Ну тут не то что "не для ленивых", просто область применения, исходя из статьи, как будто размыта - для личных дел, имхо, это переусложнение, а для работы есть рабочие таск-трекеры и не надо это смешивать
Все еще не понятно: ну то есть, можно хоть свой клиент написать и api напрямую дергать, не говоря уже про pop/imap, хоть с pgp, хоть с ssh, в чем претензия именно к протону?
А вас не смущает, что master — это ветка, в которой закончила выполняться предыдущая команда.
Не смущает, потому что это текущая ветка, в контексте которой будет выполняться следующая команда. Вот сейчас в промпте написано "master", делаю git switch -c feature и после выполнения написано "feature" - значит ли это что git switch выполнялся на ветке feature? не думаю.
В остальном - довольно трудно предугадать время выполнения и exit code не предыдущей команды.
Я понимаю, что тут скорее вопрос из разряда "а вы уверены что оно вам прям надо?" и отвечу за себя, но думаю что кто-то так же считает - да надо, что перестанет быть полезным выпилится, что будет нужно - добавится. Я например так в statusline tmux'а перенес часть информации - она мне не нужна была в промпте, но нужна на экране.
Вообще не факт, что пароль для разблокировки хранилища (мастер-пароль или мастер-фраза) будут меньшего размера - здесь применимы все те же приемы что и для обычного пароля.
У вас у всех одна и та же логическая ошибка - вы упорно и, склрее всего, сознательно, приписываете общие уязвимости, присущие любому методу аутентификации, исключительно паролям
Да откуда вы это взяли? где я хоть раз это написал? У любого способа авторизации есть уязвимости, просто у паролей их больше - ниже уже писал об этом, что у случае пасскея/сертификатов (практически, но не теоретически) не работают например такие приемы как подбор и радужные списки. Это не повод не использовать пароли или не использовать пасскеи.
Вот 5 минут назад авторизовывался с ноутбука в chrome canary - он просит мой юбикей, мне было лень за ним идти и я вошел по паролю с двухфакторкой через телефон. В другом случае, у меня юбик будет в порту и мне будет лень идти за телефоном - войду по нему.
Три неверных ввода - кулдаун 5-10 минут, 10 неверных вводов - кулдаун сутки или блокировка. Велкам, брутфорс.
Сможете отдать свой телефон хакерам для проверки попытки взлома? а спецслужбам? я вот нет, несмотря на то что и пароли, и двухфакторки, и пасскеи - везде включено все что можно.
Ну и у меня, например, основное банковское приложение закрыто на полноценный 12-символьный пароль, а не на пин-код.
Ну правильно же, где я хоть слово против этого сказал?
Цель - получить доступ. Вы после использования банковского приложения нажимаете кнопку "выйти"? Если нет, а именно это я писал выше, то в памяти телефона остались куки с вашей последней авторизации и мне нет смысла узнавать пароль от самого банкинга, достаточно подобрать пароль от приложения - у приложения альфы например это 4 цифры, у сбера 5 (у других не знаю), есть куча софта для брутфорса таких паролей, начиная от самого примитивного (https://github.com/stevebalk/android_pin_brute_force) и заканчивая корпоративными решениями (https://cellebrite.com/en/products/guardian/guardian-forensics/).
Плюс, доступ к телефону = доступ к номеру, а значит "забыл пароль, код на сброс в sms" и подобные вещи реализуемы.
Конечно, можно сказать "а у меня на другой номер все" - ну значит тогда у вас с большей вероятностью или несколько sim в одном (и тогда нет никакой разницы) или не один телефон с собой, что поможет только в очень узком сценарии типа "у меня вытащили из кармана телефон, но не тот а-ха-ха"
Ещё раз повторю, на всякий случай: в предельном случае пасскей не безопаснее пароля, в остальных - пасскей точно менее безопасен, чем пароль.
Аргументы? Как минимум не существует такой вещи как "самые распространенные пасскеи", которые можно перебрать, радужных таблиц для них тоже нет, таблиц хэшей и тому подобное
Но если вы на минутку отвлечетесь от своего юношеского максимализма и допустите существование способов взлома, не связанных с прямым воздействием на носителя доступа,
А где я это отрицал? или писал что пароли хуже? Изначально это ответ на то, что мол "пароль не зависит от произвола" - оспаривалась эта наивная позиция.
А пароль - он в голове. И не зависит от произвола государств и корпораций
Интересна битва такого юношеского максимализма и терморектального криптоанализатора, кто победит.
Еще удивляют "политики безопасности", когда в корпоративных системах заставляют раз в месяц менять пароль, причем запоминают предыдущие и не дают их использовать. Зачем? От кого эта защита? От самих пользователей?
Вот уж действительно
недорос еще до компьютеров, иди смотри телевизор
Предлагаю тогда и куки везде бессмертными сделать и кнопки logout везде выпилить, чего уж мелочиться.
использую некий стандартный пароль и к нему добавляю цифры месяца и года
А вот это уже нормально, только цифры числа месяца и года имеют низкую энтропию, лучше чтото подлиннее
В контексте обсуждения про доступ к устройству - у вас нет приложений на телефоне, а все сервисы вы посещаете через инкогнито в браузере? если нет, то неважно что пароль у вас в голове
Ну тут не то что "не для ленивых", просто область применения, исходя из статьи, как будто размыта - для личных дел, имхо, это переусложнение, а для работы есть рабочие таск-трекеры и не надо это смешивать
Будет актуально всегда
Так у протона есть поддержка pgp
А сообщением выше было наоборот
Вышеупомянут был gmail; по какому определению его безопасность лучше протоновской?
Я не топлю за протон, сам пользуюсь и им, и gmail, и icloud, но пока вижу не аргументы, а мнение
Все еще не понятно: ну то есть, можно хоть свой клиент написать и api напрямую дергать, не говоря уже про pop/imap, хоть с pgp, хоть с ssh, в чем претензия именно к протону?
В чем проблема протона? Не шучу - реально интересно
Пока очень сильно напоминает мой собственный конфиг
Буду ждать 2ю и 3ю части
Не совсем понял, чем лучше если изначально была задача писать в status-line tmux'а, а не в PROMPT?
Результат напоминает о моей "мечте"
Надеюсь когда-нибудь поменять свою ergohaven k:03 pro на эту красоту
Не смущает, потому что это текущая ветка, в контексте которой будет выполняться следующая команда. Вот сейчас в промпте написано "master", делаю git switch -c feature и после выполнения написано "feature" - значит ли это что git switch выполнялся на ветке feature? не думаю.
В остальном - довольно трудно предугадать время выполнения и exit code не предыдущей команды.
Я понимаю, что тут скорее вопрос из разряда "а вы уверены что оно вам прям надо?" и отвечу за себя, но думаю что кто-то так же считает - да надо, что перестанет быть полезным выпилится, что будет нужно - добавится. Я например так в statusline tmux'а перенес часть информации - она мне не нужна была в промпте, но нужна на экране.
Вообще не факт, что пароль для разблокировки хранилища (мастер-пароль или мастер-фраза) будут меньшего размера - здесь применимы все те же приемы что и для обычного пароля.
Так же как и пароль - никак
Да откуда вы это взяли? где я хоть раз это написал? У любого способа авторизации есть уязвимости, просто у паролей их больше - ниже уже писал об этом, что у случае пасскея/сертификатов (практически, но не теоретически) не работают например такие приемы как подбор и радужные списки. Это не повод не использовать пароли или не использовать пасскеи.
Вот 5 минут назад авторизовывался с ноутбука в chrome canary - он просит мой юбикей, мне было лень за ним идти и я вошел по паролю с двухфакторкой через телефон. В другом случае, у меня юбик будет в порту и мне будет лень идти за телефоном - войду по нему.
Сможете отдать свой телефон хакерам для проверки попытки взлома? а спецслужбам? я вот нет, несмотря на то что и пароли, и двухфакторки, и пасскеи - везде включено все что можно.
Ну правильно же, где я хоть слово против этого сказал?
А вы не путаете пароль приложения и пароль сервиса? Приложение у вас прям просит логин/номер телефона/почту каждый раз после сворачивания?
Цель - получить доступ. Вы после использования банковского приложения нажимаете кнопку "выйти"? Если нет, а именно это я писал выше, то в памяти телефона остались куки с вашей последней авторизации и мне нет смысла узнавать пароль от самого банкинга, достаточно подобрать пароль от приложения - у приложения альфы например это 4 цифры, у сбера 5 (у других не знаю), есть куча софта для брутфорса таких паролей, начиная от самого примитивного (https://github.com/stevebalk/android_pin_brute_force) и заканчивая корпоративными решениями (https://cellebrite.com/en/products/guardian/guardian-forensics/).
Плюс, доступ к телефону = доступ к номеру, а значит "забыл пароль, код на сброс в sms" и подобные вещи реализуемы.
Конечно, можно сказать "а у меня на другой номер все" - ну значит тогда у вас с большей вероятностью или несколько sim в одном (и тогда нет никакой разницы) или не один телефон с собой, что поможет только в очень узком сценарии типа "у меня вытащили из кармана телефон, но не тот а-ха-ха"
Аргументы? Как минимум не существует такой вещи как "самые распространенные пасскеи", которые можно перебрать, радужных таблиц для них тоже нет, таблиц хэшей и тому подобное
А где я это отрицал? или писал что пароли хуже? Изначально это ответ на то, что мол "пароль не зависит от произвола" - оспаривалась эта наивная позиция.
А зачем мне пароль как таковой если есть куки авторизации? Смысл то доступ к сервису получить, а не просто пароль узнать
Интересна битва такого юношеского максимализма и терморектального криптоанализатора, кто победит.
Вот уж действительно
Предлагаю тогда и куки везде бессмертными сделать и кнопки logout везде выпилить, чего уж мелочиться.
А вот это уже нормально, только
цифрычисла месяца и года имеют низкую энтропию, лучше чтото подлиннееВ контексте обсуждения про доступ к устройству - у вас нет приложений на телефоне, а все сервисы вы посещаете через инкогнито в браузере? если нет, то неважно что пароль у вас в голове
Metal Gear Solid 4 все еще заперт на playstation 3
эх если бы