Комментарии 89
Скомпрометируют lastpass — утекут все ваши пароли одновременно.
Пароль на мониторе, в блокнотике или под клавиатурой — самое безопасное, хакер не утащит, если ножками к вам не придёт.
Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.
Ну и т.п.
Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)
С почтой самое главное — не забрасывать ящик. А то куча людей так со своими скайпами расставалась, к примеру. Когда ящик по неактивности удалялся, а пароль к аккаунту забывался.
Пароль на мониторе, в блокнотике или под клавиатурой — самое безопасное, хакер не утащит, если ножками к вам не придёт.
Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.
Ну и т.п.
Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)
С почтой самое главное — не забрасывать ящик. А то куча людей так со своими скайпами расставалась, к примеру. Когда ящик по неактивности удалялся, а пароль к аккаунту забывался.
Скомпрометируют lastpass — утекут все ваши пароли одновременно.
А разве содержимое не шифруется мастер-паролем?
Бумажки да, где-то сменил пароль, где-то восстановил и при изменении нельзя использовать старый, где-то требуют пароль чуть сложнее, где-то всё ещё http и я не хочу светить мой пароль.
В результате ворох сервисов с вариациями одного пароля. Плюнул и использую менеджер паролей.
разве содержимое не шифруется мастер-паролем?
Это они так говорят. Шифруется ли, есть ли у них черный ход для расшифровки — это не узнать.
Лично я просто пяток стандартных паролей разной сложности использую для сервисов разной степени важности.
а потом последовательно вводите все 5 паролей в надежде найти тот самый? почему оффланй менеджер паролей не испольщуете? Keepass это уже стандарт. Базу закиньте кудато в облако и на телефоне приложение поставьте. Без мастер пароля (длинного и сложного разумеется) утащенная база просто набор рандомных байтов
Максимум повторно, но обычно я верно оцениваю важность сайта и ввожу нужный пароль.
А кипасс не хочу, мне быстрее набрать пароль руками, чем его скопировать из менеджера.
А кипасс не хочу, мне быстрее набрать пароль руками, чем его скопировать из менеджера.
если поставить расширение в браузер то вводить ручками пароли не надою заодно исключится ввод пароля на фишинговом сайте
Как расширение спасёт от ввода пароля на фишинговом сайте? Я уж не говорю о том, что зачем это нужно, если весь этот функционал уже интегрирован в сами браузеры?
при создании записи в кипасе вводите адрес сайта. расширение будет предлагать подставить логин пароль только если адрес будет совпадать.
Если вы создали пароль для сайт mail.ru то при заходе на фишинговую страницу с адресом rnail.ru пароль не подставится. как минимум это заставит вас насторожится.
В браузерах функционал то есть но достать пароли оттуда очень легко.
В браузерах функционал то есть но достать пароли оттуда очень легко.
Можете про это чуть подробнее рассказать? Спасибо.
Быстрый гуглеж вывел на эти проги
www.nirsoft.net/utils/web_browser_password.html
github.com/kspearrin/ff-password-exporter#downloadinstall
www.nirsoft.net/utils/chromepass.html
есть конечно мастер пароли в баузерах. насчет гугл хрома хз так как не пользуюсь но есть такая вот старая ссылка qna.habr.com/q/55 и не менее старое но фееричное lifehacker.ru/paroli-soxranyonnye-v-google-crome-mozhet-uvidet-kto-ugodno
насчет мозиллы www.anti-malware.ru/news/2018-03-19-1447/25748
www.nirsoft.net/utils/web_browser_password.html
github.com/kspearrin/ff-password-exporter#downloadinstall
www.nirsoft.net/utils/chromepass.html
есть конечно мастер пароли в баузерах. насчет гугл хрома хз так как не пользуюсь но есть такая вот старая ссылка qna.habr.com/q/55 и не менее старое но фееричное lifehacker.ru/paroli-soxranyonnye-v-google-crome-mozhet-uvidet-kto-ugodno
насчет мозиллы www.anti-malware.ru/news/2018-03-19-1447/25748
Пароли не только в браузере вводятся. Не на каждый браузер поставишь расширение. Потому пароли все равно надо помнить. А если надо помнить, то зачем мне кипасс?
Хотя, конечно, я все же записываю на всякий случай. Но нечасто обращаюсь.
Хотя, конечно, я все же записываю на всякий случай. Но нечасто обращаюсь.
А зачем их помнить? Enpass, например, просто ставится везде. Нормальные пароли вы не запопните. Особенно с учетом того, что, их неплохо бы менять регулярно (а некоторые сервисы будут заставлять это делать).
НЛО прилетело и опубликовало эту надпись здесь
Рекомендацию по регулярной смене уже отменили
Кто отменил? И расскажите это банкам.
Сейчас рекомендуются парольные фразы.
Кем рекомендуется? Чем ваша фраза из 40 букв, которую я усрею подсмотреть, пока вы её набираете или которую можно считать банальным микрофоном, лучше моей парольной строки из 80 символов, которая содержит всю клавиатуру и которую я вставлю из буфера обмена?
Не везде. Буквально недавно видел "не меньше # и не больше ## символов, обязательно спецсимволы (список обычных), но нельзя спецсимволы (список не менее обычных), менять раз в ## дней, не менее ## паролей за год, а ещё заполните # обязательных ответов для восстановления".
При этом вопросы для восстановения выбраны такие, что ответ хоть на один с хорошими шансами можно добыть из открытых/уже утёкших за годы перс. данных.
Что можно сказать о такой безопасности… "ну хоть что-то у нас в безопасности"(Ц) анекдот
Приходите на другой чужой комп и?.. Втыкать свой пусть даже портативный, но на флешке хранитель паролей?
Да и птичка «запомнить пароль» заставляет именно Вас пароль как раз таки забыть :) и даже к какой учетке пароль.
Да и птичка «запомнить пароль» заставляет именно Вас пароль как раз таки забыть :) и даже к какой учетке пароль.
Обычно спотыкаешься только на тех сайтах, где используются какие-то неадекватные требования к паролю. И сценарий для них у меня такой:
- Пароль не подходит.
- Запрашиваешь восстановления пароля.
- Придумываешь новый пароль на основе базового, с изменениями, чтобы пароль подходит под требования.
- Получаешь сообщение, что новый пароль не может совпадать со старым.
Я вот тоже не могу довериться этим менеджерам паролей. Мало что ли утечек? Ежели такой менеджер станет ультра популярным, то и «энтузиасты» приложат свои силы для его вскрытия.
Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)Ну, знаешь, если так рассуждать, то можно вообще статьи не писать. Потому что, кто умный — тот и так умный, а кто глупый — того ничему не научишь. :)
Есть же вполне оффлайновый keepass. Блокнотик — это слишком сурово для сотен паролей )
Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.Есть простое решение: хранить почтовые адреса так же как пароли — в менеджере паролей.
В том же KeePass для этого есть специальная группа — eMail.
Плохая статья. Она создаёт иллюзию, что если это все применить — все будет хорошо. Например, впн действительно маскирует айпи адрес клиента, но это не спасает от того, что трафик может быть слит спецслужбам и не спасает от установки специальных трекинговых куки на компьютер. Причём они уже достаточно хитрые и не являются просто куки — это могут быть данные о браузере и окружении + особенности, например, кэширования ресурсов (однопиксельной картинки). И поехало.
Из разумных советов — использование паролей, уникальных для каждого ресурса + mfa через Гугл аутентикатор
Но вот подиж ты… кто-то же это еще и плюсует…
Ну, человек старался — как же не плюсануть его ))))
Ну да, ну да. А мерой работы является усталость?
Этот и ему подобные посты лучше всего описывает фраза (не ручаюсь за точность цитаты, да и не помню, откуда) — все новое здесь не интересно, а все интересное — не ново. Т.е. обычный инфомусор. Тот же совет использовать уникальные пароли… полезный, как бы, но тоже, без рассмотрения модели угроз имеет мало смысла. Пароли от мусорных ресурсов, где нет ничего, что стоило бы защищать — и в чем прелесть уникальности пароля от условной IKEA Family? Что кто-то взломает мой логин в… другом месте, и потом, с тем же паролем, воспользуется моими скидками в IKEA? Ну так эта, флаг в руки :)
Этот и ему подобные посты лучше всего описывает фраза (не ручаюсь за точность цитаты, да и не помню, откуда) — все новое здесь не интересно, а все интересное — не ново. Т.е. обычный инфомусор. Тот же совет использовать уникальные пароли… полезный, как бы, но тоже, без рассмотрения модели угроз имеет мало смысла. Пароли от мусорных ресурсов, где нет ничего, что стоило бы защищать — и в чем прелесть уникальности пароля от условной IKEA Family? Что кто-то взломает мой логин в… другом месте, и потом, с тем же паролем, воспользуется моими скидками в IKEA? Ну так эта, флаг в руки :)
Блокировщики рекламы
Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде
…
Разные пароли
…
Наиболее удобным способом будет использование расширения, например, Lastpass
Значит, собирает ли «данные» опенсорсный ublock — автору «доподлинно неизвестно». Повод усомниться. Мало ли.
При этом в следующем абзаце автор рекомендует самостоятельно загрузить все ваши пароли в полностью проприетарный lastpass.
Л — логика.
Я как-то не уверен на счет VPN — доверить свой трафик не пойми кому, да еще и бесплатному сервису? Спасибо, я воздержусь. Как говорится, если вы не видите где здесь товар — значит товар это вы.
храните парольки у себя — с облака и сервисов их так же и легче тащат и так же легко декодируют (старые времена прошли).
по впн заходить нельзя, если не хотите подарить свои данные — ТОР чем не устраивает? так его цепочки тоже можно скомпрометировать.
по впн заходить нельзя, если не хотите подарить свои данные — ТОР чем не устраивает? так его цепочки тоже можно скомпрометировать.
Интересно что сами сайты всячески противодействуют использованию данных методик:
Таковы реалии Интернета сегодня.
- Блокируют посещение через VPN/TOR.
- Заставляют оставлять свой номер телефона для гарантированной идентификации физ. лица.
- Помимо этого часто требуют вводить кучу другой информации о себе.
- Формально требуют указывать своё настоящее имя при регистрации (привет, Хабр).
- Блокируют доступ при обнаружении активного блокировщика рекламы.
- Блокируют доступ без согласия на использование отслеживающих/рекламных кукисов.
- Вместо отдельной регистрации используют вход через соц.сеть для аггрегации (и последующей продажи) всей информации о вашей персональной активности в сети.
- Особо упоротые (типа AirBnB или VK) требуют фото документов или лица.
- Другие упоротые предлагают отдать им пароль от почты чтобы «найти друзей».
Таковы реалии Интернета сегодня.
Ну сайты же обычно не просто так сайты, а юр. лица в некоторой юрисдикции. И внезапно последнее время все больше юрисдикций вводят все больше разнообразных интересных требований к сайтам. А другие (тот же AirBnB) имеют вагончик юридического опыта, который подталкивает их к идее о том, что чем более надежно они уверены в том, с кем общаются — тем устойчивее их бизнес-модель. Вот и просют пачпорт :)
Про требующий лицо ВК очень позабавил недавний случай. У самого в ВК фоток с лицом нет (кроме, может, пары раз в личке), размеченных — тем более.
Приезжала на праздники год назад подруга, а я как раз купил плёночную зеркалку. Пофоткал её в том числе, залил фотки в альбом, отметил её лицо (у неё и так блог на 100к+ подписчиков, ей уже ничего не поможет).
Пару месяцев назад внезапно ВК начал скидывать мне пушами каждый её шаг, в виде уведомлений "А не ваше ли это жежбало лицо на фото?" И ладно бы ограничился этим, но ещё и стал подкидывать друзьям в ленту такие же вопросы. Типа, если я отмалчиваюсь, то кто-нибудь да расскажет.
Считаю, это шикарный подарок от команды ВК всем любителям OSINT к новому году — создаём новый профиль, заливаем пару фоток жертвы как свои, фолловим ботом пару сотен тысяч групп, и вуаля, можно сталкерить за появлениями этого лица на фото в реальном времени штатными средствами.
НЛО прилетело и опубликовало эту надпись здесь
Троян мог бы затесаться только изменив своё имя, но и это довольно просто было бы обнаружить. Сейчас у меня после запуска системы образуется почти три сотни запущенных процессов, это при том, что я еще почти ничего не запускал, и сервисов сейчас установлено минимальное количество (использовал каникулы для переезда на другой ноутбук, свежеустановленная система).
а чем это поможет против условного биткойнер майнера, запущенного ВНУТРИ БРАУЗЕРА на каком-то нибудь джаваскрипте!?!?!? Браузер и так уже по сути представляет собой целую ОГРОМНУЮ экосистему и тут простым ps не обойтись
Оба потеряли телефоны, и не могли не то, что пароль вспомнить, а даже email, к которому была привязана учётка.
ССЗБ. Был бы у них макбук или любое второе устройство (у жены, у ребенка — семейный аккаунт) — проблемы не было.
К вопросу о «запомнить».
По весне умудрился забыть графический пароль на телефоне! Причём буквально за пару часов. В магазине вводил для оплаты — дома вечером забыл!
Он был установлен на 3-х телефонах. 4 дня мучился — так и не вспомнил…
Но на двух аппаратах был рут — получилось скинуть. А на основном — полная переустановка.
Попытки раскопать его в рутованых телефонах — ни к чему не привели.
По весне умудрился забыть графический пароль на телефоне! Причём буквально за пару часов. В магазине вводил для оплаты — дома вечером забыл!
Он был установлен на 3-х телефонах. 4 дня мучился — так и не вспомнил…
Но на двух аппаратах был рут — получилось скинуть. А на основном — полная переустановка.
Попытки раскопать его в рутованых телефонах — ни к чему не привели.
А с чего это графический пароль должен быть в открытом виде в телефоне? Непорядок-с. Ес-но он пошифрован
Забытый графический пароль — это самое частое, с чем телефоны приносят.
Пинкоды как-то реже забывают, чаще записывают или проще вспоминают.
Пинкоды как-то реже забывают, чаще записывают или проще вспоминают.
Может быть… Всегда вводил «на автомате», а тут — задумался. И всё…
Кстати, задумался после прочтения статьи про «неправильные» пароли. И там было про графические пароли — как их чаще всего «неправильно» рисуют. Задумался про свой — и всё…
Кстати, задумался после прочтения статьи про «неправильные» пароли. И там было про графические пароли — как их чаще всего «неправильно» рисуют. Задумался про свой — и всё…
Добавлю по поводу памяти — моя жена не помнит мой номер телефона, хотя он не меняется уже 6 лет. Случись что-то с ней и если будет без её телефона — не сможет мне даже позвонить…
Очень интересно про двухфакторную авторизацию. Увы, для отправки смс-кода надо платить телефонной компании.
Как же правильно наладить двухфакторную авторизацию для бесплатного сервиса, то есть при нулевом бюджете?
Спасибо.
Как же правильно наладить двухфакторную авторизацию для бесплатного сервиса, то есть при нулевом бюджете?
Спасибо.
НЛО прилетело и опубликовало эту надпись здесь
Опенсорсный FreeOTP в помощь.
freeotp.github.io
freeotp.github.io
Спасибо за полезную статью, но откуда такая уверенность в надежности и вечности LastPass? Штука удобная, но при потере/утечке мастер-пароля можно потерять вообще все. Наконец, компания может закрыться / подвергнуться атаке, и вот остаешься без доступа куда бы то ни было.
Разные почты для разных сайтов, идея интересная, но тогда придется вспоминать, где какую почту использовал при входе, плюс проверять все ящики, либо настраивать пересылку/сбор. Ну а самое главное — сейчас уже стандарт всюду, привязка учетки и восстановление через SMS. Заводить кучу сим-карт? еще менее удобно…
В общем, для меня до сих пор остается открытым вопрос, как организовать доступ на кучу сайтов одновременно надежным, безопасным и удобным путем.
Разные почты для разных сайтов, идея интересная, но тогда придется вспоминать, где какую почту использовал при входе, плюс проверять все ящики, либо настраивать пересылку/сбор. Ну а самое главное — сейчас уже стандарт всюду, привязка учетки и восстановление через SMS. Заводить кучу сим-карт? еще менее удобно…
В общем, для меня до сих пор остается открытым вопрос, как организовать доступ на кучу сайтов одновременно надежным, безопасным и удобным путем.
keepassxc.org плюс расширение для браузера
Вставлю свою пару копеек, LastPass уже когда-то ломали (утекли ли пользовательские пароли не помню, но сервис был взломан) и к тому же онлайн хранилища паролей сама по себе не очень идея, т.к. создаёт только видимость безопасности. Я долго приходил к KeePass-у, до него были и пароли в браузере, в текстовых документах, но рано или поздно у каждого человека появляются очень важные доступы и понимание, что их нужно хранить как зеницу ока, а это у себя и зашифрованными. Миф о том, что забудется пароль (или о том, что его можно взломать) придумали те, кто ищет причины не пользоваться подобными решениями — пароль, к примеру: МоюбабушкузовутМарфаВасильевна вряд ли в доквантовую эпоху взломают (на втором Аргоне) даже без цифр и спецсимволов и вряд ли забудешь, если каждый день минимум раз его вводить, на своём рабочем компе я запоминал 10-символьный набор символов в разных регистрах со спецсимволами, да я его уже не помню (прошло 5 лет как я его последний раз вводил), но если данные не были нужны 5 лет, то не очень то они и нужны (тут вместе посмеёмся над теми, кто забывал пароли от кошельков с биткоинами, но это не тот случай).
Второе, но не менее важное замечание: бесплатными ВПНами можно пользоваться только чтобы жена/провайдер не узнали, что смотрел порно. Во-первых, уже были прецеденты сливов/взломов «бесплатных» сервисов, во-вторых, ВПН как сторонний сервис второй мобильный номер — кому надо, тот вычислит и может «попросить» данные по «этому клиенту». Я не говорю о том, что сервисы ВПН все плохие, но когда сервер настраивал сам, даже по мануалам из сети это повышает как минимум осведомленность о безопасности через ВПН при прочих равных.
Ну и насчёт двухфакторной аутентификации, тут я прям на 100% соглашусь, что второй фактор в виде смс — это второй фактор чего угодно, но не двухфакторной аутентификации. По личному опыту, даже не внутренние органы легко «за презент» получают доступ к звонкам и смс независимо от оператора (СНГ, как в Европе и дальше не знаю), тут важно найти нужных людей и все.
И очень важно во всех важных сервисах/доступах иметь разные как минимум пароли (как максимум и логины/почты и айпи/браузеры регистрации/входов, чтобы не смогли сопоставить, если это важно конечно). А для неважных (типа приложеньки для фитнеса) лучше заводить отдельную почту, иначе потом замучаетесь менять доступы (их взламывают пачками — сегодня только менял пароли и имейлы на подобных сервисах) и при этом никогда не использовать один и тот же пароль в приложениях и сервисах, где могут оказаться ваши данные (геопозиция для приложений для бега, навигаторы, приложения с вашими фото/видео, документами любого рода, которые не предназначены для публичного просмотра). Потому что, как только Вы лично перестанете быть Неуловимым Джо или не повезёт и ваши данные попадут в «разработку» мошенникам, то поменять один доступ (даже «физически» сменив имейл) будет проще, чем потом выяснять, а где ещё нужно сменить.
Ещё совет, может кому пригодится, не открывайте свои данные из who is, кроме того, что пойдёт лавина писем про «штрафы» за непродление домена, «счёта» на оплату домена, так и из-за этого всего можно пропустить нужные письма, а поток «спама» не прекратится даже через несколько лет после закрытия домена и если почта важная, то это будет проблемой.
И ещё момент, по поводу блокировщиков рекламы, я бы посоветовал бы свой ДНС-сервер с чёрными списками доменов (типа AD home или PI hole), быстро отучит и смартТВ и прочие ИоТ лезть куда не надо, при этом экономия и контроль над трафиком. Конечно это не замена обычных блокировщиков, но там, где они или не работают или работают плохо, это решение отлично помогает. Установлено более года назад и каждый раз приходя в гости к родителям раздражаюсь количеству рекламы в утупчике и приложениях для ТВ приставки.
Ещё допишу малость, ВПН, встроенный в Оперу, наверное все знают, что это не технология ВПН, а больше похож на прокси (просто к слову) и самое главное, они помечают все ваши переходы уникальным идентификатором, который генерируется при установке браузера и не меняется, поэтому никакого толку (кроме сменить айпи) этот сервис не даёт, то есть рекламные сети вас все равно могут определять и в случае чего кому надо, может даже идентифицировать конкретно Вас! Если говорить про шифрованный прокси (типа ShadowSocks) и ВПН (OpenVPN, Wireguard), то прокси будет быстрее (в сравнении с опенвпн в разы), но менее надежно, т.к. не все программы умеют в прокси(ну и ещё можно забыть, что когда-то настраивал для теста в обход, и хром и прочие хромиумы не умеют нативно управлять прокси, в отличие от фф), а у ВПН своя сетевая карта, через которую гоняется трафик.
Второе, но не менее важное замечание: бесплатными ВПНами можно пользоваться только чтобы жена/провайдер не узнали, что смотрел порно. Во-первых, уже были прецеденты сливов/взломов «бесплатных» сервисов, во-вторых, ВПН как сторонний сервис второй мобильный номер — кому надо, тот вычислит и может «попросить» данные по «этому клиенту». Я не говорю о том, что сервисы ВПН все плохие, но когда сервер настраивал сам, даже по мануалам из сети это повышает как минимум осведомленность о безопасности через ВПН при прочих равных.
Ну и насчёт двухфакторной аутентификации, тут я прям на 100% соглашусь, что второй фактор в виде смс — это второй фактор чего угодно, но не двухфакторной аутентификации. По личному опыту, даже не внутренние органы легко «за презент» получают доступ к звонкам и смс независимо от оператора (СНГ, как в Европе и дальше не знаю), тут важно найти нужных людей и все.
И очень важно во всех важных сервисах/доступах иметь разные как минимум пароли (как максимум и логины/почты и айпи/браузеры регистрации/входов, чтобы не смогли сопоставить, если это важно конечно). А для неважных (типа приложеньки для фитнеса) лучше заводить отдельную почту, иначе потом замучаетесь менять доступы (их взламывают пачками — сегодня только менял пароли и имейлы на подобных сервисах) и при этом никогда не использовать один и тот же пароль в приложениях и сервисах, где могут оказаться ваши данные (геопозиция для приложений для бега, навигаторы, приложения с вашими фото/видео, документами любого рода, которые не предназначены для публичного просмотра). Потому что, как только Вы лично перестанете быть Неуловимым Джо или не повезёт и ваши данные попадут в «разработку» мошенникам, то поменять один доступ (даже «физически» сменив имейл) будет проще, чем потом выяснять, а где ещё нужно сменить.
Ещё совет, может кому пригодится, не открывайте свои данные из who is, кроме того, что пойдёт лавина писем про «штрафы» за непродление домена, «счёта» на оплату домена, так и из-за этого всего можно пропустить нужные письма, а поток «спама» не прекратится даже через несколько лет после закрытия домена и если почта важная, то это будет проблемой.
И ещё момент, по поводу блокировщиков рекламы, я бы посоветовал бы свой ДНС-сервер с чёрными списками доменов (типа AD home или PI hole), быстро отучит и смартТВ и прочие ИоТ лезть куда не надо, при этом экономия и контроль над трафиком. Конечно это не замена обычных блокировщиков, но там, где они или не работают или работают плохо, это решение отлично помогает. Установлено более года назад и каждый раз приходя в гости к родителям раздражаюсь количеству рекламы в утупчике и приложениях для ТВ приставки.
Ещё допишу малость, ВПН, встроенный в Оперу, наверное все знают, что это не технология ВПН, а больше похож на прокси (просто к слову) и самое главное, они помечают все ваши переходы уникальным идентификатором, который генерируется при установке браузера и не меняется, поэтому никакого толку (кроме сменить айпи) этот сервис не даёт, то есть рекламные сети вас все равно могут определять и в случае чего кому надо, может даже идентифицировать конкретно Вас! Если говорить про шифрованный прокси (типа ShadowSocks) и ВПН (OpenVPN, Wireguard), то прокси будет быстрее (в сравнении с опенвпн в разы), но менее надежно, т.к. не все программы умеют в прокси(ну и ещё можно забыть, что когда-то настраивал для теста в обход, и хром и прочие хромиумы не умеют нативно управлять прокси, в отличие от фф), а у ВПН своя сетевая карта, через которую гоняется трафик.
Пароли в LastPass… хранятся в «облаке»(Вики)
Спасибо, достаточно.
Бумажку возле моего компа, если я не звезда инстаграмма, увидят жена и кошка. Любая информация, размещенная в облаке, доступна неопределенному и не контролируемому
Вообще «облака» и «цифровая гигиена» — скорее антонимы.
Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, — но после пары сотен (да даже десятка) сайтов держать в уме уже всё это сложновато.
Реально важными и являются десяток сайтов. Для тех, куда я раз в жизни попал, чтобы просто что-то прочесть, но без регистрации не дают, использую примитивный единый пароль и одноразовую почту на guerrillamail.
А для важных сайтов, чтобы не держать в уме, рекомендую алгоритм создания пароля из длинной общей для всех части и имени домена, как пример — фраза «оченьсложныйпароль» плюс последние три буквы домена. Можно первые, в комбинации первые и последние, сдвиг букв, их число, вписать недостающее — на ваш вкус. И помнить нужно только общую часть и алгоритм. В крайнем случае алгоритм и фразу можно и на бумажку записать. Для электронной почты использую уникальные пароли.
вредный совет. есть вероятность что можно будет понять как создаются паролию и тогда под угрозой будут все ваши аккаунты. Если же сольют пароль к какомуто сайту который вы генерировали keepass то вы потеряете доступ к одному аккаунту а не ко всем сразу.
Вообще старайтесь душить в себе желание быть не как все в айти сфере. храните пароли в keepass а пароли на сайте не шифруйте в уникальном коктейле из md5 и sha1 а используйте bcrypt. если хотите уникальности покрасьте волосы или купите кроссы попугайской расцветки.
Вообще старайтесь душить в себе желание быть не как все в айти сфере. храните пароли в keepass а пароли на сайте не шифруйте в уникальном коктейле из md5 и sha1 а используйте bcrypt. если хотите уникальности покрасьте волосы или купите кроссы попугайской расцветки.
xxx:
У меня как то на служебном ноутбуке был пароль "семидесятипятимиллиметровый". Я его вслепую набирал всегда буквально за три секунды. Начальнику один раз понадобился ноутбук, пока я был в отпуске. Он мне потом сказал "Ты псих и параноик, три человека не могли правильно его ввести".
И еще классика:
[Юзер] 8:05 — Алло, Сергей Геннадиевич? Доброе утро. Извините что беспокоим Вас в отпуске… мы хотим поменять приоритет запуска задач. Дайте пожалуйста пароль админского доступа на сервер?
[СГ] — Как же вы меня зае*али
[СГ] — В латинской раскладке, русскими буквами, без пробелов
«Сорок тысяч абезян»
ну или
ну или
Падла хмурится и очень сухим, академическим тоном говорит в трубку:
– Да, малыш, я понимаю, что данное слово редко используется в
множественном числе и поэтому звучит как-то непривычно. Нет, в
словаре ты его не найдёшь… ни в одном. Но согласно общепризнанным
грамматическим правилам, множественная форма должна строиться
именно так.
Чингиз шумно выдыхает воздух.
– Что? – Падла на миг задумывается. – Нет, нет, конечно! Это
невозможно на самом деле. Противоречит анатомии, физпиологии и
психологии человека. А если ты покажешь специалисту по сопромату,
то поймёшь, что и законы физики против. Это просто некая
ироническая фантазия, выраженная ненормативной лексикой. Хорошо,
потом обсудим. Все, все. Не зацикливайсюя, ладно? Вводи свой ключ… и
посылкай нам файл.
Меня так начальница вызванивала однажды. И сначала все пошло негладко, поскольку я писал в парольной фразе слово пид*расы через А, а она вводила через О.
Но ржали вместе.
Но ржали вместе.
Главный принцип сетевой гигиены это не писать ничего, что может (и, вероятно, будет) использовано против вас. Все ваши сообщения должны быть максимально нейтральны.
Так же имеет смысл по-максимуму хранить данные на собственных вычислительных мощностях. Самосборные NAS или покупные (желательно с кастомной прошивкой).
А для паролей используте Bitwarden. Он есть и self-hosted, и с сервером у разработчиков.
Так же имеет смысл по-максимуму хранить данные на собственных вычислительных мощностях. Самосборные NAS или покупные (желательно с кастомной прошивкой).
А для паролей используте Bitwarden. Он есть и self-hosted, и с сервером у разработчиков.
НЛО прилетело и опубликовало эту надпись здесь
Большое спасибо за совет!
плюсую, было интересно
полезные советы, спасибо
С ВПН не очень понятно. Сейчас пошла волна слухов, что по крайней мере бесплатные прямо нехило так стали сливать данные. Недавно вроде Фригейт за банили в Хроме и Яндексе.
НЛО прилетело и опубликовало эту надпись здесь
Google Authenticator не посоветую и врагу. Стер устройство — прощай все пароли. Потерял, заглючило, да что угодно — никаких вариантов. есть Authy.
У меня вот года два-три американцы угнали аккаунты в Twitter, Facebook и Instagram для рассылки рекламы, и аккаунты забанили админы, в поддержку писал — поддержка молчит как рыба об лёд.
Из блокировщиков рекламы — пользуюсь на телефоне стандартным браузером Samsung Internet Browser, вполне им доволен(не то что тормознутый Firefox на компухторе), но uBlock на нём нету, приходится пользоваться AdBlock Plus — нареканий пока не вызывал.
Из VPN-ов — беда. Живу в такой стране, как Туркменистан, где 99% всех сайтов заблокированы. Люди охотятся за бесплатными VPN-ами, ежедневно перелопачивают тонны VPN-ов в плей маркете, половина из которых — платные(а люди не любят платить за такое сомнительное удовольствие), а другая половина давно не работает. Если вдруг появляется новый, который от силы работает неделю, пока власти его не прикроют, люди делятся на два лагеря — одни трезвонят на всю округу «ууу ыыы работает, бегом качайте!!!», а другие «вы — ослы, нашли халяву — пользуйтесь ей молча, из-за вас VPN-ы накрывают!!!», но вторых обычно никто не слушает. Я, например, один из везунчиков, у которых есть знакомый, умеющий настраивать российский прокси, через который можно заходить на заблокированные сайты.
Из почтовых ящиков — у меня их два, один основной, а второй — так, про запас, на всякий случай.
Из хранения паролей — у меня слабая память, я иногда забываю, что было вчера, так что храню пароли в заметках на телефоне.
Насчёт антивируса — стоит бесплатный Dr.Web для приличия, но смысла в нём не вижу — всё равно ничего вирусного не качаю и захожу только на привычные, проверенные сайты.
В генераторе паролей и двухфакторной аутентификации пока не было нужды. Да, жалко конечно, что в трёх пиндосских соцсетях угнали акки, ну они и не нужны особо, тем более, что Инстаграм — для быдла, имхо.
Из блокировщиков рекламы — пользуюсь на телефоне стандартным браузером Samsung Internet Browser, вполне им доволен(не то что тормознутый Firefox на компухторе), но uBlock на нём нету, приходится пользоваться AdBlock Plus — нареканий пока не вызывал.
Из VPN-ов — беда. Живу в такой стране, как Туркменистан, где 99% всех сайтов заблокированы. Люди охотятся за бесплатными VPN-ами, ежедневно перелопачивают тонны VPN-ов в плей маркете, половина из которых — платные(а люди не любят платить за такое сомнительное удовольствие), а другая половина давно не работает. Если вдруг появляется новый, который от силы работает неделю, пока власти его не прикроют, люди делятся на два лагеря — одни трезвонят на всю округу «ууу ыыы работает, бегом качайте!!!», а другие «вы — ослы, нашли халяву — пользуйтесь ей молча, из-за вас VPN-ы накрывают!!!», но вторых обычно никто не слушает. Я, например, один из везунчиков, у которых есть знакомый, умеющий настраивать российский прокси, через который можно заходить на заблокированные сайты.
Из почтовых ящиков — у меня их два, один основной, а второй — так, про запас, на всякий случай.
Из хранения паролей — у меня слабая память, я иногда забываю, что было вчера, так что храню пароли в заметках на телефоне.
Насчёт антивируса — стоит бесплатный Dr.Web для приличия, но смысла в нём не вижу — всё равно ничего вирусного не качаю и захожу только на привычные, проверенные сайты.
В генераторе паролей и двухфакторной аутентификации пока не было нужды. Да, жалко конечно, что в трёх пиндосских соцсетях угнали акки, ну они и не нужны особо, тем более, что Инстаграм — для быдла, имхо.
НЛО прилетело и опубликовало эту надпись здесь
А в облаке можно хранить пароли?
Один общий простой пароль на неважных ресурсах, и уникальные сложные для нескольких важных — этого достаточно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Простые правила IT-гигиены