Комментарии 51
Во-о-т. Ты доверил сервису данные, а он учит тебя как жить. Облачная учетка как в 1Password тоже не за горами?
Дежурный комментарий https://xkcd.com/936/
А потом еще и требование раз в год его менять...
Ну, я в первую очередь намекал, что это такой способ заставить людей перейти на действительно вычислительно сложные пароли вроде "яумамыпогромист", "яупапысолипсист", а не формальный бред вроде "8-xD" (цифра, спецсимвол, разный регистр).
Кейспэйс алфавит ^ длина_пароля лучше увеличивать за счёт показателя степени, а не основания.
Это кстати серьёзная проблема, что пароли, как правило, нельзя писать русскими буквами :(
Нужен utf-8 в паролях и доменах!
Так вроде и сейчас можно. В паролях точно.
Это кстати серьёзная проблема, что пароли, как правило, нельзя писать русскими буквами :(
Значит, прилетаю я как-то на Таити, сажусь в гостинице за компьютер, чтобы почту на мейлру каком-нибудь проверить, и так по-барски: "а где тут у вас клавиатура переключается, чтобы пароль русскими буквами набрать?.."
Противоугонный пробел в пароле. Или перенос строки, тоже надо разрешить
Интересно, что Authy с недавних пор не разрешает passphrase, а требует именно абракадабры с символами. Что как бы вынуждает использовать менеджеры паролей, но это не имеет смысла, потому что пароль от 2FA приложения не должен быть залочен в парольнице.
Поэтому пароли должны умереть как класс >.< Но это невозможно, ибо нужна организация резервного способа восстановления на случай утраты аппаратного токена, и тут либо иметь запасной (что малореально), либо что-то придумывать. А это сложно…
Поэтому пароли должны умереть как класс
Нет, нужны 2 фактора, и пароль и токен.
ибо нужна организация резервного способа восстановления на случай утраты аппаратного токена
Парольная фраза, которая используется именно для восстановления доступа?
либо иметь запасной (что малореально)
Почему малореально? Как-то большинство научилось справляться с резервированием аппаратного токена доступа в квартиру )
Ну и дежурно напомню тогда про keepass(xc), который оффлайн.
погляжу, могут еще прибегут напоминальщики что его можно хакнуть
А что нельзя тогда?
И вновь пароль Aa!1Aa!1Aa!1Aa!1 - по всем метрикам самый безопасный.
Это для усложнения атаки по словарю? Не лучше ли поменять хеш-функцию на что-то более вычислительно сложное?
Подскажите хорошие хардварные ключи? В идеале чтобы драйверов не надо было и чтобы вводил пароль как обычная клавиатура.
Я тут рядом постою, послушаю )
Где-то так, наверное. Смартфон в качестве HID устройства для набора паролей. Понятия не имею, насколько оно пригодно к использованию в общем случае - вендоры постоянно нужные модули ядра выпиливают и отключают, насколько я помню.
давайте разберемся. если устройство работает как клавиатура то ей нужен драйвер клавиатуры, который обычно уже есть, даже в bios. Для имиитации клавиатуры есть куча всяких готовых именно что "ключей" (в корпусе флешки) на основе arduino (с полноценным usb которые) для этого "мозгов" особо и не надо. правда, задуманы они для того чтобы набрать на этой клавиатуре что то страшное, но можно и пароль. но есть нюанс: паролей много, как их выбирать - вот тут и начинаются приключения. самодельных решений было сделано немало, здесь же на хабре, даже которое умеет с базой keepass работать. Дисплей какой нить прикрутить можно. а pastilda имеет еще и входной порт для подключения стандартной клавиатуры, ввод можно анализировать и догадаться что потребуется пароль.
Интересная идея с ардуиной в виде флэшки. Но первый раз о таком слышу и не могу ничего такого сейчас нагуглить.
Подскажите где искать? Вы точно не выдумали существования такого решения?
У меня нет таких жестких требований к безопасности.
Если стик утек - это повод сменить пароли.
ну если чуть почитать можно узнать про биты защиты прошивки - и обычный программатор выдаст кучу байтов 0xFF. Можно отключить режим spi. Далее умелыми руками можно хорошо обломить 1-2 ноги контроллера к которым подключается программатор и стереть маркировку.
Я точно не помню есть ли возможность glitch-атак и анализ тока потребления для atmel, но перечисленный комплекс мер хорошо так снизит его вероятность.
Остается только анализ кристалла под микроскопом. Но мы же не храним пароль во флеш в непосресдственом, виде а чем нибуть шифруем.
Только вот все это не поможет от старых добрых кейлоггеров, гаечных ключей за 5$ и прочих подобных методов криптоанализа. Но неуловимый Джо вполне может использовать.
Rubber Ducky или Digispark как самые популярные. Можно даже взять целый одноплатник, типа малинки zero w.
уже подсказали вроде. как по мне подходит для одного двух паролей. я очень смутно помню что была какая то вариация с кнопочками-диспелейчиками, но уже точно что неточно.
из реального могу подсказать поглядеть продукцию от LILYGO. У них есть и та самая ардуинка во флешке. Есть T-Dongle-S3 с дисплейчиком, но одна кнопка, есть девайсы на esp32-s3 в корпусе часов и покрупнее. На вкус, как говорится. esp32-s3 не только потому что там есть arduino, а потому что там есть usb client. гуглинг "esp32-s3 hid keyboard" выдает массы интересного в тему, в том числе видео с хранилкой паролей.
ну и на flipper zero тоже можно, но цена на порядок..
Есть клавиатуры, которые умеют запоминать пароли (или записывать скрипты)
Андроид/ios уже давно умеют в u2f, а теперь это упорото переводится на passkey (хотя тут у меня есть несколько претензий, зато тут ещё и windows прибавляется). Это, конечно, не ввод как клавиатура, но фактически превращает телефон в аппаратный токен. А так как его пропихивают совместными усилиями Google/Apple/Microsoft, а основные браузеры уже давно умеют в WebAuthn - они рано или поздно добьются своего
Можно купить любую дешёвую китайскую usb флешку которая подвержена уязвимости badusb и перепрошить её как клавиатуру записав туда ввод необходимого пароля, либо купить arduino и накатить туда прошивку которая будет имитировать клавиатуру, это что удалось придумать на вскидку, но я уверен что есть и готовые решения
chatgpt написал похоже
Нуу человек спросил про программный ключ имитируюший клавиатуру, вот я и ответил, а про badusb и arduino написал потому что сам в школьные годы баловался с ними, вполне рабочий вариант, только это совсем не безопасно
да это все понятно, только написана "галюцинация" на основе фактов. вовсе не "любую дешёвую китайскую usb флешку" - там от флешки только корпус. "подвержена уязвимости" не вовсе не сама эта флешка, а система в которую ее вставляют. все подробно обсудили же тут же
не вовсе не сама эта флешка, а система в которую ее вставляют
Нужна именно что дырявая флешка у которой не заблокирована возможность перепрошивки контроллера, там можно перезаписать HID устройства чтобы эта флешка определилась как клавиатура
плиз ссылку иначе не верю
Вот, гитхаб репо
да спасибо, да @Vitaly48 в кое чем был неправ. Но тут уже точно не любая флешка ;) А на вполне определенных чипах. Ну и не уязвимость, пожалуй, а стандартный режим прошивки. badusb как бы вообще не при этом. По сути перепрограммируют контроллер своей прошивкой, но вот интегрируют они ее довольно по хаккерски, конечно. написание скриптов там тоже немного другое.. Суть та же, но слова то другие ;)
В целом это куда как больше достойно восхищения, работа авторов на порядок более сложная - все раскопать и написать. Ну и спасибо за инфу
Возможно flipper zero?
Дороговато, но есть как U2F(софтварный), так и BadUSB много упоминавшийся ниже. Да и возможность хранить не только "ключи" от сайтов, но и вполне себе настоящие (таблетки, RFID, NFC и иже с ними). Разве что потерять это все будет очень печально.
Это однозначно плохой вариант. У устройства уже есть имидж хактула. Даже носить такое с собой в самолете или при пересечении границы просто опасно. Как минимум останешься без девайса. Понятно что устройство нишевое и знают о нем далеко не все, но это просто бессмысленный риск на ровном месте.
Как хак тул - крутая штука. Как хранилище ключей - нет. Тем более он еще и размера избыточно большого.
Использую https://www.passwordstore.org/, с автозаполнением везде, с поддержкой OTP, с синхронизацией через git репозиторий и с клиентом на телефоне. Чего и вам желаю.
Да, там Dashlane менеджер, такой же, сначала все прекрасно, а потом ограничение на количество паролей, не больше 10 - 20, хорошо что хоть уже сохраненные не удалили
LastPass ограничил минимальную длину мастер-паролей 12 символами
Тоже мне проблема. Был у Васи Пупкинда пароль Password1 — стал Password1Password1.
"Как имели — так и имеют, но писанины прибавилось."
LastPass ограничил минимальную длину мастер-паролей 12 символами