Комментарии 18
Хм. Раз позвали, то отвечу. Читал только статью, сайт особо не читал, но концепцию понял. В целом, сервис выглядит интересно, из ближайших аналогов знаю только duo, но он не для веба, а Pluggable Authentication Module в Linux (можно использовать, например, с SSH).
Доверять ли таким сервисам — целиком ваш выбор. Нужно проверить, действительно ли пароль не передается на сервер, т.к. у них предусмотрена процедура сброса пароля, и нужно выяснить, теряется ли доступ к сохраненным данным в этом случае. В любом случае, т.к. это не просто какой-то менеджер паролей, а некая надстройка над сайтом (в случае встраивания в веб-сайт, как я понимаю, он работает в роли OAuth-агента, а в случае js-письки просто подменяет собой форму логина), то никто не мешает в какой-то момент времени изменить js-код так, чтобы он отдавал расшифрованные данные на сервер, если шифрование у них было грамотно реализовано до этого.
Я вообще пароли не храню, а каждый раз генерирую их на основе мастер-кода и домена вебсайта через SuperGenPass. Очень удобная утилита, особенно мне нравится то, что не нужно вообще ничего никуда сохранять. В интернете можно найти информацию о том, что он уязвим, но это относится к старым версиям, а в новых проблем, насколько я знаю, нет.
Ой, а оно еще и шароварное? Ну, фиг знает, мне такое не особо интересно:
Доверять ли таким сервисам — целиком ваш выбор. Нужно проверить, действительно ли пароль не передается на сервер, т.к. у них предусмотрена процедура сброса пароля, и нужно выяснить, теряется ли доступ к сохраненным данным в этом случае. В любом случае, т.к. это не просто какой-то менеджер паролей, а некая надстройка над сайтом (в случае встраивания в веб-сайт, как я понимаю, он работает в роли OAuth-агента, а в случае js-письки просто подменяет собой форму логина), то никто не мешает в какой-то момент времени изменить js-код так, чтобы он отдавал расшифрованные данные на сервер, если шифрование у них было грамотно реализовано до этого.
Я вообще пароли не храню, а каждый раз генерирую их на основе мастер-кода и домена вебсайта через SuperGenPass. Очень удобная утилита, особенно мне нравится то, что не нужно вообще ничего никуда сохранять. В интернете можно найти информацию о том, что он уязвим, но это относится к старым версиям, а в новых проблем, насколько я знаю, нет.
Ой, а оно еще и шароварное? Ну, фиг знает, мне такое не особо интересно:
Вы можете использовать расширение для браузера бесплатно в течение 30 дней. Затем, если оно вам понравилось, вы оплачиваете всего $0.99 за пожизненную лицензию.
+3
Хм… Я как-то привык к KeePassX. Такие вещи обычно стараюсь исключительно на открытое ПО и свои ресурсы возлагать. Хотя тот факт, что двухфакторная авторизация до сих пор мало распространена — удивляет. Тот же Google Auth использует вроде только Dropbox еще.
+1
Не только. Во-первых, не Google Auth, а TOTP, Google Authenticator — просто один из огромного множества генераторов.
В моём списке: собственно Google, DigitalOcean, Lastpass, Dropbox, Facebook, Microsoft, btc-e, Github, Wordpress, VK, Яндекч.Деньги, а так же все мои рабочие линукс-машины.
В моём списке: собственно Google, DigitalOcean, Lastpass, Dropbox, Facebook, Microsoft, btc-e, Github, Wordpress, VK, Яндекч.Деньги, а так же все мои рабочие линукс-машины.
0
О. Видимо, я не натыкался. Ссылкой поделитесь?
0
Ссылкой на что?
0
На мануал по поднятию двухфакторной для linux машин. Был бы очень рад
0
Я пользовался этой статьёй: www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication
Но там же и ещё есть.
Но там же и ещё есть.
+1
насчёт SuperGenPass — думал тоже использовать подобный сервис.
Останавливает то, что на сайтах очень часто разные требования к паролю.
На некоторых книжных сайтах в пароле требуются все 4 категории символов, а на каких-то спецсимволы нельзя.
Ограничение по длинне тоже постеменно меняется — всё чаще встречается «от 8 символов».
В результате «незапомненный» пароль превращается в квест «подбери опцию»
Останавливает то, что на сайтах очень часто разные требования к паролю.
На некоторых книжных сайтах в пароле требуются все 4 категории символов, а на каких-то спецсимволы нельзя.
Ограничение по длинне тоже постеменно меняется — всё чаще встречается «от 8 символов».
В результате «незапомненный» пароль превращается в квест «подбери опцию»
0
0
Добавил пункт, который пропустил в самом начале — использование сервиса в виде браузерного расширения для двухфакторной аутентификации везде. Все на клиентской стороне, без участия сайта, куда мы логинимся. LastPass может потесниться. Все-таки здесь безопасность субъективно выше за счет использования телефона.
0
А почему так мало внимания уделяется варианту записи в физическом блокнотике, который лежит дома? Уж если до дома доберутся, то всё равно от паяльника ничто не спасёт=)
Стоит добавить, что такой вариант хорош только тогда, когда есть силы запомнить все основные пароли, а наименее используемые можно потом подсмотреть.
Стоит добавить, что такой вариант хорош только тогда, когда есть силы запомнить все основные пароли, а наименее используемые можно потом подсмотреть.
+1
Эти пассажиры стучали и ко мне с просьбой дать оценку.
Я думаю, это то, что будет в какой-то момент включено в базовую поставку iOS, иначе смысла и доверия просто не будет.
Я думаю, это то, что будет в какой-то момент включено в базовую поставку iOS, иначе смысла и доверия просто не будет.
0
А мне вот E-num нравится, но это не менеджер паролей, просто сервис двухфакторной авторизации. И не уверен, что они обслуживают кого-то кроме вебманей (возможно это их карманный сервис).
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
One ring to rule them all или аутентификация через TeddyID