Comments 29
Опять хранение паролей в интернете.
UFO just landed and posted this here
Зашифрованы или захэшированы? Если первое, то ничего хорошего это не сулит.
UFO just landed and posted this here
В нашей системе (это документооборот) у аккаунта несколько клиентских устройств. У каждого свой пароль (=токен), у каждого своя карточка доступа, любое устройство можно отключить, не отключая остальные. Каждый токен хранится в захешированном виде. Не вижу проблем.
Подумал не о тех паролях, прошу прощения.
В настройках синхронизации, если ставить галочку на «пароли», просят ввести парольную фразу для шифрования.
Не призывает, а требует. Авторизация отвалилась.
Мне тут что-то в голову стрельнуло… а не все ли равно? Не зная соли и алгоритма хеширования же все-равно авторизоваться не выйдет.
Раз вам всё равно, смените на старый пароль
Не могу, ввиду отсутствия учётной записи в опере. Но теоретический интерес от этого не пропадает.
UFO just landed and posted this here
Может и дырявое, но как сделать синхронизацию между устройствами без облака?
Теоретически, через DHT-подобную структуру можно. Происходит поиск нескольких узлов, которые находятся «близко» (по XOR-метрике) к вашему уникальному ID, который выводится, скажем, из логина-пароля. На эти узлы периодически отсылается шифрованный пакет данных вместе с его версией (просто увеличивающееся число), шифруется он мастер-ключом, который зашифрован вашим паролем, и подписывается секретным ключом авторизации, а публичный высылается в комплекте. При сохранении первой версии узел сохраняет у себя пару ID+PubKey и потом позволяет обновлять данные только при верной подписи пакета для этого публичного ключа.
Понятно, что люди приходят и уходят, но браузер запущен в течение дня почти постоянно, да и число узлов можно подобрать, чтобы хранилось с нужной степенью надёжности. Тем более, что близость к ID означает, фактически, детерминированный рандом, так что люди будут из разных часовых поясов.
В итоге, все будут хранить немного чужих данных, но так как они зашифрованы (даже не паролем, а ключом), это не является проблемой. Для большей надёжности можно хранить эти ключи отдельно от данных под другим ID (который вычисляется из логина + некая соль), так что они попадут на другие машины. При синхронизации сначала запрашивается шифрованный ключ, расшифровывается паролем (операция однократная для новой инсталляции), потом аналогично выкачиваются данные с нескольких близких узлов, выбирается самая новая версия, проверяется подпись, потом всё это расшифровывается и синхронизируется.
Плюсы очевидны — не нужно облако, система (почти) неограниченно масштабируется, надёжна настолько, насколько защищён сам пользователь, отказоустойчива (нужны эксперименты). Минусы также известны пользователям торрента, это долгий поиск цели, необходимость проброса портов (можно обойти с помощью мастернод-релеев и UDP hole punching), также возможна ситуация, когда в сети нет ни одного узла с вашими данными. Но если хотя бы раз в час посылать обновления, эту вероятность можно свести к минимуму.
Понятно, что люди приходят и уходят, но браузер запущен в течение дня почти постоянно, да и число узлов можно подобрать, чтобы хранилось с нужной степенью надёжности. Тем более, что близость к ID означает, фактически, детерминированный рандом, так что люди будут из разных часовых поясов.
В итоге, все будут хранить немного чужих данных, но так как они зашифрованы (даже не паролем, а ключом), это не является проблемой. Для большей надёжности можно хранить эти ключи отдельно от данных под другим ID (который вычисляется из логина + некая соль), так что они попадут на другие машины. При синхронизации сначала запрашивается шифрованный ключ, расшифровывается паролем (операция однократная для новой инсталляции), потом аналогично выкачиваются данные с нескольких близких узлов, выбирается самая новая версия, проверяется подпись, потом всё это расшифровывается и синхронизируется.
Плюсы очевидны — не нужно облако, система (почти) неограниченно масштабируется, надёжна настолько, насколько защищён сам пользователь, отказоустойчива (нужны эксперименты). Минусы также известны пользователям торрента, это долгий поиск цели, необходимость проброса портов (можно обойти с помощью мастернод-релеев и UDP hole punching), также возможна ситуация, когда в сети нет ни одного узла с вашими данными. Но если хотя бы раз в час посылать обновления, эту вероятность можно свести к минимуму.
Получить доступ к серверу значительно проще чем расшифровать базу.
Очередное дырявое облако.
Мой внутренний параноик не даёт даже фото с котиками в облаке держать, не то что личный данные.
Мой внутренний параноик не даёт даже фото с котиками в облаке держать, не то что личный данные.
И Дропбокс туда же. Только прямо заявить о причине стесняется и прячет ее за словами:
Это исключительно профилактическая мера, и мы приносим извинения за доставленные неудобства.
И с Авито тоже пришло.
Причину Дропбокс все-таки написал. На странице по указанной в письме ссылке:
Зачем Dropbox просит изменить пароли?
Наши сотрудники из отдела безопасности постоянно отслеживают все, что может угрожать нашим пользователям. В процессе этой непрерывной работы мы узнали, что в 2012 году были получены старые пользовательские данные Dropbox (эл. адреса и пароли (хэш с солью)). Наш анализ показал, что эти данные связаны со сбоем, который мы как раз тогда обнаружили.
Проще синхронизировать keepass-базу.
Опера умерла три с половиной года назад. Так что пофиг.
Спасибо, а то я думал почему не авторизуется.
Вот в таких случаях благодарю себя самого, что не доверил данные банковской карты какому-то таксо сервису Uber, у которых приватность точно не на первых местах
Каомн, даже Dropbox ломали, Paypal ломали… как можно доверять что-то секурное новым сервисам?
Каомн, даже Dropbox ломали, Paypal ломали… как можно доверять что-то секурное новым сервисам?
UFO just landed and posted this here
UFO just landed and posted this here
Sign up to leave a comment.
Opera призывает своих пользователей сменить пароли