-
Я уже достаточно давно использую Keepass 2 и уникальные пароли на всех сайтах. На меня наводит ужас мысль о том, вдруг кто-нибудь все-таки украдет и расшифрует файл. Там у меня вообще всё! Изучал вопрос, нашел интересную мысль: хранить в нем только уникальные части пароля, а общую держать в голове. Т.е. на всех сайтах пароль заканчивается одинаково. Например, храним пароль для ВК "mY??rongPas2vopd", а для ОК: "df#fisj#sdj03s". А реальные пароли: mY??rongPas2vopd1234 и df#fisj#sdj03s1234, где 1234 - та самая общая часть. Есть еще идеи? И второй вопрос: http://keepass.ru/index.php?id=35&doc=bezopasnost - тут сказано, что у keepass 2 имеется защита памяти процесса и описано как она работает? Как это возможно, учитывая, что он написан на .Net-е?
-
P.S. Мысли про неуловимого Джо прошу оставить при себе. Спасибо.
-
Лично я доверяю исключительно бумажному носителю в деле хранения паролей.
-
> Dimka Maslov © (01.05.16 22:46) [2] >
У меня 114 паролей (включая пароли от хостингов клиентов). Как это на бумаге содержать?
-
> [3] DayGaykin © (01.05.16 22:53) > У меня 114 паролей
У мея так же, в тм же КипАсс.:) Поддерживаю тему, но без паранои насчёт воровства - мы все умрём, в этом я оптимист.
-
Сделай себе карточку с токенами. Или что-то типа этого https://www.passwordcard.org/ru :) Сам слишком ленив, чтоб такое использовать, правда. Храню пароли в clipperz.is
-
> Сам слишком ленив, чтоб такое использовать, правда. Храню > пароли в clipperz.is
Интересно, надо изучить вопрос :)
> Kerk © (02.05.16 11:16) [5]
114, увы, не запомню даже с карточкой
-
Я храню в записной книжке, ещё ни разу не жалел
-
> не запомню
Нет ничего зазорного в вводе пароля из записной книжки.
-
Можно еще стикеры на монитор лепить.
-
-
> [10] Kerk © (02.05.16 13:29) > Бывают еще девайсы вроде этого https://www.yubico.com/
Чёт у меня, глядя на слово yubico, русское матерное словосочетание приходит на ум - ну что же - согласен, ум у меня не туда повёрнут. Да, это тот самый Фройд виноват. А девайс, может быть, совсем не плохой.
-
> DayGaykin © (01.05.16 22:53) [3]
> У меня 114 паролей (включая пароли от хостингов клиентов).
На мой, далеко непрофессиональный взгляд, перебор. У меня на рабочем столе всего 12 ярлыков и 8 папок. Рискну предположить, что у ТС их больше. Основная масса ярлыков размещена на панели задач. Ну, а кроме того, достаточно существенное количество линков, требующих ввода логина и пароля, находятся в меню "Автозаполнение" браузера (там всегда можно посмотреть свои логины и пароли, не запоминая и записывания их, это естественно зависит от используемых браузеров). Не вижу проблемы ТС.
-
> Smile © (02.05.16 14:58) [12]
См [1], пожалуйста.
> Dimka Maslov © (02.05.16 13:26) [8] > Нет ничего зазорного в вводе пароля из записной книжки.
Не безопасно: может прочесть любой, кто увидит + легко потерять.
-
> [12] Smile © (02.05.16 14:58) > "Автозаполнение" браузера (там всегда можно посмотреть свои > логины и пароли, не запоминая и записывания их
До первого слетания хотя бы того же браузера. Я уж не говорю о системе или компьютере.
-
> DayGaykin © (02.05.16 15:39) [13]
What about browser?
-
> Inovet © (02.05.16 15:44) [14]
Здесь ты прав. Дома не единственный компьютер ...
-
> Inovet © (02.05.16 15:44) [14] > > [12] Smile © (02.05.16 14:58) > > "Автозаполнение" браузера (там всегда можно посмотреть > свои > > логины и пароли, не запоминая и записывания их > > До первого слетания хотя бы того же браузера.
Хром (и хромиум) заботливо хранит пароли у себя на сервере.
-
> [17] DayGaykin © (02.05.16 15:50) > Хром (и хромиум) заботливо хранит пароли у себя на сервере.
Виндоус 10 даже весь клавиатурный ввод, местополежение и ещё 7 параметров может заботливо хранить на серверах МС, для улучшения сервиса, по-умлочканию.
-
> может прочесть любой, кто увидит
Ну так надо воспользоваться старым пиратским способом: записывать со сдвижкой по символам, а сдвижку держать в уме.
-
> Как это возможно, учитывая, что он написан на .Net-е?
Так же, как если б он был написан на плюсах.
-
> Так же, как если б он был написан на плюсах.
Насколько я понимаю, в .Net приложении нет контроля над памятью. И если какой-либо буфер превратить в строку, то эту строку уничтожит только сборщик мусора, а может и оставит. А, следовательно, при какой-либо манипуляции над паролем (вставка в буфер обмена, Drag&Drop, Autotype) положит в память расшифрованный пароль. Сужу по Java, полагая, что Java и .Net принципиально одинаково устроены.
Буду признателен за поправки.
-
DayGaykin © (02.05.16 21:22) [21]
Я не совсем понимаю, ты положишь свой пароль в набранном виде в буфер обмена, а виноват будет .Net ?
-
> Игорь Шевченко © (02.05.16 23:08) [22] > DayGaykin © (02.05.16 21:22) [21] > > Я не совсем понимаю, ты положишь свой пароль в набранном > виде в буфер обмена, а виноват будет .Net ?
Оставим пока буфер обмена. Разве в случае с Drag&Drop, Autotype внутри .Net программы не нужно получить пароль в виде строки?
В случае с Autotype наверняка можно, если слать буквы по одной. А в случае с Drag&Drop?
-
Ты чего выяснит то хочешь? Расшифровывает она или затирает расшифрованное? Если первое - то расшифровывает, если второе - ну возьми любую утилиту и по памяти процесса поиск сделай на предмет остались ли хвосты или нет. За три дня уж всяко мог это проверить.
|