LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода



    Выбор парольного менеджера — непростая задача. Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера. Фундаментальный вопрос: безопасно ли использовать облачные сервисы или принципиально хранить пароли только локально? Кто-то считает, что использование облачных сервисов всё-таки повышает риски. И вот поступил очередной аргумент в этом споре. Только что парольный менеджер LastPass закрыл три уязвимости (одна для расширения под Chrome, две для расширения под Firefox), которые позволяли вредоносному сайту прямо извлекать пароли LastPass. Как обычно, причина уязвимости — ошибка программистов.

    Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»?

    В корпоративном блоге LastPass сообщается, что об уязвимостях им сообщил специалист по безопасности Тэвис Орманди (удивительно, что львиную долю всех багов в популярном софте находят одни и те же люди) из хакерской команды Google Project Zero.

    LastPass говорит, что не заметила кражи паролей пользователей и советует обновиться на последние версии расширения, где эта уязвимость закрыта, если они ещё не обновились автоматически:

    • Firefox: 4.1.36
    • Chrome: 4.1.43
    • Edge: 4.1.30
    • Opera: 4.1.28

    Предположим, что кражи паролей действительно не произошло. Но как конкретно злоумышленники могли произвести такую кражу?

    Первая уязвимость (Firefox 3.3.2 message-hijacking) для старой ветки расширения под Firefox эксплуатирует схему парсинга URL в 3.3.2, которая позволяла вредоносному веб-сайту выдать себя за легитимный сайт и тем самым вынудить LastPass предоставить учётные данные. Информация об этом баге поступила в LastPass в прошлом году — в июле уязвимость была закрыта, но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.

    В прошлом году специалист по безопасности Матиас Карлссон (Mathias Karlsson) подробно рассказывал об этом позорном баге с URL-парсером в LastPass.

    Вот как выглядел парсер (функция lpParseUri в расширении LastPass):

    var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);
    fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

    Такое обращение с «собачками» означает, что URL типа http://avlidienbrunn.se/@twitter.com/@hehe.php браузер воспринимал как адрес на домене avlidienbrunn.se, а расширение LastPass воспринимало как адрес twitter.com/@hehe.php. Соответственно, функция автозаполнения передавала домену avlidienbrunn.se пароль для домена twitter.com.

    Эту уязвимость закрыли год назад в актуальной ветке LastPass, все посмеялись и забыли. Сейчас оказалось, что в ветке 3.Х баг ещё остался. Разработчики LastPass объясняют, что ту ветку формально закрыли ещё в апреле, то есть её поддержкой никто не занимался. И если до сих пор остались пользователи старых версий, то им настоятельно рекомендуется перейти на 4.1.36.

    Второй баг


    Вторая уязвимость, которую LastPass закрыла вчера, уже свеженькая. И она затрагивает не только версии для Firefox, но и версии под Chrome и Edge. Как и прошлый баг, здесь вредоносный сайт может выдать себя за доверенный и выудить пароль. Более того, в случае использования бинарного компонента LastPass было возможно даже удалённое исполнение кода, что совершенно недопустимо.

    В сообщении баг-трекера Chromium Тэвис Орманди объяснил, что проблема в скрипте websiteConnector.js, который используется только на домене 1min-ui-prod.service.lastpass.com. Вот он указан в манифесте:

    {
    	"matches": [
    		"https://1min-ui-prod.service.lastpass.com/*"
    	],
    	"js": [
    		"1minsignup/chrome/websiteConnector.js"
    	],
    	"all_frames": true,
    	"run_at": "document_end"
    },

    Содержимое скрипта:

    $ uglifyjs --beautify < 1minsignup/chrome/websiteConnector.js
    ...
    window.addEventListener("message", function(e) {
        e.data.fromExtension || chrome.runtime.sendMessage(e.data, function(e) {});
    });

    Передача неаутентифицированных объектов window в расширение из скрипта websiteConnector.js позволяет кому угодно использовать эту функцию:

    win = window.open("https://1min-ui-prod.service.lastpass.com/");
    win.postMessage({}, "*");

    И получить доступ ко всем внутренним командам LastPass RPC. Там сотни вызовов, в том числе передача паролей. При использовании бинарного компонента LastPass можно даже запустить произвольный код:

    win = window.open("https://1min-ui-prod.service.lastpass.com/");
    win.postMessage({fromExtension: false, cmd: "openattach", attachkey: "d44479a4ce97554c24399f651ca76899179dec81c854b38ef2389c3185ae8eec", data: "!8uK7g5j8Eq08Nr86mhmMxw==|1dSN0jXZSQ51V1ww9rk4DQ==", mimetype: "other:.bat"}, "*");



    Закрытый баг в расширении для Chrome совпадает с одним из закрытых багов в расширении для Firefox, только там понадобилось внести некоторые дополнения.

    Как говорил Матиас Карлссон в прошлом году, нахождение таких уязвимостей — не повод отказаться от парольных менеджеров.

    Кстати, Microsoft ещё не одобрила у себя новую версию расширения для Edge. Похоже, что пользователей LastPass на этом браузере всё ещё можно эксплуатировать.
    Support the author
    Share post

    Comments 136

      +1
      Тогда уж экселька, а не блокнот
        +1
        Нет уж, блокнот надёжнее, особенно если хранить его в скрытом сейфе и не вводить пароли на недоверенных машинах. А ещё надёжнее для этого использовать хардовый ключ ЭЦП.
          +2
          Блокнот надежнее, но бумажный. И вводить при каждой авторизации ручками. Это для реально важных вещей. В остальном отключить паранойю и будет счастье.
            0
            Бумажный блокнот можно потерять.

            Тогда уж написать прогу под дройда для хранения паролей с шифрованием.
              0
              Бумажный блокнот можно потерять.
              Это очень просто решается: достаточно записать туда ключик от какого-нибудь электронного кошелька, где лежит кругленькая сумма. Ни за что не потеряете, охранять блокнотик будете как зеницу ока.
                +2
                Любой предмет можно потерять. Вне зависимости от желания/внимания и т.п.
                  0
                  В таком случае Вам любое локальное хранение не подходит, раз Вы можете нечаянно потерять свой ПК. Храните пароли в облаке или в голове, если её Вы потерять не боитесь.
                0
                Прога называется KeePassDroid.
                  –2
                  Да-да, давайте не будем хранить пароли в ОС, вдруг взломают и украдут. И на бумаге, вдруг потеряем. Лучше в дырявом ведроиде, который в жизни не обновлялся с момента продажи. Прям лозунг – А ты упростил жизнь хацкеру!?? )))
                  0

                  Главное, отключить не только паранойю, но и камеры, чтобы они не увидели содержимое блокнота.

                +1
                Чтобы найти что-то в эксельке, надо запускать эксельку.
                А в plain text можно просто grep или поиск в FAR.
                  +1
                  Чтобы найти что-то в эксельке, надо запускать эксельку.

                  Разве эта проблема не ушла с появлением *.xlsx, который суть *.xml в архиве?
                    +4
                    Тогда уж .csv, который txt с запятыми ;)
                      +1

                      Там формат далеко не человекочитаемый.

                        0
                        Но, тем не менее, для его чтения не нужен именно Excel, о чем говорилось в комментарии. Выдернуть из него инфо можно чем угодно.
                        0
                        то есть чтобы что-то найти, нужн сперва распаковать архив, затем выполнить поиск внутри распакованного файла?
                        А если файлов десятки?

                        НЕ удобно.
                          0
                          Тотал умеет искать в архивах.
                            +1
                            Много кто умеет искать в архивах, а вот работать с найденным не так уж удобно. Особенно, если мы говорим про xmlx
                        0
                        А чтобы посмотреть в grep или FAR. надо запустить grep или FAR.
                        Есть же опенсорсный KeePass с множеством клиентов, удобный поиск, версионирование.
                          0
                          А чтобы посмотреть в keepass, надо запустить keePass

                          У меня консоль или фар всегда запущены, так что мне особо без разницы. Зато я очень хорошо себе представляю возможные уязвимости текстового файла. А что внутри KeePass, LastPass и др — не знаю…
                            0
                            А что внутри KeePass,

                            Можно легко посмотреть, так как Open Source.
                              0
                              Как-то уже несколько раз «легко» смотрели что внутри TrueCrypt, так до сих пор и непонятно что с ним ;)
                                0
                                А что с ним не понятно?
                                  0
                                  https://habrahabr.ru/post/201408/

                                  Почему-то не вышло легко посмотреть опенсорс, решили собрать денег на специалистов

                                  https://habrahabr.ru/post/224491/
                                  Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.
                                    0
                                    Почему-то не вышло легко посмотреть опенсорс

                                    Опять повторю- что не вышло то? Всё прекрасно выходило, кто угодно мог смотреть их код.
                                    решили собрать денег на специалистов

                                    Внешний аудит- это очень хорошо, там сидят специалисты.
                                    Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.

                                    Главное- вначале фразы. А то, что первых разработчиков ушли- это следствие того, что он слишком хорошо работает. Но появились продолжатели, ещё до закрытия, типа VeraCrypt.
                        0
                        Я сейчас использую FASTAUTOREG берет мои пароли из блокнота из заполняет.УДОБНО
                        0
                        В приложении для андроид такого бага значит нет?
                          +1
                          «Выбор правильного редактора — непростая задача». Пойди пойми, что речь не о редакторе гиктаймса, а о редакторе текста. Что, впрочем, одно и тоже.

                          «Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера.», а если посчитать KeePassX?
                            +9
                            LostPass
                              +1
                              в этой области нет явного лидера

                              Хм, а как же 1Password? Я как-то даже не задумывался о других вариантах...

                                +1
                                Покупал. Пользовался до выхода новой версии.
                                В текущей не устраивает:
                                1. Ценовая политика.
                                2. Облако.
                                  +2

                                  По-поводу 2: насколько вижу, можно спокойно создавать локальные хранилища. Более того, если захотите – можно эти локальные хранилища синхронизировать с девайсами несколькими способами (как минимум, через локальный сервер, поднимаемый самим приложением 1Password, либо через Dropbox).

                                    0
                                    Понятно, я на первой странице такого не заметил. Да и давно ими не интересовался. В свое время покупал 1Password за $30. Потом было обновление и клиент стал стоить около $50, обновятся я не стал. Сейчас зашел, увидел подписку по $3 в месяц, пока желания приобрести не появилось. Хотя интеграция у них действительно удачная, после них к KeePass привыкать тяжело, хотя казалось бы тот же принцип.
                                      0
                                      Я покупал 4-ю версию несколько лет назад, емнип за те же $30 (какая-то акция была). С тех пор все обновления до текущей были бесплатно (через аппстор на маке), внезапно.
                                      Недавно вот покупал stand-alone версию (захотелось еще и на виндовую машинку поставить), дали нехилую скидку — вышло те же 30 баксов с копейками.
                                +4
                                Считаю правильным хранить пароли в блокноте, личном бумажном блокноте, который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками, а самые важные — только в памяти. Всякие электронные хранилки паролей — от лукавого.
                                  0
                                  Ваше право. А я считаю, что правильный пароль должен быть не короче 16 случайных символов в разных регистрах, а желательно ещё и спецсимволов добавить. Хранить это в памяти не так просто.
                                    0
                                    Я тоже так думал. Пока не попробовал запоминать эти пресловутые в разных регистрах, со спецсимволами и буквами, не несущие смысл, 16-значные пароли. И знаете – небольшая практика и все отлично запоминается.
                                      +1
                                      Круго. Если я, скажем, с полгода ресурсом не пользовался, я даже не могу вспомнить, какой там логин, не то, что пароль.
                                        0
                                        Такие серьезные пароли нужно держать в памяти только для частого употребления. Если вам не нужно проходить авторизацию по полгода (как насчет смены пароля регулярно?))), то и смысла нет помнить, проще записать. На бумаге.
                                        Если же речь о всяких форумах или еще о чем подобном, так и вовсе нет смысла паранойей мучиться. Я проще делаю – там где безопасность ни к чему, регистрируюсь везде с одним уникальным логином и простым паролем.
                                    0
                                    Не знаю, локальный keepass меня более чем устраивает. А вот онлайновые LostPass-ы всякие — да, действительно от лукавого.
                                      0
                                      Согласен — локальный keepass, тоже там и храню. И таскаю на флешке по командировкам. Ну потеряю я ее если — это же все равно безопасней, чем потерять физический блокнот
                                      который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками
                                        0
                                        Использую KeePass с плагином синхронизации базы с гуглодиском. Шифрование базы сертификатом, сертификат храню на токене.
                                      0
                                      Если уж доверяться, то разделять — шифрует один, хранит другой.
                                      А объединённый сервис, это вот такая череда граблей, как у LastPass.
                                        +16
                                        Однако, здравствуйте. У нас снова утекли пароли от LastPass. Вы нас извините, в четвёртый раз. Но мы клятвенно заверяем, в четвёртый раз, что мы самые-самые надежные. Но вы к нам вернётесь, ведь правда? Лох не мамонт — лох не вымрет.
                                          0
                                          Просто автозаполнение не надо использовать, только и всего. По крайней мере должно быть приглашение да/нет перед тем как данные слать.
                                            +11
                                            В чем прикол юзать сервисы Lastpass, когда можно создать базу в опен-сурсном KeePass, залить файл с паролями в любое популярное облако и открывать-смотреть пароли на любом устройстве? Для большей защиты проводить аутентификацию по файлу-ключу и хранить его только локально. Клиентов KeePass туева хуча, для одних только Windows-смартфонов их шесть штук. Даже веб-версия (которая может работать оффлайн) есть.
                                              +6
                                              Вы сами то хоть этими клиентами пользовались? А плагинами под браузеры? Это же не для людей сделано. Я сам в определенный момент перешел на KeePass (где-то более года назад, может сейчас все лучше, не знаю) и пол года им пользовался, думал ну не могут же гики так ошибаться. Пол года честно искал к нему подходы, пробовал разные плагины, костыли, заставлял себя его полюбить, и… в конце-концов сдался, вернулся назад на LastPass.

                                              По поводу паролей, думаю увести базу с дропбокса намного проще чем с LastPass, все-таки во втором случае безопасность в приоритете. Но в любом случае, что с дропбоксом что с LastPass, база без мастер пароля для злоумышленника никакой ценности не несет. Косяки могут быть с автозаполнением, и на первое место выходит пряморукость разработчиков плагинов. Глядя на многочисленные подделки плагинов для KeePass, к разработчикам LastPass как-то больше доверия, уж извините. Ну а если автозаполнение вообще отключить, можно спать спокойно.
                                                0
                                                Пользовались. Для windows mobile — Codesafe Pro, спасибо комментарию выше вашего, поищу альтернативные клиенты, в своё время их не было. Под Android есть KeepassToAndroid и KepassDroid. Под Windows нативный клиент. База лежит на своём ftp, облаков для этого не использую. Использую кипасс около 7 лет точно.

                                                Какие ещё «плагины под браузеры»? )
                                                  0
                                                  Ну десктопный клиент к слову нормальный, правда дизайном отдает из начала 2000-х.

                                                  Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился, и все, без постоянного ввода мастер пароля, без постоянного держания открытым десктопного клиента или других вспомогательных сервисов, без копирования данных в буфер обмена. Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.

                                                  Про двуфакторную авторизацию из коробки уже писали.
                                                    +1
                                                    Автозаполнение в десктопном KeePass работает без дополнительных плагинов. При создании записи во вкладке Атонабор добавьте целевое окно. В последующем при открытии страницы авторизации сайта или какой то программы нажимаем Ctrl+Alt+A и происходит автозаполнение.
                                                      0
                                                      Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился

                                                      А что так сложно?
                                                      Я делаю одно нажатие в KeeFox, он заполняет поля и отправляет форму. Да, KeePass настроен на автозапуск, и спрашивает пароль при запуске ОС и выходе из ждущего режима.
                                                      Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.

                                                      Это нужно выполнить один раз.
                                                    +1
                                                    Пользовался и пользуюсь, не испытываю никаких проблем. Под винду родной клиент, под андроид — keepassdroid. База на дропбоксе. Плагинами, правда, не пользуюсь совсем.
                                                      0
                                                      То есть потеря в гибкости и удобстве ради возможной чуть лучшей защищенности.

                                                      Не знаю, лично я, ради удобства, готов рискнуть быть взломанным с вероятностью меньше чем выиграть в лотерею. Тем более что особо важные ресурсы защищены двуфакторной авторизацией.

                                                      Кстати постоянное вбивания мастер пароля, использование буфера обмена, копипаст, открывают другие возможности для атаки, вероятность которых не факт что ниже вероятности попадания в одну из дыр облачных хранилищ с браузерными плагинами.
                                                        0
                                                        Пользуюсь десктопной версией только дома, на незнакомых компьютерах перебиваю из андроидного клиента руками. По-моему, вероятность того, что ломанут мой телефон или домашний компьютер гораздо ниже, чем то, что выкачают какое-то облачное хранилище с непрозрачной для меня схемой работы. А так у каждого своя планка гибкости и удобства :) Для меня критично то, что в случае не моего косяка придётся менять 300+ паролей, некоторые из которых сменить не так-то просто (например, личный кабинет провайдера).
                                                          0
                                                          К keepass2android, если что, есть плагин, умеющий эмулировать обычную клавиатуру и таким образом вводить пароль (но нужен root), Либо еще InputStick
                                                            0

                                                            Тоже самое, только использую Dashlane и везде где важно есть 2ФА, плюс на телефоне можно разблокировать отпечатком, что бы не вводить каждый раз длинный пароль.
                                                            Пробовал KeePass, не удобно, но храню там на локалке копию, на всякий :)

                                                              0
                                                              Keepass2Android тоже может разблокировать базу отпечатком.
                                                            0
                                                            Мастер пароль каждый раз вбивать не обязательно. Как и использовать буфер обмена
                                                          +1
                                                          Если для вас именно безопасность в приоритете, то KeePass — лидер.
                                                          А вот если для вас в большем приоритете некоторые удобные вам интерфейсные отличия — тогда да… можно рассматривать другие решения.
                                                          Не пользуюсь никакими плагинами для него, основного функционала более чем достаточно.
                                                          Пряморукость разработчиков можно проверять только по исходным кодам. LastPass уже стал опенсорсным? А судя по найденным уязвимостям…
                                                            0
                                                            Для людей — это iCloud Keychain. Но ограничение тоже понятно — только Apple инфраструктура.
                                                            0
                                                            Для меня плюсы LastPass в следующем: двухфакторная аутентификация, интеграция со всеми браузерами (даже Opera 12 была какое-то время), возможность делиться паролями и секретными заметками с другими пользователями, интеграция с Android приложениями. Мне, как пользователю, достаточно вовремя обновлять расширения в браузерах.
                                                            Косяки случаются у всех, но утечки секретных данных в LastPass ещё не было (по крайней мере публично никто об этом не заявлял :).
                                                            0
                                                            Собирать QT для него. :) Это единственное QT-приложение у меня.
                                                              0
                                                              Разница — как между Сбером и Тиньковым. Вроде оба банки, функции схожие, но от сервиса одного хочется взять автомат и всех убивать, а другому только аплодировать и завидовать.
                                                              +1
                                                              Как говорил Матиас Карлссон в прошлом году, нахождение таких уязвимостей — не повод отказаться от парольных менеджеров.

                                                              Конечно. Но уже которая подряд дыра в LastPass- это повод отказаться от него, ультимативный повод.
                                                                +2
                                                                > Как обычно, причина уязвимости — ошибка программистов.

                                                                Уж скорее ошибка дизайна.
                                                                  –2
                                                                  но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.


                                                                  Знакомо до боли. В России этим грешат сплошь и рядом, в том числе, для систем, обрабатывающих информацию на миллиарды рублей.
                                                                    0
                                                                    Странно, что располагая столь интересной статистикой по столь серьезным системам мира вы пишете односложные комментарии на Гиктаймс, а не рулите им.
                                                                    –1

                                                                    Есть простой способ "хранить" неограниченное число паролей, не прибегая к бумажным или электронным помощникам. Нужно всего лишь поставить пароль в зависимость от идентификатора сайта (домена) или приложения (названия) и рандомизировать это производной вашего единственного секретного слова. Т.е. password = f(id, secret). Например, взять от идентификатора 5 четных символов с конца и добавить к ним последние (len(id) mod 5) символов вашего секрета. Сложность функции зависит от вашей способности помнить и решать ее в уме, ну и от степени параноидальности. При должной сложности утечка одного пароля не сильно скомпрометирует вашу защиту.

                                                                      0
                                                                      А при утечке метода генерации (а придумать хороший достаточно сложно) будут скомпроментированны все пароли на всех сайтах, включая будущие.
                                                                        0

                                                                        Это удобно и имеет смысл в основном для разных некритичных сайтов, непременно требующих логин. Или когда пароль будет сменён в ближайшем будущем.


                                                                        Я, например, этим способом пользуюсь, когда нахожусь где-нибудь „в гостях“. Добираюсь до своего компа — меняю пароль и заношу его в менеджер.

                                                                          0
                                                                          Метод генерации может включать дополнительные ключи. Например, можете использовать набор суффиксов, тогда скомпрометированы окажутся только известные злоумышленнику суффиксы. Так можно организовать нечто вроде системы уровней допуска. Конечно, это плохо подходит для коротких паролей, ибо брутфорс. Из минусов отмечу разве что тот факт, что эта система заставляет использовать всё более длинные и длинные пароли. Я доходил до 80 символов (примерно шестая часть этого комментария)
                                                                            –1

                                                                            Куда, вернее, откуда он утечет? Приличный для бытового уровня хэш придумать можно. Добавить шифр Цезаря, например. Потребуется знание более одного пароля, чтобы восстановить метод. Разумеется, это применимо не ко всем случаям, но тогда и любой другой plain text применим не всегда.

                                                                              0
                                                                              Приличный для бытового уровня хэш придумать можно.

                                                                              Это уже по принципу Неуловимого Джо. Хэш никто не взломает, пока он особо никому не нужен.

                                                                                0
                                                                                Любой шифр, который человек может провернуть в голове, взламывается микропроцессором уровня калькулятора в наручных часах.
                                                                                  0
                                                                                  То же самое можно сказать про любое вычисление по известному алгоритму.
                                                                                    0
                                                                                    Даже создание файла с заданным хешем SHA-2?
                                                                                      –1
                                                                                      Объясните, пожалуйста? Я имею в виду любой алгоритм, используемый на стороне сервера для валидации введенного пароля. Он не должен быть вычислительно сложным, чтобы уменьшить плечо DOS-атаки. Как я понял, вы предполагаете, что злоумышленнику известен алгоритм, поэтому то, что считается в уме, легко щелкается любым умным утюгом. Моя идея в том, что алгоритм неизвестен, поэтому перебор алгоритмов сопоставим с брутфорсом пароля.
                                                                              0
                                                                              У этого способа есть один большой недостаток: для одного сайта/домена можно сгенерировать только один пароль. Если нужен второй или новый — увы и ах.
                                                                              –2
                                                                              Использую обычный форум MyBB на своем сервере. Доступ на него открыт только по VPN или из домашней локалки. Каждый член семьи имеет свой раздел для паролей. Не знаю хорошо ли так хранить пароли, но мне вполне достаточно. Однако очень жалею и тоскую о такой фиче как автоподстановка пароля.
                                                                                +3
                                                                                Внезапно, на addons.mozilla.org только 3 версия lastpass'a. Отличная работа.
                                                                                  0
                                                                                  тоже узаю keepas база в облаке а клиент локально на win и андройде он даже в буфере пас и логин только 10 сек держит а автозаполнение само по себе вектор для атаки
                                                                                    +4
                                                                                    Доверять все свои пароли какому-то левому сервису?
                                                                                    *Диоген mode on, torch fired up*
                                                                                    Эй, нормальные люди, вы еще остались? Есть те, кто свои секреты хранит при себе, а не доверяет третьим лицам?
                                                                                      0
                                                                                      Секрет, это когда жене по пьяне изменил, или деньги у работодателя тыришь, а пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще. В конце концов самые важные пароли (банк-клиент, основная почта и т.д.) можно и запомнить, для всего остального есть сервисы хранения.
                                                                                      P.S. В любом случае иметь везде один/два пароля это менее безопасно, чем везде разные, но хранящиеся в сейфе какого-нибудь сервиса. Плюс это еще и такой себе импровизированный менеджер аккаунтов — не нужно помнить какие акки у тебя есть.
                                                                                        +2
                                                                                        пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще.

                                                                                        Я не злоумышленник, имел привод в милицию в 16 лет, о вас не знаю ничего, кроме ника. Дайте, пожалуйста, мне пароль от вашей почты, связанной с аккаунтом на GT. :D
                                                                                        Ответ я уже представляю и сразу говорю: «вот то-то и оно».
                                                                                      0
                                                                                      Расширение для Safari не подвержено уязвимости.
                                                                                        –1
                                                                                        Помнить свои пароли надо, помнить.
                                                                                          +5
                                                                                          Расскажите как запомнить 131, 8-12 значный пароль с регистром, цифрами и местами спецзнаками.
                                                                                          Если вы обычный человек, а не робот само собой) Использовать 5 паролей на всё про всё, не предлагать.
                                                                                            0
                                                                                            А у вас серьезно 131 важный аккаунт? Не уверен что мои варианты покроют такое количество паролей, но это выглядит довольно специфическим кейсом.
                                                                                            Начну с того что для некритичных сервисов (Которые даже если угонят то это не страшно) можно использовать один пароль. Сколько останется? Для важных варианты.
                                                                                            0. Т.К. во многих вариантах я предложу использовать слова то этот общий. Придумать и запомнить правила замены букв на симовлы или на похожие из других языков. И менять на ï например.
                                                                                            1. Выучить длинное стихотворение. Придется помнить только позицию слова и применять к нему 0 правило.
                                                                                            2. Придумывать то с чем у вас ассоциируется то от чего этот пароль или для чего этот аккаунт. В 2-3 слова. «Аккавитодляработорговли» например. Естесственно применяем правло 0.
                                                                                            3. Помните каким по счету зарегистрировали аккаунт? Учитесь считать на 2-3 языках, пишете порядковый номер аккаунта. Это конечно уже посложнее, но все таки дает какую-то отправную точку для памяти.

                                                                                            Как-то так.
                                                                                              +1
                                                                                              А потом. «Извините у нас утекли пароли поменяйте плз». И все правила котуподхвост.
                                                                                                0
                                                                                                Мнемонические правила коту под хвост?
                                                                                                +2
                                                                                                1) 140 (сто сорок) паролей в моем ластпасс-е. Банковские счета, страховки, амазоны, электричество, интернеты и т.д.
                                                                                                2) Часть надо зашерить с моим бизнес партнером. Часть — для семьи
                                                                                                3) В некоторых местах требуется пароль менять каждые пару месяцев. Поменять можно. Но есть 2)
                                                                                                4) Одни требуют пароль не длиннее 12 символов. А другие требуют безумные комбинации с использованием символов !@%:* и т.д. А у других запрещены такие символы.
                                                                                                5) Надо иметь доступ с домашнего компутера, с рабочего, с остальных (цм 2) выше)

                                                                                                Ну и как тут быть?

                                                                                                Идеального «ластпасса» не существует. Идеально хранить все пароли в голове. Но это нереально. На бумажке? А как срочно перезагрузить удаленный сервер, когда ты в аэропорту, тебе звонят и кричат в трубку, что ничего не работает. А пароль пришлось поменять позавчера, поскольку этого потребовал провайдер, а у тебя есть 10 мин до самолета и три попытки вспомнить пароль, прежде чем логин заблокируют.

                                                                                                А если взломают сервер банка, то пофигу, насколько хороший пароль я придумал.
                                                                                                Если захотят взломать меня персонально, то ничего не поможет

                                                                                                Поэтому мы используем ластпасс и довольны.

                                                                                                Крошка сын к отцу пришел
                                                                                                И сказала кроха
                                                                                                -Жить с ластпассом хорошо,
                                                                                                Без ластпасса — плохо

                                                                                                  +1
                                                                                                  У меня несколько сотен разных ресурсов.

                                                                                                  Да, там много разных сайтов и форумов, но как-то совершенно случайно так случилось, что примерно на трети я администратор/модератор.
                                                                                                  Я давно перестал использовать одинаковые пароли для разных ресурсов, во избежание, потому что не всегда от меня может зависеть утечка пароля на каком-то ресурсе.

                                                                                                  Я совершенно не хочу держать в голове, на каком ресурсе могут быть зависимости, в том числе финансовые или моральные. Поэтому для меня ЛЮБОЙ ресурс, где я регистрируюсь достаточно важен, чтобы я озаботился созданием рандомного несловарного пароля. И понятно, что держать в голове пароли, которыми пользуешься нечасто — нереально.
                                                                                                +2
                                                                                                Да, я в курсе про технику «выбери яркий образ», и если бы я жил в камере для сенсорной депривации и никогда не пользовался Интернетом, то мог бы легко запомнить фразу-пароль типа «Вечеринка гигантских Марсианских насекомых». Увы, я пользовался Интернетом, а это значит, что я видел, слышал и местами даже платил деньги за всё, что только можно представить. Я видел видеоролик «Вечеринка гигантских Марсианских насекомых», и я видел другой видеоролик, «Вечеринка гигантских Марсианских насекомых: Не говори маме», и оба ролика мне сильно не понравились, но это меня не остановило и я снял продолжение, «Вечеринка гигантских Марсианских насекомых: Возмездие». Так что мне невероятно сложно придумать хорошо запоминающийся образ, чтобы он выделялся среди того бурлящего океана нелепостей, что заполняет мою голову в результате потребления 31 часов медиа-контента за каждые 24 часа. Придумать запоминающийся образ сложно, а чтобы жизнь мёдом не казалась, безопасники вдобавок говорят, для разных вебсайтов нужны разные пароли. Так что подразумевается, что я должен помнить и «Вечеринку гигантских Марсианских насекомых» и «Структурно непрочную сумку Йети», и каким-то образом вдобавок надо запомнить, которая из этих фраз для моего онлайн-банка, а которая для другого вебсайта, не имеющего ничего общего ни с внеземными насекомыми, ни со снаряжением Йети. Это варварство и я требую от жизни большего.
                                                                                                  0

                                                                                                  Последний пункт действительно проблема, недавно вспоминал пароль от почты на protonmail, выписала все пароли, которые не могу соотнести с сайтами, и их оказалась более 10 штук.

                                                                                                +2
                                                                                                Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»?

                                                                                                KeePass без всяких расширений к браузеру.
                                                                                                  0
                                                                                                  Поддерживаю. Удивился комментарию выше про «плагины к браузеру», зачем они кипассу? ) Ctrl-V и автоматически входишь куда нужно.
                                                                                                    0
                                                                                                    А если фишинг и это подделка под нужный вам сайт? Плагин как раз спасает, говоря что у меня нет паролей к этому сайту.
                                                                                                      +3
                                                                                                      В урл смотреть надо.
                                                                                                        0

                                                                                                        … или не спасает, а сам же и отдает пароль. Автоматически, из-за программной ошибки. Прямо как LastPass.

                                                                                                    0

                                                                                                    На мой взгляд, лучше всего локальная база и менеджер паролей с открытым исходным кодом. Плюс, периодический бекап базы (естественно, зашифрованной) в облако.
                                                                                                    Уже много лет пользуюсь KeePassX — все устраивает.

                                                                                                      +1
                                                                                                      Я, наверное, один храню пароли в браузерах.
                                                                                                        +1
                                                                                                        Храню, но не все. Группировать и генерировать их удобней в менеджере. :)
                                                                                                          +1

                                                                                                          Тут три уязвимости нашли и начался хайп. Для интереса посмотрите сколько в браузерах каждый месяц критических уязвимостей закрывают.

                                                                                                            0
                                                                                                            Но вроде бы про слив паролей из запомненных ещё не разу не было новостей?
                                                                                                              0

                                                                                                              Выполнение произвольного кода с привилегиями браузера само по себе это подразумевает. Что вы получаете доступ ко всему, к чему имеет доступ сам браузер.

                                                                                                          0
                                                                                                          Чем использовать менеджер паролей с сомнительной безопасностью лучше чем просто один пароль на все?
                                                                                                          Лучше уже несколько паролей запомнить и пусть на некритичных сайтах они совпадают.
                                                                                                          Поправьте меня если я не прав, или не учитываю каких то особых случаев использования.
                                                                                                            0
                                                                                                            Один пароль на все не лучше и не удобнее.
                                                                                                              0
                                                                                                              Если везде использовать один и тот же пароль даже сложный и длинный то рано или поздно он может попасть в список самых популярных паролей.
                                                                                                              Наверное :)
                                                                                                                +1
                                                                                                                проблема в том что при очередной утечке паролей вас попросят сменить пароль и теперь у вас будет один пароль на все кроме одного сайта для которого на конце будет единичка дополнительно. А примерно на 10 регистрации с одним и тем же паролем вы столкнетесь с тем что ваш супер мега пароль не подходит изза того что в нем присуствует/отсутствует спецсимвол. В случае кипасс( или иного менеджера паролей)такой проблемы вообще нет. Там для каждого сайта генерится новый пароль который вам запоминать не нужно.
                                                                                                                0

                                                                                                                Лучше всего использовать аппаратный менеджер, как, например, Pastilda или Mooltipass. Чисто программные менеджеры довольно уязвимы. Поддержите нас с Пастильдой на crowd supply!

                                                                                                                  0
                                                                                                                  Скажите, а насколько безопасно использовать запоминание паролей в браузере, при условии, что они синхронизируются не с сервером компании, а с твоим личным? Например, Firefox такое позволяет.
                                                                                                                    0
                                                                                                                    Хоть банки иногда и грабят, для хранения ценных вещей банк подходит лучше чем бачок унитаза или матрас ;)
                                                                                                                    0

                                                                                                                    Тут все рекламируют keepass. Он действительно настолько надежен, что ему нет альтернатив?
                                                                                                                    А как с надежностью его различных клиентов под разные системы, есть ли канонические (прежде всего Windows, Linux, Sailfish, Maemo6/MeeGo1.2)?


                                                                                                                    Может ли кто чего плохого/хорошего написать про MeePasswords? Или имеет смысл мигрировать с него на Keepass?

                                                                                                                      +2
                                                                                                                      KeePass это, в первую очередь, стандарт формата базы с паролями. А дальше уже можно выбирать клиент:

                                                                                                                      — официальный KeePass на C#/Mono
                                                                                                                      — неофициальный KeePassX на C++ (портирован даже на Maemo 5)
                                                                                                                      — неофициальный KeePass4Android и т. д.

                                                                                                                      А у альтернатив, обычно, свои форматы.
                                                                                                                      0
                                                                                                                      Ха Ха

                                                                                                                      В журнале Х… р тестировали Ваш KeePas и ему подобные!!!

                                                                                                                      Самая главная проблема был в том, что пароли перехватывались на этапе копирования и вставки!
                                                                                                                      Что блокнот, что эксель, что облако ЦРУ… результат ОДИН,
                                                                                                                      Только один (забыл уже) с трудом прошел проверку.
                                                                                                                        0
                                                                                                                        Ну не знаю на счет ксакепа. Его репутация довольно неоднозначна.
                                                                                                                          0
                                                                                                                          Если у вас хост система скомпрометирована, то поздно пить боржоми и ниодин парольный менеджер вас уже не спасёт. Независимо от его способа ввода паролей.
                                                                                                                            +1
                                                                                                                            Ну, Intel базарил что-то про защищённые регионы памяти на уровне процессора, куда даже ОС не сможет добраться, но это только самые новые процессоры, софт это не поддерживает, да и как пить дать опенсорсу никто так делать не разрешит, а зашьют ключи крупных производителей медиаконтента.
                                                                                                                              –1
                                                                                                                              А клавиатура будет прямо в эти регионы печатать?
                                                                                                                              И как предлагается запрос на сервер для входа, если не через API операционной системы?
                                                                                                                              mov eax, "site.com"
                                                                                                                              mov ebx, "pass=123&login=abc"
                                                                                                                              ajax
                                                                                                                              ))?

                                                                                                                                0

                                                                                                                                Вопрос с клавиатурой решается дополнительной клавиатурой, которая шифрует коды нажимаемых клавиш (по типу того, как это сделано в банкоматах). Запрос на сервер делается обычным образом — вот только отправляемые данные перед этим, опять-таки, шифруются.


                                                                                                                                Разумеется, для обычного парольного менеджера общего назначения ни то, ни другое решения не применимы.

                                                                                                                                  0
                                                                                                                                  Как предлагается шифровать данные, чтобы об этом не узнала ОС?
                                                                                                                                  (в комментарии выше говорилось именно про это)
                                                                                                                                    0

                                                                                                                                    Находясь в защищенном от ОС регионе памяти.

                                                                                                                                      0
                                                                                                                                      Спасибо, я понял, любопытная схема.
                                                                                                                                      Интересно, как решены вопросы контроля.
                                                                                                                                0
                                                                                                                                  0
                                                                                                                                  Ну вот и славненько, производителям менеджеров паролей можно даже не парится с внедрением этой штуки.
                                                                                                                              0
                                                                                                                              Так получается и ввод пароля с клавиатуры тоже легко перехватить, т.е. хранить пароли в голове тоже не вариант…
                                                                                                                                0
                                                                                                                                Если у юзера на ПК стоит кейлоггер или ещё какая зверушка, которая перехватывает пароли на этапе копирования/вставки/набора, то борьба с ней уже выходит за пределы функций парольного менеджера. Тут не всегда поможет даже драйвер, который меняет «на лету» сканкоды нажимаемых клавиш (встречал когда-то такую штуку). Поскольку если я на вашем ПК могу запускать по своему желанию произвольный код, то вы уже не можете доверять такой системе.
                                                                                                                                0
                                                                                                                                Как раз при тестировании попыток взлома в Хакере по сравнению с другими KeePass смотрелся очень даже достойно.
                                                                                                                                0
                                                                                                                                Пользуюсь https://keepersecurity.com/download.html — здесь есть плагины для основных браузеров и приложения для осноных десктопных и мобильных платформ. Для шифрования используется мастер-пароль, автозаполнение работает в ручном режиме: оно есть, но чтобы в поле ввода попал пароль — вам надо подтвердить это нажатием на кнопочку. Платный, зато удобно и, судя по всему, достаточно безопасно.
                                                                                                                                  0
                                                                                                                                  Я один до сих пор пользуюсь Password Commander?
                                                                                                                                    0
                                                                                                                                    Видимо вы пользуетесь только Windows? Я им тоже пользовался более 10 лет назад, но сменил после приобретения КПК Palm на KeePass: для него есть плагин, выгружающий базу в Keyring.
                                                                                                                                    0
                                                                                                                                    Мультфильм о забытом пароле — Халиф аист.
                                                                                                                                      0
                                                                                                                                      Для форумов и прочей фигни пользуюсь примитивнейшим 6-символьным паролем, который уже «на подкорке» (не забудешь, не пропьёшь). Большей безопасности и не требуется. Уведут, да и пофиг.
                                                                                                                                      Для ресурсов более-менее ценных имеется «хэш-функция» по части имён, дней рождений и знаков зодиака моих родственников… Так я знаю, что это «мамин сайт», это мой, это жены, это отца, это деда и т. д. Сбрутить сложно — пароли по 10-12 символов. Криптоаналитик, наверное, разгадает, но я — неуловимый Джо, так что пофиг.
                                                                                                                                      Банк-клиенты и прочие важные вещи под двухфакторной аутентификацией с автосгенерёнными паролями по 50-60 символов (копи-паста из KeePass), либо отпечаток пальца (под Android).

                                                                                                                                      *Paranoid mode on*
                                                                                                                                      Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)
                                                                                                                                      *Paranoid mode off*
                                                                                                                                        +1
                                                                                                                                        > Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)

                                                                                                                                        Не использовать буфер, очевидно же. Т.е. прямая вставка из менеджера в нужную форму.
                                                                                                                                        Но, как уже говорили выше, если дошло до возможности следить за буфером — то тут уже поздно беспокоиться.
                                                                                                                                          0
                                                                                                                                          Я одно время пользовался менеджером, киллер-фичей которого было НЕ использование системного буфера. Названия не помню. Он был бесплатным, но не open-source… сами понимаете надежность исключительно на вере в девелопера. Сейчас ничем, кроме бумажного не пользуюсь. А для «всякой фигни» у меня один на всех 7-значный пароль)))

                                                                                                                                        Only users with full accounts can post comments. Log in, please.