Habr corporate blog
Habr - Announcements
Habr
Comments 109
+13
А вы помните свой пароль на Хабре?


Пароль прямо здесь писать или лучше в личку?
Ну началось, полдня сегодня пароль от аськи вспоминал, пока не дошло, что я же его ввожу при каждом входе практически без участия мозга ))
+10
Тоже сталкивался пару раз. Пальцы не глядя набирают, а начинаешь смотреть и тупишь, прям эффект наблюдателя в квантовом мире.
+4
Шутка времен DC++.
Пацаны, говорят если в чат написать пароль, то он тоже звездочками будет! Во *******
+1
Я серьёзно. С ногами такая же беда. Пока идёшь по лестнице не глядя, всё нормально, а как начинаешь смотреть на ступеньки, промахиваешься периодически.
+14
По коридору ВУЗа идет профессор. Навстречу студент:
— Здравствуйте, профессор. Можно Вас спросить?
— Конечно, спрашивайте, молодой человек.
— Скажите, профессор, Вы когда спать ложитесь, бороду
на одеяло или под одеяло кладете?
После некоторой паузы:
— Да, знаете, как-то не задумывался.
— Ну, извините, пожалуйста.
Разошлись.
Через неделю зеленый профессор с кругами под глазами
встречает в коридоре того же студента и хватает за грудки:
— Ну ты и сволочь! Неделю уже спать не могу — и так неудобно,
и так неудобно!
0
С дыханием такая же ситуация, стоит только задуматься о том как мы дышим, и уже не можешь думать ни о чем другом, как контролировать процесс дыхания
0

Ну спасибо вам, конечно, за напоминание, только как мне теперь сконцентрироваться на чём-то другом?.. эхх :(

0
Вообще-то думать о дыхании и контролировать процесс дыхания — немного разные вещи. Дыхание человека осуществляется без участия сознания, специальной частью нервной системы. Т.е. думай-не думай, а остановить дыхание не получится.
Хотя сам процесс отслеживания и корректировки дыхания (глубина, темп, фазы вдоха-выдоха) возможен и очень, кстати, полезен, т.к. от дыхания зависит очень многое в человеке.
0
Да что там пароль — я даже длинющий аккаунт в банке знаю, но только, если не глядя, набираю на клаве — вслух наверное даже под пытками не смогу сказать.
+2
Не понимаю причин такой агрессии. Менеджер паролей встроенный в Хром меня полностью устраивает, никаких критически важных паролей он не хранит, карта к аккаунту гугла не привязана. Плюс эффект неуловимого Джо(который никому не нужен). Все пароли восстанавливаются через отдельную почту, которая записана только на бумажке. Что не так?
0
Плюс эффект неуловимого Джо(который никому не нужен).

Спам, получение личных данных, биржи прокаченных аккаунтов на популярных сайтах для вбросов и вот это вот все. Целенаправленно конкретно вас поиметь естественно никто стараться не будет, но стоит появиться какой-нибудь уязвимости в браузере, позволяющей js'ом дернуть хранилище паролей и получить расшифрованный результат, как можно будет начинать бояться в ту же секунду. Это все равно что на работе пароль держать приклеенным к монитору: коллегам-то плевать, а стоит когда-нибудь влезть какой-нибудь подозрительной морде и вся безопасность идет лесом.
0
Ну так потому и ничего важного там не храню. А на почту и так спам каждый день сыпется, но настроенные фильтры практически ничего лишнего не пропускают.
+1
прокаченных аккаунтов


А зачем и на чём/чем их катают?
0
крамольные мысли толкаете? да вы что, а как же священная двухфакторная авторизация — не молитесь на нее, что ли? паролей быть не должно (или толку от них быть не должно), патамушта фсе должно восстанавливаться на священный номер телефона, привязанного в целях безопасности к вашему аккаунту.
-9
Признаюсь, меня сильно удивило, что сейчас, накануне 2019, кто-то знает свои пароли и набирает их руками.

Они же автозаполняются? Ну хорошо, не все используют макось, но другие браузеры ведь тоже заполняют?
-1
Вы серьезно доверяете браузеру свои пароли? Для таких вещей нужно использовать специальные решения, которые именно под это и заточены, а не собранную на коленке фигню для домохозяек.
+1
Если речь лично обо мне, то я доверяю свои пароли стандартному макосовскому кейчейну. Думаю, для домохозяек он тоже сгодится.
0
Может быть сколько угодно вариантов, когда приходится работать за чужими компами, где никто тебе не поставит маковский кейчейн или другой менеджер паролей.
+1
Ну, я юзаю Enpass, и при необходимости войти куда-то на чужой машине, пароль можно подсмотреть на телефоне.
-2
Достаточно всего одного случая, когда это окажется очень критично и это не сработает — чтобы навсегда перестать пользоваться таким способом.
0
Так что, покупаем блокнот потолще?
Но вообще когда это может не сработать, по-вашему?
+1

За чужими компами я свои пароли и не ввожу. Зачем бы это могло понадобиться?

+1
Кстати… А эти решения умеют хранить несколько паролей к одному сервису? А доступы, состоящие не только из пары логин/пароль (например, тип аккаунта-логин-пароль или ключ SSH-passphrase)? Или дополнительно хранить адрес точки входа?
+3
keepass2

Помимо логина пароля, поддерживает любое количество custom полей (имя — значение), файлов (буквально, можно добавить файл как именованное значение), а так же одноразовые timecode (как у Google Authenticator), историю изменений всех этих полей (как минимум предыдущее значение).

Синхронизация с облаком, шифрование отдельным файлом плюс парольное (т.е. базу безопасно хранить в облаке или даже публично), поддержка кучи платформ включая мобильные. Система плагинов и простейших тригеров для автоматизации (работа с облаком на десктоп версии так и реализуется, на мобильной платформе все из коробки).

Opensource, бесплатное (есть необязательный донат, просьбу дать на пиво видел на версии для android где то раза четыре за несколько лет), без рекламы и прочего хлама.

Есть автозаполнение через нажатие кнопок (чтобы работало не только в браузере). Для android есть режим клавиатуры, чтобы не использовать уязвимый clipboard.

Правильная работа с правами на windows (можно настроить, чтобы мастер пароль вводился в uac secure desktop, таком же где выпадает окно запроса подтверждения uac), это дает некоторую защиту от простых кейлогеров, а так же шифрование данных в оперативной памяти (понятно что если машина заражена трояном, полностью защититься от нее нельзя, но усложнить жизнь вирусописателю — можно).

Ну и для галочки — удобный генератор паролей, удобная система поиска и фильтрации записей (например кому то нравится режим дерева, а кому то идеология тегов), управление архивными записями и напоминания об устаревших паролях.

p.s. я даже не понимаю, почему существуют какие то другие приложения, keepass это как вот абсолютно все что можно было бы придумать плюс еще что то и при этом остается простым и удобным.

p.p.s. мне не хватает ввода пароля/таймкодов на десктоп машине, выбрав соответствующую запись на смартфоне, это подняло бы надежность решения до практически абсолюта, т.е. можно использовать на ненадежных машинах.

Реализовать такое можно было бы в ��иде плагина и отдельного приложения для desktop/плагина к браузерам, и нет никаких принципиальных препятствий этому, кроме лени.
0
О последнем замечании, для декстопной реализации есть плагин:
github.com/pfn/keepasshttp и пара расширений chrome и mozilla

для keepass2mobile (разработчик другой, нежели у desktop версии) есть несколько плагинов для представления мобильного телефона как клавиатура по usb и по bluetooth — imputstick (порядка $35), на сайте разработчика обсуждение реализации keepasshttp нет, было пара упоминаний, что там есть какие то проблемы с необходимостью поднятия http сервера.
0
У кипаса есть проблема приличного размера, пока процесс запущен с открытой БД, любой сторонний процесс, работающий в контексте безопасности пользователя, может сделать экспорт базы в текстовый файл.
0
Как и у любого другого desktop приложения на windows, это идеологическая проблема безопасности на windows.

решение — запускать из под другого пользователя, но более правильное решение — запускать keepass на отдельном устройстве.
0
Ээээ, то есть если юзер под виндоус запускает 2 приложения (без админ прав), они могут друг другу память читать?
0

Да. И под Windows, и под Linux.


Как совсем явный пример: раньше была программа Artmoney, которая позволяла находить в играх куски памяти с жизнями, деньгами и т.д., а потом модифицировать их (например — для бесконечных жизней, патронов и тд).


Вот про Windows: https://nullprogram.com/blog/2016/09/03/


Про Linux: http://man7.org/linux/man-pages/man2/process_vm_readv.2.html

UFO landed and left these words here
+1

Наглая ложь про Artmoney (причём без пруфов, что характерно). Админ не требуется, если процесс запускался без «режима совместимости», который зачастую стартует игру от админа. Ну и без DRM, который тоже мутит воду. Мы говорим про обычные программы.


Вы можете читать память своего процесса. Чтобы читать память из произвольного, у вас должны быть права на чтение. Все права записываются в Security Token, который по умолчанию наследуется из Parent Process. То есть если был общий предок (а точнее — Windows Explorer), то у процессов одинаковый Security Token. Одинаковые token означают «одинаковые права» (за редкими DRM исключениями). Одинаковые права — это общий случай фразы «одинаковые права на процесс».


Однако если вы запустили процессы под разными пользователями (ну или в разных сессиях), то вам потребуется админ.


Детали можно найти тут: https://docs.microsoft.com/en-us/windows/desktop/procthread/process-security-and-access-rights

UFO landed and left these words here
0
Конкретно в данном случае память читать не надо, приложение-злоумышленника может послать серию WM_… команд к окну и запросить экспорт открытой базы в файл, т.е. сэмулировать действия пользователя.
-1

Простите, а в макось Вы как логинитесь?
Неужто через браузер?

0
Конечно, один пароль, для логина (он же от хранилища паролей) надо знать, но мы все же находимся в контексте ввода паролей в браузере.
0

Не соглашусь насчет контекста. Для андроида есть мобильное приложение habr. Сомневаюсь, что там ввод пароля через браузер.
А еще мне интересно, есть ли бэкап у хранилки паролей? Накроется винт, например.
Знаете, моя память пока не настолько дырява, чтобы я забыл свои пароли.

0
Знаете, моя память пока не настолько дырява, чтобы я забыл свои пароли.
У вас либо всего пара десятков аккаунтов, либо вы используете одинаковые для разных сервисов. У меня, например, за более чем полтора десятка лет использования Интернета скопилось более 300 учётных записей, которые я храню в KeePass и периодически меняю пароли для особо важных.
0

Или я умею придумывать запоминающиеся сложные пароли.
На самом деле вариантов еще больше

0
Хорошая память — это отлично, но у меня около 650 сохраненных паролей типа «7qq-gRW-73m-tqn» и моя память, видимо, уже достаточно дырява, чтобы это запомнить.

Именно поэтому мне кажется использование менеджеров паролей очень оправданным. В Эппл-экосистеме одно и то же хранилище используется для автозаполнения паролей в мобильных приложениях. Причем, в последнее время для автозаполнения достаточно распознавания лица или пальца.

Бекап хранилища ничем не отличается от бекапа обычного файла.

Другие экосистемы тоже имеют свои менеджеры паролей. Для Андроида, например, точно есть.
0

Про дырявую память: Лучший способ забыть пароль — поставить галку "запомнить пароль".
650 паролей — это прекрасно, но для меня многовато. Видимо я не такой активный пользователь интернета. При этом у меня прилично "забытых" учеток. И выручает функция восстановления пароля в крайних случаях.
Ну и да, мои пароли не меняются. Если их менять, то сразу после смены будет период мучений

0
Я пароли даже не то, чтобы забываю — я их изначально не знаю. Просто соглашаюсь с тем, который автоматически генерируется при регистрации и тот же пароль автоматически подставляется впоследствии на этом сайте, если даже я потом зашел туда с телефона.

Понятно, что для этого нужно авторизоваться, например, телефон должен узнать меня в лицо и я должен смотреть на экран в этот момент.

Конечно, раньше я тоже помнил пароли, имел системы их придумывания/вспоминания. Но все равно образуется какой-нибудь текстовый файлик в запароленном архиве с секретными данными, типа кодов восстановления двухфакторной авторизации и проч.

Но после того, как 10 лет назад я увидел, что можно это организовать на системном уровне в виде Связки ключей или другого менеджера паролей, я предпочитаю использовать эти решения.
0

Это если в контексте браузерных паролей.
А в общем случае система не работает. Для авторизации на компе и телефоне нужен пароль.
Один пароль скомпромкетирован и все пароли улетели.

0
Нет, не только браузерных полей. И на iOS и на Android есть возможность автоматического заполнения полей и в нативных приложениях.

Авторизация на телефоне через распознавания лица, на компьютере — распознавание пальца. Конечно, мастер-пароль есть, но это не «общий случай».

И конечно, компроментации этого пароля недостаточно чтобы все пароли улетели. Вход в iCloud, где пароли хранятся и синхронизируются между устройствами, защищен двухфакторной авторизацией.
0
А как менять будете, если что? Пальцы кислотой травить?
0

Вы путаете теплое с мягким.
Зачем травить пальцы кислотой?
Для смены пароля на устройстве? Сменить пароль или поменять пальчик на touch id не требует кислоты.
С моей точки зрения травить кислотой можно только для уничтожения оригинала, но какой в этом смысл?

0
Ну вот смотрите: злые хакеры с… тащили ващ touch id. Надо менять, а старым больше никогда не пользоваться. Поменяли. Хакеры украли снова. После 10-го раза заходим в тупичок (после 20-го — в ТУПИК).
0

Погодите, не так быстро.
Пусть хакеры стащили touch id.
Дальше что? Touch id — это не палец, его не приложишь к телефону, по wifi и bt не пошлешь в качестве пароля.
Почему старым больше никогда не пользоваться?

0
Тогда я что-то не понимаю.

Берётся скан пальца, из него формируется некий хэш, этим хэшем шифруются явки-адреса-пароли. Компрометация хэша-ключа => компрометация паролей. Где я не прав?
0
То есть вы считаете, что при изменении пальца в настройках вся информация прешифровывается?
0

А в чём проблема перешифровать? Дедушка старый процессор железный — ему всё равно.


У меня к аутентификации по отпечаткам пальцев вообще две претензии: 1) "ключ" практически невозможно поменять; 2) Вы неконтролируемо оставляете копии "ключа" за собой тысячи раз на дню — снять отпечатки можно не только со стакана, знаете ли.

0
1) «ключ» практически невозможно поменять;
но можно не использовать.
2) Вы неконтролируемо оставляете копии «ключа» за собой тысячи раз на дню — снять отпечатки можно не только со стакана, знаете ли.
Всё упирается в датчики. Попробуйте капиляры так же подделать, плюс кровоток.
0
Скорее, все шифруется хешем пароля от iCloud. А Touch ID — это чисто локальная для девайса вещь, она даже никуда не передается по сети.

Чтобы ее «украсть», надо не только украсть физически процессор из девайса, но и как-то переместить данные из его secure enclave в защищенную область другого процессора.

Пока таких случаев известно не было, насколько я знаю.
0
Так под биометрическими данными всё равно лежит какой-то обычный пароль, наверное
0

На андроиде touch id работает только после однократ��ого ввода пароля после перезагрузки.
Макось лишена этого нежостатка?

0
Кажется, это не недостаток, а защита от несанкционированного использования пальца) При загрузке пароль тоже спрашивается.
0

Чёта chromium не хочет запоминать пароль в новой реинкарнации.
Это новый тренд такой или лыжи не едут?

UFO landed and left these words here
0
Да, капчу я сегодня с утра оценил. Причём, в случае ввода неверного пароля, на него не ругалось ничего, а просто предлагало новую наркоманскую капчу.
0
На декстопе так и не слетела авторизация, а на планшете пришлось искать пароль от старой авторизации, но никакой капчи не вылезало.
0
Повезло.
Я на десктопе минут тридцать воздух нецензурщиной сотрясал. пока не дошло, что ввожу пароль не от Хабра и капча уже истерически ржёт надо мной.
0
Таки вылетел. Лучше поздно чем никогда. Почту не смог вспомнить. Старый адрес авторизации то же. Ручной поиск пароля так же не помог. Пришлось искать эту тему и по адресу искать старую пару почта/пароль.
+1
Сталкивался на личном опыте. Банки заставляют менять пароль с какой то периодичностью. В результате пару раз забыл, в других менялся только последний символ. Причём их СБ и слушать ничего не хочет.
0
В одной международной компании, где настойки безопасности выдавались из центрального офиса, который вообще не принимал никакие аргументы — на каждом мониторе висел стикер, на котором был столбик из паролей, где предсказуемо менялся один предпоследний символ.
0

Сорок тысяч обезьян…
Сорок одна тысяча обезьян…
Сорок две тысячи обезьян…

0

Зачем бросается ссылками на какие-то левые сайты, если единственный аргумент там — это то, что люди пытаются свои пароли запомнить, и поэтому используют простые повторяющиеся пароли?
Любой менеджер паролей сгенерирует вам неподбираемый пароль и будет хранить его до следующей смены.

0

Разные сайты сливали мои пароли, жежешечка, например. Плюс существует ненулевая вероятность перехвата паролей, даже если я и параноик, и не ввожу свои пароли на чужих компьютерах, не пользуюсь бесплатным вайфаем без VPN и мою руки, перед и зад.

-1

Я прихожу на работу и вижу окно для ввода пароля, все остальное на машине заблокировано.


Как мне поможет менеджер паролей?

+2

Вам — никак, наверное. Звоните в хелпдеск, чтобы сгенерировали вам новый пароль.


А вот если бы вы предварительно записали пароль в менеджер паролей, то менеджер паролей смог бы вам помочь.

-1
Конечно, может я не разбираюсь. Менеджер паролей позволяет открывать вход в заблокированную винду? Вот если нажать win-L, то ваш менеджер подставит пароль в это поле? А для менеджера будет свое поле ввода пароля?
+1
Не видел такого.
На макбуках, слышал, можно разблокировать по отпечатку пальца. На ноутбуках с виндой, наверное, тоже может быть такое, но я не сталкивался ни с тем, ни с другим.
Также на Хабре была статья о том, как кто-то делал разблокировку компьютера телефоном — то ли через Bluetooth, то ли с помощью NFC, а может просто через приложение, уже не помню.

Мой менеджер паролей установлен на домашнем компе и на моём телефоне, в случае рабочего компа пароль я ввожу руками подглядывая на телефоне. После двух-трёх дней пароль запоминается и потом вводится уже автоматически. Ну и при генерации пароля, который нужно вводить руками, я выбираю более-менее запоминающиеся пароли.

+5
Ну сколько можно повторять вот это, устаревшее лет на двадцать «Впрочем, периодическая смена пароля — это же одно из золотых правил информационной безопасности». Вон, уже даже тут написали, что когда такое требование в организации прописывают на уровне system policy, то пользователи начинают раз в три месяца менять последнюю цифру в своем пароле (чаще всего прибавляют к ней единицу). Нет, все равно «ды ды ды ды ды ды», «менять пароль», «информационная безопасность». Самим не надоело еще?
0

Предположим, что есть n пользователей, у каждого из которых с вероятностью P(H) [0;1] перехватили пароли. Тогда фактор безопасности в первом приближении можно считать равным Р(Н) (чем ниже, тем лучше)
После чего организация приняла волевое решение сменить пароли. Пользователи с вероятностью Р(А) произвели небольшие изменения паролей (и соответственно, с вероятностью P(S)=1-Р(А) пароли поменялись кардинально.
В итоге получаем 2 механизма утечки:


  1. Перебор на основе прошлых паролей для скомпрометированных пользователей
  2. Вездесущие стикеры на мониторах.
    Рассмотрим первый случай:
    Нет предпосылок считать, что злоумышленники абсолютно всегда будут успешно перебирать пароли, потому что есть вероятность что забьют, но мы для удобства используем вероятность что не забьют Р(NZ), которая наверняка меньше 1 и вероятность небольшой смены пароля Р(А), про которую писал выше. В любоом случае если хоть одна из этих вероятностей меньше 1, то фактор безопасности после смены паролей будет меньше старого и равен P(H)P(NZ)P(A)
    Ну а второй случай работает и без смены паролей, это проблема человеческого фактора и правильных систем инструктажей, процессов, кнутов и пряников внутри компании.
    Это не влезая в особенности каждого конкретного случая. Так что в целом с математической точки зрения, менять пароли безопаснее, чем не менять.
    Хотя есть способы и лучше, например 2 факторная аутентификация.
0
> Для удобства входа на сайт в дальнейшем можете привязать GitHub или какую-нибудь социальную сеть.

Только прежде чем это делать, вспомните о том, что «Хабрахабр» находится в реестре распространителей информации под №6 и обязан полгода хранить эти данные и предоставлять по первому требованию.
+1
TM ID will receive: your public profile and email address.

Даже не знаю, как именно надо накосячить, чтобы это стало уликой… А вообще, хабр должен хранить эту привязку вечно, иначе как вы второй раз с привязанного аккаунта залогинитесь…
+3
это плановая операция, связанная с переездом центра авторизации с адреса id.tmtm.ru на account.habr.com.

Со временем доживём и до переезда хабрахабра с habr.com на habrahabr.ru

0
Скорее до потери доступа в связи с «угрозой национальной безопасности» в рамках автономного рунета. Но это будет чёрный день календаря для всей страны.
0
Boomburum возникла проблема не с паролем, а вспомнить какое мыло то привязано было. Раньше можно было логиниться по имени пользователя так и по емейлу. Сейчас же только по емейлу. В хроме был сохранен только логин, а кастомную почту тяжело было вспомнить :)
+2
периодическая смена пароля — это же одно из золотых правил информационной безопасности

На самом деле — один из анти-шаблонов этой самой безопасности. Причём, статьи, объясняющие, почему это так, есть на самом Хабре.
0
Нет, статья была про то, что заставлять людей с постоянной периодичностью менять пароли — плохо.
А не если пользователь сам меняет для себя периодически пароль, потому что слишком часто его набирал при других, например.
0
На домашнем компьютере каким-то образом посчастливилось авторизоваться.
Внезапно оказалось, что сохранённых паролей нет, и авторизоваться под гугл-аккаунтом тоже не удалось, точнее не сразу удалось вспомнить нужный аккаунт. После этого внезапно подхватило нужный аккаунт и всё удалось.
Попытался повторить тот же фокус на офисном — и неудача. При выборе нужного гугл-аккаунта мне предлагалось заново зарегистрироваться — не исключаю, что при первой удачной авторизации слетела привязка аккаунта, иначе я чего-то не понимаю.
По тим-вьюверу зашёл на домашний комп, полазил по настройкам аккаунта, нашел страничку привязку сторонних аккаунтов, привязал нужный, после этого успешно авторизовался на офисном компьютере.
0
А мне иногда снится кошмар, что я забыл все свои пароли.
Просыпаюсь в судорожных попытках вспомнить хотя бы один из них.
0
Сделайте счетчик посещения страницы с профилем пользователя, пожалуйста.
0
Извините за оффтоп, но хотелось бы, пользуясь случаем попросить галочку в настройках, чтобы всегда в комментариях маркдаун синтаксис работал. Постоянно забываю нажать и приходится редактировать
Only those users with full accounts are able to leave comments., please.