Pull to refresh
4
0
Андрей @BaNru

Пользователь

Вы стоимость этой наноинновационной поливалки видели?
Магазин на диване нервно курит в стороне.
Понравилась реализация.
Добавил данный способ шифрования, как оригинальный, так и с алгоритмом из ¡No PASSarán

Доступно в релизе 1.5-beta и онлайн версии.
Я понимаю, что статья длинная, но первую картинку-то можно было осилить :)
На этот случай предусмотрено обрезание пароля.
Для сайтов-исключений, к сожалению, тоже создаётся база.
Спасибо за ссылку, не видел. Интересная реализация.
Спасибо за ссылку, не видел. Интересная реализация.
про решение той или иной проблемы в будущем… не предусмотрена возможность установить систему, педали будут задевать асфальт и т.д. и т.п.?

Ну я вам и стараюсь развернуто ответить. Разумеется много с ходу не придумать и возможно придётся колёсики побольше поставить, чтобы педали не задевали асфальт.

в качестве логина используется не почтовый ящик, а никнейм (а он у вас один везде?

В большинстве случаев один, но были исключения, где не хотел светиться. А вот восстановление и регистрация всё же происходит на мыло в первую очередь.

как на том же хетзнере он генерируется из сокращенной комбинации имени+фамилии с добавлением цифр

Что-то не припомню, где бы я такое встречал. Тут надо думать.
Опять таки, повторю, если будет спрос, то можно развить проект для расширенной базы исключений, вплоть до пользовательских полей. Разумеется это будет уже тот же keepass, но всё же это будет keepass для исключения.

Прискорбно, конечно, что бекапов вы до сих пор не делаете (проблем с кипасом можно было избежать используя любой облачный сервис)

Делаю и даже на зеркальный RAID, но вручную и редко. И не всё можно и нужно бекапить. Но все мы знаем, что более 95% людей идиоты не бекапят.
К примеру, в Keepass2Android

Повторю, что всё ещё впереди и до мобильных платформ может доберусь.
Сейчас для этого есть или онлайн версия, если разово надо, или можно попробовать поставить дополнение в браузер. Мне не доводилось ещё использовать аддоны на мобильнике, не было нужды, но в планах есть проверить и, если потребуется, исправить под мобилы.

В этом и заключается ключевая проблема — исключение тут, исключение там и пользователь уже не помнит, как и куда зайти

Ещё раз. Проект только запущен в массы, исключения будут искореняться. Конечно все проблемы решить не получиться, тем более в одночасье, но если будет востребовано, то обязательно попытаюсь решить.

Сейчас диалог выглядит так:
— господа, я вот придумал свой велосипед, он пока ещё самокат, но удобный
— Но в нем же нет педалей, какой же это велосипед?
— Ну будут в будущем, если потребуется
— Но в нем же нет бензинового мотора, а вот без него очень неудобно. А ещё и крыльев не хватает.

То что вы озвучиваете эти проблемы, это хорошо, но не может быть сразу и самоката, велосипеда и самолета. Потом, со временем можно будет сделать некий трансформер, но постепенно.

но в сценариях «зарегистрировался в этом интернет-магазине полгода назад» пользователь об этом может и не вспомнить

Ну ситуации разные бывают, всё не угадать, а если ещё и придумывать на ходу. У меня например ситуация, то база два раза только на keepass в 2012-13 годах наворачивалась и все сохраненные пароли ушли в небытие. Благо важные пароли у меня в голове, а то представляете какая проблема восстанавливать пароль от ВебМоней? Остальные восстановил, благо это были не пароли, которые мне давали и которые нельзя было восстановить. А были бы такие пароли?

Исходя из вашей ситуации, то вам бы сервис сказал, что на ваше мыло уже есть регистрация. А если предположить, что регистрация была на умершее мыло? Предположим сервис закрылся, а вы по юной глупости в нем мыло держали. Или отобрали мыло, ибо долго им не пользовались? Как восстановить пароль? Никак! А вот с моим мегасуперкрутыминновационным плагином это можно было бы. Равно также, если сервис не предоставляет восстановление. Я вот с 2008 года много раз терял txt файлики, или в браузере сохранённые пароли. Разумеется люди делятся на тех кто делает бекапы и таких как я. И я с уверенностью могу сказать, что таких как я — больше.

То что вы придумываете сложные ситуации — это хорошо и под них тоже вероятно будут реализовываться решения.

Можно конкретно уточнить, чем вызвал ваше недовольствие тот же keepassx?

Уже много раз писал — база убивалась дважды (это то что я помню, когда большое число паролей уходило в небытие)

Про быстроту ввода пароля я с вами не соглашусь — на 95% сайтов достаточно сделать ctrl+f domain, после чего ctrl+v и вы уже залогинились.

А ещё запустить надо, ну и лишние движения, чтобы вы не говорили.

то каждый раз вводить в плагине домен+мастер-пароль будет однозначно дольше

Зачем же всё это вводить? Алгоритм вообще лучше не трогать. Если надо для разных сайтов, то только пароль, соль и алгоритм сохраняются в настройках (надо внести после установки). А соль новую и пароль придётся на данном этапе (как это будет исправлено в будущем я писал), если надо вводить на одном сайте. Домен сам определяется, если для него есть надстройки. Вы просто попробуйте в своём любимом браузере (если это не ИЕ) поставить, ради интереса.

Что касается горячих клавиш, то в планах тоже сделать горячие клавиши для вызова, но пока только мышкой тыкать по значку на панели плагинов.

И ctrl+f у меня в браузерах это поиск по странице. Если это горячие клавиши для вызова keepass'а, то это серьезный недостаток. Шучу конечно, я понимаю что вы не упомянули ещё одно действие — переключиться на keepass.
Для первого случая и сделана онлайн версия.
Однако, как я тут уже писал в комментария, приложение, в том числе и для Андроид — будет. Не сразу, ибо не писал ещё, но будет. И да, я разок так перепечатывал в приложение для Али, удовольствия никакого :)
Но данная проблема полностью охватывает и остальные менеджеры паролей.

Вторая проблема.
К сожалению, вот так вот сразу, охватить всё и вся не способна ни одна программа, особенно на этапе зарождения. Если будет спрос и запросы на создание базы для тех сайтов, где нельзя сменить пароль — то это будет реализовано. Да и написано всё это на говнокоде JS, так что любой может форкнуть или написать своё. Про несколько почтовых ящиков — я писал: в принципе можно вместо соли писать имя ящика. Да, это получится надо запоминать отдельно, что тут надо действовать по другому. Также имеется идея о запоминание логина, для автоматического заполнения и использовать этот логин в алгоритме, тогда данная проблема отпадёт. Ещё была идея хранить пароли сгенерированые вместе с логином. Но что-то не давало покоя в этой идее. И буквально сегодня я понял как надо сделать подобное. Теперь в планах, помимо TODO на гатхабе
1) Сделать всё таки возможность запоминать пароль, это можно для малозначимых сайтов, и автозаполнение в один клик.
2) Сделать в алгоритме возможность указывать и сохранять логин и/или брать его автоматически из формы. Это получается четвертое слово или может быть, надо подумать, использовать его вместо соли? Такая идея мелькала в голове.
3) Сделать две базы для хранения — шифрованную, которая будет шифроваться мастер паролем и дешифроваться, когда его вбиваешь и обычную, для заполнения в один клик. Но это надо продумать ещё.

Ещё одна идея (правильнее сказать недоработка) вчера родилась, читая комменты — это не отключать поддомен (отключать тоже оставлю), а указывать там приложение, для которого генерируется пароль. Сейчас оно работает непродуманно. А всё потому, что я разрабатывал чисто под себя, у меня не было фидбека. Я бы и онлайн версию не делал и режим гостя, меня полностью устраивало, а пользовался я больше года, но решил вывести в свет этот велосипед. Удобства я ощутил. С некой неприязнью вспоминаю те времена, когда был листочек или txt файлик, когда был keepassx, когда потом были генерации в консоли. Да, есть пару косяков, которые мне попадались, в частности стим сайты, когда пароль на разных доменах надо вбивать, но это редкость.

Другие подобные приложения я не встречал. Хотя не исключено, что где-то есть брат близнец :)

Ну и главное, надо было сразу писать это: никто не мешает использовать два менеджера паролей, потому что мой, на данном этапе фактически не менеджер, а генератор паролей для сайтов. Можно им сгенерировать пароль и записать в любимый менеджер паролем и для удобства серфинга, когда требуется пароль — не открывать менеджер паролей, а воспользоваться моим велосипедом, ибо это быстрее.

(повторю) Надо понимать, что я писал для себя и у меня фидбека не было. После комментов тут, я постараюсь прислушаться к большинству и в будущем сделать на это поправки.
#comment_9539824
и
есть плагин чтобы пользоваться плагином, для которого тоже есть плагин который помогает пользоваться плагином, чтобы пользоваться плагином
Однако, вполне люди разбираются.
Ну у всех разные подходы и разные люди.

У меня в половине случаев тетрадки терялись. Я говорил, что заводим тетрадку или блокнот и храним под системником, в неё записываем всё, что говорят. Однако спустя полгода-год, обязательно такие люди хватают всякие майлрушки приходится всё переустанавливать. Потом большую часть времени тратится на восстановление паролей.
Чо-то вспомнилось
бумажка с паролями под клавиатурой

Сразу видно, не был тыжпрограммистом.
И бумажки, и блокнотики, и тетради под системником… ничего не помогает, максимум пару месяцев и теряют.
А если повезло и не потеряли, то там ад творится в записях, что даже черт ногу сломит.

чем «я забыла какая у меня соль» или «ты рассказывал, но ты же знаешь, я в этом ничего не понимаю и не слушала».

Тут я уже ответил
придумаю для них всех индивидуальные легкие соли и алгоритмы

Например всем поголовно дату рождения в алгоритме и имя в соли.
А пароль пусть хоть Настя1981 ставят, зато точно не будет «у меня вконтактик взломали».
Или мне их дают и сменить нельзя, или странные требования безопасности или еще чего

Ну данный велосипед сделан немного для другого — для интернета в первую очередь.
У меня нет таких паролей, которые нельзя сменить. Ну разве что от интернета только и банковской карточки, где двойная аутентификация с кодом из банкомата и СМС. Ну и госуслуги. Больше не припомню.
Спасибо за такой развернутый комментарий.
Всё правильно и по делу. Почти и возразить нечего.

в таком количестве сложно запоминать

В моём велосипеде не сложнее чем запомнить «лошадь скрепка батарея»

Человек, в конечном итоге, выбирает более простой путь


Вы часто помогали как «тыжпрограммист»? Я бывало и постоянно «я не могу войти в одноклассники, в вконтактик». Большинство при этом имеют один пароль везде и часто типа Настя1981 или Костик2007. Вот таким я теперь точно буду ставить и запоминать там особо нечего будет, придумаю для них всех индивидуальные легкие соли и алгоритмы.

Сам я ушел от keepass к своему велосипеду. Для интернета я уже ощутил всё удобство и плюсы. Это точно проще, чем использовать keepass, действий при этом, от стандартного способа увеличивается всего на два — это щелкнуть по значку плагина и потом нажать ENTER или OK. В планах добавить ещё автозаполнение других полей и, может быть, шифрование, ведь тут уже надо будет базу. База эта всё-таки будет не жизненнонеобходима и её потеря или отсутствие в 99.9% случаев будет не смертельны.

Ну и keepass для домохозяек однозначно сложно.

Повторю, что вы всё правильно сказали, кроме сложности запоминания, остальное это сугубо личное мнение и выбранный путь, а не спор.
На данный момент — есть плагины для браузеров, ради них и затевалось. Не обязательно искать сайт. Сайт сделан на тот случай, если ты вдруг оказался в гостях. В планах сделать и приложения. Пока останавливает то, что для этого надо будет node.js с хромиумом. Сам код с файлами на данный момент 40-60 кб для каждого браузера или для онлайн версии, а приложение будет весить в разу больше. Это конечно придирки и мелочи в наше время, поэтому чуть позже будет в виде приложения.

Сейчас как раз и работает
Программа на телефоне могла бы избавить от этого, нажал кнопку получил пароль для сайт, причем в программе уже введены соли и алгоритмы

Надо ввести лишь пароль, плагин автоматом берет сайт из браузера.

У меня уже есть некоторое количество сайтов на которых созданы учетные записи и переписывать пароли не весело

На данный момент я не перебивал на старых сайтах пароли, я заменяю постепенно, по мере необходимости и использования.
У меня есть и блокнотик до сих пор и старые универсальные пароли. Постепенно избавляюсь от этого.
Теперь осталось научить этим все пользоваться домохозяйку.

Я согласен, что моему велосипеду тоже надо учить. Но это не сложнее, чем научить использовать NoScript. А этому я учил уже многих людей и люди довольны.

Позже в планах тоже сделать синхронизацию для тех редких сайтов, где требуются особенные пароли, но в любом случае это надо сделать как-то проще. В остальных случаях, точнее в 99.9% случаев — это не надо.

Если по пунктам:
1 и 2 — на это в статье комментировал
3 — у меня было дважды, один раз когда закончилось место на диске, второе — когда сделал хардресет.
4 — есть плагин чтобы пользоваться плагином, для которого тоже есть плагин который помогает пользоваться плагином, чтобы пользоваться плагином
5 — останется только где-то эту базу оставить или потерять телефон с незапароленным keepass'ом
Чтобы при порушенной базе можно было восстановить все пароли ко всем сайтам?

Тут как таковой базы нет, исключение только редкие сайты, где какие-либо ограничения на пароль. Не надо восстанавливать, оно генерируется.

А если захочется сменить пароль на один сайт — как быть? Неужели нужно будет для каждого сайта помнить «соль», «алгоритм», и «мастер-пароль»?

Да. Действительно минус. Не подумал. Но на этот случай можно иметь просто мастер-пароль1, мастер-пароль2 и так далее. Сейчас у многих, кто постоянно меняет пароли имеется несколько паролей. Но в любом случае согласен, что неудобно в данном случае. Спасибо за отзыв.

Может быть для того, чтобы решить проблему резервного копирования базы паролей того же keepass, надо просто начать делать резервное копирование?

Зачем лишние трудности?
Помимо MD5 в планах и другие алгоритмы добавить, на выбор.
И может быть придумать что-то ещё, в частности со спец.символами.

Для пример сгенерировал пароль
image
и вбил на сайте
image

И даже, если учесть, что однажды какой-то пароль окажется в радужной таблицу.

Далее в приведённой статье говорится про соль. Но если внимательно прочитать мою статью, то можно увидеть ещё более сложный алгоритм.

По сути в моём примере тоже что на картинке, можно использовать «лошадь скрепка батарея» и пароль становится уникальным для каждого сайта.

Сейчас размышляю над идеей о шифрование соли и алгоритма дополнительно мастер-паролем.
Так я противоположное не утверждал, хотя я верстаю изначально так, что для ишака даже 6 хаков всего на 10-30 сторок CSS и поэтому цены не сильно увеличиваю. Разумеется я говорю про верстку сайтов, а не приложений. Что касается приложений или SPA — то конечно на JS, если не использовать либы типа jQ — это совсем другой разговор.

Однако, если рассмотреть ситуацию с биржей или вашим случаем — с клиентом, то в случае озвучивания в заказе «кроссбраузерности», вы будете озвучивать «стоимость работ для поддержки, в частности, каждой версии IE < 9 и Opera Presto», что как бы намекает на значение слова «кроссбраузерности».

Может для начинающих верстальщиков, с оптытом год-два кроссбраузерность это IE9+, но для людей с опытом более 5 лет — это куча сломаных мозгов на IE6 в своё время при «кроссбраузерном» решение.

И, господа хорошие, выше со мной спорившие, думаю можно ещё одну точку поставить на внимательность:
Кроссбраузерность — это работает везде, где работают label

Эти слова сказаны не мной!

Information

Rating
Does not participate
Location
Сызрань, Самарская обл., Россия
Date of birth
Registered
Activity