Комментарии 104
Пароли на стикерах это как иконки в автомобиле: безопасность конечно не безупречная, но она ведь есть!
Расшифруйте про иконки плз, не понял)
Иконки буквальные
Смысл в том что каким бы сложным и длинным не был бы пароль, он не имеет абсолютно никакого смысла, так как хранится в открытом виде на стикерах. Так же с иконками в автомобиле: существует определенная категория людей, которые считают, что можно обвешать ими весь салон и полностью наплевать как на элементарные правила безопасности ( ремень ) так и на пдд в целом ( скорость и т.п. )
— У нас дыра в безопасности.
— Ну хоть что-то у нас в безопасности.
— Ну хоть что-то у нас в безопасности.
Кто бы сломал первый канал и россию и пустил в прайм тайм фильм Срок или что-то подобное
До кучи.
С начала пытался ругать, когда сотрудники пароли хранили где то на стикерах, потом сделал проще — пусть хранят, но «шифруют» их там для себя. Метод шифрования подходил, если я не мог подобрать пароль имея стикер)
Стикеры надо хранить под клавиатурой, мы всегда так делаем.
НЛО прилетело и опубликовало эту надпись здесь
Да, один.
И сколькл паролей Вы вообще помните? Несколько сотен таких запомните?
На а какие проблемы-то?
ИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
[a@o]# modprobe petrosyanИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
Интересно, а чем отличается пароль на стикере от пароля на аппаратном токене?
Кстати, хорошая идея. Keepass с аппаратной реализацией.
Кстати, хорошая идея. Keepass с аппаратной реализацией.
По мне так лучше на сертификатах с открытым и закрытым ключом работать.
Вы знаете, но нет. Если малваря на компьютере, то она спокойно подпишет себе всё, что нужно. В отличие от этого ручной перенос пароля из одного устройства в другое — совершенно неавтоматизируемая процедура и каждый пароль придётся тырить с большим оверхедом. И даже до идиота дойдёт, что если компьютер спрашивает все пароли по-очереди, то тут что-то не так.
А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
Вот она, квинтэссенция современной безопасности!
Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
К слову, я обычно делаю ответ на секретный вопрос аналогичный паролю, т. е. rsekt7b6aKYBwveriIA465wKjssdgd54 например (не те же самые символы, что и в пароле, но именно что-то сложное для взлома). Так вот, как-то надо было то-ли на mail.ru зарегистрироваться, или еще где-то в подобном месте, так вот, там было ограничение на ответ на секретный вопрос 10 символов, даже сам пароль мог быть длиннее.
НЛО прилетело и опубликовало эту надпись здесь
Все продвинутые перцы давно уже пишут на стикерах хеши паролей.
Зачем? Их там обычно пишут чтобы не забыть. Ну вот забыли вы пароль, и чего вы с хэшем сделаете?
НЛО прилетело и опубликовало эту надпись здесь
Этот способ дурно влияет на отношения в коллективе.
Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
А какое он имеет право оставлять комп с рабочей информацией не заблокированным?
Так то оно так. Но какое право сосед имеет лезть в чужой комп а посторонних на закрытой территории не бывает.
Пожалуй, в некоторой степени правы и вы, к тому-же на столах могут быть рабочие бумажные документы, их что, тоже постоянно запирать в сейф? В любом случае, вопрос информационной безопасности — тема обширная, и человеческий фактор — один из основных ее разделов. Вариант, описанный выше — просто идея, как с этим можно работать.
НЛО прилетело и опубликовало эту надпись здесь
Таки пустое или с именем?)
По-моему, довольно очевидным является соображение, что вся эта порнография с паролями попросту не работает. Когда один сайт требует не менее 10 символов, другой не более 9, третий хочет спецсимволы, четвёртый их не переваривает и так далее, то человеку ничего не остаётся делать, кроме как записывать туда, где никто ему таких ограничений ставить не будет.
У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
В качестве некоего щадящего режима, можно придумать себе одну, сколь угодно сложную основу, которая по условиям будет подходить на большую часть обычных требований к паролю и добавлять к ней какой-то ваш способ идентификации сайта. Например:
Основа: V3b1n2
Пароль для хабра: habrV3b1n2
Пароль для фейсбука: faceV3b1n2
Основа: V3b1n2
Пароль для хабра: habrV3b1n2
Пароль для фейсбука: faceV3b1n2
Достаточно пару утекших баз с паролями и можно получить доступ ко всем остальным.
Для этого надо целенаправленно знать, к кому мы получаем доступ. А для целенаправленной атаки, ясно дело, этот способ не спасает, никто и не спорит. Как я и написал, это щадящий режим — который обеспечивает какую-то приемлемую защиту, но не заставляет пользователя взрывать мозг в попытке запомнить незапоминающееся.
Я понимаю, что вы предлагаете решение для реального мира как он есть, но согласитесь, порочна сама идея того, что надо заставлять человека выдумывать какие-то безумные комбинации с ограничениями, а потом ещё наказывать за то, что не у всех это получается.
А потом внезапно найдется сайт/сервис, которому ваш пароль не понравится, и система начинает рушится как карточный домик.
Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
Честно говоря, я этой системой пользуюсь последние пять лет (за исключением сервисов связанных с деньгами) и ни разу мне такого не попадалось.
Мне вот попадается регулярно.
Забил на запоминание паролей, голова не резиновая все запоминать.
Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
Забил на запоминание паролей, голова не резиновая все запоминать.
Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
Обидно, но далеко не везде восстановление пароля — работает. В одном малобюджетном интернет-магазине игр, восстановление пароля оказалось сломано, и на запрос «что делать и когда заработает восстановление пароля» мне не ответили. Прошло около двух месяцев, прежде чем я снова смог залогиниться на том сервисе путем высылки «инструкций» на почту.
у кого-то KeePass и куча других неудобствНеудобства не уменьшают безопасность.
Это из оперы «шашечки или ехать».
Особенно глупо выглядят все эти ограничения, когда знаешь, что хранится все равно хеш, длина у которого одинакова, блин.
у нас добрее немного :)
никакой премии, конечно, не лишают
но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
ну или ещё что-то такое прикольное
никакой премии, конечно, не лишают
но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
ну или ещё что-то такое прикольное
Да ну, постанова какая-то
А уж какие возможности дают методы Super-resolution! Даже если стикер с паролем так попал в кадр, что ничего разобрать вроде бы невозможно — информацию из нескольких кадров можно особым образом совместить и получить изображение с более высоким разрешением.
Вечная проблема прокладки между клавиатурой и стулом.
Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:
Одновременно, в один и тот же момент, погасли все экраны TV5, прекратилось вещание, просто черный экран, что называется, все 11 телеканалов выключились. Одновременно был перехвачен контроль злоумышленниками над сайтом TV5, [...] Одновременно был перехвачен контроль над аккаунтами TV5 в Фейсбуке, в Твиттере и в других социальных сетях. Все это произошло в одну секунду, все это потом продолжалось почти сутки.Если это всё так (а у меня нет причин не верить Сергею), то одними бумажками с паролями от соцсетей тут явно не обошлось; интересны остальные подробности атаки, в частности, как именно злоумышленники получили управление телеэфиром?
Ну, теоретически в личках социалок могла быть критичная переписка. Да и затроянить внутреннюю сеть компании через их же собственные аккаунты легче — сотрудники ткнут в любую присланную фишинговую ссылку.
> Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:…
>… Если это всё так (а у меня нет причин не верить Сергею)…
Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
Пора взрослеть пока не поздно.
>… Если это всё так (а у меня нет причин не верить Сергею)…
Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
Пора взрослеть пока не поздно.
Если бы они (те, кто предполагается захватил эккаунты) получили управление эфиром, на экранах появились бы неприятные бородатые типы в простынях и с калашами. Я за то, что руководство канала запаниковало и на всякий случай повелело отключить трансляцию.
«A trust is its weakest point,» said Jeff Peters.…
… The only way to break up a trust is from the inside.…
… The only way to break up a trust is from the inside.…
Я конечно согласен, что хранить на общедоступных стикерах, да еще и показывать в интервью — это идиотский поступок. Но тем не менее, проблема хранения паролей все еще качественно не решена. Кто-то запоминает, кто-то делает везде одинаковые, кто-то записывает, но все это неудобно. А если в прфессиональных целях регулярно нужны десятки паролей (как в сабже)?
Мне кажется это потенциальная ниша для инноваций.
Мне кажется это потенциальная ниша для инноваций.
НЛО прилетело и опубликовало эту надпись здесь
У вашей схемы есть еще один недостаток. Вернее два.
1. Потеряется / сломается телефон — и все.
2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.
Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
1. Потеряется / сломается телефон — и все.
2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.
Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
НЛО прилетело и опубликовало эту надпись здесь
lastpass?
Я, конечно, тот еще параноик, но хранить пароли на третьестороннем сервисе, это как-то уж слишком.
Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
Расскажите прямо сейчас, чем шифрованная база в дропбоксе отличается от шифрованных паролей в ластпассе, в смысле паранойи.
Да легко. В дропбоксе лежит контейнер, который я сам зашифровал как мне нужно и туда положил. А в ластпассе я хрен его знает как они там хранят базу и кто имеет к ней доступ.
Зашифрованная БД Keepass хранится в зашифрованном контейнере который синхронизируется с Dropbox. Такой вариант явно надежнее чем сторонний lastpass.
Не вижу разницы. Ластпасс хранит базу, зашифрованную вашим мастер-паролём, который никогда не передаётся. «Как нужно» вам может и правильно, а может и нет. Я вот, к примеру, не считаю себя криптографически более образованным, чем специализированная фирма вроде Ластпасс, и если они говорят AES-256 плюс PBKDF2 это хорошо, то я склонен им верить больше, чем себе, ибо как я бы хотел заниматься тем, чем я хочу заниматься, а не думать о шифровании.
И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
Потеряется телефон — останется на локальной машине(нах).
Теперь, я понял историю с anekdot.ru, о том как телефон уронили в дырку общественного сортира…
Идея хранения паролей на телефоне, навела меня на мысль, что нужно отдельное устройство хранения, вроде когда-то популярных Электронных Записных Книжек, постоянное находящееся в OFF-Line, что исключило бы вероятность взлома через Wi-Fi, java в браузере телефона и тому подобное — чтобы к устройству было бы физически невозможно подключиться без желания владельца. А на случай крайней надобности можно и USB-порт иметь. Само же электронная записная книжка для паролей, помимо ввода паролей, должно иметь и биометрическую аутентификацию, на случай случайной потери (от преднамеренного похищения записной книжки и отпечатка — конечно это не спасёт, но если случайно потерять...). На случай потери, так же должно иметься отдельное подключаемое напрямую через USB мини-устройство для бэк-апа, которое надлежит хранить отдельно в надёжном сейфе.
А если кейлогер схватите? Мастер пароль улетит, а с ним и все остальные…
>Храню пароли в Keepass все пароли не менее 16 символов
Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
Про Keepass или Password погуглите.
Вот как-то не ожидаешь на хабре таких формулировок: кто-то воспользовался паролями из открытого источника и это, блин, взлом! Что ломали — пиксели в Youtube? Ладно там на ленте, если так напишут, но здесь-то можно различать такие понятия.
Помню свой первый пароль в далёком прошлом (да да это была почта на mail.ru). Это казалось каким то таинственным и загадочным. Сразу представил себя агентом спецслужб. Круто, подумал я. Ведь теперь у меня есть свой пароль, который я никому не должен говорить и это должна быть моя тайна, которую я должен хранить. Сейчас это не кажется таким крутым:) Теперь я использую менеджер паролей для запоминая логинов и паролей от сотни сайтов, сервисов и админок с такими цифрами и буквами что запомнить их все для меня невозможно :)
Сколько было утечек с этими паролями, то человек уволился и забрал все пароли, то чья-нибудь подруга увидела и передала куда не надо. Ну смешно уже. Серьезные компании. А со стороны популярных сервисов twitter, youtube и тд. — ну сделали бы для корпоративных клиентов авторизацию по токену + логин/пароль + одноразовая смс, согласен это не панацея, но хотя бы от таких курьезов избавила бы мир.
Не совсем улавливаю каким образом имея пароль к аккам в соц. сетях ( и даже допустим, к оф. сайту) можно было взломать систему трансляций.
Какая-то криворукая система у них там в этом случае.
Какая-то криворукая система у них там в этом случае.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями