Количество оналйан-ресурсов растчет
(я неграмтный)
как правильно коннектится к этойтуевой хуче всяких личных кабинетовЮ, логинов-пароле итд..?
.
за мной хоть и не особо следяь, но от этого яне параноиком не становлюсь...
.
везде логиниться под одним логином-паролем - стремновато как-то...
(что такое войти через фейсбук или гугл? - я неграмотный)
.
в итоге работаю по стоаринке - на куче ресурсов куча автономных логинов-паролей. РЕСУРСОВ МНОГО.
.
ВОПРОС1-как делать правильно для снижения трудоемкости логинов-паролей?
.
ВОПРОС2-где каталогизировать ресурсы-логины-пароли..? в свое время давно типа пару раз поюзал KeePass - вроде норма.. полез сейчас развернуть и навести порядок - https://ru.wikipedia.org/wiki/KeePass

"Проблемы с безопасностью[править | править вики-текст]
возможность скрытого экспорта базы из запущенного KeePass [1]
возможность подмены обновлений [2]"
.
не, понятно, что никому не нужен, но - напрягся...
.
итого: что делать? что юзать? эксели и текстовые файлы - хорошо, но мы же не секретарши... ;-)

(0) много лет пользовался кипассом, но недавно переехал на ластпасс, ибо задолбало синхронизировать базы на ноуте, компе, работе, телефоне и т.д. вручную. Ластпасс эти вопросы все решает из коробки, кроме того он выглядит на всех устройствах практически одинаково.
Ластпасс, короче, рулит, но премиум ему оплачивать я, конечно же, не буду.

+(51) а! ну, и везде, где можно, авторизуюсь по oauth.

(51) Я вам подскажу фишку. Не надо в кипассе хранить собственно пароли. Там можно сохранять имя алгоритма, по которому сформирован пароль. Тогда взлом кипасса не приведёт к взлому вашей цифровой личности.

(53) сложное оверусложнение. Взлом кипасса не приведет к потерям, если у тебя нет кипасса.

(0)kaspersky password manager

(55) симпатичненький
Но платно

(56) Если покупаешь продукты линейки каспера, то в некоторые лицензии он входит бесплатно + продление антивируса потом на 30% дешевле

(51) есть бесплатная версия ?

Я давно задушил в себе параноика и пользуюсь ластпассом.
Удобно. Пару лет даже оплачивал премиум из-за смартфона, но нынче в яндекс браузере для андроида вполне себе работает расширение - фриварный вариант. В браузере пароли не сохраняю.
Периодически делаю экспорт в csv и архивирую с паролем на случай всемирных катастроф.
На днях посмотрел в очередной раз keepass - ну...  нуегонафиг.

И да, все основные функции для компа - бесплатно.

(58) есть. Крепко на ней сижу. От платной отличается отсутствием ненужных наиух фич. Очень удобно.

(59) а откуда инфа, что для девайсов надо премиум покупать? У меня бесплатно работает почему-то

(62) Да, сейчас посмотрел - нынче дают бесплатно.
Когда я на него подсел - функция "Access on all devices " была только в премиум. Нынче из того, чем я пользовался - в платной осталось только "LastPass for applications", но она работала так несколько мутновато - и я быстро отказался.

(51) а где хранить пароль на вход в lastpass?

(60) Понял, спасибо за пояснения

хм.. как-то не очень с ходу понятно про ластпасс - то есть если у меня нет выхода в интернет - накрылась тазиком моя коллекция паролей?

Забыл пароль от вайфая - в инет, чтобы посмотреть пароль на ластпассе - не зайти...
какая-то сомнительная концепция...

Таскаю с собой флешку с двумя разделам. На одном обычном трукрипт. На втором зашифрованном портабельные фаерфокс с сохранены в нем паролями, ттелеграмм, скайп. Периодически делаю архив на случай потери...

keepersecurity.com - удобно (ПК и мобильное приложение), но немножко платно (1150 р. в год) + защищенное хранилище файлов (с отдельной оплатой, если нужно)

(69) есть и бесплатный вариант, но он стремный (только на одном мобильном девайсе)

(59) я так понял, что если нет инета, доступа к базе паролей тоже нет?

(71) вот и я о том же

В чем бы пароли не хранили, лучше бумажки ничего нет. И все равно слямзят рано или поздно, даже без всякой социальной инженерии. Ибо сами сайты через раз дырявые.

(0)Пользуюсь программой Roborofm уже более 10-ти лет. На каждый сайт свой пароль притом мегасложный. Она сама позволяет генерировать пароль любой длины. Есть функция автоматического входа в сайт. Можно заводить неограниченное число аккаунтов для каждого сайта.  С любого компьютера можно зайти в Robororm Everywhere и получить доступ ко всем паролям.

(50)неужели нельзя восстановить? там же емейл привязан к аське.

запили конфу со справочником Учетные записи
Реквизиты Логин и пароль
туда же  генератор паролей прикрути

в наименовании - ресурс

(76) Хватит и Excel"я

генратор паролей на VBA устанешь писать, +фишки такси типа поиска с клавиатуры

(39) Гонево. Во первых код KeePAss открыт. Был аудит безопасности. База хранится локально.

https://image.prntscr.com/image/wlyf84cEThqkLb8czlx-_w.png

(79) а теперь еще расширение для браузера доделать и можно юзать

(81) сам пароль в базе шифруешь или в открытом виде хранится?:)

вечером допишем :-) мастер-пароль какой-нибудь придумаем

(83)при входе
градус парании повысим... :-D

стоит ли доверять пареметрам сеанса?  
https://cs5.pikabu.ru/post_img/2015/12/19/6/14505162121145931.jpg

(0) У меня есть начальный набор секретного пароля вроде:
LfOft34nFS  и все пароли к сайтам строятся по виду
СекретноеСлово+ИмяСайта
Например на гугле
LfOft34nFSgoogle

(87) +
И когда я захожу на сайт я даже не задумываюсь, что там за пароль :)

(88) а если нужно поменять пароль?

(89) А тут засада :)

(89) зачем? взломали? или политика? тогда можно добавить
google_ru googleru, давно я не встречал сервисов, которые требуют смены пароля

(87)Тот кто узнал начальный набор, узнал пароль от всех сайтов. Чем отличается просто от одного пароля для всех сайтов?

(91) ну вот интернет-банки балуются тем, что пароли заставляют раз в год менять

(91) Тут самый главный вопрос: как потом помнить что ты менял.
А менять например нужно из-за того что пароли утекают иногда

(92) Да ничем, утюг и паяльник творят чудеса в криптоанализе.

(94) Ну три попытки то есть без домена с доменом и с подчеркиванием

(92) (94) Можно иметь три начальных набора символов

(91) а потом заходишь на сайт и начинаешь брутфорсить свой пароль
LfOft34nFSgoogle
LfOft34nFSgoogleru
LfOft34nFSgoogle_ru
LfOft34nFSgoogle.ru

(92) И, не поверишь, ни разу не взломали, кому я нужен то?

(98) ну бывает иногда :)

(87) то есть, любой ВР, зная твой ящик и пароль, может зайти на любой сайт под тобой?)

(101) Да, как и у всех

А у меня всё просто: пароль - это легко запоминаемая русская фраза латинскими буквами, типа Gfhjkm{eqrjulfDpkjvftim1234.

Единственно, что неудобно на мобильных устройствах вводить - надо на компьютерную клавиатуру смотреть.

Это вообще проблема,паролей тьма, кроме них еще логинов половина, даешь руские фразы на латинской раскладке)

(103) но сайтов то не 1 и не 2

(105) У меня есть набор из двух-трёх фраз, если забыл, какая нужна для именно для этого ресурса - то быстро подбираю :))

(103) Это решающее неудобство

(106) а зачем на английском? что случайно кто-то не понял?

(108) 1 из причин, 2-я, не все сайты пароли на кириллице принимают)

(108) Затем, что при этом пароль может быть легкозапоминаемым и при этом трудноподбираемым.

(110) это не так
https://geektimes.ru/post/291907/

(111) вот вот, но если пароль вида
правильно лошадь батарея скоба mista.ru
правильно лошадь батарея скоба yandex.ru
правильно лошадь батарея скоба mail.ru
однажды попадет
правильно лошадь батарея скоба хэловордфорум.ru
где будет храниться открыто (да и закрыто, если есть доступ к ключу) - то владелельцу хэловордфорум.ru не нужно быть семи пядей во лбу в области криптографии чтобы брутануть популярные ресурсы по этой маске, имя лишь ключ "правильно лошадь батарея скоба " и адрес почты

(112) никто про такой вариант не говорил

так что локальный файлик эксель надежнее, ну а если ты его сохранность не можешь обеспечить - значить не судьба, кому суждено быть повешенным, не утонет

(114) а шифровать как его?

А хотя в екселе есть же пароль

(116) да хоть в архив с паролем суй...
если параноить - то держать на компе с шифрованием, и без доступа в интернет... вводить без копипаста, ведь буфер тоже может вирусяка какая перехватить

просто когда ты свой пароль (еще и повторяющийся) хранишь на 100500 сайтов, то ты должен как минимум быть уверен в этих 100500 сайтах... а если локально и все пароли разные - то уверенным только в localhost...

(117) надо чтоб было не только секурно, но и удобно

(119) тогда самому проанализировать исходный код популярной удобной проги, собрать её самому, закрыть все порты брандмауэром, и пользоваться :-)
но если ты носитель таких суперсекретов, что так шифруешься, то вероятность применения к тебе терморектального криптоанализа перекрывает все методы шифрования...

(120) я просто почему спросил - есть мысль тоже такую базу написать, но если там пароли звездочками будут - то отчетом или консулью все равно все выведется. А в самой платформе есть крипто возможности, хочу еще и шифровать на лету, только чувствую руки не дойдут

(121) так шифровать, при входе запрашивать мастер-ключ для шифрации/дешифрации, сохранять в параметре сеанса, использовать когда надо расшифровать

ну и если к базе есть прямой доступ левых персонажей, консолью ли, физически ли - то эти вопросы тоже продумать

(122) при создании на сервере например у списка элементов

вошел, авторизовался, вышел, пароль сбросился. Причем да, в параметрах сеанса хранить, чтобы никто не достучался

(121) не храни пароли в открытом виде. К примеру есть мастер ключ 123 и есть пароль 324. Придумываешь свой алгоритм как из ключа и пароля получить хэш и храни хэши. Т.е. храни не 324, а  201 (324-123). И тогда когда нужен будет пароль ты просто применишь свой алгоритм, а если кто-то сопрет базу, он увидит пароль 201. И практически технология блокчена готова

(126) Криптография в институте у меня отдельным предметом была, так что, спасибо, я знаю

(111) Как раз в твоей ссылке написано, что это так:
"обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса." :)))

с списках пусть хэша отображаются, хоть со звездочками хоть без, а когда надо извлечь пароль - в команде открытия формы дишифруй ключом

(128) там трудность не в том что они на другом языке набраны, а в том что они "очень" длинные

А я и спрашивал зачем язык менять

(126) А алгоритм в голове держать? или отдельной базой?

(128) вопрос в том, что твоя супер хитрая парольная фраза и емайл рано или поздно будут скопрометированы на одном или нескольких гов*осайтах

(130) "Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса."

В моем примере ТРИ слова плюс число. А перевод в латиницу усложняет брутфорс на порядок, если не больше.

(132) В отдельной базе паролей, зашифрованной супер-паролем, который хранится в файле, закрытом мастер-ключом, хранящимся на флешке с блокировкой от записи и обмотанной синей изолентой.

(132) алгоритм в базе, пароль в голове

+(134) Оттуда же:
"В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B."

А я эти стандарты уже лет 10 использую, получается :))

Стас, скажи его пароль, щас мы все его сайты за 10 лет расчехлим :-D

(138) Хе-хе. Для мисты у меня исключение :))

(139)то есть доверия только к ней нет?)) а к какому-нибудь bb-форумику есть?

(134) перевод в латиницу НЕ усложняет брутфорс

(140) Всё проще. Просто на мисте я зарегистрировался раньше, чем придумал такую систему для паролей.

(141)даже на китайские иероглифы

(142) и к администраторам сайтов (тех. спецам,  тех. спецам их провайдеров, etc) больше доверия чем к администратору localhost?

+(144)да половина их используют скрипты на своих сайтах, которые сделают всю работу и без их ведома

(138) В базе мисты не хранятся пароли. Romix всё переделал. Теперь там хранятся хэши от паролей.

один пароль - один ресурс

(141) По твоей ссылке написано:
"Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов."

А если фраза на одном языке, а пароль записан латиницей, то словарь сочетаемости тут уже не поможет, а сделовательно, это усложнение.

(146) ну соль то в скрипте лежит

+(149)серверном