"Это немецкое/шведское/японское, а значит хорошее" такой себе аргумент
Да, не значит, что хорошее. Просто это определённые менталитеты и ценности, которые вероятно присутствуют у разработчиков. Но вообще да, это звучит, как бабушкин аргумент.
Вся схема сводится к тому, что надо использовать парольный менеджер, защищённый 2FA. Всё остальное - это бэкапы. Шифруем, прячем, поддерживаем. В идеале никогда не пользуемся. Но в случае чего - они есть.
Я согласен, но акцент сделан на то, что можно посмотреть как система работает под капотом. Грубо говоря, что бы шифратор, который я порекомендовал не использовал md5 для хэширования. Даже когда в README написан какой-то алгоритм, узнать, по каким параметрам он работает можно только из сорсов. Про bitwarden в данном случае согласен. Но эта бреш минимизируется двухвакторкой и дополнительными кусками паролей.
Да... плхоже такая схема в плане безопасности не худа. Мне в этом не хваьило бы веб-клиента, на случай если используется чужое устройство. Но, мне нравится. Обязательно поразмышляю над таким вариантом
Bitwarden доступен, как self-hosted. Можео все данные храниь на своём сервере. Но даже если его хостит ктр-то другой, данных у него всё равно нет. Данные шифруются алгоритмом AES по 256 бинтому ключу, сгенерированному по алгоритму argon2id, настройки которого может менять сам пользователь. Расшифровка происходит исключительно на стороне клиента. Можно накрутить так, что даже всех мощностей гугла, амазона и майкрософта не хватит, что бы расшифровать выша данные за тысячелетия.
С точки зрения брутфорса парольные фразы надёжнее. Слов больше, чем букв. Но вот с точки зрения социального взлома, когда злоумышленник смотрит на то, как вы вводите пароль, понять, что вы пишите слова, и тем более запомнить их с первого раза - на мой взгляд в разы проще, чем случайный набор символов. Если речь о менеджере паролей - аналогично, т.к. не всегда вы вводите пароль на том устройстве, на котором менеджер. Бывает, вы смотрите на него в телефоне и вводите в компьютере. Одного корокого взгляда злоумышленника на фразу будет достаточно, что бы запомнить.
Раскрытие схемы - это как опен сорс :) найти дыры проще, зато в комментариях на эти дыры успеют указать раньше, и укрепят систему.
П.С. если бы была детская порнография или проблемы с налоговой нету ;)
Через QMK можно переопределить кнопки как угодно на железном уровне без особых навыков. Подробнее тут: https://docs.qmk.fm/#/keycodes Но это получается на уровне прошивки. Еще есть тул - VIA (https://www.caniusevia.com) для переопределения клавиш на лету без перепрошивки, но это я пока не пробовал. А вообще всё работает на ATMega (pro micro плата), и тут руки развязаны для любого творчества. Можно даже сделать, что бы клавиатура определялась не как HID, а как что-то другое, но понадобятся углублённые знания С и принципа работы интерфейсов.
А почему тогда современное поколение предпочтает сообщения, а не звонкт? (хотя аудио-сообщения тоже популярны). Если речь идёт о работе, то может клавиатура и не нужна, но для личных переписок в публичных местах без неё никак. Хоть даже она и не физичекая, а на тач-скрине
Я 13 лет назад думал, что тачикрины вытеснят мышки :D
Cherry MX Brown. Сложно оценить ощущения, потому что в предыдущей клавиатуре были такие же, и ощущались так же. Можно сказать, я на них уже 6-ой год. Нравятся.
Очень понимаю. Сам не могу жить без numpad клавиш. И меня сильно удивило, что в дефолтной раскладке lily58 нет навигационных клавиш home, end, pg dn, pg up. И да, переформировывать 20-летнюю привычку - это боль. Особенно, когда хочешь прыгнуть в конец слова нажав ctrl+право, а вместо этого 5 секунд вспоминаешь что надо нажать, что бы попасть в слой со стрелочками, и потом ещё 5 секунд на гимнастику пальцев, что бы нажать одновременно 3 новые кнопки, вместо 2-ух привычных. А ещё в итоге оказывается, что ты нажал shift вместо ctrl, и сработал какой-то неведомый тебе hotkey, и ты понятия не имеешь что произошло. :D Но мне нравится. Это как учить новый язык.
Тоже хотел colemak поставить, но всё же не рискнул и оставил на будущее. На ней надо будет заново учить вводить все пароли. А тап-денс не сильно замедляет?
Это если исходить из точки зрения, что еда влияет на настроение. Но бывает же и наоборот, когда в жизни много стресса, который начинаешь заедать сладостями.
В итоге по метрикам ты увидишь что начал есть больше сладкого, а по записям в дневнике сможешь увидить, что начал делать это, когда начался како-нибудь новый стрессовый проект на работе.
Т.е. начал стрессовать -> начал больше есть сладкого.
Но может и наоборот: начал есть больше мяса -> начал стрессовать.
Это взаимодополняющие данные. Писать что съел и чем запил - это не запись дневника, это треккинг питания (т.е. метрика). По хорошему надо и писать в дневник физические метрики ( что съел), и писать информацию о ментальном состоянии (чтобы потом найти ответ на вопрос, почему съел именно это).
Очень крутая идея. Интересно было бы узнать о результатах применения через пару месяцев. Отпугивают затраты времени на подобные анализы. Одно дело просто перечитывать записи, но совсем другое - анализировать десятки метрик, делить их по периодам и перечитывать записи с целью поиска ответов на конкретные вопросы.
Да, не значит, что хорошее. Просто это определённые менталитеты и ценности, которые вероятно присутствуют у разработчиков. Но вообще да, это звучит, как бабушкин аргумент.
Огромное спасибо! Поправил в публикации.
В случае с argon2id - вычисление хэша пароля зависит не только от производительности CPU, но и от RAM
Извиняюсь. Добавил пометку в скобочках :)
Вся схема сводится к тому, что надо использовать парольный менеджер, защищённый 2FA. Всё остальное - это бэкапы. Шифруем, прячем, поддерживаем. В идеале никогда не пользуемся. Но в случае чего - они есть.
Кстати, схема Шамира не единственная, о других можно почитать тут: https://habr.com/ru/articles/783866/
Я согласен, но акцент сделан на то, что можно посмотреть как система работает под капотом. Грубо говоря, что бы шифратор, который я порекомендовал не использовал md5 для хэширования. Даже когда в README написан какой-то алгоритм, узнать, по каким параметрам он работает можно только из сорсов.
Про bitwarden в данном случае согласен. Но эта бреш минимизируется двухвакторкой и дополнительными кусками паролей.
Не уверен, что это поможет взломать хранилище паролей. Даже не уверен, что он поможет ускорить вычесление хэшей в argon2id. Но я про это мало что знаю
Да... плхоже такая схема в плане безопасности не худа.
Мне в этом не хваьило бы веб-клиента, на случай если используется чужое устройство.
Но, мне нравится. Обязательно поразмышляю над таким вариантом
Спасибо! Действительно достойная альтернатива.
В самом защищённом варианте:
Ctrl+Shift+L (для активации плагина bitwarden)
Ввести мастер пароль от bitwarden
Докоснуться до ключа yubico для авторизации в bitwarden
Дописать вторую часть пароля от аккаунта из головы
Докоснуться до ключа yubico для авторизации в аккаунт
В наиболее частом сценарии только:
Ctrl+Shift+L (для активации плагина bitwarden)
Ввести мастер пароль от bitwarden
Докоснуться до ключа yubico для авторизации в bitwarden
Bitwarden доступен, как self-hosted. Можео все данные храниь на своём сервере.
Но даже если его хостит ктр-то другой, данных у него всё равно нет.
Данные шифруются алгоритмом AES по 256 бинтому ключу, сгенерированному по алгоритму argon2id, настройки которого может менять сам пользователь. Расшифровка происходит исключительно на стороне клиента.
Можно накрутить так, что даже всех мощностей гугла, амазона и майкрософта не хватит, что бы расшифровать выша данные за тысячелетия.
С точки зрения брутфорса парольные фразы надёжнее. Слов больше, чем букв.
Но вот с точки зрения социального взлома, когда злоумышленник смотрит на то, как вы вводите пароль, понять, что вы пишите слова, и тем более запомнить их с первого раза - на мой взгляд в разы проще, чем случайный набор символов.
Если речь о менеджере паролей - аналогично, т.к. не всегда вы вводите пароль на том устройстве, на котором менеджер. Бывает, вы смотрите на него в телефоне и вводите в компьютере. Одного корокого взгляда злоумышленника на фразу будет достаточно, что бы запомнить.
Раскрытие схемы - это как опен сорс :) найти дыры проще, зато в комментариях на эти дыры успеют указать раньше, и укрепят систему.
П.С. если бы была детская порнография или проблемы с налоговой нету ;)
Через QMK можно переопределить кнопки как угодно на железном уровне без особых навыков. Подробнее тут: https://docs.qmk.fm/#/keycodes
Но это получается на уровне прошивки.
Еще есть тул - VIA (https://www.caniusevia.com) для переопределения клавиш на лету без перепрошивки, но это я пока не пробовал.
А вообще всё работает на ATMega (pro micro плата), и тут руки развязаны для любого творчества. Можно даже сделать, что бы клавиатура определялась не как HID, а как что-то другое, но понадобятся углублённые знания С и принципа работы интерфейсов.
А почему тогда современное поколение предпочтает сообщения, а не звонкт? (хотя аудио-сообщения тоже популярны). Если речь идёт о работе, то может клавиатура и не нужна, но для личных переписок в публичных местах без неё никак. Хоть даже она и не физичекая, а на тач-скрине
Я 13 лет назад думал, что тачикрины вытеснят мышки :D
Cherry MX Brown. Сложно оценить ощущения, потому что в предыдущей клавиатуре были такие же, и ощущались так же. Можно сказать, я на них уже 6-ой год. Нравятся.
Очень понимаю. Сам не могу жить без numpad клавиш. И меня сильно удивило, что в дефолтной раскладке lily58 нет навигационных клавиш home, end, pg dn, pg up. И да, переформировывать 20-летнюю привычку - это боль. Особенно, когда хочешь прыгнуть в конец слова нажав ctrl+право, а вместо этого 5 секунд вспоминаешь что надо нажать, что бы попасть в слой со стрелочками, и потом ещё 5 секунд на гимнастику пальцев, что бы нажать одновременно 3 новые кнопки, вместо 2-ух привычных. А ещё в итоге оказывается, что ты нажал shift вместо ctrl, и сработал какой-то неведомый тебе hotkey, и ты понятия не имеешь что произошло. :D
Но мне нравится. Это как учить новый язык.
С https://kriscables.com/lily58/ . Шло из из Португалии в Ригу около 3ёх недель. Проблем не было.
Тоже хотел colemak поставить, но всё же не рискнул и оставил на будущее. На ней надо будет заново учить вводить все пароли.
А тап-денс не сильно замедляет?
А как в RAG происходит поиск нужной записи из векторной базы?
Это если исходить из точки зрения, что еда влияет на настроение. Но бывает же и наоборот, когда в жизни много стресса, который начинаешь заедать сладостями.
В итоге по метрикам ты увидишь что начал есть больше сладкого, а по записям в дневнике сможешь увидить, что начал делать это, когда начался како-нибудь новый стрессовый проект на работе.
Т.е. начал стрессовать -> начал больше есть сладкого.
Но может и наоборот: начал есть больше мяса -> начал стрессовать.
Вот в этом и есть взаимодополнение.
Это взаимодополняющие данные. Писать что съел и чем запил - это не запись дневника, это треккинг питания (т.е. метрика). По хорошему надо и писать в дневник физические метрики ( что съел), и писать информацию о ментальном состоянии (чтобы потом найти ответ на вопрос, почему съел именно это).
Очень крутая идея. Интересно было бы узнать о результатах применения через пару месяцев. Отпугивают затраты времени на подобные анализы. Одно дело просто перечитывать записи, но совсем другое - анализировать десятки метрик, делить их по периодам и перечитывать записи с целью поиска ответов на конкретные вопросы.