Адрес для входа в РФ: exler.bar
Пароли в Chrome - будьте осторожны!
13.08.2013 10:04
8514
Комментарии (31)
Для любителей хранить логины-пароли непосредственно в браузере. Представьте себе, что кто-то посторонний (или даже не посторонний) сел за ваш компьютер и что-то там делает в браузере Chrome - ну, знаете, всякое там "дай почту проверить". В адресной строке браузера посторонний вводит очень простое заклинание "chrome://settings/passwords", после чего он получает вот такой прелестный списочек, где у каждого пароля есть милая кнопочка "Показать".
Чудесно, не так ли?
А вывод очень простой. Логины-пароли никогда нельзя запоминать средствами браузера - это и несекьюрно, и очень ненадежно. Нужно использовать проверенные менеджеры паролей - лично я уже много лет использую Roboform. Он слегка платный, но оно того стоит. Есть также бесплатный Lastpass: он, на мой взгляд, Roboform'у по нескольким параметрам уступает, но большинству пользователей он вполне подходит.
Войдите, чтобы оставить комментарий.
Я предпочитаю keepass. Он кроссплатформенный и опенсорсный. А базу можно на дропбоксе держать, например.
А ещё я левых людей за комп не пускаю "дай почту посмотреть", а комп лочу, когда отхожу. А тем, кого пускаю, полностью доверяю. У большинства из них вообще ключи от моей квартиры есть.
А ещё я левых людей за комп не пускаю "дай почту посмотреть", а комп лочу, когда отхожу. А тем, кого пускаю, полностью доверяю. У большинства из них вообще ключи от моей квартиры есть.
чот никто не спросил, чо будет, ежели нажмать крестик, справа от "показать"?
DEagle.50: чот никто не спросил, чо будет, ежели нажмать крестик, справа от "показать"?
Так очевидно же - не покажет!!! 😄
А по теме - что вспомнилось, что в линуксе рут-пароль может получить любой дорвавшийся до клавы за 5 минут.
Пользуюсь KeePass - удобен тем, что и под Android есть, и под Линь, и под Фрю. Хранит всё локально.
Вообще-то, ластпасс хранит пароли где-то там - на своих серверах. Т.е. синхронизируется не через ваш относительно интимный дропбокс, гуглодиск или иное, а именно у себя.
Образно выражаясь, Вы кладете свои ключи от сейфа, офиса, кабинета, машины, квартиры, дачи, пояса целомудрия жены в один ящичек, запираете его ключиком и отдаете ящичек чужому, абсолютно незнакомому дядечке, живущему за рубежом - на хранение.
Который, в свою очередь, изготовил вам первоначальный ключик для ящика и обязуется при необходимости передавать вам ключики для пользования им из любого места, где бы Вы не находились.
Как то так...
Образно выражаясь, Вы кладете свои ключи от сейфа, офиса, кабинета, машины, квартиры, дачи, пояса целомудрия жены в один ящичек, запираете его ключиком и отдаете ящичек чужому, абсолютно незнакомому дядечке, живущему за рубежом - на хранение.
Который, в свою очередь, изготовил вам первоначальный ключик для ящика и обязуется при необходимости передавать вам ключики для пользования им из любого места, где бы Вы не находились.
Как то так...
axr: Currently, WebBrowserPassView cannot retrieve the passwords if they are encrypted with a master password
Не вопрос, мастер-пароль спасает. По крайней мере, в опере, шифровал именно им, и утилитами просто так уже не расшифровывался. Но мы-то говорим о "театре безопасности" в виде дефолта, когда пароли хранятся несекурно и пользователь об этом не знает.
JimBeam: Образно выражаясь, Вы кладете свои ключи от сейфа, офиса, кабинета, машины, квартиры, дачи, пояса целомудрия жены в один ящичек, запираете его ключиком и отдаете ящичек чужому, абсолютно незнакомому дядечке, живущему за рубежом - на хранение.
В корне неверное утверждение. Ластпасс шифрует на стороне клиента. Передается и хранится на серверах уже зашифрованное содержимое.
JimBeam : То есть дропбокс и гуглодиск для Вас интимны? А ластпасс - незнакомый дядечка? Кстати ластпасс не хранит мастер-пароль на сервере. И в случае утраты пароля его не высылают по почте. С робоформ не знаком, к сожалению. Он даже дешевле получается, чем ластпасс.
А вообще, для гостей существует соответствующий доступ. Ну и каждый раз логиниться через мастер-пароль при авторизации муторно. Безопасность - штука хорошая, но не в ущерб комфорту и скорости. Большим компом пользуюсь на пару с женой. Удобно переключать аккаунты в социалках.
А вообще, для гостей существует соответствующий доступ. Ну и каждый раз логиниться через мастер-пароль при авторизации муторно. Безопасность - штука хорошая, но не в ущерб комфорту и скорости. Большим компом пользуюсь на пару с женой. Удобно переключать аккаунты в социалках.
Oh noes!
Хром кажет пароли. О мой бог. Что делать?
Зайти на:
www.nirsoft.net
и понять, что все браузеры хранят пароли несекурно.
Ах, ластпасс... Да ластпасс хранит пароли как надо. Одна проблема:
i-fotki.info
Видите кнопку "Показать"? Как думаете, что будет, если ее нажать?
Кстати, ничего, что когда ставите ластпасс (отдельный инсталлер) он кажет все пароли от всех браузеров? Даже Нировские утилины не нужны.
Вывод: отметить для себя публикации, где наводят шорох на пустом месте. В следующий раз смотреть на их сообщения по данной тематике ПРЕДЕЛЬНО критично. Хотя, конечно, хранить пароли в браузере - зло. Ластпасс вполне подойдет. И не забываем разлогиниваться.
Ну и естественно, Don't Panic...
Хром кажет пароли. О мой бог. Что делать?
Зайти на:
www.nirsoft.net
и понять, что все браузеры хранят пароли несекурно.
Ах, ластпасс... Да ластпасс хранит пароли как надо. Одна проблема:
i-fotki.info
Видите кнопку "Показать"? Как думаете, что будет, если ее нажать?
Кстати, ничего, что когда ставите ластпасс (отдельный инсталлер) он кажет все пароли от всех браузеров? Даже Нировские утилины не нужны.
Вывод: отметить для себя публикации, где наводят шорох на пустом месте. В следующий раз смотреть на их сообщения по данной тематике ПРЕДЕЛЬНО критично. Хотя, конечно, хранить пароли в браузере - зло. Ластпасс вполне подойдет. И не забываем разлогиниваться.
Ну и естественно, Don't Panic...
а зачем давать своего юзера кому ни попадя?
для этого есть гостевой доступ.
для этого есть гостевой доступ.
aryeh: Ах, ластпасс... Да ластпасс хранит пароли как надо. Одна проблема: i-fotki.info Видите кнопку "Показать"? Как думаете, что будет, если ее нажать?
С настройками по умолчанию LastPass попросит ввести мастерпароль.
"Чудесно, не так ли?"
Ой, какая роскошная глупость. А то, что те же робоформы и ластпассворды спокойно ставятся под юзеровскими правами и импортируют пароли из ВСЕХ "известных науке" броузеров - чем это не сенсация? Так можно упереть сколько угодно паролей. Почему из этого никто не делает газетную статью?
Ой, какая роскошная глупость. А то, что те же робоформы и ластпассворды спокойно ставятся под юзеровскими правами и импортируют пароли из ВСЕХ "известных науке" броузеров - чем это не сенсация? Так можно упереть сколько угодно паролей. Почему из этого никто не делает газетную статью?
Это ж насколько надо не доверять членам своей семьи? Да пусть хоть все деньги с карточки через интернет украдут оттого, что за компом был ребенок или жена. Это что-то меняет? Любить их меньше станете?
А "чужие дяди" - какое странное выражение - за личный домашний комп не сядут по определению. Ну кроме тех дядей в погонах, которые вдруг решат поинтересоваться вашим компом. Но им и Робоформ как бы не помеха.
В целом, мне непонятна логика и страхи, связанные с хранением паролей в браузере.
А "чужие дяди" - какое странное выражение - за личный домашний комп не сядут по определению. Ну кроме тех дядей в погонах, которые вдруг решат поинтересоваться вашим компом. Но им и Робоформ как бы не помеха.
В целом, мне непонятна логика и страхи, связанные с хранением паролей в браузере.
Я, как давний пользователь Оперы, всегда думал что пароли хранятся в зашифрованном виде, и когда увидел такое безобразие в Мозилле и хроме, прям офигел.
Понятное дело что при желании и из оперы можно получить пароли, но только специальными программами, о которых многие не догадываются.
Понятное дело что при желании и из оперы можно получить пароли, но только специальными программами, о которых многие не догадываются.
Нормальные сайты с серьезной системой безопасности не позволяют никаким хромам запоминать пароли + смс подтверждение.
Все остальное в подавляющем большинстве использует систему паролей для защиты от спамеров, т.е. этот пароль не так нужен мне, как тому сайту на который я прихожу.
И тогда вопрос: почему ради владельца форума я должен испытывать неудобства, напрягаться, в некоторых случаях за собственные деньги?
Так что хром пусть живет.
Все остальное в подавляющем большинстве использует систему паролей для защиты от спамеров, т.е. этот пароль не так нужен мне, как тому сайту на который я прихожу.
И тогда вопрос: почему ради владельца форума я должен испытывать неудобства, напрягаться, в некоторых случаях за собственные деньги?
Так что хром пусть живет.
Лично я из вышеописанного могу сделать несколько иной вывод - не "не хранить пароли в браузере", а "не хранить пароли в Хроме".
aldor:
Лично я из вышеописанного могу сделать несколько иновывод
Лично я из вышеописанного могу сделать несколько иновывод
Ну так сделайте, в чем проблема?
хм, у меня еще и SSH ключи в хомяке лежат, так что "проверить почту" это строго из гостевой сессии.
Хотя и пароли совсем не хроме хранятся ( в голове по не очень сложной схеме генеренные).
Хотя и пароли совсем не хроме хранятся ( в голове по не очень сложной схеме генеренные).
Если у чужого есть доступ к компьютеру - никакие Робоформы не спасут. Компьютер должен быть персональным.
jorassic: Если у чужого есть доступ к компьютеру - никакие Робоформы не спасут. Компьютер должен быть персональным.
Спасут. При первом запуске Roboform запрашивает мастер-пароль.
В файрфоксе тоже можно посмотреть все сохраненные пароли. Зачем такой акцент на хром?
rocket1:
В файрфоксе тоже можно посмотреть все сохраненные пароли. Зачем такой акцент на хром?
В файрфоксе тоже можно посмотреть все сохраненные пароли. Зачем такой акцент на хром?
В FF их можно закрыть отдельным паролем. В Chrome - нельзя. А такой акцент на Хроме - потому что Mozilla проплатила, очевидно.
Ну, в Фаерфоксе есть возможность поставить на это дело центральный пароль.
Почему остальные не сделали подобной защиты - не понимаю
Почему остальные не сделали подобной защиты - не понимаю
Теги
Информация
Что ещё почитать
