Хранилище паролей
Зачем и почему:
Некоторое время я делал пароли так: у меня была пара шаблонов (10-12 знаков), и я только их и использовал, прибавляя к концу или к начала пару знаков из URL.
После недавних огромных утечек паролей убедился что это не работает, обошлось без крупных неприятностей, но пришлось поменять все пароли на уникальные, которые генерирует огнелис.
И где их хранить?
Софтверные менеджеры паролей работают по одному принципу — мастер-пароль, под которым открываются все остальные пароли.
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.
Хранить пароли в каком-то «облаке» это еще хуже. Типо, отдать ключ от сейфа соседу, он его положит под подушку, так надёжнее.
Другой подход — хранение паролей на отдельном устройстве. Но выбор таких устройств удручающе мизерный, и те что есть — неудобные.
Мой подход:
пароли хранить без всякого шифрования на внешнем устройстве, устройство подключается к компьютеру/телефону ТОЛЬКО через USB (без всяких Wifi, голозубьев и пр) по необходимости.
Шифровать пароли на устройстве не вижу смысла. Если вы держите ключи от сейфа у себя дома в надёжном месте (например, в шифонере на полке с носками), нет смысла класть их в другой сейф, а ключ от этого сейфа в другой сейф и так до самого конца.
Просто держите этот ключ у себя и не теряйте и никому не давайте. Потеряли — ваша проблема.
Также и с паролями.
Только не заводите параноидальные дискуссии про безопасность и терморектальный криптоанализ.
Меня этот уровень «безопасности» устраивает, кто может пусть сделает лучше, только приветствую.
Итак, предлагается простое устройство на ардуинке. Устройство включается при подключении к USB, внутри батареи нету.
Устройство имеет дисплей с перечнем названий(имя сайта и пр) — это меню первого уровня. Навигация по этому меню по крутилке (энкодеру).
Как работает: открыли на PC страницу с Login, поставили курсор на поле с именем пользователя или паролем.
Поключили устройство кабелем к USB, крутилкой выбрали имя для этой страницы, кликнули на крутилку — открывается меню второго уровня с полями URL, имя пользователя, пароль.
Так же навигация по крутилке. Выбрали поле (например, имя пользователя), кликнули на крутилку — текст из этого поля вставляется в то место, где стоит ваш курсор на компьютере. Устройство при этом притворяется клавиатурой.
Кстати так же работает и с андроид-телефоном.
Пароли загружаются/обновляются с простого csv файла на micro-SD. Если карта не вставлена, устройство читает пароли хранящиеся в памяти. Если при включении обнаружена карта — устройство считывает с нее файл с паролями и кладет его в постоянную память как обновление.
Кнопка снизу просто перезагружает Teensy, на случай если вставили карту «на ходу» и хотите обновить данные не перетыкая USB кабель. Ну или если зависнет (пока не было).
Если нужно редактировать/добавлять-убавлять пароли — открываете карту SD у себя на компьютере, в любом редакторе редактируете хранящийся на ней файл. Само устройство функций редактирования не имеет, это буквально — хранилище. Предельно простое.
Карту храните там же, в шифонере. Ну или в какой-нибудь книжке в шкафу если у вас есть книги.
Я храню две. В шифонере и на книжной полке;)
Не буду спорить про безопасность, пользуюсь уже пол-года, меня все устраивает, если бы такие имелись в продаже — с удовольствием бы купил, нет — так сделал сам.
Из чего состоит:
1. модуль дисплея 320x240, с энкодером, драйвер ST7789, SPI (вверху)
2. микропроцессор плата Teensy 3.1 (можно и новее, какая была в закромах) — внизу слева
3. плата с микро-SD от Adafruit, справа
Всё смонтировано на макетке, провода снизу (печатной платы не делал), дисплей сверху в виде бутерброда:
Был заказан online простенький корпус 3D печать, крышку вырезал сам своим старых лазерным каттером:
В сборе:
видео работы:
youtu.be/3J7BR-akjx8
соединение проводов:
плата дисплея -> Teensy 3.1
SCL => D13
SDA => D11
RES => D8
DC => D9
CS => D10
BLK => 3.3V
A => A9(D23)
B => A6(D20)
PUSH=> A3(D17)
K0 => A7(D21)
SD board — Teensy 3.1
CLK => D13
SO => D12
SI => D11
CS => D6
файл данных на SD для загрузки паролей:
имя файла data.txt, просто набор строк, каждая строка содержит 3 поля разделенных запятой:
account name, user name, password. После password нужна запятая, дальше может быть четвертое поле comment (а может и не быть)
Пример содержания файла:
AMAZON,ADamS,3rHRBjyl
ALIEXPRES,allen,mExTOejD
CRAIGSLIST,BLAKE,M3J4eVCC
EBAY,CLaRk,BOp3XanC
FACEBOOK,ForD,df3leICL
INSTAGRAM,jaMes,16q4Cp5A
MARIANOS,JOnEs,oJ5uhsC7
REDDIT,KiNG,tnScCe1o
SPARKFUN,MaRTiN,jImUNqfe
XFINITY,MiLLEr,3pfETY5r
код:
парсинг csv файла — из сообщения пользователя fat16lib с форума arduino.cc:
многоуровневое меню для ардуино — библиотека GEM Александра Спиридонова(Spirik) с небольшими изменениями.
Подробно всё на моей странице проектов сайта Hackaday.io
PS заглавная картинка по мотивам чудесного мультфильма «Сундук»
И поцелуйчик означает девиз этого проекта —
K.I.S.S. — keep it simple, stupid!
Некоторое время я делал пароли так: у меня была пара шаблонов (10-12 знаков), и я только их и использовал, прибавляя к концу или к начала пару знаков из URL.
После недавних огромных утечек паролей убедился что это не работает, обошлось без крупных неприятностей, но пришлось поменять все пароли на уникальные, которые генерирует огнелис.
И где их хранить?
Софтверные менеджеры паролей работают по одному принципу — мастер-пароль, под которым открываются все остальные пароли.
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.
Хранить пароли в каком-то «облаке» это еще хуже. Типо, отдать ключ от сейфа соседу, он его положит под подушку, так надёжнее.
Другой подход — хранение паролей на отдельном устройстве. Но выбор таких устройств удручающе мизерный, и те что есть — неудобные.
Мой подход:
пароли хранить без всякого шифрования на внешнем устройстве, устройство подключается к компьютеру/телефону ТОЛЬКО через USB (без всяких Wifi, голозубьев и пр) по необходимости.
Шифровать пароли на устройстве не вижу смысла. Если вы держите ключи от сейфа у себя дома в надёжном месте (например, в шифонере на полке с носками), нет смысла класть их в другой сейф, а ключ от этого сейфа в другой сейф и так до самого конца.
Просто держите этот ключ у себя и не теряйте и никому не давайте. Потеряли — ваша проблема.
Также и с паролями.
Только не заводите параноидальные дискуссии про безопасность и терморектальный криптоанализ.
Меня этот уровень «безопасности» устраивает, кто может пусть сделает лучше, только приветствую.
Итак, предлагается простое устройство на ардуинке. Устройство включается при подключении к USB, внутри батареи нету.
Устройство имеет дисплей с перечнем названий(имя сайта и пр) — это меню первого уровня. Навигация по этому меню по крутилке (энкодеру).
Как работает: открыли на PC страницу с Login, поставили курсор на поле с именем пользователя или паролем.
Поключили устройство кабелем к USB, крутилкой выбрали имя для этой страницы, кликнули на крутилку — открывается меню второго уровня с полями URL, имя пользователя, пароль.
Так же навигация по крутилке. Выбрали поле (например, имя пользователя), кликнули на крутилку — текст из этого поля вставляется в то место, где стоит ваш курсор на компьютере. Устройство при этом притворяется клавиатурой.
Кстати так же работает и с андроид-телефоном.
Пароли загружаются/обновляются с простого csv файла на micro-SD. Если карта не вставлена, устройство читает пароли хранящиеся в памяти. Если при включении обнаружена карта — устройство считывает с нее файл с паролями и кладет его в постоянную память как обновление.
Кнопка снизу просто перезагружает Teensy, на случай если вставили карту «на ходу» и хотите обновить данные не перетыкая USB кабель. Ну или если зависнет (пока не было).
Если нужно редактировать/добавлять-убавлять пароли — открываете карту SD у себя на компьютере, в любом редакторе редактируете хранящийся на ней файл. Само устройство функций редактирования не имеет, это буквально — хранилище. Предельно простое.
Карту храните там же, в шифонере. Ну или в какой-нибудь книжке в шкафу если у вас есть книги.
Я храню две. В шифонере и на книжной полке;)
Не буду спорить про безопасность, пользуюсь уже пол-года, меня все устраивает, если бы такие имелись в продаже — с удовольствием бы купил, нет — так сделал сам.
Из чего состоит:
1. модуль дисплея 320x240, с энкодером, драйвер ST7789, SPI (вверху)2. микропроцессор плата Teensy 3.1 (можно и новее, какая была в закромах) — внизу слева
3. плата с микро-SD от Adafruit, справа
Всё смонтировано на макетке, провода снизу (печатной платы не делал), дисплей сверху в виде бутерброда:
Был заказан online простенький корпус 3D печать, крышку вырезал сам своим старых лазерным каттером:В сборе:видео работы:youtu.be/3J7BR-akjx8
соединение проводов:
плата дисплея -> Teensy 3.1
SCL => D13
SDA => D11
RES => D8
DC => D9
CS => D10
BLK => 3.3V
A => A9(D23)
B => A6(D20)
PUSH=> A3(D17)
K0 => A7(D21)
SD board — Teensy 3.1
CLK => D13
SO => D12
SI => D11
CS => D6
файл данных на SD для загрузки паролей:
имя файла data.txt, просто набор строк, каждая строка содержит 3 поля разделенных запятой:
account name, user name, password. После password нужна запятая, дальше может быть четвертое поле comment (а может и не быть)
Пример содержания файла:
AMAZON,ADamS,3rHRBjyl
ALIEXPRES,allen,mExTOejD
CRAIGSLIST,BLAKE,M3J4eVCC
EBAY,CLaRk,BOp3XanC
FACEBOOK,ForD,df3leICL
INSTAGRAM,jaMes,16q4Cp5A
MARIANOS,JOnEs,oJ5uhsC7
REDDIT,KiNG,tnScCe1o
SPARKFUN,MaRTiN,jImUNqfe
XFINITY,MiLLEr,3pfETY5r
код:
парсинг csv файла — из сообщения пользователя fat16lib с форума arduino.cc:
многоуровневое меню для ардуино — библиотека GEM Александра Спиридонова(Spirik) с небольшими изменениями.
Подробно всё на моей странице проектов сайта Hackaday.io
PS заглавная картинка по мотивам чудесного мультфильма «Сундук»
И поцелуйчик означает девиз этого проекта —
K.I.S.S. — keep it simple, stupid!
Самые обсуждаемые обзоры
| +73 |
4119
227
|
| +47 |
4616
120
|
| +66 |
3459
60
|
Я давно использую блокнот с номерами телефонов и соответственно записываю в конце пароли.
Телефоны и компьютеры (особенно какие щас SSD) могут в не нужный момент не включиться. Вот тогда очень обидно будет.
— такой пароль уже есть
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун»
3. На 74357181-й попытке каждого второго — сервер согласился, что у него пароль «Мао Цзедун»
Обычная флешка с текстовым файлом будет гораздо проще :)
Пришлось сервак переустанавливать, когда она уволилась.
А то будет обидно в один момент получить нечитаемую карту
Возможность утери устройства, возможность повреждения памяти устройства, необходимость носить с собой если есть необходимость логиниться вне дома.
Когда уже хотя бы в смартах все эти книгоморды, контакты, почты сделают хотя бы опционально возможность заменить пароль отпечатком пальца?
А так — от задач отталкиваться надо. Кому-то надо логинаться вне дома, кому-то — нет…
второй профиль
набирай пароль от него
Юбикей, который делается из rp2350 в формате юсб-ключа за 400 рублей или оригинальный за 3000, принцип работы которого вставил и зашел.
Листок бумаги, который просто так не потеряешь.
Вариантов на вкус и цвет, а вот с авторским опусом даже не знаю. Безопасность 0, надежность 0 (ибо sd-карта), компактность 0, удобства тоже 0 — найди коробулину, найди провод, повозись с крутилкой, потом убери все со стола обратно.
Если кому-то захочется повторить, но нужно как-то поприличнее — есть на али вот такая девборда, все никак не доходят руки заказать и сделать себе мини-эмулятор cd-rom.
Я бы ещё добавил, что надо не забывать бэкапить настройки 2FA, кстати.
Л — логика!
А так… ну, штука имеет место быть, но всякие fido, которые много где подерживаются и не требуют вручную выбирать урл, а просто просят подтверждение — интереснее. И реализуемы самостоятельно, хоть и с морокой — но как проект на будущее, мне кажется, заслуживает внимания.
1. взломать мозг владельца (узнать логин и пароль от хранилища)
2. обойти защиту при смены устройства (которая не даёт вход даже имея мастер пароль
без подтверждения через (емеел\код фраза\флешка)
И это если ещё не включена двухфакторная идентификация к этому всему
И да система не даёт перебирать пароли ставя на блок по таймеру (проверено и не раз)
p/s
все пароли на серверах шифрованы (если и забрать автономно без всего выше их не открыть)
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.»
Начнем с того, что непонятно, что такое «крякнули мастер» — в софтовых файл-менеджерах никаких кряков нет — есть
криптоконтейнер, который шифруется мастер паролем. соответственно либо этот пароль как-то подобрать(если он достаточно сложный, то это очень долго), либо (что как раз маловероятно) изобрести способ дешифрации с очень быстрым подбором.
Если не хочеться часто набирать длиннющий мастер — можно использовать связку мастер пароль + файл-ключ = криптостойкость такой связки увеличивается в разы даже с небольшим паролем.
Для пущщей секурности необходимо добавлять OTP коды, либо FIDO crypto ключи.
При таком подходе криптоконтейнер с паролями можно выложить где угодно, хоть в открытом доступе!
Ну а ваше суровое DYI с plain text паролями — это только просто потешить свое самомнение и только…
Потерял эту вашу коробочку — и потерял все свои аккаунты
Извините, высказал свое мнение.
Автор пытается упорядочить одну из своих проблем. По его мнению это удалось и хотя-бы за это его прям совсем нельзя занижать! Даже в том виде как сейчас это решение на порядок лучше обычного гражданина, который использует один и тот-же пароль везде или пишет его на бумажке один раз и навсегда!
Короче, непонятно, в чем удобство, кроме того, что «нажал кнопку — и оно само вставилось». Все остальное в данном концепте заменяет флешка + txt-файл.
Ну и логика
поэтому
выглядит спорно
Пароли записываются в многоразовые RFID-метки, «не дома» считыватель который толкает их в USB прикинувшись клавиатурой.
Пароли хранятся дома на бумажке, записываются в метки подобным устройством на «ардуине» или телефоном с NFC.
«Не дома» метки на кольце, на столе не забывать, носить в сумке в экранируемом чехольчике. Помнить что для MySku жёлтый брелок, для Пикабу синий, для домена красный, для 1С/ЦФТ/Диасофт зелёный и т.д.
Это позволит легко пользоваться 30-значными паролями.
Второе преимущество перед флешкой — установка внешнего USB накопителя может быть заблокирована на корпоративных лаптопах, а внешней USB клавиатуры — нет, не бывает.
Вообще, это замена устройствам типо вот этого:
Но AI прекрасен, конечно. Я бы всё это и без него выгуглил, но заняло бы хотя бы пару часов, а тут в пять минут уложился.
Файл с кредами обновляется весьма регулярно — регистрация на новом сайте, смена пароля на старом, всё это требует своевременного обновления хранимых данных. Значит, файл никто далеко убирать не будет. А если так, то значительно проще будет вытаскивать необходимую информацию из файла, а не из устройства, ведь в файле есть Ctrl-F.
Добавим к этому несколько надуманный, но тоже реальный сценарий — к вам зашел знакомый, вдруг вам понадобилось отойти на минуту, за это время знакомый вставил устройство в телефон и «набрал» ваш пароль в заметках, а вы об этом даже и не узнаете. С файлом будет сложнее — нужно как минимум пароль для расшифровки знать.
А вот какое у вашего устройства есть преимущество, так это аппаратная реализация. То есть, им можно набирать пароли там, где недоступно использование буфера обмена, например, при логине в систему. Это позволяет отказаться от запоминания таких паролей на рабочих машинах, где зверствует ИБ, требуя постоянные смены паролей на новые.
Но переходники для втыкания USB-клавиатур в PS/2 существуют, да и в самом устройстве можно такой вариант подключения реализовать. После чего останется уповать, что в нужных местах запрещено будет только подключение USB-устройств, а не любых вообще.
Сканеры штрих-кодов с разъёмами DIN и PS/2 именно так и подключались.
А про старые сканеры просто напомнил, чтобы понятнее было, о чём речь, и чтобы показать, что решение вполне реализуемое.
Что же до:
— так ведь и с описанной в статье реализацией в этом случае и под стол лезть придётся, и коробочку иметь с длинным шнуром.
Jvdfhjkigdcbjjf56844dstvbkhcxdfhnkok$&+)&$#bvxssfgbnkjhv-_$&+()97&!;'xxfcjivbnjgfchgfsscvnkkohfe
ваши дальнейшие действия :)?
Заметьте, вам иногда всё-таки надо его набивать. Скажем ежедневно какой-то из таких паролей. Скажем три раза в день.
Вы сможете с какого раза набить верно хотя бы вот тот пароль что сверху :)?
«Учу читать. Дорого.»
Сам обзор читали? Там описывается устройство как раз для автоматического ввода паролей.
Разве что у автора в файле разделитель запятая, которая может быть в пароле. А может и не быть, если пароль «придумывает» сам пользователь.
Зачем вы о них?
ЗЫ. Читал, но бегло. У меня на столе лежит самодельная несколько более функциональная железка, не только пароли набирает куда надо, но и ТОТР показывает итд итп. Я как-бы понимаю что это такое и зачем, какова проблематика.
Компом такое заменять бессмысленно
Хранятся эти наборы паролей в ней на micro-SD карте в текстовом файле с разделителем запятая.
Нужно где-то этот файл на флешке редактировать и м.б. хранить копию, если лень переписать на листочек и хранить листочек.
Если этот файл редактировать (и хранить) на устройстве без выхода в сети — никакие хакеры до него не доберутся, даже монгольские.
Девайс нужен для дома, чтобы не запоминать пароли, не вбивать их каждый раз пальцами и не копипастить их из файла на том же компе, с которого идёте в Интернет.
Пароли хранятся во встроенной памяти, на карте только приносят обновления
Решает задачу? Да.
Удобнее? Да.
Ухудшает компьютерную безопасность? По сравнению с копипастой из файлика — нет.
По сравнению с «легко запоминаемыми паролями в голове» безопасность увеличивает, т.к. позволяет легко пользоваться более длинными и рандомными паролями (не имя в другой раскладке + год рождения).
Не является «абсолютным оружием»? Так автор это и не утверждает вроде.
А так — я вполне преставляю ситуации, когда это будет рабочим решением.
Так что считаю вполне неприступным тот же кипас.
Отличная иллюстрация была у Лукьяненко в Лабиринте Отражений: «сорок тысяч обезьян в *опу сунули банан».
Маленький (не больше флешки) размер, чтобы висел на брелке с ключами
Датчик отпечатка для разблокировки
Мини экран и кнопки для выбора пароля
Использовать, как автор — воткнул в порт, выбрал сайт- он набрал пароль поле ввода дну или заполнил логин-пароль)
Пристойного увы почти нету. Неплохой концепт у mooltipass, но они сломались об железо.
есть такая штуковина pastilda, она втыкается между компом и клавиатурой, логин по вводу на клавиатуре определяется
Я сделал по-другому, фронтенд в виде вебстраницы где ты только выбираешь пароль, а вводит его железка только после подтверждения на ней клавишей (она показывает на своем экране что конкретно будет вводить).
Тогда, имея огромную такую папку с этими паролями человек задает себе вопрос: как я могу автоматизировать их ввод не потеряв в безопасности.
Как я могу сделать безопасность не хуже чем при хранении их на бумаге при любых эдж кейс?
Что будет, если я буду пользоваться файлами с паролями, кейпассами, и прочей фигней, а мой компьютер будет скомпрометирован? Получат ли злоумышленники доступ сразу ко всем моим ресурсам, или только к тем, в которые я залогинюсь пока они контролируют мой компьютер?
Итд итп.
Пока эти вопросы даже в голову не приходят, вы не доросли до таких железок.
***
Автору могу посоветовать посмотреть mooltipass. Но. Первые версии имеют проблему с колесиком. Последние с батареей…
Сам я пошел почти по тому же пути, но мой вариант позволяет дистанционно выбирать пароль, который надо набрать(esp с веб мордой). После этого пользователь может подтвердить ввод механической кнопкой на устройстве и видит для какого ресурса сейчас будет набран пароль.
Если хочется устройство с собой носить, то нет особых проблем привернуть к нему пин. Даже если потеряете, шансов что его быстро вскроют минимум. Разумеется пароли в этом случае лучше закриптовать посерьезнее, в esp есть все возможности. Я закриптовал несерьезно т к. само устройство лежит в сейфе поверх папки где эти пароли напечатаны на бумаге.
***
Пользуюсь с месяц — довольно удобно оказалось. Ну и бонусом — теперь я могу не по 16 символов использовать, а хоть сколько. Раньше больше 16 было прям напряжно набирать.
ЗЫ. Еще один вариант, который не пробовал — напечатать штрихкоды и вводить их «пистолетом», в целом тоже должно неплохо работать. Но не хотелось их печатать. Это лишний головняк, фиг знает где осядет какая копия заданий для принтера итд итп. Ну и мне нужно было еще и ТОТР, устройство их просто показывает на своем экране, с бумагой так не сделать…
Потерять == «сообщить злодеям»
А если потерять этот девайс то и корячиться с расшифровкой не надо.
храни где удобно и на сервера и файлах шифрованых
если через ПО заполнение\авторизация то ничего на пк не сохраняет
также там можно и обычные заметки хранить\передавать с ограничениями и шифрованием
bitwarden.com/help/setup-two-step-login/
p/s
YubiKey -3000р не так дорого если есть что очень ценое чему мало всех способов выше
Чем обеспечивается то, что я не смогу взять вашу базу со всеми вашими паролями и использовать только что введенный вами мастер пароль дабы ввести любой из них?
Лет 20 назад, помнится у кого-то там увели хреналион вебманей. Там тоже была привязка как-бы к железу. Ну вы понимаете, да :)? Эмулировали совершенно всё, все номера матерей, дисков итд итп, всё окружение.
Разница довольно жирная. Она есть. Ради неё всё и делается.
К тому, что не вводилось доступа нет. Ради этого вся борьба.
То, что вводилось не защитить, если это не ТОТР.
Я ведь прям в первом сообщении написал: надежность не хуже чем у пароля записанного на бумагу…
Во-вторых, все чувствительные сервисы (банки, госуслуги и т.д.) должны использовать двухфакторную аутентификацию. А для остальных сервисов использовать такую железку — маразм. У меня, например, в кипассе 400+ записей. И каждый раз при логине нужно будет рыскать по огромному списку колёсиком. Учитывая, что современные сайты имеют дурное свойство быстро разлогинивать, это превратится в кошмар.
Увы — полу-туфта. У него есть только клавиша, но нет монитора ведь? Таким образом он менее надежен, чем бумажка, вы никогда не сможете быть уверены что он сейчас введет, чтотвы подтверждаете.
Но уже лучше. Тут скорее всего не украсть всех паролей, украсть только столько сколько раз вы нажмете кнопку.
Найдите mooltipass — он то, что нужно :). Но 1. Проблемы с железом. 2. Проблемы с наличием. Поэтому народ рукоблудит
Лично меня беспокоит тот сценарий при котором я пользуюсь вашим механизмом хранения и при этом мой компьютер скомпрометирован. При использовании вашей системы сможет ли атакующий получить доступ ко всем паролям после того как вы введете, а он получит мастер фразу?
При использовании аппаратного решения не сможетю скомпрометировать можно только набранные после взлома пароли. И на меньшее лично я не согласен. Разница для меня может исчисляться совершенно астрономическими суммами.
Подобрать «что-куда» вполне можно. Речь тут о сценарии, когда тебя пасут более или менее целенаправленно. Они будут знать адреса, а логины часто соответствуют мылу или номеру телефона :(.
Вы смотря что закрываете. Логин и пароль к муське у меня запомнен в браузере. Но я не буду загружать в облака пароли к фильтрующим файрволлам крупных организаций. Или скажем к брокеру своему. Я не трус, но я боюсь :)
Нередко в таких случаях и подтверждать каждый вход через них требуется (если телефон, то почти всегда).
Насчёт файла со всеми паролями — это такое упрощённое описание ситуации. На самом деле у меня никакого файла нет, а есть своё самописное расширение к браузеру, которое оперирует запомненными наборами с кучей настроек в каждом.
Расширение каждый раз вычисляет пароль к сайту на основе указанного ему вручную набора, URL текущей страницы, каких-то данных с этой страницы (например, имени пользователя) и вводимой в отдельном окошке кодовой фразы.
Можно украсть файл с наборами настроек. Можно украсть имя пользователя, выбор набора настроек и фразу, которые использовались для получения пароля от конкретного сайта. Но и только.
Когда есть ключ дальше можно что угодно понавертеть.
Когда он вынужденно короткий или хранится где попало могут быть проблемы.
Какой ключ? В моём варианте нет никакого ключа, единого для всех сайтов и всех паролей.
Я уже раза три писал. Вся эта суета с железкой нужна в частности для того, чтобы когда ваш комп взломают и вы введете первый пароль атакующие не смогли использовать любой пароль который у вас есть, а могли бы использовать только этот один первый. В ряде случаев это прям ну очень полезно.
Добиться такого же эффекта программно будет затруднительно.
Вот и я об этом. Обсуждаемая нами сейчас кодовая фраза это не пароль, которым что-то расшифровывается, а всего лишь мелкий кусочек информации, перемешиваемый вычисляющей формулой с кучей других равноправных ему таких же мелких кусочков. Поэтому подсмотреть данную фразу это ровно то же самое, что подсмотреть пароль, который с её помощью получен, — но не более того.
А в той внешней коробочке, о которой Вы писали, редактирование имеющихся паролей предусмотрено?
Ясно, что туда же я смогу т.к. воспользуюсь только что введённым вами или вашим расширением паролем. Есть что-то, что остановит меня от того, чтобы залогиниться в другие места, где вы при мне не были?
Пользователь может так задать настройки в файле, что по ним можно будет догадаться, для каких сайтов они подходят, но может и сделать их полностью безликими.
Пользователь может для всех мест вводить одну и ту же фразу, а может для каждого использовать какую-то уникальную и непредсказуемую.
Так что всё в его руках.
Ещё раз: вводимая фраза это всего лишь часть той информации, которая используется при вычислении пароля. При этом с помощью сколь угодно простой и короткой фразы можно создавать сколь угодно сложный и длинный пароль.
Чтобы не хранить пароли нигде.
Вы в курсе, что в основе идеи CVV/CVC-кодов (пока «для удобства пользователей» их не испоганили вплоть до полного обессмысливания) лежало то же самое: эти коды нигде не должны храниться, даже на серверах банков, и поэтому их невозможно будет украсть при утечках баз данных?
Как их запоминать и хранить :)?
Особо «нежных» сайтов у человека вряд ли наберётся больше десятка-двух. Придумать для них какую-то систему выбора фразы труда составить не должно. А иначе стоит задуматься о профпригодности.
(В тяжёлых случаях фразы можно хранить на бумажке. Без привязки к расширению и его наборам параметров даже кража этой бумажки ничего не даст.)
Для некритичных я в браузере запоминаю, для критичных у меня пароли все разные, длинные и я запоминаю их в внешнем устройстве. Где тут место для какого-то софта?
Удобство поиска нужного пароля на устройстве?
Утеря/кража устройства со всеми паролями сразу?
На подобных устройствах обычно пароли не ищут, это автор не доделал слегка. Как правило аддон с компьютера имеет возможность попросить набрать пароль, пользователь проверяет на экране что за пароль и акцептирует кнопкой. У меня подобная поделка имеет на борту вебсервер, заходишь и выбираешь нужный тебе пароль. Можно любое удобство навернуть. Но в целом мне пока минималистичного интерфейса хватает.
Утеря/кража устройства обычно решается пином при включении, 3-4 ошибки и все затирается. Тут человек делать не стал. Я, кстати тоже. Тот кто сможет украсть его из сейфа возьмет в этом сейфе вещи получше. Там есть.
Вся ж затея именно ради того, чтобы с помощью простых фраз получать стойкие пароли.
Да пожалуйста, я хоть сейчас скажу: MD4, HMAC-MD4, MD5, HMAC-MD5, SHA-1, HMAC-SHA-1, SHA-256, HMAC-SHA-256, RIPEMD-160, HMAC-RIPEMD-160.
Для каждого из сохраняемых наборов параметров пользователь сам решает, что из этого использовать.
Но используемый алгоритм хеширования это только один из десятка задаваемых в наборе (и сохраняемых в файл настроек) параметров, влияющих на получаемый пароль. (И, например, в заданном наборе символов, из которых пароль может состоять, даже порядок этих символов на результат влиять будет.)
А ещё процедура порождения пароля может использовать и произвольное число текстиков, которые берутся не из настроек, а с той веб-страницы, для которой пароль получаем. (Чаще всего это имя пользователя, но кроме него может быть и вообще практически что угодно, лишь бы оно от раза к разу не менялось.)
Но хранимые в файле пароли можно украсть. А вот чтобы украсть то, что не хранится вообще нигде, нужно очень хорошо постараться.
База паролей закриптована физической смарт картой, они не попадают внутрь компьютера незакриптованными.
По крайней мере так было в одной из первых версий, которой я владел.
Если они что-то испортили, то это печально. Но в целом был момент когда вся система выглядела совершенно непотопляемой.
При этом для критичных операций она еще и пин спрашивала.
ЗЫ. Для редактирования в целом можно ведь прислать один этот пароль если ты подтвердишь это клавишей. Т.е. по идее проблем с редактированием тоже нету.
Документ вот: raw.githubusercontent.com/limpkin/mooltipass/master/user_manual_mini.pdf — можете сами всё посмотреть.
В том разделе есть картинка с кусочком окна программы. На этой картинке справа от «зазведившегося» поля пароля есть кнопка с рисунком глаза, а под картинкой написано: «To display the password, click on the eye icon».
Дата составления Руководства: 2018/11/13
Да, для входа в режим редактирования нужно вводить PIN, но именно для входа в режим, а не для редактирования конкретного пароля.
Судя по Руководству, после входа в режим редактирования получение конкретного пароля для редактирования подтверждения на устройстве уже не требует.
Вероятно они не умеют писать мануалы, впрочем можно у них спросить…
Еще раз подчеркну: когда у меня было рабочее устройство я все эти сценарии проходил лично, и подобной дичи там не было(чтобы можно было пароли получать все кучей). Меня вообще удивило как дельно всё сделано.
Пин вы там вводите, чтобы список логинов получить скорее всего.
Эта штука вообще, похоже не умеет делать с паролями ничего кроме того, что присылать их в виде набора на клавиатуре по одному после подтверждения.
Да, вы можете получить бэкап, но он зашифрован довольно криптостойко физической картой и без нее его не расшифровать. Т.е. вы прлучаете просто дамп внутреннего хранилища. Набор бит.
Единственная небольшая дырка: если вы сможете как-то поменять настройки и подтверждать не нажатием а стуком :) ну т.е. по акселерометру там есть режим, то наверное можно стучать перфоратором от соседей для подтверждения нажатия клавиш :).
Она опенсорсная, можете в исходниках глянуть…
Это совершенно то, о чём я говорю. После нажатия на глазик вы должны физическим кликом на колесо устройства подтвердить действие. Для каждого пароля.
To display the password, click on the eye icon (3) and use the wheel on the Mooltipass Mini to confirm the request.
PS. Люди там парились, чтобы корпус был такого размера, чтобы закладки было трудно в нём разместить. Они совершенно отличные специалисты в целом. Глупые ошибки могли быть только в очень ранних версиях. Кстати разобрать его удалось только физически распилив на части. И внутри лишнего места практически нету.
за $160 и микро-экранчиком это просто издевательство над пользователем.
У меня есть в этом же факторе устройство Ledger, с этим же дисплеем, я даже сам этот копеешный дисплей менял (был сдохшим). Чудовищно неудобный дисплеюшко, хорошо хоть использую раз в пол-года.
Претензия к нему только одна — умирает колесо, оно же кнопка. В целом запредельно удобная штука.
И эти экранчики ОЧЕНЬ маленькие.
Я реальный пользователь. Мне экран совершенно не показался неудобным.
Всё, я знаю, чем надо заняться, это будет идеальный вариант.
Но что делать, когда паролей штук 50+ и они по 16+ символов со спецсимволами итп (некоторые сервисы требуют)
Лично я не слон. Столько запомнить не могу :(
Да и не везде их вообще можно менять…
И кому надо запоминать всякое такое
Cvmkpyr57_$-wdvjloy678()'vnmvcseyjGjiBbDghKiyfV644$-+bjddyjv,;:'zmcgjHjfBjutdvji
Вы уже запомнили, да :)?
Если для вас миллион — это ерунда, то я очень вас прошу — переведите его мне :), я не гордый — приму.
Кто там чего помогает — вне моего контроля. А вот за пароль 5352 меня не только уволят, но и осудят при случае. В этом разница между вами и мной. Мне есть что терять…
Наказаний без вины не бывает, как говорил Жеглов
Помнить десяток сложных паролей всё равно надо, но это мастер-пароли.
Сайты без этого после ввода пароля тупят некоторое время, например секунду, только после этого отвечают годен пароль или нет. И после 2-3 неправильных начинают требовать ответ на секретный вопрос и т.д.
Перебором сейчас только запароленные архивы и украденные хэши паролей ломают. Ну или где программисты/админы не догадались сделать паузу при ответах и блок при нескольких неудачных попытках.
Пароль 4 цифры.
Шанс угадать 0.1%. (10/10000)
Не дохрена ли ;)?
Мне тут звонили люди. Говорят надо срочно счетчик поменять электро, а то за свои деньги. Смс говорят прислали. Я говорю 1322(руки заняты, даже не смотрел что пришло). Минут пятнадцать срутся, не подходит никак. Я потом смотрю, а пришедший смс от Госуслуг был с 1422, хорошо хоть отличался на один знак… Больше я так не делаю, вначале проверяю что пришло…
Паролем из 4 цифр не к счетам с миллионами доступ закрывают. Я даже не знаю где система примет такой пароль. Явно что-то не важное, типа доступа к компу от детей дошкольного возраста.
Как страшно жить…
4 цифры пин в банкомате, но он хотя бы требует карты. Коды подтверждения бывают разной длины, иногда и в 4 знака…
можешь в любой филиале снять средства
как и перевыпустить карту
Я, допустим, был бы счастлив, если б можно было гуглу сказать «убери паранойю, мне на нужно ни 2fa, ни подтверждений когда я вошёл с новой машины. Просто логин и пароль, и он же будет использоваться почтовыми клиентами без всяких OAuth». Потому что моя ситуация это позволяет. А кому-то исключительно аппаратный ключ нужен с подписью кровью. И мне нужен — только не для гугла.
Но их гораздо больше, чего уж.
Надо сказать, что и среди тех, кто доступ имеет 9 из 10 просто не хотят задумываться о возможных неприятностях. Ведь стоит по этому пути пойти и «сон потеряешь»
Это некоторые пришли в топик для озабоченных безопасностью и пытаются очень наивно внедрить им какое-то говно типа облачных хранилок. Получая ответы в стиле «это не закрывает таких то рисков» начинают немного истерить :).
Не надо вам, и не надо. Зачем вы тут раз вам не надо :)?
Если да, то у вас какие-то странные сообщения. Вы пришли в топик, а не наоборот. Просто закройте его, если вам это не надо.
Для некоторых сценариев это вполне секьюрити элемент…
Secure element — это термин.
Что до меня — то меня здесь навели на github.com/polhenarejos/pico-fido — уже профит.
т.е. если файл не считан — уходим в бесконечный цикл.
А чуть выше, если SD карта не обнаружилась, то CPU_RESTART
Мне кажется обсуждать дальнейшие ляпы, рассматривать картинки, вчитываться в софт — бестолковая затея. Там исходно всё поражено…
С флешкой действительно костыль. Хотя в целом это не очень большая проблема.
Если он добавляет пароли по мере использования, то они и так и сяк уйдут к взломщикам. А обычно сценарий именно такой. Когда тебе надо залогиниться куда-то заполняешь пароль в устройстве и логинишься проверяя его. Ну получат они его чуть раньше(на минуту), разницы нету.
А то, что они внутри не зашифрованы тоже в целом не проблема, автор устройство из дома не выносит. Я подобное устройство храню в сейфе где есть все пароли напечатанные на бумаге. И не только… Если этот сейф взломают проблемы с паролями будут не самыми большими проблемами. И с этим не так просто что-то сделать.
К примеру, если есть 2fa, даже кейлоггер не поможет. Сама база паролей без мастер-пароля бесполезна, перехвату буфера мешает secure desktop (фича, которая исполняет кипас в изолированном окружении), плюс есть обфускация ввода против перехвата мастер-пароля. Есть аппаратное подтверждение и TOTP, есть способ попасть через пароль, когда ты утерял токен (но тогда для доступа нужно заведомо надёжное окружение, к примеру, некоторые живые дистрибутив линукса). Не потерять поможет синхронизация базы с внешним сервером и серверами, можно сверху «посолить».
Итого, увести пароль очень сложно, хотя и возможно. Но усилия такие, что терморектальный анализ станет наиболее простым выходом.
Для меня хуже.
Люди разные.
Есть вполне объективные критерии безопасности для хранения паролей. Их можно придерживаться тем или не придерживаться. Хранить на бумажке в сейфе — возможно ок в плане безопасности (нет), но в остальном ужасно — затруднённый доступ в случае необходимости, если что-то ценное (к примеру сид-фраза вашего криптокошелька) — то вполне себе объект для целевой атаки. Если пароли представляют ценность сами по себе, то вы, помимо украденного из сейфа и получаете паралич ваших доступов.
Я понимаю, изобретение велосипедов — увлекательное занятие, но контрпродуктивное.
Вы хотите всё таки перейти к анализу угроз и сценариев использования?
В каждой системе хранения и безопасности есть требования. У меня они таковы: пароли ДОЛЖНЫ храниться на бумаге в определенном сейфе. Это не обсуждается. Это ограничение. Про это говорить бессмысленно. Так дОлжно. Это не изменить.
Я не работаю с этими паролями нигде, кроме как в физически закрытом контуре. Я не выношу их копии за пределы помещений.
Какие дополнительные риски вы видите при использовании описанного автором устройства в подобных условиях? Оно тоже не выходит за контуры, хранится там же. Его функция — упростить ввод очень длинных паролей не ухудшая безопасность при любых сценариях.
При каких сценариях безопасность ухудшится?
Взломать такой возможно при использовании всех серверов НАСА и то не факт.
У них даже таблица аналогичный решений до сих пор есть. Вот можно ознакомиться. Мало ли, может заинтересует. А так сам пользуюсь KeePassXC. Покрывет все потребности на 1000% Даже импортируются TOTP коды Google Authenticator правда не очевидно, но тем не менее
Допиливать это можно до бесконечности, энтузизистам флаг в руки. Это как «метеостанция на Ардуино». А меня и так полностью устраивает.
Имхо в наше время один из основных плюсов, что он проверяет на какой сайт вставляется пароль. Т.е. всякие фишинг истории идут мимо. Программе всё равно насколько дизайн сайта или его адрес похож на настоящий.
Что касается мастер паролей. Там же не самим паролем шифруются файлы, а его хэшем, причем специально ресурсоемким, который требует много памяти и не параллелится, и который считается относительно долго (хэш может считаться секунду на топовом компе), особо не получится подбирать (разве что, угадать, какой-нибудь 1111). Если ещё больше углубляться в шифрование, то там этим хэшем от пароля шифруется не сам файл, а ключ, которым зашифрован файл (а там рандомный бинарный ключ), более того используются рандомные векторы инициализации. Т.е. два файла с одинаковым содержимым в зашифрованном виде будут выглядеть абсолютно по разному.
Кому критически важно от утечки защититься — не используйте прямую запись паролей (тем более на листочке), придумайте алгоритм какой-нить, например, подмешивайте мусор в пароль — последние три символа лишние, второй, третий лишние или количество лишних это предпоследняя цифра в пароле и т.п. тут на что фантазии хватит.
Задумка прикольная для своих целей, я бы шифрование все же добавил и поиск как-нибудь прикрутил)
А я просто решил свою проблему за неделю, и на этом всё.
Кстати.
Показал устройство нескольким своим знакомым, все в полном восторге и спрашивают где купить, и все советуют организовать производство, хотя бы малой серии.
Но мне производство не интересно.
Чтобы купить у кого-то такую штуку надо ему очень-очень доверять. После массада с пейджерами только очень дурные люди будут покупать у хренпоймикого, а им не надо.
Тем кого знаешь лично продать можно, но это не окупит разработки.
Я хочу сказать, что обычным пользователям, здесь, в Штатах, устройство сразу же понравилось.
Проблема хранения паролей у очень многих.
Я вообще с ужасом думаю, а что если эти вот квантовые компьютеры сделают расшифровку паролей простой задачей, или если кто-то подломит двойную авторизацию SMS на телефон?
Это будет прямо похуже чем последний день Атлантиды, мир-то рухнет…
И вообще, вместо заботы о потеплении и прочей ерунды, надо бы очень сильно ужесточить наказание за все киберпреступления, даже самые ничтожные. Потому что это преступления против глобальной экономики.
Я написал, что мне производство и продажа неинтересны, а вы ответили как будто я написал что хочу организовать производство и продажу и спрашиваю вашего совета.
Разве не так?
Интересно вам это производить и продавать или нет, а того факта, что продать это будет очень непросто и с такими тараканами как у вас вообще вряд ли возможно не изменить.
Таков мир.
Вроде начинал ты вменяемо, внезапно скатился к хамству.
У тебя месячные, чтоли?
В blacklist.
После таких постов купить у вас что-то для безопасности может только совершеннейший безумец.
А вот когда криптографию поломают и это станет распространённо и дёшево — там да, будет интересно — даже если к тому моменту на quantum secure алгоритмы уже все перейдут — заинтересованные стороны наверняка будут иметь кучу всего старого, что хочется расшифровать.
Когда набиваешь хотя бы 16 значный пароль это как-то совершенно не всегда удается даже со второго раза.
Задолбаешься их вводить.
Такие штуки призваны облегчить эту задачу не привнося особых дополнительных рисков.
Я уже писал выше, есть вариант проще — штрихкоды.
Но если часть ваших паролей ТОТР, т.е. меняются раз в 30с, то штрихкод не вариант, а раз уж использовать устройство, оно может и те и другие хранить.