Свободный менеджер паролей LessPass работает на чистой функции

[Revertis]

На Хабре уже пару лет назад автор писал о подобном генераторе, который работает на vpass.info.
А я давненько на его основе сделал расширение для ФФ: https://addons.mozilla.org/ru/firefox/addon/vpass-password-generator/
На сайте, где хотите залогиниться, вводите логин, переходите на поле пароля, там нажимаете F9, в появившемся окошке вводите только свой мастер-пароль и нажимаете Enter. Сгенерированный пароль вводится в поле пароля.

[ValdikSS]

А еще есть supergenpass, он раньше всех появился (в то время назывался genpass).

[vtyulb]

Я тоже аналогичный генератор себе написал весной 2013-ого года. Rupass, функционала немного, но работает же. Пользовался им несколько лет, но потом узнал про keepassx.

Все-таки недостатки файла с паролями нивелируются шифрованием жесткого диска, автоблокировкой по неактивности и синхронизацией в свое облако. А у генератора проблем нерешаемых много: сайты, которые генерят логины/пароли сами, сайты с несколькими доменами, невозможность сменить мастер-пароль, невозможно сохранить чужой пароль.

[glazunoff]

да, SuperGenPass наше всё!

[KennyGin]

Четвертый и главный недостаток: вам надо помнить все логины, либо использовать один единственный логин и один адрес почты на вообще всё

[stdenis]

А если есть несколько аккаунтов на одном сайте, то вообще беда

[saboteur_kiev]

Зачем? Главное ведь не lesspass а сама идея.

Можно написать себе свой менеджер или плагин, в котором будет сохраняться и сайт и логин, а пароль генериться по первому, по второму или по обоим вместе + соль. В общем додумать можно.

[dartraiden]

1) трудно синхронизировать пароли между устройствами; 2) нужно всегда иметь в распоряжении сам файл с паролями. То есть потерял файл с паролями — и до свидания.

Обе проблемы решаются с помощью облачных хранилищ. База у всех приличных менеджеров паролей хорошо зашифрована.

[alexvoz]

Вот только если это не ваш личный менеджер паролей — на 100% ему доверять нельзя. Кто знает — все ли там по честному или оставлены бэкдоры для себя или еще кого-то. А написать свой личный менеджер паролей смогут не все.

[dartraiden]

К KeePass, если не изменяет память, можно писать плагины с собственной реализацией шифрования.
На худой конец, можно банально шифровать с помощью открытого 7-zip.

[Sild]

Так это ж хорошо.

[Sild]

Хе, что ж получается…
плюсы: у злоумышленника нет возможности украсть у вас файл с паролями, потому что его нет!
недостатки: для брутфорса вашего пароля злоумышленнику не нужен никакой файл.

[Revertis]

Ага, для того, чтобы сбрутить пароль, ему нужно… сбрутить пароль :)

[Loki3000]

Да, но достаточно его сбрутить на одном сайте, чтобы получить доступ ко всем.

[Revertis]

Ага, только ему еще нужно догадаться, что вы используете какой-то из генераторов :)

[Loki3000]

Если атакуем конкретного человека то это, скорее всего, известно. Заманили его к себе на сайт и попросили зарегистрироваться — вот тебе и материал для работы сразу. Или человек проговорился где-то что использует подобную штуку… На хабре в комментариях, например.

[rusher]

Из за PBKDF2, брутить придется долго

[klev]

При частичной смене URL сайта, будет генерироваться неправильный пароль

[areht]

При наличии на одном сайте 2-х сервисов с разными паролями — вообще беда

[Baton34]

а если сайт сменил адрес|домен, заново регаться?

[Karpion]

Вводить старый домен.

[timelle]

База KeePass2 в облачном хранилище с мастер-паролем и ключом. Для мобильных устройств не подойдет, но для ноутбуков и ПК — вполне.

[chesterset]

Почему для мобильных не подойдёт? База и ключ в облаке (скажем, том же Я.Диске), прекрасно работает на и на ПК, и на ноутбуке, и на смартфоне (Android).

[nicknishim]

Подтверждаю, база KeePass2 лежащая в облаке (в моем случае домашний owncloud) прекрасно работает на всех платформах (Windows, Linux, Android, IOS)

[anitspam]

Интересно, словом «свободный» было переведено «LessPass is open-source» или «LessPass is free
and always will be».

[K0styan]

Полные исходники — в статье же, под спойлером. Абзацем ниже синей картинки со схемой генерации.
Другой вопрос, что open source не всегда равно free. Но сходить на сайт автора за лицензионным соглашением тоже никто не мешает.

[somniator]

есть два главных недостатка: 1) трудно синхронизировать пароли между устройствами;

в 2016 уже не трудно

2) нужно всегда иметь в распоряжении сам файл с паролями.

не является недостатком как следствие п. 1

[n00b1k]

— Пароли рекомендуют менять раз в несколько месяцев. Некоторые сайты настойчиво «предлагают» сменить пароли. Как тут быть?
— Есть сайты где спец символы не поддерживаются. Нужно помнить состав типов символов для каждого сайта.
— Скомпрометировал мастер пароль. В нормальном менеджере перешифровал БД, что делать в этой ситуации с этим менеджером?

[flerant]

На второй вопрос есть ответ в тексте.

[dpantele]

1. Изменить counter. Например, просто поставить его в 201611 и менять каждый месяц для важных паролей.
3. Если делать с синхронизацией, как предлагают многие, то после компрометации масетр-пароля всё равно надо менять все пароли.

[mafia8]

Заметить, что идёт атака, может сервер. Также сервер может сообщить пользователю о свежих неудачных попытках войти и их количестве за последний час (чтобы не сообщать о каждом неудачном входе), сообщается о первом неудачном входе и следующее сообщение — через час о количестве за час. И предлагает что-то сделать с этим.

[ESP]

> более менее безопасно
Надеюсь, среди разработчиков подобного рода софта не многие мыслят подобным образом.

[avas]

Эээх — давно то было… Наша компания придумала такое же — вот только в архивах нашел https://www.helpnetsecurity.com/2006/03/20/amust-software-announces-amust-1-password/

Мы решили проблему с запоминанием логинов — генерили файлик, который открывался по мастер паролю и синкали его в Gmail/Hotmail/etc просто как драфт письма
Если пользователь находился вдали от родного компьютера с софтом просили его зайти в его почту взять текст из этого драфта и закопипастить на страничку, а далее расшифровывали все с мастер паролем с помощью чистого ДжаваСкрипта.