова, но пока только мышкой тыкать по значку на панели плагинов.
И ctrl+f у меня в браузерах это поиск по странице. Если это горячие клавиши для вызова keepass'а, то это серьезный недостаток. Шучу конечно, я понимаю что вы не упомянули ещё одно действие — переключиться на keepass.
Сейчас диалог выглядит так:Я конечно извиняюсь, но мой комментарий преследовал другую цель — не бездумно покритиковать вашу нынешнюю реализацию, мне интересней прочитать про решение той или иной проблемы в будущем. Если переформулировать ваш пример, то мы получим что-то вроде:
— господа, я вот придумал свой велосипед, он пока ещё самокат, но удобный
— Но в нем же нет педалей, какой же это велосипед?
— Господа, я вот придумал свой велосипед, он пока ещё самокат, но удобный
— А каким образом вы собираетесь превращать его в велосипед, если в нынешней реализации рамы конструктивно не предусмотрена возможность установить систему, педали будут задевать асфальт и т.д. и т.п.?
Исходя из вашей ситуации, то вам бы сервис сказал, что на ваше мыло уже есть регистрация.Обычно так и будет, но мой случай не самый типичный, потому что у меня не один (и даже не два) почтовых ящика, на которые я провожу регистрации на сайтах. Но в ряде случаев (более реалистичный вариант для типичного пользователя) в качестве логина используется не почтовый ящик, а никнейм (а он у вас один везде? что делать, если такой никнейм уже занят?). Бывают сервисы, где и логин будет предустановлен — как на том же хетзнере он генерируется из сокращенной комбинации имени+фамилии с добавлением цифр — я, к примеру, запомнить всё это не в состоянии, особенно спустя время.
Разумеется люди делятся на тех кто делает бекапы и таких как я. И я с уверенностью могу сказать, что таких как я — больше.В целом, ход ваших мыслей понятен. Прискорбно, конечно, что бекапов вы до сих пор не делаете (проблем с кипасом можно было избежать используя любой облачный сервис), но что поделать — каждый сам кузнец своего счастья.
про решение той или иной проблемы в будущем… не предусмотрена возможность установить систему, педали будут задевать асфальт и т.д. и т.п.?
Ну я вам и стараюсь развернуто ответить. Разумеется много с ходу не придумать и возможно придётся колёсики побольше поставить, чтобы педали не задевали асфальт.
в качестве логина используется не почтовый ящик, а никнейм (а он у вас один везде?
В большинстве случаев один, но были исключения, где не хотел светиться. А вот восстановление и регистрация всё же происходит на мыло в первую очередь.
как на том же хетзнере он генерируется из сокращенной комбинации имени+фамилии с добавлением цифр
Что-то не припомню, где бы я такое встречал. Тут надо думать.
Опять таки, повторю, если будет спрос, то можно развить проект для расширенной базы исключений, вплоть до пользовательских полей. Разумеется это будет уже тот же keepass, но всё же это будет keepass для исключения.
Прискорбно, конечно, что бекапов вы до сих пор не делаете (проблем с кипасом можно было избежать используя любой облачный сервис)
Делаю и даже на зеркальный RAID, но вручную и редко. И не всё можно и нужно бекапить. Но все мы знаем, что более 95% людей
Что только не придумают, лишь бы пароли не запоминать ))
Проблема procedural generated паролей в том, что нельзя поменять пароль только для одного сайта — нужно или менять мастер-пароль для всех сразу, или записывать, где каким алгоритмом с какими параметрами сгенерирован пароль, а это уже возврат к базе паролей, от которой вы хотели уйти.
>На данный момент нет спецсимволов, но они запланированы
Увы, сейчас каждый второй сайт требует спецсимволы (будь они прокляты). Без этого функционала плагин практически бесполезен.
Про то что невозможно сменить пароль на отдельном сайте и почему это плохо — уже написали выше.
Так что идея хороша, но сыровата.
Увы, сейчас каждый второй сайт требует спецсимволы (будь они прокляты). Без этого функционала плагин практически бесполезен.
Про то что невозможно сменить пароль на отдельном сайте и почему это плохо — уже написали выше.
Так что идея хороша, но сыровата.
Спасибо автору за интересную разработку! Являюсь активным пользователем arch linux. Огромная просьба, когда будете делать приложение, не забудьте про AUR! Для полного юзабилити очень хочется иметь программу на компьютере, а не только в облаках или браузере. Готов даже материально поддержать автора, для перехода на его программу, чтобы уйти от lastpass или zoho.
то же самое, но с большим количеством настроек https://passwordmaker.org/passwordmaker.html
добавьте пожалуйста еще большие буквы и спецсимволы, а так же возможность выбора длины пароля
пользуюсь около года http://youshellpass.ru/ — очень доволен.
теперь буду использовать ваш плагин
пользуюсь около года http://youshellpass.ru/ — очень доволен.
теперь буду использовать ваш плагин
Как всегда спасибо за труды. У меня правда уже есть https://1password.com и большего как-то желать не приходится.
На чём основывается уверенность, что эти онлайн-сервисы (ещё и платные) безопасны?
Он не онлайн, а локальный. Онлайн версия сервиса появилась относительно недавно, насколько я помню. Для синхронизации можно использовать как сервера 1P, так и свой. А можно вообще синхронизировать только по wifi в рамках одной сети (приложение имеет свой сервер для этого).
Главное основание состоит в том, что 1P на рынке с очень давних пор (раньше чем все эти keypassы и иже с ними) и очень хорошо себя зарекомендовал.
+ У программы есть встроенный фунционал проверки сайтов и аудит безопасности.
Главное основание состоит в том, что 1P на рынке с очень давних пор (раньше чем все эти keypassы и иже с ними) и очень хорошо себя зарекомендовал.
+ У программы есть встроенный фунционал проверки сайтов и аудит безопасности.
Небольшое замечание про комикс: во втором случае 4 слова не дадут больше энтропии, если я не ошибаюсь, так как это 4 словарных слова, а не просто 4 набора случайных букв.
Именно как 4 словарных слова они и посчитаны. Количество слов в словаре — это максимальное количество значений в каждом поле. В комиксе принято 11 бит — это ОЧЕНЬ заниженная оценка, то есть 2^11=2048, в английском языке на пару порядков больше слов, даже если пользоваться только самыми распространёнными — оценка останется верной.
Наверное самые лучшие пароли у китайцев, если писать иероглифами — четыре иероглифа и вуаля — надёжность пароля как в комиксе)
Наверное самые лучшие пароли у китайцев, если писать иероглифами — четыре иероглифа и вуаля — надёжность пароля как в комиксе)
http://supergenpass.com/
Есть поддержка алгоритма во многих сторонних реализациях, в том числе и для мобильных устройств.
Есть поддержка алгоритма во многих сторонних реализациях, в том числе и для мобильных устройств.
А еще есть сайты с ограничениями на длину паролей. Ну, к примеру, aliexpress — 6-20 символов. С этим тоже надо что-то делать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
¡No PASSarán — менеджер и генератор паролей