Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 110
Даааа, отключены
Я, в общем, и не призываю вас мне верить — точнее, призываю вас мне не верить. Cкачайте vPass и запускайте со своего компьютера.
Мне достаточно узнать ваш мастер-пароль чтобы узнать все (мало того) текущие пароли. И плюс к этому подбирать любые будущие смогу?
Если вы будете вводить 12345, то да, у вас проблемы.
P.S. 40-значные сложные пароли за разумное время не ломаются.
P.S. 40-значные сложные пароли за разумное время не ломаются.
Мне не нужно их ломать, перебор сокращаяется до мастерпароля + узкого набора слов (допустим я для гугла генерю себе пароль, я не буду фантазировать сильно а введу что-то связанное с гуглом, ибо тупо потеряю пароль в следующий раз когда не вспомню зависимое слово)
Чуточку фантазии. Введите свой мастер пароль (пусть даже не самый сложный), а в графу сайт — мастер_пароль.мастер_пароль (тут уж нужна ваша фантазия). Скопируйте этот (40, для надежности 140 значный) пароль и уже его введите как мастер пароль, а уже к этому паролю пишите google.com.
На один шаг больше, спите крепко).
На один шаг больше, спите крепко).
[/sarcasm]
Вы уж меня простите, но все это очень подозрительно, особенно после прочтения соседней статьи.
habrahabr.ru/post/149924/#comment_5074913
habrahabr.ru/post/149924/#comment_5074913
Ошибся и написал ответ вам ниже.
И если можно, еще пара копеек по поводу истории с Яндекс-кошельком и vPass.
— vPass — какая-никакая защита от кейлоггеров (вы не набираете конечный пароль руками).
— проблема яндекс-денег — в отсутствии обязательной усиленной авторизации. Например в Qiwi любая операция подтверждается кодом через SMS. То же можно включить в Google Accounts.
— и еще раз — воспринимайте сайт vpass.info как демо версию. Набирайте реальные пароли только в локально сохраненной копии.
— vPass — какая-никакая защита от кейлоггеров (вы не набираете конечный пароль руками).
— проблема яндекс-денег — в отсутствии обязательной усиленной авторизации. Например в Qiwi любая операция подтверждается кодом через SMS. То же можно включить в Google Accounts.
— и еще раз — воспринимайте сайт vpass.info как демо версию. Набирайте реальные пароли только в локально сохраненной копии.
ок, мне одному кажется, что поставленные минусы очень подозрительны? :-)
какая-никакая защита от кейлоггеровИмхо, как раз тут нет никакой защиты в принципе… Фишка в том, что большинство троянов/кейлоггеров (по крайне мере, с которыми мне приходилось сталкиваться) перехватывают не только ввод с клавиатуры, но и буфер обмена, заголовок активного окна и, если это браузер, адресную строку. К тому же есть те, которые умудряются «выковыривать» данные прямо из активного поля ввода. Т.о. когда вводим мастер пароль, то «хозяин» трояна/кейлоггера получает все(!) ваши пароли.
Эту проблему решит подобное приложение под андроид, если ещё нет в маркете подобного, можно реализовать :)
Да, это на много лучше, чем на неизвестно чьем компе вбивать мастер пароль.
Но… Если пароль спалился, то поменять его уже сложнее — в том смысле, что пароль генерится с привязкой к доменному имени.
А ведь большинство айтишников введя пароль на чужом/сомнительном компе захотят как можно быстрее его (пароль) сменить, имхо.
Но… Если пароль спалился, то поменять его уже сложнее — в том смысле, что пароль генерится с привязкой к доменному имени.
А ведь большинство айтишников введя пароль на чужом/сомнительном компе захотят как можно быстрее его (пароль) сменить, имхо.
Интуиция меня не подвела — первые комментарии именно о доверии сервису. И это правильно! Смотрите «скачать на свой компьютер»
Не везде будет работать. Например, мне сгенерировался пароль, состоящий исключительно из букв.
Ух ты, не сталкивался с таким. Поправлю!
master password = 1
domain = 1
length = 16
password = jAflGMHNyvkARfle
domain = 1
length = 16
password = jAflGMHNyvkARfle
Если Вы поправите, то старые пароли не будут воспроизводиться, мне кажется.
Мне страшно хранить пароли таким способом. Если в KeepPassX, к примеру, можно периодически менять как пароли, так и мастер-пароль, то тут непонятно, что делать в случае утечки мастер-пароля. Ещё в KeepPassX поиск можно делать по базе, если вдруг забыл, под каким именем зарегистрировался.
Мне страшно хранить пароли таким способом. Если в KeepPassX, к примеру, можно периодически менять как пароли, так и мастер-пароль, то тут непонятно, что делать в случае утечки мастер-пароля. Ещё в KeepPassX поиск можно делать по базе, если вдруг забыл, под каким именем зарегистрировался.
Да, хорошо было бы добавить опции с символами или без.
Сервис генерации паролей из которого вы можете взять параметры генерации
Генератор паролей, не знающий про SSL. Ок.
Я пользовался 1Password — но
1) нужны пароли на телефоне
2) на планшете
3) на чужих компах
И пришел к выводу, что менеджер паролей — это добро, но не для меня.
1) нужны пароли на телефоне
2) на планшете
3) на чужих компах
И пришел к выводу, что менеджер паролей — это добро, но не для меня.
Keepass есть для большинства платформ, включая Android. Базу можно расшарить в любом облаке
Если база 1Password хранится в Dropbox, то никаких проблем получить доступ к ней с другого компьютера нет, ибо есть help.agilebits.com/1Password3/1passwordanywhere.html. Другое дело, что нужно или делать его файлы публичными, или авторизироваться на чужих компьютерах в дропбоксе.
Я без какой либо рекламы 7 лет пользуюсь Робоформом
пароли на iphone и андроид есть приложение
на планшет тоже имеется
на чужих компах через онлайн сервис
Меня просто удовлетворяют ваши критерии и эта программка мне помогает… у меня более 1,5К паролей
пароли на iphone и андроид есть приложение
на планшет тоже имеется
на чужих компах через онлайн сервис
Меня просто удовлетворяют ваши критерии и эта программка мне помогает… у меня более 1,5К паролей
Ctrl-C для паролей очень безопасно, первый логгер сразу отправит скопированный буфер в нужное место.
Ну против этого лома нет приема. Только вставлять сгенерированный пароль сразу в текущее поле на веб-странице. В принципе из chrome-расширения это можно сделать (насчет safai не знаю). Подумаю!
А Ctrl-W, емнип, и вовсе во многих браузерах забинден на закрытие текущего таба.
А если работаешь со всякими вимператорах / пентадактилях, так вообще придётся Ctrl-Z предварительно нажимать, иначе оно сработает совсем не так, как ожидается (:
А если работаешь со всякими вимператорах / пентадактилях, так вообще придётся Ctrl-Z предварительно нажимать, иначе оно сработает совсем не так, как ожидается (:
supergenpass.com ну ведь тоже самое, даже поля так же называются
Именно — как я написал на сайте — Я позаимствовал идею у SuperGenPass, но остался недоволен его интерфейсом. Поэтому был создан vPass.
В копилку мой thepassword.org
Из плюсов — сайтонезависимая простая формула pass=md5(login+"@"+site+masterpass)
Из плюсов — сайтонезависимая простая формула pass=md5(login+"@"+site+masterpass)
возможно ли получить мастер-пароль, зная домен и пароль?
Хотел сразу ответить нет конечно — затем обратил внимание что алгоритм, который я использую сейчас (TEA), теоретически decryptable. Спасибо за наводку mwizard — поменяю на PBKDF2 в течение дня.
Доверять обфусцированному коду как-то не хочется, да и какими алгоритмами это дело шифруется не написано. Больше открытости! :)
#!/bin/sh
dopasswd ()
{
password=''
while [ `echo "${password}" | wc -L` -ne ${1} ]; do
password=`head -1 /dev/random | sed -E 's/[^a-zA-Z0-9]//g' | cut -c 1-${1}`
done
}
dopasswd ${1}
echo $password
Кстати, спасибо всем комментаторам за полезную дискуссию!
Why not use PBKDF2?
И главный вопрос, который встает при такой схеме генерации паролей: как поменять пароль для сервиса, который был скомпрометирован?
Хм, например, изменить длину пароля при генерации для данного сервиса?
Правда, опять же, придется это запоминать… )
Правда, опять же, придется это запоминать… )
В своем аналогичном приложении я просто сделал несколько полей, одно из которых — sequence. В случае, если возникает стойкое желание сменить пароль, увеличиваем sequence на единицу и новый пароль готов.
sequence надо запоминать, как заметил deepre, либо в голове, что не очень хорошо при большом числе паролей, либо статической html уже не обойтись.
зачем изобретать велосипед? есть великое множество менеджеров паролей для разных систем.
Сам юзаю kwalletmanager
Сам юзаю kwalletmanager
На свой домен поставить можно? На каких условиях?
Ctrl-C, Ctrl-W, готово! Вкладка закрыта! )))))
Да вы, батенька, шутник. Эт я про Ctrl+W ) Хотя тут и без меня много таких внимательных. :)
Что ли бухгалтерии подкинуть, которая пароли сложные забывает? мастер пароль — фамилия. домен — инвентарный номер компьютера.
Возможно, стоит иметь оба поля — логин и домен/сервис, чтобы, например для разных эккаунтов на одном домене, а также для одинаковых логинов на разных доменах были разные пароли. А также, чтобы не запоминать, для какого сервиса при генерации использовался логин, а для какого — домен.
P.S. У самого была идея подобного генератора, только руки не дошли. (
P.S. У самого была идея подобного генератора, только руки не дошли. (
+ добавить extension для chrome чтобы в трей нажал, ввел мастер пароль и он тебее выдал в буфер пароль либо сразу подставил в input password на странице.
+ чтобы в настройках можно было бы менять конструкцию сборки паролей. то есть использовать не просто ваш один алгоритм, а для паранойиков (для меня), чтобы можно было бы алгоритм поменять, причем не из списка имеющихся, чтобы не смогли подобрать если узнают мастер пароль.
+ чтобы в настройках можно было бы менять конструкцию сборки паролей. то есть использовать не просто ваш один алгоритм, а для паранойиков (для меня), чтобы можно было бы алгоритм поменять, причем не из списка имеющихся, чтобы не смогли подобрать если узнают мастер пароль.
> не из списка имеющихся
это как? набить в input исходники хэш-функции что ли?
это как? набить в input исходники хэш-функции что ли?
+ добавить extension для chrome чтобы в трей нажал, ввел мастер пароль и он тебее выдал в буфер пароль либо сразу подставил в input password на странице.Давно там.
у меня давно в закладках следующий javascript который генерит пароли pastebin.com/es6qSAmZ
не надо переходить по непонятным сайтам, все делает ваш браузер
не надо переходить по непонятным сайтам, все делает ваш браузер
Я подобное реализовал для Android давно. Как не прескорбно, но люди не совсем понимают идею таково приложения.
Хотя установок уже почти 10.000
play.google.com/store/apps/details?id=com.thenatd.masterpassword
И для Desktop на WPF + C#.
Кстати, тут подняли хороший вопрос в коментариях, что делать если нужно сменить пароль, надо будет апдейт к своей апп сделать.
Хотя установок уже почти 10.000
play.google.com/store/apps/details?id=com.thenatd.masterpassword
И для Desktop на WPF + C#.
Кстати, тут подняли хороший вопрос в коментариях, что делать если нужно сменить пароль, надо будет апдейт к своей апп сделать.
, Ctrl-C, Ctrl-W, готово! скопировал и закрыл вкладку?
все равно перебор по радуге или по «популярным» вхождениям… ошибаюсь?
Мастер пароль никак не проверяется, и если я допущу опечатку при генерации нового пароля, то не смогу его восстановить.
А как он должен проверятся, если суть не хранить вообще никаких данных а полагатся только на алгоритм.
да, как заметил FanKiLL — мастер пароль нигде не хранится, поэтому как его проверить. Вариант — checkbox show master password (если вы точно знаете, что никто за плечом не стоит).
Хороший сервис уже второй день пользуюсь.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
vPass: страничка на Javascript для максимума безопасности и минимума мучений при работе с паролями