Комментарии 30
В Vivaldi я такой функции не нашел (может плохо искал).
В Firefox нашел, ввел, перезапустил браузер — внешне все работает как и раньше. На каком этапе от меня потребуется вводить мастер-пароль?
Кстати, потенциально эта тема может быть развита до такого: пароль на сам браузер. То есть все куки, закладки и история зашифрованы, и для самого запуска браузера требуется ввод пароля. Поскольку браузер обычно запускается как одна из первых программ после включения компьютера, то это удобно — ввел один раз и спокойно работаешь.
В Firefox нашел, ввел, перезапустил браузер — внешне все работает как и раньше. На каком этапе от меня потребуется вводить мастер-пароль?
Кстати, потенциально эта тема может быть развита до такого: пароль на сам браузер. То есть все куки, закладки и история зашифрованы, и для самого запуска браузера требуется ввод пароля. Поскольку браузер обычно запускается как одна из первых программ после включения компьютера, то это удобно — ввел один раз и спокойно работаешь.
Microsoft пошли дальше: они сделали пароль на всего пользователя, вместе с браузером и так далее. Здорово, правда?
А если серьезно — никакое шифрование от дурака не защитит. Он вам и пароль скажет, и в общем все, что надо. А итог статьи должен быть: "не давайте доступ чужим людям к своему компьютеру"
Мастер-пароль в 2019? А где же 2FA (TOTP, U2F)?
Лучшая защита не собственная память, которая может порой подводить, а многочисленные реплики-бекапы «текстовика» с паролями, заархивированного под 1 сложный пароль (который нужно запомнить!) с сокрытием имен файлов внутри архива. Это из личного опыта.
У меня десятки паролей такой длинны и сложности что я даже один из них не в состоянии запомнить
У меня десятки паролей такой длинны и сложности что я даже один из них не в состоянии запомнить
Надёжнее использовать keepass, чем "текстовик" с паролями.
По-моему, удобнее и проще поставить специализированное ПО вроде KeePass, чем каждый раз распаковывать тестовый файл (который, кстати, в распакованном виде вполне может остаться лежать во временном каталоге системы)
Я специально только что проверил это: WinRar (при закрытии его окна) последней версии сразу же «подтирает» за собой временные файлы, которые создаются при просмотре запароленных файлов архива в %Temp%. Насчёт других архиваторов не знаю.
Так что слава богу ваше предположение не подтвердилось.
Так что слава богу ваше предположение не подтвердилось.
Рано радоваться, если он не затирает место временного файла нулями или еще чем в несколько проходов, опасность сохраняется.
Собственно, никто не мешает злоумышленнику прочитать пароли прямо из сохраненного винраром временного файла. Я вот сейчас попробовал (версия винрара 5.60) — временный прекрасно открывается и читается.
А еще этот временный файл можно попытаться заблокировать, чтобы винрар его не смог удалить.
А еще этот временный файл можно попытаться заблокировать, чтобы винрар его не смог удалить.
Если какая-то программа уже шарится по диску, восстанавливая удалённые файлы, то пить боржоми поздно… (вероятно, в системе орудует товарищ эксперт, а вам отбивают почки товарищи из ФСБ).
Спецслужбам абстрактный Уася неинтересен. А вот воришке Уасины пароли будут очень даже приятны и прельстивы — глядишь, там и про денежки что-нибудь найдется. :)
Тут, конечно, еще вопрос, откуда воришке известно, что Уася хранит пароли в шифрованном винрарном файле. И второй вопрос — если уж удалось поставить свое злобное ПО на Уасин компьютер, то почему бы просто кейлоггером все пароли не выдернуть прямо с клавиатуры. :)
Тут, конечно, еще вопрос, откуда воришке известно, что Уася хранит пароли в шифрованном винрарном файле. И второй вопрос — если уж удалось поставить свое злобное ПО на Уасин компьютер, то почему бы просто кейлоггером все пароли не выдернуть прямо с клавиатуры. :)
Мало того, файл удаляется только если в это время его никто не использует. Скажем, если антивирус будет его проверять в этот момент — файл останется на месте.
Аналогично если открыть файл чтобы взять пароль, то программа (например word), тоже будет блокировать удаление файла, и если закрыть архиватор до закрытия программы просмотрщика — файл опять же останется на месте…
Аналогично если открыть файл чтобы взять пароль, то программа (например word), тоже будет блокировать удаление файла, и если закрыть архиватор до закрытия программы просмотрщика — файл опять же останется на месте…
Когда открываешь текстовый файл — во временной директории или рядом, зачастую создается копия, которая после закрытия файла — удаляется. Но (внезапно!) может быть легко восстановлена или прочитана.
А приватные ключи вы предлагаете каждый раз доставать из архива и подкладывать в %USERPROFILE%\.ssh с последующим их удалением?
десятки паролей такой длинны и сложности что я
вот представьте себе ситуацию когда вам надо зайти на какой-то редкопосещаемый вами сайт. Для этоговам надо скопировать пароль из вашего текстовика. Но проблема в том что за спиной в этой время стоят люди которые могут увидеть все ваши пароли и/или сфоткать на смартфон. В keepass все пароли закрыты звездочками и показываются одинаковой длины. Кстати генерируются они там же. А как вы генерируете свои пароли?
Чувствую мне таки придётся написать статью о том, как пользоваться сливным бачком на унитазе. Просто чтобы быть в тренде.
А лучше-вообще пароли не сохраняйте: память — самая лучшая защита. Туда уж точно никто не залезет!
Да-да… А после пьянки вас ждут мучительные попытки вспомнить, что ж там было.
Вообще — так себе совет. По-хорошему, на каждом ресурсе должен быть свой уникальный пароль, иначе все ваши аккаунты будут скомпрометированы после первой же утечки. И много ли вы уникальных, не связанных друг с другом паролей сможете запомнить?
Есть, конечно, вариант — пароли не запоминать, а «составлять» в уме по каким-нибудь уникальным, известным только вам правилам. Только вот если эти правила сложны — вы сами запаритесь их в уме «проигрывать» для получения пароля. Ну а если они просты — то первый же кулхацкер, разгадавший вашу схему, сможет получить доступ ко всем вашим аккаунтам.
В общем и целом — вариант с хранением паролей в специальном менеджере паролей гораздо надежнее и удобнее.
Я для себя выбрал комбинированную схему:
— пароли от критически важных ресурсов держу в голове (т.е. почта, на которую завязана тьма разных аккаунтов, резервная почта, пароль от облака, где лежит база KeePass, пароль от кошелька с криптовалютой)
— все остальные пароли лежат в KeePass, база которого лежит в облаке с версионированием
— пароль от KeePass я, разумеется, тоже держу в голове
Таким образом, если случится что-то совсем уж невероятное — одновременно помрут десктоп, смартфон и облако (три места где хранится база), то я не потеряю всё, нажитое непосильным трудом (будет, конечно, морока, но восстановить все прочие аккаунты реально).
— пароли от критически важных ресурсов держу в голове (т.е. почта, на которую завязана тьма разных аккаунтов, резервная почта, пароль от облака, где лежит база KeePass, пароль от кошелька с криптовалютой)
— все остальные пароли лежат в KeePass, база которого лежит в облаке с версионированием
— пароль от KeePass я, разумеется, тоже держу в голове
Таким образом, если случится что-то совсем уж невероятное — одновременно помрут десктоп, смартфон и облако (три места где хранится база), то я не потеряю всё, нажитое непосильным трудом (будет, конечно, морока, но восстановить все прочие аккаунты реально).
А ещё доступ к паролям в памяти можно получить с помощью термального криптоанализа
Где же очередной пост нытья о плохой системе оценок, которая не дает прекрасным пользователям с открытыми, добрыми лицами постить на хабр восхитительные посты.
Всё это ерунда! Автор по всей видимости дилетант и не занимался реальным каржем. Возможно, что автор видел какой-то старый стиллак, и понятия не имеет о самых современных разработках, какие у них алгоритмы, как их криптуют кодеры, кто организует пролив, и кто конкретно получает отстук. Над добычей паролей всяких там «богатых буратин», работают целые команды по всему миру, ежедневно разрабатывая всё новые и новые методологии, да, в том числе и через старый добрый фишинг. Но не кипасс, не тем более мастер-пароль, увы, нынче не являются панацеей последней инстанции. И чем богаче «пассажиры», тем они тупее и ленивее, и как правило никто из них не заморачивается подобными антипарольными мерами, не говоря уже про придумывание сложносоставных противобрутфорсовских паролей. Я тоже видел как заходят на десятки тысяч мыл, палочных, шоппинг и банкинг акков. Так что как бы там народ не прятал свои пароли, щас нет особых проблем их добыть и вынести у «пассажира», всё что не «прибито к полу».
Хотите реально защитить свои финансы, аккаунты и почты — просто не имейте их в сети, это единственно действительный способ.
Хотите реально защитить свои финансы, аккаунты и почты — просто не имейте их в сети, это единственно действительный способ.
Это какой-то новый вид суицида аккаунта что-ли?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как защитить свои пароли в 2019