Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 35

НЛО прилетело и опубликовало эту надпись здесь
Сейчас особо одаренные сайтостроители «в соответствие с лучшими практиками» (ой ли) делают двухэтажный вход: сначала логин, отправка формы, потом пароль. Автоввод Кипаса не работает с таким безобразием, как победить — пока не понял.
Рейтинг скрыт

В Keepass автоввод можно гибко настроить под любой порядок ввода логина и пароля

Рейтинг скрыт
Через костыль {DELAY xxxx} решил, но пошагово не получается — заголовок окна одинаковый, кипас не видит разницу.
Рейтинг скрыт
Альфа-Банк например, поломал все, даже не пользуясь keepass, надо использовать клавиатуру и мышь для ввода логина и пароля, только кликнув в нужное поле, можно вводить текст, что жутко не удобно и очень раздражает, особенно после двухэтажного входа. Руки бы тому менеджеру оторвать. Поэтому с ПК не пользуюсь вообще.
PS недавно они «освежили» дизайн. Если бы убрали двухэтажный вход, было бы идеально.
Почти идеально

Рейтинг скрыт
но пошагово не получается

Это как? Перефразируйте. Вы два раза нажимаете ctrl+alt+a?
Я лично таким образом большинство двухэтажных форм победил.
Заголовок спойлера
{USERNAME}{ENTER}{DELAY 2300}{PASSWORD}{ENTER}

Или так.
Заголовок спойлера
{USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 3000}{TOTP}{ENTER}

Через костыль {DELAY xxxx}

Это не костыль, оно специально для таких форм и создано.
Рейтинг скрыт
Это не костыль, оно специально для таких форм и создано.
Кажется, это и есть определение костыля, не для кипаса, а для таких идиотских форм, а их все больше.

Юзерям тяжелее пропагандировать менеджеры паролей, когда с точки зрения этого самого юзера для ввода л/п ему надо провести сложный магический ритуал.
Рейтинг скрыт
Альфу удалось победить только так, пока работает
Заголовок спойлера
{CLEARFIELD}{USERNAME}{ENTER}{DELAY 1500}{TAB}{TAB}{PASSWORD}{ENTER}
Рейтинг скрыт
Не знаю как у Keepass, но у KeePassXC надо нажать правой кнопкой по полю пароля и выбрать запись.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь
Скажем так не намного безопаснее чем использовать qwerty123 в качестве пароля. «Никакая информация в интернете никогда не может быть в безопасности» — это аксиома.
Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь

… а с другого устройства вы как логинитесь?

Рейтинг скрыт
У меня в бразуере открыта куча вкладок и при загрузке они открываются неактивными и не потребляют памяти, с какой-то версси ЛастПасс начал добавлять JavaScript во все страницы и тут же, при старте каждая вкладка стала отжирать по 10 метров и вместо 100мб, браузер захавал около 10Гб. Прощу прощения, за «поток сознания», но прежде чем сменить менеджер паролей или, даже версию, приходится проверять и такие вещи.
Рейтинг скрыт

Я использую персональный битварден и не в виде расширения браузера, а отдельным приложением, просто оттуда копирую то что нужно. Так лучше?

Рейтинг скрыт
НЛО прилетело и опубликовало эту надпись здесь

Относительно небезопасно, лучше - отдельным приложением. С точки зрения векторов атаки, рассматриваемых в статье, не важно оффлайн или онлайн, важно, что расширение фундаментально более уязвимо.

Рейтинг скрыт

мне кажется, что статья в принципе про то, что через джаваскрипт можно все стащить, не важно где хостится твой блоб.

Рейтинг скрыт
Тут важно не столько зашифрованный блоб из базы данных на онлайн серверах менеджера паролей, сколько то, что расширение вводит на странице расшифрованные данные и их можно перехватить
Рейтинг скрыт

От фишинга не будет защиты, всё ещё можно обмануться похожей на реальную страницу.

Рейтинг скрыт

Если пароль сохранён в хром, то он не заполнится автоматически (адрес то другой, хоть внешне и похоже), а это повод перепроверить, что там в адресной строке.

А вот если вручную копировать пароли и вставлять туда, где похоже выглядит, то тогда это проблема

Рейтинг скрыт

Да, я как раз про второй случай, когда исполтзуется отдельное приложение.

Рейтинг скрыт

Епрст.

Уже сам заголовок наводит выглядит небезопасно.

Рейтинг скрыт
Использование менеджера паролей, соединённого с браузером, хорошо защищает от тупого фишинга. Если вы зайдёте на роrn.com вместо porn.com, то он просто не станет предлагать ввести пароль.
Использование онлайн менеджера паролей так же является их бэкапом, на который все так часто забивают.
Так что ещё вопрос: если отключить функцию автоматической вставки паролей, то есть ли реализуемый на практике вектор атаки по стыриванию паролей, столь же реальный, как и фишинг.
Рейтинг скрыт

Я провел немало времени, чтобы понять, что такое "поверхность атаки". А вы?

Рейтинг скрыт

Эх… имхо, тот случай, когда смысл теряется из-за буквального перевода.

Рейтинг скрыт

Регулярно встречается. Например panic attack.

Рейтинг скрыт

Как-то перед внутренним взором автоматически нарисовалась поверхность (именно в геометрическом смысле), натянутая на вектора атаки (именно в виде стрелочек) и мне настолько картинка целостной показалась, что вопрос сам отвалился)

Рейтинг скрыт
Всегда стоит вспомнить классику.
xakep.ru/2006/12/16/35784

А в целом — безопасность это про компромисс. Автор предлагает использовать браузерную функциональность, но никак не поясняет, что делать, когда ты хранишь пароли не для браузера, или двухфакторный калькулятор, или у тебя украли комп, или у тебя те же сайты на телефоне, и тебе надо второй раз все пароли вводить (считаем, что мы не используем синхронизацию паролей, потому что автор против неё).

Или тебе надо хранить сканы документов, шифрованные записки, и т.д.
Рейтинг скрыт

текст на века ​

Рейтинг скрыт

Менеджер Bitwarden в виде расширения браузера не использует скрипты контента для вставки пароля. В данном случае чем опасно его использование?

Рейтинг скрыт

  1. Расширение браузера спасает от банального фишинга – пароль не подставится, если адрес/страница не те, что записаны в менеджере паролей

  2. Браузеры сегодня не поставляют функционал крипто-блокнотов или хранилища файлов

  3. Также они не умеют объединять пароли в группы, например, если хочется сделать отдельный кошелёк для видео-подписок и шарить его с семьёй

  4. В случае дефейса – вообще без разницы, кто источник введённого пароля, т.к. даже при ручном вводе пароль попабает на страницу с чужими скриптами

  5. Нормальный менеджер паролей не предлагает/не подставляет пароли каждый раз, при входе на сайт. Функционал должен отключаться по истечении каких-то первых минут использования

  6. Используя не расширение браузера, а отдельное приложение – люди не только могут не заметить фишинг, но и перемещают свои пароли через буфер обмена на ту же страницу. JS с ним также умеет работать, а ещё другие фоновые приложения...

  7. Браузерные автофиллы работают как-то таки странно и не сильно завязываются на адрес страниц, как следствие можешь засветить пароль от ресурса А на ресурсе Б

  8. Имхо – в большинстве случаев, при осознанном подходе, использовать менеджеры паролей таки будет лучше, чем браузер, который у тебя может синкаться с незапаролленым планшетом, соответственно все пароли утекают, при потере одного устройства. Либо ты шаришь пасс с семьёй путём копирования и теряют девайс они

  9. Также сомневаюсь, что многие простые пользователи дополнительно устанавливают мастер-пароль в браузер, а менеджер паролей, даже в виде расширения, этот момент обязательно учитывает

В целом посыл у автора хороший, но не без изъянов. В некоторых ситуациях выводы автора напротив могут привести к состоянию угрозы

Рейтинг скрыт

На злобу дня – в одном из менеджеров паролей был плохой рандом

https://donjon.ledger.com/kaspersky-password-manager/

Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2025, Habr