|
2.3, Аноним (3), 12:56, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
На сайте у них не уточняется, пишут
33+ million People secure passwords with LastPass
100,000+ Businesses choose LastPass
| |
|
1.4, mumu (ok), 13:00, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Скоро узнаем у какого числа пользователей были сложные генерируемые пароли к сервисам и пароль двенадцать единичек на базу lastpass.
| |
|
2.19, FSark (?), 13:49, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы хотели сказать, скоро узнаем, как быстро пачка 4090 покажет подбор паролей?)
| |
|
3.164, Аноним (164), 22:47, 23/12/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Не сильно быстрее чуть большей пачки 3090. Квантовой революции и даже кратного превосходства не случилось, меньше читайте советских газет.
| |
|
4.205, Бывалый смузихлёб (?), 15:06, 24/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так тО буржуинские газеты обещали
Хотя реальный прирост производительности вычислений 4090 против 3090 ti пока не раскрыт
Похоже, что чаша весов снова у амуде - медленней, но хоть памяти больше
| |
4.251, Аноним (-), 22:22, 25/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> даже кратного превосходства не случилось,
Глава роскосмоса тоже так думал...
| |
|
|
|
|
4.203, абв (?), 14:15, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Да я не об этом.
Ну вот шифруются данные на стороне клиента по известному алгоритму - ок, по этим шифрованным данным можно прогнать брут.
Но почему подразумевается, что в базе эти шифрованные данные лежат как есть без дополнительной криптографии над ними? Т.е. данные которые слили шифрованы дважды (на клиенте и на сервере).
| |
|
5.209, Аноним (209), 19:42, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
А с чего Вы решили, что бекаповской базе эти данные лежат еще раз зашифрованные?
Кому это надо?
Вам? Вот Вы и шифруйте!
| |
|
6.232, абв (?), 00:51, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не понял, где я что-то решил?
Я спрашиваю - каким образом вы (вернее, mumu), собирается скоро узнать количество пользователей, которые используют "пароль двенадцать единичек на базу lastpass"?
А он либо а) решил, что данные не зашифрованы; либо б) у него есть алгоритм получения шифра для данных, которые лежат в бд.
| |
|
7.254, товарищ майор (?), 14:15, 26/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Просто пройти брутом по базе с таблицей наиболее популярных паролей.
Даже если данные дополнительно шифровались на стороне сервера, то пароль должен лежать там же, в бэкапах. Ну может быть в бэкапе не БД, а самого приложения, но он там должен быть! Тупо для того, чтобы не вводить этот пароль ручками при каждой перезагрузке app-сервера.
| |
|
8.260, абв (?), 22:48, 26/12/2022 [^] [^^] [^^^] [ответить] | +/– | Ничто не мешает разработчикам дополнительно сделать таблицу пароли_для_бд и та... текст свёрнут, показать | |
|
|
|
|
|
|
|
1.5, Шарп (ok), 13:04, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
>имя, адрес, email, телефон и IP-адреса
А зачем они это хранили у себя?
| |
|
2.11, Аноним (11), 13:19, 23/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Как — зачем? Письмо для восстановления аккаунта посылать. Бумажное. В довесок к электронному. Половина ответа там, половина там.
| |
|
|
4.85, пох. (?), 17:29, 23/12/2022 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ага, присылаешь им свое ухо, или там - пару пальцев - тебе отправляют твой пароль.
| |
|
5.88, Аноним (88), 17:35, 23/12/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
В банкоматах уже можно снимать деньги без карты по фейс айди. На работе двери по отпечатку пальцев.
| |
|
6.93, Злой по Пятницам (?), 18:21, 23/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
> В банкоматах уже можно снимать деньги без карты по фейс айди. На
> работе двери по отпечатку пальцев.
Ну, теперь плохиши тебе не только палец оттяпают, да ещё и морду отпилят!
| |
|
7.149, prokoudine (ok), 22:14, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
С чужим оттяпанным пальцем ты нигде не залогинишься. Это только в кино так работает.
| |
|
|
|
10.253, X86 (ok), 09:32, 26/12/2022 [^] [^^] [^^^] [ответить] | +1 +/– | С пальцем то какие проблемы Он и оторванный от прежнего владельца проводит элек... текст свёрнут, показать | |
|
|
|
|
6.107, анон (?), 19:33, 23/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
>В банкоматах уже можно снимать деньги без карты по фейс айди.
Ага, и присутствие владельца не обязательно.
| |
6.166, Аноним (164), 22:55, 23/12/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
А потом утечёт биометрия. Отпечаток пальца ты поменять не сможешь, а банкиры/владельцы магазинов не будут менять старые сканеры по финансовым причинам.
На форумах будут гулять базы "где какой сканер используется и какая дешёвая техника эмуляции пальца/глаза работает", а виновным, крайним и одновременно жертвой сделают пользователя.
Удачи выжить в этом биометрическом мире.
| |
|
|
|
|
|
1.7, Аноним (7), 13:12, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Процентов 10 действительно хорошие пароли, а все остальные наверняка что-то типа qwerty или 12345. Иногда тоже думаю может и мне стоит поменять свой пароль на вход в систему из 38 символов на что-то полегче.
| |
|
|
3.207, Аноним (207), 15:19, 24/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это наверное для _ввода_ похуже, чем строчка на 38 символов из стишка или рассказа какого. Эту "A" ведь пересчитывать надо при вводе.
| |
|
|
1.16, Аноним (16), 13:39, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Уязвимость by design случилась-таки. Лет эдак десять назад тоже пользовался, но потом поумнел немножко.
| |
1.22, Аноним (22), 14:02, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
gitlab/github + KeePass шифрованный файл с паролями + alias на команды git commit && git push и git pull. Все можно завернуть в cron. Несколько репозиториев git как резервные копии.
| |
|
|
|
4.47, Аноним (27), 15:13, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
это не ответ. в чем принципиальная разница? точно так же хранишь зашифрованные данные в облаке, как и у lastpass
| |
|
|
6.94, Злой по Пятницам (?), 18:24, 23/12/2022 [^] [^^] [^^^] [ответить]
| +7 +/– |
> Нет это ты мне ответь, в чем проблема?
Как сказал один мудрый человек: Облако это термин придуманный маркетолухами, если читать на человеческом это просто значит - чужой компьютер.
Следствие сам выведешь или тоже треба пояснять?!
| |
|
7.106, Аноним (168), 19:24, 23/12/2022 [^] [^^] [^^^] [ответить]
| –4 +/– |
Ну а если у меня нет денег или времени делать своё облако со своим впн но я надеюсь что мой дропбокс аккаунт не взламают а если взламают то не смогут взламать базу? Конечно селфхост предпочтителен, но не всегда оправдан.
| |
|
8.250, пох. (?), 18:49, 25/12/2022 [^] [^^] [^^^] [ответить] | +/– | Тогда возвращаемся к исходному вопросу lastpass вероятно не НАСТОЛЬКО плох про... большой текст свёрнут, показать | |
|
|
|
5.68, Аноним (68), 16:00, 23/12/2022 [^] [^^] [^^^] [ответить] | +4 +/– | Не тот анон, но отвечу Не надо давать адреса, имена, номера кредиток и вот это ... большой текст свёрнут, показать | |
5.134, Аноним (134), 21:29, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
KepassXC довольно легко модифицировать так, чтобы при потере базы никто не знал в какую часть пароля добавлена "соль". Элементарное действие, но такая база будет интересна для нападающего только в том случае, если речь идёт о каком-нибудь реально крупном потенциальном "доходе". Иначе, стоимость взлома небольшого количества паролей может оказаться соизмеримой с бюджетом отдельных государств.
| |
|
6.142, Аноним (168), 22:05, 23/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
>KepassXC довольно легко модифицировать
И что делать? Я нехочу чтобы мой KepassXC модифифировали.
| |
|
7.176, Аноним (134), 01:55, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> И что делать? Я нехочу чтобы мой KepassXC модифифировали.
Не хочешь, не модифицируй. В чём проблема то?.... Пользуйся тем, который дают готовым. Если захочешь - возьми исходники и поправь...
| |
|
|
|
|
|
6.258, товарищ майор (?), 15:00, 26/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Тем, что при утечке пароля или бэкапов dropbox-а, возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
Более того, если кражу флешки из своего кармана ты заметишь, то кражу аккаунта dropbox можно и прозевать.
| |
|
7.259, Аноним (68), 21:44, 26/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
Это вряд ли. Plain text для "внешнего" AES - это не сами данные, а данные, уже зашифрованные меняющимся при каждом сохранении случайным ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить файл базы без изменений, то новый файл не будет иметь с предыдущим ничего общего.
| |
|
|
|
|
3.178, vitalif (ok), 02:20, 24/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вероятно тем, что таким образом БАЗЫ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ не лежат в ОДНОМ месте))
| |
|
2.66, Аноним (-), 15:48, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Syncthing между двух и более СВОИХ устройств.
Главное сохранять после редактирования и закрывать приложение.
| |
|
3.262, Аноним (262), 00:00, 27/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это опасно: если синкфинг затупит, можно остаться без паролей. Нужна диверсификация по технологиям, т. е. обязательно хранить пару бекапов на другой технологии.
| |
|
4.265, Аноним (265), 23:27, 27/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
В общем согласен с вами. Хотя вероятность мала.
Syncthing позволяет версионирование (или как там его). И прочие плюшки.
Самое простое, скриптом по крону, chattr -i filename.verN на все предыдущие версии файлов. Но тогда syncthing не сможет ими управлять.
И не только по технологиям, но и по носителям, и по разным домам на случай пожара :(
А еще https://www.opennet.me/opennews/art.shtml?num=55773
ну так, на всякий случай. А то забудешь мастер пароль, с утра в понедельник. Вот хохма то будет ;)
Спс.
| |
|
5.266, Аноним (262), 01:11, 28/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> В общем согласен с вами. Хотя вероятность мала.
В принципе да, я тоже согласен. Просто у меня лично уже syncthing один раз испортил файл. Так-то ничего страшного, но потерять пароли из-за такого не хочется.
> А еще https://www.opennet.me/opennews/art.shtml?num=55773
> ну так, на всякий случай. А то забудешь мастер пароль, с утра
> в понедельник. Вот хохма то будет ;)
Ну та штука -- это вообще круто :) Правда, очень далеко от конечного пользователя, никто не будет таким заморачиваться. Если постоянно вводишь пароль от базы паролей, то забыть его сложно...
| |
|
6.267, Аноним (267), 10:04, 28/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже желаю!
А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем сможет ;)
У меня, к счастью, нет такой серьёзности в жизни, что бы все это так серьёзно настраивать.
| |
|
7.268, Аноним (262), 13:30, 28/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже
> желаю!
> А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем
> сможет ;)
> У меня, к счастью, нет такой серьёзности в жизни, что бы все
> это так серьёзно настраивать.
И вам добра :)
| |
|
|
|
|
|
2.95, Мимокрокодил (?), 18:26, 23/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
> gitlab/github + KeePass шифрованный файл с паролями + alias на команды git
> commit && git push и git pull. Все можно завернуть в
> cron. Несколько репозиториев git как резервные копии.
На щитхабах и прочих АБЛАКАХ можно хранить только то, что ты и так будешь кому-то показывать, то бишь - опенсорц.
Хранящие там что-то чувствительное - ССЗБ!
| |
|
|
2.96, Yakorinmouseduppa (?), 18:28, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Пользуйтесь менеджерами паролей, говорили они.
А причём тут менеджер паролей, если в стетье какой-то говносервис, который честно-честно пообещал суперсикурно хранить чужие данные, мамой и Аллахом поклялись.
| |
|
|
4.179, Аноним (164), 02:42, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Петров и Сидоров неправильно составили термодинамическое уравнение. Они обещали что все у них правильно.
Не пользуйтесь физикой - она сломана.
Действительно, при чем здесь физика?
| |
|
|
2.263, Аноним (262), 00:03, 27/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если сформулировать в общем плане: используйте разные пароли для разных сервисов и храните их надёжно, что бы их не потерять.
Как эту задачу решить? Есть разные методы, некоторые очень экзотические. Но самое лучшее для обывателя -- менеджер паролей. А от себя добавлю: лучше не какой-то мутный сервис от дяди, а keepass.
| |
|
|
|
3.52, ИмяХ (?), 15:23, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
У многих людей есть такая штука, называется "Мозг". В нём можно хранить не только пароли, но и другую информацию.
| |
|
4.64, Аноним (88), 15:44, 23/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
И сколько паролей ты хранишь в своём мозгу и какая у них энтропия и как часто ты их меняешь? Что там про мозг?
| |
|
|
6.124, Аноним (168), 20:02, 23/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну чтобы было наглядно ясно, что челвоеческий моск это так себе носитель информации. Уже сохраненную информацию можно потерять очень легко, перезапись информации тоже очень затруднительный процесс. Сколько раз надо было в детстве повторить стих чтобы запомнить? А на дискеты один раз записал, убрал и все.
| |
|
5.189, Аноним (185), 04:01, 24/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
У меня на mail.ru (ну да, ошибки молодости) более десяти лет был пароль из пяти строчных латинских символов. О его энтропии я даже говорить боюсь.
Если бы мейлру не вскобенился по поводу «безопасности», этот пароль был бы у меня и по сию пору. Надо сказать следующее: никто, вообще никто ни разу его не «ломал». Как и все мои остальные пароли, которые были чуть посложнее, но лишь чуть.
Свою энтропию засуньте в одно место, там ей и место (Хокинг не даст соврать).
| |
|
4.76, пох. (?), 16:49, 23/12/2022 [^] [^^] [^^^] [ответить]
| +7 +/– |
Ныкаемся, ныкаемся пацанчики - опять тот мальчик с феноменальной памятью!
| |
|
5.87, Аноним (88), 17:34, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я не знаю сколько паролей можно запомнить и какая энтропия у них будет.
| |
5.278, Аноним (278), 19:41, 13/01/2023 [^] [^^] [^^^] [ответить]
| +/– |
"ПРЕДУПРЕЖДЕНИЕ: В сообщении используется неприемлемая лексика."
И где же? Опять гуглоязъ. рим перешёл черту и был сломан!
Я помню как я в детстве обос_рался, и не раз. И каждый кто не помнит, на его словах, лжец. Всё помнит, просто делает вид... А память это то, что есть, внезависимости от хотения. Так как и есть всё.
| |
|
4.264, burjui (ok), 02:57, 27/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Например, в мозге можно хранить информацию о местоположении бумажки со сложными паролями. Но лучше, конечно, пароль от зашифрованной базы KeePassXC.
| |
|
|
|
5.77, пох. (?), 16:50, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Лоток у подставки под кофе давно отломан и на столе лежит.
(потому что комп с сидиромом да еще работающим сейчас найти - надо старатцо)
| |
|
|
7.89, пох. (?), 17:56, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну я, во-первых, другой аноним.
Во-вторых, чего тебе непонятно - если лоток на столе валяется, то доставать ничего не надо, уже достался окончательно и бесповоротно.
В принципе, я пожалуй применю идею - а то валяющиеся на столе бумажки с паролями то сквозняк сдувает, то пылесосом засосет. Надо клеить к чему-то надежному.
| |
|
|
9.163, пох. (?), 22:45, 23/12/2022 [^] [^^] [^^^] [ответить] | +1 +/– | Зачем Один из паролей у меня не меняется уже 20 лет Другие системы или учетки ... текст свёрнут, показать | |
|
|
|
|
|
6.104, пох. (?), 19:17, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
О, спасибо, хорошая идея! Пожалуй, подожду еще выбрасывать опунцию.
(не, не в том смысле что не найдут)
| |
|
|
|
|
|
1.29, th3m3 (ok), 14:34, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
>На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.
Облака это круто, говорили они)
| |
|
|
3.51, . (?), 15:21, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Надо свою базу делать и шифровать, а потом хоть в яндекс диськ
| |
|
4.70, Аноним (68), 16:09, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вот это как раз плохой совет. Делать работу связанную с компьютерной безопасностью надо, имея для этого соответствующие знания, а также код ревью со стороны.
| |
|
|
6.72, Аноним (68), 16:15, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так что плохого то в Dropbox хранить базу Keepass XC?
Это не ко мне вопрос, я не утверждал, что это плохо. Я говорю, что плохо пытаться изобрести свой собственный менеджер паролей, который никто со стороны не смотрел.
| |
|
7.181, Аноним (164), 02:51, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это зависит от многих факторов. Думаю все что сложнее xor для личного пользования без доступов на миллионы денег вполне примененимо. Что же касается продакшена, то там скорее работает принцип коллективной ответственности наоборот: "это не мы виноваты, это ращраьричики либы, которую даже в гугл используют, накосячили; все так делают и мы так делали".
| |
|
|
|
|
3.98, oficsu (ok), 18:52, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не используешь syncthing, позволяющий синхронизировать данные лишь p2p, не храня на чужих серверах, и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
| |
|
4.169, пох. (?), 23:40, 23/12/2022 [^] [^^] [^^^] [ответить] | –1 +/– | Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимо... большой текст свёрнут, показать | |
|
|
6.223, пох. (?), 22:27, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
нет, они врали что у них aн@логo3нетные протоколы собственного изобретения.
Вот например требующие аж ТРЕХ разных серверов для пробивания nat.
При этом два из трех у них ана...этосамое тоже, а третий stun и в комплект поставки не входит вообще и что там используется - ясно что дело темное (возможно стандартный rfc 3489, но это неточно).
| |
|
5.225, oficsu (ok), 23:08, 24/12/2022 [^] [^^] [^^^] [ответить] | +2 +/– | Делаю apt install 8212 ставится, pacman -S 8212 тоже ставится Даже из F-D... большой текст свёрнут, показать | |
|
6.229, пох. (?), 23:33, 24/12/2022 [^] [^^] [^^^] [ответить] | +/– | пааанятна угу, адову хрень торчащую в интернет назло всем натам и фильтрам, и... большой текст свёрнут, показать | |
|
7.234, oficsu (ok), 01:18, 25/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> хреново ты запомнил.
> У каждого устройства там уникальный idшник
"Он меня посчитал!"
> добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости
Как хорошо, что есть кексперты опеннета, которые всегда меня поправят
| |
|
8.244, пох. (?), 18:11, 25/12/2022 [^] [^^] [^^^] [ответить] | +/– | Ты т-пой или да Ты зачем цитату-то обрезал Речь о том что забанить тебя - вов... большой текст свёрнут, показать | |
|
|
10.261, пох. (?), 23:42, 26/12/2022 [^] [^^] [^^^] [ответить] | +/– | дядины серверы - это лишь одна из упомянутых мной проблем, и да, сколько ты уже ... текст свёрнут, показать | |
|
|
10.271, пох. (?), 17:15, 30/12/2022 [^] [^^] [^^^] [ответить] | +/– | Д-л Повторяю для феноменально т-пых - ты уже идентифицирован после первого же з... большой текст свёрнут, показать | |
|
11.274, oficsu (ok), 03:07, 02/01/2023 [^] [^^] [^^^] [ответить] | +/– | Ни ip, ни хеш сертификата он же id не идентифицирует никакую личность хотя бы ... большой текст свёрнут, показать | |
|
|
|
|
|
|
5.241, Аноним (241), 17:20, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> (т.е. работает только там где есть игого распоследней версии)
А зачем для работы скомпилированной программы ставить компилятор? Тем более, последней версии.
И зачем скачивать зависимости откуда либо вообще для работы уже скомпилированной программы?
Или ты хочешь собрать её сам - так тогда собирай и не ори про блоатварь, а вырезай лишние куски и валидируй зависимости.
| |
|
|
|
|
1.62, Liin (ok), 15:37, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Честно говоря, от менеджера паролей ожидаешь какую-то хитрую и безопасную систему хранения данных. А в реале вот так, из-за банальной утечки обычного разработчика получают аж целые базы, пусть и шифрованные. Причем самое смешное, что текущая утечка основана на утечке 4-х месячной давности. Ну то есть они даже не озаботились сменить все пароли и ключи после того факапа. Вообще не учатся на своих ошибках.
| |
|
2.74, Аноним (74), 16:32, 23/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это твои проблемы, что ты там что-то ожидаешь от проприетарщины.
| |
2.82, пох. (?), 17:15, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
От фирмы менеджера паролей у которой уже один раз сперли все пароли в общем-то чего-то такого вот и ожидаешь.
Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один и тот, другой - или первого как раз после первого раза вып..ли, и наняли второго олуха?
Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то аутсорсер без права голоса.
Пипл хавает, чего уж там...
| |
|
3.117, Liin (ok), 19:52, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> От фирмы менеджера паролей у которой уже один раз сперли все пароли
> в общем-то чего-то такого вот и ожидаешь.
> Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один
> и тот, другой - или первого как раз после первого раза
> вып..ли, и наняли второго олуха?
> Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то
> аутсорсер без права голоса.
> Пипл хавает, чего уж там...
В 2021-м там числилось 350 человек. Полагаю, там нашлось место и безопаснику и даже не одному.
| |
|
4.121, Аноним (168), 19:53, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Сервис облачного хранения баз паролей от ООО Рога и копыта Defective by Design.
| |
4.165, пох. (?), 22:49, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да ну, брось. Такой конторе одних бухгалтеров надо десяток (транзакций-то много на самом деле).
Присматривать за ними, опять кто-то должен. Присматривать за присматривающим?
Ну и да, я ж еще забыл девляпса (трех?) и его начальника (кто-то ж вот ту всю хрень настроил как-то).
А веслателя и одного хватит. Кнутователей можно нанять и трех - чтоб если один выдохнется, а второй в отпуске, было кому подменить.
Откуда тут деньги и время на безопасника (еще ж и слушать его бредни что чужие облачка небезопастны и давайте уберем и прекратим)?
| |
|
|
2.115, Аноним (168), 19:49, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Шанс атаки на облако хранящее базы паролей в разы больше шанса атаки на обыкновенное облако неуловимого Джо.
| |
2.116, Аноним (168), 19:50, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Самая по себе идея сервиса облачного хранения баз паролей это плохая идея, учитывая что это сервис это контора уровня рога и копыта а не корпорация вроде гугл или эпл.
| |
|
3.120, Liin (ok), 19:53, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Самая по себе идея сервиса облачного хранения баз паролей это плохая идея,
> учитывая что это сервис это контора уровня рога и копыта
> а не корпорация вроде гугл или эпл.
$200 млн в год дохода - как-то многовато для контор уровня рога и копыта.
| |
|
4.122, Аноним (168), 19:57, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это всего лишь твое мнение.
Результат их коммерческой деятельности говорит о том что это LTD Horns & hooves.
Мне кажется что у Гугл и Эпл всё же поменьше утечек паролей.
| |
|
|
2.118, Аноним (168), 19:52, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Уж лучше самому сделать базу паролей с хорошей энтропишей и сохранить в каоком-нибудь облаке, в идеале в self-host. Просто если ты неуловимый Джо, то и меньше шансов попасть под случайную атаку, я не говорю про целевую.
| |
2.150, prokoudine (ok), 22:17, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я тебе даже больше скажу. После августовской утечки гендир ластпасса всем говорил "Посоны, бояться нечего, ничего не случилось, все спите спокойно, это изолированный инцидент".
| |
|
3.170, пох. (?), 23:43, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не, ну а что он еще должен был тебе сказать - "срочно удалите нашу фигню, поменяйте все пароли и приходите на площадь, наш персонал сделает там массовую сепукку"?
Он же не хочет банкротства, он хочет премию.
| |
|
|
1.73, YetAnotherOnanym (ok), 16:31, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хе... 33 миллиона рядовых легковерных лопухов и ещё сто тысяч легковерных лопухов, наделённых полномочиями принимать решения.
| |
|
2.78, пох. (?), 16:51, 23/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну выбор-то между двумя стульями... Оба так себе.
А ты никакой свой ластпась не напишешь, потому что не умеешь кодить.
| |
|
|
4.103, пох. (?), 19:15, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
А дальше что с этим делать? Расшифровать все пароли разом в файлик на диске? Или даже на экран (что хуже?)
| |
|
|
6.171, пох. (?), 23:44, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
я и говорю - непонятно даже, что тут хуже.
ластпась может хоть mlock делает.
| |
|
|
|
9.246, пох. (?), 18:27, 25/12/2022 [^] [^^] [^^^] [ответить] | +1 +/– | ластпасть сделает это с _единственным_ паролем Остальные в млокнутой памяти и м... текст свёрнут, показать | |
|
|
|
6.233, 123321 (?), 01:11, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
ну можно и на диск. только по окончании работы файлик затирать dd или srm. Но ram-диск однозначно рулит в данной ситуации.
| |
|
|
|
|
|
|
2.80, пох. (?), 16:52, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
А пароли не в облаке рано поздно либо накроются, либо будут сп-жены.
На одном стуле...
И да, яндекс-яда передает тебе привед.
| |
|
3.81, Вася (??), 17:00, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Открой для себя KeePass или KeePassXC. База паролей хранится локально. Если даже её украдут, она зашифрована и к ней нужен один пароль по любому. В остальном бэкапы решают, конечно. Эту базу хоть в облака заливай, шифрованной она от этого быть не перестанет как бы.
| |
|
4.83, пох. (?), 17:21, 23/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Открой для себя KeePass или KeePassXC. База паролей хранится локально.
поэтому ты даже и не узнаешь, сп-ли ее или нет.
> Если даже её украдут, она зашифрована
ты, конечно, умеешь кодить и даже посмотрел в код, что не ксором со словом )|(опа?
И да, у этих вот лохов - тоже была зашифрована. Кажется, даже и хорошо. А даже если и не очень - надо не только уметь кодить чтобы восстановить алгоритм.
Но пользуемые почему-то не рады. Почему?
| |
|
5.91, Аноним (91), 18:19, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> > Открой для себя KeePass или KeePassXC. База паролей хранится локально.
> поэтому ты даже и не узнаешь, сп-ли ее или нет.
В отличие от облака, где можно всегда с уверенностью сказать - да, сп-ли.
| |
|
6.101, пох. (?), 19:09, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Воот! Одна проблема - успешно решена!
Теперь осталась вторая - неопределенная возможность еще и прое..ть.
В случае чужого облака тоже наличествует - начиная от внезапного банкротства облаковладельца и заканчивая хакерской атакой.
Нет, можно все это накостылить и с keypassxc (заодно сделав самостоятельно code review) - но ЧТО чорд побери, у тебя хранится с теми паролями ТАКОГО?
(товарищмайор просто интересуются, для статистики)
| |
|
7.135, Аноним (91), 21:40, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Тут ничего нового - бекапы и еще раз бекапы. Которые один фиг надо делать, независимо от наличия облака.
| |
|
|
5.100, oficsu (ok), 19:02, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я не только умею кодить, но даже видел, что там есть возможность выбора алгоритма шифрования и его сложности. Даже хуже, как настоящий программист, я умею гуглить и таки нагуглил информацию о прохождении первым из них аудита безопасности от сторонней компании, с отчётом которой можете ознакомиться и вы. А ещё то, что федеральные агентства нескольких стран рекомендуют его или даже сами используют
| |
|
6.102, пох. (?), 19:13, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для тебя хреновая новость...
| |
|
7.227, oficsu (ok), 23:17, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для
> тебя хреновая новость...
Точно ли стоит оценивать новости, относящиеся к софту, название которого вы даже скопировать не можете верно?
| |
|
|
7.226, oficsu (ok), 23:15, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Он способен использовать тот же формат базы данных, что и оригинальный KeePass, так что к формату хранения вопросов уже, полагаю, никаких? Увы, не на Расте написан, так что эксперты опеннета однозначно заявят, что сам клиент состоит из сишных дыреней в большей степени, чем из фич, так что тут хорошего мне нечего сказать. Впрочем, если у вас есть деньги на оплату независимого аудита — вы принесёте пользу всему сообществу, так что удерживать вас не стану от этого и даже готов компенсировать вам доллар-другой
| |
|
|
5.174, Ананимаз (?), 01:27, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
А ежели я проксорю и проrcr,rclрю не жоГIой, а войной и миром. Долго будешь ломать?
| |
|
6.256, Аноним (-), 14:47, 26/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Компьютеры нынче быстрые, ксорка войной и миром еще раз для отмены этого действа долго не займет.
| |
|
|
|
3.111, Аноним (111), 19:38, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
| |
|
4.113, Аноним (168), 19:45, 23/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Kepass XC использую для личных нужд и внедряю на работе. Кто бы мог подумать, что сисадмины хранят пароли в гугл табилцах
| |
|
|
6.247, пох. (?), 18:30, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!
вооо! Надежна! Не этот вам гугль, а распределенная система!
P.S. но, кстати, учитывая последние веяния, пользоваться станет настолько неудобно, что волей-неволей переберутся в гуглотаблицы.
Либо на бумажку. Ксерить опять же удобно...
| |
|
|
4.130, . (?), 20:56, 23/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Если не секрет, чем пользуетесь сами?
Честно, я пользуюсь бумажным блокнотом.
| |
|
5.139, пох. (?), 22:02, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну то есть одним выстрелом трех зайцев? И спереть могут (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе), и прое..ть можешь, и бэкап скорее всего отсутствует в виду чудовищного неудобия?
Ооок!
| |
|
6.192, ivan_erohin (?), 07:03, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> И спереть могут
из внутреннего кармана жилетки ? не верю.
> (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе),
вы позволяете себя фотграфировать кому попало ? если да то у меня для вас плохие новости.
более реальный сценарий - посмотрят с камеры виденаблюдения в сверхвысоком разрешении.
> и прое..ть можешь
потерять можно вообще все.
| |
|
7.197, пох. (?), 11:13, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> из внутреннего кармана жилетки ? не верю.
Даже в бане не снимаешь? Молодец, хвалю! А поскольку ты постоянно вынужден лазить в этот карман - все окружающие в курсе что там что-то интересное.
Ну и полицаи при задержании, тоже, будь уверен, найдут.
>> и прое..ть можешь
> потерять можно вообще все.
домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.
| |
7.228, oficsu (ok), 23:22, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> потерять можно вообще все.
Потерять вообще все бэкапы могу, пожалуй, лишь потеряв память. Но тогда и доступ к паролям будет наименьшей из проблем
| |
|
|
|
|
3.119, Аноним (111), 19:53, 23/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Уважаемый пох, можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
| |
|
4.160, пох. (?), 22:27, 23/12/2022 [^] [^^] [^^^] [ответить] | +/– | Я ж уже тут сто раз писал - пишу на стикере и клею к монитору Когда отваливаютс... большой текст свёрнут, показать | |
|
5.217, InuYasha (??), 21:48, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не подсмотрит )
Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона или троллируешь незрелые мозги?
Вот, запоминать пароли к паре тыщ серверов я вообще не согласен. Хотя, если научите запоминать всё с первого раза - я за.
| |
|
6.220, пох. (?), 22:10, 24/12/2022 [^] [^^] [^^^] [ответить] | +/– | а я как буду в него смотреть При этом троянцу оттуда, изнутря - отлично видно ... большой текст свёрнут, показать | |
|
|
8.224, пох. (?), 22:31, 24/12/2022 [^] [^^] [^^^] [ответить] | +/– | Если тебе понадобился ipmi, в общем-то уже неважно какой у того сервера был паро... текст свёрнут, показать | |
|
|
|
|
|
|
|
1.109, анон (?), 19:36, 23/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина по карте, биометрии, мобиле, отпечатку кала?
| |
|
2.127, Анони (?), 20:08, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Затем, что эти твои фантазии не соответствуют действительности. Ну и пара других причин, но они менее важные.
| |
|
3.133, Аноним (168), 21:18, 23/12/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
в банкомате face id, на работе отпечаток пальца. Да конечно никакой биометрии не существует.
| |
|
4.188, GOrilla (?), 03:58, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я думаю смарт-карты и ключи лучше. Потеряешь - сменишь. А отнимут - брутфорс, но меньший.
| |
4.238, Аноним (22), 12:14, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
face id подделывается очень постро, лепкой из какого-нибудь воска или силикона, обычный лидар на улице в телефоне или машине Tesla сделает 3D скан твоей мордочки
| |
|
|
2.161, prokoudine (ok), 22:27, 23/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина
> по карте, биометрии, мобиле, отпечатку кала?
Пока всех везде не пересадят на биометрию, QR-коды и мэджиклинки, придется хранить.
| |
|
|
4.221, пох. (?), 22:11, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> так говоришь, будто с нетерпением ждёшь...
ммм... ожерелья из пальцев и глаз неудачников... стильно...
| |
|
|
|
1.182, Аноним (182), 03:16, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вместо того, чтобы где-то хранить пароли придумал такой способ: пишу строку типа "пароль Сидорова Вани от сайта mail.ru", получаю md5-хеш этой строки, беру из него первые 16 символов, и чтобы удовлетворить требования усиленной безопасности в конце добавляю "Q!". Одни плюсы:
1) пароль длинный,
2) нет ни в одном словаре
3) нигде не хранится, кроме головы автора
Но и один минус: под рукой всегда должно быть средство типа md5.
| |
|
|
3.195, Первая Буква (?), 10:29, 24/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хмммм... Батарея со скобой, говорите?
"У отставного генерал-майора Булдеева разболелись зубы. Он полоскал рот водкой, коньяком, прикладывал к больному зубу табачную копоть, опий, скипидар, керосин, мазал щеку йодом, в ушах у него была вата, смоченная в спирту, но всё это или не помогало, или вызывало тошноту..."
| |
|
2.196, Первая Буква (?), 10:37, 24/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Минус есть. Это алгоритм. Его утечка, или раскрытие одного из паролей, по которому можно восстановить алгоритм - и всё. Можно добавить хаоса о котором знаешь только ты, но он должен выглядеть естественно.
А по картинке выше из журнала - для одного пароля "да", а для сотней? ))))
| |
|
1.186, Аноним (185), 03:51, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Внезапно, доверили дяде пароли, а они стали общедоступны. Ну кто бы мог подумать! Ведь ни разу такого не было!
| |
1.204, Аноним (204), 14:26, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Насколько безопасно использовать pass? Там gnupg используется, как оно с надежностью хранить в облаке такие зашифрованные пароли.
| |
|
2.208, . (?), 17:18, 24/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это точно безопаснее любых готовеньких решений. Пришла идея только что, просто впихнуть это туда где никто не будет искать.
| |
|
1.210, BrainFucker (ok), 20:50, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ССЗБ. У меня существование облачных менеджеров паролей всегда вызывало только удивление. А потом всем будут внедрять ищё более глубокие анальные зонты типа FIDO2/U2F под предлогом что пароли плохо и приводя в пример такие фейлы.
| |
1.211, InuYasha (??), 21:33, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> какой-то изъян, снижающий сложность подбора ключа
ага, например, плохой мастер-пароль.
Если надо таскать пароли, есть ну сааааааамый полевой, доступный всем, способ же - запароленный rar/7z-архив (zip sux). Но там уже главное - чтобы во временных файлах не застряло...
| |
1.219, Аноним (-), 22:04, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> рассматривается как нереалистичный на современном оборудовании
....
> Дополнение: Начали появляться сведения о компрометации учётных записей
Походу достаточно сказать что нечто невозможно и кто-то назло это заимплементит.
Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом или термоядерным синтезом.
| |
|
2.248, пох. (?), 18:34, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> рассматривается как нереалистичный на современном оборудовании
>> Дополнение: Начали появляться сведения о компрометации учётных записей
> Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом
> или термоядерным синтезом.
НЕ НАДО! А то фокус закончится "несмотря на предположения о полной безопасТности эксперимента, и мнения уважаемых экспертов что образовавшаяся вопреки этим предположениям миниатюрная черная дыра рассосется в ближайшее время самостоят...аааа...."
| |
|
1.230, Николай (??), 23:37, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Очередное доказательство, того, что то, что имеет закрытый код, является более интересным, злоумышленникам любителям взламывать.
Так же еще одно доказательство, что проги, приложения не важно ос, имеющие закрытый код, не такие у ж и крутые и продуманные по безопасности!
Интересно и то, что за время существования lastpass, который не неоднократно взламывали, но разрабы, так и не учатся на ошибках, и не улучшают защиту и шифрование, наверное lastpass, уже не спасти..
| |
1.235, Анон. (?), 05:24, 25/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Эксперты поясните почему нельзя юзать такие символы в паролях .̨̡̢̢̧̧̨̨̧̢̧̛͙̟̮̩̥̻̬̱̝͔̝̼̗͖͎̪̲͓͔̝̤͖̫̳̟̪͎̳̭̞̝̣̗̝̱̱̮̠̙̟̙͖̤͔͇̩͍͙̰̭̝̫̜̺̝͓̻̱̤̲͉͙̦͕̰̣̬̣̺̖̘̘̮͈̭̫͍̻̰͍̼̤̙̩͖͇̒̌͆̔̄̔̓̏͛̉͛̈́̑̑̎̈́̑͂̾͑͆̑͂͂́̋͂̄̂̒̃̆̓̐̉̀̾̽͒̎̓͐͆͑̊̉͋͋̀̈́̓̎͛̌͌̂̽̔͆̍̊̓̽̂̆̀̿̀̋̍̃̔̉̇̎̋̈́͆̈́̚͘̚̕̚͘̕͘̚̚͘̚͝͝͠͠͝͝͝ͅͅͅ ?
| |
1.237, Аноним (237), 11:07, 25/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нужно заставить фирму каждому пользователю выплатить по $10 000. Нужен такой закон.
| |
|
2.239, Аноним (22), 12:16, 25/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
А если пользователь придумал короткий или простой пароль, то он платит $10 000 фирме
| |
|
3.249, пользователь (?), 18:36, 25/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> А если пользователь придумал короткий или простой пароль, то он платит $10
> 000 фирме
погоди, но я ведь уже за софтину им заплатил чтобы она за меня все придумывала безопасТно?!
Причем они меня заставили каждый раз вводить это идиотское aaaaaaaaaaaA - чудовищно долго и неудобно! Говорили что это надежно и безопастно!
| |
|
|
|