Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 189
Храню пароли на FTP клиенте, на флешке (для успокоения), в душе понимаю что рано или поздно случится плохое, но это очень удобно, а я ленивый. Если кто-то подскажет способ как обезопасить себя, буду признателен.
А что у вас за клиент? Чем он менее популярный, тем меньше шансов что трояны обучены воровать с него пароли.
Плюс надо быть уверенным, что в тех компах, куда вы вставите флешку, нет какого-нибудь скрипта, который автоматом всё копирует с флешки.
И не терять флешку. Чтобы быть спокойным можно хранить RAR-архив пароленный из него доставая всё, что надо (обновлять RAR будет вроде бы сам после закрытия).
А совета наверное два: шифруйте, не теряйте.
Плюс надо быть уверенным, что в тех компах, куда вы вставите флешку, нет какого-нибудь скрипта, который автоматом всё копирует с флешки.
И не терять флешку. Чтобы быть спокойным можно хранить RAR-архив пароленный из него доставая всё, что надо (обновлять RAR будет вроде бы сам после закрытия).
А совета наверное два: шифруйте, не теряйте.
Когда я использовал Windows в качестве FTP менеджера у меня был Total Commander (только на флешке и только на своем ноуте), с недавних пор я использую Ubuntu и мой FTP менеджер стал FileZilla (установленій на ноуте).
P.S. надеюсь это не был прием социального хакинга, который заставил меня выложить Вам информацию и моем программном обеспечении =)
P.S. надеюсь это не был прием социального хакинга, который заставил меня выложить Вам информацию и моем программном обеспечении =)
В описанном мной примере пароли были сворованы из венды из Тотала.
У меня как оказалось тот же троян был, но из FileZill`ы ничего не украл. НО! Этот клиент вроде бы становится всё популярнее, так что я думаю и он скоро попадёт под удар.
У меня как оказалось тот же троян был, но из FileZill`ы ничего не украл. НО! Этот клиент вроде бы становится всё популярнее, так что я думаю и он скоро попадёт под удар.
Из CuteFTP тоже отлично воруются. Увы, проверено на собственной шкурке :(
угу… :(
у меня тоже было. вообще из всех популярных вроде тырили.
шифрование на файл-паролей в нем же настроил, но с тех пор антивирус всегда под рукой, не в курсе помогает или нет
шифрование на файл-паролей в нем же настроил, но с тех пор антивирус всегда под рукой, не в курсе помогает или нет
Если в FAR'e организовать записи подключений к ftp-серверам по папкам, то почему-то вирусы оттуда не могут пароли утащить. А если без папок, то тащат спокойно.
тотал хранит пароли в открытом виде
года два назад целая эпидемия прокатилась по городу. хостеры шоке
года два назад целая эпидемия прокатилась по городу. хостеры шоке
FileZilla, по крайней мере на винде, хранит пароли вообще никак не шифруя в XMLке конфига.
Почти все клиенты их также хранят, вон выше про Тотал написано.
Это печально.
начиная с 7.5 (если не ошибаюсь) в ТС можно ставить мастер-пароль, шифрующий ваши пароли.
Не подскажете как? Что-то не нашёл такой возможности.
В свойствах FTP соединения появилась галочка «Использовать главный пароль для защиты пароля»
Так же в меню фтп-подключений есть кнопка «Шифровать...» позволяющая зашифровать пароли всех выбранных соединений.
Так же в меню фтп-подключений есть кнопка «Шифровать...» позволяющая зашифровать пароли всех выбранных соединений.
Версия старая? В 3.3.0.1 пароли как то зашифрованы
Проверил. Версия 3.3.0.1 — пароли хранятся в открытом виде.
Действительно, я был не прав. :( Сначала старый xml посмотрел, от какой то предыдущей версии. В нем шифровалось.
Я что-то в настройках не нахожу соответствующего параметра для изменения настроек хранения паролей. Использую портабл версию.
<паранойя>Уже все пароли для FTP подчистил в FileZilla</паранойя>
<паранойя>Уже все пароли для FTP подчистил в FileZilla</паранойя>
Нет такого параметра. И судя по forum.filezilla-project.org не планируется. Предлагают «Don't store passwords and most importantly, do not use Windows.» и т.п. типа внешнего шифрования папки с настройками Filezilla :)
используйте портейбл версии фтп клиента, той же файлзилы, трои пинчеобразные ищут по стандартным папкам и по записям в реестре, но это не панацея, так как трой просто напросто может снифить фтп порт и там уже ну ни как не уберечь себя от утечки данных, нужно так или иначе следить за своим компьютером, и с важной информацией на флешке не тыкаться в чужие компы…
На счет знакомого из саппорта: а если клиент утверждает, что вводит пароль правильно, а его все равно не пускает в Интернет/личный кабинет/панель управления хостингом и т.д.? В таком случае придется спросить пароль, чтобы сверить и удостовериться, что пароль абсолютно неверен, т.к. возможна ситуация, когда клиент может вводить нужный пароль, но не на той раскладке клавиатуры.
У нормальных провайдеров есть такая штука как «сравнение по маске». Т.е. пароль клиента, конечно, хранится в Radius-сервере нехешированным, максимум там — обратимое шифрование (привет безопасная аутентификация CHAP), но он никому не отображается, даже сотрудникам техподдержи. Последние видят только чушь типа BBBsBBddd, т.е. «три больших, маленькая, две больших, три цифры». Это и есть маска, по ней и сравнивают пароль по телефону.
От путаниц 0-O, I-l-1 спасает железно.
Если такой подход не помогает — меняют пароль, что поделаешь.
От путаниц 0-O, I-l-1 спасает железно.
Если такой подход не помогает — меняют пароль, что поделаешь.
сапорт может и пароль поменять. Так делается у нас, меняется на какой нибудь 123, и говорится зайти пользователю на страницу статистики. Там будет большими красными буквами надпись типа «Ваш пароль слишком коротки, смените его» и поле ввода нового пароля, работа со статистикой будет невозможна пока пароль не введут по необходимым требованиям.
Т.е. любой человек может позвонить и по его просьбе пароль поменяют? Это конечно удобней. нежели чем отправлять клиента в офис восстанавливать пароли, но это небезопасно, если даже при сбросе пароля спрашиваются паспортные данные/кодовое слово etc.
Нет, у нас — если пароль по маске проверен и не помогло, то — с паспортом в ЦРК менять.
Там серьезная много ступенчатая степень защиты, по МАС, ip, подсетям, умные свитчи и т.п.
Вообщем уже года 3 никто не ломал, а в связи с тем что у всех безлимитные тарифы, это глупо.
Проще взломать wifi роутер, он у многих стоит у кого есть ноут дома.
И да пароль меняется только с паспортных данных. Практика показала, что к фирме в которую даже ходить не надо для заключения договора, отношение лучше чем к тем, где за каждый писк нужно идти в фирму и писать кучу бумажек.
Вообщем уже года 3 никто не ломал, а в связи с тем что у всех безлимитные тарифы, это глупо.
Проще взломать wifi роутер, он у многих стоит у кого есть ноут дома.
И да пароль меняется только с паспортных данных. Практика показала, что к фирме в которую даже ходить не надо для заключения договора, отношение лучше чем к тем, где за каждый писк нужно идти в фирму и писать кучу бумажек.
здесь палка о двух концах.
Можно использовать 2-5 меганадёжных паролей для всех сервисов и хранить их исключительно в голове.
А можно использовать отдельный для каждого ресурса\сервера — тогда их придётся куда нибудь записывать, что снижает безопасность)
Вообще хотелось бы для всех ресурсов иметь что то вида ssh-ключей. OpenID — не то… Потеряли закрытый ключ — зашли в централизованную админку, сказали что «я дескать этот файлик потерял, сгенерируй новый». И он сгенерировался. И по старому ключу залогиниться куда то больше нельзя, а можно только по новому.
Можно использовать 2-5 меганадёжных паролей для всех сервисов и хранить их исключительно в голове.
А можно использовать отдельный для каждого ресурса\сервера — тогда их придётся куда нибудь записывать, что снижает безопасность)
Вообще хотелось бы для всех ресурсов иметь что то вида ssh-ключей. OpenID — не то… Потеряли закрытый ключ — зашли в централизованную админку, сказали что «я дескать этот файлик потерял, сгенерируй новый». И он сгенерировался. И по старому ключу залогиниться куда то больше нельзя, а можно только по новому.
Если вы уверены, что сервис хранит не пароль, а хеш, да ещё и с солью, тогда конечно ему можно свой надёжный пароль и доверить. Иначе у них вдруг не дай Бог сольют базу и узнают ваш хороший пароль.
а откуда взять такую уверенность то)? наверно только на собственных проектах.
Если сервис основан на популярном движке — есть вероятность что найдут уязвимость. Как было в своё время с движком форума WBB2 — вроде корпоративный, всего то было на нём 3.000 форумов во всём мире — а вот нашли… )
Если сервис чей-то самописный — то как проверить)?
Если сервис основан на популярном движке — есть вероятность что найдут уязвимость. Как было в своё время с движком форума WBB2 — вроде корпоративный, всего то было на нём 3.000 форумов во всём мире — а вот нашли… )
Если сервис чей-то самописный — то как проверить)?
Для всех веб-ресурсов в принципе можно сделать что-то типа ssh-ключей. Это аутентификация по SSL-ключу клиента. У нас так и сделано (помимо ограничения по IP-адресу и паролям). В сущности, это те же самые RSA-ключи, зашифрованные с пасс-фразой, как и в ssh.
Я придумал алгоритм генерации пароля по домену соответствующего сайта и заданной сложности. Он выполним, хоть и с трудом, головой, но в тех случаях, когда с собой флэшка, я восстанавливаю пароли самописанной тулзой, реализующей этот алгоритм
Не самый интуитивный интерфейс.
Не самый интуитивный интерфейс.
А вообще очень классная идея! Если программой только Вы пользуетесь
А что вы делаете если, например, вам нужны разные пароли для нескольких аккаунтов на одном домене (пример: gmail или любая другая почта)?
Также метод опасен тем, что если кто-то однажды поймёт алгоритм, то вас настигнет эпик-фэйл.
Также метод опасен тем, что если кто-то однажды поймёт алгоритм, то вас настигнет эпик-фэйл.
«вам нужны разные пароли»
там не одно поля ввода :)
«Также метод опасен тем, что если кто-то однажды поймёт алгоритм»
проблема в том, что «соль» и другие приправы в программе не хранятся — алгоритм знать совсем недостаточно.
там не одно поля ввода :)
«Также метод опасен тем, что если кто-то однажды поймёт алгоритм»
проблема в том, что «соль» и другие приправы в программе не хранятся — алгоритм знать совсем недостаточно.
Я значит совсем не понял интерфейс. Получается, что пароль генерится не только на основании домена, но и, например, на основании логина. Так? Просто если там замешано что-то другое, кроме домена и логина, тогда уже может быть затруднительно «вспомнить» (перегенерировать) пароль.
> проблема в том, что «соль» и другие приправы в программе не хранятся
Получается, что уже не проблема, а её решение. Это тогда намного надёжней, чем я сначала решил.
> проблема в том, что «соль» и другие приправы в программе не хранятся
Получается, что уже не проблема, а её решение. Это тогда намного надёжней, чем я сначала решил.
Думаю даже не только логина, но еще и какого-нибудь мастер пароля (который человек держит в голове).
Там используется мастер-пароль, точнее даже три :) Просто так повелось, никакой особенной причины для трех паролей нету. Просто я их все три слишком хорошо помню и быстро набираю.
Кроме него еще используется параметр, задающий уровень сложности генерируемого пароля, который влияет на алгоритм и используемые мастер-пароли. На последнем уровне я без листика или хотя бы виндошного калькулятора пароль без этой софтины не составлю.
То, что у программы нет кнопки ОК или «генерировать» это скорее баловство, но без взгляда на исходники сложно понять как оттуда потом пароль вынять.
Проблему нескольких логинов на один ресурс особенно не решал за ненадобностью. На текущий момент на двух разных gmail-ах просто используются пароли разной сложности. Знание более легкого знаний о сложном не добавляет.
Кроме него еще используется параметр, задающий уровень сложности генерируемого пароля, который влияет на алгоритм и используемые мастер-пароли. На последнем уровне я без листика или хотя бы виндошного калькулятора пароль без этой софтины не составлю.
То, что у программы нет кнопки ОК или «генерировать» это скорее баловство, но без взгляда на исходники сложно понять как оттуда потом пароль вынять.
Проблему нескольких логинов на один ресурс особенно не решал за ненадобностью. На текущий момент на двух разных gmail-ах просто используются пароли разной сложности. Знание более легкого знаний о сложном не добавляет.
Я конечно не автор программы, но можно просто генерировать пароль для имя.аккаунт1, имя.аккаунт2 и т.д.
Что бы понять нужна либо исходная программа либо проанализировать много паролей. По-моему надежно.
Что бы понять нужна либо исходная программа либо проанализировать много паролей. По-моему надежно.
Я о том же спросил автора. Думаю, так оно и сделано, но дождёмся комментария.
Можно вместо 2-5 мегнадежных паролей хранить в голове 5-7 паролей, комбинацией которых получается нужное количество меганадежных паролей. Т.е. даже если вы забыли пароль, то зная исходные пароли и правила их сочетания, можно его подобрать.
Как-то встречал программулинку которая генерила пароли для разных ресурсов (разные пароли), и хранила это все в зашифрованном виде. Что скажите о таком?
Это удобно.
Я для такого использую AI RoboForm.
Удобство по сравнению с KeePas — более интеллектуальная система сохранения/подстановки пароля.
Минус — платность. И пока не умеет сохранять/подставлять пассы в Хроме. Обещают сделать скоро.
Еще использую GoodSync и с его помощью синхронизирую зашифрованную базу робоформа с флешкой и DropBoxом.
И Робоформ и Гудсинк покупал в районе Дня Победы несколько лет назад. Скидка была процентов 30.
В общем рекомендую =)
Удобство по сравнению с KeePas — более интеллектуальная система сохранения/подстановки пароля.
Минус — платность. И пока не умеет сохранять/подставлять пассы в Хроме. Обещают сделать скоро.
Еще использую GoodSync и с его помощью синхронизирую зашифрованную базу робоформа с флешкой и DropBoxом.
И Робоформ и Гудсинк покупал в районе Дня Победы несколько лет назад. Скидка была процентов 30.
В общем рекомендую =)
Девочка-блондинка в кассе провела транзакцию с 4-го раза, хмурилась и шептала — двойная защита.
Так и хотелось ляпнуть — это защита от дурака и она работает!
Так и хотелось ляпнуть — это защита от дурака и она работает!
Про утилизацию: есть одна история, по-моему, про Геракла.
Он соревновался со старушками. Одним из состязаний было поедание всего со стола. Старушка смела всю еду быстрее Геракла и даже стол съела. Звали старушку — Огонь.
Огонь эффективен для всего: бумаг, дисков, дискетов, флешек, жёстких дисков (достаточно хорошо нагреть сами диски).
Он соревновался со старушками. Одним из состязаний было поедание всего со стола. Старушка смела всю еду быстрее Геракла и даже стол съела. Звали старушку — Огонь.
Огонь эффективен для всего: бумаг, дисков, дискетов, флешек, жёстких дисков (достаточно хорошо нагреть сами диски).
Безопасно ли это для квартиры? :)
Читал, что жесткие диски не теряют инфу при пожаре. Для гарантированного удаления информации диск надо нагреть до температуры 800-1000 градусов.
Это не история, а миф, не старушки, а великаны, и не Геракл, а Локи. А в остальном всё верно ;-)
Локи соревновался в скорости поедания пищи с Логи (олицетворение огня).
Локи соревновался в скорости поедания пищи с Логи (олицетворение огня).
Зачем же царапать оптические диски, если есть микроволновка… Попробуйте — вам понравится :)
www.youtube.com/watch?v=E76tLDF00eY
www.youtube.com/watch?v=E76tLDF00eY
Часто на работе замечаю что люди хранят свои пароли под стеклом, на бумажке перед компьютером, но самым запоминающимся местом оказалась доска на которым добрый человек мелом нацарапал свой логин/пароль.
Долгое время сохранял и сейчас продолжаю сохранять пароли в браузере. О нормальном антивирусе давно по заботился, и пока как бы и нет проблем, пока пользуюсь компьютером один.
А что делать, если пользователей у компьютера становится больше чем один? Пускай даже это и родственники, но пароли на то и пароли, чтобы их знал только один человек.
Вот выхода из этой ситуации я пока не нашёл.
Можно конечно шифровать домашнюю папку, и сделать распределённый доступ. Можно потратится и купить два компьютера. Можно просто держать все пароли в голове, но тут возникает проблема. Как остаться на грани разумного? Ведь всё-таки домашний компьютер он на то и домашний, а не компьютер в какой-нибудь компании с секретными разработками.
Просто если так поразмыслить, получается компьютер, это как зубная щётка, которой может пользоваться только владелец, иначе в опасности окажется и тот кто пользуется и владелец.
А что делать, если пользователей у компьютера становится больше чем один? Пускай даже это и родственники, но пароли на то и пароли, чтобы их знал только один человек.
Вот выхода из этой ситуации я пока не нашёл.
Можно конечно шифровать домашнюю папку, и сделать распределённый доступ. Можно потратится и купить два компьютера. Можно просто держать все пароли в голове, но тут возникает проблема. Как остаться на грани разумного? Ведь всё-таки домашний компьютер он на то и домашний, а не компьютер в какой-нибудь компании с секретными разработками.
Просто если так поразмыслить, получается компьютер, это как зубная щётка, которой может пользоваться только владелец, иначе в опасности окажется и тот кто пользуется и владелец.
А различные учётные записи использовать религия не позволяет? Я работаю под своей учёткой, мои пароли в браузере в ней. Жена — под своей, и она не может знать мои пароли, я — её.
Я про это написал. А не слишком ли это жестоко?
Компьютер всё-такие домашний. А так получается, перед тем как отойти от компьютера обязательно разлогинился… Прямо как на предприятии.
Компьютер всё-такие домашний. А так получается, перед тем как отойти от компьютера обязательно разлогинился… Прямо как на предприятии.
Все ОС поддерживают повторный вход в систему. «Переключить пользователя» — и твоя сессия в фоне, можно начинать ещё одну.
Есть косвенные методы, которые учат работать каждого под своим аккаунтом: поставьте, например, обои с пауками — домашние женщины будут сами разлогиниваться и заходить под своими учётками, даже если вы задубите разлогинится.
Или поменяют обои на рабочем столе :)
Ну, с одной стороны может Вы и правы. Но с другой. Вот представьте, парень и девушка или муж и жена. В реальной жизни они всё время вмести, стараются всё делать сообща, и как только они дело косается компьютера, то и знать что там друг у друга творится не хотят.
Мне как то кажется, что это не очень этично что-ли?
Мне как то кажется, что это не очень этично что-ли?
:) У нас в семье именно так. Причем не из соображений безопасности, а просто чтобы вкладки в FF не пропадали после того, как жена полазит в сети. Опять-же, закладки у каждого свои. И директория для документов.
Царапанье диска не дает толку(может спасти разве что от школьников), ибо не повреждается информационный слой. У меня знакомы восстанавливал убитые диски с глубокими царапинами путем полировки и, по моему, он с ними еще что-то делал.
Даже с поломанных на несколько частей дисков можно считать инфу, но уже поврежденную.
Даже с поломанных на несколько частей дисков можно считать инфу, но уже поврежденную.
да, слой карбоната можно полирнуть и запросто считать диск
царапать диски надо не с нижней стороны, а с верхней — именно там под слоями краски и лака находится слой с записанной информацией
царапать диски надо не с нижней стороны, а с верхней — именно там под слоями краски и лака находится слой с записанной информацией
Для хранения паролей использую программку KeePass (она вроде Open Source). Все пароли сохраняются и шифруются в один файлик и в итоге нужно помнить только пароль от файлика. Причем программа при добавлении новых записей сама генерирует пароли любой длины и содержания(буквы/цифры/заглавные буквы)
Кстати, компакт-диски лучше царапать со стороны изображения, ибо дорожки с данными находятся именно там. А то, что было нацарапано в посте при желании полируется и диск снова в деле!
Хоть и связано лишь с работой обычного пользователя…
Храню основные пароли ко всем ресурсам — дома в аналоговом виде, рядом с компом. На основные ресурсы, которые на которые может понадобится вне дома зайти — в голове.
Храню основные пароли ко всем ресурсам — дома в аналоговом виде, рядом с компом. На основные ресурсы, которые на которые может понадобится вне дома зайти — в голове.
Верно. Никогда не понимал, чем так страшна тетрадка с паролями. Конечно, нужно исключить её потерю или доступ к ней третьих лиц =), а от любых видов подбора пароля это гарантирует (пароли становятся очень сложными).
Еще очень важно чтобы пароли были разными. Есть такой способ кражи пароля — просят зарегестрироваться на левом ресурсе (предлог находят) и узнают пароль, который обычный пользователь ставит везде.
против висящего в фоне грамотного кейлоггера с бэкдорчиком спасет разве что экранная клавиатура.
Прежде всего — везде, где можно, нужно ограничить доступ к функциям управления по IP-адресу. Как вариант — сделать VPN, через который ходить к управлению, доступ к управлению чем-либо разрешить только для этого сервера доступа, а подключение к VPN — с ключами, которые зашифрованы пассфразами (ну, т.к. как ssh).
clipperz, lastpass,1password
Жёсткому диску недостаточно сломать только контроллер, нужно испортить пластины, как и флешке недостаточно отломать только штекер (надо крушить микросхемы памяти). HDD и флешки конечно не часто выбрасываются, зато последние — часто теряются, так что храните на них всё или хотя бы всё важное в зашифрованном виде (хотя бы в RAR-архиве с нормальным паролем).
Простите, а нельзя просто забить винт нулями (оно же «Полное» форматирование)?
Можно :) Что-то я схожу с ума, пойду добавлю это в статью, ок?
Добавлю не про сход с ума, а про форматирование.
По моему все же не хватает про сход с ума :-|
Простите, что не удалось написать интересный для вас топик :) Это вас совсем раззадорит наверное.
Дело не в интересности. Да, я понимаю, что на хабре модно бравировать степенью запущенности своей паранойи. Но психически здоровый человек от больного отлчается тем, что здоровый отличает психоз от адекватного восприятия, а параноик уже нет.
А вы протираете коврик для мыши, чтобы на нем не осталось следов от движения по нему мыши? А то ведь несекюрно, злоумышленник по микроцарапинам и отпечаткам на коврике может получит доступ к вашим персональным данным.
А вы протираете коврик для мыши, чтобы на нем не осталось следов от движения по нему мыши? А то ведь несекюрно, злоумышленник по микроцарапинам и отпечаткам на коврике может получит доступ к вашим персональным данным.
Конечно. Просто напомнило вот этот топик и комменты о том, что нужно снести школу, в которой найдено нелицензионное ПО :)
Да, у меня к ноутбуку (HP) программка шла для безопасности. Так там есть функция bleach при удалении. По-моему самый простой способ.
Я когда то смотрел передачу и там говорили, что ЯКОБЫ можно восстановить инфу и после такого «забивания нулями». Не знаю как, но это как-то связано с «инертностью материала» и тем что снижается пороговый уровень при преобразовании из аналогового сигнала( который мы получаем при считывании катушкой магнитного поля диска(маленькой его части)) в цифровой.
Знаете, вот как физик скажу — «не верю». Объяснения там неубедительные, и первый же аргумент — «А как так получается, что после забивания нулями обычная процедура считывания получает именно нули, а не что-то ещё?» — разбивает объяснения с «остаточными степенями».
Нужно учесть, что варианты вроде «1, перезаписанная 0, перезаписанная 0» и «0, перезаписанный 1, перезаписанный 0» все подпадают под наше «забивание нулями», а намагниченность в этих случаях будет очень слабо различаться, во всяком случае, различие будет меньше точности измерения.
Кроме этого, ещё «соседние биты влияют на данный бит», и более давняя история данных на этом участке тоже влияет, и т. д…
Ещё интереснее: 0, записанный час назад, и 0, записанный месяц назад, прочитаются по-разному.
Всё это делает практически нереальным восстановление данных после «забивания нулями».
Кроме этого, ещё «соседние биты влияют на данный бит», и более давняя история данных на этом участке тоже влияет, и т. д…
Ещё интереснее: 0, записанный час назад, и 0, записанный месяц назад, прочитаются по-разному.
Всё это делает практически нереальным восстановление данных после «забивания нулями».
Забивание нулями значительно снижает вероятность чтения инфы, но не до конца. Скажем так — такую инфу как правило невозможно прочесть софтварными методами
И не забывайте, если такая возможность есть (как, например, в Mozilla Firefox), ставить хороший мастер-пароль в браузере. Один раз за сессию можно ввести. Даже если ваш файлик с паролем утянет троян, то ему еще понадобится все это дело расшифровать. Хотя, от кейлоггеров это не спасет.
Для успокоения ставлю такой мастер-пароль в любых ОС.
Для успокоения ставлю такой мастер-пароль в любых ОС.
Дельный совет. С вашего позволения — добавлю в топик.
Конечно добавляйте. Еще это конечно уже экзотика, но у меня после одного случая, есть привычка на новых сайтах/программах и т. д. при ком-то сначала ткнуть в поле ввода пароля любой символ и посмотреть, отображается ли он «звездочками». И потом уже отточенными взмахами пальцев заполнять это поле.
А случай был такой: с одним человеком сидели в интернете, я регистрировался на новом ресурсе. Вижу два поля: имя пользователя и пароль. Имя пользователя ввел, TAB, быстро ввожу стандартный пароль… а он вводится открытым текстом :0) Так посторонний узнал мой пароль для сайтов-помоек.
А случай был такой: с одним человеком сидели в интернете, я регистрировался на новом ресурсе. Вижу два поля: имя пользователя и пароль. Имя пользователя ввел, TAB, быстро ввожу стандартный пароль… а он вводится открытым текстом :0) Так посторонний узнал мой пароль для сайтов-помоек.
А еще в Mozilla Firefox без всяких танцев с бубнами можно посмотреть все сохраненные пароли: Инструменты -> Настройки -> Защита -> Сохраненные пароли -> Отобразить пароли.
Да, но это уж социальный взлом а-ля «дайте комп на пять минут свою почту проверить» :) К тому же, если последовать моему совету и установить мастер-пароль, то тут «взломщика» ждет неприятный сюрприз — браузер предложит ему ввести этот самый пресловутый мастер-пароль для отображения сохраненных паролей.
А насчет начала топика вспомнилась цитата с баша:
В июне вышла очередная модификация GpCode, кровный враг касперского прям, шифрует данные ключом 1024 бит и требует деньгу. На форуме ЛК идёт обсуждение — всем обьедениться и расшифровать ключ, нужно ~30 миллионов машин в течении 2 месяцев чтоб работали. И лишь одна светлая голова написала
«Системный администратор Юкоса при обыске заявил, что для взлома паролей на базы данных потребуется несколько лет интенсивной работы многих компьютеров. ОМОНовцы „узнали“ пароль за 5 минут, 3 минуты из которых они привязывали админа к стулу...»
В июне вышла очередная модификация GpCode, кровный враг касперского прям, шифрует данные ключом 1024 бит и требует деньгу. На форуме ЛК идёт обсуждение — всем обьедениться и расшифровать ключ, нужно ~30 миллионов машин в течении 2 месяцев чтоб работали. И лишь одна светлая голова написала
«Системный администратор Юкоса при обыске заявил, что для взлома паролей на базы данных потребуется несколько лет интенсивной работы многих компьютеров. ОМОНовцы „узнали“ пароль за 5 минут, 3 минуты из которых они привязывали админа к стулу...»
CuteFTP (я так думаю, больше вроде некому) охотно поделился паролями, да так, что я узнал об этом только по iframe, посаженному на все сайты, которые у меня были там прописаны. Кто-когда утянул — так и не понял, антивирус обновляется регулярно. Сейчас активно пользую KeePass (очень удобная штука, когда привыкаешь), но ftp-аккаунты пока так и держу в CuteFTP, правда, теперь зашифрованными (там есть такая возможность). Надо заняться и тоже перенести всё в KeePass.
да какой-нибудь свежий pinch и утащил. неоднократно сталкивался с «уехавшими паролями» после просмотра приаттаченого в письмо файла типа golajaBaba.jpg.scr более того иногда оно распространяется методом «ух-ты форвардни и мне я тоже подзырю» :D
не знаю как сейчас а еще год назад касперский свежие модификации не ловил. а уж как оно пробралось тут только гадать можно. могли дропнуть, могли в мыле прислать а вы случайно открыли, могли на флешке принести ;)
не знаю как сейчас а еще год назад касперский свежие модификации не ловил. а уж как оно пробралось тут только гадать можно. могли дропнуть, могли в мыле прислать а вы случайно открыли, могли на флешке принести ;)
Странно читать о хранителях паролей на хабре: х. требует ввода каптчи при вводе логина, так что хранители паролей не катят.
Пардон, но выскажу своё мнение…
да я полностью согласен с автором статьи… это НУЖНО делать соблюдать…
Но вот записывать нельзя на бумажках…
хранить нигде нельзя…
нужно держать всё в голове…
а вот теперь обратимся к реальности:
соблюдаться должно: все пароли разные, от 6 символов с разными регистрами и спец.символами.
На работе в банке у меня:
1. один пароль на комп (который менять нужно каждые 15 суток)
2. один пароль на почту рабочую
3. пять паролей в рабочие приложения (включая БД)
Дома:
4. шесть доменов с хостингами (FTP, phpmyadmin, mail… получается 6*3 = 18)
5. ещё минимум 6 сайтов повседвневной херни (вконтакте, одноклассники, gmail и т.д.)
Итого получается мне в текущий момент нужно запоминать: МИНИМУМ 31 пароль!
ТРИДЦАТЬ ОДИН пароль…
а ещё через 15 суток некоторые нужно будет поменять…
ПАРДОН, но КАК это запомнить???
мне приходится извращаться и держать все пароли в такой (_!_) что самому забраться туда тяжело:
примерно как в сказке: игла в яйце, яйцо в утке, утка где-то там ещё и т.д.
А так да… записывать нельзя, везде разные…
Поднимите руку те у кого больше 10 паролей и все разные и нигде они не записаны, а только в голове! и эти 10 паролей ещё и менять нужно переодически… боюсь что может быть только один такой маньяк.
да я полностью согласен с автором статьи… это НУЖНО делать соблюдать…
Но вот записывать нельзя на бумажках…
хранить нигде нельзя…
нужно держать всё в голове…
а вот теперь обратимся к реальности:
соблюдаться должно: все пароли разные, от 6 символов с разными регистрами и спец.символами.
На работе в банке у меня:
1. один пароль на комп (который менять нужно каждые 15 суток)
2. один пароль на почту рабочую
3. пять паролей в рабочие приложения (включая БД)
Дома:
4. шесть доменов с хостингами (FTP, phpmyadmin, mail… получается 6*3 = 18)
5. ещё минимум 6 сайтов повседвневной херни (вконтакте, одноклассники, gmail и т.д.)
Итого получается мне в текущий момент нужно запоминать: МИНИМУМ 31 пароль!
ТРИДЦАТЬ ОДИН пароль…
а ещё через 15 суток некоторые нужно будет поменять…
ПАРДОН, но КАК это запомнить???
мне приходится извращаться и держать все пароли в такой (_!_) что самому забраться туда тяжело:
примерно как в сказке: игла в яйце, яйцо в утке, утка где-то там ещё и т.д.
А так да… записывать нельзя, везде разные…
Поднимите руку те у кого больше 10 паролей и все разные и нигде они не записаны, а только в голове! и эти 10 паролей ещё и менять нужно переодически… боюсь что может быть только один такой маньяк.
Вообще у меня там менее категоричная формулировка: не записывайте пароли (по крайней мере, на тех бумажках, которые выкидываете или храните рядом с логинами). То, что в скобках, как бы намекает. А у меня в голове как раз 10 разных паролей. Пароли от веб-сервисов я не помню, но они разные и хранятся под мастер-паролем. Если что, то криптованная копия всегда лежит на локальном сервачке, куда я могу попасть из сети. Но я вполне понимаю, что такая схема подойдёт не всем. Зато даже если одному из советов последовать, то уже, возможно, в какой-то ситуации удастся избежать проблем.
поднимаю руку.
имею периодически гемморой с вспоминанием паролей на нечасто посещаемых ресурсах. а так есть несколько универсальных «для помоек» и несколько универсальных которые комбинируются до кучи уникальных на каждый ценный ресурс. ну и для особо ценных свои собственные, но их не больше десятка. т.ч. квалификацию вроде прошел. первый маньяк?
имею периодически гемморой с вспоминанием паролей на нечасто посещаемых ресурсах. а так есть несколько универсальных «для помоек» и несколько универсальных которые комбинируются до кучи уникальных на каждый ценный ресурс. ну и для особо ценных свои собственные, но их не больше десятка. т.ч. квалификацию вроде прошел. первый маньяк?
Пароли делю на две группы:
1. Не критичные, утрата/кража которых не способна повлечь за собой проблем. Держу в lastpass. Быстро, удобно, пароли доступны с разных машин.
2. Критичные. Это пароли к DNS-сервисам, БД, хостингу, почте, банкинг и т. п. Держу в keepassx. Больше возни, но надёжнее (пароли хранятся только на локальной машине). К тому же, open source и кроссплатформенно.
1. Не критичные, утрата/кража которых не способна повлечь за собой проблем. Держу в lastpass. Быстро, удобно, пароли доступны с разных машин.
2. Критичные. Это пароли к DNS-сервисам, БД, хостингу, почте, банкинг и т. п. Держу в keepassx. Больше возни, но надёжнее (пароли хранятся только на локальной машине). К тому же, open source и кроссплатформенно.
Ещё по теме — при передаче пароля другому лицу, не передавать логин и пароль одним каналом связи.
А в Chrome мастер пароль отсутствует
я в финансовой опасносте!
пинкод от новой кредитки тоже нарисовал на обратной стороне.
правда, цифрами майя.
и аккурат рядом с cvv.
пинкод от новой кредитки тоже нарисовал на обратной стороне.
правда, цифрами майя.
и аккурат рядом с cvv.
А можно ли уничтожить данные с винта, если просто магнитом поводить?
однажды фокус ввода остался в twitterfox'e и в твиттер попал пароль от админки сервера. запись удалил моментально. но несколько фолловеров его все таки увидели. пароль сменил. фолловеров зачистил :)
Когда банковских карт расплодилось, мне это надоело, теперь на всех написаны пины. Естественно, примитивно зашифрованные.
В последнее время наблюдаю пугающую меня тенденцию. В начале года Волгателеком начинает присылать квитанции за телефон на дом(с указанием имени, фамилии, телефона и т.д.). В начале сентября начинают приходить квитанции от управляющей организации нашего дома, в которых указывается имена, фамилии и отчества прописанных в квартире людей (плюс сколько платить, стоят ли счетчики на воду и.т.д). Причем, квитанции кладут в почтовый ящик подъезда (дом 9-и этажный). Чуть не забыл, на той недели пришло новогоднее письмо от Сбербанка с предложением оформить кредит на N-ю сумму (и тоже в почтовый ящик).
Итого, с помощью почтового ящика можно получить следующую информацию:
1. Сколько людей прописано в квартире
2. Их имена, фамилии, отчества.
3. Телефон квартиры.
4. На какую сумму было совершено звонков за прошлый месяц.
5. Есть ли задолженность за квартплату.
6. В каком банке у вас кредитная карта.
7. и т.д.
Итого, с помощью почтового ящика можно получить следующую информацию:
1. Сколько людей прописано в квартире
2. Их имена, фамилии, отчества.
3. Телефон квартиры.
4. На какую сумму было совершено звонков за прошлый месяц.
5. Есть ли задолженность за квартплату.
6. В каком банке у вас кредитная карта.
7. и т.д.
Много дельных страшилок — это дельно. На английском есть интересные страшилки, которые стоит прочесть?
Читал истории о том что ктото просто представлявшись сотрудником фирмы, звонил в подержку и спрашивал свой «забытый» пароль, который ему представте себе говорили. Так что люди — самая большая уязвимость
Держали мы как-то сервер на площадке некоего московского хостинг-провайдера (железо свое).
В один прекрасный день звоню в ТП, говорю: вы не могли бы нам сервер перезагрузить, ибо повис.
«Ща сделаем!» — бодро отвечают, — «А где он стоит?»
Местоположение злополучной железяки-то я им описал, но в голове родился высококоварный план, потому как номер договора и кодовое слово у меня тоже никто не спросил. Ну ок.
В один прекрасный день звоню в ТП, говорю: вы не могли бы нам сервер перезагрузить, ибо повис.
«Ща сделаем!» — бодро отвечают, — «А где он стоит?»
Местоположение злополучной железяки-то я им описал, но в голове родился высококоварный план, потому как номер договора и кодовое слово у меня тоже никто не спросил. Ну ок.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Социальный хакинг в быту (защищаемся от глупостей)