Комментарии 136
Тогда уж экселька, а не блокнот
Нет уж, блокнот надёжнее, особенно если хранить его в скрытом сейфе и не вводить пароли на недоверенных машинах. А ещё надёжнее для этого использовать хардовый ключ ЭЦП.
Блокнот надежнее, но бумажный. И вводить при каждой авторизации ручками. Это для реально важных вещей. В остальном отключить паранойю и будет счастье.
Бумажный блокнот можно потерять.
Тогда уж написать прогу под дройда для хранения паролей с шифрованием.
Тогда уж написать прогу под дройда для хранения паролей с шифрованием.
Бумажный блокнот можно потерять.Это очень просто решается: достаточно записать туда ключик от какого-нибудь электронного кошелька, где лежит кругленькая сумма. Ни за что не потеряете, охранять блокнотик будете как зеницу ока.
Прога называется KeePassDroid.
Да-да, давайте не будем хранить пароли в ОС, вдруг взломают и украдут. И на бумаге, вдруг потеряем. Лучше в дырявом ведроиде, который в жизни не обновлялся с момента продажи. Прям лозунг – А ты упростил жизнь хацкеру!?? )))
Главное, отключить не только паранойю, но и камеры, чтобы они не увидели содержимое блокнота.
Чтобы найти что-то в эксельке, надо запускать эксельку.
А в plain text можно просто grep или поиск в FAR.
А в plain text можно просто grep или поиск в FAR.
Чтобы найти что-то в эксельке, надо запускать эксельку.
Разве эта проблема не ушла с появлением *.xlsx, который суть *.xml в архиве?
А чтобы посмотреть в keepass, надо запустить keePass
У меня консоль или фар всегда запущены, так что мне особо без разницы. Зато я очень хорошо себе представляю возможные уязвимости текстового файла. А что внутри KeePass, LastPass и др — не знаю…
У меня консоль или фар всегда запущены, так что мне особо без разницы. Зато я очень хорошо себе представляю возможные уязвимости текстового файла. А что внутри KeePass, LastPass и др — не знаю…
Как-то уже несколько раз «легко» смотрели что внутри TrueCrypt, так до сих пор и непонятно что с ним ;)
https://habrahabr.ru/post/201408/
Почему-то не вышло легко посмотреть опенсорс, решили собрать денег на специалистов
https://habrahabr.ru/post/224491/
Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.
Почему-то не вышло легко посмотреть опенсорс, решили собрать денег на специалистов
https://habrahabr.ru/post/224491/
Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.
Я сейчас использую FASTAUTOREG берет мои пароли из блокнота из заполняет.УДОБНО
В приложении для андроид такого бага значит нет?
«Выбор правильного редактора — непростая задача». Пойди пойми, что речь не о редакторе гиктаймса, а о редакторе текста. Что, впрочем, одно и тоже.
«Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера.», а если посчитать KeePassX?
«Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера.», а если посчитать KeePassX?
LostPass
в этой области нет явного лидера
Хм, а как же 1Password? Я как-то даже не задумывался о других вариантах...
Покупал. Пользовался до выхода новой версии.
В текущей не устраивает:
1. Ценовая политика.
2. Облако.
В текущей не устраивает:
1. Ценовая политика.
2. Облако.
По-поводу 2: насколько вижу, можно спокойно создавать локальные хранилища. Более того, если захотите – можно эти локальные хранилища синхронизировать с девайсами несколькими способами (как минимум, через локальный сервер, поднимаемый самим приложением 1Password, либо через Dropbox).
Понятно, я на первой странице такого не заметил. Да и давно ими не интересовался. В свое время покупал 1Password за $30. Потом было обновление и клиент стал стоить около $50, обновятся я не стал. Сейчас зашел, увидел подписку по $3 в месяц, пока желания приобрести не появилось. Хотя интеграция у них действительно удачная, после них к KeePass привыкать тяжело, хотя казалось бы тот же принцип.
Я покупал 4-ю версию несколько лет назад, емнип за те же $30 (какая-то акция была). С тех пор все обновления до текущей были бесплатно (через аппстор на маке), внезапно.
Недавно вот покупал stand-alone версию (захотелось еще и на виндовую машинку поставить), дали нехилую скидку — вышло те же 30 баксов с копейками.
Недавно вот покупал stand-alone версию (захотелось еще и на виндовую машинку поставить), дали нехилую скидку — вышло те же 30 баксов с копейками.
Считаю правильным хранить пароли в блокноте, личном бумажном блокноте, который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками, а самые важные — только в памяти. Всякие электронные хранилки паролей — от лукавого.
Ваше право. А я считаю, что правильный пароль должен быть не короче 16 случайных символов в разных регистрах, а желательно ещё и спецсимволов добавить. Хранить это в памяти не так просто.
Я тоже так думал. Пока не попробовал запоминать эти пресловутые в разных регистрах, со спецсимволами и буквами, не несущие смысл, 16-значные пароли. И знаете – небольшая практика и все отлично запоминается.
Круго. Если я, скажем, с полгода ресурсом не пользовался, я даже не могу вспомнить, какой там логин, не то, что пароль.
Такие серьезные пароли нужно держать в памяти только для частого употребления. Если вам не нужно проходить авторизацию по полгода (как насчет смены пароля регулярно?))), то и смысла нет помнить, проще записать. На бумаге.
Если же речь о всяких форумах или еще о чем подобном, так и вовсе нет смысла паранойей мучиться. Я проще делаю – там где безопасность ни к чему, регистрируюсь везде с одним уникальным логином и простым паролем.
Если же речь о всяких форумах или еще о чем подобном, так и вовсе нет смысла паранойей мучиться. Я проще делаю – там где безопасность ни к чему, регистрируюсь везде с одним уникальным логином и простым паролем.
Не знаю, локальный keepass меня более чем устраивает. А вот онлайновые LostPass-ы всякие — да, действительно от лукавого.
Согласен — локальный keepass, тоже там и храню. И таскаю на флешке по командировкам. Ну потеряю я ее если — это же все равно безопасней, чем потерять физический блокнот
который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками
Использую KeePass с плагином синхронизации базы с гуглодиском. Шифрование базы сертификатом, сертификат храню на токене.
Если уж доверяться, то разделять — шифрует один, хранит другой.
А объединённый сервис, это вот такая череда граблей, как у LastPass.
А объединённый сервис, это вот такая череда граблей, как у LastPass.
В чем прикол юзать сервисы Lastpass, когда можно создать базу в опен-сурсном KeePass, залить файл с паролями в любое популярное облако и открывать-смотреть пароли на любом устройстве? Для большей защиты проводить аутентификацию по файлу-ключу и хранить его только локально. Клиентов KeePass туева хуча, для одних только Windows-смартфонов их шесть штук. Даже веб-версия (которая может работать оффлайн) есть.
Вы сами то хоть этими клиентами пользовались? А плагинами под браузеры? Это же не для людей сделано. Я сам в определенный момент перешел на KeePass (где-то более года назад, может сейчас все лучше, не знаю) и пол года им пользовался, думал ну не могут же гики так ошибаться. Пол года честно искал к нему подходы, пробовал разные плагины, костыли, заставлял себя его полюбить, и… в конце-концов сдался, вернулся назад на LastPass.
По поводу паролей, думаю увести базу с дропбокса намного проще чем с LastPass, все-таки во втором случае безопасность в приоритете. Но в любом случае, что с дропбоксом что с LastPass, база без мастер пароля для злоумышленника никакой ценности не несет. Косяки могут быть с автозаполнением, и на первое место выходит пряморукость разработчиков плагинов. Глядя на многочисленные подделки плагинов для KeePass, к разработчикам LastPass как-то больше доверия, уж извините. Ну а если автозаполнение вообще отключить, можно спать спокойно.
По поводу паролей, думаю увести базу с дропбокса намного проще чем с LastPass, все-таки во втором случае безопасность в приоритете. Но в любом случае, что с дропбоксом что с LastPass, база без мастер пароля для злоумышленника никакой ценности не несет. Косяки могут быть с автозаполнением, и на первое место выходит пряморукость разработчиков плагинов. Глядя на многочисленные подделки плагинов для KeePass, к разработчикам LastPass как-то больше доверия, уж извините. Ну а если автозаполнение вообще отключить, можно спать спокойно.
Пользовались. Для windows mobile — Codesafe Pro, спасибо комментарию выше вашего, поищу альтернативные клиенты, в своё время их не было. Под Android есть KeepassToAndroid и KepassDroid. Под Windows нативный клиент. База лежит на своём ftp, облаков для этого не использую. Использую кипасс около 7 лет точно.
Какие ещё «плагины под браузеры»? )
Какие ещё «плагины под браузеры»? )
Ну десктопный клиент к слову нормальный, правда дизайном отдает из начала 2000-х.
Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился, и все, без постоянного ввода мастер пароля, без постоянного держания открытым десктопного клиента или других вспомогательных сервисов, без копирования данных в буфер обмена. Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.
Про двуфакторную авторизацию из коробки уже писали.
Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился, и все, без постоянного ввода мастер пароля, без постоянного держания открытым десктопного клиента или других вспомогательных сервисов, без копирования данных в буфер обмена. Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.
Про двуфакторную авторизацию из коробки уже писали.
Автозаполнение в десктопном KeePass работает без дополнительных плагинов. При создании записи во вкладке Атонабор добавьте целевое окно. В последующем при открытии страницы авторизации сайта или какой то программы нажимаем Ctrl+Alt+A и происходит автозаполнение.
Пользовался и пользуюсь, не испытываю никаких проблем. Под винду родной клиент, под андроид — keepassdroid. База на дропбоксе. Плагинами, правда, не пользуюсь совсем.
То есть потеря в гибкости и удобстве ради возможной чуть лучшей защищенности.
Не знаю, лично я, ради удобства, готов рискнуть быть взломанным с вероятностью меньше чем выиграть в лотерею. Тем более что особо важные ресурсы защищены двуфакторной авторизацией.
Кстати постоянное вбивания мастер пароля, использование буфера обмена, копипаст, открывают другие возможности для атаки, вероятность которых не факт что ниже вероятности попадания в одну из дыр облачных хранилищ с браузерными плагинами.
Не знаю, лично я, ради удобства, готов рискнуть быть взломанным с вероятностью меньше чем выиграть в лотерею. Тем более что особо важные ресурсы защищены двуфакторной авторизацией.
Кстати постоянное вбивания мастер пароля, использование буфера обмена, копипаст, открывают другие возможности для атаки, вероятность которых не факт что ниже вероятности попадания в одну из дыр облачных хранилищ с браузерными плагинами.
Пользуюсь десктопной версией только дома, на незнакомых компьютерах перебиваю из андроидного клиента руками. По-моему, вероятность того, что ломанут мой телефон или домашний компьютер гораздо ниже, чем то, что выкачают какое-то облачное хранилище с непрозрачной для меня схемой работы. А так у каждого своя планка гибкости и удобства :) Для меня критично то, что в случае не моего косяка придётся менять 300+ паролей, некоторые из которых сменить не так-то просто (например, личный кабинет провайдера).
К keepass2android, если что, есть плагин, умеющий эмулировать обычную клавиатуру и таким образом вводить пароль (но нужен root), Либо еще InputStick
Тоже самое, только использую Dashlane и везде где важно есть 2ФА, плюс на телефоне можно разблокировать отпечатком, что бы не вводить каждый раз длинный пароль.
Пробовал KeePass, не удобно, но храню там на локалке копию, на всякий :)
Мастер пароль каждый раз вбивать не обязательно. Как и использовать буфер обмена
Если для вас именно безопасность в приоритете, то KeePass — лидер.
А вот если для вас в большем приоритете некоторые удобные вам интерфейсные отличия — тогда да… можно рассматривать другие решения.
Не пользуюсь никакими плагинами для него, основного функционала более чем достаточно.
Пряморукость разработчиков можно проверять только по исходным кодам. LastPass уже стал опенсорсным? А судя по найденным уязвимостям…
А вот если для вас в большем приоритете некоторые удобные вам интерфейсные отличия — тогда да… можно рассматривать другие решения.
Не пользуюсь никакими плагинами для него, основного функционала более чем достаточно.
Пряморукость разработчиков можно проверять только по исходным кодам. LastPass уже стал опенсорсным? А судя по найденным уязвимостям…
Для людей — это iCloud Keychain. Но ограничение тоже понятно — только Apple инфраструктура.
Для меня плюсы LastPass в следующем: двухфакторная аутентификация, интеграция со всеми браузерами (даже Opera 12 была какое-то время), возможность делиться паролями и секретными заметками с другими пользователями, интеграция с Android приложениями. Мне, как пользователю, достаточно вовремя обновлять расширения в браузерах.
Косяки случаются у всех, но утечки секретных данных в LastPass ещё не было (по крайней мере публично никто об этом не заявлял :).
Косяки случаются у всех, но утечки секретных данных в LastPass ещё не было (по крайней мере публично никто об этом не заявлял :).
Собирать QT для него. :) Это единственное QT-приложение у меня.
Разница — как между Сбером и Тиньковым. Вроде оба банки, функции схожие, но от сервиса одного хочется взять автомат и всех убивать, а другому только аплодировать и завидовать.
> Как обычно, причина уязвимости — ошибка программистов.
Уж скорее ошибка дизайна.
Уж скорее ошибка дизайна.
но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.
Знакомо до боли. В России этим грешат сплошь и рядом, в том числе, для систем, обрабатывающих информацию на миллиарды рублей.
Есть простой способ "хранить" неограниченное число паролей, не прибегая к бумажным или электронным помощникам. Нужно всего лишь поставить пароль в зависимость от идентификатора сайта (домена) или приложения (названия) и рандомизировать это производной вашего единственного секретного слова. Т.е. password = f(id, secret). Например, взять от идентификатора 5 четных символов с конца и добавить к ним последние (len(id) mod 5) символов вашего секрета. Сложность функции зависит от вашей способности помнить и решать ее в уме, ну и от степени параноидальности. При должной сложности утечка одного пароля не сильно скомпрометирует вашу защиту.
Это удобно и имеет смысл в основном для разных некритичных сайтов, непременно требующих логин. Или когда пароль будет сменён в ближайшем будущем.
Я, например, этим способом пользуюсь, когда нахожусь где-нибудь „в гостях“. Добираюсь до своего компа — меняю пароль и заношу его в менеджер.
Метод генерации может включать дополнительные ключи. Например, можете использовать набор суффиксов, тогда скомпрометированы окажутся только известные злоумышленнику суффиксы. Так можно организовать нечто вроде системы уровней допуска. Конечно, это плохо подходит для коротких паролей, ибо брутфорс. Из минусов отмечу разве что тот факт, что эта система заставляет использовать всё более длинные и длинные пароли. Я доходил до 80 символов (примерно шестая часть этого комментария)
Куда, вернее, откуда он утечет? Приличный для бытового уровня хэш придумать можно. Добавить шифр Цезаря, например. Потребуется знание более одного пароля, чтобы восстановить метод. Разумеется, это применимо не ко всем случаям, но тогда и любой другой plain text применим не всегда.
Приличный для бытового уровня хэш придумать можно.
Это уже по принципу Неуловимого Джо. Хэш никто не взломает, пока он особо никому не нужен.
То же самое можно сказать про любое вычисление по известному алгоритму.
Объясните, пожалуйста? Я имею в виду любой алгоритм, используемый на стороне сервера для валидации введенного пароля. Он не должен быть вычислительно сложным, чтобы уменьшить плечо DOS-атаки. Как я понял, вы предполагаете, что злоумышленнику известен алгоритм, поэтому то, что считается в уме, легко щелкается любым умным утюгом. Моя идея в том, что алгоритм неизвестен, поэтому перебор алгоритмов сопоставим с брутфорсом пароля.
У этого способа есть один большой недостаток: для одного сайта/домена можно сгенерировать только один пароль. Если нужен второй или новый — увы и ах.
Использую обычный форум MyBB на своем сервере. Доступ на него открыт только по VPN или из домашней локалки. Каждый член семьи имеет свой раздел для паролей. Не знаю хорошо ли так хранить пароли, но мне вполне достаточно. Однако очень жалею и тоскую о такой фиче как автоподстановка пароля.
Внезапно, на addons.mozilla.org только 3 версия lastpass'a. Отличная работа.
тоже узаю keepas база в облаке а клиент локально на win и андройде он даже в буфере пас и логин только 10 сек держит а автозаполнение само по себе вектор для атаки
Доверять все свои пароли какому-то левому сервису?
*Диоген mode on, torch fired up*
Эй, нормальные люди, вы еще остались? Есть те, кто свои секреты хранит при себе, а не доверяет третьим лицам?
*Диоген mode on, torch fired up*
Эй, нормальные люди, вы еще остались? Есть те, кто свои секреты хранит при себе, а не доверяет третьим лицам?
Секрет, это когда жене по пьяне изменил, или деньги у работодателя тыришь, а пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще. В конце концов самые важные пароли (банк-клиент, основная почта и т.д.) можно и запомнить, для всего остального есть сервисы хранения.
P.S. В любом случае иметь везде один/два пароля это менее безопасно, чем везде разные, но хранящиеся в сейфе какого-нибудь сервиса. Плюс это еще и такой себе импровизированный менеджер аккаунтов — не нужно помнить какие акки у тебя есть.
P.S. В любом случае иметь везде один/два пароля это менее безопасно, чем везде разные, но хранящиеся в сейфе какого-нибудь сервиса. Плюс это еще и такой себе импровизированный менеджер аккаунтов — не нужно помнить какие акки у тебя есть.
пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще.
Я не злоумышленник, имел привод в милицию в 16 лет, о вас не знаю ничего, кроме ника. Дайте, пожалуйста, мне пароль от вашей почты, связанной с аккаунтом на GT. :D
Ответ я уже представляю и сразу говорю: «вот то-то и оно».
Расширение для Safari не подвержено уязвимости.
Помнить свои пароли надо, помнить.
Расскажите как запомнить 131, 8-12 значный пароль с регистром, цифрами и местами спецзнаками.
Если вы обычный человек, а не робот само собой) Использовать 5 паролей на всё про всё, не предлагать.
Если вы обычный человек, а не робот само собой) Использовать 5 паролей на всё про всё, не предлагать.
А у вас серьезно 131 важный аккаунт? Не уверен что мои варианты покроют такое количество паролей, но это выглядит довольно специфическим кейсом.
Начну с того что для некритичных сервисов (Которые даже если угонят то это не страшно) можно использовать один пароль. Сколько останется? Для важных варианты.
0. Т.К. во многих вариантах я предложу использовать слова то этот общий. Придумать и запомнить правила замены букв на симовлы или на похожие из других языков. И менять на ï например.
1. Выучить длинное стихотворение. Придется помнить только позицию слова и применять к нему 0 правило.
2. Придумывать то с чем у вас ассоциируется то от чего этот пароль или для чего этот аккаунт. В 2-3 слова. «Аккавитодляработорговли» например. Естесственно применяем правло 0.
3. Помните каким по счету зарегистрировали аккаунт? Учитесь считать на 2-3 языках, пишете порядковый номер аккаунта. Это конечно уже посложнее, но все таки дает какую-то отправную точку для памяти.
Как-то так.
Начну с того что для некритичных сервисов (Которые даже если угонят то это не страшно) можно использовать один пароль. Сколько останется? Для важных варианты.
0. Т.К. во многих вариантах я предложу использовать слова то этот общий. Придумать и запомнить правила замены букв на симовлы или на похожие из других языков. И менять на ï например.
1. Выучить длинное стихотворение. Придется помнить только позицию слова и применять к нему 0 правило.
2. Придумывать то с чем у вас ассоциируется то от чего этот пароль или для чего этот аккаунт. В 2-3 слова. «Аккавитодляработорговли» например. Естесственно применяем правло 0.
3. Помните каким по счету зарегистрировали аккаунт? Учитесь считать на 2-3 языках, пишете порядковый номер аккаунта. Это конечно уже посложнее, но все таки дает какую-то отправную точку для памяти.
Как-то так.
А потом. «Извините у нас утекли пароли поменяйте плз». И все правила котуподхвост.
1) 140 (сто сорок) паролей в моем ластпасс-е. Банковские счета, страховки, амазоны, электричество, интернеты и т.д.
2) Часть надо зашерить с моим бизнес партнером. Часть — для семьи
3) В некоторых местах требуется пароль менять каждые пару месяцев. Поменять можно. Но есть 2)
4) Одни требуют пароль не длиннее 12 символов. А другие требуют безумные комбинации с использованием символов !@%:* и т.д. А у других запрещены такие символы.
5) Надо иметь доступ с домашнего компутера, с рабочего, с остальных (цм 2) выше)
Ну и как тут быть?
Идеального «ластпасса» не существует. Идеально хранить все пароли в голове. Но это нереально. На бумажке? А как срочно перезагрузить удаленный сервер, когда ты в аэропорту, тебе звонят и кричат в трубку, что ничего не работает. А пароль пришлось поменять позавчера, поскольку этого потребовал провайдер, а у тебя есть 10 мин до самолета и три попытки вспомнить пароль, прежде чем логин заблокируют.
А если взломают сервер банка, то пофигу, насколько хороший пароль я придумал.
Если захотят взломать меня персонально, то ничего не поможет
Поэтому мы используем ластпасс и довольны.
Крошка сын к отцу пришел
И сказала кроха
-Жить с ластпассом хорошо,
Без ластпасса — плохо
2) Часть надо зашерить с моим бизнес партнером. Часть — для семьи
3) В некоторых местах требуется пароль менять каждые пару месяцев. Поменять можно. Но есть 2)
4) Одни требуют пароль не длиннее 12 символов. А другие требуют безумные комбинации с использованием символов !@%:* и т.д. А у других запрещены такие символы.
5) Надо иметь доступ с домашнего компутера, с рабочего, с остальных (цм 2) выше)
Ну и как тут быть?
Идеального «ластпасса» не существует. Идеально хранить все пароли в голове. Но это нереально. На бумажке? А как срочно перезагрузить удаленный сервер, когда ты в аэропорту, тебе звонят и кричат в трубку, что ничего не работает. А пароль пришлось поменять позавчера, поскольку этого потребовал провайдер, а у тебя есть 10 мин до самолета и три попытки вспомнить пароль, прежде чем логин заблокируют.
А если взломают сервер банка, то пофигу, насколько хороший пароль я придумал.
Если захотят взломать меня персонально, то ничего не поможет
Поэтому мы используем ластпасс и довольны.
Крошка сын к отцу пришел
И сказала кроха
-Жить с ластпассом хорошо,
Без ластпасса — плохо
У меня несколько сотен разных ресурсов.
Да, там много разных сайтов и форумов, но как-то совершенно случайно так случилось, что примерно на трети я администратор/модератор.
Я давно перестал использовать одинаковые пароли для разных ресурсов, во избежание, потому что не всегда от меня может зависеть утечка пароля на каком-то ресурсе.
Я совершенно не хочу держать в голове, на каком ресурсе могут быть зависимости, в том числе финансовые или моральные. Поэтому для меня ЛЮБОЙ ресурс, где я регистрируюсь достаточно важен, чтобы я озаботился созданием рандомного несловарного пароля. И понятно, что держать в голове пароли, которыми пользуешься нечасто — нереально.
Да, там много разных сайтов и форумов, но как-то совершенно случайно так случилось, что примерно на трети я администратор/модератор.
Я давно перестал использовать одинаковые пароли для разных ресурсов, во избежание, потому что не всегда от меня может зависеть утечка пароля на каком-то ресурсе.
Я совершенно не хочу держать в голове, на каком ресурсе могут быть зависимости, в том числе финансовые или моральные. Поэтому для меня ЛЮБОЙ ресурс, где я регистрируюсь достаточно важен, чтобы я озаботился созданием рандомного несловарного пароля. И понятно, что держать в голове пароли, которыми пользуешься нечасто — нереально.
Да, я в курсе про технику «выбери яркий образ», и если бы я жил в камере для сенсорной депривации и никогда не пользовался Интернетом, то мог бы легко запомнить фразу-пароль типа «Вечеринка гигантских Марсианских насекомых». Увы, я пользовался Интернетом, а это значит, что я видел, слышал и местами даже платил деньги за всё, что только можно представить. Я видел видеоролик «Вечеринка гигантских Марсианских насекомых», и я видел другой видеоролик, «Вечеринка гигантских Марсианских насекомых: Не говори маме», и оба ролика мне сильно не понравились, но это меня не остановило и я снял продолжение, «Вечеринка гигантских Марсианских насекомых: Возмездие». Так что мне невероятно сложно придумать хорошо запоминающийся образ, чтобы он выделялся среди того бурлящего океана нелепостей, что заполняет мою голову в результате потребления 31 часов медиа-контента за каждые 24 часа. Придумать запоминающийся образ сложно, а чтобы жизнь мёдом не казалась, безопасники вдобавок говорят, для разных вебсайтов нужны разные пароли. Так что подразумевается, что я должен помнить и «Вечеринку гигантских Марсианских насекомых» и «Структурно непрочную сумку Йети», и каким-то образом вдобавок надо запомнить, которая из этих фраз для моего онлайн-банка, а которая для другого вебсайта, не имеющего ничего общего ни с внеземными насекомыми, ни со снаряжением Йети. Это варварство и я требую от жизни большего.
Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»?
KeePass без всяких расширений к браузеру.
На мой взгляд, лучше всего локальная база и менеджер паролей с открытым исходным кодом. Плюс, периодический бекап базы (естественно, зашифрованной) в облако.
Уже много лет пользуюсь KeePassX — все устраивает.
Чем использовать менеджер паролей с сомнительной безопасностью лучше чем просто один пароль на все?
Лучше уже несколько паролей запомнить и пусть на некритичных сайтах они совпадают.
Поправьте меня если я не прав, или не учитываю каких то особых случаев использования.
Лучше уже несколько паролей запомнить и пусть на некритичных сайтах они совпадают.
Поправьте меня если я не прав, или не учитываю каких то особых случаев использования.
Один пароль на все не лучше и не удобнее.
Если везде использовать один и тот же пароль даже сложный и длинный то рано или поздно он может попасть в список самых популярных паролей.
Наверное :)
Наверное :)
проблема в том что при очередной утечке паролей вас попросят сменить пароль и теперь у вас будет один пароль на все кроме одного сайта для которого на конце будет единичка дополнительно. А примерно на 10 регистрации с одним и тем же паролем вы столкнетесь с тем что ваш супер мега пароль не подходит изза того что в нем присуствует/отсутствует спецсимвол. В случае кипасс( или иного менеджера паролей)такой проблемы вообще нет. Там для каждого сайта генерится новый пароль который вам запоминать не нужно.
Лучше всего использовать аппаратный менеджер, как, например, Pastilda или Mooltipass. Чисто программные менеджеры довольно уязвимы. Поддержите нас с Пастильдой на crowd supply!
Скажите, а насколько безопасно использовать запоминание паролей в браузере, при условии, что они синхронизируются не с сервером компании, а с твоим личным? Например, Firefox такое позволяет.
Тут все рекламируют keepass. Он действительно настолько надежен, что ему нет альтернатив?
А как с надежностью его различных клиентов под разные системы, есть ли канонические (прежде всего Windows, Linux, Sailfish, Maemo6/MeeGo1.2)?
Может ли кто чего плохого/хорошего написать про MeePasswords? Или имеет смысл мигрировать с него на Keepass?
Ха Ха
В журнале Х… р тестировали Ваш KeePas и ему подобные!!!
Самая главная проблема был в том, что пароли перехватывались на этапе копирования и вставки!
Что блокнот, что эксель, что облако ЦРУ… результат ОДИН,
Только один (забыл уже) с трудом прошел проверку.
В журнале Х… р тестировали Ваш KeePas и ему подобные!!!
Самая главная проблема был в том, что пароли перехватывались на этапе копирования и вставки!
Что блокнот, что эксель, что облако ЦРУ… результат ОДИН,
Только один (забыл уже) с трудом прошел проверку.
Ну не знаю на счет ксакепа. Его репутация довольно неоднозначна.
Если у вас хост система скомпрометирована, то поздно пить боржоми и ниодин парольный менеджер вас уже не спасёт. Независимо от его способа ввода паролей.
А клавиатура будет прямо в эти регионы печатать?
И как предлагается запрос на сервер для входа, если не через API операционной системы?
И как предлагается запрос на сервер для входа, если не через API операционной системы?
mov eax, "site.com"
mov ebx, "pass=123&login=abc"
ajax
))?
Вопрос с клавиатурой решается дополнительной клавиатурой, которая шифрует коды нажимаемых клавиш (по типу того, как это сделано в банкоматах). Запрос на сервер делается обычным образом — вот только отправляемые данные перед этим, опять-таки, шифруются.
Разумеется, для обычного парольного менеджера общего назначения ни то, ни другое решения не применимы.
SGX? Его уже вскрыли.
Так получается и ввод пароля с клавиатуры тоже легко перехватить, т.е. хранить пароли в голове тоже не вариант…
Если у юзера на ПК стоит кейлоггер или ещё какая зверушка, которая перехватывает пароли на этапе копирования/вставки/набора, то борьба с ней уже выходит за пределы функций парольного менеджера. Тут не всегда поможет даже драйвер, который меняет «на лету» сканкоды нажимаемых клавиш (встречал когда-то такую штуку). Поскольку если я на вашем ПК могу запускать по своему желанию произвольный код, то вы уже не можете доверять такой системе.
Как раз при тестировании попыток взлома в Хакере по сравнению с другими KeePass смотрелся очень даже достойно.
Я один до сих пор пользуюсь Password Commander?
Видимо вы пользуетесь только Windows? Я им тоже пользовался более 10 лет назад, но сменил после приобретения КПК Palm на KeePass: для него есть плагин, выгружающий базу в Keyring.
Мультфильм о забытом пароле — Халиф аист.
Для форумов и прочей фигни пользуюсь примитивнейшим 6-символьным паролем, который уже «на подкорке» (не забудешь, не пропьёшь). Большей безопасности и не требуется. Уведут, да и пофиг.
Для ресурсов более-менее ценных имеется «хэш-функция» по части имён, дней рождений и знаков зодиака моих родственников… Так я знаю, что это «мамин сайт», это мой, это жены, это отца, это деда и т. д. Сбрутить сложно — пароли по 10-12 символов. Криптоаналитик, наверное, разгадает, но я — неуловимый Джо, так что пофиг.
Банк-клиенты и прочие важные вещи под двухфакторной аутентификацией с автосгенерёнными паролями по 50-60 символов (копи-паста из KeePass), либо отпечаток пальца (под Android).
*Paranoid mode on*
Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)
*Paranoid mode off*
Для ресурсов более-менее ценных имеется «хэш-функция» по части имён, дней рождений и знаков зодиака моих родственников… Так я знаю, что это «мамин сайт», это мой, это жены, это отца, это деда и т. д. Сбрутить сложно — пароли по 10-12 символов. Криптоаналитик, наверное, разгадает, но я — неуловимый Джо, так что пофиг.
Банк-клиенты и прочие важные вещи под двухфакторной аутентификацией с автосгенерёнными паролями по 50-60 символов (копи-паста из KeePass), либо отпечаток пальца (под Android).
*Paranoid mode on*
Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)
*Paranoid mode off*
> Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)
Не использовать буфер, очевидно же. Т.е. прямая вставка из менеджера в нужную форму.
Но, как уже говорили выше, если дошло до возможности следить за буфером — то тут уже поздно беспокоиться.
Не использовать буфер, очевидно же. Т.е. прямая вставка из менеджера в нужную форму.
Но, как уже говорили выше, если дошло до возможности следить за буфером — то тут уже поздно беспокоиться.
Я одно время пользовался менеджером, киллер-фичей которого было НЕ использование системного буфера. Названия не помню. Он был бесплатным, но не open-source… сами понимаете надежность исключительно на вере в девелопера. Сейчас ничем, кроме бумажного не пользуюсь. А для «всякой фигни» у меня один на всех 7-значный пароль)))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода