Вход | Регистрация

  1  2   
О жизни... :: Как страшно жить

OFF: Управление паролями

OFF: Управление паролями
Я
   k1us181b
 
18.01.13 - 04:14
Последние года 2 - 3 стал замечать, что стал путать (и даже забывать) пароли различных систем (почты, аськи и пр.). Вчера чуть было не загубил пароль для входа в один банк, после третьей попытки ввода угрожали проблемами). Один и тот же ВЕЗДЕ использовать опасно, записывать куда-то - потеряешь..
Кто как решает проблему?
 
 
   Kavar
 
1 - 18.01.13 - 04:23
люди годами живут с паролями типа - "qwerty" и не парятся.
   impulse9
 
2 - 18.01.13 - 04:23
Поставить lastpass на телефон. Стоит 12 долларов  в год

Запоминаешь один пароль - и все, остальные пароли помнит сам lastpass. У него есть автосинхронизация между устройствами, плагины для всех популярных браузеров, короче, весчь
   Kavar
 
3 - 18.01.13 - 04:24
(2) это по сути тоже самое, если юзать один пароль. но за деньги.
   k1us181b
 
4 - 18.01.13 - 04:27
(2) весчь, конечно, но телефон может быть украден\потерян или батарея сядет как обычно в нужный момент..
   impulse9
 
5 - 18.01.13 - 04:32
(3) Если пароль от моей аськи кто-нибудь узнает, я потеряю только аську. Все остальное имеет другие пароли. Очевидно, ты не прав

(4) Украдут, не зная главного пароля - fail
Батарея сядет - это вообще за гранью добра и зла. Носи запасную )
   impulse9
 
6 - 18.01.13 - 04:33
(4) Ты еще расскажи про "забыл главный пароль", "выкололи глаза", "у меня нет телефона", "мне надо вводить пароли в -50 на ветру" и т.д.
   Противный
 
7 - 18.01.13 - 04:40
(0) фигня, все ломается и подбирается...
ЗЫ: летом поменял пароли на почту, аську... и успешно забыл, пришлось ломать хеш выдранный из аськи, ниче 40 дней перебора и пароль вспомнен ;)
   k1us181b
 
8 - 18.01.13 - 04:50
(7) я говорю про возможность утери пароля какого-либо промежуточного звена в цепочке, например "банк-почта\телефон-клиент"
   k1us181b
 
9 - 18.01.13 - 04:51
да что далеко ходить - на мисте регился несколько раз только из-за того, что пароль, не вводимый полгода-год - забывается начисто
   Nirvana
 
10 - 18.01.13 - 04:58
Должен быть мастер-пароль... И база всех паролей, которую можно открыть, только зная мастер-пароль.
 
 Рекламное место пустует
   Jolly Roger
 
11 - 18.01.13 - 05:34
робоформ рулит...
   Мизантроп
 
12 - 18.01.13 - 05:40
KeePass
   k1us181b
 
13 - 18.01.13 - 05:54
(12) интересно, спс
   vicof
 
14 - 18.01.13 - 06:25
(12) хорошая штука
   Jump
 
15 - 18.01.13 - 06:29
(10)Несекьюрно, ну и есть риск просохатить все пароли разом.
   Jump
 
16 - 18.01.13 - 06:32
У меня три основных пароля
Серьезный, средний, и простой.
Выбираю в зависимости от ресурса.
Но. Они на каждый ресурс немного видоизменияются по хитрому, но легкому в запоминании алгоритму - добавляются кое какие спецсимволы, цифры.
И почти не забываю последнее время пароли.
А вот с логинами проблема - куда редко хожу, бывает забываю логин.
   k1us181b
 
17 - 18.01.13 - 06:34
(16)"добавляются кое какие спецсимволы, цифры."
вот по этой причине пароли и забываются, а в случае, когда есть ограничение на количество попыток - велика вероятность краха)
   Kavar
 
18 - 18.01.13 - 06:42
(5) Если узнают пароль от твоего lastpass - узнают все твои пароли.
   k1us181b
 
19 - 18.01.13 - 06:45
вот, например, при регистрации личного кабинета на сайте Билайна при вводе пароля обязательно наличие хотя бы одного символа в верхнем регистре, пришлось менять последний символ в основном пароле - в итоге - через пару месяцев это забылось и не мог войти в л.кабинет.. потом осенило, конечно, но осадок остался (это + к "добавляются/меняются кое какие спецсимволы, цифры.")
   Kavar
 
20 - 18.01.13 - 06:53
На некоторых сайтах не принимает в качестве пароля спец символы. вот это реально проблема.
А еще на некоторых сайтах требуют в качестве логина  определенный минимум символов. В частности, на гугле требовали 6. я забыл какой символ к своему логину добавил. с тех пор гугль не перевариваю :D
   Necessitudo
 
21 - 18.01.13 - 07:05
KeePass + синхронизация базы с паролями через Dropbox. Клиенты для андройда, айос, мак, винда и линукс есть)
   k1us181b
 
22 - 18.01.13 - 07:06
(21) у меня на телефоне Bada)))
   Nirvana
 
23 - 18.01.13 - 12:22
(15) Если мастер-пароль очень длинный, то риск незначителен.
   ssh2012
 
24 - 18.01.13 - 12:34
(0) lastpass

Есть настройки расширенной аутентификации, или вообще, что еще лучше: есть возможность использовать Google Authenticator
Это двухуровневая аутетификация, после ввода мастер пароля нужно вводить одноразовый код, получаемы в смс или генеруемый специальным офф-лайн приложением на смартфоне (ios/android)
http://helpdesk.lastpass.com/security-options/google-authenticator/
   Юрий Лазаренко
 
25 - 18.01.13 - 12:41
Я в базе 1С храню
   Tumakota
 
26 - 18.01.13 - 12:45
По мне создается один пароль 16 значненный который влозмать можно только чудо долгим перебором или если выпытать под дулом пистолета у человека и пользоватся им)
   Tumakota
 
27 - 18.01.13 - 12:46
+(26) я в свое время создал пароль, у меня его даже программами взломать не могли, потому что надоедало ждать перебор через программы:)
   tdm
 
28 - 18.01.13 - 12:49
(26) ага, а потом вас принудительно просят сменить пароль с учетом того что он не должен повторять предыдущие 5-10 и т.д. паролей))))
   Serh_fsw
 
29 - 18.01.13 - 12:49
(21) +1
   Юрий Лазаренко
 
30 - 18.01.13 - 12:49
(27) Ну его тоже можно украсть/проснифить/прокейложить. Я сторонник нескольких паролей.
   tdm
 
31 - 18.01.13 - 12:50
(28) пусть даже не на одном а на 2-3 ресурсах, так паролей становится уже несколько...и возвращаемся к проблеме
   acsent
 
32 - 18.01.13 - 12:50
(23) как раз наоборот. Очень длинный пароль можно забыть и тогда ...
   hatsher
 
33 - 18.01.13 - 12:50
пароли нужно хранить только в голове, имхо.
 
 
   acsent
 
34 - 18.01.13 - 12:51
(28) да вот это ваще реальная засада.
   Kavar
 
35 - 18.01.13 - 12:52
(23) Перебором взламывают пароли типа "qwerty".
более сложные всякими троянцами уводят в момент набора.
   Aleksey
 
36 - 18.01.13 - 12:54
(9) а восстановиь пароль не судьба?
   pumbaEO
 
37 - 18.01.13 - 12:55
keepass + плагин к firefox и chrome
   ptiz
 
38 - 18.01.13 - 13:01
Тоже запарился.
Временный выход, которым пользуюсь:
1) Есть пара "простых" паролей для не очень важных ресурсов
2) Есть "сложный" пароль для важных. В этом случае к паролю в конце прибавляю букву из названия домена сайта.
   Жан Пердежон
 
39 - 18.01.13 - 13:01
храню все пароли в winrar с длинным паролем
   dmpl
 
40 - 18.01.13 - 13:03
(10) И мастер-пароль сдаешь в ФСБ.
   Nirvana
 
41 - 18.01.13 - 13:05
(32) А надо сделать такой, чтобы не забыть. Один длинный пароль можно помнить. Например - ItIsMyMasterPassword.
   Юрий Лазаренко
 
42 - 18.01.13 - 13:06
(41) Я вот как-то такой длинный пароль себе сделал. А через год так и не вспомнил...
   Nirvana
 
43 - 18.01.13 - 13:08
(35) Попробуй, уведи мой мастер-пароль в момент набора, когда он набирается ТОЛЬКО на локальной машине и ТОЛЬКО в офф-лайн, и причём я лично постоянно слежу за чистотой операционной системы от всяких штучек. Одним словом - маловероятно.
   Nirvana
 
44 - 18.01.13 - 13:09
(40) ФСБ он не понадобится.
(42) Плохо сделал.
   HeroShima
 
45 - 18.01.13 - 13:10
Тетрадка, ручка.
   fmrlex
 
46 - 18.01.13 - 13:13
Придумываешь ПРАВИЛО образования пароля. Запоминаешь. И все свои пароли делаешь в соответствии с этим правилом. Если забыл точный пароль, всегда по правилу можешь перебрать варианты.
?
Profit
   aka AMIGO
 
47 - 18.01.13 - 13:14
храню в кпкашке, в заметках.
бывший начотдела сказал: "у меня везде один пароль"
мда.. трудно, но можно.
   HeroShima
 
48 - 18.01.13 - 13:14
(46) если кото заполучит один из твоих паролей, это облегчит взлом других
   ptiz
 
49 - 18.01.13 - 13:16
И еще: хранил пинкоды от карт в старом сотовом (там есть функция хранения паролей).
"Хранил" потому что куда-то его засунул, и не могу найти :(
 
 Рекламное место пустует
   fmrlex
 
50 - 18.01.13 - 13:16
(48) Если ты по одному паролю сможешь восстановить правило, то ты человек-паук. Но я человекам-паукам дорогу не перебегаю.
   ptiz
 
51 - 18.01.13 - 13:17
Так что может оказаться проще купить простой сотовый с такой функцией. Ему вирусы не страшны :)
   SSkripagan
 
52 - 18.01.13 - 13:19
.
   ptiz
 
53 - 18.01.13 - 13:21
Вообще, имеет смысл к любым записанным куда-либо паролям добавлять "левые" символы. Сам легко их отделишь, если понадобится вспомнить. А при попадании в чужие руки пароль становится быссмысленным.
   Ахиллес
 
54 - 18.01.13 - 13:22
Даже тупой карандаш лучше острой памяти. Просто записываю пароли в ежедневник дома. Ежели кто ко мне домой вломится его ежедневник с паролями от мисты в последнюю очередь заинтересует :-)
   fmrlex
 
55 - 18.01.13 - 13:23
(53) Да можно хоть координаты места установки пароля добавлять, в произвольных комбинациях. Только для восстановления GPS-приемник понадобится.
   ptiz
 
56 - 18.01.13 - 13:27
(54) Бумажки теряются :)
   Aletar
 
57 - 18.01.13 - 13:31
Я пользуюсь KeePass'ом, только в связке с SugarSync и BoxCryptor'ом. SugarSync - для синхронизации, Boxcryptor - шифрует.
   dmpl
 
58 - 18.01.13 - 13:41
(43) Как ты следишь за чистотой?

(44) На всякий случай.
   Nirvana
 
59 - 18.01.13 - 13:44
(58) На какой "всякий случай"? У них есть оборудование, по которому они и так увидят все пароли без этого главного.
   tdm
 
60 - 18.01.13 - 13:44
(54) тоже как не грустно к этому пришел((
блокнотик с символическим замочком (случайно чтобы посторонний не увидел)
   Nirvana
 
61 - 18.01.13 - 13:45
(58) Есть множество разных мероприятий, чтобы следить за чистотой. Это тема для целой книги.
   tdm
 
62 - 18.01.13 - 13:46
(56) такие бумажки хранить приходится пуще денег)) только и всего
   Kavar
 
63 - 18.01.13 - 13:46
(35) Каким макаром за чистотой следишь?
оффлайн-онлайн это пофигу. может и позже отправить куда надо.
   Nirvana
 
64 - 18.01.13 - 13:49
(63) См. (61).
   Kavar
 
65 - 18.01.13 - 13:52
(64) А что его смотреть то?
как бы ты не следил за чистотой, гарантировать ты ее не можешь.
А все эти хранилища паролей увеличивают шансы на то, что у тебя уведут все и разом.
   Nirvana
 
66 - 18.01.13 - 13:53
(65) Ну каким образом-то уведут? Я на сказки не полагаюсь, только на реальные риски.
   Nirvana
 
67 - 18.01.13 - 13:54
(65) Да и, собственно, одного мастер-пароля мало. Нужно ещё знать, где база паролей лежит. Её тоже не так просто найти.
   Kavar
 
68 - 18.01.13 - 13:55
(66) Реальных рисков дохрена и больше. Не надо считать себя умнее тех, кто этим промышляет.
И надеятся что всякие касперские отпосты будут знать оперативно о новой угрозе тоже.
   HeroShima
 
69 - 18.01.13 - 13:55
(66) ФСБ всё стянут. Через эфир.
   Nirvana
 
70 - 18.01.13 - 13:56
(68) Это всё пустословие. Хоть одну реальную угрозу можешь назвать?
(69) Я им сейчас неинтересна.
   dmpl
 
71 - 18.01.13 - 14:05
(59) Не все, часть паролей передается в зашифрованном виде, часть - к твоим локальным данным не передается никуда.
   dmpl
 
72 - 18.01.13 - 14:05
(61) Чем сложнее система - тем вероятнее сбой. И вот когда он произойдет - вот тогда ущерб будет максимален.
   Nirvana
 
73 - 18.01.13 - 14:06
+70 Самая большая угроза - это если все винчестеры украдут, со всеми копиями - вот тогда будет жо-па.
   Axel2009
 
74 - 18.01.13 - 14:07
ничто не помогает забыть пароль, как флажок "запомнить пароль" =)
   Axel2009
 
75 - 18.01.13 - 14:07
(74)+ лучше всего забыть пароль - поставить флажок "запомнить пароль" =)
   Jump
 
76 - 18.01.13 - 14:08
(66)Реальные риски есть -
Во первых на комьпьютере может быть кейлоггер.
Во вторых при передаче по сети, можешь набрать где-нибудь без https и его заснифят по сети.
   ssh2012
 
77 - 18.01.13 - 14:09
(76) см (24)

[двухуровневая аутетификация, после ввода мастер пароля нужно вводить одноразовый код, получаемы в смс или генеруемый специальным офф-лайн приложением на смартфоне (ios/android)]
http://helpdesk.lastpass.com/security-options/google-authenticator/
   Nirvana
 
78 - 18.01.13 - 14:13
(71) Ты ничего не знаешь о том, что я имела в виду. Речь вообще не о паролях как таковых.
(72) Какая ещё система? Сохранить свою ОС в целостности - это не "сложная система". В конце-концов, есть один простой и гарантированный способ избежать такого рода рисков - иметь некую чистую систему, и, если нужно посмотреть пароли - загружаться из-под неё и там смотреть. Но это несколько хлопотнее, и должны быть серьёзные опасения, чтобы так делать. У меня пока нет таких опасений. Если бы кто-то что-то у меня утаскивал, какие-то данные, то я бы это давно увидела. Но просто нет этого.
   Nirvana
 
79 - 18.01.13 - 14:17
(76) Во-первых, откуда у меня возьмётся кейлоггер?
А, во-вторых, я всё равно смотрю, какие работают процессы и службы, увидела бы кейлоггер, если бы он был.

"Во вторых при передаче по сети, можешь набрать где-нибудь без https и его заснифят по сети."
Вот это вообще не поняла. Мы говорим про мастер-пароль? По условиям (43)? Как можно заснифить то, что только в офф-лайн набирается?
   dmpl
 
80 - 18.01.13 - 14:17
(78) 1. О! Узнаю женскую логику! У меня тоже есть это спец. оборудование (паяльник называется), причем 4 разных. Но оно, увы, не помогает если носитель пароля мертв или смотался куда-нибудь в Лондон...
2. Опять женская логика! То книгу надо писать, то все просто...
   dmpl
 
81 - 18.01.13 - 14:19
(79) Система отсылает некие данные разработчику. Ты знаешь какие именно?

А кейлоггер может внедриться в адресное пространство любого процесса, и тогда он не будет отображаться отдельным процессом.
   Ayvengo
 
82 - 18.01.13 - 14:19
(0) свои пароли спокойно держу в голове и помню. А вообще, что бы не париться использую LastPass и Click&Clean - приложения для Chrome.
   Jump
 
83 - 18.01.13 - 14:22
(79)А вот далеко не факт, что ты увидишь кейлоггер если он у тебя есть.
Даже наоборот - почти гарантированна что ты его не увидишь.

Банальная практика - либо какой нибудь троян является по совместительству кейлоггером, либо еще проще - приложене выполняющее какую-то полезную функцию, но имеющее встроенный кейлоггер. Чтобы понять что он там есть надо его как минимум декомпилировать и разобраться в коде.
   Nirvana
 
84 - 18.01.13 - 14:23
(80) Ни фига-то ты не понял. Перечислять все меры безопастности - долго. Но есть и простой способ, который не очень удобен тем, что нужно загружаться под другой системой.
Про паяльник вообще неуместные фантазии. (69) уже всё сказал по этому поводу.
   Ayvengo
 
85 - 18.01.13 - 14:24
+(82) в LastPass можно хранить пароли в защищенных заметках. В общем держишь в голове один пароль от ЛастПасс и все ок ;)
   Ayvengo
 
86 - 18.01.13 - 14:25
+(85) имеется ввиду, что пароли от других приложений в заметках.
   Nirvana
 
87 - 18.01.13 - 14:26
(81) У меня система никаких данных никуда не отсылает.

А если кейлоггер каким-то чудом внедрится в какой-то процесс, то сам этот процесс, его файлы, будут отличаться от исходных, и я это увижу при очередной сверке с копией системы.
   Jump
 
88 - 18.01.13 - 14:26
А сложный и легкий в запоминании пароль создать несложно.
Человек хорошо запоминает слова, но есть опасность что эти слова есть в словаре, и пароль моментально сломают по словарю.
Поэтому берем не слово, а фразу, пишем слитно, раскидываем спецсимволы, добавляем немного чисел. И все.
   dmpl
 
89 - 18.01.13 - 14:26
(84) Тянуть по эфиру слишком дорого, и неэффективно. Паяльник гораздо практичнее, но надо поймать носителя живым. Так что см (40). Дешево и сердито. И паяльник не нужен.
   acsent
 
90 - 18.01.13 - 14:27
(87) да ты еще и параноик
   zak555
 
91 - 18.01.13 - 14:29
(0) используй сертификаты
   dmpl
 
92 - 18.01.13 - 14:29
(87) 1. Да ладно? Как докажешь, что не отсылает?

2. Если он будет внедряться только в ОЗУ - фиг ты увидишь. Ну, разве что, если регулярно мониторишь содержимое ОЗУ и список всех потоков процессов, и знаешь, какие должны быть, а каких нет.
   Jump
 
93 - 18.01.13 - 14:30
(87)Как это?
Браузер гугловский отсылает кучу данных гуглу, майкрософт отсылает данные к себе, про приложения от mail.ru и яндекса я уж вообще не говорю, там невооруженным глазом виден шпионаж.

Как ты заметишь внедренный процесс, если он является частью приложения?
Вот зашла ты на офсайт, скачала утилиту - а сайт было взломан, и там была выложенна не оригинальная утилита, с вшитим кейлоггером, или еще хуже - производитель утилиты заложил в нее изначально такой функционал.
   Jump
 
94 - 18.01.13 - 14:32
Самый популярный сейчас способ распостранения всякой дряни- берем нужный софт - например фотошом, добавляем к нему кейген, встраиваем свой кейлогеер, запаковываем, и делаем раздачу на паре-тройке популярных торрентов.
   Nirvana
 
95 - 18.01.13 - 14:34
(83) Троян можно выделить из остальной системы. Приложений, выполняющих функцию кейлоггера, не замечено (если, конечно, саму MS Windows не считать таким приложеним). И нигде в системе не обнаружились логи никакого кейлоггера (за исключением тех случаев, когда это специально задумано и известно). Меня, например, в своё время напрягло, что Windows 98 запоминает всё, что я пишу в командной строке (а там и пароли были тоже). Перестала писать в командной строке пароли. С тех пор никаких проблем не было, не говоря уже о том, что никакие данные никуда не отправляются, даже если где-то внутри файла подкачки и ведётся зашифрованный лог.
   Кокос
 
96 - 18.01.13 - 14:35
поставил робоформ. он чет своей жизнью живет и от него никакого толка нет. надо будет попробовать другие с этой темы :)
   dmpl
 
97 - 18.01.13 - 14:36
(95) Чем шерстить терабайтный HDD посекторно в поисках лога - не проще ли запомнить несколько паролей? ;)

P.S. Что ты знаешь про файловые потоки NTFS?
   Nirvana
 
98 - 18.01.13 - 14:38
(89) См. (70)
(90) Странно, что ты это мне говоришь. Тут вон говорят, что если я у себя локально на машине наберу пароль, то его схавает кейлоггер и отправит ворам. Если бы я так парилась, то вообще бы невозможно было ничего делать.
   Nirvana
 
99 - 18.01.13 - 14:39
(92) 1. В брандмауэре всё видно, все соединения.
2. Разумеется, мониторю. Это вообще первое дело.
   1C-band
 
100 - 18.01.13 - 14:42
100
  1  2   

Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует