Как стать автором
Обновить

Комментарии 55

Понравилось решение от Эппл, когда менеджер паролей предупреждает, что сохраненные пароли могли украдены. Еще один повод делать сложные пароли — легче отследить по базам, что он мог быть украден.
Поскажите, что за решение от эппл?
Связка ключей iCloud
Видимо, не обращал внимание на подобные предупреждения, либо им просто не от чего было появляться. Спасибо!
Аналогично гугл предупреждает, если в хроме пароли синхронизируются.
Но это не на видном месте находится.
Гугл рассылает письма, когда новые пароли скомпрометированы. И видел оповещение (на телефоне, вроде)
НЛО прилетело и опубликовало эту надпись здесь
Не удивлюсь если на бэкенде одна компания на всех это обеспечивает.

have i been pwned??
Когда описаны плюсы чего-то, но не описаны минусы, то выглядит или как реклама, или как халтура. Если бы мог, поставил бы минус.

При том, что я вижу плюсы в использовании менеджера паролей, меня вот лично сильно смущает возможность неожиданно оказаться без доступа ко всему, что там хранится в случае, если что-то пойдет не так. Особенно если хранить там всё, как написано в статье.
НЛО прилетело и опубликовало эту надпись здесь
Это решает большую часть проблем, но не все.

И пароль от сервера с бэкапами хранить в менеджере )

Не знаю как в других менеджерах паролей, но в том же битвардене vault синкается целиком, и есть оффлайн доступ. Т.е. в моём случае, чтобы остаться без доступа, нужно потерять 4 устройства + ОДНОВРЕМЕННО потерять 2 физических хардварных токена(потому что всегда есть ещё и веб версия Vault'a).

Странно что совсем нет упоминаний Bitwarden'a.
Есть моб приложение, веб версия, браузер экстеншн, шейринг паролей по организации, проверка утечек, проверка сложности, поддержка TOTP как в самих паролях, так и при доступе к Vault'у.


Есть как платная версия, так и селф хостед(особенно радует Bitwarden-rs от комьюнити, легкая реимплементация, которой хватает самого дешёвого дроплета).

А есть где-то подробное описание Bitwarden-rs на уровне юзергайда?

НЛО прилетело и опубликовало эту надпись здесь

Так у всех сервисов разные требования к паролям. Одним нужны разные регистры, специальные символы, цифры, другим ещё какие-то требования… На всех не угодишь. А потом перебирай эти 20 фраз на сервисе, в котором ты зарегистрировался год назад и больше не заходил, а после 5 неудачных попыток тебя банят… Так себе удовольствие тоже.

Можно всегда использовать максимально сложные пароли и угодить всем сразу.

В комиксе, который выше привели, вроде противопоставляются максимально сложные пароли тем, которые легко запомнить. Ну и использовать одинаковые пароли в разных местах обычно считается плохой практикой, так как компроментация одного пароля ведет потенциально к компроменации сразу кучи сервисов.

1. Максимально сложные пароли не противоречат паролям которые легко запомнить. Просто нужна методика простая запоминания.
2. Для того чтобы генерить сложные пароли для разных сервисов достаточно опять же иметь хорошую методику генерации и запоминания паролей.
Достаточно один раз запомнить методику и пользоваться всю жизнь. На самом деле в этом нет ничего сложно. Просто пример: разные сервисы — добавляем префикс сервиса к паролю (в простейшем случае). Запомнить легко.
В моей базе кипасса 300+ разных 15+символьных паролей, включая файлы, секретные «ответы» и прочие нужные данные. Некоторыми пользуюсь несколько раз в год, я физически не смогу запомнить такое количество правил на сервисы. Хотя я всегда за подобные методы (собственно есть пароли, которых нет в базе и они есть только в голове в виду их важности), как минимум всегда нужно помнить несколько важных доступов, которые иногда приходится вводить без менеджера паролей и без системы форсирования паролей далеко так не уедешь (скатишься к одинаковым «словарным» паролям)

А потом попадёшь на сервис, в котором нельзя использовать, скажем, знак подчеркивания и всё пойдёт лесом :(

Не лучше ли держать в голове пару десятков фраз
Не лучше. Потому что голова человек очень плохо запоминает именно рандомные фразы, даже если построены таким образом. Две-три-шесть штуки, которыми постоянно пользуешься — нормально. Все больше — забудешь и начнешь путаться 'да как же там было-то?'


А если в построении есть какая-то система — то уже имеем резкое уменьшение энтропии.

НЛО прилетело и опубликовало эту надпись здесь

А потом пароль срочно понадобился вам в другом городе… Возить шкафчик с собой? Или, не дай бог, пожар, и нет больше вашего шкафчика, его бэкапить нужно было… Да и этот шкафчик ничем принципиально не отличается от менеджера паролей: ваш хитрый алгоритм + фото = шифрование + мастер пароль, шкаф = база с паролями. Так что и эта схема не лишена серьезных недостатков. Идеального пока не придумали ничего, каждый должен для себя решить, какие риски для него приемлимы, а какие нет.

Не нужно преувеличивать способность человека придумать систему генерации паролей. Если бы это было просто — то предупреждений вида 'не используйте дату рождения' не было бы. А 'хитрые алгоритмы' уже давно в криптографии придуманы.


Если хочется самодельной системы — то сразу надо что-то вроде
password = base64(pbkdf2(secret, username@url_cайта))
secret помним наизусть. Сам калькулятор этой штуки запускается на железке, которая принципиально оффлайновая и залита со всех сторон в эпоксидку — чтобы злые хакеры не добрались и прошивку не подминили.

В моем менеджере паролей уже ~300 записей. Если учитывать сайты которыми я пользуюсь более-менее регулярно, да, число сокращается до 70-и, но даже так «пара десятков» это слишком много. Тут люди волнуются что могут забыть один пароль, от этого самого менеджера…
сейчас используется очень много паролей, и для каждого придумывать фразу и помнить их все нереально
ну и безопасность этого тоже сомнительна
в исходном предполагается, что пароль будет перебираться побуквенно
но никто не мешает написать переборщик, который использует правила по которым формируется пароль
У менеджеров паролей есть два серьезных минуса:
1) Все пароли лежат в одном месте. «Не храните все яйца в одной корзине» по понятным причинам. Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.
2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.

PS: интересно упоминание SolarWinds, когда на весь мир звучит название этой компании в связи с тем что из-за багов в её продуктах аттакованы десятки компаний по всему миру :)
1) Все пароли лежат в одном месте. «Не храните все яйца в одной корзине» по понятным причинам. Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.

Можно использовать несколько баз.


2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.

Да, это минус, спору нет. Остаётся надеяться на то, что такие продукты сильнее защищены, чем рядовые продукты, от которых пароли в нем хранятся.

Можно использовать несколько баз.


Менеджер паролей рассматривается как средство — сохранил и забыл. Если начинать усложнять то смысл быстро теряется.

Остаётся надеяться на то, что такие продукты сильнее защищены


Плюс нужно надеяться на то что разработчики таких продуктов очень очень честные.
Храните сгенерированные пароли (PASSWORD) в менеджере, а в голове держите дополнительный суффик (salt). И по факту используйте пароль вида PASSWORDsalt.
В таком случае, перехватив один раз ваш полный пароль, достаточно будет получить доступ к вашему менеджеру паролей и получить доступ ко всем сервисам. Если вашу методику начинать усложнять далее, то смысл в менеджере паролей, как в средстве (сохранил и забыл) уже не будет.

Ну так это на любой способ хранения паролей можно найти противодействие. Хранить в менеджере — достаточно получить доступ к менеджеру, хранить в голове соль — ну надо будет ещё разок полный пароль перехватить. Делов-то :)
Всегда будет какая-то вероятность взлома, я для себя (база Keepass синхронизируется на телефон через OneDrive) как приемлемую.

это как бы очевидно, что получив доступ ко всем паролям вы получаете доступ ко всем сервисам, которые не используют двухфакторку
тут единственное решение менять все пароли
менеджеры паролей предотвращают другой сценарий взлома, который наиболее популярен сегодня. Когда с какого-то сайта/сервиса утекают пароли, и потом эти пароли проверяются злоумышленниками на других сервисах, и тут как страдают те у кого везде одинаковый пароль
Менеджер же паролей позволяет запомнить один сложный пароль и использовать на каждом сервисе уникальный безопасный пароль
НЛО прилетело и опубликовало эту надпись здесь

Постфиксы делятся на суффиксы и окончания, если память не изменяет со школы и ничего нового не придумали ) Это окончание?

НЛО прилетело и опубликовало эту надпись здесь

До корня — префиксы

НЛО прилетело и опубликовало эту надпись здесь

Постфиксы делятся на суффиксы и окончания в русском языке )

Да и цель злоумышленников, которые знают что вы пользуетесь менеджером паролей теперь очевидна.
Если злоумышленрики знакомы с вами настолько хорошо что знают что вы пользуетесь менеджером паролей и могут иметь возможность выкрасть у вас базу данных — значит они так же имеют возможность, скажем так, поинтересоваться информацией у вас напрямую.
2) Если в одном из менеджеров паролей найдут багу, то вы просто попадете под волну аттак.
Этот недостаток есть лишь у т.н. «сервисов менеджеров паролей». У которых есть куда более весомые и существенные недостатки (Например, сама суть идеи) чем потенциальное нахождение уязвимостей — такие как вероятность что они внезапно и без предупреждения перестанут существовать (Как было с очень крупной и по сути являвшейся стандартом в индустрии CGI соцсетью-портфолио галереей CGhub.com), или что у вас нет никакого контроля и никаких гарантий о том что к вашей базе данных есть доступ только у вас, и что у сервиса нет бекдора для каких-нибудь спецслужб или даже просто желающих заплатить. Облачные сервисы были и останутся чистым злом, совращающим несчастных т.н. «удобством», чья истинная цель — мир цифрового концлагеря, где вам не будут принадлежать даже ваши собственные файлы (а может и даже терминал через который вы будете получать доступ к бесплатной учетной записи облачной ОС тоже будет арендуемым, а не купленным (Подумайте о том чтобы оформить подписку уровня «эконом», это уберет видеорекламу из контекстных меню программ и увеличит ваш лимит количества личных файлов до 200!)).

Важно помнить что реальные облака состоят из капелек воды, и имеют тенденцию быть эфемерными и испаряться. Использовать сервисы как основное средство собствеенной безопасности это безумие чистейшей воды.

По поводу первого пункта не соглашусь. К примеру я уже знаю что вы айтишник и пользуетесь менеджером паролей. Будь я злоумышленником вы могли бы стать моей целью. Это к тому что узнать такую информацию совсем не сложно. Более того Многие малвари на рынке имеют модуль сканирования менеджеров паролей. К примеру шифровальщик могут зашифровать базу этих паролей и вымогать деньги.


По второму пункту согласен почти полностью

Если на то пошло, если у меня на компе не дай бог окажется шифрующий малварь, то тут есть вещи куда важнее каких-то там паролей от веб-форумов, и эмоциональный удар от их потери был бы куда сильнее чем от увода кредитной карточки. Хорошо что можно делать бекапы.
Я так понимаю, речь идёт про облачные менеджеры паролей.
Какие недостатки у связки keepass+dropbox, например?
Как пользователь оной могу назвать как минимум отстутствие приличного клиента под iOS. Те, что есть, очень уже «страшненькие» по сравнению с коммерческими аналогами.
Ну это, так сказать, бытовые неудобства. Интересуют проблемы с безопасностью такого подхода…
Единственная проблема у меня — синхронизация вручную через Дропбокс (в смысле нужно самому кнопочку нажимать «синхронизация» и идти в папку с базами)
Пользуюсь такой связной на двух iOS устройствах + вин и мак более лет пяти, из минусов это все равно не спасёт от терморектального взлома. По безопасности не хуже чем взломанный несколько раз ластпасс. Тут скорее всего больше стоит вопрос о том чем шифруется база (аргон2 или нет) и потенциально обновлениях кипасса (помню был прикол с обновлением через http без s, который автор не хотел решать).
Менеджер паролей должен быть опенсорсным, чтобы вы точно знали, что ваши пароли никуда не ушли. А так же не должно быть жесткой привязки к сервису, ибо если взвинтят цены — придется платить.
Менеджер паролей — хороший способ повысить уровень безопасности своей работы, сохранив все коды доступа в одном надежном месте.

То, что менеджер паролей однозначно повышает безопасность — это весьма смелое заявление. Да, менеджеры паролей позволяют решить некоторый класс проблем безопасности, но при этом потенциально создают ряд других.

KeePass + OneDrive, вернулся после года на 1password. Кстати вспомнилось: плюсы как то описал тут: https://dpursanov.medium.com/ode-to-keepass-f8ccfb0065a6
Из минусов: ну никогда он не станет массовым; KeePass просто хороший инструмент, но для пользователей не только браузера.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий