Можете про «дыры» чуть более развернуто?
Про длинные фразы: Допустим пришла необходимость поменять пароль? Или на трех ресурсах подряд базы паролей были слиты, при том, что в плейн-тексте хранились. А еще на трех ресурсах дата создания аккаунта публично доступна. В последней ситуации негодяи получают в руки систему формирования пароля и возможность экстраполировать на иные ресурсы. Такая ситуация у меня не возможна.
собственную страничку где вычисление md5 будет на клиенте
В целом идея как раз в этом и состоит. В моем случае все происходит на сервере из-за низкой квалификации как веб-программиста. Но меня это не смущает, т.к. на сам метод влияния не оказывает.
где-то в комментарих есть ссылка на сервис с гитхаба (с исходниками), где все происходит действительно на клиенте и красиво оформлено.
1. да, может. именно по этому в статье есть место про написание собственного на собственном сервере, как это реализовано у меня.
2. нет такой острой необходимости из-за простоты. у меня в сумме это заняло 2 часа, 2 файла (php-логика, html-шаблон) и менее 1 тыс. знаков (а я не близок к программированию на php). Работает в любой системе с c php-интерпретатором, от 5.3 до 7.2.
3. Бинго! Про это и идет речь в заметке.
Да, абсолютно похожее по духу, но более функциональное и профессиональное решение. Можно, применяя предложенную мной методологию, создавать хэш-пароли на основе мастера.
Можно пользоваться готовым решением или поднять свое на своих серверах.Значит я таки не одинок в стремлении не хранить, но генерировать пароли на основе мастера.
Возможно удивлю, но я не пытался рассказать о недостатках существующих парольных менеджеров. Скорее, заметкой я хотел показать некий пласт возможностей для параноиков.
Кстати, еще проблема есть: я не умею md5 «в уме» решать, а значит придется писать приложение на тот ресурс, который «под руками». И в случае утраты последнего находить новый ресурс (желательно аналогичный, что бы сократить время на написание нового приложения).
Можете подсказать объем работы по раскрытию мастер-пароля при условии, что хэш-пароли увели допустим не с одного, а с трех ресурсов?
Про раскрытие алгоритма — раньше ответили.
Смена мастер-пароля аналогична смене хэш-пароля с фиксацией действий в открытой (относительно) базе (понятно, что без фиксации нового мастер-пароля).
Прошу заметить, что статья — это громко сказано. В защиту заметки могу только вольно процитировать Фейнмана "… мы не знаем, где хорошая идея нас поджидает...". Вдруг кому поможет зацепить идею.
к сожалению нет. коробка, даже в партнерских ценах — дороговато для «попробовать». у бит24 другая парадигма распространения продукта («малые и средние могут работать в облаках бит24, корпы — если очень хочется могут и приобрести»). это связано, в первую очередь, с объективной потребностью в специалистах при внедрении из-за сложности продукта.
Про длинные фразы: Допустим пришла необходимость поменять пароль? Или на трех ресурсах подряд базы паролей были слиты, при том, что в плейн-тексте хранились. А еще на трех ресурсах дата создания аккаунта публично доступна. В последней ситуации негодяи получают в руки систему формирования пароля и возможность экстраполировать на иные ресурсы. Такая ситуация у меня не возможна.
В целом идея как раз в этом и состоит. В моем случае все происходит на сервере из-за низкой квалификации как веб-программиста. Но меня это не смущает, т.к. на сам метод влияния не оказывает.
где-то в комментарих есть ссылка на сервис с гитхаба (с исходниками), где все происходит действительно на клиенте и красиво оформлено.
2. нет такой острой необходимости из-за простоты. у меня в сумме это заняло 2 часа, 2 файла (php-логика, html-шаблон) и менее 1 тыс. знаков (а я не близок к программированию на php). Работает в любой системе с c php-интерпретатором, от 5.3 до 7.2.
3. Бинго! Про это и идет речь в заметке.
2. Сервис продублирован.
Можно пользоваться готовым решением или поднять свое на своих серверах.Значит я таки не одинок в стремлении не хранить, но генерировать пароли на основе мастера.
Про раскрытие алгоритма — раньше ответили.
Смена мастер-пароля аналогична смене хэш-пароля с фиксацией действий в открытой (относительно) базе (понятно, что без фиксации нового мастер-пароля).