Главная
Блог
Кинорецензии
Баннизмы
Обзоры
Рассказы
Похудение
Ликбез
Архив
Форум →
 
Ликбез

Удобный менеджер паролей TeddyID

Одна из самых больших проблем с безопасностью данных пользователей связана с паролями, которые пользователи выбирают при регистрации на сервисах.

Как известно, подавляющее большинство пользователей по поводу паролей сильно не напрягаются и совершенно искренне считают, что какой-нибудь "123456" - это весьма устойчивый пароль, который ни один злоумышленник подобрать не может.

А потом начинается: почтовый ящик взломали, игровой аккаунт взломали, банковский аккаунт взломали, форумский аккаунт взломали, фейсбучный аккаунт взломали, вконтактиковый аккаунт взломали, лишь только одноклассниковый аккаунт не взломали, потому что - да кому он вообще нужен...

Конечно, владельцы различных сервисов изо всех сил пытаются заставлять пользователей задавать более или менее устойчивые пароли. Более того, когда владельцы сервисов поняли, что взывать к разуму пользователей совершенно бесполезно ввиду или отсутствия разума или присутствия полнейшей беспечности в этом вопросе, они стали принудительно вводить различные ограничения при задании пароля: минимум столько-то символов (как правило, 6-8, не меньше), обязательно буквы в различных регистрах, обязательно присутствие каких-то цифр и так далее.

Вы думаете, пользователей это сломило? Да ни черта! Они просто стали вводить в качестве пароля "Password123456" - и все.
статья целиком ...

Комментарии
 
← Предыдущая Следующая →
 

Интересно, но привязка к сторонним сервисам хоть и не лишена определенных плюсов, но кажется излишней. Если забыть об универсальности и мультибраузерности, от себя пользователям хрома и оперы могу порекомендовать PasswordMaker Pro  - опенсорсное расширение, работающее следующим образом: вами придумывается один мастер-пароль, который может быть сохранен в настройках расширения (или не сохранен, если паранойя =)), после этого оно исходя из мастер-пароля для каждого домена генерит уникальный сложный пароль. Метод не без недостатоков - иногда на конкретном сайте требования к паролю не совпадают со сгенеренным (например сайт требует использовать в пароле _только_ буквы и цифры), и сменить пароль для сайта становится затруднительно, так как расширение генерит пароль по строго определенному алгоритму и из пары мастер-пароль+домен всегда получится только один пароль. Но лично для меня эти недостатки несущественны, так как подобные ситуации являются скорее исключениями. Зато не приходится ни платить кому бы то ни было, ни доверять свои пароли сервису, который сегодня есть, а завтра его или похачили, или он просто взял и исчез. Но тут уж, как говорится, каждый сам выбирает.

Qiwichupa( 15.06.16 09:42 )

я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство, его можно забыть, отжать и просто взять на пару минут. Конечно, если ты параноик и у тебя телефон зашифрован и каждый раз требует ввести длинный пароль, то наверно, хотя и тут есть проблемы. Но главная проблема в том, что таким телефоном очень неудобно пользоваться :) При количестве анлоков телефона 100+ в день я не готов вводить даже 4х значный пин :)

Еще один недостаток "облачных" решений, то что в самый нужный момент сервис недоступен и все. Ты без всех своих паролей вообще, без возможности сделать хоть что-то.

А по-поводу менеджеров, самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде. Если хочется автоматически вводить пароли в браузере, а не копи-пастить, то к нему есть аддоны для FF/Chrome...

StasTs( 15.06.16 09:44 )

а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей

power2000( 15.06.16 09:51 )

Связка ключей от Apple + двухфактораня авторизация избавляет от лишних телодвижений с различными сервисами. Правда придется купить ненавистный-жуткодорогой-сложный для пониминия-чего там еще Apple

admiles( 15.06.16 09:56 )
admiles: Связка ключей от Apple + двухфактораня авторизация избавляет от лишних телодвижений с различными сервисами. Правда придется купить ненавистный-жуткодорогой-сложный для пониминия-чего там еще Apple

Ну кто-то бухает, кто-то садится на иглу, кто-то на Apple :-)

sambl4( 15.06.16 09:59 )
power2000: сть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей

Присоединяюсь к вопросу.
И ещё я не понял - если у меня хром на телефоне-планшете, он к нему привязывается и там тоже пароли не нужно вводить будет?
А то в ластпассе это платная функция, причём по подпискек,а не разово, поэтому он идёт лесом.
neverdie( 15.06.16 10:07 )
Qiwichupa: из пары мастер-пароль+домен всегда получится только один пароль

Это плохая идея. Хотя бы потому, что многие сервисы (особенно связанные с деньгами) требуют периодической смены пароля

LessNick( 15.06.16 10:32 )

Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.

Rifkat( 15.06.16 11:25 )
Rifkat:

Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.

такая же фигня, :) в робоформе предусмотрены базы контактов (типа как в оутлуке) и различного рода заметки, храни любую инфу...  

power2000( 15.06.16 13:44 )

Опять доверять конфиденциальную информацию хрен знает кому? На мой взгляд, это не сильно лучше пароля 123456. Я предпочитаю хранить пароли в KeePass2, а чтобы иметь доступ к паролям отовсюду - его зашифрованную базу, защищенную паролем, хранить в облаке, защищенном другим паролем. Так хотя бы какая-то видимость защищенности появляется. А то как этот медвежонок там пароли с логинами хранит - это никто не знает. А KeePass2 опенсорсный, с ним всё ясно и вполне надёжно.

StasTs: я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство

+100

StasTs: самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде

+150!

lunkin( 15.06.16 15:10 )
Александр Амелькин: Опять доверять конфиденциальную информацию хрен знает кому?

Не только хрен знает кому, но и хрен знает кому хрен знает откуда. Сервис с поддержкой только английского и русского языков, но без поддержки, например испанского, как гораздо более распространенного.
С возможностью поделиться "радостью" с друзьями в "Одноклассниках" но не в "фейсбуке" или "твитторе"?
Я даже не спрашиваю в какой стране сервера находятся. Незачем. И так все понятно. Спасибо, хорошего вам настроения и здоровья,  но я лучше здесь подержусь.

perepelkin( 15.06.16 16:39 )

повторю свой вопрос из этой темы (там больше подробностей, не стал все копировать):
http://www.exler.ru/blog/item/19165/50/
---
посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.
---
перепелкин мне там посоветовал ластпасс, но после подробного курения сайта ластпасса и информации по нему на вики-разделе арча обнаружил, что под винду и адроид, вроде, все устраивает, но под линукс нету поддержки десктопных программ (только плагины для браузеров) и конкретно под арчем доступны не все функции, вроде двухфакторной аутентификации. и техподдержка, судя по этому посту (https://forums.lastpass.com/viewtopic.php?f=12&t=175825) от платного юзера на их форуме, за 11 месяцев не получившего ответа, очень хреновая. а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)

вроде, единственная кросс-платформенная альтернатива, доступная под арчем - keepass, но там сразу несколько разных вариантов и так и не понял, можно ли хоть к одному из них прикрутить двухфакторную аутентификацию и поддерживает ли он авто-ввод (не копирование в буфер) паролей.

надо бы спросить и на форуме арча, но в последние дни все время боролся с разными глюками, вызванными железом, и руки до этого не доходили. обнаружил дикие глюки у сата-контроллера материнки, из-за которых большАя часть данных, записанных в последнии три недели на разные винты, была порушена (старые данных с этих винтов вчера читались нормально, но смарт сообщает о гигантских количествах ошибок чтения. думаю теперь, что не было никакого криптолокера, а просто, в момент сканирования винтов крэшпланом, данные считались неправильно). так что, пока не заменил материнку, ничего нового ставить не буду и стараюсь вообще использовать комп по минимуму.

ptero( 15.06.16 16:43 )

Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере.

Т.е. в случае потери доступа к компьютеру (украли, умер) - терям всю базу паролей?

vicpryl( 15.06.16 16:46 )
ptero: а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)

Ничего не было скомпрометировано. Были попытки взлома, завершились ничем. Никто ничего не смог украсть, потому что у ластпасса физически нету ваших паролей и никогда не было.
У них только хеши, но кого это волнует - ПОПЫТКИ  ВЗЛОМА  ведь были :)

По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?

А по поводу других менеджеров, для меня менеджер который не умеет сам заполнять поля в браузере - не существует. А они не все умеют. Большинство не умеет, так что выбор не особо-то и большой. Даже среди платных.

perepelkin( 15.06.16 16:52 )
perepelkin:

По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?

ну, после того как нашел малварь,  полученную, когда я еще регулярно обновлял систему, не ставил ничего, не существующего в официальных репозиториях и не давал винде доступа к партиции  (позже уже что-то сломал в настройках и система не грузилась, двд-привод уже не работал,  грузиться с флэшки материнка не умеет - пришлось поставить, чтобы поправить конфиги из винды), доверия линуксу поуменьшилось. да и в последнее время часто читал про все новую малварь для линукса, большинство из них поражает веб-сервера,  но и для десктопа тоже кое-что появляется,  в т.ч. кейлоггеры. я при каждом запуске ввожу мастер-пароль громоптица,  с которым легко расшифровать пароли ко всем используемым с ним мэйл-аккаунтам. и пока не вышел пиджин 3, приходится хранить все пароли в открытом виде в текстовом файле (из них важны аська с красивым номером и фейсбук, фейсбук, вроде, хотя бы при смене пароля требует код,  присылаемый по смс, но когда менял привязанный номер,  не помню, требовалось ли сначала подтвердить код со старого. но в любом случае, не хотелось бы и,  чтобы кто-то получал доступ к аккаунту, переписка - хрен с ней,  но в некоторых, не особо критических, местах я использую логин через фейсбук. а аська,  вроде, не защищается никак), хотелось бы получить возможность их авто-ввода при каждом запуске через менеджер паролей.

копия профилей пиджина и громоптица существует и под виндой, которой доверия было изначально меньше. а недавно попробовал десятку на старом ноуте, сначала апгрейд с семерки,  потом переписал сериальник и поставил с нуля (последний на то время дистрибутив с сайта мс). установил только тотал коммандер,  авиру и файрфокс, потом не пользовался пару месяцев. когда запустил снова,  авира обновила базы и нашла троянца в роуминг-папке.

ptero( 15.06.16 17:55 )

ptero:  

Для keepass не существует 2х факторной аутентификации, так как это не сервис, а локальная программа с хранением паролей в локальном зашифрованном хранилище. Это хранилище, может быть синхронизировано как файл или через API от разных облаков на разные компы. Для него есть плагины/адд-оны для браузеров, которые поддерживают автозаполнение (http://keepass.info/plugins.html смотреть Integration & Transfer). Правда я этим не пользуюсь, ничего особенного сказать не могу.

StasTs( 15.06.16 18:38 )
А менеджер паролей от Касперского чем плох?
metotron( 15.06.16 18:42 )
Я правильно понял, что с телефоном (под "явой" :) его использовать нельзя?Жаль. Мог бы быть удачным решением...
ailcat( 15.06.16 19:03 )
А как мне этим счастьем воспользоваться, если я смотрю сайты с мобильного устройства - того же телефона?
kunis( 15.06.16 19:15 )
StasTs:

ptero:  

Для keepass не существует 2х факторной аутентификации, так как это не сервис, а локальная программа с хранением паролей в локальном зашифрованном хранилище. Это хранилище, может быть синхронизировано как файл или через API от разных облаков на разные компы. Для него есть плагины/адд-оны для браузеров, которые поддерживают автозаполнение (http://keepass.info/plugins.html смотреть Integration & Transfer). Правда я этим не пользуюсь, ничего особенного сказать не могу.

для этого точно есть плагины. https://sourceforge.net/p/keepass/discussion/329221/thread/9e060eb2/

не знаю только пока,  работают ли они и в линуксе,  и в винде, одновременно с одной базой паролей и одним и тем же способом для аутентификации. и еще, безопасно ли их использование,  или я даю доступ к с своим паролям сторонним небезопасным сервисам/рискую сам навечно потерять доступ к ним при потере мобилы/каком-то факапе на стороне сервиса.

пока еще не смотрел,  что конкретно есть (видел,  что есть по крайней мере один плагин для гугл-аутентификатора в aur, но он помечен как устаревший) и как оно работает,  но может кто-то уже пользовался каким-то из существующих способов?

ptero( 15.06.16 20:27 )
metotron: А менеджер паролей от Касперского чем плох?

Все яйца в одной корзинке?

ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...

У Ластпасс есть Ява апплет. Я им на Нокии пользовался сто лет тому назад, правда он сам заполнять формы не мог, надо было вручную копировать/вставлять, но хоть что-то.

perepelkin( 16.06.16 00:28 )
Тоже рекомендую Keepass2, всё что нужно - есть.
lazy_ga( 16.06.16 00:59 )

А почему вы не пишете на визитках PIN?

Знаете,  это все очень просто решается. Причем ни в малейшем ущербе для безопасности. Статистически - однохренественно. Просто запомните четыре цифры. Для романтики - пусть это будет как-то связано с вашей первой любовью.   Отнимимте  (или прибавьте) от вашего пина. Все. Пишите результат на карте. Если у вас проблема с мозгом,  то всегда восстановите.

Peter Zabriski( 16.06.16 02:11 )

https://sourceforge.net/p/keepass/discussion/329220/thread/8b1d33f7/

в общем, я так понял, под keepass есть только два плагина для мультифактора, один поддерживает только усб-ключ yubikey, другой (обсуждается в вышестоящем линке), в том числе, гугл-аутентификатор (и кучу других генераторов одноразовых паролей). но! в случае использования одной базы на нескольких устройствах, необходимо между ними синхронизировать счетчик использованных паролей. я нередко одновременно использую линукс на компе и ноут с виндой, с включенным браузером в обеих системах, синхронизировать их не получится. усб-ключ, при использовании другого плагина, вроде, таких ограничений не имеет, но не перетыкать же его туда-сюда. ну и денег стоит, бэкап ключа возможен, но его нельзя хранить открыто/расшифровывать на том же устройстве, где хранится база (которую хотелось бы иметь на всех устройствах). ну и с десктопными программами, я так понял, тоже ничего не получится. условия для андроида тоже не выполняются.

получается, что единственное кросс-платформенное решение - ластпасс премиум, в линуксе - только с браузером (и похоже, что мультифактора необходим сезам, доступный только под дебиан/убунту, переходить на которые не хочу. искал "lastpass [sesame,multifactor] arch linux" - ничего кроме того поста с вопросом на форуме не нашел. думаю, если бы можно было поставить через alien - кто-то бы об этом написал). я думал в прошлом о полной миграции на винду (возможно, с виртуалкой с линуксом для самых секьюрити-критичных вещей) после того как соберу новый комп, но в последнее время, что со старой 7 на компе (которая, правда, не смогла поставить сп1, после чего я ее не переставлял, чего явно стоило сделать), что с 8.1/10 с последними обновлениями на ноутах, наловил столько глюков, что перехотелось. хотя хочется, наконец, поиграть опять в несколько виндовых игр/использовать музыкальный софт на более мощном компе, и не хочется перезагружать комп постоянно.

но, даже с поддержкой всех желаемых функций под виндой, выяснил, что мультифактор отключается по линку на сохраненное мыло. т.е. (тут уровень паранойи зашкаливает), по-хорошему нельзя хранить мыло с этого ящика на компе, где набирается мастер пароль или набирать на одном компе мастер-пароль, чтобы залогиниться в ластпасс и потом логин и пароль мыла, чтобы через него отменить мультифактор. разве что тыкать в другое место и вводить лишние символы.

в общем, одного идеального решения не существует и возможно, что придется поискать несколько разных менеджеров и переносить между ними пароли, когда будет нужно, вручную. или забить на все ;)

ptero( 16.06.16 03:44 )
perepelkin:
metotron: А менеджер паролей от Касперского чем плох?

Все яйца в одной корзинке?

А можно про яйца подробнее? Я просто тоже озадачился вопросом надежного хранения и умной генерации паролей. Касперский стоит уже чуть больше года - вроде как норм работает...но двухфактроной авторизации нет...

metotron( 16.06.16 07:08 )
StasTs: я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство, его можно забыть, отжать и просто взять на пару минут.

+++

В случае паролей на СМС, еще можно добавить выдачу дубликатов симок по поддельным документам в салонах связи (о чем и Алекс писал).  

Авторизация через телефон - зло, широко используется только в силу дешевизны и универсальности метода. Т.к. не нужно иметь спец устройство (типа юсб-ключа или независимого герератора разовых паролей). Но серьезной защитой не является.

StasTs: А по-поводу менеджеров, самый простой KeePass2

+++

Никаких проблем с перходом на новое устройство или с платформы на платформу (клиенты есть практически под все). Недостаток -  нужно самостоятельно заботится о хранении/переносе/синхронизации базы, поэтому для неподготовленного пользователя подходит слабо.

justAlex( 16.06.16 09:48 )
neverdie:
И ещё я не понял - если у меня хром на телефоне-планшете, он к нему привязывается и там тоже пароли не нужно вводить будет?
А то в ластпассе это платная функция, причём по подпискек,а не разово, поэтому он идёт лесом.

на телефоне-планшете тоже пароли не нужно будет вводить, правда там это работает через букмарклет (мобильные браузеры не поддерживают расширений).

tony@teddyid( 16.06.16 17:56 )
power2000:

а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей

Как отдельной функции в настоящее время нет, но можно постепенно переносить пароли по мере использования - робоформ подставил пароль, тедди сохранил.

tony@teddyid( 16.06.16 17:59 )
Rifkat:

Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.

Teddy поддерживает пароли только от веба, потому что только их сможет автоматически заполнить.  Я сам продолжаю использовать свой старый менеджер пароле (типа keepass) для паролей от не-веба.

tony@teddyid( 16.06.16 18:06 )
vicpryl:

Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере.

Т.е. в случае потери доступа к компьютеру (украли, умер) - терям всю базу паролей?

Копия ключа хранится на телефоне, с него он будет восстановлен на новом компьютере.  Если действительно украли, желательно отключить все браузеры старого компьютера в ЛК (хотя для злоумышленника один только старый компьютер без доступа к телефону бесполезен).

tony@teddyid( 16.06.16 18:14 )
ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...

Можно, есть приложение и для явы, но на смартфоне действительно приятней использовать.

tony@teddyid( 16.06.16 18:17 )
kunis: А как мне этим счастьем воспользоваться, если я смотрю сайты с мобильного устройства - того же телефона?

Установить букмарклет https://www.teddyid.com/#bookmarklet и активировать его перед логином.  Кстати букмарклет бесплатен в отличие от расширения.

tony@teddyid( 16.06.16 18:22 )

Оплатить расширение для Chrome/ Yandex Browser из Казахстана не получится. Авторы программы в курсе, но сделать ничего не могут...

MrTims( 19.06.16 05:17 )

Технологии не стоят на месте и еще через каких-нибудь лет пятьдесят мы получим софт, который умеет делать все тоже самое, только для не-веб учеток, коих у среднестатистического юзера обычно чуть более, чем дохрена.

Paul( 01.08.16 10:42 )
Для отправки комментария необходимо зарегистрироваться

 
← Предыдущая Следующая →
 
Информация
О разделе
Рейтинг
RSS-лента
Рассылка
Архив
Поиск по сайту
Избранное
THG
Wix
Dirty
iXBT
3DNews
Моя кнопка
Счетчики
 
Хостинг от «Зенон»Сервера компании «ETegro»
Сделано в