Вход | Регистрация

  1  2
Информационные технологии ::

Метки: 

Интернет, секурность и теория заговора

Я
   Злопчинский
 
29.11.17 - 01:20
Количество оналйан-ресурсов растчет
(я неграмтный)
как правильно коннектится к этойтуевой хуче всяких личных кабинетовЮ, логинов-пароле итд..?
.
за мной хоть и не особо следяь, но от этого яне параноиком не становлюсь...
.
везде логиниться под одним логином-паролем - стремновато как-то...
(что такое войти через фейсбук или гугл? - я неграмотный)
.
в итоге работаю по стоаринке - на куче ресурсов куча автономных логинов-паролей. РЕСУРСОВ МНОГО.
.
ВОПРОС1-как делать правильно для снижения трудоемкости логинов-паролей?
.
ВОПРОС2-где каталогизировать ресурсы-логины-пароли..? в свое время давно типа пару раз поюзал KeePass - вроде норма.. полез сейчас развернуть и навести порядок - https://ru.wikipedia.org/wiki/KeePass

"Проблемы с безопасностью[править | править вики-текст]
возможность скрытого экспорта базы из запущенного KeePass [1]
возможность подмены обновлений [2]"
.
не, понятно, что никому не нужен, но - напрягся...
.
итого: что делать? что юзать? эксели и текстовые файлы - хорошо, но мы же не секретарши... ;-)
 
 
   Адинэснег
 
101 - 01.12.17 - 11:26
(87) то есть, любой ВР, зная твой ящик и пароль, может зайти на любой сайт под тобой?)
   Ц_У
 
102 - 01.12.17 - 11:27
(101) Да, как и у всех
   Fish
 
103 - 01.12.17 - 11:29
А у меня всё просто: пароль - это легко запоминаемая русская фраза латинскими буквами, типа Gfhjkm{eqrjulfDpkjvftim1234.

Единственно, что неудобно на мобильных устройствах вводить - надо на компьютерную клавиатуру смотреть.
   _Дайвер_
 
104 - 01.12.17 - 11:31
Это вообще проблема,паролей тьма, кроме них еще логинов половина, даешь руские фразы на латинской раскладке)
   Вафель
 
105 - 01.12.17 - 11:32
(103) но сайтов то не 1 и не 2
   Fish
 
106 - 01.12.17 - 11:34
(105) У меня есть набор из двух-трёх фраз, если забыл, какая нужна для именно для этого ресурса - то быстро подбираю :))
   Волшебник
 
Модератор
107 - 01.12.17 - 11:35
(103) Это решающее неудобство
   Вафель
 
108 - 01.12.17 - 11:36
(106) а зачем на английском? что случайно кто-то не понял?
   _Дайвер_
 
109 - 01.12.17 - 11:47
(108) 1 из причин, 2-я, не все сайты пароли на кириллице принимают)
   Fish
 
110 - 01.12.17 - 11:58
(108) Затем, что при этом пароль может быть легкозапоминаемым и при этом трудноподбираемым.
 
 Рекламное место пустует
   Вафель
 
111 - 01.12.17 - 12:03
   Адинэснег
 
112 - 01.12.17 - 12:41
(111) вот вот, но если пароль вида
правильно лошадь батарея скоба mista.ru
правильно лошадь батарея скоба yandex.ru
правильно лошадь батарея скоба mail.ru
однажды попадет
правильно лошадь батарея скоба хэловордфорум.ru
где будет храниться открыто (да и закрыто, если есть доступ к ключу) - то владелельцу хэловордфорум.ru не нужно быть семи пядей во лбу в области криптографии чтобы брутануть популярные ресурсы по этой маске, имя лишь ключ "правильно лошадь батарея скоба " и адрес почты
   Вафель
 
113 - 01.12.17 - 12:43
(112) никто про такой вариант не говорил
   Адинэснег
 
114 - 01.12.17 - 12:45
так что локальный файлик эксель надежнее, ну а если ты его сохранность не можешь обеспечить - значить не судьба, кому суждено быть повешенным, не утонет
   Вафель
 
115 - 01.12.17 - 12:45
(114) а шифровать как его?
   Вафель
 
116 - 01.12.17 - 12:46
А хотя в екселе есть же пароль
   Адинэснег
 
117 - 01.12.17 - 12:58
(116) да хоть в архив с паролем суй...
если параноить - то держать на компе с шифрованием, и без доступа в интернет... вводить без копипаста, ведь буфер тоже может вирусяка какая перехватить
   Адинэснег
 
118 - 01.12.17 - 13:00
просто когда ты свой пароль (еще и повторяющийся) хранишь на 100500 сайтов, то ты должен как минимум быть уверен в этих 100500 сайтах... а если локально и все пароли разные - то уверенным только в localhost...
   Вафель
 
119 - 01.12.17 - 13:01
(117) надо чтоб было не только секурно, но и удобно
   Адинэснег
 
120 - 01.12.17 - 13:06
(119) тогда самому проанализировать исходный код популярной удобной проги, собрать её самому, закрыть все порты брандмауэром, и пользоваться :-)
но если ты носитель таких суперсекретов, что так шифруешься, то вероятность применения к тебе терморектального криптоанализа перекрывает все методы шифрования...
   Demasiado
 
121 - 01.12.17 - 13:09
(120) я просто почему спросил - есть мысль тоже такую базу написать, но если там пароли звездочками будут - то отчетом или консулью все равно все выведется. А в самой платформе есть крипто возможности, хочу еще и шифровать на лету, только чувствую руки не дойдут
   Адинэснег
 
122 - 01.12.17 - 13:12
(121) так шифровать, при входе запрашивать мастер-ключ для шифрации/дешифрации, сохранять в параметре сеанса, использовать когда надо расшифровать
   Адинэснег
 
123 - 01.12.17 - 13:13
ну и если к базе есть прямой доступ левых персонажей, консолью ли, физически ли - то эти вопросы тоже продумать
   Demasiado
 
124 - 01.12.17 - 13:14
(122) при создании на сервере например у списка элементов
   Demasiado
 
125 - 01.12.17 - 13:14
вошел, авторизовался, вышел, пароль сбросился. Причем да, в параметрах сеанса хранить, чтобы никто не достучался
   Aleksey
 
126 - 01.12.17 - 13:17
(121) не храни пароли в открытом виде. К примеру есть мастер ключ 123 и есть пароль 324. Придумываешь свой алгоритм как из ключа и пароля получить хэш и храни хэши. Т.е. храни не 324, а  201 (324-123). И тогда когда нужен будет пароль ты просто применишь свой алгоритм, а если кто-то сопрет базу, он увидит пароль 201. И практически технология блокчена готова
   Demasiado
 
127 - 01.12.17 - 13:18
(126) Криптография в институте у меня отдельным предметом была, так что, спасибо, я знаю
   Fish
 
128 - 01.12.17 - 13:19
(111) Как раз в твоей ссылке написано, что это так:
"обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса." :)))
   Адинэснег
 
129 - 01.12.17 - 13:19
с списках пусть хэша отображаются, хоть со звездочками хоть без, а когда надо извлечь пароль - в команде открытия формы дишифруй ключом
   Вафель
 
130 - 01.12.17 - 13:20
(128) там трудность не в том что они на другом языке набраны, а в том что они "очень" длинные
   Вафель
 
131 - 01.12.17 - 13:21
А я и спрашивал зачем язык менять
   Вафель
 
132 - 01.12.17 - 13:21
(126) А алгоритм в голове держать? или отдельной базой?
   Адинэснег
 
133 - 01.12.17 - 13:22
(128) вопрос в том, что твоя супер хитрая парольная фраза и емайл рано или поздно будут скопрометированы на одном или нескольких гов*осайтах
 
 
   Fish
 
134 - 01.12.17 - 13:22
(130) "Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса."

В моем примере ТРИ слова плюс число. А перевод в латиницу усложняет брутфорс на порядок, если не больше.
   Волшебник
 
Модератор
135 - 01.12.17 - 13:23
(132) В отдельной базе паролей, зашифрованной супер-паролем, который хранится в файле, закрытом мастер-ключом, хранящимся на флешке с блокировкой от записи и обмотанной синей изолентой.
   Адинэснег
 
136 - 01.12.17 - 13:25
(132) алгоритм в базе, пароль в голове
   Fish
 
137 - 01.12.17 - 13:25
+(134) Оттуда же:
"В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B."

А я эти стандарты уже лет 10 использую, получается :))
   Адинэснег
 
138 - 01.12.17 - 13:26
Стас, скажи его пароль, щас мы все его сайты за 10 лет расчехлим :-D
   Fish
 
139 - 01.12.17 - 13:27
(138) Хе-хе. Для мисты у меня исключение :))
   Адинэснег
 
140 - 01.12.17 - 13:28
(139)то есть доверия только к ней нет?)) а к какому-нибудь bb-форумику есть?
   Вафель
 
141 - 01.12.17 - 13:28
(134) перевод в латиницу НЕ усложняет брутфорс
   Fish
 
142 - 01.12.17 - 13:29
(140) Всё проще. Просто на мисте я зарегистрировался раньше, чем придумал такую систему для паролей.
   Адинэснег
 
143 - 01.12.17 - 13:30
(141)даже на китайские иероглифы
   Адинэснег
 
144 - 01.12.17 - 13:32
(142) и к администраторам сайтов (тех. спецам,  тех. спецам их провайдеров, etc) больше доверия чем к администратору localhost?
   Адинэснег
 
145 - 01.12.17 - 13:33
+(144)да половина их используют скрипты на своих сайтах, которые сделают всю работу и без их ведома
   Волшебник
 
Модератор
146 - 01.12.17 - 13:34
(138) В базе мисты не хранятся пароли. Romix всё переделал. Теперь там хранятся хэши от паролей.
   Адинэснег
 
147 - 01.12.17 - 13:34
один пароль - один ресурс
   Fish
 
148 - 01.12.17 - 13:34
(141) По твоей ссылке написано:
"Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов."

А если фраза на одном языке, а пароль записан латиницей, то словарь сочетаемости тут уже не поможет, а сделовательно, это усложнение.
   Адинэснег
 
149 - 01.12.17 - 13:34
(146) ну соль то в скрипте лежит
 
 Рекламное место пустует
   Адинэснег
 
150 - 01.12.17 - 13:36
+(149)серверном

  1  2

Список тем форума
Рекламное место пустует Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует