Менеджер паролей.

← →
Плохиш © (2012-11-29 19:01) [40]

Ветка напоминает анекдот про неуловимого джо :-))

← →
Дмитрий С © (2012-11-29 19:03) [41]

> Ветка напоминает анекдот про неуловимого джо :-))

Хочу, чтобы на каждом сайте вроде этого или 4pda или какой-нибудь амперки был свой уникальных пароль. А запомнить их естественно сам не могу.

← →
Плохиш © (2012-11-29 19:09) [42]

> Менеджер паролей.

Блокнот

← →
Kerk © (2012-11-29 19:13) [43]

Ежеквартальная смена паролей хорошо память и фантазию развивают :). К менеджерам паролей так и не привык, пробовал и KeyPassX, и еще что-то. Какой-то у меня иррациональный страх потерять файл с паролями :)

← →
TUser © (2012-11-29 19:20) [44]

Собственный секретный алгоритм типа "вторые буквы английских названий всех стран, пересекаемых такой-то параллелью". При регулярном использовании запоминается, если надо - легко восстанавливается. Брутфорс не берет.

Ну и для некритичных случаев (а их большинство) - несколько стандартных паролей + привязка к жж-аккаунту, где можно.

← →
Kerk © (2012-11-29 19:44) [45]

Есть еще такая штука http://www.passwordcard.org/ru

← →
Дмитрий С © (2012-11-29 20:03) [46]

> Kerk © (29.11.12 19:44) [45]

прикольно) надо реальные отзывы почитать )

← →
Anatoly Podgoretsky © (2012-11-29 20:21) [47]

> Kerk (29.11.2012 19:13:43) [43]

Будет обидно.

← →
Inovet © (2012-11-29 20:27) [48]

> [44] TUser © (29.11.12 19:20)
> Собственный секретный алгоритм типа "вторые буквы английских
> названий всех стран, пересекаемых такой-то параллелью".

Особенно легко запомнить пароли в районе 80-90 сш и вд.

← →
Inovet © (2012-11-29 20:30) [49]

> [48] Inovet © (29.11.12 20:27)
> вд

юш, в смысле.

← →
Jeer © (2012-11-29 22:47) [50]

> А запомнить их естественно сам не могу.

eghcn - что же мне говорить в мои-то "старческие" годы ? :)

← →
palva © (2012-11-29 23:27) [51]

> > Ты, главное, его в памяти "висящим" не оставляй.
> Вот вот. Получается любой вирус может его память считать
> и всё пропало?

А у меня keepass все время висит в памяти. Почему вы думаете, что он хранит пароли в памяти в открытом виде? Пароль появляется в памяти на 10 секунд в тот момент, когда я прошу его скопировать в клипборд. Вот логин действительно светится в виде текста, так что, возможно, вирус его может украсть.

Раньше на очень многих ресурсах у меня были одинаковые пароли. С появлением этой штуки все пароли разные, случайно сгенерированные. К тому же теперь ничего не стоит сменить пароль. Все равно его не надо никуда записывать. Если есть страх, что все потеряется, можно экспортировать содержимое базы в открытом виде на флеш-память, которую сразу же вытащить. Правда, подозреваю, что это не совсем безопасно. В каких-то буферах ввода-вывода содержимое может остаться.

← →
TUser © (2012-11-29 23:39) [52]

Я бы на месте вирмейкеров тупо копировал бы содержимое буфера, которое вставляется в окошко "пароль" или же то, что попадает в буфер из этого вашего кейпасса. Зачем мудрить с какими-то там буферами флеш-памяти? Информацию надо уводить в тот момент, когда она лежит открыто в общедоступном месте, да тут и обычный клавиатурный шпион удовлетворит их потребности, имхо.

← →
palva © (2012-11-30 00:11) [53]

Пароль введенный в контрол браузера уже лежит в доступном месте. JavaScriptовый вирус может его вытащить. Только KeePass тут ни при чем. Пароль мог быть введен из головы или с бумажки. Я просто сомневаюсь, что когда KeePass висит в памяти, то это плохо с точки зрения безопасности. KeePass хорош при физическом изъятии компьютера. Без знания мастер-пароля данные не достать.

← →
DVM © (2012-11-30 00:19) [54]

Кстати. Не всегда пароль можно придумать себе самому. Иногда пароли выдают, причем изменить их можно, но они опять будут сгенерированы. И их надо как то запоминать. Опять же пин коды всякие к картам и прочее, что фиксировано удобно хранить в KeePass

← →
TUser © (2012-11-30 11:02) [55]

> palva © (30.11.12 00:11) [53]
> Пароль введенный в контрол браузера уже лежит в доступном
> месте.

Именно. И там бы я его и ловил на месте вирмейкеров.

> KeePass хорош при физическом изъятии компьютера.

Ну, это да. С другой стороны, если там какие-то суперсекреты, то все-таки надо запомнить пароль.

← →
БарЛог © (2012-11-30 11:13) [56]

palva © (29.11.12 23:27) [51]

> А у меня keepass все время висит в памяти. Почему вы думаете, что он хранит пароли в памяти в открытом виде?

Точно не знаю. Очень надеюсь, что нет.
Можно, например, ногами подойти к незаблокированному компьютеру (или радмином) и посмотреть пароль глазами в кейпасе.

← →
Ваще имя (2012-11-30 17:08) [57]

> буфер обмена хранит пароль лишь короткое время

То есть подписка на нотификации буфера обмена и/или агрессивный его опрос сделают снятие пароля из памяти реальным делом.

← →
Ваще имя (2012-11-30 17:10) [58]

P.S. Я этот KeePass не употребляю, поэтому не могу сделать практический анализ.

← →
Inovet © (2012-11-30 17:51) [59]

> [42] Плохиш © (29.11.12 19:09)
> Блокнот

+ шифроблокнот

← →
Inovet © (2012-11-30 17:53) [60]

> [56] БарЛог © (30.11.12 11:13)
> Можно, например, ногами подойти к незаблокированному компьютеру
> (или радмином) и посмотреть пароль глазами в кейпасе

Там он звёздочками отображается, если не нажать кнопочку рядом.

← →
Inovet © (2012-11-30 17:54) [61]

> [57] Ваще имя (30.11.12 17:08)
> То есть подписка на нотификации буфера обмена и/или агрессивный
> его опрос сделают снятие пароля из памяти реальным делом

Как и прочие способы его хранения и ввода.

Inovet © (30.11.12 17:53) [60]

> Там он звёздочками отображается, если не нажать кнопочку рядом.

Я знаю. Но раз уж ты подошел к не заблокированному компьютеру, почему бы и не нажать? :)

> Ваще имя (30.11.12 17:08) [57]
>
> > буфер обмена хранит пароль лишь короткое время
>
> То есть подписка на нотификации буфера обмена и/или агрессивный
> его опрос сделают снятие пароля из памяти реальным делом.

Если до этого дошло, то уже вообще ничего не спасет. Менеджер пароля тут непричем.

> [62] БарЛог © (30.11.12 17:57)
> к не заблокированному

Так тот, кто держит открытым КиПас и ещё оставляет незаблокированныий комп, когда уходит, - ССЗБ и ему, чтобы облегчить жизнь себе и другим, надо пароли на бумажках записывать и приклеивать к монитору.

← →
Ваще имя (2012-11-30 18:10) [65]

> Если до этого дошло

Целью было показать, что буфер обмена by design не предназначен для хранения чувствительной информации.
Если менеджер паролей предполагает помещение чего-то секретного в буфер обмена, то лучше не надо такого менеджера.

> Ваще имя (30.11.12 18:10) [65]

Клавиатурный ввод твой перехватить не сложнее, чем информацию в буфере.
Там, где безопасность действительно критична, используют всякие хитрые экранные клавиатуры.

> [65] Ваще имя (30.11.12 18:10)
> Если менеджер паролей предполагает помещение чего-то секретного
> в буфер обмена, то лучше не надо такого менеджера.

Не размещай да и всё, смотри на экран и набивай рядом.

Кстати, КиПас понравился, надо заюзать. Я храню в архиве rar с паролем, но это мне не нравится, по уже названным выше в ветке причинам.

← →
Ваще имя (2012-11-30 19:12) [68]

> Клавиатурный ввод твой перехватить не сложнее, чем информацию
> в буфере.

Вообще-то сложнее. Еще раз
прочитайте про общедоступность буфера обмена, которая так и задумана.

> храню в архиве rar с паролем

При каждом просмотре секретка утекает в %TEMP%, а если %TEMP% на каком-либо постоянном запоминающем устройстве, то еще и остается надолго

> [68] Ваще имя (30.11.12 19:12)
> При каждом просмотре секретка утекает в %TEMP%

Там секретка не очень что б сильно секретная. FAR её за собой, конечно, удаляет, после закрытия редактора, но не затирает физически, естественно.

← →
Ваще имя (2012-11-30 19:44) [70]

> Там секретка не очень что б сильно секретная.

Ну, тогда тут надо определиться, насколько эта самая безопасность важна.
А то возможно и каких-нибудь стандартных средств хватит, типа менеджера паролей браузера.

> FAR её за собой, конечно, удаляет, после закрытия редактора,
> но не затирает физически, естественно.

Знаете про file slack? Вероятен сценарий когда изрядная часть пассов останется на диске очень надолго.
Да и FAR последнее время стал свободным и падучим. WinRAR стабильнее и безопаснее для просмотра.

Менеджер паролей. Найти похожие ветки