Обсуждение методов хранения паролей

Как и 42% респондентов. KeePass

 

А Вы все программы с открытым исходным кодом просматриваете досконально на наличие закладок или косяков в реализации ?

 

@mrFiX, Необязательно это делать самому, ведь большинство подобных программ проходят аудиты экспертов по безопасности...

 

И дырки и косяки все равно находятся.
Идеального ничего нет.

 

В открытом ПО ты о них знаешь, если их находят, и разработчики их "фиксят"
Представь тогда сколько дырок и косяков в проприетарном ПО (Закрытом)...

 

- понятно, что персональная инфобезопасность не ограничивается менеджером паролей... просто мы едим этого слона по частям в данном обсуждении, эта часть слона - менеджер паролей...

 

Windows 10 оказалась непригодной для хранения паролей

Исследователь Тэвис Орманди из Google обнаружил, что встроенный в Windows 10 менеджер паролей Keeper имеет критическую уязвимость в фирменном плагине для браузеров. Благодаря бреши злоумышленники могут получить доступ к сохранённым паролям пользователей через инфицированные веб-сайты. Изначально специалист обнаружил ошибку только в образе Windows 10 для разработчиков, однако на Reddit также сообщается об уязвимости в общедоступных копиях системы. Microsoft отреагировала на разоблачение в интернете и оставила свой комментарий.



Как сообщил представитель редмондской корпорации, разработчики Keeper уже выпустили исправление проблемы, поэтому компьютеры с новейшими версиями ПО не подвержены опасности. Также команда отметила, что уязвимость затронула только тех, кто пользовался плагином Keeper в браузерах.

Помимо этого, энтузиасты спросили у корпорации, проходят ли интегрированные с Windows продукты сторонних разработчиков такую же строгую проверку, как собственное ПО Microsoft, но в компании не ответили на этот вопрос.

Источник: engadget.com

 

Пользуюсь SafeInCloud, бесплатно, удобно, надежно. Платные за пару копеек только программы в AppStore и PlayMarket.
Еще также есть Sticky Password - пожизненная лицензия, но ее десктопная версия мне нравится меньше, чем SafeInCloud.
На мой личный взгляд, лучшее преимущество SafeInCloud - это синхронизация с разными облаками и личный доступ к бэкапу, нет сторонних серверов в цепочке.

 

Абсолютно кардинально иной подход к пониманию паролей. без необходимости в сервисах.
Менеджер паролей только один - личная память

все аккаунты делятся на две группы -
а) ключевые (банки, платежные системы, почта, соц.сети)
б) второстепенные (форумы, блоги, и т.д.)

в отношении первых, любой взлом спасет доп. авторизация по телефону, и индивидуальный сложный пароль, который забыть нельзя. поломать там, особенно, нечего (почта вся уходит оффлайн, миллионы банк не хранит, оскорбления чувств верующих в переписке аккаунтов нет, как и моих фот без трусов)

в отношении второго - насрать, ломайте на здоровье (всегда бесит необходимость, при регистрации, выдумывать сложный пароль). он сейчас упрощенный (универсально удлиненный, чтобы все отстали), везде один, является переходящим от браузерных куки, все браузеры портативны, и везде есть расширение по миграции (раньше открыто хранился, сейчас, в новой версии фаерфокса появился общий мастер-пароль).

так что, не вижу необходимости составлять статистику своего паролетворчества иностранным агентам. вопрос дисциплины - это вопрос личной ответственности, и той конкретики, с которой я разделяю вещи - на значимые (и забыть это = подло), и прочую хрень.

 

Тут я могу лишь порадоваться за твою феноменальную память я тоже раньше так делал, пока количество сервисов не перевалило за несколько десятков. Теперь их пара сотен, в некоторых пароли менять нельзя (зачастую всякие рабочие аккаунты), и запомнить это все мне уже не удается, поэтому и использую менеджер. Ну и записочки, записочки - инфа о серверных настройках, api токенах, ответы на контрольные вопросы и пр. фигня - все в одном месте. Ну удобно просто, и быстро

 

на самом деле, у меня их всего 3-4. сообразно той логике, что расписала, поделив ее на две стороны:
1. пароли для ключевых авторизаций (тут есть три оригинальные, относительно сложные комбинации, которые мне лично нетрудно навечно запомнить)
2. один универсальный длинный пароль (по всем стандартам очень хорошо сложенной комбинации, как того востребуют, который я забиваю не глядя по двум рядам клавиатуры), к интернет-магазинам и прочей лабуде.
первое взломать невозможно. там на все сотовая доп.авторизация. второе - восстановлю через почту, тоже не вижу проблем. в остальном, у меня практикуется принцип, полной синхронизации данных. все свое я всегда сохраняю оффлайн (причем, жесткие настроены еще на зеркалирование - вся информация продублирована). у меня даже каждая складчина, что здесь оплатила (а их уже скоро будет 500), сохранена со своей страницей (самой складчины, и библиотеки выдачи, т.к. там часто нужные пояснения есть).

 

@Anyaax, да, полностью согласен с тобой) По всем поводам, в т.ч. зеркалированию
Тут тонкость только во втором пункте, и не на твоей стороне, а на стороне сервисов вроде почт/магазинов/прочей фигне - если один из них плохо обращается с паролями (сохраняет хеши без соли или, не дай бог, вовсе не хеширует пароли), то взлом этого сервиса сольет твой пароль, ну и дальше по-хорошему, тебе придется менять пароли на всех второстепенных сервисах. Так как первое, что будет опробовано, если захотят взломать именно тебя - уже известные твои пароли.
С другой стороны они на то и второстепенные, что и фиг с ними - даже если кто-то посмотрит на твои данные день-два - ничего страшного не будет. Тогда главное, чтобы ты в них не сохраняла sensitive data - например, свои адреса доставки, реквизиты БК для быстрой оплаты и пр. штуки.
В общем, у меня такие мысли.

 

базара нет ). тем кто захочет провести персональное расследование, ситуация упрощается. может автоматом найти мои аккаунты по всем интернет-магазинам почти. вроде бы, там нигде вибратора в истории покупок нет ("но это не точно" (с)

 

Уязвимость в ЦП Intel: затронуты Windows и Linux, закрытие уязвимости приведёт к падению производительности до 30%

Оригинал

 

С новым годом!
(К посту выше)

Уявизмость, по сути, позволяет прочитать информацию из защищенного кэша памяти ядра, а там хранятся логины, пароли и кэш файлов жесткого диска.
Получить данные можно даже с помощью кода на JavaScript запущенного прямо в браузере.

Уязвимости подвержены все ОС.
Экстренные патчи для Windows 10 и Linux были выпущены несколько часов назад, а Apple частично пофиксила уязвимость еще 6 декабря.

Основная проблема состоит в том, что после установки патча, исправляющего уязвимость - производительность процессора может упасть на 5-30%, в зависимости от приложения.

Демонстрация уязвимости

Еще можно почитать:
FAQ по Чипокалипсису: что известно о масштабной уязвимости процессоров
Microsoft выпустила экстренное обновление Windows из-за уязвимости в процессорах Intel
CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?
Так ли страшен KAISER, как его малюют

Продолжаем следить и офигевать за новостями...

 

А вот вам и видео, где достаточно просто все по полочкам разложил Дмитрий Бачило

 

Я использую алгоритм SuperGenPass.
Логика очень простая: многократный хэш на основе открытого и закрытого ключей. Например, домен + ключевое слово. Длина пароля и алгоритм могут меняться (md5, sha2, sha3). На основе этого многократно (больше 10раз) вычисляется хэш функция, пока не будет удовлетвлрять определенным условиям. И нигде ничего не хранится. Ну если только на бумажке или файлике длины/алгоритмы.
Сам алгоритм расчета пароля прост и надежен как топор. Можно накидать на любом современном ЯП. На том же питоне.

 

Про мобильные устройства​

Как уязвимости Meltdown и Spectre влияют на ваш смартфон

Pegasus: тотальная слежка на iOS и Android

 

народ а есть такая же тема по linux?

 

Какая, уязвимости? От платформы не зависит ((