Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 48
Спасибо за помощь. Но в свете недавнего сообщения об интересе хакеров к расширениям Firefox насколько защищенным является этот add-on?
В FAQ пишут:
Здесь вы можете посмотреть исходный код программы. А тут находится форум, на котором можно поискать сообщения о шпионаже со стороны программы.
How do I know PasswordMaker isn't sending my passwords to you without my knowledge?
Although you can read the source code to determine this for yourself, there's an easier way. Install a packet sniffer and use PasswordMaker to generate some passwords. You won't see any traffic to or from PasswordMaker — ever. It never connects to the internet. Two popular packet sniffers are snort (for Unix/Linux/OSX) and ipInterceptor (for Windows). Both tools reveal *all* network traffic, not just HTTP.
Здесь вы можете посмотреть исходный код программы. А тут находится форум, на котором можно поискать сообщения о шпионаже со стороны программы.
Вы не замечали КАК хранится большинство расширений под FF ?
в свете последних вирусных тенденций я не удивлюсь если появится зараза которая патчит подобные расширения наделяя их новыми возможностями. например "стуком" :)
З.Ы.: да. я параноик :)
в свете последних вирусных тенденций я не удивлюсь если появится зараза которая патчит подобные расширения наделяя их новыми возможностями. например "стуком" :)
З.Ы.: да. я параноик :)
Ставите FF со всеми расширениями и хранением всех настроек на флешку (убедившись, что всё стерильно), затем всё это дело блокируете от модификации средствами ОС (Read-Only + запрещение редактирования для вашего пользователя), после этого на флешке щёлкаете переключателем запрещая редактирование файлов (тут не знаю как там эта защита осуществляется, физически или программно). По вкусу можно добавить какую нибудь программу которая будет регулярно сверять хеши всех файлов в папке расширений на предмет кражи.
Я думаю что все же AI RoboForm c 256битным шифрованием установленный на флешку с биометрическим индикатором (отпечатки пальцев, например Transcend JF210) будет куда более надежнее.
Надо ещё понимать отличия от программ хранящих пароли в зашифрованном виде. Что бы получить все ваши пароли к сайтам с использованием бд паролей надо: 1 — украсть бд, 2 — подсмотреть, подобрать (воспользоваться дырой в защите) основной пароль и у вас есть полный набор данных того где и что. В случае с генератором паролей надо: 1 — украсть настройки программы (надо проверить вдруг они шифруются, если так то безопасность растёт), 2 — подсмотреть основной пароль. Обратите внимание, что во втором случае подбор мастер-пароля невозможен (если у кого то нет ещё и результата действий программы на каком то сайте и все ваши пароли генерятся по одному алгоритму) и получение мастер-пароля не даёт никакой информации о том где можно это всё применить. Помимо всего прочего есть одно совершенно сумасшедшее и подавляющее преимущество — при использовании генератора все ваши пароли всегда с вами! Вы можете поехать на отдых, в командировку и забыть свой файл с базой паролей, а генерируемые пароли всегда под рукой благодаря онлайн генератору.
Итого, это не панацея и у решения есть минусы, но и не меньше плюсов. Чем пользоваться это исключительно ваш выбор. Безусловно я бы не стал советовать данное решение для сервисов связанных с деньгами.
Итого, это не панацея и у решения есть минусы, но и не меньше плюсов. Чем пользоваться это исключительно ваш выбор. Безусловно я бы не стал советовать данное решение для сервисов связанных с деньгами.
Добавьте к этому, что будет если у вас украдут флешку с БД паролей или ноутбук. В случае кражи БД можно будет брутфорсить до победного конца и в результате получить пароли без дальнейших контактов с вами. А с генератором такой номер не пройдёт.
флудера вы, господа.
"а если так?!" "а тогда ВОТ!" "а если эдак?" "а мы тогда вот-так!"
признайтесь, все эти технологические изыски и яйца выеденого не стоят если нет головы на плечах :)
я могу придумать сотни способов как защитить свои пароли, и при этом столько же способов как их у себя украсть.
а панацеи нету. как только более-менее надежный способ уходит в массы к нему проявляют интерес недоброжелатели и надежность падает. такова селяви :)
"а если так?!" "а тогда ВОТ!" "а если эдак?" "а мы тогда вот-так!"
признайтесь, все эти технологические изыски и яйца выеденого не стоят если нет головы на плечах :)
я могу придумать сотни способов как защитить свои пароли, и при этом столько же способов как их у себя украсть.
а панацеи нету. как только более-менее надежный способ уходит в массы к нему проявляют интерес недоброжелатели и надежность падает. такова селяви :)
Рад видеть здравомыслящего человека :)
Вопрос не в том, чтобы сделать "непробиваемый пароль" (да и невозможно это), вопрос в том, чтобы сделать пароль разумно сложным (то есть, взлом пароля потребует столько возни, что от нее откажутся).
К слову, не стоит забывать о том, что прочность системы измеряется ее самым слабым звеном. Поставите в хрущевке сейфовую дверь — вынесут стену. Усилите стальной арматурой стены — проломят потолок.
К сожалению, непробиваемых систем безопасности нет. Однако боротся за повышение безопасности — нужно.
Главное не переборщить ;)
Вопрос не в том, чтобы сделать "непробиваемый пароль" (да и невозможно это), вопрос в том, чтобы сделать пароль разумно сложным (то есть, взлом пароля потребует столько возни, что от нее откажутся).
К слову, не стоит забывать о том, что прочность системы измеряется ее самым слабым звеном. Поставите в хрущевке сейфовую дверь — вынесут стену. Усилите стальной арматурой стены — проломят потолок.
К сожалению, непробиваемых систем безопасности нет. Однако боротся за повышение безопасности — нужно.
Главное не переборщить ;)
Отличная идея для топика. Даже для двух. Я бы почитал "100 способов защитить свои пароли" и "100 способов украсть пароли"
Параноикам посвящается: запиши пароль на бумажке, а потом съешь ее. :)
Лучше сжечь, потолочь пепел, размешать его в воде и выпить. Данный способ не спасает от паяльника. Правда от него никакое шифрование не спасает :)
гы-гы. терморектальный криптоанализ это да...
http://termorect.narod.ru/
http://termorect.narod.ru/
солидарен. все важные пароли храню только в голове. правда скоро она распухнет и будет мне горе :)
А если на один домен надо несколько логинов-паролей?Есть настройка.
А имя пользователя вручную набирать? У меня они разные, всех не помню.Вроде как тоже может вставлять, я свои помню. Посмотрите в документации или в самом расширении.
А диалоги для basic-auth заполнять?Решение не идеально. Пароль по запросу оно сформирует без вопросов, а вот вставить из клипбоарда придётся.
Так что в итоге лучше и надежнее: использовать мозилловское дополнение или KeePass?
удобная штука, я давно хотел себе такое, хотя бы просто ксорить мастерпароль с доменом :)
но одна беда - если выходишь в сеть не из дома или не из firefox с надстроенным под себя плагином
но одна беда - если выходишь в сеть не из дома или не из firefox с надстроенным под себя плагином
And remember children: если специалистам по инфобезопасности потребуются ваши пароли, утаить от них это вы будете не в состоянии. Так что какая разница где хранить их, в вебе или в не мнее открытом для уязвимостей аддоне.
ну а кому-то нужны ваши пароли? Я предопочитаю использовать master-пароль на FF, в котором сохраены логины и пароли для не очень нужных сайтов: форумов, торрент-трекеров, всяких не очень хороших и адекватных соц. сетей (example: vkontakte.ru). А пароли от которых может пострадать моя так сказать виртуальная личность например: логин на gmail.com, корпаративная почта и тд. храню либо в уме (как правило ~15-20 символов (буквы в разных регистрах, цифры, спец.символы)) и копию в каком-нибудь в password manager'e которое это шифрует и находится на зашифрованном разделе usb-диска.
А вообще стоит задумывать. А нужны ли кому-то ваши пароли от web-сайтов и стоит ли так их защищать.
P.S. по поводу атак на на расширения. Банальные меры предосторожности и это можно отсечь.
А вообще стоит задумывать. А нужны ли кому-то ваши пароли от web-сайтов и стоит ли так их защищать.
P.S. по поводу атак на на расширения. Банальные меры предосторожности и это можно отсечь.
Предположим, есть алгоритм когда по домену сайта (строка) генерируется пароль (хэш). Алгоритм известен. Предположим, что алгоритм использует ещё и некий ключ, единый для всех паролей (секретный ключ специфичный для машины). Этот ключ необходим, чтобы разные пользователи генерировали разные пароли для одного сайта.
Итак, имеем:
сайт1 + ключ >> пароль1
сайт2 + ключ >> пароль2
и т.д.
Вопрос теперь такой: насколько трудно имея пару "сайтN" + "парольN" или несколько таких пар и зная алгоритм восстановить ключ? Любой владелец форума может организовать такую атаку и имеет кучу времени для её осуществления. И после этого получить ВСЕ пароли разом.
Фактически, пользователь такой программки находится в положении пользователя, зашифровавшего все пароли одним ключом и открывшим свой жёсткий диск всему свету.
Итак, имеем:
сайт1 + ключ >> пароль1
сайт2 + ключ >> пароль2
и т.д.
Вопрос теперь такой: насколько трудно имея пару "сайтN" + "парольN" или несколько таких пар и зная алгоритм восстановить ключ? Любой владелец форума может организовать такую атаку и имеет кучу времени для её осуществления. И после этого получить ВСЕ пароли разом.
Фактически, пользователь такой программки находится в положении пользователя, зашифровавшего все пароли одним ключом и открывшим свой жёсткий диск всему свету.
Меня тоже такая мысль посетила. Если у одного владельца несколько сайтов, на которых ты зарегистрирован, то по имеющимся у него паролям, теоретически он может восстановить твой мастер-пароль и ключ, а значит получить все остальные твои пароли.
Это актуально в случае использования стандартных настроек. Лёгкое изменение профиля и владелец сайта просто зря потратил годы на вскрытие хеша.
а может все-таки поставить себе Roboform и не париться? .)
А почему бы не автоматизировать этот процесс? Вы авторизируетесь на сайте – хранителе паролей с помощью мастер-пароля. Затем, заходя на другой ресурс, этот ресурс сам проверяет ваш пароль на сайте хранителе паролей используя ваш IP-адрес, и предварительно авторизовавшись на нем. То есть, не надо будет на каждом сайте вводить пароль в ручную.
Вы говорите о OpenID такое уже есть, но пока не очень распространено. Скажем вы можете под своим аккаунтом в LiveJournal писать на radio-t.com
Жалко, что это мало кто использует. Наверно есть технические сложности при реализации.
тотальная паранойя
вы уж извините
вы уж извините
До сих пор не нашел лучшего способа, чем просто запомнить пароли. Аргументы слишком длинные и сложные - не принимаю. Для различных почт у меня пароли от 7 до 32 символов. Причем являются набором символов в разных регистрах. Все я их помню. Блоги, сайты - аналогично. Обычно там я использую более простые пароли - чаще всего они длинной 7, 8, 14 или 16 символов и строятся по некой мною придуманной функции, аргументами которой являются мнемонически просто запоминаемые "слова", или слова (без кавычек). В крайнем случае когда я не могу вспомнить - я могу запросить себе новый пароль или связаться с админом ресурса.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
и поэтому не храню пароли