Comments 33
Про браузеры слишком общие выводы. Реализации всё же разные бывают. Про Яндекс Браузер напомню ссылку на хабропост https://habr.com/ru/companies/yandex/articles/344382/
Нет смысла рассматривать детали реализации, если в самых популярных Chrome и FF (напомните, к слову, сколько у них доля рынка) все именно так, как и написано: никакой безопасности хранения паролей, в общем-то, и нет. Любая непривелигированная программа запущенная от того же юзера получит все сохраненные пароли без особых проблем
Вы всё верно написали. Принёс ссылку только потому, что в тексте упоминается Яндекс Браузер. И может сложиться впечатление, что механизм у всех одинаковый. Про популярность вообще спорить не хочу: на каждом отдельно взятом рынке она своя.
И "популярность" Яндекс Браузера обеспечивается, в том числе, неафишируемой(!) партнерской программой впаривания его под видом свбодно доступного софта, да. Хотите доверять этому пароли?
Возможно уже выросло поколение которое этого не знает, но я просто хочу напомнить, что Chrome в начале своего пути точно так же распространялся через партнёрку.
Никого оправдывать не хочу, лично мне такой способ тоже крайне не приятен. Однако вынужден признать, что если бы так не делали, то скорее всего мы сейчас бы до сих пор сидели на IE (те кто под виндой работает конечно).
В смысле тот IE который нужен был только штобы нетшкаф нафигатор скачать? А зачем на нём сидеть было, при том что даже опера до 12-ой версии была куда более интересной, чем даже распоследний 11-ый ослик (кстати уже успешно пристреленный даже хозяевами)? Видимо выросло поколение которое забыло насколько все дружно ненавидели ослика задолго до появления хрома
Навигатор, если я правильно помню, денег стоил. Ранние версии по крайней мере.
И какой процент людей ослика ненавидели? Я имею в виду не ИТ-сообщество, а из всех людей кто виндой пользовался? Из тех людей которые даже слово "браузер" не знают. Для которых Интернет=IE, который есть из коробки, бесплатен, и в общем-то работает.
Ну не знаю, на дисках с варезом было бесплатно, а потом появился вполне бесплатный FF. А до того опера, да, в т.ч. даже на первых мобилках, которые были именно мобильные телефоны... Кто-то ещё даже Kopete вспомнит и кучу других поделок над вебкитом.
Интернет=IE заканчивалось у большинства новоприбывших очень быстро и начиналось удаление всякого шрота, левых урликов из автозапуска, кучи баганутых и троянизированных тулбаров, классическая мантра "эта штука нужна только чтобы скачать нормальный браузер", антивирь, обновления, разъяснительные работы что негоже всяким решетом куда попало ходить, что попало качать. Шутка что IE это такой браузер чтобы скачать нормальный браузер появилась жесть как давно, наверное ещё фидошечка жива была и баш только зарождался. А приключения с вёрсткой до IE9 включительно вызывали зубную боль примерно у всех кто сталкивался с вёрсткой. Если вы не в курсе всего этого кардебалета, то пожалуйста не нужно писать про какие-то там поколения которые застали чуть ли не динозавров, винни пуха и 9600 бод...) Не от большой любви к IE у него были такие сдающие позиции, что оказалось проще его выкосить и запилить Edge
Вы снова делаете ту же ошибку на которую я Вам уже указал - натягиваете свой личный опыт человека варящегося в ИТ и проживающего в стране где диски с варезом продавались на каждом углу. А я говорю про мир в целом, про всех пользователей. Не связанных с версткой и которым боль верстальщика до одного места. Как еще донести свою мысль я не знаю, поэтому на этом всё.
Это ещё одно ваше ошибочное предположение, я не верстальщик. Но я знаю достаточно веб-приложений, которые поддерживают Chrome, FF, Safary, но не IE. Пользователям этих сайтов, конечно, пофиг каким браузером пользоваться... лишь бы не IE) Статистика, хоть в определённые периоды и странная, вполне доступна. Ещё раз - IE убили не потому что он был якобы дофига обожаем пользователями, удобен, фичаст и волосы от него были мягкие и шелковистые. Да, он был по умолчанию предустановлен и навязывался в максимально наглой форме - на этом всё. Я не знаю как вам ещё донести мысль, что ослик сдох и туда ему и дорога, никто бы на нём при наличии выбора в здравом уме не сидел, но ваш первичный подгон что хром якобы стал популярен потому что использовал вирусное навязывание с каждым инсталлом, как до сих пор у Яндекса - ну вообще смешно смотрится. Может и движок хрома все стали к себе тащить потому что где-то есть специальная версия Download Master которая навязчиво предлагает при установке заодно и свой браузер на хромиуме запилить? Ну бред же
Мне не надо доносить мысль, что "ослик сдох и туда ему и дорога". Я с ней и так согласен. И заметьте, что я нигде не писал, что он был обожаем пользователями. Но я продолжу настаивать на том, что Хром стал популярен во многом из-за вирусного распространения. Дополненного, кстати, масштабной рекламной компанией, в т.ч. и на ТВ. Это естественно не единственная причина была, но первоначальный (и очень хороший) импульс был дан за счёт этого. Он возможно стал бы популярен и так, но заняло бы это гораздо больше времени. А теперь спросите себя ради чего Гугл вложил столько бабла в разработку, партнёрские программы и рекламу? Ровно ради того же для чего это делает Яндекс сейчас. И да, лично у меня, Яндекс сейчас вызывает еще большее отвращение чем Гугл тогда (не только из-за Я.Браузера).
А движок Хрома тащят потому что он хороший (я обратного нигде и не писал) и бесплатный. Очевидное решение - взять бесплатное готовое, не вкладывать денег в разработку своего и не иметь проблем с совместимостью.
Для SOHO KeePassXC - пароли по таймауту вполне себе подтирает, умеет хранить TOTP (ну, нормальные, а не "свой путь" как у некоторых), умеет приватные ключи подливать в SSH-агент (в т.ч. в OpenSSH даже на винде). Для особо ленивых умеет в биометрическую авторизацию.
Синкать можно через что угодно, хоть дропбоксы и прочие синктинги, хоть keeweb. При синке через чужие облачка просто помимо пароля прихраните ещё файл-ключ и раскидайте его по своим железкам мимо облачка.
На телефоне KeePassDroid
Для компаний self-hosted Bitwarden
Так же стоит отметить, что в KeePassXC есть встроенный плагин для проверки паролей через HIBP.
Для телефона использую KeePassDX, он более современный и активно поддерживается сообществом.
Ну и плагин для браузера KeePassXC-Browser.
есть встроенный плагин для проверки паролей через HIBP.
Хе.
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
— Как вы думаете, Учитель, пароль «上网查询或税务» стойкий?
— Нет, — ответил мастер Инь, — это словарный пароль.
— Но такого слова нет в словарях...
— «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
— А пароль «Pft,bcm» подойдёт?
— Вряд ли. Он тоже словарный.
— Но как же? Это же...
— Введи это сочетание в Гугле — и сам увидишь.
Сисадмин защёлкал клавишами.
— О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
— Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул:
— Молодец.
— Я ввёл его в Гугле, — продолжал Сисадмин, — и убедился, что в Сети такого сочетания нет.
— Теперь есть.
(— Суждения о безопасности мудреца Инь Фу Во, записанные его учениками)
KeePass относится…
…
Наверное, поэтому его основная аудитория — технические энтузиасты.
"А так же их родители" © (Ералаш) Два часа с ними посидел — во всю теперь пользуются. Заодно показал, как "бэкапить" на флешкИ без проблем.
В общем, сложность сильно преувеличена. К тому же, можно научиться самому себе делать облако. А менять некоторые неудобства в вопросе паролей на облачность теперь мало кто будет, как мне кажется.
А умеет ли кто из актуального софта гибкие настройки шаблонов представления - под кредитки там или паспорт, как это умел SPB Wallet?
Вот эту фазу с генерацией паролей в голове по какой-то схеме с учётом названия сервиса, наверно, все проходят. Примерно так:
Придумал отличную схему, пользуюсь везде!
Так, не смог вспомнить пароль с первого раза: когда генерировал, имя сервиса не как обычно в пароль включил - надо более строгие, однозначные правила придумать...
Чорт, сложно, надо для одноразовых регистраций всё ж один пароль на всё завести...
Чорт, на хабре очередная статья про то, как придумывать пароли, и схема похожа на мою - надо придумывать новую...
Чорт, банк просит сменить пароль и не даёт завести слишком похожий на старый, надо для него особую схему выдумать...
Какую же схему я тут использовал, банковскую, старую или новую...? Погоди-ка, а вдруг... Чорт! Какого фига я на банк поставил пароль тот же, что и для тыщи одноразовых сервисов!?
keepass.info/download энтер
Обычно "простая" схема хорошо сочетается с менеджером паролей на случай провалов в памяти и специальных парольных политик на отдельных сервисах.
keepass.info/download энтер
А потом уронил телефон с базой данных кипасса в реку — и попал.
Да-да, всё так и было, даже когда пытался решить эти проблемы с помощью этой утилитки. Изначально идея была в том чтобы "менеджер паролей" не имел базы данных, чтобы не париться о синхронизации между устройствами, на практике оказалось что всё равно надо где-то записывать на каком сайте какой логин я использовал.
а как же недавно релизнувшийся ProtonPass от ProtonMail?
Храню pass текстового вида в архиве rar под паролем. Причем два раза
Сломать можно?
Зайдите в настройки WinRAR, убедитесь, что на вкладке Security стоит галка в блоке Wipe temporary files - либо для всех файлов, либо для зашифрованных хотя бы.
А то сломать-то - не факт, но вытащить файл после удаления из ФС вполне можно.
Открываете его каждый раз или держите открытым весь день?
Можно перехватить из буфера обмена. Auto-type, например в KeePassXC, в этом плане немного надёжнее.
Я софтину написал свою недавно. Хранит зашифрованные пароли на флешке в AES шифровании. Вместе с ключем на флешке. Но нужно запомнить какой-то пароль для того чтобы получить доступ ко всем файлам. Суть его в этом: Если украдешь пароли - расшифровать не сможешь. Если украдешь данные вместе с ключем - сможешь расшифровать только если знаешь как файлы были зашифрованы и какой пароль стоял. Сами по себе файлы с паролями от аккаунтов зашифрованы не только внутри, но и имя файлов зашифровано. В целом, я хочу улучшить эту систему, дабы не смогли расшифровать вообще. Ну и да, чтение файлов из флешки подразумевает временное копирование файлов в temp папку скорее всего. Поэтому буду всё это дело улучшать. :D Не спрашивайте зачем я это делаю, могу умею)
Менеджеры паролей. Какие бывают и правда ли безопасны?