Дык страйп это и есть супер топ, один на миллион, который может платить больше чем гугл)). (Я хотел про страйп написать в прошлом сообщении потому что знал заранее, что его приплетете. Жду историй про скверу:) )
Мне даже интересно, а какой стартап вы назовете топ тогда?
5 мелких собеседований по 45 минут в виде одного конского, всё по-классике - алгоритмы, бехэйвиор, дизайн. Ты встречаешься с случайными людьми которым плевать на тебя, на хайринг, на их компанию, им нужно заработать очков чтобы не вылететь с работы. За это время на тебя смотрят то как на дурачка то как на идиота. После всего этого так сказать "купания" тебе выносят вердикт. Чтобы пройти надо наплевать на технические навыки а год-два потратить на насилование leetcode. Вот и вся романтика
Тут фундаментальная проблема в том, что мозг человека медленный и ненадежный, поэтому чаще лучше делегировать эту проблему компьютерам. По части сценария, который вы описали, простейшим доказательством что программа не сливает ваши данные будет банально скачать программу и навсегда отключить интернет на телефоне и тогда самописные скрипты будут не нужны.
Примеры: - скачиваете любой sha256 генератор на телефон, берете ваш пароль: 321, вгоняете его в программу и он вам выдает супер мега надежный пароль: 8d23cf6c86e834a7aa6eded54c26ce2bb2e74903538c61bdd5d2197997ab2f72 - или более интересные варианты: * открываете мой сайт, или альтернативный * отключаете интернет * вводите пароль, программа генерирует QR коды, сохраняете их или распечатываете * закрываете страничку, подключаете интернет в такой схеме невозможно у вас ничего украсть, и не надо мозг использовать в качестве калькулятора.
В принципе я согласен с вашей точкой зрения, просто считаю, что нужно/можно взять то что вы написали и улучшить и упростить, при этом не нужно будет вслепую доверять никаким программам и надеяться что там не будет багов.
Именно! Нельзя жертвовать своими паролями ради удобства восстановления. Мир постепенно движется к self custody, только твои данные только твоя ответственность. Когда у тебя есть только твой пароль никто его восстановить не сможет, нужно придумывать системы где у пользователя будет тоже удобство и надежность что и у облачного провайдера но все данные будут у пользователя и это интересная и сложная задача
Да, восстановление это самый критичный параметр наравне с защитой от взлома. Поэтому мы и хотим улучшить сразу несколько параметров: резервное копированиес мастер-пароля с репликацией, аналог двухфакторной аутентификации для восстановления мастер пароля, хранение паролей только на устройствах пользователей(как у оффлайн менеджеров паролей), end to end encryption услиливающий безопасность тем что расшифровать сообщение посланное одним устройством другому может только устройство получатель, ну и классическое симметричное шифрование chacha20 poly 1305.
Вы абсолютно правы, и я именно об этом и пишу, если у нас одно кольцо (мастер пароль) управляет всеми (обычными паролями) то все риски сосредотачиваются в одном месте.
И как вы и сказали во второй части вашего комментария, ровно это и делает схема разделения секрета Шамира. Мой недочёт в том что я не объяснил больше деталей в статье, как она работает думая что все понимают этот момент, хотя большинство скорее всего видят её впервые
Я имел ввиду создать такое решение, создать улучшенный менеджер паролей а не добавить фич к уже существующим решениям. В следующих статьях я попробую объяснить какое решение я нашел
PwdHash если я правильно понял принцип его работы позволяет как-бы усилить пароль, захешировав его. Так как по хешу невозможно узнать изначальное значение то это добавляет безопасности. Собственно эта идея и лежит в основе безопасности ластпасса, они хешируют пароль а потом хешируют хеш и так 100 тысяч раз, в итоге получается длинный псевдослучайный пароль который взломать невозможно. Но так как современные видюхи неверлятно мощные атака в лоб возможна, я об этом написал в статье. В любом случае пвд хеш не избавляет от необходимости помнить мастер пароль и непонятно как применить этот подход к сид фразам например
Представил картину маcлом от предыдущего комментатора: бухгалтерша трясущимися руками набирает на клавиатуре в английской раскладке "СлоникиУстали77", чтобы удалить черную 1с базу, в тот момент когда к ней в кабинет ломятся, как он выразился: "космонафты" :D
Именно поэтому надо переосмыслить наш(человечества) подход к управлению паролями и попытаться его улучшить упростить и автоматизировать, чтобы человеку не приходилось со всей этой сложностью заморачиваться. Сейчас, фигурально - все считают(управляют паролями) вручную на деревянных счетах, нам надо перейти на использование компьютеров
"Меня терзают смутные сомнения", что если парольные фразы станут более массовым явлением то тут же появятся rainbow таблицы для них, это просто будет очередной виток той же самой проблемы. А так, на данный момент наверное они работают лучше чем пароль
Да, но всё чаще этого становится недостаточно, самый яркий пример это крипто кошельки с деньгами, и чем больше денег, тем меньше желания потерять заветную бумажку. Вот тогда-то начинается самое интересное.
100 тысяч раз нужны чтобы замедлить перебор. Брутфорс пары раз очевидно будет в 50 тысяч раз быстрее чем брутфорс 100 тысяч итераций.
в какой момент Netflix стал стартапом? ?
Тогда гугл тоже назовем стартапом и покончим с этим вопросом)
Дык страйп это и есть супер топ, один на миллион, который может платить больше чем гугл)). (Я хотел про страйп написать в прошлом сообщении потому что знал заранее, что его приплетете. Жду историй про скверу:) )
Мне даже интересно, а какой стартап вы назовете топ тогда?
5 мелких собеседований по 45 минут в виде одного конского, всё по-классике - алгоритмы, бехэйвиор, дизайн. Ты встречаешься с случайными людьми которым плевать на тебя, на хайринг, на их компанию, им нужно заработать очков чтобы не вылететь с работы. За это время на тебя смотрят то как на дурачка то как на идиота. После всего этого так сказать "купания" тебе выносят вердикт.
Чтобы пройти надо наплевать на технические навыки а год-два потратить на насилование leetcode.
Вот и вся романтика
Тут фундаментальная проблема в том, что мозг человека медленный и ненадежный, поэтому чаще лучше делегировать эту проблему компьютерам.
По части сценария, который вы описали, простейшим доказательством что программа не сливает ваши данные будет банально скачать программу и навсегда отключить интернет на телефоне и тогда самописные скрипты будут не нужны.
Примеры:
- скачиваете любой sha256 генератор на телефон, берете ваш пароль: 321, вгоняете его в программу и он вам выдает супер мега надежный пароль: 8d23cf6c86e834a7aa6eded54c26ce2bb2e74903538c61bdd5d2197997ab2f72
- или более интересные варианты:
* открываете мой сайт, или альтернативный
* отключаете интернет
* вводите пароль, программа генерирует QR коды, сохраняете их или распечатываете
* закрываете страничку, подключаете интернет
в такой схеме невозможно у вас ничего украсть, и не надо мозг использовать в качестве калькулятора.
В принципе я согласен с вашей точкой зрения, просто считаю, что нужно/можно взять то что вы написали и улучшить и упростить, при этом не нужно будет вслепую доверять никаким программам и надеяться что там не будет багов.
https://www.vaultproject.io/
Именно! Нельзя жертвовать своими паролями ради удобства восстановления. Мир постепенно движется к self custody, только твои данные только твоя ответственность. Когда у тебя есть только твой пароль никто его восстановить не сможет, нужно придумывать системы где у пользователя будет тоже удобство и надежность что и у облачного провайдера но все данные будут у пользователя и это интересная и сложная задача
Да, восстановление это самый критичный параметр наравне с защитой от взлома. Поэтому мы и хотим улучшить сразу несколько параметров: резервное копированиес мастер-пароля с репликацией, аналог двухфакторной аутентификации для восстановления мастер пароля, хранение паролей только на устройствах пользователей(как у оффлайн менеджеров паролей), end to end encryption услиливающий безопасность тем что расшифровать сообщение посланное одним устройством другому может только устройство получатель, ну и классическое симметричное шифрование chacha20 poly 1305.
Но об этом будет в следующей статье
Вы абсолютно правы, и я именно об этом и пишу, если у нас одно кольцо (мастер пароль) управляет всеми (обычными паролями) то все риски сосредотачиваются в одном месте.
И как вы и сказали во второй части вашего комментария, ровно это и делает схема разделения секрета Шамира. Мой недочёт в том что я не объяснил больше деталей в статье, как она работает думая что все понимают этот момент, хотя большинство скорее всего видят её впервые
Я имел ввиду создать такое решение, создать улучшенный менеджер паролей а не добавить фич к уже существующим решениям. В следующих статьях я попробую объяснить какое решение я нашел
PwdHash если я правильно понял принцип его работы позволяет как-бы усилить пароль, захешировав его. Так как по хешу невозможно узнать изначальное значение то это добавляет безопасности. Собственно эта идея и лежит в основе безопасности ластпасса, они хешируют пароль а потом хешируют хеш и так 100 тысяч раз, в итоге получается длинный псевдослучайный пароль который взломать невозможно. Но так как современные видюхи неверлятно мощные атака в лоб возможна, я об этом написал в статье. В любом случае пвд хеш не избавляет от необходимости помнить мастер пароль и непонятно как применить этот подход к сид фразам например
Всегдее чем обычно
Представил картину маcлом от предыдущего комментатора: бухгалтерша трясущимися руками набирает на клавиатуре в английской раскладке "СлоникиУстали77", чтобы удалить черную 1с базу, в тот момент когда к ней в кабинет ломятся, как он выразился: "космонафты" :D
В FAANG-е как раз и платят больше, иначе он бы никому не нужон был бы фаанг этот ваш
Именно поэтому надо переосмыслить наш(человечества) подход к управлению паролями и попытаться его улучшить упростить и автоматизировать, чтобы человеку не приходилось со всей этой сложностью заморачиваться. Сейчас, фигурально - все считают(управляют паролями) вручную на деревянных счетах, нам надо перейти на использование компьютеров
Всенепременно
дык в том то и дело что таких паролей будет одна миллионная процента, остальные пароли будут не такими занудными)
"Меня терзают смутные сомнения", что если парольные фразы станут более массовым явлением то тут же появятся rainbow таблицы для них, это просто будет очередной виток той же самой проблемы. А так, на данный момент наверное они работают лучше чем пароль
Да, но всё чаще этого становится недостаточно, самый яркий пример это крипто кошельки с деньгами, и чем больше денег, тем меньше желания потерять заветную бумажку. Вот тогда-то начинается самое интересное.
Ауч)) мы чувствуем вашу боль!