Комментарии 35
Пользуюсь давно LastPass. Прикрутил к нему двойную аутентификацию по СМС и особо не забиваю голову. Тоже самое (добавочная аутентификация через СМС) прикручена к критичным сервисам почты (что на мэил, что на яндекс, что на гугл). От подбора-похищения пароля никто не застрахован. Так давайте усложним жизнь похитителям. Кстати, стоит проверять сервисы на то как они хранят пароли. Недавно с удивлением узнал, что тот же Озон хранит пароли в открытом виде (и в открытом виде присылает их по почте). И тот же iXBT, например. Для таких лучше пользоваться чем-то сгенеренным, как мне кажется.
А как прикрутить SMS к Lastpass?
есть сервисы, с которыми дружит LastPass. Я пользую (и для других вещей, в том числе и RDP публичных серверов) этот www.duosecurity.com. Бесплатного доступа вполне хватает для бытовых нужд.
Использую такой подход — sha1(«осмысленная для меня фраза»), первые 12 — 16 символов (для почты, банка и т.д. — больше). Ресурсы делю на группы, для левых каких-нибудь — одна и та же фраза, для более важных — разные для каждого.
Плюсы:
— пароль достаточно криптостойкий, причём его можно ввести, наверное, на любом устройстве;
— даже если пароль узнают, можно легко сделать новый путём добавление к фразе номера (1, 2, etc), причём хэш получится абсолютно другим;
— если забыл пароль, но помнишь фразу, достаточно любого ЯП с нужной хэш-функцией чтоб его восстановить, причём не нужен доступ к интернету.
Минусы:
— сложно запомнить (хотя через некоторое время начинаешь привыкать).
Плюсы:
— пароль достаточно криптостойкий, причём его можно ввести, наверное, на любом устройстве;
— даже если пароль узнают, можно легко сделать новый путём добавление к фразе номера (1, 2, etc), причём хэш получится абсолютно другим;
— если забыл пароль, но помнишь фразу, достаточно любого ЯП с нужной хэш-функцией чтоб его восстановить, причём не нужен доступ к интернету.
Минусы:
— сложно запомнить (хотя через некоторое время начинаешь привыкать).
Как верно подметил Д.Скляров, «удобство почти противоречит безопасности», поэтому надо искать разумный компромисс. Подтверждать вход в почту через СМС — лично для меня слишком неудобно. Для входа в онлайн-банкинг — приемлемо. А для всяких не особо важных ресурсов типа регистрации в онлайн-магазине (нужной только для того чтобы не вводить адрес доставки при каждой покупке) — можно пожертвовать безопасностью лишь бы не создавать неудобства. Много лет пользуюсь практически бесплатным менеджером паролей Sticky Password, время от времени рассматриваю альтернативы, но ничего лучше не попадается. Все пароли — длинные (20 знаков и более) сгенерированные, уникальные.
Использую генератор паролей от Norton через веб-интерфейс. Просто отмечаю все галки, указываю длину в 16 символов. Для каждого сервиса свой пароль. При регистрации на сервисе ввожу сгенерированный пароль, а после вхожу и сохраняю его в хранилище firefox. В итоге я храню в голове только 1 замысловатый пароль от хранилища.
Keepass + база в своём инстансе Owncloud. Большинство своих паролей даже не знаю.
Эксперт по информационной безопасности рассказал алгоритм создания своих паролей тем самым на несколько порядков уменьшив их безопасность.
Roboform.
«Когда передаем пароли в чатах, сразу после подтверждения их стираем.»
ОНИ ПЕРЕДАЮТ ПАРОЛИ В ЧАТАХ. В ЧАТАХ, КАРЛ!!!
АААААААА!!!
ОНИ ПЕРЕДАЮТ ПАРОЛИ В ЧАТАХ. В ЧАТАХ, КАРЛ!!!
АААААААА!!!
И они же дальше:
«При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.»
ИБ разрабатывают топ-менеджеры. Всё, мой день всё…
«При этом прописанной политики нет, все правила разработаны топ-менеджерами компании, которые в ней уже много лет.»
ИБ разрабатывают топ-менеджеры. Всё, мой день всё…
Я наверное глупый вопрос задам, но всё же.
Какой на ваш взгляд самый лучший способ передавать логины-пароли?
Какой на ваш взгляд самый лучший способ передавать логины-пароли?
Вопрос не ко мне, но ответ, вообще-то, очевиден: либо по почте используя GnuPG (PGP) или SMIME, либо в чатах используя OTR.
передавать постоянные пароли — некоторое безрассудство. Но если такая необходимость есть, то высылаешь зашифрованный архив, а пароль на него высылаешь СМС.
1. Передавать надо только одноразовый пароль, который меняется при первом входе на ресурс.
2. Пароли зло, для всех важных вещей надо второй фактор аутентификации.
3. Если передавать, то с явным шифрованием (почты, чата, смс?? и т.д.)
2. Пароли зло, для всех важных вещей надо второй фактор аутентификации.
3. Если передавать, то с явным шифрованием (почты, чата, смс?? и т.д.)
Пароли в чатах? Легко! Use OTR, Luke!
А вот без OTR, да ещё и со «стиранием» — это да, бомба.
А вот без OTR, да ещё и со «стиранием» — это да, бомба.
А мне сразу вспомнилось
Заголовок спойлера
XXX: Мишаня, дай мне свой логин/пароль, мне там кое-что сделать надо.
YYY: Si6gPw89YJBoh1ap9Gq2
XXX: Ты шизанутый параноик. Зачем такие пароли?
YYY: Это логин.
YYY: Пароль я тебе картинкой ММС-ку пришлю
via
YYY: Si6gPw89YJBoh1ap9Gq2
XXX: Ты шизанутый параноик. Зачем такие пароли?
YYY: Это логин.
YYY: Пароль я тебе картинкой ММС-ку пришлю
via
Разумеется, использование Password Keeper-программ может привести к потере секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать.
Вот это всегда смущало в использовании менеджеров паролей. Компрометация всего одного пароля лишает тебя всех паролей сразу.
Кроме того, что вы будете делать, если вам во что бы то ни стало надо проверить почту (зайти в соцсеть и т.п.) в недоверенном окружении? Если бы вы помнили пароль от почты, то рисковали бы только им, потом его можно было бы сменить с доверенного компьютера. В случае Keepass вы рискуете всей базой паролей.
SuperGenPass для не очень важных сайтов (инет-магазины, соцсети, форумы и т.д.) и индивидуальные ассоциативные фразы для важных (почта, банкинг) типа
Первый неудобен для мобильных. Русские фразы при английской раскладке еще хуже.
,fyrbyuCjCnhfiysvUI (банкингСоСтрашнымUI).Первый неудобен для мобильных. Русские фразы при английской раскладке еще хуже.
Как же надоели сервисы, которые за меня знают каким должен быть мой пароль.
Твой пароль устарел! Смени! Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль, который ты точно вспомнишь нельзя и нет этот же пароль в другой раскладке тоже нельзя… и цифру добавь, нет мне все равно что ты забудешь её когда будешь вводить пароль через неделю… да и символ… и повтори его раза 3 по тому что минимальная длинна на 3 символа больше! <...> А-а-а, привет это ты? давно не виделись, тока пароль свой введи… нет стандартныйпароль не подходит… нет стандартныйпароль в другой раскладке тоже не подходит, нет же стандартныйпароль1, стандартныйпароль2, стандартныйпароль3 и стандартныйпароль123 тоже не катят! И вАще, ты сдня какой-то подозрительный введи-ка капчу. тандартныйпароль8*** не то… нет мне плевать что ты опечатался, вводиещё раз! стандартныйпароль8*** правильно… тока ты в капче ошибся, введи-ка ещё разок! Ура! я рад снова приветсвовать тебе о %username%! Тут эта, подохрительная активность замечена, смени пароль. Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль нельзя…
Твой пароль устарел! Смени! Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль, который ты точно вспомнишь нельзя и нет этот же пароль в другой раскладке тоже нельзя… и цифру добавь, нет мне все равно что ты забудешь её когда будешь вводить пароль через неделю… да и символ… и повтори его раза 3 по тому что минимальная длинна на 3 символа больше! <...> А-а-а, привет это ты? давно не виделись, тока пароль свой введи… нет стандартныйпароль не подходит… нет стандартныйпароль в другой раскладке тоже не подходит, нет же стандартныйпароль1, стандартныйпароль2, стандартныйпароль3 и стандартныйпароль123 тоже не катят! И вАще, ты сдня какой-то подозрительный введи-ка капчу. тандартныйпароль8*** не то… нет мне плевать что ты опечатался, вводиещё раз! стандартныйпароль8*** правильно… тока ты в капче ошибся, введи-ка ещё разок! Ура! я рад снова приветсвовать тебе о %username%! Тут эта, подохрительная активность замечена, смени пароль. Нет мне все равно, что его никто не знает, положено сменить! Нет, поставить старый пароль нельзя…
KeePass в truecrypt контейнере на dropbox :)
Отличная штука, которая устраивает меня полностью. Полная синхронизация устройств и браузеров.
Есть ограничение, которое снимается если вы пригласили 5 друзей, которые тоже установили этот плагин, и у вас включается PasswordBox Premium Plan — бесплатно, и никаких ограничений.
https://www.passwordbox.com/ru/
Есть ограничение, которое снимается если вы пригласили 5 друзей, которые тоже установили этот плагин, и у вас включается PasswordBox Premium Plan — бесплатно, и никаких ограничений.
https://www.passwordbox.com/ru/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Работа с паролями: как защитить свои учетные записи (мнения специалистов)