Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Утечка резервных копий с данными пользователей LastPass"	+1 +/–
Сообщение от opennews (??), 23-Дек-22, 12:52
Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также непосредственно база паролей с незашифрованными именами сайтов и зашифрованными паролями к ним. Для защиты паролей использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов (шифрование и расшифровка паролей осуществляется только на стороне пользователя)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58379
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Дек-22, 12:52	+/–
>33 млн человек По количеству неуникальных загрузок считали?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от axsmak (?), 23-Дек-22, 12:55	+/–
Тут о пользователях, скорее, нежели о загрузках
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 23-Дек-22, 12:56	+/–
На сайте у них не уточняется, пишут 33+ million People secure passwords with LastPass 100,000+ Businesses choose LastPass
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от mumu (ok), 23-Дек-22, 13:00	+6 +/–
Скоро узнаем у какого числа пользователей были сложные генерируемые пароли к сервисам и пароль двенадцать единичек на базу lastpass.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #173

5. Сообщение от Шарп (ok), 23-Дек-22, 13:04	+3 +/–
>имя, адрес, email, телефон и IP-адреса А зачем они это хранили у себя?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

6. Сообщение от Аноним (6), 23-Дек-22, 13:10	+54 +/–
LostPass.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 23-Дек-22, 13:12	–2 +/–
Процентов 10 действительно хорошие пароли, а все остальные наверняка что-то типа qwerty или 12345. Иногда тоже думаю может и мне стоит поменять свой пароль на вход в систему из 38 символов на что-то полегче.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

9. Сообщение от pashev.ru (?), 23-Дек-22, 13:16	+4 +/–
Зачем кейлогеры, если люди сами свои пароли сливают?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 23-Дек-22, 13:19	+2 +/–
Как — зачем? Письмо для восстановления аккаунта посылать. Бумажное. В довесок к электронному. Половина ответа там, половина там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #34

16. Сообщение от Аноним (16), 23-Дек-22, 13:39	+6 +/–
Уязвимость by design случилась-таки. Лет эдак десять назад тоже пользовался, но потом поумнел немножко.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #145

19. Сообщение от FSark (?), 23-Дек-22, 13:49	+1 +/–
Вы хотели сказать, скоро узнаем, как быстро пачка 4090 покажет подбор паролей?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #164

22. Сообщение от Аноним (22), 23-Дек-22, 14:02	–9 +/–
gitlab/github + KeePass шифрованный файл с паролями + alias на команды git commit && git push и git pull. Все можно завернуть в cron. Несколько репозиториев git как резервные копии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #66, #95

23. Сообщение от Аноним (-), 23-Дек-22, 14:16	+/–
Пользуйтесь менеджерами паролей, говорили они.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96, #263

24. Сообщение от Аноним (24), 23-Дек-22, 14:19	+1 +/–
Никогда не пользовался менеджерами паролей и не буду.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #125

27. Сообщение от Аноним (27), 23-Дек-22, 14:29	+6 +/–
и чем это отличается от того, что у lastpass?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #42, #178

29. Сообщение от th3m3 (ok), 23-Дек-22, 14:34	+9 +/–
>На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса. Облака это круто, говорили они)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #45

33. Сообщение от Аноним (34), 23-Дек-22, 14:52	+4 +/–
А в сочетании с closed source ваще огонь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #213

34. Сообщение от Аноним (34), 23-Дек-22, 14:53	–1 +/–
Олухи, надо было по биометрии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #85

37. Сообщение от Аноним (37), 23-Дек-22, 14:59	+3 +/–
38 символов "A" в ряд? :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #207

42. Сообщение от Аноним (88), 23-Дек-22, 15:10	+/–
KepassXC в Dropbox и настроенная KeeShare.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #47, #185

43. Сообщение от Аноним (88), 23-Дек-22, 15:11	+4 +/–
В браузере хранишь парольчики?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #52, #53

45. Сообщение от Аноним (88), 23-Дек-22, 15:12	–2 +/–
Храню в Dropbox базы KepassXC, что я делю не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #51, #98

47. Сообщение от Аноним (27), 23-Дек-22, 15:13	+1 +/–
это не ответ. в чем принципиальная разница? точно так же хранишь зашифрованные данные в облаке, как и у lastpass
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #63, #68, #134

51. Сообщение от . (?), 23-Дек-22, 15:21	+/–
Надо свою базу делать и шифровать, а потом хоть в яндекс диськ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #69, #70

52. Сообщение от ИмяХ (?), 23-Дек-22, 15:23	+/–
У многих людей есть такая штука, называется "Мозг". В нём можно хранить не только пароли, но и другую информацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #64, #76, #264

53. Сообщение от Аноним (53), 23-Дек-22, 15:23	+1 +/–
В бумажке, приклеенной снизу лотка CD-ROM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #61, #65

61. Сообщение от Аноним (61), 23-Дек-22, 15:37	+/–
Хм, а это мысль!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

62. Сообщение от Liin (ok), 23-Дек-22, 15:37	+1 +/–
Честно говоря, от менеджера паролей ожидаешь какую-то хитрую и безопасную систему хранения данных. А в реале вот так, из-за банальной утечки обычного разработчика получают аж целые базы, пусть и шифрованные. Причем самое смешное, что текущая утечка основана на утечке 4-х месячной давности. Ну то есть они даже не озаботились сменить все пароли и ключи после того факапа. Вообще не учатся на своих ошибках.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74, #82, #115, #116, #118, #150

63. Сообщение от Аноним (88), 23-Дек-22, 15:43	–1 +/–
Нет это ты мне ответь, в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #94

64. Сообщение от Аноним (88), 23-Дек-22, 15:44	+4 +/–
И сколько паролей ты хранишь в своём мозгу и какая у них энтропия и как часто ты их меняешь? Что там про мозг?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #108, #189

65. Сообщение от Аноним (88), 23-Дек-22, 15:45	+1 +/–
И как часто ты достаешь эту бумажку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #77, #99

66. Сообщение от Аноним (-), 23-Дек-22, 15:48	+1 +/–
Syncthing между двух и более СВОИХ устройств. Главное сохранять после редактирования и закрывать приложение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #262

68. Сообщение от Аноним (68), 23-Дек-22, 16:00	+4 +/–
Не тот анон, но отвечу. Не надо давать адреса, имена, номера кредиток и вот это вот всё. Шифрование и дешифрование происходит локально и только локально без всяких "мы обещаем". Гибкие настройки (в плане той же функции преобразования ключа, например, у KeePass есть Argon2, который устойчив ко всем этим элкомсофтам с их ГПУ и асикам за счёт использования настраиваемо-больших объёмов памяти в отличие от PBKDF2) Легко можно переносить данные и хранить дополнительные бэкапы на внешних носителях и дополнительных серверах. Интернет вообще не обязателен. KeePass (оригинальный клиент) проходил секьюрити ревью. Весь софт необходимый софт опенсорсен и прозрачен. Телеметрия сведения к минимуму, если вообще есть. А, и как я понимаю, ластпасс не полностью шифровал данные - какие-то из них оставались в открытом виде для "удобства использования" и, соответственно, попали в руки злоумышленников. Даже утечка незашифрованных данных вроде логинов (который часто имейл или телефонный номер) или URLов (используемые сервисы) представляют ценность для спамеров и мошенников. База KeePass полностью зашифрована.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

69. Сообщение от Аноним (88), 23-Дек-22, 16:03	+/–
В Keepass xc можно не свою базу сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

70. Сообщение от Аноним (68), 23-Дек-22, 16:09	+/–
Вот это как раз плохой совет. Делать работу связанную с компьютерной безопасностью надо, имея для этого соответствующие знания, а также код ревью со стороны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #71

71. Сообщение от Аноним (88), 23-Дек-22, 16:11	–2 +/–
Ну так что плохого то в Dropbox хранить базу Keepass XC?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #72

72. Сообщение от Аноним (68), 23-Дек-22, 16:15	+/–
> Ну так что плохого то в Dropbox хранить базу Keepass XC? Это не ко мне вопрос, я не утверждал, что это плохо. Я говорю, что плохо пытаться изобрести свой собственный менеджер паролей, который никто со стороны не смотрел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #181

73. Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 16:31	+/–
Хе... 33 миллиона рядовых легковерных лопухов и ещё сто тысяч легковерных лопухов, наделённых полномочиями принимать решения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78

74. Сообщение от Аноним (74), 23-Дек-22, 16:32	–1 +/–
Это твои проблемы, что ты там что-то ожидаешь от проприетарщины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

75. Сообщение от Аноним (75), 23-Дек-22, 16:36	+2 +/–
Малолетние дeбилы, оставляющие пароли в облаке - должны страдать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

76. Сообщение от пох. (?), 23-Дек-22, 16:49	+7 +/–
Ныкаемся, ныкаемся пацанчики - опять тот мальчик с феноменальной памятью!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #87, #278

77. Сообщение от пох. (?), 23-Дек-22, 16:50	+/–
Лоток у подставки под кофе давно отломан и на столе лежит. (потому что комп с сидиромом да еще работающим сейчас найти - надо старатцо)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #86

78. Сообщение от пох. (?), 23-Дек-22, 16:51	–1 +/–
Ну выбор-то между двумя стульями... Оба так себе. А ты никакой свой ластпась не напишешь, потому что не умеешь кодить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #90

80. Сообщение от пох. (?), 23-Дек-22, 16:52	+/–
А пароли не в облаке рано поздно либо накроются, либо будут сп-жены. На одном стуле... И да, яндекс-яда передает тебе привед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #81, #111, #119

81. Сообщение от Вася (??), 23-Дек-22, 17:00	+/–
Открой для себя KeePass или KeePassXC. База паролей хранится локально. Если даже её украдут, она зашифрована и к ней нужен один пароль по любому. В остальном бэкапы решают, конечно. Эту базу хоть в облака заливай, шифрованной она от этого быть не перестанет как бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #83

82. Сообщение от пох. (?), 23-Дек-22, 17:15	+1 +/–
От фирмы менеджера паролей у которой уже один раз сперли все пароли в общем-то чего-то такого вот и ожидаешь. Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один и тот, другой - или первого как раз после первого раза вып..ли, и наняли второго олуха? Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то аутсорсер без права голоса. Пипл хавает, чего уж там...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #117

83. Сообщение от пох. (?), 23-Дек-22, 17:21	–1 +/–
> Открой для себя KeePass или KeePassXC. База паролей хранится локально. поэтому ты даже и не узнаешь, сп-ли ее или нет. > Если даже её украдут, она зашифрована ты, конечно, умеешь кодить и даже посмотрел в код, что не ксором со словом )|(опа? И да, у этих вот лохов - тоже была зашифрована. Кажется, даже и хорошо. А даже если и не очень - надо не только уметь кодить чтобы восстановить алгоритм. Но пользуемые почему-то не рады. Почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #91, #100, #174

85. Сообщение от пох. (?), 23-Дек-22, 17:29	+6 +/–
Ага, присылаешь им свое ухо, или там - пару пальцев - тебе отправляют твой пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #88

86. Сообщение от Аноним (88), 23-Дек-22, 17:32	+1 +/–
Ты не ответил на вопрос. Вас этому обучают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #89

87. Сообщение от Аноним (88), 23-Дек-22, 17:34	+/–
Я не знаю сколько паролей можно запомнить и какая энтропия у них будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

88. Сообщение от Аноним (88), 23-Дек-22, 17:35	–4 +/–
В банкоматах уже можно снимать деньги без карты по фейс айди. На работе двери по отпечатку пальцев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #93, #107, #166

89. Сообщение от пох. (?), 23-Дек-22, 17:56	+/–
Ну я, во-первых, другой аноним. Во-вторых, чего тебе непонятно - если лоток на столе валяется, то доставать ничего не надо, уже достался окончательно и бесповоротно. В принципе, я пожалуй применю идею - а то валяющиеся на столе бумажки с паролями то сквозняк сдувает, то пылесосом засосет. Надо клеить к чему-то надежному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #110

90. Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 18:14	+/–
Не умею, не умею. И вообще, мне openssl enc хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #103

91. Сообщение от Аноним (91), 23-Дек-22, 18:19	+1 +/–
> > Открой для себя KeePass или KeePassXC. База паролей хранится локально. > поэтому ты даже и не узнаешь, сп-ли ее или нет. В отличие от облака, где можно всегда с уверенностью сказать - да, сп-ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #101

93. Сообщение от Злой по Пятницам (?), 23-Дек-22, 18:21	+4 +/–
> В банкоматах уже можно снимать деньги без карты по фейс айди. На > работе двери по отпечатку пальцев. Ну, теперь плохиши тебе не только палец оттяпают, да ещё и морду отпилят!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #105, #149

94. Сообщение от Злой по Пятницам (?), 23-Дек-22, 18:24	+7 +/–
> Нет это ты мне ответь, в чем проблема? Как сказал один мудрый человек: Облако это термин придуманный маркетолухами, если читать на человеческом это просто значит - чужой компьютер. Следствие сам выведешь или тоже треба пояснять?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #106

95. Сообщение от Мимокрокодил (?), 23-Дек-22, 18:26	+4 +/–
> gitlab/github + KeePass шифрованный файл с паролями + alias на команды git > commit && git push и git pull. Все можно завернуть в > cron. Несколько репозиториев git как резервные копии. На щитхабах и прочих АБЛАКАХ можно хранить только то, что ты и так будешь кому-то показывать, то бишь - опенсорц. Хранящие там что-то чувствительное - ССЗБ!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

96. Сообщение от Yakorinmouseduppa (?), 23-Дек-22, 18:28	+1 +/–
> Пользуйтесь менеджерами паролей, говорили они. А причём тут менеджер паролей, если в стетье какой-то говносервис, который честно-честно пообещал суперсикурно хранить чужие данные, мамой и Аллахом поклялись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #143

98. Сообщение от oficsu (ok), 23-Дек-22, 18:52	+/–
Не используешь syncthing, позволяющий синхронизировать данные лишь p2p, не храня на чужих серверах, и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #169

99. Сообщение от Аноним (53), 23-Дек-22, 18:53	+/–
Никогда - настоящие пароли в кактусе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #104

100. Сообщение от oficsu (ok), 23-Дек-22, 19:02	+1 +/–
Я не только умею кодить, но даже видел, что там есть возможность выбора алгоритма шифрования и его сложности. Даже хуже, как настоящий программист, я умею гуглить и таки нагуглил информацию о прохождении первым из них аудита безопасности от сторонней компании, с отчётом которой можете ознакомиться и вы. А ещё то, что федеральные агентства нескольких стран рекомендуют его или даже сами используют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #102, #112

101. Сообщение от пох. (?), 23-Дек-22, 19:09	+/–
Воот! Одна проблема - успешно решена! Теперь осталась вторая - неопределенная возможность еще и прое..ть. В случае чужого облака тоже наличествует - начиная от внезапного банкротства облаковладельца и заканчивая хакерской атакой. Нет, можно все это накостылить и с keypassxc (заодно сделав самостоятельно code review) - но ЧТО чорд побери, у тебя хранится с теми паролями ТАКОГО? (товарищмайор просто интересуются, для статистики)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #135

102. Сообщение от пох. (?), 23-Дек-22, 19:13	+/–
В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для тебя хреновая новость...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #227

103. Сообщение от пох. (?), 23-Дек-22, 19:15	+/–
А дальше что с этим делать? Расшифровать все пароли разом в файлик на диске? Или даже на экран (что хуже?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #167

104. Сообщение от пох. (?), 23-Дек-22, 19:17	+/–
О, спасибо, хорошая идея! Пожалуй, подожду еще выбрасывать опунцию. (не, не в том смысле что не найдут)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

105. Сообщение от плохиш (?), 23-Дек-22, 19:18	+3 +/–
В лайт-варианте - дам ему в табло - и он еще и денег хер снимет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

106. Сообщение от Аноним (168), 23-Дек-22, 19:24	–4 +/–
Ну а если у меня нет денег или времени делать своё облако со своим впн но я надеюсь что мой дропбокс аккаунт не взламают а если взламают то не смогут взламать базу? Конечно селфхост предпочтителен, но не всегда оправдан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #250, #257

107. Сообщение от анон (?), 23-Дек-22, 19:33	+3 +/–
>В банкоматах уже можно снимать деньги без карты по фейс айди. Ага, и присутствие владельца не обязательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

108. Сообщение от ip1982 (ok), 23-Дек-22, 19:34	–1 +/–
Тебе зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #124

109. Сообщение от анон (?), 23-Дек-22, 19:36	+/–
А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина по карте, биометрии, мобиле, отпечатку кала?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127, #161

110. Сообщение от Аноним (168), 23-Дек-22, 19:37	+/–
Я всё тот же аноним, я к тому что надо же переодически менять пароли. С бумажкой как быть? От руки пишите или для лучше распознования на печатной машинке набираете текст?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #128, #163

111. Сообщение от Аноним (111), 23-Дек-22, 19:38	+/–
Можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #113, #114, #130

112. Сообщение от Аноним (168), 23-Дек-22, 19:43	+/–
А что насчем Kepass XC? Можешь погуглить за меня, пожалуйста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #226

113. Сообщение от Аноним (168), 23-Дек-22, 19:45	+1 +/–
Kepass XC использую для личных нужд и внедряю на работе. Кто бы мог подумать, что сисадмины хранят пароли в гугл табилцах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #216

114. Сообщение от Аноним (168), 23-Дек-22, 19:45	+/–
А ну при этом не хранить пароли в браухере или в гугл таблицах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

115. Сообщение от Аноним (168), 23-Дек-22, 19:49	+1 +/–
Шанс атаки на облако хранящее базы паролей в разы больше шанса атаки на обыкновенное облако  неуловимого Джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

116. Сообщение от Аноним (168), 23-Дек-22, 19:50	+/–
Самая по себе идея сервиса облачного хранения баз паролей это плохая идея, учитывая что это сервис это  контора уровня рога и копыта а не корпорация вроде гугл или эпл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #120

117. Сообщение от Liin (ok), 23-Дек-22, 19:52	+/–
> От фирмы менеджера паролей у которой уже один раз сперли все пароли > в общем-то чего-то такого вот и ожидаешь. > Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один > и тот, другой - или первого как раз после первого раза > вып..ли, и наняли второго олуха? > Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то > аутсорсер без права голоса. > Пипл хавает, чего уж там... В 2021-м там числилось 350 человек. Полагаю, там нашлось место и безопаснику и даже не одному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #121, #165

118. Сообщение от Аноним (168), 23-Дек-22, 19:52	+/–
Уж лучше самому сделать базу паролей с хорошей энтропишей и сохранить в каоком-нибудь облаке, в идеале в self-host. Просто если ты неуловимый Джо, то и меньше шансов попасть под случайную атаку, я не говорю про целевую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

119. Сообщение от Аноним (111), 23-Дек-22, 19:53	+2 +/–
Уважаемый пох, можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #160

120. Сообщение от Liin (ok), 23-Дек-22, 19:53	+1 +/–
> Самая по себе идея сервиса облачного хранения баз паролей это плохая идея, > учитывая что это сервис это  контора уровня рога и копыта > а не корпорация вроде гугл или эпл. $200 млн в год дохода - как-то многовато для контор уровня рога и копыта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #122

121. Сообщение от Аноним (168), 23-Дек-22, 19:53	+1 +/–
Сервис облачного хранения баз паролей от ООО Рога и копыта Defective by Design.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

122. Сообщение от Аноним (168), 23-Дек-22, 19:57	+/–
Это всего лишь твое мнение. Результат их коммерческой деятельности говорит о том что это LTD Horns & hooves. Мне кажется что у Гугл и Эпл всё же поменьше утечек паролей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

124. Сообщение от Аноним (168), 23-Дек-22, 20:02	+3 +/–
Ну чтобы было наглядно ясно, что челвоеческий моск это так себе носитель информации. Уже сохраненную информацию можно потерять очень легко, перезапись информации тоже очень затруднительный процесс. Сколько раз надо было в детстве повторить стих чтобы запомнить? А на дискеты один раз записал, убрал и все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

125. Сообщение от Анони (?), 23-Дек-22, 20:03	+/–
Для одного-единственного пароля действительно незачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

127. Сообщение от Анони (?), 23-Дек-22, 20:08	+/–
Затем, что эти твои фантазии не соответствуют действительности. Ну и пара других причин, но они менее важные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #133

128. Сообщение от Аноним (53), 23-Дек-22, 20:27	+/–
Записывать ручкой на бумажке страницу и строку из советского энциклопедического словаря
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #141

129. Сообщение от Аноним (129), 23-Дек-22, 20:55	+/–
Это потому что не на расте писали. И сервера наверно без системд
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

130. Сообщение от . (?), 23-Дек-22, 20:56	+2 +/–
>  Если не секрет, чем пользуетесь сами? Честно, я пользуюсь бумажным блокнотом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #137, #139, #191

132. Сообщение от . (?), 23-Дек-22, 20:58	+/–
И без вейленда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

133. Сообщение от Аноним (168), 23-Дек-22, 21:18	–2 +/–
в банкомате face id, на работе отпечаток пальца. Да конечно никакой биометрии не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #184, #188, #238

134. Сообщение от Аноним (134), 23-Дек-22, 21:29	+/–
KepassXC довольно легко модифицировать так, чтобы при потере базы никто не знал в какую часть пароля добавлена "соль". Элементарное действие, но такая база будет интересна для нападающего только в том случае, если речь идёт о каком-нибудь реально крупном потенциальном "доходе". Иначе, стоимость взлома небольшого количества паролей может оказаться соизмеримой с бюджетом отдельных государств.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #142

135. Сообщение от Аноним (91), 23-Дек-22, 21:40	+/–
Тут ничего нового - бекапы и еще раз бекапы. Которые один фиг надо делать, независимо от наличия облака.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #138

137. Сообщение от Аноним (168), 23-Дек-22, 22:01	+/–
А какие чернила в ручке иль карандаш?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

138. Сообщение от Аноним (168), 23-Дек-22, 22:02	+/–
люблю теоретиков экспертов, ни одного примера из жизни,теоритеческого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #172

139. Сообщение от пох. (?), 23-Дек-22, 22:02	+/–
Ну то есть одним выстрелом трех зайцев? И спереть могут (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе), и прое..ть можешь, и бэкап скорее всего отсутствует в виду чудовищного неудобия? Ооок!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #192

141. Сообщение от Аноним (168), 23-Дек-22, 22:04	+/–
не знаком с такой шифрограммой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

142. Сообщение от Аноним (168), 23-Дек-22, 22:05	–1 +/–
>KepassXC довольно легко модифицировать И что делать? Я нехочу чтобы мой KepassXC модифифировали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #176

143. Сообщение от Аноним (145), 23-Дек-22, 22:07	+/–
> Разработчики менеджера паролей LastPass Действительно, при чём
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #179

145. Сообщение от Аноним (145), 23-Дек-22, 22:10	+5 +/–
Ни разу не пользовался, был умным с самого начала ☝
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #152

149. Сообщение от prokoudine (ok), 23-Дек-22, 22:14	+/–
С чужим оттяпанным пальцем ты нигде не залогинишься. Это только в кино так работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #153, #255

150. Сообщение от prokoudine (ok), 23-Дек-22, 22:17	+/–
Я тебе даже больше скажу. После августовской утечки гендир ластпасса всем говорил "Посоны, бояться нечего, ничего не случилось, все спите спокойно, это изолированный инцидент".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #170

152. Сообщение от Аноним (145), 23-Дек-22, 22:19	+/–
Пароли все разные, на бумажке, в огнеупорном сейфе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #156

153. Сообщение от Плохиш (?), 23-Дек-22, 22:20	+/–
Если нагреть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #155

155. Сообщение от prokoudine (ok), 23-Дек-22, 22:24	–1 +/–
> Если нагреть? Это не вопрос температуры, это вопрос наличия электрических импульсов в тканях. Алсо, фокус с вырванным глазом тоже не работает — он вне глазницы быстро деформируется. Плюс там есть проверка на то, живой ли человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #157, #177, #253

156. Сообщение от Её гёрлфрендендка (?), 23-Дек-22, 22:24	+/–
МЫ же конечно изучил состав чернил и как они поведут себя в закрытом пространстве?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #206

157. Сообщение от Её гёрлфрендендка (?), 23-Дек-22, 22:25	+/–
А можно для самых мальенких? Эдектрошоком не выйдет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

160. Сообщение от пох. (?), 23-Дек-22, 22:27	+/–
Я ж уже тут сто раз писал - пишу на стикере и клею к монитору. Когда отваливаются - ну и х...с ним, все равно я уже не помню от чего этот пароль (только что выкинул очередной). Пользуюсь в основном периметром безопасности (при попытке пройти к тому монитору - постороннего человека могут и сожрать) и здравым рассудком. По сути, чего за пароли у тебя не привязаны еще к номеру мабилы и их невозможно восстановить? А какие при этом еще и не должны попасть в чужие руки (хаха, с номером-то...) и сколько их таких остается? А то логином от порнхаба я, наверное, не особенно дорожу. Понятно что парочка таких наверное все же есть, но их-то все же можно как-нибудь и запомнить? Остальное можно хранить прямо в браузере. Все равно их сопрут прямо с сайта от которого пароль. Т.е. тут как раз важнее длинна (вдруг сайт все же хранит их нормально шифрованными) и бессмысленность. Запоминать незачем, особо беречь тоже незачем. Гораздо важнее, по-моему, не светить свои идентити где ни попадя. Что там вон у этих - адрес, email, телефон... ну прекрасно же ж? Небось еще и номер кредитки, сервис платный, соблюдать pci/dss не собирался и не планирует. А пойти найух они не хочут? Ну и в совсем клиническом случае - пользуюсь otp. Не модным-современным-гуглевым-в телефоне, а офлайновым. К счастью, там где мне очень уж надо, еще работает. Забыть фразу я смогу не раньше чем в полный маразм впаду, а постороннему она ничего не скажет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #217

161. Сообщение от prokoudine (ok), 23-Дек-22, 22:27	+/–
> А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина > по карте, биометрии, мобиле, отпечатку кала? Пока всех везде не пересадят на биометрию, QR-коды и мэджиклинки, придется хранить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #218

163. Сообщение от пох. (?), 23-Дек-22, 22:45	+1 +/–
> Я всё тот же аноним, я к тому что надо же переодически менять пароли. Зачем? Один из паролей у меня не меняется уже 20 лет. Другие системы или учетки просто не жили так долго. Но я тебе подскажу вариант от знакомых тетенек из не-ит конторы которых горе-админ заставил менять пароли раз в неделю, еще и с требованиями "неповторяемости": мойсуперсисюрныйпароль1234567890 Дальше тетеньки просто зачеркивали цифры по одной. Да-да, на стикере приклееном к монитору. Ну да, раз в три месяца вешали посвежее. Может даже меняли первую часть...хотя, конечно, вряд ли. Кстати, у нас весь офис так делает. Хотя по идее они никогда не должны были пересечься с теми тетками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

164. Сообщение от Аноним (164), 23-Дек-22, 22:47	–3 +/–
Не сильно быстрее чуть большей пачки 3090. Квантовой революции и даже кратного превосходства не случилось, меньше читайте советских газет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #205, #251

165. Сообщение от пох. (?), 23-Дек-22, 22:49	+1 +/–
Да ну, брось. Такой конторе одних бухгалтеров надо десяток (транзакций-то много на самом деле). Присматривать за ними, опять кто-то должен. Присматривать за присматривающим? Ну и да, я ж еще забыл девляпса (трех?) и его начальника (кто-то ж вот ту всю хрень настроил как-то). А веслателя и одного хватит. Кнутователей можно нанять и трех - чтоб если один выдохнется, а второй в отпуске, было кому подменить. Откуда тут деньги и время на безопасника (еще ж и слушать его бредни что чужие облачка небезопастны и давайте уберем и прекратим)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

166. Сообщение от Аноним (164), 23-Дек-22, 22:55	+5 +/–
А потом утечёт биометрия. Отпечаток пальца ты поменять не сможешь, а банкиры/владельцы магазинов не будут менять старые сканеры по финансовым причинам. На форумах будут гулять базы "где какой сканер используется и какая дешёвая техника эмуляции пальца/глаза работает", а виновным, крайним и одновременно жертвой сделают пользователя. Удачи выжить в этом биометрическом мире.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #168

167. Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 23:12	–1 +/–
В файлик, только не на диске, а в tmpfs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #171, #233

168. Сообщение от Аноним (168), 23-Дек-22, 23:33	+/–
блжад ты так говоришь как будто это я биометрию придумал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

169. Сообщение от пох. (?), 23-Дек-22, 23:40	–1 +/–
Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати? Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся наполовину напрямую с шитхаба. Лично мне это запускать-то на своей системе было бы стремно, не то что пользоваться для паролей. > и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным еще как позволяющий, если ты не озаботишься, конечно, собственным релеем и собственным discovery сервером (в версии для ведроида переключиться на них можно только после того как оно уже подключится к чужим и как минимум засветит тебя там). И еще чем-то уже забыл что там такое, кстати, не входящее в комплект. Причем в любом из этих чудес светящих с твоей машины куче посторонних лиц (сквозь все наты и фиревалы, кто бы мог подумать), может оказаться и случайная дыра, и технологическое отверстие благодаря миллиарду зависимостей и модулей. p2p такое вот p2p. Ни для чего кроме прона (причем идеологически выверенного - никакой лгбт, учти!) в принципе непригодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #212, #225, #241

170. Сообщение от пох. (?), 23-Дек-22, 23:43	+1 +/–
Не, ну а что он еще должен был тебе сказать - "срочно удалите нашу фигню, поменяйте все пароли и приходите на площадь, наш персонал сделает там массовую сепукку"? Он же не хочет банкротства, он хочет премию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

171. Сообщение от пох. (?), 23-Дек-22, 23:44	+1 +/–
я и говорю - непонятно даже, что тут хуже. ластпась может хоть mlock делает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167 Ответы: #201

172. Сообщение от Аноним (91), 24-Дек-22, 00:24	+/–
Если тебе надо объяснять необходимость бекапов, то у меня для тебя очень плохие новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

173. Сообщение от абв (?), 24-Дек-22, 01:09	+/–
Каким образом? Или метод получения шифра общеизвестен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #175

174. Сообщение от Ананимаз (?), 24-Дек-22, 01:27	+/–
А ежели я проксорю и проrcr,rclрю не жоГIой, а войной и миром. Долго будешь ломать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #256

175. Сообщение от Аноним (175), 24-Дек-22, 01:30	–1 +/–
Погодь, ща он 100 миллионов хешей брутанёт и всё расскажет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173 Ответы: #203

176. Сообщение от Аноним (134), 24-Дек-22, 01:55	+/–
> И что делать? Я нехочу чтобы мой KepassXC модифифировали. Не хочешь, не модифицируй. В чём проблема то?.... Пользуйся тем, который дают готовым. Если захочешь - возьми исходники и поправь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

177. Сообщение от vitalif (ok), 24-Дек-22, 02:17	+1 +/–
Каких импульсов? Там вроде аналогично емкостному экрану всё. Т.е. просто утечка тока в палец. А как стилус на емкостном экране прекрасно работает, например, сосиска. Кроме емкостного ещё есть ультразвуковой, но один хрен он просто поверхность сканирует. А не "наличие электрических импульсов в тканях".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #183

178. Сообщение от vitalif (ok), 24-Дек-22, 02:20	+1 +/–
Вероятно тем, что таким образом БАЗЫ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ не лежат в ОДНОМ месте))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

179. Сообщение от Аноним (164), 24-Дек-22, 02:42	+/–
Петров и Сидоров неправильно составили термодинамическое уравнение. Они обещали что все у них правильно. Не пользуйтесь физикой - она сломана. Действительно, при чем здесь физика?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

181. Сообщение от Аноним (164), 24-Дек-22, 02:51	+/–
Это зависит от многих факторов. Думаю все что сложнее xor для личного пользования без доступов на миллионы денег вполне примененимо. Что же касается продакшена, то там скорее работает принцип коллективной ответственности наоборот: "это не мы виноваты, это ращраьричики либы, которую даже в гугл используют, накосячили; все так делают и мы так делали".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

182. Сообщение от Аноним (182), 24-Дек-22, 03:16	+1 +/–
Вместо того, чтобы где-то хранить пароли придумал такой способ: пишу строку типа "пароль Сидорова Вани от сайта mail.ru", получаю md5-хеш этой строки, беру из него первые 16 символов, и чтобы удовлетворить требования усиленной безопасности в конце добавляю "Q!". Одни плюсы: 1) пароль длинный, 2) нет ни в одном словаре 3) нигде не хранится, кроме головы автора Но и один минус: под рукой всегда должно быть средство типа md5.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #187, #196

183. Сообщение от prokoudine (ok), 24-Дек-22, 03:25	+1 +/–
Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177 Ответы: #194, #198, #214, #272

184. Сообщение от GOrilla (?), 24-Дек-22, 03:46	+/–
Рисковать частями тела так себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

185. Сообщение от Аноним (185), 24-Дек-22, 03:49	+/–
> в Dropbox > в Dropbox > в Dropbox
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #240

186. Сообщение от Аноним (185), 24-Дек-22, 03:51	+3 +/–
Внезапно, доверили дяде пароли, а они стали общедоступны. Ну кто бы мог подумать! Ведь ни разу такого не было!
Ответить | Правка | Наверх | Cообщить модератору

187. Сообщение от Аноним (185), 24-Дек-22, 03:53	+/–
https://xkcd.ru/936/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182 Ответы: #195

188. Сообщение от GOrilla (?), 24-Дек-22, 03:58	+/–
Я думаю смарт-карты и ключи лучше. Потеряешь - сменишь. А отнимут - брутфорс, но меньший.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

189. Сообщение от Аноним (185), 24-Дек-22, 04:01	–1 +/–
У меня на mail.ru (ну да, ошибки молодости) более десяти лет был пароль из пяти строчных латинских символов.  О его энтропии я даже говорить боюсь. Если бы мейлру не вскобенился по поводу «безопасности», этот пароль был бы у меня и по сию пору. Надо сказать следующее: никто, вообще никто ни разу его не «ломал». Как и все мои остальные пароли, которые были чуть посложнее, но лишь чуть. Свою энтропию засуньте в одно место, там ей и место (Хокинг не даст соврать).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

191. Сообщение от ivan_erohin (?), 24-Дек-22, 06:57	+/–
наш человек !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

192. Сообщение от ivan_erohin (?), 24-Дек-22, 07:03	+/–
> И спереть могут из внутреннего кармана жилетки ? не верю. > (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе), вы позволяете себя фотграфировать кому попало ? если да то у меня для вас плохие новости. более реальный сценарий - посмотрят с камеры виденаблюдения в сверхвысоком разрешении. > и прое..ть можешь потерять можно вообще все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #197, #228

194. Сообщение от Первая Буква (?), 24-Дек-22, 10:09	+/–
Колись, сколько ампер у тебя в пальце?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

195. Сообщение от Первая Буква (?), 24-Дек-22, 10:29	+1 +/–
Хмммм... Батарея со скобой, говорите? "У отставного генерал-майора Булдеева разболелись зубы. Он полоскал рот водкой, коньяком, прикладывал к больному зубу табачную копоть, опий, скипидар, керосин, мазал щеку йодом, в ушах у него была вата, смоченная в спирту, но всё это или не помогало, или вызывало тошноту..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

196. Сообщение от Первая Буква (?), 24-Дек-22, 10:37	+1 +/–
Минус есть. Это алгоритм. Его утечка, или раскрытие одного из паролей, по которому можно восстановить алгоритм - и всё. Можно добавить хаоса о котором знаешь только ты, но он должен выглядеть естественно. А по картинке выше из журнала - для одного пароля "да", а для сотней? ))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182

197. Сообщение от пох. (?), 24-Дек-22, 11:13	+/–
> из внутреннего кармана жилетки ? не верю. Даже в бане не снимаешь? Молодец, хвалю! А поскольку ты постоянно вынужден лазить в этот карман - все окружающие в курсе что там что-то интересное. Ну и полицаи при задержании, тоже, будь уверен, найдут. >> и прое..ть можешь > потерять можно вообще все. домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #200

198. Сообщение от vitalif (ok), 24-Дек-22, 11:33	+1 +/–
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации. А в сосиске?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

199. Сообщение от Волк (?), 24-Дек-22, 11:51	+/–
Шо? Опять?
Ответить | Правка | Наверх | Cообщить модератору

200. Сообщение от ivan_erohin (?), 24-Дек-22, 13:14	+1 +/–
> Даже в бане не снимаешь? не хожу в баню. моюсь дома в ванне ежедневно. в советское время ходил раз в неделю, а сейчас зачем ? > А поскольку ты постоянно вынужден > лазить в этот карман - все окружающие в курсе что там > что-то интересное. в карманах у всех людей всегда есть что-то интересное. > Ну и полицаи при задержании, тоже, будь уверен, найдут. полицаям я солью вообще все, когда начнут пытать. но лучше не попадаться конечно. > домашний адрес и телефон прое...ть необратимо надо все же суметь постараться. есть такие люди - бомжи. у них получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #197

201. Сообщение от YetAnotherOnanym (ok), 24-Дек-22, 13:15	+2 +/–
Ещё тарьщсталин говорил - "оба хуже".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #215

202. Сообщение от Аноним (202), 24-Дек-22, 13:39	+/–
Норм, отставить панику. Все эти хэши за всю жизнь не сломать.
Ответить | Правка | Наверх | Cообщить модератору

203. Сообщение от абв (?), 24-Дек-22, 14:15	+/–
Да я не об этом. Ну вот шифруются данные на стороне клиента по известному алгоритму - ок, по этим шифрованным данным можно прогнать брут. Но почему подразумевается, что в базе эти шифрованные данные лежат как есть без дополнительной криптографии над ними? Т.е. данные которые слили шифрованы дважды (на клиенте и на сервере).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #209

204. Сообщение от Аноним (204), 24-Дек-22, 14:26	+/–
Насколько безопасно использовать pass? Там gnupg используется, как оно с надежностью хранить в облаке такие зашифрованные пароли.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #208

205. Сообщение от Бывалый смузихлёб (?), 24-Дек-22, 15:06	+2 +/–
Так тО буржуинские газеты обещали Хотя реальный прирост производительности вычислений 4090 против 3090 ti пока не раскрыт Похоже, что чаша весов снова у амуде - медленней, но хоть памяти больше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

206. Сообщение от Бывалый смузихлёб (?), 24-Дек-22, 15:13	+2 +/–
Пиши карандашом Судя по старым бумагам, они лишь пожелтеют, а графиту с глиной - и вовсе ничего не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

207. Сообщение от Аноним (207), 24-Дек-22, 15:19	+3 +/–
Это наверное для _ввода_ похуже, чем строчка на 38 символов из стишка или рассказа какого. Эту "A" ведь пересчитывать надо при вводе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

208. Сообщение от . (?), 24-Дек-22, 17:18	+/–
Это точно безопаснее любых готовеньких решений. Пришла идея только что, просто впихнуть это туда где никто не будет искать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204

209. Сообщение от Аноним (209), 24-Дек-22, 19:42	+/–
А с чего Вы решили, что бекаповской базе эти данные лежат еще раз зашифрованные? Кому это надо? Вам? Вот Вы и шифруйте!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #203 Ответы: #232

210. Сообщение от BrainFucker (ok), 24-Дек-22, 20:50	+/–
ССЗБ. У меня существование облачных менеджеров паролей всегда вызывало только удивление. А потом всем будут внедрять ищё более глубокие анальные зонты типа FIDO2/U2F под предлогом что пароли плохо и приводя в пример такие фейлы.
Ответить | Правка | Наверх | Cообщить модератору

211. Сообщение от InuYasha (??), 24-Дек-22, 21:33	+/–
> какой-то изъян, снижающий сложность подбора ключа ага, например, плохой мастер-пароль. Если надо таскать пароли, есть ну сааааааамый полевой, доступный всем, способ же - запароленный rar/7z-архив (zip sux). Но там уже главное - чтобы во временных файлах не застряло...
Ответить | Правка | Наверх | Cообщить модератору

212. Сообщение от InuYasha (??), 24-Дек-22, 21:35	+/–
Это тот, что раньше был BTSync?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #223

213. Сообщение от InuYasha (??), 24-Дек-22, 21:36	+/–
Облака угарного газа, практически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

214. Сообщение от Аноним (214), 24-Дек-22, 21:36	+/–
Это ток зарядки ёмкости. Достаточно добиться электрического контакта между обрубком пальца и телом преступника и такой же ток будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

215. Сообщение от InuYasha (??), 24-Дек-22, 21:41	+/–
Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё равно нужно. Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #201 Ответы: #246

216. Сообщение от InuYasha (??), 24-Дек-22, 21:43	+/–
пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #247

217. Сообщение от InuYasha (??), 24-Дек-22, 21:48	+/–
Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не подсмотрит ) Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона или троллируешь незрелые мозги? Вот, запоминать пароли к паре тыщ серверов я вообще не согласен. Хотя, если научите запоминать всё с первого раза - я за.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #220

218. Сообщение от InuYasha (??), 24-Дек-22, 21:49	+1 +/–
так говоришь, будто с нетерпением ждёшь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #221, #231

219. Сообщение от Аноним (-), 24-Дек-22, 22:04	+1 +/–
> рассматривается как нереалистичный на современном оборудовании .... > Дополнение: Начали появляться сведения о компрометации учётных записей Походу достаточно сказать что нечто невозможно и кто-то назло это заимплементит. Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом или термоядерным синтезом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #248

220. Сообщение от пох. (?), 24-Дек-22, 22:10	+/–
> Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не > подсмотрит ) а я как буду в него смотреть? При этом троянцу оттуда, изнутря - отлично видно. > Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона нет, я реально пытаюсь намекнуть что если пересчитать пароли которые у тебя НЕ получится восстановить с помощью sms'ки (ну или хотя бы доброго старого немодного email) и которые по этой причине стремно потерять - их останется не так уж и много. Если выкинуть еще и те которые бесполезны посторонним или гроша ломанного не стоят и поэтому вполне могут быть q123456&*()_ - остальные в принципе уже можно запомнить. > Вот, запоминать пароли к паре тыщ серверов я вообще не согласен. сочувствую. У меня это один пароль. К AD. (истиные любители приключений конечно могут настроить свой ана-внетный керберос или вообще nis+ но я предпочитаю простые решения) А то уже сама процедура поиска пароля к серверу #1342 несколько утомительна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #217 Ответы: #222

221. Сообщение от пох. (?), 24-Дек-22, 22:11	+/–
> так говоришь, будто с нетерпением ждёшь... ммм... ожерелья из пальцев и глаз неудачников... стильно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

222. Сообщение от InuYasha (??), 24-Дек-22, 22:20	+/–
извините, я IPMI к АД подключать точно не согласен )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #220 Ответы: #224

223. Сообщение от пох. (?), 24-Дек-22, 22:27	+/–
нет, они врали что у них aн@логo3нетные протоколы собственного изобретения. Вот например требующие аж ТРЕХ разных серверов для пробивания nat. При этом два из трех у них ана...этосамое тоже, а третий stun и в комплект поставки не входит вообще и что там используется - ясно что дело темное (возможно стандартный rfc 3489, но это неточно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #212

224. Сообщение от пох. (?), 24-Дек-22, 22:31	+/–
Если тебе понадобился ipmi, в общем-то уже неважно какой у того сервера был пароль. Переустановится с новым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #222

225. Сообщение от oficsu (ok), 24-Дек-22, 23:08	+2 +/–
> Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати? Делаю apt install — ставится, pacman -S — тоже ставится. Даже из F-Droid ставится, так что переносимость абсолютная, 100% ОС поддержано. И не только ОС — даже на винде запускалось. С надёжностью последнее время вопросов никаких не было — если не считать проблемой (настраиваемую) 10-секндную задержку синхронизации. Безопасность? Ну, с учётом протокола, мне сложно придумать, как там какую-то уязвимость можно проэксплуатировать — если даже что-то и есть, то вы... сами себе собрались подкидывать правильно сформированный вредоносный файл? Есть опасения — можно изолировать > Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где > есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся > наполовину напрямую с шитхаба. Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отлично > Лично мне это запускать-то на своей системе было бы стремно, не то > что пользоваться для паролей. У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет. В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично хранить будет относительно безопасно. А уж синхронизировать только между вашими девайсами — просто приятный бонус; да, более приятный, чем проприетарный закрытый неконтролируемый сервис на чужом хосте >> и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным > еще как позволяющий Технически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнил
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #229

226. Сообщение от oficsu (ok), 24-Дек-22, 23:15	+/–
Он способен использовать тот же формат базы данных, что и оригинальный KeePass, так что к формату хранения вопросов уже, полагаю, никаких? Увы, не на Расте написан, так что эксперты опеннета однозначно заявят, что сам клиент состоит из сишных дыреней в большей степени, чем из фич, так что тут хорошего мне нечего сказать. Впрочем, если у вас есть деньги на оплату независимого аудита — вы принесёте пользу всему сообществу, так что удерживать вас не стану от этого и даже готов компенсировать вам доллар-другой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

227. Сообщение от oficsu (ok), 24-Дек-22, 23:17	+/–
> В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для > тебя хреновая новость... Точно ли стоит оценивать новости, относящиеся к софту, название которого вы даже скопировать не можете верно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

228. Сообщение от oficsu (ok), 24-Дек-22, 23:22	+/–
> потерять можно вообще все. Потерять вообще все бэкапы могу, пожалуй, лишь потеряв память. Но тогда и доступ к паролям будет наименьшей из проблем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192

229. Сообщение от пох. (?), 24-Дек-22, 23:33	+/–
> Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отлично пааанятна... > Есть опасения — можно изолировать угу, адову хрень торчащую в интернет назло всем натам и фильтрам, изолировать, угу. > Технически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в > л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнил хреново ты запомнил. У каждого устройства там уникальный idшник (даже не uuid а что-то опять свое такое что хватит на все звезды на небе и все песчинки в океане). А что ты там еще светишь и нет ли в нем бэкдоров - знает только автор воооон того стопиццотого пакета двестиписятой вложенной зависимости вчера что-то куда-то закомитивший на шитхаб. Безусловно твой "пакетный менеджер" тебя заsshitит от этого. > У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет. > В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично > хранить будет относительно безопасно. в принципе, ты уже начинаешь потихоньку подозревать, что да,сцынкфигнь - совершенно тут лишняя, и только добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости. Безумству пользующихся поем мы песнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225 Ответы: #234

230. Сообщение от Николай (??), 24-Дек-22, 23:37	–2 +/–
Очередное доказательство, того, что то, что имеет закрытый код, является более интересным, злоумышленникам любителям взламывать. Так же еще одно доказательство, что проги, приложения не важно ос, имеющие закрытый код, не такие у ж и крутые и продуманные по безопасности! Интересно и то, что за время существования lastpass, который не неоднократно взламывали, но разрабы, так и не учатся на ошибках, и не улучшают защиту и шифрование, наверное lastpass, уже не спасти..
Ответить | Правка | Наверх | Cообщить модератору

231. Сообщение от prokoudine (ok), 25-Дек-22, 00:02	+/–
> так говоришь, будто с нетерпением ждёшь... Чтобы что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218

232. Сообщение от абв (?), 25-Дек-22, 00:51	+/–
Не понял, где я что-то решил? Я спрашиваю - каким образом вы (вернее, mumu), собирается скоро узнать количество пользователей, которые используют "пароль двенадцать единичек на базу lastpass"? А он либо а) решил, что данные не зашифрованы; либо б) у него есть алгоритм получения шифра для данных, которые лежат в бд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #209 Ответы: #254

233. Сообщение от 123321 (?), 25-Дек-22, 01:11	+/–
ну можно и на диск. только по окончании работы файлик затирать dd или srm. Но ram-диск однозначно рулит в данной ситуации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

234. Сообщение от oficsu (ok), 25-Дек-22, 01:18	+1 +/–
> хреново ты запомнил. > У каждого устройства там уникальный idшник "Он меня посчитал!" > добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости Как хорошо, что есть кексперты опеннета, которые всегда меня поправят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #229 Ответы: #244

235. Сообщение от Анон. (?), 25-Дек-22, 05:24	+/–
Эксперты поясните почему нельзя юзать такие символы в паролях .̨̡̢̢̧̧̨̨̧̢̧̛͙̟̮̩̥̻̬̱̝͔̝̼̗͖͎̪̲͓͔̝̤͖̫̳̟̪͎̳̭̞̝̣̗̝̱̱̮̠̙̟̙͖̤͔͇̩͍͙̰̭̝̫̜̺̝͓̻̱̤̲͉͙̦͕̰̣̬̣̺̖̘̘̮͈̭̫͍̻̰͍̼̤̙̩͖͇̒̌͆̔̄̔̓̏͛̉͛̈́̑̑̎̈́̑͂̾͑͆̑͂͂́̋͂̄̂̒̃̆̓̐̉̀̾̽͒̎̓͐͆͑̊̉͋͋̀̈́̓̎͛̌͌̂̽̔͆̍̊̓̽̂̆̀̿̀̋̍̃̔̉̇̎̋̈́͆̈́̚͘̚̕̚͘̕͘̚̚͘̚͝͝͠͠͝͝͝ͅͅͅ ?
Ответить | Правка | Наверх | Cообщить модератору

237. Сообщение от Аноним (237), 25-Дек-22, 11:07	+/–
Нужно заставить фирму каждому пользователю выплатить по $10 000. Нужен такой закон.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #239

238. Сообщение от Аноним (22), 25-Дек-22, 12:14	+/–
face id подделывается очень постро, лепкой из какого-нибудь воска или силикона, обычный лидар на улице в телефоне или машине Tesla сделает 3D скан твоей мордочки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

239. Сообщение от Аноним (22), 25-Дек-22, 12:16	+1 +/–
А если пользователь придумал короткий или простой пароль, то он платит $10 000 фирме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #237 Ответы: #249

240. Сообщение от Аноним (88), 25-Дек-22, 13:32	+/–
А чем плох? А чем плох? А чем плох?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185 Ответы: #258

241. Сообщение от Аноним (241), 25-Дек-22, 17:20	+/–
> (т.е. работает только там где есть игого распоследней версии) А зачем для работы скомпилированной программы ставить компилятор? Тем более, последней версии. И зачем скачивать зависимости откуда либо вообще для работы уже скомпилированной программы? Или ты хочешь собрать её сам - так тогда собирай и не ори про блоатварь, а вырезай лишние куски и валидируй зависимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

244. Сообщение от пох. (?), 25-Дек-22, 18:11	+/–
>> хреново ты запомнил. >> У каждого устройства там уникальный idшник > "Он меня посчитал!" Ты т-пой или да? Ты зачем цитату-то обрезал? Речь о том что забанить тебя - вовсе не по айпишнику, можно с легкостью необыкновенной. (Кстати, похоже сервера используемые на самом деле - разительно отличаются от упомянутых в документации. И...тадам - централизованные и принадлежат одним и тем же людям. Может раньше и было иначе, но им, видимо, надоело как раз что функционирование софтины зависит от неведомых кривых рук.) И ты - поскольку т-пой - ничего вообще с этим сделать не сможешь, потому что - т -пой и не понимаешь вообще как работает эта штука. И если б я тебе носом не ткнул - даже и не знал бы ни про какие id. Остальное тебе разжевывать смысла нет, не в коня корм. apt install. Откуда вы такие на опеннете завелись-то? Раньше хоть больные но грамотные приходили. Теперь - просто парад идиотии...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #234 Ответы: #252, #269

246. Сообщение от пох. (?), 25-Дек-22, 18:27	+1 +/–
> Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё > равно нужно. ластпасть сделает это с _единственным_ паролем. Остальные в млокнутой памяти и может даже не расшифровываемой зазря. (Хотя, конечно, кто бы верил... впрочем, какие-то клоны кипасса хвастались чем-то подобным) > Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо. но и нехорошо совсем. В смысле - не так далеко ушло от просто использования готового чужого решения, как казалось бы. Хороших и надежных, видимо, нет. Продолжим клеить листики к монитору.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215

247. Сообщение от пох. (?), 25-Дек-22, 18:30	+/–
> пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе! вооо! Надежна! Не этот вам гугль, а распределенная система! P.S. но, кстати, учитывая последние веяния, пользоваться станет настолько неудобно, что волей-неволей переберутся в гуглотаблицы. Либо на бумажку. Ксерить опять же удобно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

248. Сообщение от пох. (?), 25-Дек-22, 18:34	+/–
>> рассматривается как нереалистичный на современном оборудовании >> Дополнение: Начали появляться сведения о компрометации учётных записей > Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом > или термоядерным синтезом. НЕ НАДО! А то фокус закончится "несмотря на предположения о полной безопасТности эксперимента, и мнения уважаемых экспертов что образовавшаяся вопреки этим предположениям миниатюрная черная дыра рассосется в ближайшее время самостоят...аааа...."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219

249. Сообщение от пользователь (?), 25-Дек-22, 18:36	+/–
> А если пользователь придумал короткий или простой пароль, то он платит $10 > 000 фирме погоди, но я ведь уже за софтину им заплатил чтобы она за меня все придумывала безопасТно?! Причем они меня заставили каждый раз вводить это идиотское aaaaaaaaaaaA - чудовищно долго и неудобно! Говорили что это надежно и безопастно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #239

250. Сообщение от пох. (?), 25-Дек-22, 18:49	+/–
> Ну а если у меня нет денег Тогда возвращаемся к исходному вопросу? lastpass вероятно не НАСТОЛЬКО плох. > со своим впн но я надеюсь что мой дропбокс аккаунт не > взламают просто сопрут, ага. > а если взламают то не смогут взламать базу? Конечно селфхост могут повредить или удалить. Тоже интересное приключение. > предпочтителен, но не всегда оправдан. Нет. Твой компьютер в стойке и сети чужих дядей. Или не совсем даже и твой. А еще он может сломаться или залиться водой при пожаре. Опять же можно предположить что лист в лесу не найдут именно твой, особенно если ты неуловимый джо, а не какой-нибудь разработчик palemoon, например, которым специально интересуются. Но с тем же если не большим успехом можно предположить что твой ластьпась не найдут или не взломают в обозримое время даже если и нашли. Просто не используй 12 символов A как пароль - набирать неудобно. А когда и если - то пусть паролем от порнхаба подавятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

251. Сообщение от Аноним (-), 25-Дек-22, 22:22	–1 +/–
> даже кратного превосходства не случилось, Глава роскосмоса тоже так думал...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

252. Сообщение от AHOHNM (?), 25-Дек-22, 23:30	+/–
А всего то нужно использовать (**простой советский**) способ строить сеть syncthing самому, не надеясь на дядю и его сервера. Хотя, для андроида через LTE сойдёт и дядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #244 Ответы: #261

253. Сообщение от X86 (ok), 26-Дек-22, 09:32	+1 +/–
С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит электричество, в том числе импульсы к новому владельцу и в землю)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #273

254. Сообщение от товарищ майор (?), 26-Дек-22, 14:15	+/–
Просто пройти брутом по базе с таблицей наиболее популярных паролей. Даже если данные дополнительно шифровались на стороне сервера, то пароль должен лежать там же, в бэкапах. Ну может быть в бэкапе не БД, а самого приложения, но он там должен быть! Тупо для того, чтобы не вводить этот пароль ручками при каждой перезагрузке app-сервера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #232 Ответы: #260

255. Сообщение от товарищ майор (?), 26-Дек-22, 14:44	+/–
Это зависит от модели считывателя и реализованных функций на стороне ПО. Видел одну СКУД на картах Mifare (которая считалась тогда безопасной), которая из всего стандарта взяла только идентификацию по номеру карты. В итоге я пару дней ходил по территории завода с копией карты генерального директора (допуск у меня и так был, просто в логах были чужие ФИО). Потом надоело, сдал безопасникам. Так эти удоды сказали, что я слишком умный и ни кто эту уязвимость применять не будет (разрабам естественно ни слова не написали), а там химии всякой интересной на территории... В общем, к чему я это? К тому, что наличие возможности оборудования проверять, живой ли палец\глаз или это всего-лишь силиконовый болван, вовсе не означает того, что конкретный банкомат\СКУД реализует его в полной мере. И даже если железо+софт позволяют, то из-за высокой доли ошибок, могут в админке отключить (как это в последних pixel-ях делают).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

256. Сообщение от Аноним (-), 26-Дек-22, 14:47	+/–
Компьютеры нынче быстрые, ксорка войной и миром еще раз для отмены этого действа долго не займет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #174

257. Сообщение от товарищ майор (?), 26-Дек-22, 14:56	+1 +/–
Дропбокс, как и любое удалённое хранение файла keepass-а, плох тем, что позволяет собрать н-ное количество версий файла keepass, зашифрованных одним и тем же ключом. Как следствие, увеличивается шанс подобрать пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

258. Сообщение от товарищ майор (?), 26-Дек-22, 15:00	+/–
Тем, что при утечке пароля или бэкапов dropbox-а, возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии. Более того, если кражу флешки из своего кармана ты заметишь, то кражу аккаунта dropbox можно и прозевать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #240 Ответы: #259

259. Сообщение от Аноним (68), 26-Дек-22, 21:44	+1 +/–
>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии. Это вряд ли. Plain text для "внешнего" AES - это не сами данные, а данные,  уже зашифрованные меняющимся при каждом сохранении случайным ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить файл базы без изменений, то новый файл не будет иметь с предыдущим ничего общего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #258 Ответы: #276

260. Сообщение от абв (?), 26-Дек-22, 22:48	+/–
Ничто не мешает разработчикам дополнительно сделать таблицу "пароли_для_бд" и там хранить всякое дерьмо (как раз на случай, если база утечёт), а реально шифровать в несколько прогонов, используя пароль по типу "ид_записи:ид_пользователя:время_регистрации_пользователя:время_изменения_записи:и_т_д" + соль, где соль - запись из таблицы "пароли_для_бд" (придумать можно всякого). И если утекла кодовая база (т.е. как я сказал ранее - метод получения шифра общеизвестен), то этот вопрос снимается - именно его я и задавал. Если же у вас чёрный ящик, то можно бесконечно строить догадки и гонять брут впустую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #254

261. Сообщение от пох. (?), 26-Дек-22, 23:42	+/–
дядины серверы - это лишь одна из упомянутых мной проблем, и да, сколько ты уже таких простых советских сетей построил? Причем мне было бы достаточно любой из первых трех, чтобы ничего подобного никогда рядом с критичными данными не ставить в принципе. И уж тем более - синхронизировать (зачем?!) крошечный файлик с паролями этим монстром точно не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #252

262. Сообщение от Аноним (262), 27-Дек-22, 00:00	+/–
Это опасно: если синкфинг затупит, можно остаться без паролей. Нужна диверсификация по технологиям, т. е. обязательно хранить пару бекапов на другой технологии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #265

263. Сообщение от Аноним (262), 27-Дек-22, 00:03	+/–
Если сформулировать в общем плане: используйте разные пароли для разных сервисов и храните их надёжно, что бы их не потерять. Как эту задачу решить? Есть разные методы, некоторые очень экзотические. Но самое лучшее для обывателя -- менеджер паролей. А от себя добавлю: лучше не какой-то мутный сервис от дяди, а keepass.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

264. Сообщение от burjui (ok), 27-Дек-22, 02:57	+/–
Например, в мозге можно хранить информацию о местоположении бумажки со сложными паролями. Но лучше, конечно, пароль от зашифрованной базы KeePassXC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

265. Сообщение от Аноним (265), 27-Дек-22, 23:27	+/–
В общем согласен с вами. Хотя вероятность мала. Syncthing позволяет версионирование (или как там его). И прочие плюшки. Самое простое, скриптом по крону, chattr -i filename.verN на все предыдущие версии файлов. Но тогда syncthing не сможет ими управлять. И не только по технологиям, но и по носителям, и по разным домам на случай пожара :( А еще https://www.opennet.ru/opennews/art.shtml?num=55773 ну так, на всякий случай. А то забудешь мастер пароль, с утра в понедельник. Вот хохма то будет ;) Спс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #262 Ответы: #266

266. Сообщение от Аноним (262), 28-Дек-22, 01:11	+/–
> В общем согласен с вами. Хотя вероятность мала. В принципе да, я тоже согласен. Просто у меня лично уже syncthing один раз испортил файл. Так-то ничего страшного, но потерять пароли из-за такого не хочется. > А еще https://www.opennet.ru/opennews/art.shtml?num=55773 > ну так, на всякий случай. А то забудешь мастер пароль, с утра > в понедельник. Вот хохма то будет ;) Ну та штука -- это вообще круто :) Правда, очень далеко от конечного пользователя, никто не будет таким заморачиваться. Если постоянно вводишь пароль от базы паролей, то забыть его сложно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #265 Ответы: #267

267. Сообщение от Аноним (267), 28-Дек-22, 10:04	+/–
Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже желаю! А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем сможет ;) У меня, к счастью, нет такой серьёзности в жизни, что бы все это так серьёзно настраивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #266 Ответы: #268

268. Сообщение от Аноним (262), 28-Дек-22, 13:30	+/–
> Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже > желаю! > А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем > сможет ;) > У меня, к счастью, нет такой серьёзности в жизни, что бы все > это так серьёзно настраивать. И вам добра :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #267

269. Сообщение от oficsu (ok), 29-Дек-22, 16:50	+/–
> вовсе не по айпишнику Для начала нужно вас идентифицировать, чтобы забанить. И я указал, что уже здесь есть трудности — релешки, STUN/TURN сервера не особо-то знают, кто их клиент, как и содержимое передаваемых данных — данные вообще обычно не через них передаются > разительно отличаются от упомянутых в документации Хорошо, и что же дальше? С точки зрения ИБ, мы всегда должны относиться к серверам, подконтрольным третьей стороне, как к потенциальной угрозе. Поэтому угрозы принято минимизировать с клиентской стороны, минимизируя поверхность атаки. Так вот, вы готовы определить эту самую поверхность атаки, чтобы спор был хоть каплю предметным?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #244 Ответы: #271

270. Сообщение от viner (?), 30-Дек-22, 09:57	+/–
Одному мне bright past показалось.
Ответить | Правка | Наверх | Cообщить модератору

271. Сообщение от пох. (?), 30-Дек-22, 17:15	+/–
> Для начала нужно вас идентифицировать, чтобы забанить. Д-л. Повторяю для феноменально т-пых - ты уже идентифицирован после первого же запуска. Уникальным айдишником. Сюрприз? В привязке к ip если кому-то захочется последить чтобы ты не поменял то о чем узнал от меня-  потому что ты его тоже засветил уже на трех чужих серверах, два из которых знают и id, про третий лень выяснять. > Хорошо, и что же дальше? Дальше берем игогошную трэшварь двумя пальчиками в перчатке от зимзащиты и - в мусоропровод. Потому что с момента ее запуска уже твое корыто "подконтрольно" соврешенно феерическому числу "сторон". Количество персоналий, способных подбросить тебе троянца намеренно или просто случайно оставить дырку размером с тоннель метро - не поддается даже приблизительной оценке. А учитывая что она специально заточена обходить примитивные файрволы - это точно не для слабых мозгами. Умные мальчики очень теоретически могли бы попробовать применять в мирных целях, заменив всю инфраструктуру своей, но поскольку пункт про неимоверное количество чужой блоатвари никуда не девается, умные поищут и для этого случая что-то попроще, понадежней и без ненужных им возможностей. А эту штуку оставят любителям жить в доме со стеклянными стенами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #269 Ответы: #274

272. Сообщение от Аноним (272), 30-Дек-22, 19:20	+/–
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации. Этот ток возникает от перезаряда емкостей. И самому по себе сенсору похрен что там на самом деле. Хоть железка, если за ней достаточная емкость. Другое дело что в кнопках с сканером пальца еще подобие камеры есть, сканирующее рисунок на пальце. Если задаться такой целью и то и другое вполне реально обмануть. А что до фэйсid во первых не понятно насколько это сложно подделать. Во вторых иногда может быть проще отдать карту и даже пин сказать если там не сильно много - и свалить восвояси пока цел. А с фэйсайди придется заложником быть, что сильно менее  круто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

273. Сообщение от Аноним (-), 30-Дек-22, 19:48	+/–
> С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит > электричество, в том числе импульсы к новому владельцу и в землю) А вон кстати прикольные примеры как нейросетки можно обламывать. Вон чуваки свитер-невидимку сделали, который нейросети в антикражной системе дурачит. С этим свитером система вообще это за человека не считает - что хотите то и делайте, железному церберу уже пофиг. А вот пальто-невидимка. Вроде ничерта особого, но охранка с нейросеткой вот там подписывает что человек, а вот это - считает элементом пейзажа. В общем кто там шапку-невидимку хотел? Првда, оказались свитер и пальто, но мало ли, может и шапка прокатит если постараться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #253

274. Сообщение от oficsu (ok), 02-Янв-23, 03:07	+/–
Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личность хотя бы ввиду того, что ни по отдельности, ни даже вместе, они не позволяют определить, кем является пользователь. Ведь под одним ip может скрываться больше одного пользователя одновременно, и будет на практике. Промолчу и про то, что они оба легко меняются, делая невозможной слежку за пользователем, если у того терминальная стадии паранойи... Просто обращу внимание, что фразы по типу "неимоверное количество чужой блоатвари" на вопрос о поверхности атаки... мгновенно выдают некомпетентность с головой. Да, некомпетентность того же уровня, что и у плоскоземельщиков или каких-нибудь сжигателей 5g вышек > Умные мальчики очень теоретически могли бы попробовать > применять в мирных целях, заменив всю инфраструктуру своей, > но поскольку пункт про неимоверное количество чужой блоатвари > никуда не девается, умные поищут и для этого случая что-то > попроще, понадежней и без ненужных им возможностей Также замечу, что комментатору не хватило интеллекта погуглить уже готовые (и не привязанные к тому же стеку) FOSS реализации STUN/TURN, упомянутые мной, но он при этом считает себя достаточно умным, чтобы изобрести их альтернативу самостоятельно. Очень забавный экземпляр Ах да, совет на будущее... > А учитывая что она специально заточена обходить примитивные > файрволы - это точно не для слабых мозгами Не стоит NAT всерьёз называть файрволом, втаптывая себя в грязь позора окончательно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #271 Ответы: #275

275. Сообщение от пох. (?), 02-Янв-23, 14:04	+/–
> Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личность твоя лишность никого не интересует. Интересует бирка. Она к тебе приклеена. Задержание под предлогом "установления личности" тоже не для установления, а чтоб швабру тебе засунуть. Поменять ты ничего не сможешь, потому что не умеешь. > мгновенно выдают некомпетентность с головой. да, твою. Больше с дураком я не спорю, иди одноклассницам рассказывай про файрволы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #274 Ответы: #277

276. Сообщение от товарищ майор (?), 09-Янв-23, 11:52	+/–
>>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии. > Это вряд ли. Plain text для "внешнего" AES - это не сами > данные, а данные,  уже зашифрованные меняющимся при каждом сохранении случайным > ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить > файл базы без изменений, то новый файл не будет иметь с > предыдущим ничего общего. Кроме мастер-ключа... В этом и суть атаки. С каждой новой копией файла Вы сокращаете время атаки брутфорсом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #259

277. Сообщение от oficsu (ok), 11-Янв-23, 22:55	+/–
Надо же, сколько беспокойства, думал, наш тред ещё в прошлом году завершён Нет никакой бирки в обсуждаемом примере. Ибо с таким же успехом любой самостоятельно выбранный публичный ключ можно считать приклеенной биркой. И он никак не помогает и не мешает использовать швабру, во благо или во вред, протв вас или против кого-то ещё
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #275

278. Сообщение от Аноним (278), 13-Янв-23, 19:41	+/–
"ПРЕДУПРЕЖДЕНИЕ: В сообщении используется неприемлемая лексика." И где же? Опять гуглоязъ. рим перешёл черту и был сломан! Я помню как я в детстве обос_рался, и не раз. И каждый кто не помнит, на его словах, лжец. Всё помнит, просто делает вид... А память это то, что есть, внезависимости от хотения. Так как и есть всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема