Pull to refresh
  • by relevance
  • by date
  • by rating

Mozilla представила новые функции защиты конфиденциальности пользователей для Firefox

ITSumma corporate blog Firefox Information Security *Browser extensions Browsers


Вчера, 22 октября, в официальном блоге Mozilla разработчики Firefox представили новые функции браузера, призванные повысить конфиденциальность пользователей при посещении сайтов и дающие возможность отслеживать, какие веб-ресурсы пытаются собирать персональные данные посетителей.

В основу новых функций легла система блокировки сторонних Cookies и криптомайнеров, которая ранее работала «под капотом» Firefox.
Total votes 15: ↑15 and ↓0 +15
Views 7.6K
Comments 2

Менеджер паролей в Firefox будет полагаться на защиту аккаунта Windows

Firefox Information Security *Browser extensions Browsers
image

Mozilla изменила менеджер паролей Firefox Lockwise для защиты от посторонних людей, которые могли бы воспользоваться компьютером, пишет Bleeping Computer. Теперь верификация паролей будет происходить с помощью учётной записи Windows.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 2.9K
Comments 11

ИБ-исследователь раскритиковал LastPass за 7 встроенных трекеров для Android

Information Security *Contextual advertising Sales management *

Исследователь безопасности Майк Кукетц рекомендовал не использовать диспетчер паролей LastPass для Android, поскольку обнаружил в нем семь встроенных трекеров. Производитель программного обеспечения заявляет, что пользователи могут отказаться от трекинга, если захотят.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 4.2K
Comments 9

Пользователей LastPass предупредили о компрометации паролей, но сервис все отрицает

Information Security *Cryptography *

Многие пользователи LastPass сообщают, что их мастер-пароли были скомпрометированы. Они пришли к такому выводу после того, как получили электронные письма с предупреждениями о том, что кто-то пытался использовать их пароли для входа в учетные записи из неизвестных мест.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 3.7K
Comments 4

Менеджер паролей в Firefox. Синхронизация на нескольких компьютерах

Firefox
Задача:
Есть добрая сотня аккаунтов на разных сайтах. Требуется свести к минимуму введения логина/пароля (одним кликом), при этом:
— предусмотреть способ для синхронизации данных с аккаунтов между рабочим и домашним компьютером
— соблюсти все меры безопасности, во избежании кражи паролей
— решение должно быть кроссплатформенным
Итак, моё решение этой задачи.
Total votes 11: ↑9 and ↓2 +7
Views 6.9K
Comments 23

Safari и Chrome: худшие менеджеры паролей

Information Security *
Safari и Chrome разделили последнее место в рейтинге на лучший менеджер паролей среди всех браузеров, с точки зрения безопасности. Эти браузеры провалили 19 из 21 параметров, которые проверялись во время тестирования, и получили общую оценку «два». Главная проблема в том, что в них так и не исправлен серьёзный баг, обнаруженный для Firefox два года назад. Этот баг позволяет злоумышленнику получать пароли из браузера с помощью специального элемента на веб-странице. Он действует для всех браузеров, однако в Safari его так и не исправили, ну а Chrome вышел на том же движке WebKit, что и Safari.

Internet Explorer сдал тест на «пятёрку» (5 из 21), ну а лидерами оказались Opera 9.62 и Firefox 3.0.4: они соответствуют нормам безопасности по 7 параметрам из 21.

В итоговой таблице можно найти полные результаты, а также подробное описание каждого пункта, по которому осуществлялось тестирование.

Кстати, на сайте Chapin Information Services можно проверить свой собственный браузер на том же наборе тестов.
Total votes 52: ↑51 and ↓1 +50
Views 4.1K
Comments 43

KeyDB: портативный мендежер паролей

Lumber room
Translation
Я большой любитель менеджеров паролей, потому что все время забываю свои пароли. Причиной моей забывчивости является тот факт, что я всегда придумываю очень сложные пароли, которые будет трудно взломать или разгадать.

Одна из замечательных особенностей менеджеров паролей это шифрование и портативность. От менеджера паролей требуется шифрование, поскольку дополнительная безопасность никогда не помешает, и портативность, потому что менеджер паролей тем и хорош, что его можно везде с собой взять. Я много путешествую и использую разные компьютеры, поэтому хочу, чтобы мои пароли всегда были со мной.

KeyDb является небольшим и простым приложением, включающим в себя вышеперечисленные особенности.

Читать дальше →
Total votes 7: ↑5 and ↓2 +3
Views 524
Comments 8

Ботнет Torpig захватили для исследований

Information Security *
Исследователи из Университета Калифорнии опубликовали результаты анализа взломанного ботнета Torpig, управление над которым удалось перехватить не так давно (PDF). К сожалению, через десять дней клиентские модули обновились и связь с ними была потеряна. Однако, собранная даже за это время информации позволяет подробно изучить, как работают ботнеты и насколько они эффективны. За данный период через ботнет прошло 70 ГБ информации: это заполняемые формы в браузере, почтовая переписка и различные пароли. Интересно, что специалистам удалось слёту расшифровать 56 000 паролей буквально в течение часа.

Получить управление над ботнетом Torpig (также известном как Sinowal) удалось благодаря расшифровке метода, с помощью которого клиентские машины ежедневно генерируют список ещё не зарегистрированных доменов.


Читать дальше →
Total votes 100: ↑97 and ↓3 +94
Views 1.4K
Comments 67

Онлайн менеджер паролей

Self Promo
Рад представить онлайн менеджер паролей – KeyMemo.com.

Сразу спешу ответить на вопрос – «Как можно хранить свои пароли на каком-то сайте?»
Все очень просто, все пароли шифруются на стороне клиента, в браузере, с помощью алгоритмов AES256 и Blowfish реализованных на JavaScript. Только после шифрования ваши данные передаются по протоколу https на сервер. Ключи шифрования для алгоритмов разные и не передаются на сервер. Все поля каждого пароля (название, теги, примечание и пр. ) шифруются, логин пользователя тоже шифруется. В результате на сервере хранится только анонимный «мусор», ломать ради него сервер бессмысленно.

image


Читать дальше →
Total votes 128: ↑106 and ↓22 +84
Views 3.9K
Comments 273

Paranotic — для заметок, для паролей

Self Promo
Я хочу поделиться с вами необычным менеджером паролей (for Win), который сделал около года назад. Думаю, что теперь его не стыдно показать и возможно он найдет здесь своих пользователей: www.paranotic.com

Год назад объем моих паролей от хостингов, регистраторов, FTP и email аккаунтов превысил пресловутые 10% возможностей мозга. Я, как и многие здесь, генерировал пароли по какому-то своему алгоритму, так, чтобы можно было всегда вспомнить, а также имел набор «проверенных временем» и «исторически сложившихся» паролей.

Конечно, у меня был и «файлик», в зашифрованном контейнере, куда я старался все сохранять. В конце концов, все это стало жутко неудобно и, главное, небезопасно. И я стал искать менеджер паролей…

Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views 2K
Comments 14

Хранение паролей без их сохранения (развитие темы)

Information Security *
Сегодня залез в песочницу и наткнулся на статью о хранении паролей без их сохранения (больше нету, сохранённая копия здесь). Не знаю, как вам, но мне идея показалась интересной.

Мне часто приходится придумывать, запоминать и хранить множество паролей…
Но, увы, для меня использование консольной утилиты для «нахождения» нужного пароля не всегда удобно.

Для себя я сделал онлайн-аналог утилиты автора статьи. Даже сохранил с ней обратную совместимость (используется такой же алгоритм хэширования и «алфавит»).
Читать дальше →
Total votes 35: ↑30 and ↓5 +25
Views 4.3K
Comments 58

Хранение паролей без их сохранения

Information Security *Cryptography *Programming *
Sandbox
Здравствуйте. Примерно два года назад на Хабрахабре я из некого комментария познакомился с интересным способом хранения паролей без их сохранения. Фраза выглядит странно, но более точно описать род этой программы мне не получилось. Способ заключается в том, что для получения пароля к конкретной учетной записи на конкретном сайте необходимо загнать в хэш-функцию строку, «склеенную» из мастер-пароля, адреса сайта, и логина на сайте.
keyword+sitename+login
В данной строке keyword – это мастер-пароль, используемый для «хранения» паролей ко всем сайтам. Далее идет адрес сайта, затем логин. Загнав в хэш-функцию данную строку, мы получим на выходе строку символов, которую полностью или частично можно использовать в качестве пароля к данной учетной записи на данном сайте. Ключевое слово в начале строки обеспечивает невозможность узнать пароль, если известны адрес сайта и логин. Длина результата хэш-функции более чем предостаточна для пароля. Но надежность пароля все равно оставляет желать лучшего. Каждый символ такого пароля может принимать только одно 16-ти значений, так как результатом хэш-функции является строка чисел в шестнадцатеричном представлении.
Я попытался исправить этот недостаток. Далее расскажу как.
Читать дальше →
Total votes 50: ↑18 and ↓32 -14
Views 9.8K
Comments 74

StoreBirds — главный конкурент для LastPass

Self Promo
Привет, Хабр. Наконец-то пришло время познакомить вас со своим проектом под названием "StoreBirds". Он являет собой свободный менеджер паролей и заполнитель форм в виде плагина для браузера «Chrome». Давайте я расскажу вам что мотивировало мною к созданию «StoreBirds», какие его основные особенности и почему меня не привлекла идея использования в качестве менеджера паролей столь популярный «LastPass»…
Читать дальше →
Total votes 60: ↑36 and ↓24 +12
Views 1.4K
Comments 85

StoreBirds — новый дизайн

Google Chrome
Привет всем. Прошло четыре с половиной месяца с тех пор как была опубликована первая статья о проектe StoreBirds –свободном менеджере паролей для браузера Chrome с возможностью установки серверной части на своем хосте. В комментариях под ней мне четко дали понять, что дизайн сайта проекта никуда не годится и без него дороги нет, к тому же сайт был на английском языке (скорее, даже, на ломаном английском:) ). Ну, собственно, наконец было найдено время на смену дизайна проекта и полный его перевод на русский язык. Что с того получилось, смотрите под катом.


Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 1.4K
Comments 12

Менеджер паролей с web доступом

Configuring Linux *IT Infrastructure *Network technologies *
В нашей компании используются десятки серверов на которых крутятся сотни сервисов. Их настраивают и администрируют разные люди, которые могут заболеть, перейти на другой проект или уволиться. Уже не один раз возникала ситуация, когда вдруг оказывалось, что никто не знает пароля от той или иной базы данных, web сервера или иного ресурса требующего авторизации. В данной ситуации есть только один выход — единый сервер хранения паролей.

Выбор софта был осложнён тем, что требовалось решение с возможностью установки на локальный сервер и именно под Linux. Наконец после долгого поиска мною был установлен и опробован TeamPass — Collaborative Password Manager. Данный продукт полностью удовлетворил мои потребности в централизованном хранения паролей. Я не буду описывать установку. Она довольно простая и достаточно подробно описана тут. Моей целью было рассказать про решение которое я долго искал. Авось кому-нибудь тоже пригодится.
Читать дальше →
Total votes 33: ↑30 and ↓3 +27
Views 45K
Comments 28

ЦП на файле? Нет, не слышал

Antivirus protection *
Интересный вид конкуренции случайно предложила компания Symantec. Их Norton 360 обнаружил в файле с цифровой подписью троян. Что ж в этом такого, спросите вы? А то, что файл подписан Лабораторией Касперского и является исполняемым файлом продукта Kaspersky Password Manager.

image

Некрасиво получилось, право слово…
Total votes 38: ↑11 and ↓27 -16
Views 1.8K
Comments 16

Порка идеи — удобный и безопасный веб-менеджер сокровенных текстовых заметок с javascript

Information Security *
Уважаемые профессионалы и любители информационной безопасности!

Хочу обсудить с вами вот какой интересный вопрос. Мне пришла в голову нижеследующая идея для удобного и безопасного веб-менеджера сокровенных текстовых заметок. Так ли она хороша, как я думаю? Или где-то есть подвох, и я что-то упустил? Буду рад вашему мнению.

Итак.

Цель.


Веб-сервис для управления текстовыми заметками (документами). Настолько удобный и безопасный, насколько возможно.

Требования


  • Веб-доступ — возможность доступа из любого места
  • Возможность импорта / экспорта заметок
  • На сервере (в экспортируемом файле) хранятся только заметки, только в зашифрованном виде
  • Версия для локального использования (чтобы избежать риска взлома сервера и подмены жаваскрипта)
  • Пароль не хранится нигде ни в каком виде


В чем, собственно, суть идеи
Total votes 8: ↑6 and ↓2 +4
Views 6.1K
Comments 30

Многофакторный LastPass

«Актив» corporate blog Information Security *


Относительно недавно у компании LastPass, разработчика одноименного менеджера паролей, произошла утечка данных пользователей и возникла опасность доступа злоумышленников к мастер-паролям (хоть они и не были украдены в открытом виде). Этот инцидент нанес серьезный удар по их имиджу, хотя стоит признать, что такое могло произойти и с любым из их конкурентов.

Впрочем, LastPass предоставляет своим пользователем возможность обеспечить дополнительную защиту в виде многофакторной аутентификации различных видов. Используя несколько факторов для доступа к сохраненным паролям, можно обезопасить себя от утечек мастер-паролей с сервера разработчика.

В этой статье я хотел бы описать настройку и использование многофакторной аутентификации в менеджере паролей LastPass.
Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views 13K
Comments 15

1Password меняет формат файлов по умолчанию для повышения уровня безопасности

ua-hosting.company corporate blog Information Security *Cryptography *
image

Менеджер файлов 1Password заявил о смене формата файлов, в которых хранится информация пользователей. Эти действия компания решила предпринять в ответ на пост Дейла Майерса, работника Microsfoft, обнаружившего уязвимость в текущем формате. Так, Майерс изучил файл .agilekeychain, оставляемый 1Password, и обнаружил, что метаданные не зашифрованы, а хранятся практически в открытом виде, plain text. А поскольку 1Password — достаточно популярный менеджер паролей, то данные многих сотен тысяч пользователей могут быть скомпрометированы.

Если кто-либо получает доступ к соответствующему файлу, то этот человек без проблем может получить информацию о сайтах, на которых пользователь недавно логинился. Есть также возможность получить данные о банковском аккаунте пользователя, и узнать, какого рода лицензии на ПО были приобретены. Вся эта информация позволяет обратиться в банк от имени пользователя, плюс злоумышленник может сбросить все пароли. Плюс ко всему, Google индексирует keychain-ы пользователей, обеспечивающих простой доступ к различным сайтам.

.agilekeychain — это директория, где находится файл 1password.html. Все данные пользователя хранятся в файле 1Password.agilekeychain/data/default/contents.js.
Читать дальше →
Total votes 24: ↑19 and ↓5 +14
Views 18K
Comments 20

Аппаратный менеджер паролей или как перестать вводить пароли и начать жить

Information Security *Website development *Cryptography *
Sandbox
Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым годом. В итоге наши пароли, хранимые как получится, становятся достоянием общественности.

Безопасность не мертва, но инкапсулирована и агонизирует. И с каждым годом стук по крышке черного ящика все тише, а сдавленные вопли и вовсе больше не слышны. Уж больно много абстракций поверх.

Мы не знаем как хранит наши пароли очередной сервис, поэтому мы сами должны заботиться о своей безопасности, но и это становится все сложнее с каждым годом. А количество необходимых для комфортной жизни сервисов только растет. И для каждого надо иметь свой стойкий и уникальный пароль. Не на это я свою личную жизнь променивал.

Поэтому мы придумали свой хакерский подход к хранению и вводу паролей.



Кратко: телефон связан через Bluetooth со специальным девайсом, который эмулирует клавиатуру. Утеря девайса и телефона не позволяют получить паролей. Утеря девайса и мастер-пароля тоже не страшны. Как так? Добро пожаловать под кат (там 7 картинок, но они красивенькие).
Читать дальше →
Total votes 61: ↑57 and ↓4 +53
Views 69K
Comments 144
1