А где и как вы держите пароли?
keepass
keepass + какое-нибудь облачное хранилище
keepass есть под все платформы и судя по обзорам весьма неплох
keepass есть под все платформы и судя по обзорам весьма неплох
Когда-то им пользовался, но со временем стала напрягать зависимость от проприетарной и закрытой технологии. Пока шёл сканадал со сноуденом, я осознал, что майкрософт с потрохами продался, ставит намеренные бекдоры, ненамеренные (эксплойты) сливает до официальной публикации и до выпуска фиксов, напрямую отсыпает пользовательских данных прямо со своих облачных хранилищ, и потому решил слезть с него. Пока в качестве замещения использую pwsafe gorilla. Из приятного - наличие cli интерфейса вдобавок к gui. Позволяет вытащить пароль, если ты себе сломал иксы в процессе обновления, например.
А собственные велосипеды? Условный солёный md5 от адреса сайта?
Плюс - если не слишком сложно, всегда можно воспроизвести алгоритм на js, например. Это хуже, чем воспроизвести на листке бумаги, но лучше, чем ваши варианты в плане "вспоминания" пароля.
Плюс - если не слишком сложно, всегда можно воспроизвести алгоритм на js, например. Это хуже, чем воспроизвести на листке бумаги, но лучше, чем ваши варианты в плане "вспоминания" пароля.
В голове, меняю раз в полгода
Когда-то им пользовался, но со временем стала напрягать зависимость от проприетарной и закрытой технологии.
Если он лежит в основной ветке Mageia, то он точно открытый по OSI приемлемой лицензией.
О какой закрытости ты говоришь?
О какой закрытости ты говоришь?это же айвенго
ЗЫ в каком месте keepass от майкрософта?
ЗЫ в каком месте keepass от майкрософта?Он про криптолибы от МС. Про их спецальнодырность хорошо известно. На опеннете про это проскакивала новость. Использовать их для безопасных программ крайне не рекомендуется, если действительно безопасность нужна.
> штука, которая для меня по названию сайта покажет его пароль с понятным мне и запутанным внешне алгоритмом генерации
security through obscurity - не выход [для параноика]
> без телефона-интернета-компьютера их вспоминать
и что с ним дальше делать без телефона-интернета-компьютера?
> Расскажите ваш секрет успеха.
security through obscurity - не выход [для параноика]
> без телефона-интернета-компьютера их вспоминать
и что с ним дальше делать без телефона-интернета-компьютера?
> Расскажите ваш секрет успеха.
$ openssl aes-256-cbc -d -in ~/Dropbox/pass.txt | grep forumbgz
и что с ним дальше делать без телефона-интернета-компьютера?
Интернета - я погорячился, без моего телефона, моего компьютера, моего браузера.
Основная цель - иметь совершенно разные и независимые друг от друга пароли для разных сервисов. Этой цели удовлетворяет кейпасс, например. Паранойя тут не причем. Не хочется, чтобы по уведенному паролю от говносервиса увели пароль от другого сервиса.
Побочная цель - возможность воспроизвести пароль без доступа к условному кейпассу.
Позволяет вытащить пароль, если ты себе сломал иксы в процессе обновления, например.Линупс мегастабильный. Можно сломать иксы апддейтом.
ЗЫ в каком месте keepass от майкрософта?когда я им последний раз интересовался, он был на дотнете. На моно не пускался, я пробовал. Старая версия была на си, она работает.
Линупс мегастабильный. Можно сломать иксы апддейтом.Можно подумать, в венде нельзя. Ставишь новую версию видеодров и ловишь бсод внезапно.
хранить где-то пароли-отстой. Только в голове.
Я бы поспорил. У меня вот больше сотни различных логинов во всякие форумы, личные кабинеты и т.п. Очевидно все их запомнить можно конечно, но нахер не нужно.
Тогда у нас есть два варианта: придумывать механизм генерации пароля на основании имена сервиса или заводить одинаковые пароли для разных сервисов. Первый вариант плох, тем что например кролик, посмотрев твой пароль в логах на форуме, покумекает денёк и разгадает алгоритм и прощай приваты вконтактика (ну если ты конечно md5 в уме не считаешь). Второй вариант плох тем, что при компрометации одного из сервисов ( о которой ты можешь даже не узнать) компрометируются остальные сервисы с этим паролем. Первое и второе частично решается придумыванием разных паролей/механизама генерации разного уровня приватности.
+ у некоторых сервисов уебищные требования к паролям и твой механизм генерации становится не рабочим и стандартный пароль может не подойти. Например личные кабинеты мгтс, билайн и т.п. требуют только цифры в пароле.
+ на некоторых сервисах может отличаться логин и при генерации тебе напишут требования, а при вводе поди вспомни что здесь логин без подчёркивания.
+ некоторые логин-пароли вообще не твои, генерировал не ты, но тебе надо им пользоваться (у меня например от папочкиного хостинга)
по этому очевидно где-то надо записывать пароли.
естественно складывать самые приватные пароли с самыми ходовыми и не важными в одну корзинку не стоит.
у меня например две базы данных keepassx
одна с основной массой мало важных паролей. она синхронизируется между всеми устройствами (в том числе телефоном) через btsync. на личном ноуте она даже постоянно открыта и не блокируется.
вторая база с паролями от почты и доменов - она никуда не синхронизируется. только бэкапится в составе зашифрованного хранилища на удалённую машину.
подумываю завести третью, разбив вторую на две части.
Тогда у нас есть два варианта: придумывать механизм генерации пароля на основании имена сервиса или заводить одинаковые пароли для разных сервисов. Первый вариант плох, тем что например кролик, посмотрев твой пароль в логах на форуме, покумекает денёк и разгадает алгоритм и прощай приваты вконтактика (ну если ты конечно md5 в уме не считаешь). Второй вариант плох тем, что при компрометации одного из сервисов ( о которой ты можешь даже не узнать) компрометируются остальные сервисы с этим паролем. Первое и второе частично решается придумыванием разных паролей/механизама генерации разного уровня приватности.
+ у некоторых сервисов уебищные требования к паролям и твой механизм генерации становится не рабочим и стандартный пароль может не подойти. Например личные кабинеты мгтс, билайн и т.п. требуют только цифры в пароле.
+ на некоторых сервисах может отличаться логин и при генерации тебе напишут требования, а при вводе поди вспомни что здесь логин без подчёркивания.
+ некоторые логин-пароли вообще не твои, генерировал не ты, но тебе надо им пользоваться (у меня например от папочкиного хостинга)
по этому очевидно где-то надо записывать пароли.
естественно складывать самые приватные пароли с самыми ходовыми и не важными в одну корзинку не стоит.
у меня например две базы данных keepassx
одна с основной массой мало важных паролей. она синхронизируется между всеми устройствами (в том числе телефоном) через btsync. на личном ноуте она даже постоянно открыта и не блокируется.
вторая база с паролями от почты и доменов - она никуда не синхронизируется. только бэкапится в составе зашифрованного хранилища на удалённую машину.
подумываю завести третью, разбив вторую на две части.
огда я им последний раз интересовался, он был на дотнете. На моно не пускался, я пробовал. Старая версия была на си, она работает.он и счас на дотнете. это два разных приложения от разных авторов: keepass и keepassx
причём keepass счас изменил мажорную версию на 2 и его новые базы данных не совместимы со старой версией. по этому пока сидим на keepaasx со старыми базами.
больше сотни различных логинов во всякие форумы
Не думаю, что здесь много людей, имеющих столько логинов
Ну и не обязательно иметь разные пароли для каждого логина.
У меня около 10 паролей, есть соответственно не очень важные, которые используются часто на трешовых сервисах и там, где не очень часто бываю, есть средние по важности-используются реже. В основном для почт, стим-аккаунтах, есть супер важные, которые используются для инет-банков и нигде больше.
Периодически все меняется. Не вижу смысла под каждый сервис новый пароль заводить.
Не думаю, что здесь много людей, имеющих столько логинов
Не думаю, что тут есть люди у которых меньше. Прости ты поди никогда не задумывался не пробовал выписать все-все сервисы, где ты регистрировался.
Для напоминания можешь поискать иконки социальных сервисов: http://iconbird.com/search/?q=iconset:Matart%20Social%20Icon... - 42 иконки. наверняка в большей части сервисов у тебя есть учётки.
И это не считая почт, банков, бесконечных личных кабинетов, форумов, интернет-магазинов и т.п.
У меня около 10 паролей, есть соответственно не очень важные, которые используются часто на трешовых сервисах и там, где не очень часто бываю, есть средние по важности-используются реже. В основном для почт, стим-аккаунтах, есть супер важные, которые используются для инет-банков и нигде больше.ну у меня приблизительно такая же схема была долгие годы. но потом я пришёл к тому, что это не удобно. а в плане секьюрности это хранение в голове 10 паролей ничуть не лучше, чем индивиндуальный пароль для каждого сервиса и несколько хранилищ.
P.S. Всё-таки странные представления о важности логинов. почему почта и стим аккаунта в одном уровне, а банки в другом уровне?
по мне так важность стим-учётки, амазона, пейпела и банков приблизительно на одном уровне, а почта важнее.
ну кому как удобнее.
Лолват? Какой бсод от видеодров? Ты винду какую видел последний раз? 98 чтоле?
Лолват? Какой бсод от видеодров?Они только цвет поменяли с синего на чёрный. Но я этот бсод на семёрке несколько раз видел в том числе от установки дров. Правда не видео.
Ну вот пример с видео
http://answers.microsoft.com/ru-ru/windows/forum/windows_7-s...
Там чувак пишет, что у него и со старыми дровами скайрим бсодил. Так что проблема точно не в дровах или винде, а в железе. Я на своих компах бсода не видел уже очень давно.
Ну вот тут чуваки пишут, что откатываются и у них всё пашет ок
http://forum.ixbt.com/topic.cgi?id=4:112228
http://forum.ixbt.com/topic.cgi?id=4:112228
Не думаю, что здесь много людей, имеющих столько логиновНу он же не разные/одинаковые пароли считает, а разные сервисы, на которых он зареган. А их реально нужно считать десятками, если не сотнями.
Ну и не обязательно иметь разные пароли для каждого логина.
У меня около 10 паролей, есть соответственно не очень важные, которые используются часто на трешовых сервисах и там, где не очень часто бываю, есть средние по важности-используются реже. В основном для почт, стим-аккаунтах, есть супер важные, которые используются для инет-банков и нигде больше.
Периодически все меняется. Не вижу смысла под каждый сервис новый пароль заводить.
Тогда у нас есть два варианта: придумывать механизм генерации пароля на основании имена сервиса или заводить одинаковые пароли для разных сервисов. Первый вариант плох, тем что например кролик, посмотрев твой пароль в логах на форуме, покумекает денёк и разгадает алгоритм и прощай приваты вконтактика (ну если ты конечно md5 в уме не считаешь).как будто браузер нельзя заставить автоматом считать md5 - посмотри как сделан password hasher.
Нельзя. Точнее можно, но это нужно какое-то дополнение, метод как задавать от чего считать хэш, метод определения когда его использовать, не везде пройдёт md5 по требованиям. А главное, если ты не делаешь это в уме, а требуется установка софта и существования какого-то мастер-пароля (который например будет хэшироваться с доменым именем), то почему бы не заюзать софт хранения паролей. У того есть ключа плюсов: например лёгкая возможность сменить пароль только для одного ресурса. При алгоритме генерации на основании имени ресурса придётся менять пароли на всех сайтах с таким алгоритмом, иначе он теряет смысл.
Нельзя. Точнее можно, но это нужно какое-то дополнение, метод как задавать от чего считать хэш, метод определения когда его использовать, не везде пройдёт md5 по требованиям. А главное, если ты не делаешь это в уме, а требуется установка софта и существования какого-то мастер-пароля (который например будет хэшироваться с доменым именем), то почему бы не заюзать софт хранения паролей. У того есть ключа плюсов: например лёгкая возможность сменить пароль только для одного ресурса. При алгоритме генерации на основании имени ресурса придётся менять пароли на всех сайтах с таким алгоритмом, иначе он теряет смысл.я же тебе русским языком сказал - сходи посмотри, там все пречисленные тобой недостатки решены.
Сходил посмотрел.
Но как оно решает проблему
Так же оно не решает проблему запоминания логинов, криво решает проблему создания различных учётных записей для одного домена (например у меня 4 гмыловских ящика), требует запоминания где какие требования к паролю (например ты по-умолчанию используешь 12 символов, но банк авангард позволяет поставить только 10).
Я не спорю, что можно нагородить костылей, но зачем? И в чём профит по сравнению с хранилищем паролей?
Но как оно решает проблему
При алгоритме генерации на основании имени ресурса придётся менять пароли на всех сайтах с таким алгоритмом, иначе он теряет смысл.?
Так же оно не решает проблему запоминания логинов, криво решает проблему создания различных учётных записей для одного домена (например у меня 4 гмыловских ящика), требует запоминания где какие требования к паролю (например ты по-умолчанию используешь 12 символов, но банк авангард позволяет поставить только 10).
Я не спорю, что можно нагородить костылей, но зачем? И в чём профит по сравнению с хранилищем паролей?
>При алгоритме генерации на основании имени ресурса придётся менять пароли на всех сайтах с таким алгоритмом, иначе он теряет смысл.
это вообще какой-то поток слов, переведи его для начала на русский.
>Так же оно не решает проблему запоминания логинов, криво решает проблему создания различных учётных записей для одного домена (например у меня 4 гмыловских ящика),
я не говорил что оно решает все проблемы, я говорил что перечисленные в том посте проблемы решены.
>требует запоминания где какие требования к паролю (например ты по-умолчанию используешь 12 символов, но банк авангард позволяет поставить только 10).
ты так и не посмотрел, что-ли? это как раз решено вполне успешно.
это вообще какой-то поток слов, переведи его для начала на русский.
>Так же оно не решает проблему запоминания логинов, криво решает проблему создания различных учётных записей для одного домена (например у меня 4 гмыловских ящика),
я не говорил что оно решает все проблемы, я говорил что перечисленные в том посте проблемы решены.
>требует запоминания где какие требования к паролю (например ты по-умолчанию используешь 12 символов, но банк авангард позволяет поставить только 10).
ты так и не посмотрел, что-ли? это как раз решено вполне успешно.
KeePass + синхронизация с моим FTP. Соответственно, KeePassDroid не телефоне и синхронизация его же с моим FTP.
Вроде, очень популярный LastPass, но хз насколько подходит под твои требования.
это вообще какой-то поток слов, переведи его для начала на русский.ну без контекста - да. в контексте вроде понятнее. но поясню на примерах:
допустим я юзаю пасворд хэшер. причём принцип по которому я генерирую пароль всегда один и тот же: (имя домена 2 уровня без первого уровня + логин слитно без пробелов) в качестве идентификатора ресурса, 12 символов, все типы символов и ключевое слово megapass. Для моего текущего логина сюда на форум это получается допустим tOe8ytsadSrF (плагин я уже удалил). Потом выясняется что пароли хранятся на форуме плэйнтекстом и кролик получила доступ ко всей базе паролей и выложила её на пастебин. Очевидно механизм генерации паролей для меня не скомпрометирован, но конкретно этот пароль необходимо сменить. Для этого мне надо что-то поменять в механизме генерации. Например принцип генерации уникального идентификатора ресурса или кол-во символов или мастер-пароль.
Потом надо запомнить что именно и как поменял для логина на forumlocal.ru.
Если ты меняешь пароли на отдельных ресурсах хотя бы раз в пару месяцев, то через несколько лет станет проблемой вспомнить где и какой алгоритм генерации ты используешь.
Как альтернатива: в случае если один из алгоритмов генерации даёт скомпрометированный результат, то менять механизм генерации для всех ресурсов, где он используется. Очень трудозатратно, надо помнить где именно ты зарегистрирован и т.п.
Я понятно перевёл на русский?
я не говорил что оно решает все проблемы, я говорил что перечисленные в том посте проблемы решеныне все - читай выше.
ты так и не посмотрел, что-ли? это как раз решено вполне успешно.я не тестил - только в настройки посмотрел. ну допустим он сохраняет где-то эти данные. где это место? в каком виде он их сохраняет? как зайти в свою почту из какого-то другого места кроме этого компьютера? плагин то можно поставить и вбить в него мастер пароль, но как вспомнить какие ограничения у тебя на какой сайт? так один хрен придётся запоминать.
>Я понятно перевёл на русский?
Вполне. Эта проблема отлично решена.
>не все - читай выше
Читай выше.
>я не тестил - только в настройки посмотрел. ну допустим он сохраняет где-то эти данные. где это место? в каком виде он их сохраняет? как зайти в свою почту из какого-то другого места кроме этого компьютера? плагин то можно поставить и вбить в него мастер пароль, но как вспомнить какие ограничения у тебя на какой сайт? так один хрен придётся запоминать.
Для ответа на эти вопросы достаточно прочитать описание, не обязательно даже ставить его.
Если вкратце - в базе паролей, можно экспортнуть эти настройки и получить портабл версию - страничку со всеми настройками для всех сайтов, которую синхронизировать любым из доступных тебе методов. При этом ничего кроме произвольного браузера и знания мастер-пароля на другом компьютере не нужно.
Вполне. Эта проблема отлично решена.
>не все - читай выше
Читай выше.
>я не тестил - только в настройки посмотрел. ну допустим он сохраняет где-то эти данные. где это место? в каком виде он их сохраняет? как зайти в свою почту из какого-то другого места кроме этого компьютера? плагин то можно поставить и вбить в него мастер пароль, но как вспомнить какие ограничения у тебя на какой сайт? так один хрен придётся запоминать.
Для ответа на эти вопросы достаточно прочитать описание, не обязательно даже ставить его.
Если вкратце - в базе паролей, можно экспортнуть эти настройки и получить портабл версию - страничку со всеми настройками для всех сайтов, которую синхронизировать любым из доступных тебе методов. При этом ничего кроме произвольного браузера и знания мастер-пароля на другом компьютере не нужно.
Я, кстати, остановился пока что на Enpass. Глазу приятный, клиенты для десктопов бесплатные (линукса нет и пока не надо), для четырёх больших мобильных осей клиенты есть, синхронизируются пароли через дропбокс.
Веб-версии, к сожалению, нет.
В общем, он никак не решает побочную задачу.
Веб-версии, к сожалению, нет.
В общем, он никак не решает побочную задачу.
Оставить комментарий
Anton456
Надоело пользоваться небольшими модификациями нескольких паролей и все их держать в голове.Наверное, хочется их как-то генерировать классно, но при этом иметь возможность (хотя бы теоретическую) без телефона-интернета-компьютера их вспоминать. То есть в идеале должна быть какая-то кроссплатформенная штука, которая для меня по названию сайта покажет его пароль с понятным мне и запутанным внешне алгоритмом генерации, который при желании я мог бы воспроизвести на листке бумаги.
Расскажите ваш секрет успеха.