Про гугление

[duginov]

А вы гуглите свои "стойкие" пароли? :)

Comments

[tomcat66.livejournal.com]

а потом гугл отдаст твои поиски властям или сам тебя взломает

[tomcat66.livejournal.com]

мне в молодости VAX-VMS сгенерила пару паролей, я их до сих пор помню:-) Поскольку меня все современные сайты задолбали, что это "словарные слова", я их прогуглил. Пошел всякий двоичный мусор, но и что-то вменяемое вылезло. Фамилия у кого-то такая что ли.

[duginov.livejournal.com]

Мне сразу почему-то вспомнилось классическое "Нет такого предмета, который не мог бы служить еврею фамилией" :)

[leonid-smetanin.livejournal.com]

я стремаюсь большого брата. Гугль "как известно" хранит все поисковые запросы за всё время, поэтому ну его в баню.
Для критичных приложений у меня уже много лет есть пяток нормальных длинных паролей, которые я помню в голове и гоняю по кругу, меняя расположение заглавных букв. Ну типа было "пароль", в следующей итерации он превращается в пАроль, ещё потом в пароЛь, потом в паРОль и т.д.

[duginov.livejournal.com]

Ну, сочинить нормальный длинный пароль - не вопрос.
Однако любопытно, нет ли его целиком или частично в словарях.
А то ведь народ регулярно теряет базы данных несолёных хэшей, к примеру...

[yatur.livejournal.com]

Проблема в том, что у каждого сайта свои требования к паролям, часто взаимоисключающее. Типа, нужно чтобы был хотя бы один спецсимвол - нельзя, чтобы были спецсимволы.

Поэтому, я завел себе keypass запертый одним мощным паролем-в-голове, а все остальное хранится в нем/генерится им. Особо важные пароли я, собственно, и не знаю даже - это просто какой-то жуткий набор случайных цифр, основанных на хаотичном дергании мышки.

[duginov.livejournal.com]

Я делаю ровно то же самое при помощи Roboform. Но в последнее время приходится запоминать всё больше и больше паролей - они требуются на телефоне, таблетке, телевизоре итд, а там у меня Roboform нету. Понятное дело, для этих целей приходится пользовать какие-то нормально запоминающиеся пароли.

Готов, впрочем, выслушать идеи на тему: как имея один мощный пароль в голове иметь возможность вынуть любой из остальных своих сотен паролей имея под рукой только браузер и интернет-соединение?

[yatur.livejournal.com]

Keepass на телефоне есть. Формат тот же - я просто копирую файл с компьютера.

[dgcom.livejournal.com]

И положить keepass в dropbox - сразу станет легко и доступно.

[yatur.livejournal.com]

Пока файл лежит у меня локально, украсть его можно, но для этого должны атаковать лично меня. Для того, чтобы положить в DropBox, нужно свято верить в отсутствие дыр в KeePass'е *И* в DropBox'е.

Кроме того, можно получить постановление суда на тихое изъятие файлов из DropBox'а может быть куда проще, чем на тихий обыск компьютера или телефона.

[dgcom.livejournal.com]

Да я думаю с хорошим паролем это довольно безопасно.
Но если паранойя - то надо держать локально ;)

[duginov.livejournal.com]

Ну таки вопрос возвращается к предыдущему: что если "локально" не существует в нужном контексте? Вот свежий пример: пусть некая база данных паролей - неважно, кейпасс или Робоформ, лежит у меня локально на десктопе. Вырубаем на две недели электричество, десктоп мёртв. А мне нужны несколько паролей от онлайн банкинга. В руках есть заряженный смартфон с 3G. Чо делаем? :)

[dgcom.livejournal.com]

Если не dropbox и подобное - то кто мешает держать свежую копию на флешке?
Или держать копию на телефоне регулярно самому?

[duginov.livejournal.com]

1 большинство телефонов (кроме андроида) не имеют прямого доступа к файловой системе
2 на моем конкретном телефоне нет ничего, что может прочитать писишный файл с паролями, если только он не представляет собой просто текст или pdf, но я вообще не хочу их там хранить...

[dgcom.livejournal.com]

Ну тогда облом, что я могу сказать. Либо андроид, либо кому-то еще доверять файлы :(
А какая проблема хранить шифрованные файлы на своем же девайсе?

[duginov.livejournal.com]

опять же, если мы не про андроид, то файл с произвольным расширением ты на дивайс просто не загрузишь. Значит нужны либо шифрованные pdf либо шифрованные doc - файлы. Но у меня что-то сомнения, что их можно реально секьюрно зашифровать. Или можно?

[dgcom.livejournal.com]

А просто переименовать keepass базу с нужным расширением и скопировать...
Но вот я посмотрел - keepass есть и для айфона и для виндофона - так что наверняка есть способ базу синхронизировать самому (не через облако).

[duginov.livejournal.com]

... через емейл можно, ага :)

[dgcom.livejournal.com]

Не, мыло же через облако идёт, так нельзя, вдруг, кто перехватит?
Надо так - домой пришел, телефон в комп воткнул - оно само свежую версию базы паролей скопировало.
А если мылом не страшно, так тогда и dropbox можно :)

[duginov.livejournal.com]

так в том мой поинт и состоит, что нынешние телефоны синхронизируются только с облаком, а не с компьютером. С компьютера можно только видео-аудио-фото забрать, а файлы непонятного происхождения - фиг. Исключение - андроид, да и там нет встроенной синхронизации по проводу, но можно самопальный апп прикрутить.

Мылом или дропбоксом или чертом лысым было бы не страшно, если бы как сказал Костя, я бы слал зип-файл со 128-битным шифрованием. Только вот замучаешься его на телефоне прочесть...

[dgcom.livejournal.com]

Ну так у keepass - хорошее шифрование. И он, по-моему, опенсорц...
А с телефонами и синхронизацией не через облако - да, засада, умирает оно. Симбиан еще умеет...

Может можно аппликуху написать, которая по внутреннему wifi сможет файл забирать?

[duginov.livejournal.com]

В аппстор не пропустят такую аппликуху. Они наоборот стараются делать всё, чтобы левые файлы не пролезали на дивайсы.

[dgcom.livejournal.com]

Не верится. Dropbox же есть - может любые файлы сохранять локально, на сколько я знаю.
Вот посмотрел быстренько - webdav navigator легко с задачей справится, к примеру.

[roamman.livejournal.com]

Идея на миллион
Напиши приблуду под свою телефонную винду.
Алгоритм : берешь имя ресурса, солишь его своим мастер паролем одинаковым всегда (или наоборот) и у полученной строки считаешь хэш. Его и используешь в качестве пароля для конкретного ресурса.
Соответственно отпадает надобность в хранилище паролей и его доступности

[109.livejournal.com]

> Его и используешь в качестве пароля для конкретного ресурса.

а ресурс и говорит: ваш пароль не удовлетворяет нашей полиси. дальше что?

[duginov.livejournal.com]

дальше добавлять в конец то, чего по их мнению не хватает (а оригинальный алгоритм пусть генерит только буквы и цифры)

[roamman.livejournal.com]

На самом деле там еще проблема с ресурсами, требующими смены пароля по времени
Вот как додумаю - начну клепать browser extensions :) чтобы из урла выцепляли адрес сервера, спрашивали мастер и автологинились :)
А подгонку под полиси под каждый ресурс выписать несложно, хотя это и будет уже не такое элегантное решение.

[duginov.livejournal.com]

в интернете таких ресурсов нет
а корпоративный пароль (один) можно и запомнить

[109.livejournal.com]

а как потом вспомнить, что добавил? и добавил ли что-то? defeats the purpose.

[duginov.livejournal.com]

Ну, да, остается только один вариант - чтобы сгенерированный пароль состоял из десяти букв-цифр безо всяких спецсимволов
Если ресурс требует ещё спецсимвол - добавлять всегда один и тот же. То же с апперкейс символом. В общем это имплементировать можно, даже положив жабаскрипт куда-нибудь в укромное место на своем вебсайте.

[109.livejournal.com]

это надо помнить, какие у каждого ресурса требования к паролям. password vault представляется куда более простым решением.

[duginov.livejournal.com]

для Windows или других традиционных десктопных операционок - разумеется да.

Но времена-то поменялись. У меня в кармане виднофон, а в сумке - андроидный планшет. Для первого моего любимого Roboform не существует, для второго оно работает в режиме read-only, что можно конечно пережить. Но ведь файло-то надо всё равно синхронизировать :)

Мне пока ничего умнее в голову не приходит, кроме как на случай emergency напечатать все пароли в pdf, зашифровать его и положить на свой веб-сервер в укромный уголок. У меня только вот сомнения, насколько секьюрно шифрование pdf и расшифруют ли его потом телефоны и таблетки...

[109.livejournal.com]

> насколько секьюрно шифрование pdf

у меня такое ощущение, что у тебя понимание слова "шифрование" несколько другое, чем у меня. при правильном шифровании неважно, ЧТО ты шифруешь.

ну и, по-моему, для всех практических целей достаточно закрыть zip или rar длинным паролем, устойчивым к dictionary attack. например - двадцатизначным числом. зипы и рары есть на всех платформах, как я понимаю.

[duginov.livejournal.com]

да нет, я понимаю всё нормально. Для мобильных устройств часто получается, что "читалка" файла должна сама уметь и расшифровывать.

Последний раз когда я пробовал на виндофоне, он отказывался открывать зипы даже с простым паролем. Может в восьмом починили, не знаю.

[duginov.livejournal.com]

а кстати, альтернативные предложения есть?

[duginov.livejournal.com]

Я считаю, что идея зашибись. Осталось лень преодолеть и заплатить сотню за девелоперскую лицензию

[yatur.livejournal.com]

Хм... Т.е. всерьез предлагается взять мой пароль от, скажем, банковского счета и открытым текстом скормить Гуглу?

[duginov.livejournal.com]

Не совсем. Предполагается свежепридуманный пароль ПЕРЕД использованием скормить гуглу, чтобы убедиться, что его там нет. Потом можно добавить пару-тройку символов в конец от балды...