Comments 109
Пацаны, говорят если в чат написать пароль, то он тоже звездочками будет! Во *******
— Здравствуйте, профессор. Можно Вас спросить?
— Конечно, спрашивайте, молодой человек.
— Скажите, профессор, Вы когда спать ложитесь, бороду
на одеяло или под одеяло кладете?
После некоторой паузы:
— Да, знаете, как-то не задумывался.
— Ну, извините, пожалуйста.
Разошлись.
Через неделю зеленый профессор с кругами под глазами
встречает в коридоре того же студента и хватает за грудки:
— Ну ты и сволочь! Неделю уже спать не могу — и так неудобно,
и так неудобно!
Хотя сам процесс отслеживания и корректировки дыхания (глубина, темп, фазы вдоха-выдоха) возможен и очень, кстати, полезен, т.к. от дыхания зависит очень многое в человеке.
Плюс эффект неуловимого Джо(который никому не нужен).
Спам, получение личных данных, биржи прокаченных аккаунтов на популярных сайтах для вбросов и вот это вот все. Целенаправленно конкретно вас поиметь естественно никто стараться не будет, но стоит появиться какой-нибудь уязвимости в браузере, позволяющей js'ом дернуть хранилище паролей и получить расшифрованный результат, как можно будет начинать бояться в ту же секунду. Это все равно что на работе пароль держать приклеенным к монитору: коллегам-то плевать, а стоит когда-нибудь влезть какой-нибудь подозрительной морде и вся безопасность идет лесом.
Но помню свой пароль от менеджера паролей.
Они же автозаполняются? Ну хорошо, не все используют макось, но другие браузеры ведь тоже заполняют?
Помимо логина пароля, поддерживает любое количество custom полей (имя — значение), файлов (буквально, можно добавить файл как именованное значение), а так же одноразовые timecode (как у Google Authenticator), историю изменений всех этих полей (как минимум предыдущее значение).
Синхронизация с облаком, шифрование отдельным файлом плюс парольное (т.е. базу безопасно хранить в облаке или даже публично), поддержка кучи платформ включая мобильные. Система плагинов и простейших тригеров для автоматизации (работа с облаком на десктоп версии так и реализуется, на мобильной платформе все из коробки).
Opensource, бесплатное (есть необязательный донат, просьбу дать на пиво видел на версии для android где то раза четыре за несколько лет), без рекламы и прочего хлама.
Есть автозаполнение через нажатие кнопок (чтобы работало не только в браузере). Для android есть режим клавиатуры, чтобы не использовать уязвимый clipboard.
Правильная работа с правами на windows (можно настроить, чтобы мастер пароль вводился в uac secure desktop, таком же где выпадает окно запроса подтверждения uac), это дает некоторую защиту от простых кейлогеров, а так же шифрование данных в оперативной памяти (понятно что если машина заражена трояном, полностью защититься от нее нельзя, но усложнить жизнь вирусописателю — можно).
Ну и для галочки — удобный генератор паролей, удобная система поиска и фильтрации записей (например кому то нравится режим дерева, а кому то идеология тегов), управление архивными записями и напоминания об устаревших паролях.
p.s. я даже не понимаю, почему существуют какие то другие приложения, keepass это как вот абсолютно все что можно было бы придумать плюс еще что то и при этом остается простым и удобным.
p.p.s. мне не хватает ввода пароля/таймкодов на десктоп машине, выбрав соответствующую запись на смартфоне, это подняло бы надежность решения до практически абсолюта, т.е. можно использовать на ненадежных машинах.
Реализовать такое можно было бы в виде плагина и отдельного приложения для desktop/плагина к браузерам, и нет никаких принципиальных препятствий этому, кроме лени.
github.com/pfn/keepasshttp и пара расширений chrome и mozilla
для keepass2mobile (разработчик другой, нежели у desktop версии) есть несколько плагинов для представления мобильного телефона как клавиатура по usb и по bluetooth — imputstick (порядка $35), на сайте разработчика обсуждение реализации keepasshttp нет, было пара упоминаний, что там есть какие то проблемы с необходимостью поднятия http сервера.
решение — запускать из под другого пользователя, но более правильное решение — запускать keepass на отдельном устройстве.
Да. И под Windows, и под Linux.
Как совсем явный пример: раньше была программа Artmoney, которая позволяла находить в играх куски памяти с жизнями, деньгами и т.д., а потом модифицировать их (например — для бесконечных жизней, патронов и тд).
Вот про Windows: https://nullprogram.com/blog/2016/09/03/
Про Linux: http://man7.org/linux/man-pages/man2/process_vm_readv.2.html
Наглая ложь про Artmoney (причём без пруфов, что характерно). Админ не требуется, если процесс запускался без «режима совместимости», который зачастую стартует игру от админа. Ну и без DRM, который тоже мутит воду. Мы говорим про обычные программы.
Вы можете читать память своего процесса. Чтобы читать память из произвольного, у вас должны быть права на чтение. Все права записываются в Security Token, который по умолчанию наследуется из Parent Process. То есть если был общий предок (а точнее — Windows Explorer), то у процессов одинаковый Security Token. Одинаковые token означают «одинаковые права» (за редкими DRM исключениями). Одинаковые права — это общий случай фразы «одинаковые права на процесс».
Однако если вы запустили процессы под разными пользователями (ну или в разных сессиях), то вам потребуется админ.
Детали можно найти тут: https://docs.microsoft.com/en-us/windows/desktop/procthread/process-security-and-access-rights
Простите, а в макось Вы как логинитесь?
Неужто через браузер?
Не соглашусь насчет контекста. Для андроида есть мобильное приложение habr. Сомневаюсь, что там ввод пароля через браузер.
А еще мне интересно, есть ли бэкап у хранилки паролей? Накроется винт, например.
Знаете, моя память пока не настолько дырява, чтобы я забыл свои пароли.
Знаете, моя память пока не настолько дырява, чтобы я забыл свои пароли.У вас либо всего пара десятков аккаунтов, либо вы используете одинаковые для разных сервисов. У меня, например, за более чем полтора десятка лет использования Интернета скопилось более 300 учётных записей, которые я храню в KeePass и периодически меняю пароли для особо важных.
Именно поэтому мне кажется использование менеджеров паролей очень оправданным. В Эппл-экосистеме одно и то же хранилище используется для автозаполнения паролей в мобильных приложениях. Причем, в последнее время для автозаполнения достаточно распознавания лица или пальца.
Бекап хранилища ничем не отличается от бекапа обычного файла.
Другие экосистемы тоже имеют свои менеджеры паролей. Для Андроида, например, точно есть.
Про дырявую память: Лучший способ забыть пароль — поставить галку "запомнить пароль".
650 паролей — это прекрасно, но для меня многовато. Видимо я не такой активный пользователь интернета. При этом у меня прилично "забытых" учеток. И выручает функция восстановления пароля в крайних случаях.
Ну и да, мои пароли не меняются. Если их менять, то сразу после смены будет период мучений
Понятно, что для этого нужно авторизоваться, например, телефон должен узнать меня в лицо и я должен смотреть на экран в этот момент.
Конечно, раньше я тоже помнил пароли, имел системы их придумывания/вспоминания. Но все равно образуется какой-нибудь текстовый файлик в запароленном архиве с секретными данными, типа кодов восстановления двухфакторной авторизации и проч.
Но после того, как 10 лет назад я увидел, что можно это организовать на системном уровне в виде Связки ключей или другого менеджера паролей, я предпочитаю использовать эти решения.
Это если в контексте браузерных паролей.
А в общем случае система не работает. Для авторизации на компе и телефоне нужен пароль.
Один пароль скомпромкетирован и все пароли улетели.
Авторизация на телефоне через распознавания лица, на компьютере — распознавание пальца. Конечно, мастер-пароль есть, но это не «общий случай».
И конечно, компроментации этого пароля недостаточно чтобы все пароли улетели. Вход в iCloud, где пароли хранятся и синхронизируются между устройствами, защищен двухфакторной авторизацией.
Вы не поверите… Через touch id.
Вы путаете теплое с мягким.
Зачем травить пальцы кислотой?
Для смены пароля на устройстве? Сменить пароль или поменять пальчик на touch id не требует кислоты.
С моей точки зрения травить кислотой можно только для уничтожения оригинала, но какой в этом смысл?
Погодите, не так быстро.
Пусть хакеры стащили touch id.
Дальше что? Touch id — это не палец, его не приложишь к телефону, по wifi и bt не пошлешь в качестве пароля.
Почему старым больше никогда не пользоваться?
Берётся скан пальца, из него формируется некий хэш, этим хэшем шифруются явки-адреса-пароли. Компрометация хэша-ключа => компрометация паролей. Где я не прав?
А в чём проблема перешифровать? Дедушка старый процессор железный — ему всё равно.
У меня к аутентификации по отпечаткам пальцев вообще две претензии: 1) "ключ" практически невозможно поменять; 2) Вы неконтролируемо оставляете копии "ключа" за собой тысячи раз на дню — снять отпечатки можно не только со стакана, знаете ли.
Чтобы ее «украсть», надо не только украсть физически процессор из девайса, но и как-то переместить данные из его secure enclave в защищенную область другого процессора.
Пока таких случаев известно не было, насколько я знаю.
На андроиде touch id работает только после однократного ввода пароля после перезагрузки.
Макось лишена этого нежостатка?
Чёта chromium не хочет запоминать пароль в новой реинкарнации.
Это новый тренд такой или лыжи не едут?
Зачем бросается ссылками на какие-то левые сайты, если единственный аргумент там — это то, что люди пытаются свои пароли запомнить, и поэтому используют простые повторяющиеся пароли?
Любой менеджер паролей сгенерирует вам неподбираемый пароль и будет хранить его до следующей смены.
Если он не подбирающийся, зачем менять?
Разные сайты сливали мои пароли, жежешечка, например. Плюс существует ненулевая вероятность перехвата паролей, даже если я и параноик, и не ввожу свои пароли на чужих компьютерах, не пользуюсь бесплатным вайфаем без VPN и мою руки, перед и зад.
Я прихожу на работу и вижу окно для ввода пароля, все остальное на машине заблокировано.
Как мне поможет менеджер паролей?
Вам — никак, наверное. Звоните в хелпдеск, чтобы сгенерировали вам новый пароль.
А вот если бы вы предварительно записали пароль в менеджер паролей, то менеджер паролей смог бы вам помочь.
На макбуках, слышал, можно разблокировать по отпечатку пальца. На ноутбуках с виндой, наверное, тоже может быть такое, но я не сталкивался ни с тем, ни с другим.
Также на Хабре была статья о том, как кто-то делал разблокировку компьютера телефоном — то ли через Bluetooth, то ли с помощью NFC, а может просто через приложение, уже не помню.
Мой менеджер паролей установлен на домашнем компе и на моём телефоне, в случае рабочего компа пароль я ввожу руками подглядывая на телефоне. После двух-трёх дней пароль запоминается и потом вводится уже автоматически. Ну и при генерации пароля, который нужно вводить руками, я выбираю более-менее запоминающиеся пароли.
Предположим, что есть n пользователей, у каждого из которых с вероятностью P(H) [0;1] перехватили пароли. Тогда фактор безопасности в первом приближении можно считать равным Р(Н) (чем ниже, тем лучше)
После чего организация приняла волевое решение сменить пароли. Пользователи с вероятностью Р(А) произвели небольшие изменения паролей (и соответственно, с вероятностью P(S)=1-Р(А) пароли поменялись кардинально.
В итоге получаем 2 механизма утечки:
- Перебор на основе прошлых паролей для скомпрометированных пользователей
- Вездесущие стикеры на мониторах.
Рассмотрим первый случай:
Нет предпосылок считать, что злоумышленники абсолютно всегда будут успешно перебирать пароли, потому что есть вероятность что забьют, но мы для удобства используем вероятность что не забьют Р(NZ), которая наверняка меньше 1 и вероятность небольшой смены пароля Р(А), про которую писал выше. В любоом случае если хоть одна из этих вероятностей меньше 1, то фактор безопасности после смены паролей будет меньше старого и равен P(H)P(NZ)P(A)
Ну а второй случай работает и без смены паролей, это проблема человеческого фактора и правильных систем инструктажей, процессов, кнутов и пряников внутри компании.
Это не влезая в особенности каждого конкретного случая. Так что в целом с математической точки зрения, менять пароли безопаснее, чем не менять.
Хотя есть способы и лучше, например 2 факторная аутентификация.
Только прежде чем это делать, вспомните о том, что «Хабрахабр» находится в реестре распространителей информации под №6 и обязан полгода хранить эти данные и предоставлять по первому требованию.
это плановая операция, связанная с переездом центра авторизации с адреса id.tmtm.ru на account.habr.com.
Со временем доживём и до переезда хабрахабра с habr.com на habrahabr.ru
периодическая смена пароля — это же одно из золотых правил информационной безопасности
На самом деле — один из анти-шаблонов этой самой безопасности. Причём, статьи, объясняющие, почему это так, есть на самом Хабре.
Внезапно оказалось, что сохранённых паролей нет, и авторизоваться под гугл-аккаунтом тоже не удалось, точнее не сразу удалось вспомнить нужный аккаунт. После этого внезапно подхватило нужный аккаунт и всё удалось.
Попытался повторить тот же фокус на офисном — и неудача. При выборе нужного гугл-аккаунта мне предлагалось заново зарегистрироваться — не исключаю, что при первой удачной авторизации слетела привязка аккаунта, иначе я чего-то не понимаю.
По тим-вьюверу зашёл на домашний комп, полазил по настройкам аккаунта, нашел страничку привязку сторонних аккаунтов, привязал нужный, после этого успешно авторизовался на офисном компьютере.
А вы помните свой пароль на Хабре?