Последние года 2 - 3 стал замечать, что стал путать (и даже забывать) пароли различных систем (почты, аськи и пр.). Вчера чуть было не загубил пароль для входа в один банк, после третьей попытки ввода угрожали проблемами). Один и тот же ВЕЗДЕ использовать опасно, записывать куда-то - потеряешь..
Кто как решает проблему?

(61) Чем сложнее система - тем вероятнее сбой. И вот когда он произойдет - вот тогда ущерб будет максимален.

+70 Самая большая угроза - это если все винчестеры украдут, со всеми копиями - вот тогда будет жо-па.

ничто не помогает забыть пароль, как флажок "запомнить пароль" =)

(74)+ лучше всего забыть пароль - поставить флажок "запомнить пароль" =)

(66)Реальные риски есть -
Во первых на комьпьютере может быть кейлоггер.
Во вторых при передаче по сети, можешь набрать где-нибудь без https и его заснифят по сети.

(76) см (24)

[двухуровневая аутетификация, после ввода мастер пароля нужно вводить одноразовый код, получаемы в смс или генеруемый специальным офф-лайн приложением на смартфоне (ios/android)]
http://helpdesk.lastpass.com/security-options/google-authenticator/

(71) Ты ничего не знаешь о том, что я имела в виду. Речь вообще не о паролях как таковых.
(72) Какая ещё система? Сохранить свою ОС в целостности - это не "сложная система". В конце-концов, есть один простой и гарантированный способ избежать такого рода рисков - иметь некую чистую систему, и, если нужно посмотреть пароли - загружаться из-под неё и там смотреть. Но это несколько хлопотнее, и должны быть серьёзные опасения, чтобы так делать. У меня пока нет таких опасений. Если бы кто-то что-то у меня утаскивал, какие-то данные, то я бы это давно увидела. Но просто нет этого.

(76) Во-первых, откуда у меня возьмётся кейлоггер?
А, во-вторых, я всё равно смотрю, какие работают процессы и службы, увидела бы кейлоггер, если бы он был.

"Во вторых при передаче по сети, можешь набрать где-нибудь без https и его заснифят по сети."
Вот это вообще не поняла. Мы говорим про мастер-пароль? По условиям (43)? Как можно заснифить то, что только в офф-лайн набирается?

(78) 1. О! Узнаю женскую логику! У меня тоже есть это спец. оборудование (паяльник называется), причем 4 разных. Но оно, увы, не помогает если носитель пароля мертв или смотался куда-нибудь в Лондон...
2. Опять женская логика! То книгу надо писать, то все просто...

(79) Система отсылает некие данные разработчику. Ты знаешь какие именно?

А кейлоггер может внедриться в адресное пространство любого процесса, и тогда он не будет отображаться отдельным процессом.

(0) свои пароли спокойно держу в голове и помню. А вообще, что бы не париться использую LastPass и Click&Clean - приложения для Chrome.

(79)А вот далеко не факт, что ты увидишь кейлоггер если он у тебя есть.
Даже наоборот - почти гарантированна что ты его не увидишь.

Банальная практика - либо какой нибудь троян является по совместительству кейлоггером, либо еще проще - приложене выполняющее какую-то полезную функцию, но имеющее встроенный кейлоггер. Чтобы понять что он там есть надо его как минимум декомпилировать и разобраться в коде.

(80) Ни фига-то ты не понял. Перечислять все меры безопастности - долго. Но есть и простой способ, который не очень удобен тем, что нужно загружаться под другой системой.
Про паяльник вообще неуместные фантазии. (69) уже всё сказал по этому поводу.

+(82) в LastPass можно хранить пароли в защищенных заметках. В общем держишь в голове один пароль от ЛастПасс и все ок ;)

+(85) имеется ввиду, что пароли от других приложений в заметках.

(81) У меня система никаких данных никуда не отсылает.

А если кейлоггер каким-то чудом внедрится в какой-то процесс, то сам этот процесс, его файлы, будут отличаться от исходных, и я это увижу при очередной сверке с копией системы.

А сложный и легкий в запоминании пароль создать несложно.
Человек хорошо запоминает слова, но есть опасность что эти слова есть в словаре, и пароль моментально сломают по словарю.
Поэтому берем не слово, а фразу, пишем слитно, раскидываем спецсимволы, добавляем немного чисел. И все.

(84) Тянуть по эфиру слишком дорого, и неэффективно. Паяльник гораздо практичнее, но надо поймать носителя живым. Так что см (40). Дешево и сердито. И паяльник не нужен.

(87) да ты еще и параноик

(0) используй сертификаты

(87) 1. Да ладно? Как докажешь, что не отсылает?

2. Если он будет внедряться только в ОЗУ - фиг ты увидишь. Ну, разве что, если регулярно мониторишь содержимое ОЗУ и список всех потоков процессов, и знаешь, какие должны быть, а каких нет.

(87)Как это?
Браузер гугловский отсылает кучу данных гуглу, майкрософт отсылает данные к себе, про приложения от mail.ru и яндекса я уж вообще не говорю, там невооруженным глазом виден шпионаж.

Как ты заметишь внедренный процесс, если он является частью приложения?
Вот зашла ты на офсайт, скачала утилиту - а сайт было взломан, и там была выложенна не оригинальная утилита, с вшитим кейлоггером, или еще хуже - производитель утилиты заложил в нее изначально такой функционал.

Самый популярный сейчас способ распостранения всякой дряни- берем нужный софт - например фотошом, добавляем к нему кейген, встраиваем свой кейлогеер, запаковываем, и делаем раздачу на паре-тройке популярных торрентов.

(83) Троян можно выделить из остальной системы. Приложений, выполняющих функцию кейлоггера, не замечено (если, конечно, саму MS Windows не считать таким приложеним). И нигде в системе не обнаружились логи никакого кейлоггера (за исключением тех случаев, когда это специально задумано и известно). Меня, например, в своё время напрягло, что Windows 98 запоминает всё, что я пишу в командной строке (а там и пароли были тоже). Перестала писать в командной строке пароли. С тех пор никаких проблем не было, не говоря уже о том, что никакие данные никуда не отправляются, даже если где-то внутри файла подкачки и ведётся зашифрованный лог.

поставил робоформ. он чет своей жизнью живет и от него никакого толка нет. надо будет попробовать другие с этой темы :)

(95) Чем шерстить терабайтный HDD посекторно в поисках лога - не проще ли запомнить несколько паролей? ;)

P.S. Что ты знаешь про файловые потоки NTFS?

(89) См. (70)
(90) Странно, что ты это мне говоришь. Тут вон говорят, что если я у себя локально на машине наберу пароль, то его схавает кейлоггер и отправит ворам. Если бы я так парилась, то вообще бы невозможно было ничего делать.

(92) 1. В брандмауэре всё видно, все соединения.
2. Разумеется, мониторю. Это вообще первое дело.

100

(98) 1. Оптимизм - хорошая вещь :) Главное чтобы не излишний.

(99) 1. А отправляемые пакеты ты не смотришь? А то данные можно просто запросами HTTP передавать ;) А, может, ты еще и разрешение для каждого пакета персонально выдаешь?
2. Бу-га-га! Да тут паранойя высшей степени. Или чистое вранье.

(93) Не пользуюсь дурными обозревателями, Windows никогда ничего не отсылала, ненужных приложений от всяких сайтов не держу. Так или иначе, в брандмауэре виден весь трафик, откуда и куда что идёт.

(30) Укрась можно хоть что это же Россия, только вот вопрос в том чтобы украсть пароль надо его с начало из головы вытащить, так как пароль не где не записан, не на каких сайтах не когда не ставлю запоминать, а храниться только в голове

+(30) И за существования этого пароля больше 10 лет наверно еще не чего не было взломано там где был этот пароль, я конечно не буду говорить что его никогда не взломают но вероятность ятак думаю мала

(97) У меня более сотни паролей, все не запомнишь. К тому же, они точно так же могут быть перехвачены, как ты говоришь.

P.S. У меня FAT32 на всех дисках.

(101) Зачем смотреть пакеты? Видно, какой процесс, по какому адресу и в каком направлении - этого достаточно.
2. Почему паранойя или враньё? Довольно часто смотрю в taskmanager. По разным причинам. Если нужно узнать, какой процесс тормозит систему, например. Если возникают какие-то подозрения (что-то идёт не так) - первым делом туда смотрю.

(102)А какие обозреватели никуда не отсылают данные? Самодельные? Из исходников собирать?
Експлорер, мозилла, и хром отсылают.

(105) > У меня FAT32 на всех дисках

жестоко

(105) Запомнить пароли банально проще, чем посекторно просматривать весь HDD. Тем более регулярно. Логи можно хранить в неиспользуемых хвостах кластеров.

(106) 1. Ну как зачем? Чтобы знать, что в них передается. А то вдруг хитрый поисковый запрос Яндексу, по которому потом злоумышленник найдет нужную информацию.
2. Просмотр ОЗУ не легче просмотра HDD. А кейлоггеру много памяти и ЦП не надо, он тормозить не будет.

(106)А как ты отличишь разрешенные данные от не очень разрешенных?
Например процесс firefox отсылает данные - как понять, твой это запрос, или к нему еще что-то добавили?
В таскменеджере видны не все процессы, можно скрыть, либо банально затушив один из полезных процессов, создать процесс с таким же именем и отсылать.

(108)Это не жестоко.
Это клиника.

(107) У меня ничего не отсылает. В логах ничего такого нет.

Кстати, сейчас вирусы уже в BIOS встраиваются (туда же можно и логи класть), скоро начнут в прошивки сматрфонов и айпадов встраиваться, так что даже чистая ОС не поможет.

(107) И уж конечно, если уж подстраховываться, то достаточно закрывать обозреватель, когда мастер пароль набираешь.

(109) "Логи можно хранить в неиспользуемых хвостах кластеров."
Вот это ты насмешил. =)))

(109) Незачем просматривать весь HDD в поисках каких-то мнимых логов. Системыных файлов, которые изменяются, не так уж много. А ПОМНИТЬ СОТНЮ ПАРОЛЕЙ НЕРЕАЛЬНО.

(115) Вообще-то, этот механизм реально использовался одним из вирусов еще на FAT16.

(116) Зачем вирусу лезть в системные файлы? Ему проще заныкаться в темпах и рулить всем оттуда. Это во-первых. Во-вторых, есть вирусы, перехватывающие системные вызовы доступа к диску, которые позволяют скрыть наличие вируса на диске. Из последних примеров - вирус, шифрующий файлы, а потом требующий деньги за расшифровку (кстати, после такого вируса ты можешь потерять ВСЕ пароли). Пока он не сделал свое черное дело - он отдает незашифрованные данные.

(109) "А то вдруг хитрый поисковый запрос Яндексу..."
А, может быть, при чтении Мисты передаются все твои пароли, а?
А Миста на самом деле - это только прикрытие АНБ, и всё это задумано только ради сбора секретных данных?

кста, опросы вроде (0) являются вспомогательными средствами при взломах

(118) Во-во. Откуда знаешь, что на Мисту скрипт передает? ;)

(110) Так видно же, по какому адресу происходит обмен. Если я открываю Мисту, то и соединение идёт с Мистой, а не с mozilla.org.

(121) а что передаётся на мисту видно?

(117) Подозреваю, что ты путаешь "этот механизм" с механизмом dir-вирусов. Там иначе всё было.

(123) Не путаю. У редко изменяемых файлов незанятые остатки кластера можно использовать для хранения своих данных.

(117) 1) Темпы следует регулярно чистить.
2) У меня мультисистема. Если что, можно загрузиться в Windows 98 и посмотреть оттуда. Тем более, что везде FAT32.

(117) А для самых тяжёлых случаев есть резервные копии.

(120) Ну, у меня как бы нет оснований подозревать всё и вся.
(122) Не, сами пакеты не видно. Но там очень мало передаётся.

(125) Вспомни про вирус в BIOS.

(126) По закону подлости там не будет самых нужных паролей ;) Потому что вирус не дурак - он и резервные копии шифрует.

(127) А что же тогда по ОЗУ шаришься?

(124) Во-первых, на диске файловая система, а не побайтная. Чтобы что-то записать, нужно создать файл, и никак иначе.
Во-вторых, даже если ты запишешь как-то какие-то байты, то нужно будет помнить, куда ты их записал. А для этого всё равно понадобится какой-то файл создать. Ну и, в-третьих, "неиспользуемые хвосты кластеров" - это явление временное. Сегодня он не используется, а завтра пользователь что-то добавил в файл (или сама система это сделала), и - раааз! - все твои логи улетели! =)))

(0) у меня keepass на компе и на телефоне, я не знаю ни одного своего пароля, кроме как пароль от keepass'а и проблем таких, как у тебя нет, хотя все пароли разные.

(128) BIOS не резиновая, там просто некуда будет писать всё это добро.

Запарится вирус шифровать резервные копии. Они на других дисках и очень большие.

(129) По разным причинам. Иногда возникают непонятки, и нужно проверить. Да много всяких случаев - хотя бы посмотреть, куда память съелась.

(130) Святая простота! Да я могу открыть девайс как 1 большой файл и свободно читать его посекторно. И даже писать посекторно. Хранить можно в ОЗУ, записывая файл при завершении работы и стирая при старте, либо также в хвостах кластеров. А против перезаписи (которое произойдет только при изменении файла, но не при добавлении нового) помогает дублирование.

(132) Объем современного BIOS вполне достаточен для вируса. Тем более что он остаток может в HPA на HDD запихнуть, которая из системы тебе будет недоступна. А ему, пока не установлена защита HPA - доступна.

А шифровать резервные копии вирусу и не потребуется. Он просто при создании копий будет это делать. Так что все последние копии будут бесполезны.

(133) И что, побайтно все несколько гигабайт смотришь?

(134) Windows обламывает такие фокусы с дисками.
К тому же есть ещё кое-что - дефрагментация! =)

(134) Ты слишком переоцениваешь возможности BIOS. Что-то сейчас непопулярно писать такие вирусы - ты не задумывался, почему?

(134) "А шифровать резервные копии вирусу и не потребуется. Он просто при создании копий будет это делать."

Тогда ему придётся зашифровать несколько гигабайт. Опухнет он это делать.

(133) "И что, побайтно все несколько гигабайт смотришь?"
Какие ещё "несколько гигабайт"?! Это же RAM.

Nirvana, давай ещё! )

(135) Ой да ладно! А как же программы по восстановлению случайно удаленных файлов работают? А дефрагментация не трогает нефрагментированные файлы. Да и на этот случай неотправленные логи можно в памяти держать. 10-20 кБ никто не заметит.

(136) Загрузчик для вируса влезет в 1 кБ. BIOS модульный, алгоритм для его пересборки известен. Алгоритм прошивки известен.

(137) AES-256 на современных процессорах шифруется со скоростью 100-150 Мб/с каждым ядром даже без использования инструкций AES-NI. А 4-ядерный Intel Core-i7 может выдать на гора 1,5 Гб/с. Скорее HDD опухнет данные отдавать.

(138) Гм... и что, что RAM? Во-первых, 2-4 Гб сейчас стандартно есть практически везде, а ведь еще есть файл подкачки.

На важных для меня ресурсах, типа почты гугл и клиент-банк, помимо пароля стоит еще и смс-авторизация. На счет остального не парюсь.

(141) Главное на эти ресурсы не заходить с того девайса, куда эти SMS-пароли приходят.

(142) Телефону еще до революции сделан, там нет интернета-)

(140) Дефрагментация всё может тронуть, даже фрагментировать то, что было нефрагментировано. Не раз такое видела.

И покажи хоть один BIOS-вирус, созданный за последние три года.

"А 4-ядерный Intel Core-i7 может выдать..."
У меня Celeron 1.8 Ghz, так что не выйдет.

"2-4 Гб сейчас стандартно есть практически везде..."
Ты оторвался от реальности. Не знаю, как везде, но лично у меня 128 Mb памяти, из которых 32 занято под встроенное видео.

(144) Зачем тебе пароли тогда? Все равно их некуда использовать... ты, случаем, не из-под моста рядом с Макдональдсом пишешь?

(140) А вообще, я не понимаю - к чему весь этот разговор? Что мастер-пароль могут украсть, а значит и все пароли? Ну так таким же образом и все пароли по отдельности могут украсть, какие набираешь - какая разница?

(145) Если бы их было некуда использовать, то их количество не разрослось бы до сотни с лишним.

(146) Первое сделать проще.

(147) Выбрось все эти пароли, начни по-нормальному зарабатывать. 10-летний компьютер даже в детские дома забесплатно не берут.

(148) Не всё так просто, см. (67).

(148) Если я выброшу все пароли, заработки от этого не изменятся.

(149) Ну уж вирус-то у тебя на компе сможет это сделать под чутким руководством хакера ;)

(150) Все так печально? :)

(151) Пока что никаких вирусов не было...

(152) Они, наверное, увидев систему помирают со смеху :)

(153) У видеть систему и умереть. Как это концептуально.
Бедные вирусы.

(154) Ну представь - они приперлись к тебе с чемоданами, а тут их даже поставить негде :)

(155) Даа, видишь, какая хорошая система!
С другой стороны, когда никакие вирусы не пролазят, и это длится довольно долго, то в конце концов возникает подозрение - а не просмотрела ли я чего-то. Поэтому я иногда проверяю всё внешними средствами. Но всякий раз ничего не обнаруживается. Как-то даже неинтересно...

(156) Походи по порносайтам, поскачивай новейшие игры :)

(157) Кстати, как-то раз где-то в такого рода месте (что-то там было с порно связано) у меня обозреватель застопорился и сообщил, что всё заблокировано, отправьте sms на номер (ну, или что-то в этом духе). И закрыть не давал это окно. Ну, я его аварийно сняла и снова запустила. И продолжила дальше работать. На что они вообще рассчитывают? На каких-то долбодятлов?

(0) В зависимости от названия банка или сайта генерируй пароль, тогда и учить не надо.

Например mista - пароль будет mstia.... алгоритм для себя придумай.

Пакую свои пароли в архив, пароль от которого всегда помню. Периодически обновляю по необходимости. Для сайтов использую управление паролями в опере + Opera Link.

Не доверяю никаким программам хранения паролей. Свои личные пароли храню только в голове. Пароль везде одно какое то русское  слово из восьми или семи букв в английской раскладке со вставленными между ними по порядку цифрами или другими символами. Для сайтов требующих чтобы в пароле были заглавные и строчные слово начинается с заглавной. Этого достаточно чтобы этот пароль стало стало невозможно взломать перебором. Раз в полгода пароль меняется. Если очень давно где то регистрировался то приходится старые пароли по очереди вводить. А так сбоев не было.

Да, для случаев когда пароль возможно придется кому то сообщать есть один простенький пароль. Для всяких левых сайтов он тоже один. Взломают и пох - всегда можно восстановить с почты на которую как раз сложнейший пароль. :)

(162) Пароль от почты, кстати, по POP3 открытым текстом передается...

(163) Ради бога, у меня привязка к телефону и перекрестные привязки между почтовыми ящиками. Ломай, ага.

Запиисывать пароли на обратной стороне клавиатуры уже предлагали?

(164) Привязку ко всему можно изменить, имея пароль.

У меня уже лет 6-7 Pasword Commander, проблем нет

Evernote + шифрование заметок

или использовать пароли типа xx@mybank?Aleks меняя составные части от случая к случаю

вообще достаточно знать и помнить только 3 пароля и распределить их по степени важности.

(166) Да ты шо. Чтобы снять привязку, тебе надо номер старый телефона указать, который ты привязывал, а там его не показывают. То же самое касается и других почтовых ящиков. Не укажешь - хрен ты его снимешь.