Pull to refresh

Comments 273

Так я не понял, если нечаянно нажать F5, все пароли сотрутся?
нет. Попадете на главную страницу разлогиненым.
UFO landed and left these words here
UFO landed and left these words here
батенька, вы действительно параноик!

один вопрос: почему отечественными криптоалгоритмами не пользуетесь?
Просто нашел заготовки AES и Blowfish, допилил их под свои нужды, проверил на правильность.
UFO landed and left these words here
Так и задумано.

// — это корневой каталог
… < — родительский каталог

Если добавите хотя бы 1 каталог, все станет понятно
UFO landed and left these words here
Просто нашел заготовки AES и Blowfish, допилил их под свои нужды, проверил на правильность.
Ага, а также Clipperz.com и еще штук 5 аналогов.
Зачем я это сделал и в чем преимущества я написал.

UFO landed and left these words here
Да, гениальная. Но он не поможет, когда надо запомнить пин-код к карте, например.
4 цифры легко запомнить. Даже на 3-4-5 картах.
Вы думаете я не пытался все запомнить и тренировать память?
есть еще пин-код от авто сигналки, пин-код от домофона.
и еще много, много мест куда
меня пугает даже не количество паролей, а количество мест и сервисов требующих наличие паролей.
А ещё — сотовые номера (штук 200-300) всех ваших знакомых, приятелей и т.п.
Зачем запоминать в голове всякий мусор? Голова должна помнить только то, что нужно. Вы же не повторяете все свои пароли (ну, чтобы не дай бог не забыть — освежаете периодически), когда переходите дорогу на зелёный свет светофора?
Сотовые номера действительно нужных людей я помню наизусть :-) Потому что бывают ситуации, когда нужно позвонить, не со своего телефона. Разные ситуации.

Пины от карточек запоминаются на машинном уровне, вот если меня щас спросить пин код, то я не вспомню. А если буду набивать его на клавиатуре банкомата, то это произойдёт автоматически :-) Мне почему-то кажется, что доверять пин код, являющийся ключём к финансам, любому сервису кроме собственной головы не очень секьюрно.
А доверять голове, которая тоже может ударится или из-за продолжительных пауз потерять рефлексы набора — тоже не ахти=)
Я на своем опыте не раз замечал, что то, что я безупречно помню сегодня, могу забыть напрочь через месяц… Даже такое чувство что работает банальный механизм вытеснения старой инфы, новой…
Бывает и другое: у меня в голове ровненькими строчками лежит начало Also Sprach Zarathustra уже скоро будет лет 10… И не надо оно мне, а запомнилось с какого-то перепугу. Как раз до строчек типа Vieles das diesem Volke gut hiess, hiess einem andern Hohn und Schmach: also fand ichs. Vieles fand ich hier bose genant und dort mit purpurnen Ehren geputzt.
И вот это почему-то помнится вместо того чтобы помнится что надо купить в супермаркете. Загадочная вещь — память.
И только человек источник всех ошибок. Я вон, даже 2 на 5 множу на калькуляторе т.к. есть очень маленький шанс что меня переклинит и я решу что результат, допустим, 12. И вероятность этого маленького шанса намного больше чем вероятность того, что калькулятор выдаст мне неверный результат.
Я серьезно. Верить никому нельзя, конечно, но людям и их способностям нельзя верить в первую очередь.
С теми же номерами телефонов нужных людей: не стоит доводить ситуацию до того, что приходится постоянно пользоваться своим последним шансом — памятью.
Эдак мы деградируем до того, что 2+2 сложить не сможем. А между тем тренировка памяти тоже необходима. И считать в уме тоже полезно.
В общем категорически не согласен.
Ну да, считать в уме — полезно, бегать по утрам — полезно, иметь хобби — полезно, но при выполнении работы считать лучше на калькуляторе, на работу ездить лучше на машине и при устройстве на работу если спросят про хобби — то лучше чтобы оно совпадало в профессиональными требованиями, а на работе выполнять свои обязанности в соответствии с должностными инструкциями.

зы. А вообще-то я и 2+2 считаю на калькуляторе в ОС и результат копипастом переношу, а не запоминаю и ввожу потом с клавы (2*5 тем более). И это не деградация. Это… если красиво сказать, то это уменьшение возможных необоснованных рисков. И так багов хватает, так зачем намеренно давать повод плодиться новым??!
ну про 2+2 я соврал, но 2+2+5 точно считаю на калькуляторе и вижу, что это правильно.
UFO landed and left these words here
Точно. Я на всех своих картах код знаю — 0000 :)
Штука конечно прикольная, но много где не поможет.
Я например храню не столько пароли но и SSL сертификаты.
Есть пароли которые нельзя поменять.
Или например ключи от лицензионных программ.
Очень здорово, но всетаки у меня есть сомнения.
Как я понял, она использует в качестве пароля хэш от «ключевоеслово: домен». А что случится с паролем если сайт сменит домен с например getdropbox.com на dropbox.com, а я этого не замечу, т.к. всегда заходил через закладку?
UFO landed and left these words here
есть у сервиса supergenpass.com одно слабое место: вот, например, на прошлой неделе мне необходимо было срочно залогиниться в мою почту с чужого, абсолютно ненадежного и незащищенного компьютера — но выбора не было, требовалось войти в почту. Перекрестившись, залогинился, отправил необходимые письма, а спустя несколько часов, добравшись до домашнего ПК, я сменил пароль на своей почте.
Если предположить, что я использовал бы supergenpass, мне пришлось бы в целях профилактики сменить мастер пароль, а вслед за этим пройтись по всем моим профайлам (коих немало) и заменить старый пароль на сгенерённый новый.

Вы, возможно, предложите использовать несколько мастер-паролей на такой случай, но тогда немного теряется смысл в этом сервисе. сложные пароли я умею и без его помощи генерить.
UFO landed and left these words here
согласен, для генерации паролей на говносайты — отличное решение. Но тогда про него и нужно говорить как про «сервис генерации паролей на говносайты», а не «Полное и окончательное решение проблемы паролей в Интернет». До «полного и окончательного» немного не дотягивает…
UFO landed and left these words here
supergenpass не справится если у меня на одном сервисе несколько аккаунтов с разными паролями!
кто нибудь пользуется им? можно использовать?
Импорт планируется? Ручками та-а-ак лениво перебивать.
Импорт пока нет. Много вопросов.
Откуда импортировать (из какого формата)?
Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?
>>Откуда импортировать (из какого формата)?
>>Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?

Delimiter Separated Values?
Flash?
Чтоб так не извращаться нас всех спасет HTML5 это там доступно.
Импорт включен в список todo следующей версии.
А связка KeePass + Dropbox чем не устраивает?
Все проблемы от недостатка слов. Чем больше вы молча нажимаете на кнопки в браузере вместо того что бы материализовать свои мысли в слова тем больше вы становитесь обезьяной. Наслаждайтесь %-)
Негодую по поводу того что минусующие мой первый комментарий не раскрывают свою точку зрения на связку «KeePass + Dropbox».
keepass 2 поддерживает синхронизацию онлайн

мне же достаточно синхронизации с КПК, и то периодической
О, я этот момент упустил из виду. Спасибо что напомнили. Почитаю подробности.
Тоже считаю неаргументированно минусы вам поставили, поправил немного ;)
Ну и вопрос в догонку. Сам пользуюсь KeePass, но храню локально, а какие преимущества/недостатки получаем, если храним в Dropbox?
Благодарю.
Ну, вообще суть в следующем — файл с паролями я храню в дропбоксовской директории, т.е. изменение этого файла на одном компьютере ведёт к изменению на всех, на которых я поставил dropbox и настроил на свой аккаунт. Недостаток, пожалуй, в том что файл с паролями остаётся в системе после того как вы воспользовались паролем. Но если мастер-пароль для него не «password», то воспользоваться им будет сложно.
Сам клиент тоже можно в дропбоксе хранить в принципе =)

У меня организовано точно также хранение, плюс там же в дропбоксе хранятся два трукриптовских образа с мелким софтом и рабочими программами и файлами. Позволяет без проблем иметь одну хистори в мессенджерах, необходимые утилиты с актуальными настройками и т.п. При чем на нескольких десктопах и ноутбуках.
Да, я задумывался об единой истории в мессенджерах, но меня смутило постоянное обновление файлов туда-сюда в дропбоксе. Побоялся что сервер скажет «досвидания». Плюс хранение многих версий одного и того же файла мне кажется не очень хорошей идеей :)
А хранение таким образом паролей нравится ещё и тем что когда, бывает, приходишь домой, а там оказывается интернета нету. Казалось бы всё, пароли не увидеть. Ан нет — дропбокс бережно хранит последнюю версию файла :-)
Ну скажем так, нам в Кутиме тоже нужен какой-то способ хранения на сервере хистори, настроек, паролей. В общем любых данных, но в зашифрованном виде.
Поэтому есть идея как то всё это к общему знаменателю свести, то есть так, чтобы в результате этим все могли пользоваться. Нужен какой-то протокол видимо.
А уж с программной реализацией как-нибудь справимся.
Именно поэтому, весь софт в контейнерах =)
Дропбокс их заливает только после того, как их размонтируешь, до этого они локнуты трукриптом. При чем, из-за того что дропбокс юзает бинарный дифф, то грузит он немного и, соответственно, быстро. Проблемы только с большими файлами, такие дольше синкаются (у меня один образ 250 метров, второй 2Гб).
Большие обычно отсавляю синкаться и ухожу с работы, запуская delayed shutdown. Как я понял, это происходит из-за того, что он их синкает кусками по 4 метра и даже если там один байт поменялся, грузится весь кусок. У меня в большом образе лежит эклипс настроенный, его обычно скучно ждать пока засинкается, т.к. он тьму своих файлов при работе вертит, даже если его просто запустить/вырубить.
А с местом проблем нет, у меня бесплатный акк., прокаченный инвайтами — ни каких проблем не возникало.
Ну и с большими еще трабл, что он лагать начинает, потребляя много ресурсов (актуально на нетбуках) и жрет место под кеш, храня полные версии файлов локально, а не дифы, т.е. локально храняться прямо 2х гиговые куски.
Допускаете ли вы возможность повреждение файла на Dropbox от KeePass (в котором хранятся пароли), в случае хранения ВСЕ online?
В результате вы можете лишиться всех паролей сразу! Хранение копии локально — обязательно!
+ необходимо организовать проверку CRC самого KeePass-файла

Вот так вот =)

Что скажите?
Скажу что Dropbox любезно сохраняет все версии файла ;-)
И при синке сверяет их хеши. Ни разу ни каких проблем такого рода не было, за долгое время плотного пользования.
Я такую же связку использую. Очень удобно, но переносимость плохая.
а можно по подробнее про переносимость? и вообще про KeePass + Dropbox?
KeePass — open source менеджер паролей с хорошим функционалом. Dropbox — удаленное хранилище с удобствами в плане синхронизации и т.д.

Под связкой подразумевается расположение контейнера данных KeePass'a (а возможно и дистрибутива / портабельной версии) в удаленном хранилище с удобной синхронизацией. Таким образом обеспечивается удобство переносимости вашего вороха паролей.
Ну можно и так :-) тоже вариант
Почему плохая переносимость? Дропбокс как и кипасс существуют почти для всех ОС (по крайней мере как заявляют на сайтах производители). Если же дропбокс не доступен на какой-то ОС, то можно стянуть файл паролей с сайта дропбокса.
У описанной связки есть пара существенных недостатков которые могут быть в некоторых случаях непреодолимыми.
Первый — для keepass под MS Windows нужен .NET Framework 2, а он как показала практика не везде стоит. И не везде где придется использовать кипасс у вас будут права админа и достаточно трафика для скачивания дистрибутива. Не исключаю, что и под линуксом придется добавлять какие-нибудь библиотеки.
Второй недостаток — на впервые используемой машине быстро запустить не получится надо будет либо установить дропбокс, либо скачать каталог с keepass из веб — каталога, а это тоже не всегда возможно — ограничения по трафику, отсутствие прав, дефицит времени, перестраховка пользователей от запуска неизвестных экзешников и т.д. Особенно это чувствуется в командировках или поездках за границу. Тут поможет мобильный клиент для keepass, но у него свои минусы.
Оо наконец-то здоровая критика. Спасибо.
Насчёт первого могу парировать тем что при установке на вин7 (который пока ещё не так сильно распространён как хп, но всё к этому идёт) .NET мне не пришлось дополнительно ставить. Вопрос трафика и админских прав думаю можно решить используя портейбл версию keepass (принести её с собой).
А второе… Ну как вам сказать… Когда пароль необходим для чего-то важного, то человек, его использующий готов пойти на некоторые жертвы для того что бы найти его. Но, безусловно, это неудобно. Согласен.
Еще одна беда про которую сразу забыл. Регулярная синхронизация баз. Это конечно вопрос личной дисциплины, но все же. Дело в том, что на работе комп включен круглосуточно, а домашний комп или походный ноут не всегда, поэтому иногда бывают коллизии когда а работе поменял пароль но не сохранил (^S жму везде на автомате ))) либо дома поменял пароль, обновил базу, но на работе не открыл обновленную заново. В случае с онлайновым менеджером такое исключено.
По поводу принести с собой — видал перестраховщиков, которые не то, что экзешник запустить, jpeg открывать с чужого источника боятся. А почту иногда проверить здорово надо, тут у веб — интерфейса альтернативы быть не может. У дропбокса в этом отношении здорово организовано, молодцы! Надо бы им заплатить, хотя мне и двух гигов за глаза хватает )))
Если бы не SSL, ваша защита не стоила бы и выеденного яйца.
Без SSL мужык-посредине без проблем может подменить Javascript, поменяв местами соль для TargetValue1,2,3,4, и в итоге получит все нужные TargetValue, имея в дальнейшем возможность получить все ваши пароли.
Хм, хотя чего тут мудрить — без SSL можно просто подменить Javascript, заставив послать его логин/пароль.
А с SSL достаточно просто запросить нужный пароль и расшифровать его своим мастер-ключем на стороне клиента.
Танцы с md5/солью/двойным шифрованием абсолютно никчему.
Верно.
Офлайн менеджеры паролей скачиваются с сайтов производителей по https? Вы уверены что их по дороге не модифицировали?
И не только менеджеры паролей, но и антивирусы, браузеры, обновления ОС и пр. и пр.
Так что если вы этого боитесь, дальше идти вам просто некуда, кроме как отрубить себе сеть.
Не пользовался менеджерами паролей, но вполне было бы разумно в них добавлять цифровую подпись/скачивать по HTTPS. Иначе они также лишены смысла.
>… и ввести свой матер-пароль

матер-пароли на сколько этажей порекомендуете?
Будет ли возможность экспорта например из xMarks паролей?
я чуть выше писал:
Импорт пока нет. Много вопросов.
Откуда импортировать (из какого формата)?
Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?
Очень удобным был бы импорт из KeePass. У меня, например, там более полусотни паролей и перебивать их еще куда-то оочень не хочется. Да и судя по комментарим им многие пользуются.
… Но флешка может потеряться или выйти из строя...

Раз уж на то пошло, интернет тоже не всегда и не везде доступен. Было бы здорово, если бы у сайта была PDA-версия или — что еще лучше — версия, которая будет работать в Opera Mini (насколько я понимаю, текущая не будет, ибо Javascript в таком объеме в опере мини не поддерживается). Тогда можно было пользоваться сервисом со своего телефона *

* Угу, я параноик. И предпочел бы не логиниться в важных сайтах и сервисах с неизвестных мне компьютеров =)
поддерживаю. эта функция нужна.
В принципе текущая версия работает на мобилках. Проверял на Iphone и Win Mobile (Opera)
только пользоваться неудобно, верстка не заточена.

В планах следующая версия где будет подумано о мелких экранах и тачскринах.
На симбиан не работает. Ни стандартный, ни Opera Mobile, Mini версию проверять не стал, ибо выше.
А что будет если украдут мастер пароль?
Хорошо бы сделать возможность ограничения доступа по IP (например сетью своего инетернет-провайдера и адресами организаций)
Ну и несколько паролей.
Или авторизацию по SSL-сертификату (типа как у webmoney keeper lite)
Ничего хорошего не будет.
Я со своей стороны сделал все возможное, чтобы не потерять ваш мастер-пароль. Я его просто ни куда не записываю и ни куда не передаю.
Вы со своей стороны, тоже позаботьтесь чтобы запомнить и не потерять хотя бы один пароль

Да ограничения по IP планируется, но опасная эта штука.
Планируется сделать фичу, каждый новый для пользователя IP подтверждать через мыло.
>Планируется сделать фичу, каждый новый для пользователя IP подтверждать через мыло.
Как же нарадуются пользователи со своей динамикой…
предполагается в письме для подтверждения ip делать несколько ссылок с разной маской.

для 1 Ip
для блока побольше
для еще больше
и для 255 адресов
> В результате на сервере хранится только анонимный «мусор», ломать ради него сервер бессмысленно.
Очень даже имеет смысл. меняем JS и перехватываем все мастер пароли у всех кто заходит. онлайн менеджер для паролей – ОЧЕНЬ плохая идея.

Я там выше писал. Офлайн менеджеры в этом плане еще хуже. Они скачиваются с сайта по небезопасному протоколу, их могут перехватить и модифицировать. Это касается всего скачиваемого и обновляемого софта от самой ОС и до антивирусов.
обезпечить безопасность софт апдейтов намного легче – просто надо использовать цифровую подпись. и не хранитъ сертификат подписи на сайте.
большенство 'нормальных' прог так и делают. так что сломав сайт невозможно запустить в оборот 'левую' версию.
% codesign -dvvvv /Applications/1Password.app/Contents/MacOS/1PasswordExecutable=/Applications/1Password.app/Contents/MacOS/1Password
Identifier=ws.agile
Format=bundle with Mach-O universal (i386 ppc7400 x86_64)
CodeDirectory v=20100 size=8597 flags=0x0(none) hashes=424+3 location=embedded
CDHash=5fea28ba52301c5fc82004dd86377c23e9c35a12
Signature size=3192
Authority=Agile Web Solutions
Authority=Thawte Code Signing CA
Authority=Thawte Premium Server CA
Signed Time=31 дек. 2009 01:40:04
Info.plist entries=22
Sealed Resources rules=4 files=604
Internal requirements count=1 size=308

Поставщику ОС я доверяю, корневым сертификатам Thawte – тоже :) Так что проверить подлинность приложения не так сложно.
Или же JS меняет вирус, который заразит сайт разработчика (что случалось неоднократно) или будет внедрён на уровне браузера пользователя. Без SSL ещё и атака man in the middle явно светит.
Я не знаю тонкостей программирования и шифрования… но вопрос логичен, зачем я буду доверять какому-либо серверу свои важные данные, не подписав с ним договор, имеющий юридическую силу, о не разглашении?
Вас никто не заставляет доверять. Но вы это уже делаете пользуясь кучей софта и сервисами. Вы же доверяете своей винде, антивирусу, браузеру и офлайн менеджеру паролей без договора и пр. А если договор есть, то что в нем написано? Правильно! что писатель софта не отвечает за любой причиненный вред прямой или косвенный.
=) Нет нет вы меня не поняли! Я Параноик! Все пароли в голове )) И сервис как по мне хорош, просто я параноик =) А Виндоусу я ниче не доверяю )
Если вы написали этот коммент значит вы пользуетесь минимум браузером, значит вы доверяете производителю своего браузера, что он не сольет налево ваш пароль от хабра. Брайзер работает на ОС. Если вы запустили свой браузер под ОС, значит вы доверяете производителю ОС что они не сделают тоже самое. ТОже можно сказать про антивирус и пр.
В чём принципиальные отличия от например LastPass?
LastPass я плохо знаю. Знаю что он есть в виде плагинов для браузеров и клиентов под различные ОС. А веб-клиент там есть? А как бекап реализован?
Вёб клиент там есть, что именно вы подразумеваете под бекапом? Можно экспортировать все свой пароли в CSV файл.
Ну, на сколько я вижу только наличием рассылки на эмайл.
ЛастПасс мне как-то больше по душе, хотя как-то всеравно не слишком приятно хранить пароли на серверах (не своих серверах).
Ответе мне кто-нибудь кто хорошо знает LastPast, у него веб-клиент есть?
Что значит «веб-клиент»? Я могу зайти в «Личный кабинет» или как там это называется (My LastPass Vault) и там смотреть свои сайты, при клике — авторизация на сайте сразу. Удобно. Плюс плагины для ФФ (не пользуюсь), Хрома (удобный, обновляется часто), вэб-клипперы для Оперы.
Плюс еще букмарклеты, которые работают не хуже плагинов.
И вообще не зависят от браузера — только б жаваскрипт держал
Под вэб-клипперами я как раз и понимал букмарклеты:)
Пользуюсь в опере тем, который логинит сразу.
Ну это не всегда удобно, но согласен — как правило он оптимален
а у мя в хроме не работает и как обновить его для хрома я не нашел
Я удалил старый и поставил с официального сайта хромовых расширений.
Есть станичка на которую я могу зайти и полностью менеджерить пароли и другую информацию
Да, веб-клиент есть. Бэкап выполняется вручную. Но, честно говоря, я не думаю, что их сервера могут накрыться. Не стартап все-таки, бэкапы сами ведут.
И такой же вопрос касательно RoboForm'a
> Все очень просто,
> все пароли шифруются на стороне клиента, в браузере с помощью алгоритмов AES256 и Blowfish реализованных на Javascript. Только после шифрования ваши данные передаются по протоколу https на сервер. Ключи шифрования для алгоритмов разные и не передается на сервер. Все поля каждого пароля (название, теги, примечание и пр. ) шифруются, логин пользователя тоже шифруется

Индийская жаба выражается яснее (с) Квн Дастисфак

без обид, сервис наверное действительно полезный :)
какую именно букву вы не поняли?
>все пароли шифруются на стороне клиента, в браузере с помощью алгоритмов AES256 и Blowfish реализованных на Javascript
сейчас мне очень хочется вставить сюда ТОТ ГИГАНТСКИЙ смайл с яндекса
Зачем 2 раза шифровать? в чём профит?
Да так просто…
Было два алгоритма работающих, долго выбирал, тестил.
Решил пускай будут оба.
Потом придумал отмазку, на счет того, что если завтра в одном алгоритме найдется уязвимость.
Да и методом «влоб» ломать тяжелее.
Мне кажеться что это далеко не лучшая идея. Суть в том что вы скомбинировав AES и Blowfish получили какой-то другой алгоритм, стойкость которого не доказана. Даже если использовать оч сложный алгоритм, то может внезапно выясниться что он имеет какие-то уязвимости.
Если ключ у них один то да может получится.
У меня ключи разные. Алгоритмы не модифицированы и ни как друг с другом не связаны.
разные ключи должны быть безопасны для последовательного блочного симметричного шифрования
там как раз применяются два блочных симметричных алгоритма
Стойкость последовательного применения двух алгоритмов шифрования не может быть ниже чем стойкость любого из этих двух. По-моему, это очевидно. Иначе, либо стойкость алгоритма зависит от входных данных (если мы сравниваем со стойкостью второго алгоритма), либо может быть снижена путём каких-то манипуляций с завшифрованными данными (если мы сравниваем со стойкостью первого алгоритма). Что, разумеется, противоречит самому определению стойкости.
Если ключи шифрования разные, конечно (как в описываемом случае).
Я из этого и исходил. Но так и не смог сформулировать то что вы написали. У меня бы получилось на 2 абзаца :-)
UFO landed and left these words here
Пробовал… Херня получилась.
Блокнотик можно потерять, еще хуже если его найдет тот кто понимает что в нем написано.
У меня 200 паролей, блокнотики быстро кончаются. Приходится переписывать все в новый.
После нескольких лет работы у меня скопилось 5 блокнотиков с паролями. При переезде решили их выкинуть. Просто так выкинуть нельзя нужно уничтожить.

И вот стою я на улице, мороз -30, жгу блокнотики, а они не горят стопкой, нужно по 5 страничек выдирать и сжигать. Руки мерзнут, сопли мерзнут, блокнотики не греют.

Вот тут я понял что это — писец… Что то я сделал неправильно с самого начала.
UFO landed and left these words here
один сервер c cсайтом это пароль:
1 user
2 root
3 mysql user
4 mysql root
5. админка сайта
А если сайт не один на сервере? А если серверов 10?
А помимо сайтов есть еще почта и тп и тп.

у меня получилось 200 и все нужны, недавно чистку проводил
UFO landed and left these words here
я себе сделал схему на основе химических формул, брутфорс обломается а запомнить легко=) типа _(H2o2^C2h5Oh)_ =)
далеко не все пароли можно задавать самому
UFO landed and left these words here
Не знаю… На сервере сайтов 5 сейчас, В каждом 15-значный пароль, ни один из которых я не использую, хранятся себе в конфигах, всегда можно поменять.
Использую только два пароля. root для бд и сервера один. Доступ к root по ssh закрыл, в целях безопасности. Захожу сначала под пользователем.
Я к тому, что нет смысла записывать на каждый сайт пароль от бд.
героический поступок. надо было до весны подождать и спалить блокнотики
Их нужно было сжигать пока не забыл это сделать. В такой ситуации гораздо проще их кинуть в другой ящик и забыть еще на год, а потом какой-нибудь отпрыск найдет и выкинет. Короче опасно терять контроль над сохранностью.
В целом идея не плоха, да и дизайн не такой страшный. Но вот косячки есть.
Вводишь в имя секрета 123.123456789.123, получаешь 123.123456789.1 23
Угу это так задумано, чтоб верстка не ползла в некоторых браузерах. Я не придумал как сделать так чтоб при длинных названиях без пробелов не растягивались поля ввода. Могу успокоить что пробелы вставляются только в названия.

За хвалу дизайну огромное спасибо, его я вымучивал 50% времени.
мой вам совет (или даже просьба):
никогда не пишите <a href="javascript:void(0);" onclick="…
почему?
ну да в href должно быть куда ссылка
но в данном случае почему?
потому что если ссылка некуда не ведёт, то не надо её делать ссылкой
сделайте span с одтельным классом, который будет выглядеть как ссылка

и ещё у вас в футере написано «Copyright© 2008-»
на многих сайтах видел <a href="#" ....> — этот подход тоже неверен с вашей точки зрения?
Да, по абсолютно той же причине. Для людей, которые пользуются открытием ссылок в новом/фоновом окне это очевидно.
Здесь это неуместно. Здесь в отдельном окне ничего работать не будет.
и поисковики ничего не будут индексировать. Валидацию проходит значит все хорошо. :-)
Отдельное окно будет открываться, но в нем ничего не будет. Открыл в фоновом режиме десяток окон, переключился на них — а там пустота. Приходится закрывать все, возвращаться на исходную страницу и открывать снова. Время и нервы потеряны, сайту минус один в карму.
Вы с этим советом о-о-очень погорячились!

Все элементы всегда надо делать или кнопками, или ссылками т.е. элементами управления, которые понимает браузер. Смысл в этом очень простой: элемент управления должен быть доступен на странице по нажатию tab'а (плюс экзотические юзер-агенты, например аудиальные, для них ваш спан — ауйня). Чтобы добиться фокуса на спане придется писать тонну, по сути бесполезного, джаваскрипта.
Кнопки — хорошее решение, даже семантичное, если можно так выразиться.
Изначально отказывались от кнопок, чтобы картинки для них не рисовать и интерфейс не делать тяжелым. Но потом таки добавили иконки, ибо совсем убого получалось. А ссылки остались ссылками.
Кнопка может выглядеть как ссылка и вообще как угодно — CSS 2.1 на дворе. Тем более, «псевдо-ссылки» по сути являются именно кнопками, так как выполняют немедленное действие при нажатии и никуда, в отличие от настоящих ссылок, не ссылаются.
А если инета не будет, а пароль ну очень нужен? Все-таки одним сервисом лучше ограничиваться =)
Если у Вас нет интернета — то зачем Вам пароль к интернет-ресурсу? :)
Там есть возможность скачать все в автономный html-файл — работает, попробовал.
это если забыли пароль от входа в домен? тогда поможет старый способ:
«на бумажке пишем пароьл и ложим её под клавиатуру»
Главная фишка этого ресурса как раз в том что все свои пароли вы найдете в своей почтовой программе (офлайн почтовой программе). Письмо в нее попадет пока инет у вас есть.
Правда может быть что вы только что записали пароль, письмо еще не пришло а инет уже отвалился.
Но тут очень небольшая вероятность, что вы прямо через 10 минут забудете пароль и он вам сразу понадобится.
а откуда там возьмутся пароли, если в сервисе они в открытом виде не хранятся?
да и на email пересылать в открытом виде их тоже не хорошо, мягко говоря…
или они шифрованные высылаются?
Шифрованные высылаются

вам письмо, в письме html файл, в файле комплект вашего мусора + еще 60 кб Javascript лагортмов для превращения его в ваши пароли, естественно после ввода мастер-пароля

какбы офлан версия сайта в одном html файле
тогда замечательно.
осталось еще сделать плагины для браузеров для автозаполнения и автосохранения паролей, и вообще отлично будет )
Приятно удивило то, что браузеры не ругаются на самоподписанный сертификат (чем грешат панельки местечковых недопровайдеров)
Если не секрет — почем обошелся сертификат для сайта?
Сертификат честно куплен за 65$
Спасибо что оценили хоть вы :-)
Если бы браузеры ругались я бы сюда даже писать не стал, съели бы.
А когда не ругаются ни кто даже и не заметил :-)
Процедурку покупки/получения (можно в отдельном топике) не опишете?
А заметил потому что достали с левыми сертификатами — вон знакомые — дилеры гроссен тройки операторов — приложение «удаленный дилер» — даже не парятся — слепили левый сертификат и работайте господа! А ведь там паспортные данные отправляются по инету… Сейчас же закон вышел какой-то новый о защите перс. данных. Блин дайте телефон доверия…
www.startssl.com/?app=1, зайти, зарегатся, провалидировать домен через один из email'ов во whois, получить сертификат первого уровня бесплатно.
Написать могу, но я думаю меня на хабре с этой темой пошлют куда подальше. Потому что чисто случайно окажется что тут каждый второй покупает сертификаты пачками, и нефиг гнать тут тривиал.
На самом деле ничего сложного нет, нужно только внимательно читать все инструкции на сайте продавца.
А напишите тогда плиз в приват?
А Вы сертификат как физическое лицо покупали?
да их как бы не интересует
какое лицо в анкету заполнишь такое и будет.
главное подтвердить что ты владелец домена и заплатить бабки.
Просто имею опыт с Thawte и RBC, так они только для юриков сертификаты выпускают.
Спасибо! Буду пользоваться, только вот дизайн действительно надо подрисовать, и вашу идею 'IP с мылом прикрутить' :)
В подвале «Copyright© 2008-» Это вы два года делали? Или просто шаблончик старый валялся?
Делал активно 5 месяцев 2008 года. Потом были мелкие но вечные улучшения. Любимый проект можно строить вечно как дачу или ремонт.
А главный е-мейл поменять позже можно?
Email удалить и добавить новый :-)
Зарегистрировался, буду пользоваться :)
А как редактировать каталог? Мне надо теги убрать :)
справа от каталога буква «Е»
Спасибо. Сделайте еще тэг — 'без тэгов' :)
Главного email как бы нет
Может вообще не быть ни одного, только вам же хуже будет.
Поэтому я при регистрации требую хотя бы один.
Я не могу напомнить ваш местер-пароль вам на ящик, и комменты вам ни кто писать не будет.
Поэтому мне ваши ящики в принципе не нужны.
А безопасно ли хранить html файлик, который мне прислали на почту в неархивированном-незапароленном виде? Могу я его просто швырнуть на флеху и пользоваться когда пригодится?
смело можете, это безопасно. Если загляните внутрь файла найдете там свои пароли в зашифрованном виде (что то типа FC476308A6BC93Ed7.......)
Все, теперь я могу освободить половина головы. 37 паролей — кашмар :) Спасибо, оч удобно…
Несколько замечаний
1) неудобный интерфейс
2) фреймы, пожалуйста, уберите их
3) почему когда я нажимаю горячие клавиши, ничего не происходит, они тупо вбиваются в поисковую строку в браузере (быстрый поиск, firefox)
1) скажи в чем и ваше пожелание будет учтено в след версии.

2) фреймы будут убраны в след версии, я уже знаю как от них избавится. Дело в том, что после авторизации страница ни разу не должна обновится, иначе потеряется авторизаци. Раньше мне было это не по силам.

3) > почему когда я нажимаю горячие клавиши, ничего не происходит, они тупо вбиваются в поисковую строку в браузере
потому что на странице присутствует флеш, если вы ему фокус дали, он забирает горячие клавиши. Я сам его ненавижу за это. Но на флеше работает копирование паролей в буфер обмена. Пользователя очень нравится эта фишка.
(3) Разве флеш? Фокус при загрузке переносится на поле ввода логина:

/js/headblock.js стр. 59:

document.getElementById('inputlogin').focus()

Потом, правда, снова теряется (пробовал в Opera 10.5).
да фокус переносится для удобства, чтоб пользователь его туда не ставил, но на горячих кнопках это не должно отразится.

Вашу проблему удалось повторить только с флешом.
Если у вас даже на главной странице до авторизации (там где нет флеша) не работают горячие кнопки, тогда я не могу повторить вашу проблему.

1) посмотрите на любую программу, которая оффлайн, хорошо бы было приблизить интерфес к подобным программам, например, keepass.info/screenshots/main_big.png (случайный пример), почему бы не сделать такой интерфейс в онлайне?

2) Все можно сделать на javascript, я сам веб-разработчик, знаю, что все прекрасно реализуемо.

3) я не давал фокус флешу, я просто авторизировался и сразу пробую
1) 2) когда начинал делать не умел и не знал, сейчас умею и знаю. Подумываю след версию сделать с ExtJS но боюсь получится тяжеловато как clipperz.com
Сейчас все так легко потому что не используется ни одной библиотека.
Сами алгоритмы шифрования весят 60 кб, Если еще какую-нибудь либу добавить, то могу прийти к том от чего ушел. Но согласен что сделать можно и нужно красивее и удобнее.

а сколько там extjs весит, я думаю, гораздо легче будет без всяких фреймворком.
а почему сбивается сессия при перезагрузке?
Полный ExtJS весит 600 кб. Можно по кусочкам использовать, но все равно до хрена получается.

Сессия сбивается потому что при перезагрузке заново инициализируется окно браузера и убиваются все js переменные, в том числе те в которых хранилось уже расшифрованное и те в которых хранятся ключи для расшифровки, которые получены из вашего мастер-пароля.

Кука сессии сохраняется, ну что толку от нее? запросите вы после перезагрузки страницы свой пароль, я вам его отдам, чем расшифровывать будете? ключи то потерлись в памяти. Вот после перезагрузки страница пападает в браузер смотрит, опа, а ключей нет. Значит ты дорогой неавторизован, вот тебе поле с логином и паролем.

делайте без фреймворков
Следующая версия будет без фреймов это точно.
Но как это поможет?
На вальцах объясните как делать так чтоб «сессия не сбивалась?»
поможет так, что не будет тяжелого сервиса, а написать абсолюбно все на чистои Js, кроме конечно алгоритма шифрования, не сложно.

Врятли получиться, чтобы не сбивалось, можно конечно хранить все в куках, но небезопасно, другой вариант, хранить данные на сервере.
3) — это кнопки, а не hot key
У меня вот все как у Кощея бессмертного. Пароли в файле, файл на домашнем компе, когда что-то нужно с удалённой машины, просто делаю wake on lan и добираюсь до файла по ssh, но вообще я стараюсь всё же запоминать пароли от серверов.
Сначала хотел вам описать с какими проблемами вы можете столкнуться. Но потом понял что статья получится больше этого топика.
Да я примерно представляю, чем это опасно. Но у меня там и нет критических по важности паролей. Если пароль действительно важный, то он выучивается.
А всякие там инет сервисы… Ну они не стоят того.
Кстати, в KDE или GNOME есть встроенные менеджеры паролей, но нету их онлайн синхронизации. В браузерах тоже есть плагины для онлайн синхронизации паролей, но пока нет никакого общего знаменателя в этом вопросе. Было бы идеально разработать какой-нибудь общий протокол для этих целей, а потом уже реализовать плагины для популярных приложений.
А может с evernote договориться? А то у них с безопасностью хранения данных швах полный — криптование смешное…
можно поподробнее, я не в теме
Есть сервис evernote. Сервис хороший (местами), наверное сейчас самый популярный из аналогов, баги и недоработки потихоньку лечат. Но хранить valubale информацию у них — очень стремно, они используют алогоритмы криптования DES насколько я помню.

Самый большой комплейн — именно к этому, потому как получить пароль (куча народа его мягко говоря не усложняет) / скачать заметки криптованные / сломать — вполне реальный вариант развития событий. Может быть им предложить создать для premium пользователей например более надежное хранение данных :)
я так понял что введя мастер пароль я просто получу полотно со всеми моими паролями, выберу из них нужный и самолично скопирую туда куда нужно? Но это ведь неудобно. С тем же успехом можно поместить список паролей в evernote (который тоже доступен везде, хранит офф и онлайн и тоже умеет шифровать).
Вот если бы пароли вводились автоматически (через там плагин какой мультиосный и т.п.) было бы удобно. а так склоняюсь к какому нибудь оффлайн менеджеру паролей, который умеет автоматически их вводить.
все бы хорошо — но у evernote хреново с шифрованием. ни о каком AES / Blowfish и речи не идет.
ну в evenote можно сунуть файл как угодно зашифрованный предварительно (хоть от того же KeyMemo). Кстати идея для автора — evernote же позволяет создавать заметки присылаемые на спецящик по e-mail так что можно указать такой e-mail в качестве единственного и все пароли в дойстойно зашифрованном виде будут спокойно лежать в вашем evernote).
хотя проблемы автоматизации ввода это все равно не решает.
Тогда пропадает удобство использования. И мультиплатформенность сразу вопросы (особенно мобильные клиенты).

Так что речь как раз об интеграции…
Не изобретаете велосипед, то что вы написали есть в самом топике
под строчкой «Как это работает?»
там написано как каждый сам себе может сделать онлайн менеджер паролей
Если evernote шифрует все в браузере + умеет работаеть по https + умеет выдавать шифрованный бекап всех записей, то да можно его использовать.
lastpass.com всё это умеет
Для браузерных паролей пользуюсь 1Password+Dropbox и в принципе доволен, поскольку перемещаюсь только между своими компьютерами, в основном. Проблема с паролями ssh etc. Все руки не дойдут прикрутить Keychain к тому же Dropbox. Ну и бывает так, что где-нибудь в гостях зачешется почту проверить, а пароль не помню принципиально.
Как основное хранилище — едва ли, а для исключительных случаев — вполне. Удачи!
А что вы имели в виду под «прикрутить Keychain к тому же Dropbox»?
положить ~/library/login.keychain в dropbox и сделать ln -s
это mac os (на всякий случай)
правда тогда пароли на вход будут одинаковые
Замените, пожалуйста, --> и им подобные на сайте иконками или соответствующими символами из utf-8 таблицы, как-то сильно выделяется на фоне самого приложению, плюс несовсем понятен смысл флеш-вставок возле полей ввода, непонятно зачем вместо значения поля показывается его зашиврованный вариант… ну хотябы сделать 2 кнопочки: показать все и скрыть все, а то неудобно получается…

Насчёт дизайна-вполне юзабельно, только красный цвет глаза мозолит (я про верхнее поле)…
--> заменю в след версии.
Изначально вообще планировалось без иконок и графики чтоб сделать еще легче и проще. Но получилось очень убого. Эти символы остались оттуда.

смысл флеш-вставок При нажатии на флеш вставку содержимое поля попадает в буфер обмена.

«непонятно зачем вместо значения поля показывается его зашиврованный вариант?»
пока поле не в фокусе надо скрывать по соображениям безопасности (чтоб из-за плеча не заглядывали)
а вот при скрытии показываю шифру — типа дизайнерский ход, визуализирует работу так сказать.

вы молодец,
в свете последних топиков про пароли ваш сервис выглядит очень актуальным :-)
Как-то сложно все… У меня все проще — с собой iPaq 214 + SPB Wallet — в нем все пароли, пины, и т.д. Вход закрыт сложным паролем. Пока так — вполне устраивает.
А если сломается, потеряется, украдут, отнимут, батарейка сядет? Получается все яйца в одной корзине. Проходили уже.
Не потеряется. Все засинхронено с домашним ноутом, при желании можно и с рабочим компом засинхронить, но не надо. А батарейку можно всегда от USB зарядить.
ваш вариант гораздо лучше предложенного автором тем, что для доступа к паролям вам вообще НЕ НУЖЕН компьютер (интернет). просто СВОЙ (а не чужой) наладонник или смартфон.
у меня например все пароли (больше 400) в телефоне в программе CodeWallet
— синхронизация с компом (десктопным менеджером паролей), т.е. потеря мобилы не грозит
— все удобно разложено по папочкам с подпапочками (проекты, сайты, компьютеры и пр.)
— никаких интернетов для хранения и доступа к паролям не надо, все у тебя.
— можно быть уверенным, что никто не смотрит на тот экран где вы получаете пароль (глазами или через удаленный рабочий стол)

есть еще бесплатные решения, например KeePass. оно и под android есть.
Воот. И я про то же.
Очень приятный сервис. Понравилась идея с антифишинг-проверкой.
*На странице регистрации ошибка в слове «окажитесь»
UFO landed and left these words here
паролей около 200
в пароле от 4(пинкоды) до 20 (пароли root) симовлов
но есть еще ключи лицензионных программ, SSL сертификаты и пр., они бывают большими
UFO landed and left these words here
Можно, но с веб сервисом сложнее подкинуть утку. Берите отладчик и смотрите обмен с сервером, смотрите на код, он же не копилирован.

А вот в случае с офлайн менеджером паролей или другим «компилированным» софтом утку подсунуть куда проще, так как для отлдаки уровень долен быть выше.
Попробую ваш вариант, но вообще давно язаю робоформ + бесплатная их онлайн версия
Хранилище до 1000 элементов на 1 аккаунт
Это немного на самом деле, вот сейчас у себя глянул, около 700 штук.
Если моего хранилища не хватит, я лично для вас его расширю :-)
> онлайн менеджер паролей –> свой менеджер паролей
Вам осталось только открыть исходники своего онлайн-менеджера паролей,
чтобы совсем параноики не хранили в чужом (вашем) менеджере паролей на вашем сайте, а могли на свой собственный сайт поставить.
Ну а там потом — много чего ещё можно будет сделать.
Хотите свой подобный сервис на свой сервер поставить?

Есть Clipperz comunity edition на хабре про него писали недавно.
Поздравляем! Вы изобрели webpassword.ru, которым я _давно_ пользуюсь (:
А что у него с сертификатом?
а все данные шифруются в браузере? или передаются прямиком на сервере?
а как у них с бэкапом?
Сертификат кончился недавно. Все шифруется легким(!) Javascript'ом. Сервера надежные, с бекапом все в порядке.
Алгоритм шифрования какой?
Описание где?
Что будет если сам сервис кончится, где потом догонять свои пароли?
Сервера надежные — Сертификат кончился недавно :-)
«Этот сайт предназначен для безопасной передачи паролей»
Я недопонял как можно безопасно передать пароль от одного пользователя другому, чтобы админ этого сервера не прочитал послание?
Честная конкуренция это прекрасно.
сервис действительно хорош и удобен) а господам параноикам напомню, что брелок — тоже устройство, помогающее потерять все ключи разом ;-)
Вы верно не внимательно читали, про то как пир всем желании не получится все потерять :-)
так я, собственно, как раз к тому и гну)
У меня вопрос, зачем нужна связка из blowfish и aes и зачем temp_val, анпример считается как сумма двух хэшей?
Я выше уже писал.
Просто было две заготовки для алгоритмов долго выбирал какой применять. Решил что оба сразу карман не тянут. Заодно если один признаю не стойким или найдут уязвимость в реализации, второй вытянит, да и в лоб ломать сложнее.

Просто два md5 в длину как раз дают шикарный ключ и кашу длинной 256 бит для блочного алгоритма шифрования.
lastpass.com давно таким образом работает, но зато поддерживает почти все браузеры и много arecys[ плюшек типа onetime password
У них жутко неудобный плагин для хрома и интерфейс не распологающий к простоте использования.

Самое главное сделано: обеспечена безопасность передаваемой информации, теперь дело за удобным интерфейсом. =)
Неудобный? чем это он неудобный?
Не буду делать из мухи слона. Для кого-то удобный, для кого-то нет.

Если хотите узнать чем, создайте топик-опрос.
Опрос создавать ради этого глупо, а их плагин https://chrome.google.com/extensions/detail/hdokiejnpimakedhajhdlcegeplioahd впринцепи удобный да и на сайте они редизайн крутой сделали))
Мне тоже хромовый плагин lastpass не понравился. Поставил и снес.
UFO landed and left these words here
Удобнейший сервис!!! Огромнейшее спасибо! Жду расширение к Гугл Хрому =)
Жаль нельзя вложить файл. Например, копию сертификата WebMoney или Key-файл моего клиент-банка.
Через буфер обмена в примечание до 4000 знаков
Не удобно. Ведь кроме файла текстовое примечание тоже может быть.
Лично для меня это критично, поэтому, к сожалению, попользоваться не получится.
А вообще, сервис хороший.
Была бы ещё подписка на новости, чтобы отследить момент, когда сайт дойдёт до нужной кондиции.
base64 keyfajl_moego_banka.key выдаст кусок текста, который можно через буфер обмена вставить в примечание.
base64 -d -i > keyfajl_moego_banka.key и вставить из буфера обмена текст из примечания — создаст ваш кей-файл.

Всё просто :)
Может знает кто есть ли менеджер паролей удовлетворяющий требованиям:

1. Open Source;
2. Linux;
3. Storage — программа не требующая гуишных библиотек. Что бы работало на локальном домашнем сервере;
4. Web или gui frontend, с возможностью коннектится к удалённому storage (который на сервере)

Практически всему удовлетворяет nsd.dyndns.org/pwsafe/, но к ней не нашёл frontend'ов.

В принципе простейший вариант не сложно написать за пару вечеров, но глупо если уже есть что-то вменяемое.
Finderom, спасибо за сервис, я уже пользуюсь.

Кроме собственно вашего менеджера, благодаря этой публикации всплыли ссылки на другие интересные ресурсы. Это тоже неплохо.

Удачи всей вашей команде (мне кажется, что вы не один это делаете).
Пароли от серьёзных вещей я ношу на флешке, которая закриптована. Дома есть актуальная копия.
От кредитных карт ношу в голове.
А для интернет-ресурсов можно использовать Mozilla Weave.
Для тех кто не знает, что такое Mozilla Weave — это дополнение к Firefox, позволяющее синхронизировать ваши закладки/пароли/введенные адреса/куки/открытые вкладки между неограниченным числом компьютеров используя некий удаленный сервер. Mozilla Weave вышел как развитие Google Browser Sync, который больше недоступен для скачивания.
https://mozillalabs.com/weave/
Хабраэффект пошел на спад, ни одного коммента о том что сервис недоступен или ошибка 5хх.

Следующий топик писать о том как пережить хаброэффект?
UFO landed and left these words here
Ну просто основные операции происходят у клиента, поэтому всё норм.
UFO landed and left these words here
хороший у вас сервис получился.
я зарегистрировался и уже начал пользоваться.
до этого пароли хранил в «черновиках» в гмейле, в кошмарах иногда видел как случайно отправляю этот черновик по списку рассылки =) Но менять что-то было лень, офлайновые хранители паролей казались слишком тяжеловесными, а про уровень защиты онлайн-хранилищ я до вашего поста ничего не знал, и поэтому не доверял им. недоверие до конца ещё не рассеялось, поэтому самый важный пароль (от одноклассников) я ему пока не доверил (шучу, да).

У меня маленькое пожелание: уберите, пожалуйста, эти ужасные символы ..< — и \ \
ну или замените на соответствующие иконки
постоянно о них глаз спотыкается)
В следующей версии уберем обязательно. Вы третий кто жалуется.
раз уж тут пошла такая пьянка, вот вам второе пожелание: добавьте, пожалуйста, быстрый поиск (без перезагрузки страницы) по тегам и «именам» секретов. «Быстрый» в том смысле, что фильтрация списка секретов происходит на лету, по мере ввода поискового запроса =) было бы удобно.
о, а поиск-то уже есть. простите, не заметил
Осталось вместо регистрации прикрутить OpenID, Windows Live ID и Facebook Connect.
windows live id не думаю что очень надо, очень громоздкая у них система, надо что-то другое выбирать.
UFO landed and left these words here
Про webpassword.ru тут уже упоминалось. Может вы расскажите как он работает, как пароли передаются?
Примерно такая же схема, что и у автора топика. Все шифруется на клиенте, на сервер отправляются только хэши. Мои товарищи (создатели прожекта) уверяют, что там все секъюрно и никак даже с сервера пароли достать невозможно.

Фишка у них дополнительная в том, что можно на некоторые страницы с паролями выдавать разным людям доступ. Делалось изначально для передачи доступов между админами и программерами конторы. В рамках этой фишки практикуется также передача зашифрованных сообщений. Типа кидаешь на мыло только пароль, а сообщение уже на сайте.
Все алгоритмы дублируются. Двойное хеширование, двойное шифрование. Это на случай если завтра какой-то алгоритм признают не стойким. Ведь я же параноик.

Иногда, это глупость, а не паранойя. Утрируя, дважды гаммируя с одной и той же гаммой мы получим исходный текст, а если гаммирование однократное — то совершенный шифр.
Там выше один хороший человек грамотно сформулировал это так:

Стойкость последовательного применения двух алгоритмов шифрования не может быть ниже чем стойкость любого из этих двух. По-моему, это очевидно. Иначе, либо стойкость алгоритма зависит от входных данных (если мы сравниваем со стойкостью второго алгоритма), либо может быть снижена путём каких-то манипуляций с завшифрованными данными (если мы сравниваем со стойкостью первого алгоритма). Что, разумеется, противоречит самому определению стойкости.

Все дело в том, что алгоритмы и ключи разные.
Ну как сказать, строго говоря, это не очевидно, т.к. используется один и тот же ключ для двух алгоритмов (только алгоритмы называются не Blowfish и AES, а, соответственно, magicBlowfish и magicAES).

Нет, я не говорю, что у вас какая-то проблема в безопасности, почти наверное, её нет, но с тем, что это очевидно, я не согласен.
Отличный сервис, пользуюсь с 2010. Только вот с тех пор никаких новостей нет, боюсь что сервис однажды внезапно закроется — хорошо, что файлы с ключами можно скачать в виде html
А я вот не переставал пользоваться keymemo (сохраняя каждый новый html вручную). А сегодня вдруг письмо с обновлённым html пришло.
Я уж подумал что сервис закрылся :) открывается если зайти через русский vpn, а с американского ip тишина :)
Only those users with full accounts are able to leave comments. Log in, please.