Как мы храним пароли.

[mdv 37587]

11 hours ago, pifpafoieiei said:

Ну у меня уже вообще никаких проблем не возникает. Просто нужно было сразу во всем разобраться, а потом уже начинать регистрироваться везде подряд. Просто нужно было немного набраться опыта.

Ну да, желательно с вопросом разбираться подробно изначально. Так естественно лучше.) Иногда это не критично, у многих сервисов имеется кнопка - Забыл пароль, можно без труда восстановить. Но и есть целый пласт информации, которая критична, и ее никак не восстановишь. Это касается в основном сидов, приватов, паролей к десктопным кошелькам.

[Nikita01uz 5660]

10 hours ago, Doni2029 said:

А я вот храню все свои пароли как на листочке так и на флешке. И на мой взгляд это самый надёжный способ хранения на данной момент. Туда уж точно ни один хакер не сможет добраться. Так что советую и остальным тоже взять на вооружение такой метод хранения.

Ну флешка не безопасна в том плане то что вы все равно ее подключаете к компьютеру а компьютер подключен к сети и не известно может у вас стиллер сидит в компе и ждет когда вы предоставите пароли, а вот блокнотик это надежно только в нескольких экземплярах надо записывать.

[danygordey 8347]

11 hours ago, Andrey39 said:

Ну с одной стороны да, никто вас не взломает, но с другой, вы же можете потерять листочек, и как вы тогда будете решать проблему? Нужно в таком случае хотя-бы сделать 2 листочка с паролями, и спрятать один в надёжное место, и тогда надёжность будет высокой. Но я уже как-то привык хранить в электронном виде, поэтому уже никто меня не переубедит хранить на листочке) 

Одно другому не мешает. Можно держать пароли и на листочке и на флешке. Ну а если Вы скажем торгуете на бирже крупной для Вас суммой то еще хоть раз в 1-2 месяца менять пароли от важных для Вас бирж и кошельков. 

[mdv 37587]

1 hour ago, Nikita01uz said:

Ну флешка не безопасна в том плане то что вы все равно ее подключаете к компьютеру а компьютер подключен к сети и не известно может у вас стиллер сидит в компе и ждет когда вы предоставите пароли, а вот блокнотик это надежно только в нескольких экземплярах надо записывать.

Гм. Интересная логика у вас вырисовывается. Значит, флешка это не безопасно, потому что может подстерегать стиллер. А с блокнотиком у вас выходит, что все пучком? А кейлоггеры при этом не страшны? Или у вас пароли сами собой вводятся, без участия клавиатуры?

[TheStrayAngel 19008]

14 hours ago, Saasdafe said:

У меня достаточно много паролей, около 15. Это от фамилий и дат рождений, до каких-то случайных символов. Также около 10 логинов. И все храню в голове, строю ассоциации со всеми паролями и логинами. Бывают  случаи, когда забываю пароль, но за час я его способен вспомнить и дальше радоваться жизни!

Ну это не так много . У меня несколько сотен , последний раз когда делал бекап базы данных было 837 связок логин пароль . Много логинов конечно одинаковых но пароли все разные и запомнить их просто не реально 

[Vasca 827]

21 hours ago, danygordey said:

Для чего что то выдумывать. Я свои пароли от нужных мне бирж, кошельков и пр. храню и на флешке и в обычном блокноте. При смене пароля не забываю его менять везде. В случае проблем с флешкой пароли остаются в блокноте и наоборот. 

Неплохой вариант, но я все же рекомендую если память позволяет, то пароли создавать так чтобы их было легко воспроизвести и запомнить, но и в блокнот дублировать тоже не забывать. Электронные носители хранения паролей тоже можно предпочесть, но это менее надежно. 

[Bestiya 18613]

21 minutes ago, mdv said:

Гм. Интересная логика у вас вырисовывается. Значит, флешка это не безопасно, потому что может подстерегать стиллер. А с блокнотиком у вас выходит, что все пучком? А кейлоггеры при этом не страшны? Или у вас пароли сами собой вводятся, без участия клавиатуры?

Пора бы уже давно запилить голосовой ввод паролей. Не знаю правда на сколько их будет сложнее или легче перехватывать, но склоняюсь к мысли, что все же труднее))

[crockez 6748]

11 minutes ago, Vasca said:

Неплохой вариант, но я все же рекомендую если память позволяет, то пароли создавать так чтобы их было легко воспроизвести и запомнить

 Я тоже думаю что пароли на разных проектах должны отличаться, но быть похожими. Восстанавливать каждый раз не дело, а подобрать проще если пароли крутятся возле одних и тех же символов. Хотя пока человек не обожжётся про безопасность думать не начнёт.

[mdv 37587]

15 minutes ago, Bestiya said:

Пора бы уже давно запилить голосовой ввод паролей. Не знаю правда на сколько их будет сложнее или легче перехватывать, но склоняюсь к мысли, что все же труднее))

Интересная задумка, надо покрутить ее немного в голове насчет возможных изъянов. Так на вскидку могу лишь сказать, что вероятно будет труднее с самим вводом, если пароль сложный, особенно со вводом знаков. Если же иметь ввиду просто произнесенную какую то фразу именно своим голосом и тембром, то я думаю, что шансы на перехват примерно будут одинаковыми. Если зловред умеет делать скрины, следит за буфером и клавой, то почему бы ему и не писать то, что сказано в микрофон. 

[Bestiya 18613]

32 minutes ago, mdv said:

Интересная задумка, надо покрутить ее немного в голове насчет возможных изъянов. Так на вскидку могу лишь сказать, что вероятно будет труднее с самим вводом, если пароль сложный, особенно со вводом знаков. Если же иметь ввиду просто произнесенную какую то фразу именно своим голосом и тембром, то я думаю, что шансы на перехват примерно будут одинаковыми. Если зловред умеет делать скрины, следит за буфером и клавой, то почему бы ему и не писать то, что сказано в микрофон. 

Ну а если пойти немного дальше и немного пофантазировать. Ну например, для каждого пароля есть кодовая фраза. Вот произнося эту кодовую фразу пароль подставляется в поле ввода)) И пусть себе зловред перехватывает микрофон, толку не будет.. Ну понятно что пароли должны быть зашифрованы и хранится у вас... Да еще к примеру иметь возможность менять кодовую фразу... Ох и буйная я фантазерка... 😄

[a73vvv 2]

Храню в двух блокнотиках и в текстовом документе, флешку думаю надо ещё завести, ладно если потерял то можно восстановить а вот от  бандюков хакеров как быть.

[Forceq1 3737]

On 26.07.2020 at 18:20, bulgakowa2009 said:

Думаю на стороннем сайте сохранять свои пароли от денежных сервисов это вообще не безопасно. Как по мне так уж проще записывать их на бумажные носители и хранить где-то в доме. по крайней мере никто посторонний не получит доступ к вашему листика с паролями. Ну а если уж хочется диверсифицировать места хранения, то можно ещё и на флешку какую-нибудь скинуть.

Сколько людей столько и мнений.У меня есть знакомый,я говорил ему,что в принципе можно записывать на листочке дома,это самый просто и более менее безопасный вариант.Но он говорил,что это все чепуха.В итоге у него на нескольких накопителей хранятся пароли,которые мало того еще и зашифрованы.Ну это конечно хорошо,но не думаю,что кто-то будет целенаправленно его взламывать.Но это можно сказать зато очень безопасно.

[benzotrav 37724]

16 hours ago, shell said:

Это если антивирус распознает. Но как я уже писал, реальная угроза - это 0day уязвимости, эксплуатировать которые - не помешает никакой антивирус. Ведь он про них не знает. А ведь можно производить атаку и на сам антивирус.

А каким вообще образом это реально сделать ,если антивирус выключить вручную через диспетчер задач просто нереально? Мы живем в 2020 году где антивирусные системы выступают как компании и финансируются крупными суммами, собирая деньги за использования, такая банальщина прокатила бы только в году 2010.

[mdv 37587]

1 hour ago, Bestiya said:

Ну а если пойти немного дальше и немного пофантазировать. Ну например, для каждого пароля есть кодовая фраза. Вот произнося эту кодовую фразу пароль подставляется в поле ввода)) И пусть себе зловред перехватывает микрофон, толку не будет.. Ну понятно что пароли должны быть зашифрованы и хранится у вас... Да еще к примеру иметь возможность менять кодовую фразу... Ох и буйная я фантазерка... 😄

Ну давайте пофантазируем. Я думаю, что такое возможно было бы сделать с помощью отдельной софтины, либо интегрировать такую софтину в браузер. Как бы это могло работать? Вы произносите фразу, софтина переводит звук в цифру и цифра хэшируется каким то алгоритмом, ну например SHA 256. Хеш этой цифры и будет являться паролем, и подставляться в нужное поле. Нужно только всегда четко, и желательно с одними и теми же интонациями фразу произносить. В принципе как бы возможно на мой взгляд, но немного заморочено, и не додумал пока, насколько может быть ломаемым. И опять же, проблема осталась. Мы думали, как хранить пароли, теперь же будем думать, как хранить кодовые фразы от них. 🙂

[Bestiya 18613]

1 hour ago, mdv said:

Мы думали, как хранить пароли, теперь же будем думать, как хранить кодовые фразы от них. 🙂

Ну так сама по себе кодовая фраза ничего злоумышленнику то и не даст. Ему нужна будет именно уже связка кодовой фразы и зашифрованного под ней пароля. А если эта кодовая фраза еще будет и изменяемая по желанию, причем с привязкой к тому же паролю, то задача взлома еще и усложняется))

[fullzero 35627]

1 hour ago, mdv said:

Ну давайте пофантазируем. Я думаю, что такое возможно было бы сделать с помощью отдельной софтины, либо интегрировать такую софтину в браузер. Как бы это могло работать? Вы произносите фразу, софтина переводит звук в цифру и цифра хэшируется каким то алгоритмом, ну например SHA 256. Хеш этой цифры и будет являться паролем, и подставляться в нужное поле. Нужно только всегда четко, и желательно с одними и теми же интонациями фразу произносить. В принципе как бы возможно на мой взгляд, но немного заморочено, и не додумал пока, насколько может быть ломаемым. И опять же, проблема осталась. Мы думали, как хранить пароли, теперь же будем думать, как хранить кодовые фразы от них. 🙂

Всё это интересно, но как всегда есть несколько нюансов. Разговор с микрофоном можно же перехватить. А если допустим ангина, чуть изменился голос и все, уже не зайти. Да и говорить постоянно с одной и той же интонацией то ещё задание. Во общем, ещё нужно работать над алгоритмом. 😉

[mdv 37587]

25 minutes ago, Bestiya said:

Ну так сама по себе кодовая фраза ничего злоумышленнику то и не даст. Ему нужна будет именно уже связка кодовой фразы и зашифрованного под ней пароля. А если эта кодовая фраза еще будет и изменяемая по желанию, причем с привязкой к тому же паролю, то задача взлома еще и усложняется))

Задачка не тривиальная, надо думать. По большому счету в такой схеме, если знать чем шифровалось, из фразы можно получить пароль, а наоборот нельзя, из пароля фразу. Х.з. нужны какие то дополнительные хитрости. Но по большому счету я все же думаю, что лучшим типом авторизации была бы по типу u2f. Было бы что то по типу подписания транзакции собственным приватом, как в кошельке например.)

[Jekson24 19821]

4 hours ago, Bestiya said:

Пора бы уже давно запилить голосовой ввод паролей. Не знаю правда на сколько их будет сложнее или легче перехватывать, но склоняюсь к мысли, что все же труднее))

С голосовым вводом идея хорошая, но есть ряд нюансов, голос вдруг поменяется и все никак не пропустят на страницу, еще можно вход с отпечатком пальца но это лишь будет работать с телефона.

[Mihail1234 25]

Пароли храню исключительно в бумажном вареанте, так как я считаю, что это самый безопасный вареант хранения. Некоторые сохраняю в браузере, но каждый должен понимать, что это довольно опасно, так как в последние время участились случаи кражи. Так что советую опасаться мошенников, их в наше время больше, чем мы думаем) 

[mdv 37587]

25 minutes ago, fullzero said:

Всё это интересно, но как всегда есть несколько нюансов. Разговор с микрофоном можно же перехватить. А если допустим ангина, чуть изменился голос и все, уже не зайти. Да и говорить постоянно с одной и той же интонацией то ещё задание. Во общем, ещё нужно работать над алгоритмом. 😉

Да, перехватить можно, эт мы слегка тут просто фантазируем.) Алгоритм кстати может быть разным - или хешируются просто сказанные слова, типа как сид, или как вариант цифра будет учитывать и тембр голоса и интонации - тогда да, возможны проблемы. Пока приемлемого решения я лично не вижу - просто как интересный вариант для обсуждения.)

[fergust 1838]

6 hours ago, a73vvv said:

Храню в двух блокнотиках и в текстовом документе, флешку думаю надо ещё завести, ладно если потерял то можно восстановить а вот от  бандюков хакеров как быть.

Ну блокнотики как раз вас и защищат от "бандюков хакеров". Никто из дома у вас не украдёт. А вот с флешки может какая-нибудь программа хакерская данные украсть.

[danygordey 8347]

3 hours ago, Mihail1234 said:

Пароли храню исключительно в бумажном вареанте, так как я считаю, что это самый безопасный вареант хранения. Некоторые сохраняю в браузере, но каждый должен понимать, что это довольно опасно, так как в последние время участились случаи кражи. Так что советую опасаться мошенников, их в наше время больше, чем мы думаем) 

В браузере можно хранить пароли от буксов, игр и прочих сайтов где нет крупных сумм а вот пароли от бирж и кошельков где сосредоточены все Ваши богатства лучше как по мне все же в бумажном блокноте и с отдельной для них почтой. Пароли соответственно тоже должны отличаться. 

[fullzero 35627]

3 hours ago, mdv said:

Да, перехватить можно, эт мы слегка тут просто фантазируем.) Алгоритм кстати может быть разным - или хешируются просто сказанные слова, типа как сид, или как вариант цифра будет учитывать и тембр голоса и интонации - тогда да, возможны проблемы. Пока приемлемого решения я лично не вижу - просто как интересный вариант для обсуждения.)

Вариант, конечно, интересный и необычный, но к сожалению, придумать нечто такое, что взломать не получится, наверное невозможно😖Хотя можно и порассуждать. Нас много, что-нибудь общими усилиями придумаем 👍

[irana 18819]

44 minutes ago, danygordey said:

В браузере можно хранить пароли от буксов, игр и прочих сайтов где нет крупных сумм а вот пароли от бирж и кошельков где сосредоточены все Ваши богатства лучше как по мне все же в бумажном блокноте и с отдельной для них почтой. Пароли соответственно тоже должны отличаться. 

Конечно для биржи должен быть чистый почтовый ящик и пароль должен быть уникальным и самый надежный вариант защиты тот, использовать  который вам удобно.

[Doni2029 16919]

5 minutes ago, irana said:

Конечно для биржи должен быть чистый почтовый ящик и пароль должен быть уникальным и самый надежный вариант защиты тот, использовать  который вам удобно.

Ну это естественно что для регистрации на бирже нужно заводить отдельную электронную почту. И пароль для почты и биржи должен быть совершенно разным. Желательно составить его из бессмысленного набора букв и цифр и максимально длинным. Это гарантирует то что его практически не возможно будет подобрать.