Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также непосредственно база паролей с незашифрованными именами сайтов и зашифрованными паролями к ним. Для защиты паролей использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов (шифрование и расшифровка паролей осуществляется только на стороне пользователя)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=58379
>33 млн человекПо количеству неуникальных загрузок считали?
Тут о пользователях, скорее, нежели о загрузках
На сайте у них не уточняется, пишут
33+ million People secure passwords with LastPass
100,000+ Businesses choose LastPass
Скоро узнаем у какого числа пользователей были сложные генерируемые пароли к сервисам и пароль двенадцать единичек на базу lastpass.
Вы хотели сказать, скоро узнаем, как быстро пачка 4090 покажет подбор паролей?)
Не сильно быстрее чуть большей пачки 3090. Квантовой революции и даже кратного превосходства не случилось, меньше читайте советских газет.
Так тО буржуинские газеты обещалиХотя реальный прирост производительности вычислений 4090 против 3090 ti пока не раскрыт
Похоже, что чаша весов снова у амуде - медленней, но хоть памяти больше
> даже кратного превосходства не случилось,Глава роскосмоса тоже так думал...
Каким образом? Или метод получения шифра общеизвестен?
Погодь, ща он 100 миллионов хешей брутанёт и всё расскажет.
Да я не об этом.Ну вот шифруются данные на стороне клиента по известному алгоритму - ок, по этим шифрованным данным можно прогнать брут.
Но почему подразумевается, что в базе эти шифрованные данные лежат как есть без дополнительной криптографии над ними? Т.е. данные которые слили шифрованы дважды (на клиенте и на сервере).
А с чего Вы решили, что бекаповской базе эти данные лежат еще раз зашифрованные?
Кому это надо?
Вам? Вот Вы и шифруйте!
Не понял, где я что-то решил?Я спрашиваю - каким образом вы (вернее, mumu), собирается скоро узнать количество пользователей, которые используют "пароль двенадцать единичек на базу lastpass"?
А он либо а) решил, что данные не зашифрованы; либо б) у него есть алгоритм получения шифра для данных, которые лежат в бд.
Просто пройти брутом по базе с таблицей наиболее популярных паролей.Даже если данные дополнительно шифровались на стороне сервера, то пароль должен лежать там же, в бэкапах. Ну может быть в бэкапе не БД, а самого приложения, но он там должен быть! Тупо для того, чтобы не вводить этот пароль ручками при каждой перезагрузке app-сервера.
Ничто не мешает разработчикам дополнительно сделать таблицу "пароли_для_бд" и там хранить всякое дерьмо (как раз на случай, если база утечёт), а реально шифровать в несколько прогонов, используя пароль по типу "ид_записи:ид_пользователя:время_регистрации_пользователя:время_изменения_записи:и_т_д" + соль, где соль - запись из таблицы "пароли_для_бд" (придумать можно всякого).И если утекла кодовая база (т.е. как я сказал ранее - метод получения шифра общеизвестен), то этот вопрос снимается - именно его я и задавал.
Если же у вас чёрный ящик, то можно бесконечно строить догадки и гонять брут впустую.
>имя, адрес, email, телефон и IP-адресаА зачем они это хранили у себя?
Как — зачем? Письмо для восстановления аккаунта посылать. Бумажное. В довесок к электронному. Половина ответа там, половина там.
Олухи, надо было по биометрии.
Ага, присылаешь им свое ухо, или там - пару пальцев - тебе отправляют твой пароль.
В банкоматах уже можно снимать деньги без карты по фейс айди. На работе двери по отпечатку пальцев.
> В банкоматах уже можно снимать деньги без карты по фейс айди. На
> работе двери по отпечатку пальцев.Ну, теперь плохиши тебе не только палец оттяпают, да ещё и морду отпилят!
В лайт-варианте - дам ему в табло - и он еще и денег хер снимет!
С чужим оттяпанным пальцем ты нигде не залогинишься. Это только в кино так работает.
Если нагреть?
> Если нагреть?Это не вопрос температуры, это вопрос наличия электрических импульсов в тканях.
Алсо, фокус с вырванным глазом тоже не работает — он вне глазницы быстро деформируется. Плюс там есть проверка на то, живой ли человек.
А можно для самых мальенких? Эдектрошоком не выйдет?
Каких импульсов? Там вроде аналогично емкостному экрану всё. Т.е. просто утечка тока в палец.А как стилус на емкостном экране прекрасно работает, например, сосиска.
Кроме емкостного ещё есть ультразвуковой, но один хрен он просто поверхность сканирует. А не "наличие электрических импульсов в тканях".
Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.
Колись, сколько ампер у тебя в пальце?
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.А в сосиске?
Это ток зарядки ёмкости. Достаточно добиться электрического контакта между обрубком пальца и телом преступника и такой же ток будет.
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.Этот ток возникает от перезаряда емкостей. И самому по себе сенсору похрен что там на самом деле. Хоть железка, если за ней достаточная емкость. Другое дело что в кнопках с сканером пальца еще подобие камеры есть, сканирующее рисунок на пальце.
Если задаться такой целью и то и другое вполне реально обмануть. А что до фэйсid во первых не понятно насколько это сложно подделать. Во вторых иногда может быть проще отдать карту и даже пин сказать если там не сильно много - и свалить восвояси пока цел. А с фэйсайди придется заложником быть, что сильно менее круто.
С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит электричество, в том числе импульсы к новому владельцу и в землю)
> С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит
> электричество, в том числе импульсы к новому владельцу и в землю)А вон кстати прикольные примеры как нейросетки можно обламывать. Вон чуваки свитер-невидимку сделали, который нейросети в антикражной системе дурачит. С этим свитером система вообще это за человека не считает - что хотите то и делайте, железному церберу уже пофиг.
А вот пальто-невидимка. Вроде ничерта особого, но охранка с нейросеткой вот там подписывает что человек, а вот это - считает элементом пейзажа. В общем кто там шапку-невидимку хотел? Првда, оказались свитер и пальто, но мало ли, может и шапка прокатит если постараться.
Это зависит от модели считывателя и реализованных функций на стороне ПО.
Видел одну СКУД на картах Mifare (которая считалась тогда безопасной), которая из всего стандарта взяла только идентификацию по номеру карты. В итоге я пару дней ходил по территории завода с копией карты генерального директора (допуск у меня и так был, просто в логах были чужие ФИО). Потом надоело, сдал безопасникам.
Так эти удоды сказали, что я слишком умный и ни кто эту уязвимость применять не будет (разрабам естественно ни слова не написали), а там химии всякой интересной на территории...
В общем, к чему я это? К тому, что наличие возможности оборудования проверять, живой ли палец\глаз или это всего-лишь силиконовый болван, вовсе не означает того, что конкретный банкомат\СКУД реализует его в полной мере. И даже если железо+софт позволяют, то из-за высокой доли ошибок, могут в админке отключить (как это в последних pixel-ях делают).
>В банкоматах уже можно снимать деньги без карты по фейс айди.Ага, и присутствие владельца не обязательно.
А потом утечёт биометрия. Отпечаток пальца ты поменять не сможешь, а банкиры/владельцы магазинов не будут менять старые сканеры по финансовым причинам.
На форумах будут гулять базы "где какой сканер используется и какая дешёвая техника эмуляции пальца/глаза работает", а виновным, крайним и одновременно жертвой сделают пользователя.
Удачи выжить в этом биометрическом мире.
блжад ты так говоришь как будто это я биометрию придумал
LostPass.
Процентов 10 действительно хорошие пароли, а все остальные наверняка что-то типа qwerty или 12345. Иногда тоже думаю может и мне стоит поменять свой пароль на вход в систему из 38 символов на что-то полегче.
38 символов "A" в ряд? :D
Это наверное для _ввода_ похуже, чем строчка на 38 символов из стишка или рассказа какого. Эту "A" ведь пересчитывать надо при вводе.
Зачем кейлогеры, если люди сами свои пароли сливают?
Уязвимость by design случилась-таки. Лет эдак десять назад тоже пользовался, но потом поумнел немножко.
Ни разу не пользовался, был умным с самого начала ☝
Пароли все разные, на бумажке, в огнеупорном сейфе.
МЫ же конечно изучил состав чернил и как они поведут себя в закрытом пространстве?
Пиши карандашом
Судя по старым бумагам, они лишь пожелтеют, а графиту с глиной - и вовсе ничего не будет
gitlab/github + KeePass шифрованный файл с паролями + alias на команды git commit && git push и git pull. Все можно завернуть в cron. Несколько репозиториев git как резервные копии.
и чем это отличается от того, что у lastpass?
KepassXC в Dropbox и настроенная KeeShare.
это не ответ. в чем принципиальная разница? точно так же хранишь зашифрованные данные в облаке, как и у lastpass
Нет это ты мне ответь, в чем проблема?
> Нет это ты мне ответь, в чем проблема?Как сказал один мудрый человек: Облако это термин придуманный маркетолухами, если читать на человеческом это просто значит - чужой компьютер.
Следствие сам выведешь или тоже треба пояснять?!
Ну а если у меня нет денег или времени делать своё облако со своим впн но я надеюсь что мой дропбокс аккаунт не взламают а если взламают то не смогут взламать базу? Конечно селфхост предпочтителен, но не всегда оправдан.
> Ну а если у меня нет денегТогда возвращаемся к исходному вопросу?
lastpass вероятно не НАСТОЛЬКО плох.
> со своим впн но я надеюсь что мой дропбокс аккаунт не
> взламаютпросто сопрут, ага.
> а если взламают то не смогут взламать базу? Конечно селфхост
могут повредить или удалить. Тоже интересное приключение.
> предпочтителен, но не всегда оправдан.
Нет. Твой компьютер в стойке и сети чужих дядей. Или не совсем даже и твой. А еще он может сломаться или залиться водой при пожаре.
Опять же можно предположить что лист в лесу не найдут именно твой, особенно если ты неуловимый джо, а не какой-нибудь разработчик palemoon, например, которым специально интересуются.Но с тем же если не большим успехом можно предположить что твой ластьпась не найдут или не взломают в обозримое время даже если и нашли. Просто не используй 12 символов A как пароль - набирать неудобно.
А когда и если - то пусть паролем от порнхаба подавятся.
Дропбокс, как и любое удалённое хранение файла keepass-а, плох тем, что позволяет собрать н-ное количество версий файла keepass, зашифрованных одним и тем же ключом. Как следствие, увеличивается шанс подобрать пароль.
Не тот анон, но отвечу.Не надо давать адреса, имена, номера кредиток и вот это вот всё.
Шифрование и дешифрование происходит локально и только локально без всяких "мы обещаем".
Гибкие настройки (в плане той же функции преобразования ключа, например, у KeePass есть Argon2, который устойчив ко всем этим элкомсофтам с их ГПУ и асикам за счёт использования настраиваемо-больших объёмов памяти в отличие от PBKDF2)
Легко можно переносить данные и хранить дополнительные бэкапы на внешних носителях и дополнительных серверах. Интернет вообще не обязателен.
KeePass (оригинальный клиент) проходил секьюрити ревью.
Весь софт необходимый софт опенсорсен и прозрачен.
Телеметрия сведения к минимуму, если вообще есть.
А, и как я понимаю, ластпасс не полностью шифровал данные - какие-то из них оставались в открытом виде для "удобства использования" и, соответственно, попали в руки злоумышленников. Даже утечка незашифрованных данных вроде логинов (который часто имейл или телефонный номер) или URLов (используемые сервисы) представляют ценность для спамеров и мошенников. База KeePass полностью зашифрована.
KepassXC довольно легко модифицировать так, чтобы при потере базы никто не знал в какую часть пароля добавлена "соль". Элементарное действие, но такая база будет интересна для нападающего только в том случае, если речь идёт о каком-нибудь реально крупном потенциальном "доходе". Иначе, стоимость взлома небольшого количества паролей может оказаться соизмеримой с бюджетом отдельных государств.
>KepassXC довольно легко модифицироватьИ что делать? Я нехочу чтобы мой KepassXC модифифировали.
> И что делать? Я нехочу чтобы мой KepassXC модифифировали.Не хочешь, не модифицируй. В чём проблема то?.... Пользуйся тем, который дают готовым. Если захочешь - возьми исходники и поправь...
> в Dropbox
> в Dropbox
> в Dropbox
А чем плох?
А чем плох?
А чем плох?
Тем, что при утечке пароля или бэкапов dropbox-а, возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
Более того, если кражу флешки из своего кармана ты заметишь, то кражу аккаунта dropbox можно и прозевать.
>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.Это вряд ли. Plain text для "внешнего" AES - это не сами данные, а данные, уже зашифрованные меняющимся при каждом сохранении случайным ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить файл базы без изменений, то новый файл не будет иметь с предыдущим ничего общего.
>>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
> Это вряд ли. Plain text для "внешнего" AES - это не сами
> данные, а данные, уже зашифрованные меняющимся при каждом сохранении случайным
> ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить
> файл базы без изменений, то новый файл не будет иметь с
> предыдущим ничего общего.Кроме мастер-ключа... В этом и суть атаки. С каждой новой копией файла Вы сокращаете время атаки брутфорсом.
Вероятно тем, что таким образом БАЗЫ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ не лежат в ОДНОМ месте))
Syncthing между двух и более СВОИХ устройств.
Главное сохранять после редактирования и закрывать приложение.
Это опасно: если синкфинг затупит, можно остаться без паролей. Нужна диверсификация по технологиям, т. е. обязательно хранить пару бекапов на другой технологии.
В общем согласен с вами. Хотя вероятность мала.Syncthing позволяет версионирование (или как там его). И прочие плюшки.
Самое простое, скриптом по крону, chattr -i filename.verN на все предыдущие версии файлов. Но тогда syncthing не сможет ими управлять.И не только по технологиям, но и по носителям, и по разным домам на случай пожара :(
А еще https://www.opennet.me/opennews/art.shtml?num=55773
ну так, на всякий случай. А то забудешь мастер пароль, с утра в понедельник. Вот хохма то будет ;)Спс.
> В общем согласен с вами. Хотя вероятность мала.В принципе да, я тоже согласен. Просто у меня лично уже syncthing один раз испортил файл. Так-то ничего страшного, но потерять пароли из-за такого не хочется.
> А еще https://www.opennet.me/opennews/art.shtml?num=55773
> ну так, на всякий случай. А то забудешь мастер пароль, с утра
> в понедельник. Вот хохма то будет ;)Ну та штука -- это вообще круто :) Правда, очень далеко от конечного пользователя, никто не будет таким заморачиваться. Если постоянно вводишь пароль от базы паролей, то забыть его сложно...
Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже желаю!
А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем сможет ;)У меня, к счастью, нет такой серьёзности в жизни, что бы все это так серьёзно настраивать.
> Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже
> желаю!
> А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем
> сможет ;)
> У меня, к счастью, нет такой серьёзности в жизни, что бы все
> это так серьёзно настраивать.И вам добра :)
> gitlab/github + KeePass шифрованный файл с паролями + alias на команды git
> commit && git push и git pull. Все можно завернуть в
> cron. Несколько репозиториев git как резервные копии.На щитхабах и прочих АБЛАКАХ можно хранить только то, что ты и так будешь кому-то показывать, то бишь - опенсорц.
Хранящие там что-то чувствительное - ССЗБ!
Пользуйтесь менеджерами паролей, говорили они.
> Пользуйтесь менеджерами паролей, говорили они.А причём тут менеджер паролей, если в стетье какой-то говносервис, который честно-честно пообещал суперсикурно хранить чужие данные, мамой и Аллахом поклялись.
> Разработчики менеджера паролей LastPassДействительно, при чём
Петров и Сидоров неправильно составили термодинамическое уравнение. Они обещали что все у них правильно.
Не пользуйтесь физикой - она сломана.
Действительно, при чем здесь физика?
Если сформулировать в общем плане: используйте разные пароли для разных сервисов и храните их надёжно, что бы их не потерять.Как эту задачу решить? Есть разные методы, некоторые очень экзотические. Но самое лучшее для обывателя -- менеджер паролей. А от себя добавлю: лучше не какой-то мутный сервис от дяди, а keepass.
Никогда не пользовался менеджерами паролей и не буду.
В браузере хранишь парольчики?
У многих людей есть такая штука, называется "Мозг". В нём можно хранить не только пароли, но и другую информацию.
И сколько паролей ты хранишь в своём мозгу и какая у них энтропия и как часто ты их меняешь? Что там про мозг?
Тебе зачем?
Ну чтобы было наглядно ясно, что челвоеческий моск это так себе носитель информации. Уже сохраненную информацию можно потерять очень легко, перезапись информации тоже очень затруднительный процесс. Сколько раз надо было в детстве повторить стих чтобы запомнить? А на дискеты один раз записал, убрал и все.
У меня на mail.ru (ну да, ошибки молодости) более десяти лет был пароль из пяти строчных латинских символов. О его энтропии я даже говорить боюсь.
Если бы мейлру не вскобенился по поводу «безопасности», этот пароль был бы у меня и по сию пору. Надо сказать следующее: никто, вообще никто ни разу его не «ломал». Как и все мои остальные пароли, которые были чуть посложнее, но лишь чуть.
Свою энтропию засуньте в одно место, там ей и место (Хокинг не даст соврать).
Ныкаемся, ныкаемся пацанчики - опять тот мальчик с феноменальной памятью!
Я не знаю сколько паролей можно запомнить и какая энтропия у них будет.
"ПРЕДУПРЕЖДЕНИЕ: В сообщении используется неприемлемая лексика."
И где же? Опять гуглоязъ. рим перешёл черту и был сломан!Я помню как я в детстве обос_рался, и не раз. И каждый кто не помнит, на его словах, лжец. Всё помнит, просто делает вид... А память это то, что есть, внезависимости от хотения. Так как и есть всё.
Например, в мозге можно хранить информацию о местоположении бумажки со сложными паролями. Но лучше, конечно, пароль от зашифрованной базы KeePassXC.
В бумажке, приклеенной снизу лотка CD-ROM
Хм, а это мысль!
И как часто ты достаешь эту бумажку?
Лоток у подставки под кофе давно отломан и на столе лежит.(потому что комп с сидиромом да еще работающим сейчас найти - надо старатцо)
Ты не ответил на вопрос. Вас этому обучают?
Ну я, во-первых, другой аноним.
Во-вторых, чего тебе непонятно - если лоток на столе валяется, то доставать ничего не надо, уже достался окончательно и бесповоротно.В принципе, я пожалуй применю идею - а то валяющиеся на столе бумажки с паролями то сквозняк сдувает, то пылесосом засосет. Надо клеить к чему-то надежному.
Я всё тот же аноним, я к тому что надо же переодически менять пароли. С бумажкой как быть? От руки пишите или для лучше распознования на печатной машинке набираете текст?
Записывать ручкой на бумажке страницу и строку из советского энциклопедического словаря
не знаком с такой шифрограммой.
> Я всё тот же аноним, я к тому что надо же переодически менять пароли.Зачем? Один из паролей у меня не меняется уже 20 лет. Другие системы или учетки просто не жили так долго.
Но я тебе подскажу вариант от знакомых тетенек из не-ит конторы которых горе-админ заставил менять пароли раз в неделю, еще и с требованиями "неповторяемости": мойсуперсисюрныйпароль1234567890
Дальше тетеньки просто зачеркивали цифры по одной. Да-да, на стикере приклееном к монитору.
Ну да, раз в три месяца вешали посвежее. Может даже меняли первую часть...хотя, конечно, вряд ли.Кстати, у нас весь офис так делает. Хотя по идее они никогда не должны были пересечься с теми тетками.
Никогда - настоящие пароли в кактусе
О, спасибо, хорошая идея! Пожалуй, подожду еще выбрасывать опунцию.(не, не в том смысле что не найдут)
Для одного-единственного пароля действительно незачем.
>На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.Облака это круто, говорили они)
А в сочетании с closed source ваще огонь!
Облака угарного газа, практически.
Храню в Dropbox базы KepassXC, что я делю не так?
Надо свою базу делать и шифровать, а потом хоть в яндекс диськ
В Keepass xc можно не свою базу сделать?
Вот это как раз плохой совет. Делать работу связанную с компьютерной безопасностью надо, имея для этого соответствующие знания, а также код ревью со стороны.
Ну так что плохого то в Dropbox хранить базу Keepass XC?
> Ну так что плохого то в Dropbox хранить базу Keepass XC?Это не ко мне вопрос, я не утверждал, что это плохо. Я говорю, что плохо пытаться изобрести свой собственный менеджер паролей, который никто со стороны не смотрел.
Это зависит от многих факторов. Думаю все что сложнее xor для личного пользования без доступов на миллионы денег вполне примененимо. Что же касается продакшена, то там скорее работает принцип коллективной ответственности наоборот: "это не мы виноваты, это ращраьричики либы, которую даже в гугл используют, накосячили; все так делают и мы так делали".
Не используешь syncthing, позволяющий синхронизировать данные лишь p2p, не храня на чужих серверах, и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати?Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся наполовину напрямую с шитхаба.
Лично мне это запускать-то на своей системе было бы стремно, не то что пользоваться для паролей.
> и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
еще как позволяющий, если ты не озаботишься, конечно, собственным релеем и собственным discovery сервером (в версии для ведроида переключиться на них можно только после того как оно уже подключится к чужим и как минимум засветит тебя там). И еще чем-то уже забыл что там такое, кстати, не входящее в комплект.
Причем в любом из этих чудес светящих с твоей машины куче посторонних лиц (сквозь все наты и фиревалы, кто бы мог подумать), может оказаться и случайная дыра, и технологическое отверстие благодаря миллиарду зависимостей и модулей.
p2p такое вот p2p.
Ни для чего кроме прона (причем идеологически выверенного - никакой лгбт, учти!) в принципе непригодно.
Это тот, что раньше был BTSync?
нет, они врали что у них aн@логo3нетные протоколы собственного изобретения.Вот например требующие аж ТРЕХ разных серверов для пробивания nat.
При этом два из трех у них ана...этосамое тоже, а третий stun и в комплект поставки не входит вообще и что там используется - ясно что дело темное (возможно стандартный rfc 3489, но это неточно).
> Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати?Делаю apt install — ставится, pacman -S — тоже ставится. Даже из F-Droid ставится, так что переносимость абсолютная, 100% ОС поддержано. И не только ОС — даже на винде запускалось. С надёжностью последнее время вопросов никаких не было — если не считать проблемой (настраиваемую) 10-секндную задержку синхронизации. Безопасность? Ну, с учётом протокола, мне сложно придумать, как там какую-то уязвимость можно проэксплуатировать — если даже что-то и есть, то вы... сами себе собрались подкидывать правильно сформированный вредоносный файл? Есть опасения — можно изолировать
> Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где
> есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся
> наполовину напрямую с шитхаба.Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отлично
> Лично мне это запускать-то на своей системе было бы стремно, не то
> что пользоваться для паролей.У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет. В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично хранить будет относительно безопасно. А уж синхронизировать только между вашими девайсами — просто приятный бонус; да, более приятный, чем проприетарный закрытый неконтролируемый сервис на чужом хосте
>> и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
> еще как позволяющийТехнически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнил
> Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отличнопааанятна...
> Есть опасения — можно изолировать
угу, адову хрень торчащую в интернет назло всем натам и фильтрам, изолировать, угу.
> Технически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в
> л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнилхреново ты запомнил.
У каждого устройства там уникальный idшник (даже не uuid а что-то опять свое такое что хватит на все звезды на небе и все песчинки в океане).А что ты там еще светишь и нет ли в нем бэкдоров - знает только автор воооон того стопиццотого пакета двестиписятой вложенной зависимости вчера что-то куда-то закомитивший на шитхаб.
Безусловно твой "пакетный менеджер" тебя заsshitит от этого.> У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет.
> В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично
> хранить будет относительно безопасно.в принципе, ты уже начинаешь потихоньку подозревать, что да,сцынкфигнь - совершенно тут лишняя, и только добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости.
Безумству пользующихся поем мы песнь.
> хреново ты запомнил.
> У каждого устройства там уникальный idшник"Он меня посчитал!"
> добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости
Как хорошо, что есть кексперты опеннета, которые всегда меня поправят
>> хреново ты запомнил.
>> У каждого устройства там уникальный idшник
> "Он меня посчитал!"Ты т-пой или да?
Ты зачем цитату-то обрезал? Речь о том что забанить тебя - вовсе не по айпишнику, можно с легкостью необыкновенной. (Кстати, похоже сервера используемые на самом деле - разительно отличаются от упомянутых в документации. И...тадам - централизованные и принадлежат одним и тем же людям. Может раньше и было иначе, но им, видимо, надоело как раз что функционирование софтины зависит от неведомых кривых рук.)И ты - поскольку т-пой - ничего вообще с этим сделать не сможешь, потому что - т -пой и не понимаешь вообще как работает эта штука. И если б я тебе носом не ткнул - даже и не знал бы ни про какие id.
Остальное тебе разжевывать смысла нет, не в коня корм. apt install.
Откуда вы такие на опеннете завелись-то? Раньше хоть больные но грамотные приходили. Теперь - просто парад идиотии...
А всего то нужно использовать (**простой советский**) способ строить сеть syncthing самому, не надеясь на дядю и его сервера. Хотя, для андроида через LTE сойдёт и дядя.
дядины серверы - это лишь одна из упомянутых мной проблем, и да, сколько ты уже таких простых советских сетей построил?Причем мне было бы достаточно любой из первых трех, чтобы ничего подобного никогда рядом с критичными данными не ставить в принципе.
И уж тем более - синхронизировать (зачем?!) крошечный файлик с паролями этим монстром точно не нужно.
> вовсе не по айпишникуДля начала нужно вас идентифицировать, чтобы забанить. И я указал, что уже здесь есть трудности — релешки, STUN/TURN сервера не особо-то знают, кто их клиент, как и содержимое передаваемых данных — данные вообще обычно не через них передаются
> разительно отличаются от упомянутых в документации
Хорошо, и что же дальше? С точки зрения ИБ, мы всегда должны относиться к серверам, подконтрольным третьей стороне, как к потенциальной угрозе. Поэтому угрозы принято минимизировать с клиентской стороны, минимизируя поверхность атаки. Так вот, вы готовы определить эту самую поверхность атаки, чтобы спор был хоть каплю предметным?
> Для начала нужно вас идентифицировать, чтобы забанить.Д-л. Повторяю для феноменально т-пых - ты уже идентифицирован после первого же запуска. Уникальным айдишником. Сюрприз? В привязке к ip если кому-то захочется последить чтобы ты не поменял то о чем узнал от меня- потому что ты его тоже засветил уже на трех чужих серверах, два из которых знают и id, про третий лень выяснять.
> Хорошо, и что же дальше?
Дальше берем игогошную трэшварь двумя пальчиками в перчатке от зимзащиты и - в мусоропровод.
Потому что с момента ее запуска уже твое корыто "подконтрольно" соврешенно феерическому числу "сторон". Количество персоналий, способных подбросить тебе троянца намеренно или просто случайно оставить дырку размером с тоннель метро - не поддается даже приблизительной оценке.
А учитывая что она специально заточена обходить примитивные файрволы - это точно не для слабых мозгами.
Умные мальчики очень теоретически могли бы попробовать применять в мирных целях, заменив всю инфраструктуру своей, но поскольку пункт про неимоверное количество чужой блоатвари никуда не девается, умные поищут и для этого случая что-то попроще, понадежней и без ненужных им возможностей.
А эту штуку оставят любителям жить в доме со стеклянными стенами.
Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личность хотя бы ввиду того, что ни по отдельности, ни даже вместе, они не позволяют определить, кем является пользователь. Ведь под одним ip может скрываться больше одного пользователя одновременно, и будет на практике. Промолчу и про то, что они оба легко меняются, делая невозможной слежку за пользователем, если у того терминальная стадии паранойи... Просто обращу внимание, что фразы по типу "неимоверное количество чужой блоатвари" на вопрос о поверхности атаки... мгновенно выдают некомпетентность с головой. Да, некомпетентность того же уровня, что и у плоскоземельщиков или каких-нибудь сжигателей 5g вышек> Умные мальчики очень теоретически могли бы попробовать
> применять в мирных целях, заменив всю инфраструктуру своей,
> но поскольку пункт про неимоверное количество чужой блоатвари
> никуда не девается, умные поищут и для этого случая что-то
> попроще, понадежней и без ненужных им возможностейТакже замечу, что комментатору не хватило интеллекта погуглить уже готовые (и не привязанные к тому же стеку) FOSS реализации STUN/TURN, упомянутые мной, но он при этом считает себя достаточно умным, чтобы изобрести их альтернативу самостоятельно. Очень забавный экземпляр
Ах да, совет на будущее...
> А учитывая что она специально заточена обходить примитивные
> файрволы - это точно не для слабых мозгамиНе стоит NAT всерьёз называть файрволом, втаптывая себя в грязь позора окончательно
> Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личностьтвоя лишность никого не интересует. Интересует бирка. Она к тебе приклеена. Задержание под предлогом "установления личности" тоже не для установления, а чтоб швабру тебе засунуть.
Поменять ты ничего не сможешь, потому что не умеешь.
> мгновенно выдают некомпетентность с головой.да, твою.
Больше с дураком я не спорю, иди одноклассницам рассказывай про файрволы.
Надо же, сколько беспокойства, думал, наш тред ещё в прошлом году завершёнНет никакой бирки в обсуждаемом примере. Ибо с таким же успехом любой самостоятельно выбранный публичный ключ можно считать приклеенной биркой. И он никак не помогает и не мешает использовать швабру, во благо или во вред, протв вас или против кого-то ещё
> (т.е. работает только там где есть игого распоследней версии)А зачем для работы скомпилированной программы ставить компилятор? Тем более, последней версии.
И зачем скачивать зависимости откуда либо вообще для работы уже скомпилированной программы?
Или ты хочешь собрать её сам - так тогда собирай и не ори про блоатварь, а вырезай лишние куски и валидируй зависимости.
Честно говоря, от менеджера паролей ожидаешь какую-то хитрую и безопасную систему хранения данных. А в реале вот так, из-за банальной утечки обычного разработчика получают аж целые базы, пусть и шифрованные. Причем самое смешное, что текущая утечка основана на утечке 4-х месячной давности. Ну то есть они даже не озаботились сменить все пароли и ключи после того факапа. Вообще не учатся на своих ошибках.
Это твои проблемы, что ты там что-то ожидаешь от проприетарщины.
От фирмы менеджера паролей у которой уже один раз сперли все пароли в общем-то чего-то такого вот и ожидаешь.Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один и тот, другой - или первого как раз после первого раза вып..ли, и наняли второго олуха?
Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то аутсорсер без права голоса.
Пипл хавает, чего уж там...
> От фирмы менеджера паролей у которой уже один раз сперли все пароли
> в общем-то чего-то такого вот и ожидаешь.
> Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один
> и тот, другой - или первого как раз после первого раза
> вып..ли, и наняли второго олуха?
> Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то
> аутсорсер без права голоса.
> Пипл хавает, чего уж там...В 2021-м там числилось 350 человек. Полагаю, там нашлось место и безопаснику и даже не одному.
Сервис облачного хранения баз паролей от ООО Рога и копыта Defective by Design.
Да ну, брось. Такой конторе одних бухгалтеров надо десяток (транзакций-то много на самом деле).
Присматривать за ними, опять кто-то должен. Присматривать за присматривающим?Ну и да, я ж еще забыл девляпса (трех?) и его начальника (кто-то ж вот ту всю хрень настроил как-то).
А веслателя и одного хватит. Кнутователей можно нанять и трех - чтоб если один выдохнется, а второй в отпуске, было кому подменить.
Откуда тут деньги и время на безопасника (еще ж и слушать его бредни что чужие облачка небезопастны и давайте уберем и прекратим)?
Шанс атаки на облако хранящее базы паролей в разы больше шанса атаки на обыкновенное облако неуловимого Джо.
Самая по себе идея сервиса облачного хранения баз паролей это плохая идея, учитывая что это сервис это контора уровня рога и копыта а не корпорация вроде гугл или эпл.
> Самая по себе идея сервиса облачного хранения баз паролей это плохая идея,
> учитывая что это сервис это контора уровня рога и копыта
> а не корпорация вроде гугл или эпл.$200 млн в год дохода - как-то многовато для контор уровня рога и копыта.
Это всего лишь твое мнение.
Результат их коммерческой деятельности говорит о том что это LTD Horns & hooves.
Мне кажется что у Гугл и Эпл всё же поменьше утечек паролей.
Уж лучше самому сделать базу паролей с хорошей энтропишей и сохранить в каоком-нибудь облаке, в идеале в self-host. Просто если ты неуловимый Джо, то и меньше шансов попасть под случайную атаку, я не говорю про целевую.
Я тебе даже больше скажу. После августовской утечки гендир ластпасса всем говорил "Посоны, бояться нечего, ничего не случилось, все спите спокойно, это изолированный инцидент".
Не, ну а что он еще должен был тебе сказать - "срочно удалите нашу фигню, поменяйте все пароли и приходите на площадь, наш персонал сделает там массовую сепукку"?Он же не хочет банкротства, он хочет премию.
Хе... 33 миллиона рядовых легковерных лопухов и ещё сто тысяч легковерных лопухов, наделённых полномочиями принимать решения.
Ну выбор-то между двумя стульями... Оба так себе.А ты никакой свой ластпась не напишешь, потому что не умеешь кодить.
Не умею, не умею.
И вообще, мне openssl enc хватает.
А дальше что с этим делать? Расшифровать все пароли разом в файлик на диске? Или даже на экран (что хуже?)
В файлик, только не на диске, а в tmpfs.
я и говорю - непонятно даже, что тут хуже.ластпась может хоть mlock делает.
Ещё тарьщсталин говорил - "оба хуже".
Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё равно нужно. Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо.
> Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё
> равно нужно.ластпасть сделает это с _единственным_ паролем. Остальные в млокнутой памяти и может даже не расшифровываемой зазря. (Хотя, конечно, кто бы верил... впрочем, какие-то клоны кипасса хвастались чем-то подобным)
> Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо.
но и нехорошо совсем. В смысле - не так далеко ушло от просто использования готового чужого решения, как казалось бы.
Хороших и надежных, видимо, нет. Продолжим клеить листики к монитору.
ну можно и на диск. только по окончании работы файлик затирать dd или srm. Но ram-диск однозначно рулит в данной ситуации.
Малолетние дeбилы, оставляющие пароли в облаке - должны страдать
А пароли не в облаке рано поздно либо накроются, либо будут сп-жены.
На одном стуле...И да, яндекс-яда передает тебе привед.
Открой для себя KeePass или KeePassXC. База паролей хранится локально. Если даже её украдут, она зашифрована и к ней нужен один пароль по любому. В остальном бэкапы решают, конечно. Эту базу хоть в облака заливай, шифрованной она от этого быть не перестанет как бы.
> Открой для себя KeePass или KeePassXC. База паролей хранится локально.поэтому ты даже и не узнаешь, сп-ли ее или нет.
> Если даже её украдут, она зашифрована
ты, конечно, умеешь кодить и даже посмотрел в код, что не ксором со словом )|(опа?
И да, у этих вот лохов - тоже была зашифрована. Кажется, даже и хорошо. А даже если и не очень - надо не только уметь кодить чтобы восстановить алгоритм.Но пользуемые почему-то не рады. Почему?
> > Открой для себя KeePass или KeePassXC. База паролей хранится локально.
> поэтому ты даже и не узнаешь, сп-ли ее или нет.В отличие от облака, где можно всегда с уверенностью сказать - да, сп-ли.
Воот! Одна проблема - успешно решена!Теперь осталась вторая - неопределенная возможность еще и прое..ть.
В случае чужого облака тоже наличествует - начиная от внезапного банкротства облаковладельца и заканчивая хакерской атакой.Нет, можно все это накостылить и с keypassxc (заодно сделав самостоятельно code review) - но ЧТО чорд побери, у тебя хранится с теми паролями ТАКОГО?
(товарищмайор просто интересуются, для статистики)
Тут ничего нового - бекапы и еще раз бекапы. Которые один фиг надо делать, независимо от наличия облака.
люблю теоретиков экспертов, ни одного примера из жизни,теоритеческого
Если тебе надо объяснять необходимость бекапов, то у меня для тебя очень плохие новости.
Я не только умею кодить, но даже видел, что там есть возможность выбора алгоритма шифрования и его сложности. Даже хуже, как настоящий программист, я умею гуглить и таки нагуглил информацию о прохождении первым из них аудита безопасности от сторонней компании, с отчётом которой можете ознакомиться и вы. А ещё то, что федеральные агентства нескольких стран рекомендуют его или даже сами используют
В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для тебя хреновая новость...
> В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для
> тебя хреновая новость...Точно ли стоит оценивать новости, относящиеся к софту, название которого вы даже скопировать не можете верно?
А что насчем Kepass XC? Можешь погуглить за меня, пожалуйста?
Он способен использовать тот же формат базы данных, что и оригинальный KeePass, так что к формату хранения вопросов уже, полагаю, никаких? Увы, не на Расте написан, так что эксперты опеннета однозначно заявят, что сам клиент состоит из сишных дыреней в большей степени, чем из фич, так что тут хорошего мне нечего сказать. Впрочем, если у вас есть деньги на оплату независимого аудита — вы принесёте пользу всему сообществу, так что удерживать вас не стану от этого и даже готов компенсировать вам доллар-другой
А ежели я проксорю и проrcr,rclрю не жоГIой, а войной и миром. Долго будешь ломать?
Компьютеры нынче быстрые, ксорка войной и миром еще раз для отмены этого действа долго не займет.
Можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Kepass XC использую для личных нужд и внедряю на работе. Кто бы мог подумать, что сисадмины хранят пароли в гугл табилцах
пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!
> пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!вооо! Надежна! Не этот вам гугль, а распределенная система!
P.S. но, кстати, учитывая последние веяния, пользоваться станет настолько неудобно, что волей-неволей переберутся в гуглотаблицы.
Либо на бумажку. Ксерить опять же удобно...
А ну при этом не хранить пароли в браухере или в гугл таблицах.
> Если не секрет, чем пользуетесь сами?Честно, я пользуюсь бумажным блокнотом.
А какие чернила в ручке иль карандаш?
Ну то есть одним выстрелом трех зайцев? И спереть могут (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе), и прое..ть можешь, и бэкап скорее всего отсутствует в виду чудовищного неудобия?Ооок!
> И спереть могутиз внутреннего кармана жилетки ? не верю.
> (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе),
вы позволяете себя фотграфировать кому попало ? если да то у меня для вас плохие новости.
более реальный сценарий - посмотрят с камеры виденаблюдения в сверхвысоком разрешении.> и прое..ть можешь
потерять можно вообще все.
> из внутреннего кармана жилетки ? не верю.Даже в бане не снимаешь? Молодец, хвалю! А поскольку ты постоянно вынужден лазить в этот карман - все окружающие в курсе что там что-то интересное.
Ну и полицаи при задержании, тоже, будь уверен, найдут.
>> и прое..ть можешь
> потерять можно вообще все.домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.
> Даже в бане не снимаешь?не хожу в баню. моюсь дома в ванне ежедневно.
в советское время ходил раз в неделю, а сейчас зачем ?> А поскольку ты постоянно вынужден
> лазить в этот карман - все окружающие в курсе что там
> что-то интересное.в карманах у всех людей всегда есть что-то интересное.
> Ну и полицаи при задержании, тоже, будь уверен, найдут.
полицаям я солью вообще все, когда начнут пытать.
но лучше не попадаться конечно.> домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.
есть такие люди - бомжи. у них получилось.
> потерять можно вообще все.Потерять вообще все бэкапы могу, пожалуй, лишь потеряв память. Но тогда и доступ к паролям будет наименьшей из проблем
наш человек !
Уважаемый пох, можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Я ж уже тут сто раз писал - пишу на стикере и клею к монитору. Когда отваливаются - ну и х...с ним, все равно я уже не помню от чего этот пароль (только что выкинул очередной).Пользуюсь в основном периметром безопасности (при попытке пройти к тому монитору - постороннего человека могут и сожрать) и здравым рассудком.
По сути, чего за пароли у тебя не привязаны еще к номеру мабилы и их невозможно восстановить?
А какие при этом еще и не должны попасть в чужие руки (хаха, с номером-то...) и сколько их таких остается? А то логином от порнхаба я, наверное, не особенно дорожу.
Понятно что парочка таких наверное все же есть, но их-то все же можно как-нибудь и запомнить?Остальное можно хранить прямо в браузере. Все равно их сопрут прямо с сайта от которого пароль. Т.е. тут как раз важнее длинна (вдруг сайт все же хранит их нормально шифрованными) и бессмысленность. Запоминать незачем, особо беречь тоже незачем.
Гораздо важнее, по-моему, не светить свои идентити где ни попадя. Что там вон у этих - адрес, email, телефон... ну прекрасно же ж? Небось еще и номер кредитки, сервис платный, соблюдать pci/dss не собирался и не планирует. А пойти найух они не хочут?
Ну и в совсем клиническом случае - пользуюсь otp. Не модным-современным-гуглевым-в телефоне, а офлайновым.
К счастью, там где мне очень уж надо, еще работает. Забыть фразу я смогу не раньше чем в полный маразм впаду, а постороннему она ничего не скажет.
Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не подсмотрит )Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона или троллируешь незрелые мозги?
Вот, запоминать пароли к паре тыщ серверов я вообще не согласен. Хотя, если научите запоминать всё с первого раза - я за.
> Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не
> подсмотрит )а я как буду в него смотреть? При этом троянцу оттуда, изнутря - отлично видно.
> Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона
нет, я реально пытаюсь намекнуть что если пересчитать пароли которые у тебя НЕ получится восстановить с помощью sms'ки (ну или хотя бы доброго старого немодного email) и которые по этой причине стремно потерять - их останется не так уж и много.
Если выкинуть еще и те которые бесполезны посторонним или гроша ломанного не стоят и поэтому вполне могут быть q123456&*()_ - остальные в принципе уже можно запомнить.
> Вот, запоминать пароли к паре тыщ серверов я вообще не согласен.
сочувствую. У меня это один пароль. К AD.
(истиные любители приключений конечно могут настроить свой ана-внетный керберос или вообще nis+ но я предпочитаю простые решения)
А то уже сама процедура поиска пароля к серверу #1342 несколько утомительна.
извините, я IPMI к АД подключать точно не согласен )
Если тебе понадобился ipmi, в общем-то уже неважно какой у того сервера был пароль.
Переустановится с новым.
А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина по карте, биометрии, мобиле, отпечатку кала?
Затем, что эти твои фантазии не соответствуют действительности. Ну и пара других причин, но они менее важные.
в банкомате face id, на работе отпечаток пальца. Да конечно никакой биометрии не существует.
Рисковать частями тела так себе.
Я думаю смарт-карты и ключи лучше. Потеряешь - сменишь. А отнимут - брутфорс, но меньший.
face id подделывается очень постро, лепкой из какого-нибудь воска или силикона, обычный лидар на улице в телефоне или машине Tesla сделает 3D скан твоей мордочки
> А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина
> по карте, биометрии, мобиле, отпечатку кала?Пока всех везде не пересадят на биометрию, QR-коды и мэджиклинки, придется хранить.
так говоришь, будто с нетерпением ждёшь...
> так говоришь, будто с нетерпением ждёшь...ммм... ожерелья из пальцев и глаз неудачников... стильно...
> так говоришь, будто с нетерпением ждёшь...Чтобы что?
Это потому что не на расте писали. И сервера наверно без системд
И без вейленда
Вместо того, чтобы где-то хранить пароли придумал такой способ: пишу строку типа "пароль Сидорова Вани от сайта mail.ru", получаю md5-хеш этой строки, беру из него первые 16 символов, и чтобы удовлетворить требования усиленной безопасности в конце добавляю "Q!". Одни плюсы:
1) пароль длинный,
2) нет ни в одном словаре
3) нигде не хранится, кроме головы автора
Но и один минус: под рукой всегда должно быть средство типа md5.
https://xkcd.ru/936/
Хмммм... Батарея со скобой, говорите?
"У отставного генерал-майора Булдеева разболелись зубы. Он полоскал рот водкой, коньяком, прикладывал к больному зубу табачную копоть, опий, скипидар, керосин, мазал щеку йодом, в ушах у него была вата, смоченная в спирту, но всё это или не помогало, или вызывало тошноту..."
Минус есть. Это алгоритм. Его утечка, или раскрытие одного из паролей, по которому можно восстановить алгоритм - и всё. Можно добавить хаоса о котором знаешь только ты, но он должен выглядеть естественно.
А по картинке выше из журнала - для одного пароля "да", а для сотней? ))))
Внезапно, доверили дяде пароли, а они стали общедоступны. Ну кто бы мог подумать! Ведь ни разу такого не было!
Шо? Опять?
Норм, отставить панику. Все эти хэши за всю жизнь не сломать.
Насколько безопасно использовать pass? Там gnupg используется, как оно с надежностью хранить в облаке такие зашифрованные пароли.
Это точно безопаснее любых готовеньких решений. Пришла идея только что, просто впихнуть это туда где никто не будет искать.
ССЗБ. У меня существование облачных менеджеров паролей всегда вызывало только удивление. А потом всем будут внедрять ищё более глубокие анальные зонты типа FIDO2/U2F под предлогом что пароли плохо и приводя в пример такие фейлы.
> какой-то изъян, снижающий сложность подбора ключаага, например, плохой мастер-пароль.
Если надо таскать пароли, есть ну сааааааамый полевой, доступный всем, способ же - запароленный rar/7z-архив (zip sux). Но там уже главное - чтобы во временных файлах не застряло...
> рассматривается как нереалистичный на современном оборудовании....
> Дополнение: Начали появляться сведения о компрометации учётных записейПоходу достаточно сказать что нечто невозможно и кто-то назло это заимплементит.
Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом или термоядерным синтезом.
>> рассматривается как нереалистичный на современном оборудовании
>> Дополнение: Начали появляться сведения о компрометации учётных записей
> Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом
> или термоядерным синтезом.НЕ НАДО! А то фокус закончится "несмотря на предположения о полной безопасТности эксперимента, и мнения уважаемых экспертов что образовавшаяся вопреки этим предположениям миниатюрная черная дыра рассосется в ближайшее время самостоят...аааа...."
Очередное доказательство, того, что то, что имеет закрытый код, является более интересным, злоумышленникам любителям взламывать.
Так же еще одно доказательство, что проги, приложения не важно ос, имеющие закрытый код, не такие у ж и крутые и продуманные по безопасности!
Интересно и то, что за время существования lastpass, который не неоднократно взламывали, но разрабы, так и не учатся на ошибках, и не улучшают защиту и шифрование, наверное lastpass, уже не спасти..
Эксперты поясните почему нельзя юзать такие символы в паролях .̨̡̢̢̧̧̨̨̧̢̧̛͙̟̮̩̥̻̬̱̝͔̝̼̗͖͎̪̲͓͔̝̤͖̫̳̟̪͎̳̭̞̝̣̗̝̱̱̮̠̙̟̙͖̤͔͇̩͍͙̰̭̝̫̜̺̝͓̻̱̤̲͉͙̦͕̰̣̬̣̺̖̘̘̮͈̭̫͍̻̰͍̼̤̙̩͖͇̒̌͆̔̄̔̓̏͛̉͛̈́̑̑̎̈́̑͂̾͑͆̑͂͂́̋͂̄̂̒̃̆̓̐̉̀̾̽͒̎̓͐͆͑̊̉͋͋̀̈́̓̎͛̌͌̂̽̔͆̍̊̓̽̂̆̀̿̀̋̍̃̔̉̇̎̋̈́͆̈́̚͘̚̕̚͘̕͘̚̚͘̚͝͝͠͠͝͝͝ͅͅͅ ?
Нужно заставить фирму каждому пользователю выплатить по $10 000. Нужен такой закон.
А если пользователь придумал короткий или простой пароль, то он платит $10 000 фирме
> А если пользователь придумал короткий или простой пароль, то он платит $10
> 000 фирмепогоди, но я ведь уже за софтину им заплатил чтобы она за меня все придумывала безопасТно?!
Причем они меня заставили каждый раз вводить это идиотское aaaaaaaaaaaA - чудовищно долго и неудобно! Говорили что это надежно и безопастно!
Одному мне bright past показалось.