БЛОГ / КОММЕНТАРИИ

ВКонтактик поимели

Интернет

07.06.2016 11:04

Комментарии 63

посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.

гугл-аутентификатором я уже пользовался (для аккаунта одной биткоин-биржи) на гэлэкси с4, не помню только, с каким адроидом, 4.2/4.3 или 4.4. когда с4 сдох, после его замены не было возможности зайти опять на эту биржу (и пароль я тоже забыл). слава богам, что по после контакта с ее техподдержкой по мылу, они дали мне ссылку на сброс пароля и отмену двухфауторной аутентификации с помощью гугла (надо было ввести код, полученный по смс).

только мастер-пароль - никак не годится. как я уже писал в другой теме, недавно обнаружил на компе, как на линуксе, так и на винде (где стояла авира фри) кучу малвари. честно скажу, я - идиот и долгое время пользовался фф-15 из-за одного жизненно нужного расширения, которое стало несовместимым с дальнейшими версия и, чуть позже, вообще всем линуксом без обновлений (в 2013м году несколько месяцев подряд не было времени вдумчиво прочитать последние арч-новости, поправить, что надо, и обновить систему. когда свободное время наконец появлось, обнаружил, что за это время поменялся принцип работы pacman/pacman-keyring и новые ключи не импортируются. короче, обновления стали невозможны). но, судя по дате модификации как минимум одного безусловно зараженного файла (апрель 2012, фф-15 вышел в сентябре того же года), заражение произошло еще до этого. там был, в том числе, и как минимум один кейлоггер. правда, за все это время не было украдено ни одного аккаунта и не были уведены деньги с пэйпала, несмотря на то, что некоторые из важных паролей (фейсбук, аська) хранились в конфигурационном файле пиджина вообще в открытом виде, а другие пароли или вводились вручную (самые важные, в т.ч. пэйпал), или были сохранены в фф/громоптице с постоянно вводимым вручную мастер-паролем.

ptero

08.06.16 21:49

0 0

ptero: посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.

Посоветую Lastpass, потому что сам им пользуюсь. Linux-Windows - бесплатно, Android - придется купить полную версию, но она недорогая - 1 доллар в месяц. Все перечисленное вами поддерживается.

perepelkin

ptero

08.06.16 22:27

0 0

Достаточно простой и эффективный способ генерить и помнить пароли

Да хотя бы

Из ВКонтакта увели базу данных о пользователях

Берете каждую n-ую букву, начиная с первой, в английской раскладке.

начиная со второй итд.

Желательно чтобы ключевая фраза была такой, которую вы постесняетесь произнести перед другими)

liszt

08.06.16 04:57

0 0

А у меня недавно зачем-то угнали аккаунт с кривым именем и простым паролем на reddit. Кому такое богатство потребовалось - ума не приложу...

Stas912

07.06.16 17:10

0 0

Алекс, а у тебя какой антивирус стоит? Просто У Kaspersky Crystal есть свой менеджер паролей - довольно неплохая вещь. Просто отдельно за программу платить не придется.

StaseK_lan

07.06.16 16:19

0 0

Дженнифер Лоуренс, Рианна, Тэйлор Свифт, Кейли Куоко, Джессика Браун Финдлей, Мэри Элизабет Уинстэд, Блейк Лайвли и прочие жертвы Fappening присоединяются к необходимости надежного пароля и многофакторной идентификации.

Smooth Pimp

07.06.16 15:44

0 0

Ха! Мой qwedsa даже не в списках!

Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?

Филин

07.06.16 14:24

0 0

Филин: Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?

Ну банкам же вы доверяете, нет? А у них вообще ваши деньги лежат..
Ну и я полагаю, понятно, что пароли от платёжных систем и онлайн-банкингов по-любому запоминать надо.

neverdie

Филин

07.06.16 15:05

0 0

Филин:
Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?

На том же, что вы доверяете компьютерам вообще. Беспокоящиеся ставят линукс, параноики сами его компилируют из сорцов, остальным и так хорошо.

В принципе, открытый софт достаточно надежен благодаря общественному аудиту, алгоритмы известны, реализация - вот она, ковыряйтесь. И ковыряются, и дыры находят.

Но открытый софт традиционно фронтендами хромает и интеграцией всего и вся, поэтому я выбрал ластпасс. Доверять им у меня никаких причин нет, кроме двух - в случае серьезного косяка ластпасс потеряет больше чем я, поэтому безопасность моих данных для них жизненно важна. Кроме того, Lastpass долгое время имел офисы в одном здании с NSA, значит хотя бы от других разведок какая-никакая защита подразумевается.

А в остальном нету у вас выбора, либо менеджер паролей, либо два-три условно сложных пароля на все случаи жизни.

perepelkin

Филин

07.06.16 15:27

0 0

Бесплатный Lastpass, который хоть типа и вскрывали да как-то не вскрыли, сам заполняет на десктопе все пароли и ничего руками вводить не надо. Платный ластпасс делает все тоже самое и с десктопом и с телефонами.

Пользуюсь. Платным. Лет восемь.

Никуда переходить даже не думаю, особенно после двух якобы "вскрытий". - У ластпасса нет моих паролей, нет и никогда не было, у него сразу все зашифровано. Это можно украсть но прочесть это может только мой локальный клиент. Так что давайте, вскрывайте дальше.

perepelkin

07.06.16 13:40

0 0

Я просто несколько сложных гармоничных комбинаций кнопок запомнил , тупо по месту на клавиатуре, уже физически. Ну и в тайге на камне высек, на случай совсем уж критичных проблем с головой.)

Ничто не мешает всяким менеджерам паролей взломаться или поломаться. Ну и каждый раз лазить туда лениво.

mike7025

07.06.16 13:02

0 0

Получается, что 50 вариантов паролей достаточно, чтобы взломать 4 миллиона аккаунтов. Нормально.

v1adimir

07.06.16 12:28

0 0

Firefox умеет хранить пароли и синхронизироваться между девайсами, так что по не очень важным сайтам можно держать что-то в нем. А для всего остального можно локально Password Boss

MichaelSh

07.06.16 12:18

0 0

Пароли в открытом виде или с возможностью декодирования? Я конечно догадывался что ВК разрабатывали "на коленке", но такие дыры оставлять в 21 веке?

DungeonMaster

07.06.16 12:09

0 0

как-то наткнулся в интернете на очень своеобразный и оригинальный способ хранения паролей с помощью специальной карточки. www.savernova.com

Персональная карточка генерируется на сайте и может быть распечатана или сохранена, например, в телефоне как обычная картинка. Карточку можно показывать кому угодно, запоминать нужно минимум информации. Просто и удобно.

PS. Сам не проверял ещё, потому что пользуюсь KeePassX в линуксе.

try_out

07.06.16 12:08

0 0

Вконтакт отмазывается, мол, база старая.

А вообще соцcети зло.

Перепелкинд

07.06.16 11:29

0 0

Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".

Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

Dr_Alexis

07.06.16 11:23

0 0

Dr_Alexis: Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя". Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

Нет, вы неправильно ставите вопрос - это насколько большая дыра в apple id, что там хранят пароли в открытом виде и знают, какие наиболее популярные 😄.

Ну и прикол еще в том что первый человек, который сделал такой пароль - он же еще не знал, что тот станет популярным. Обрадует ли его apple однажды таким запросом "Извините, ваш пароль стал очень популярным - смените его" 😄?

sambl4

Dr_Alexis

07.06.16 11:26

0 0

Dr_Alexis:
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".

Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

Я пока еще не встречал ни одного ресурса, которы говорил бы "такой пароль популярен", только в анекдотах.

Самое близкое по смыслу что встречалось - это запрет повтора истекшего или скомпроментировавнного пароля.

Впрочем, жизнь сложная и разнообразная штука

W colonel

Dr_Alexis

07.06.16 11:43

0 0

Dr_Alexis: Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".

Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

www.anekdot.ru

Mit

Dr_Alexis

07.06.16 12:16

0 0

Dr_Alexis:
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".

Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

Все понятно, нечетник. Нечетники отстой, четники рулят.

perepelkin

Dr_Alexis

07.06.16 13:46

0 0

Стоило бы упомянуть, что базе года 3-5, и пользователям, которые в неё попали ещё раньше принудительно заставили сменить пароль. А в остальном всё правильно 😉

Mogol

07.06.16 11:19

0 0

Mogol: Стоило бы упомянуть, что базе года 3-5, и пользователям, которые в неё попали ещё раньше принудительно заставили сменить пароль. А в остальном всё правильно

Тем не менее, на случайно проверенных 100 аккаунтах у 92-х пароли из базы подошли 😄 Так что не волнуйтесь, она таки ещё достаточно актуальна 😉

sambl4

Mogol

07.06.16 11:23

0 0

LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.

Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.

А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.

Stealth17

07.06.16 11:17

0 0

Stealth17:
LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.

Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.

А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.

Облака тоже иногда бывают доступны спецслужбам или взламываются. Мой выбор - Keepass с паролем и ключевым файлом, который лежит только на моих компьютерах/планшетах, база лежит на SD-карточке, ее копия - на флешке или другой SD-карточке, которая хранится в другом месте. Если все же выбирать облако, то стоит выбрать MEGA - там дают по 50 гиг, и всё хранится в зашифрованном виде, причем ключей у владельцев облака нет, они хранятся только у клиента, и система предлагает клиенту сразу сохранить у себя fingerprint, без которого никто файлы расшифровать не может. Именно поэтому у MEGA нет и не будет WebDAV и FTP-доступа.

Bekar

Stealth17

07.06.16 11:29

0 0

Ну и славно. Вот только Lastpass значительно менее удобен, чем Roboform. Точнее, он вообще не работает с некоторыми режима входа, с которыми нормально работает Roboform.

Alex Exler

Stealth17

07.06.16 11:44

0 0

Stealth17: Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.

Я какое-то время посвятил поиску альтернатив Lastpass, для меня важно чтоб менеджер не только хранил пароли, это все умеют, но и умел сам их в нужные поля вставлять. Особенно такое умение важно для телефона. На десктопе скопировать-вставить полегче, хоть и напрягает, а на телефоне это уже откровенно неудобно. Так вот я никакой вменяемой альтернативы не нашел, может не там искал, может люди добрые чо посоветуют, а то при всей моей симпатии к ластпассу, запасной вариант надо иметь.

perepelkin

Stealth17

07.06.16 13:45

0 0

Самый прелестный пароль идет под номером 32, жаль, у Носика нету
geektimes.ru

Ogra

07.06.16 11:16

0 0

Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету

https://geektimes.ru/post/276856/

Да уж 😉

Alex Exler

Ogra

07.06.16 11:43

0 0

Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету

https://geektimes.ru/post/276856/

Да ну нах, гон какой-то. Чтоб у всех 33 тыщ на 0211 кончалось? Ни в жисть не поверю))

neverdie

Ogra

07.06.16 14:01

0 0

[QUOTE]Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету ]geektimes.ru
Сразу вспомнилось:

– Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.

Чего он тянет…

Чингиз выдыхает и ледяным голосом произносит:

– Сорок тысяч обезьян в жопу сунули банан.

С.Лукьяненко. "Фальшивые зеркала". )))

barsuk07

Ogra

07.06.16 17:57

0 0

Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.

igori-san°

07.06.16 11:13

0 0

igori-san: Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.

Вот только социальную инженерию никто не отменял. Можно войти в ваш фб и, например, поразводить френдов на деньги. Кто-нибудь да клюнет.

Seneschal°

igori-san°

07.06.16 11:16

0 0

igori-san:
Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.

Вот таких пользователей в первую очередь и имеют. Которые не заморачиваются.

Alex Exler

igori-san°

07.06.16 11:42

0 0

Алекс, а что скажите по поводу 1Password?