Comments 110
Даааа, отключены
-12
Я, в общем, и не призываю вас мне верить — точнее, призываю вас мне не верить. Cкачайте vPass и запускайте со своего компьютера.
+12
Мне достаточно узнать ваш мастер-пароль чтобы узнать все (мало того) текущие пароли. И плюс к этому подбирать любые будущие смогу?
0
Если вы будете вводить 12345, то да, у вас проблемы.
P.S. 40-значные сложные пароли за разумное время не ломаются.
P.S. 40-значные сложные пароли за разумное время не ломаются.
0
Мне не нужно их ломать, перебор сокращаяется до мастерпароля + узкого набора слов (допустим я для гугла генерю себе пароль, я не буду фантазировать сильно а введу что-то связанное с гуглом, ибо тупо потеряю пароль в следующий раз когда не вспомню зависимое слово)
0
Чуточку фантазии. Введите свой мастер пароль (пусть даже не самый сложный), а в графу сайт — мастер_пароль.мастер_пароль (тут уж нужна ваша фантазия). Скопируйте этот (40, для надежности 140 значный) пароль и уже его введите как мастер пароль, а уже к этому паролю пишите google.com.
На один шаг больше, спите крепко).
На один шаг больше, спите крепко).
0
[/sarcasm]
-3
Вы уж меня простите, но все это очень подозрительно, особенно после прочтения соседней статьи.
habrahabr.ru/post/149924/#comment_5074913
habrahabr.ru/post/149924/#comment_5074913
-5
Ошибся и написал ответ вам ниже.
0
И если можно, еще пара копеек по поводу истории с Яндекс-кошельком и vPass.
— vPass — какая-никакая защита от кейлоггеров (вы не набираете конечный пароль руками).
— проблема яндекс-денег — в отсутствии обязательной усиленной авторизации. Например в Qiwi любая операция подтверждается кодом через SMS. То же можно включить в Google Accounts.
— и еще раз — воспринимайте сайт vpass.info как демо версию. Набирайте реальные пароли только в локально сохраненной копии.
— vPass — какая-никакая защита от кейлоггеров (вы не набираете конечный пароль руками).
— проблема яндекс-денег — в отсутствии обязательной усиленной авторизации. Например в Qiwi любая операция подтверждается кодом через SMS. То же можно включить в Google Accounts.
— и еще раз — воспринимайте сайт vpass.info как демо версию. Набирайте реальные пароли только в локально сохраненной копии.
+2
ок, мне одному кажется, что поставленные минусы очень подозрительны? :-)
-10
какая-никакая защита от кейлоггеровИмхо, как раз тут нет никакой защиты в принципе… Фишка в том, что большинство троянов/кейлоггеров (по крайне мере, с которыми мне приходилось сталкиваться) перехватывают не только ввод с клавиатуры, но и буфер обмена, заголовок активного окна и, если это браузер, адресную строку. К тому же есть те, которые умудряются «выковыривать» данные прямо из активного поля ввода. Т.о. когда вводим мастер пароль, то «хозяин» трояна/кейлоггера получает все(!) ваши пароли.
+1
Эту проблему решит подобное приложение под андроид, если ещё нет в маркете подобного, можно реализовать :)
+1
Да, это на много лучше, чем на неизвестно чьем компе вбивать мастер пароль.
Но… Если пароль спалился, то поменять его уже сложнее — в том смысле, что пароль генерится с привязкой к доменному имени.
А ведь большинство айтишников введя пароль на чужом/сомнительном компе захотят как можно быстрее его (пароль) сменить, имхо.
Но… Если пароль спалился, то поменять его уже сложнее — в том смысле, что пароль генерится с привязкой к доменному имени.
А ведь большинство айтишников введя пароль на чужом/сомнительном компе захотят как можно быстрее его (пароль) сменить, имхо.
+1
Интуиция меня не подвела — первые комментарии именно о доверии сервису. И это правильно! Смотрите «скачать на свой компьютер»
0
Не везде будет работать. Например, мне сгенерировался пароль, состоящий исключительно из букв.
+1
Ух ты, не сталкивался с таким. Поправлю!
+1
master password = 1
domain = 1
length = 16
password = jAflGMHNyvkARfle
domain = 1
length = 16
password = jAflGMHNyvkARfle
+2
Если Вы поправите, то старые пароли не будут воспроизводиться, мне кажется.
Мне страшно хранить пароли таким способом. Если в KeepPassX, к примеру, можно периодически менять как пароли, так и мастер-пароль, то тут непонятно, что делать в случае утечки мастер-пароля. Ещё в KeepPassX поиск можно делать по базе, если вдруг забыл, под каким именем зарегистрировался.
Мне страшно хранить пароли таким способом. Если в KeepPassX, к примеру, можно периодически менять как пароли, так и мастер-пароль, то тут непонятно, что делать в случае утечки мастер-пароля. Ещё в KeepPassX поиск можно делать по базе, если вдруг забыл, под каким именем зарегистрировался.
0
Да, хорошо было бы добавить опции с символами или без.
+2
Сервис генерации паролей из которого вы можете взять параметры генерации
0
Генератор паролей, не знающий про SSL. Ок.
-4
А есть практический смысл заводить SSL для него? Никакого обмена данными между клиентом и сервером не происходит.
+7
UFO just landed and posted this here
Я пользовался 1Password — но
1) нужны пароли на телефоне
2) на планшете
3) на чужих компах
И пришел к выводу, что менеджер паролей — это добро, но не для меня.
1) нужны пароли на телефоне
2) на планшете
3) на чужих компах
И пришел к выводу, что менеджер паролей — это добро, но не для меня.
-1
UFO just landed and posted this here
Keepass есть для большинства платформ, включая Android. Базу можно расшарить в любом облаке
+2
Если база 1Password хранится в Dropbox, то никаких проблем получить доступ к ней с другого компьютера нет, ибо есть help.agilebits.com/1Password3/1passwordanywhere.html. Другое дело, что нужно или делать его файлы публичными, или авторизироваться на чужих компьютерах в дропбоксе.
0
Я без какой либо рекламы 7 лет пользуюсь Робоформом
пароли на iphone и андроид есть приложение
на планшет тоже имеется
на чужих компах через онлайн сервис
Меня просто удовлетворяют ваши критерии и эта программка мне помогает… у меня более 1,5К паролей
пароли на iphone и андроид есть приложение
на планшет тоже имеется
на чужих компах через онлайн сервис
Меня просто удовлетворяют ваши критерии и эта программка мне помогает… у меня более 1,5К паролей
0
Я рисовал в свое время иконку для Roboform — эту, с глазами :) Это был единственный в моей длинной истории клиент, который позволил себе мат в переписке. (Да, давно дело было) Так что увы, Робоформ не буду использовать принципиально.
0
Ctrl-C для паролей очень безопасно, первый логгер сразу отправит скопированный буфер в нужное место.
+2
Ну против этого лома нет приема. Только вставлять сгенерированный пароль сразу в текущее поле на веб-странице. В принципе из chrome-расширения это можно сделать (насчет safai не знаю). Подумаю!
0
А Ctrl-W, емнип, и вовсе во многих браузерах забинден на закрытие текущего таба.
А если работаешь со всякими вимператорах / пентадактилях, так вообще придётся Ctrl-Z предварительно нажимать, иначе оно сработает совсем не так, как ожидается (:
А если работаешь со всякими вимператорах / пентадактилях, так вообще придётся Ctrl-Z предварительно нажимать, иначе оно сработает совсем не так, как ожидается (:
+2
Почему? Открывается же новый таб.
0
У меня ff + вимператор. При включенном режиме понятное дело ничего не работает. А если я его отключаю, то после «Введите мастер-пароль, Ctrl-C, Ctrl-W, готово!» вкладка закрывается. ЧЯДНТ?
+1
supergenpass.com ну ведь тоже самое, даже поля так же называются
+3
Именно — как я написал на сайте — Я позаимствовал идею у SuperGenPass, но остался недоволен его интерфейсом. Поэтому был создан vPass.
0
В копилку мой thepassword.org
Из плюсов — сайтонезависимая простая формула pass=md5(login+"@"+site+masterpass)
Из плюсов — сайтонезависимая простая формула pass=md5(login+"@"+site+masterpass)
0
возможно ли получить мастер-пароль, зная домен и пароль?
+2
Хотел сразу ответить нет конечно — затем обратил внимание что алгоритм, который я использую сейчас (TEA), теоретически decryptable. Спасибо за наводку mwizard — поменяю на PBKDF2 в течение дня.
0
Доверять обфусцированному коду как-то не хочется, да и какими алгоритмами это дело шифруется не написано. Больше открытости! :)
0
#!/bin/sh
dopasswd ()
{
password=''
while [ `echo "${password}" | wc -L` -ne ${1} ]; do
password=`head -1 /dev/random | sed -E 's/[^a-zA-Z0-9]//g' | cut -c 1-${1}`
done
}
dopasswd ${1}
echo $password
-2
Спасибо, тоже вариант. А как это быстро открыть на телефоне? А на чужом компе? Все равно веб-морда понадобится.
+2
UFO just landed and posted this here
Кстати, спасибо всем комментаторам за полезную дискуссию!
0
И главный вопрос, который встает при такой схеме генерации паролей: как поменять пароль для сервиса, который был скомпрометирован?
+6
Хм, например, изменить длину пароля при генерации для данного сервиса?
Правда, опять же, придется это запоминать… )
Правда, опять же, придется это запоминать… )
0
В своем аналогичном приложении я просто сделал несколько полей, одно из которых — sequence. В случае, если возникает стойкое желание сменить пароль, увеличиваем sequence на единицу и новый пароль готов.
0
зачем изобретать велосипед? есть великое множество менеджеров паролей для разных систем.
Сам юзаю kwalletmanager
Сам юзаю kwalletmanager
+2
На свой домен поставить можно? На каких условиях?
0
Конечно можно — условий нет. Единственное что я сегодня по свежим комментам буду (вечером) делать обновления.
0
Ctrl-C, Ctrl-W, готово! Вкладка закрыта! )))))
+7
Да вы, батенька, шутник. Эт я про Ctrl+W ) Хотя тут и без меня много таких внимательных. :)
+1
Что ли бухгалтерии подкинуть, которая пароли сложные забывает? мастер пароль — фамилия. домен — инвентарный номер компьютера.
-2
Возможно, стоит иметь оба поля — логин и домен/сервис, чтобы, например для разных эккаунтов на одном домене, а также для одинаковых логинов на разных доменах были разные пароли. А также, чтобы не запоминать, для какого сервиса при генерации использовался логин, а для какого — домен.
P.S. У самого была идея подобного генератора, только руки не дошли. (
P.S. У самого была идея подобного генератора, только руки не дошли. (
+1
+ добавить extension для chrome чтобы в трей нажал, ввел мастер пароль и он тебее выдал в буфер пароль либо сразу подставил в input password на странице.
+ чтобы в настройках можно было бы менять конструкцию сборки паролей. то есть использовать не просто ваш один алгоритм, а для паранойиков (для меня), чтобы можно было бы алгоритм поменять, причем не из списка имеющихся, чтобы не смогли подобрать если узнают мастер пароль.
+ чтобы в настройках можно было бы менять конструкцию сборки паролей. то есть использовать не просто ваш один алгоритм, а для паранойиков (для меня), чтобы можно было бы алгоритм поменять, причем не из списка имеющихся, чтобы не смогли подобрать если узнают мастер пароль.
0
у меня давно в закладках следующий javascript который генерит пароли pastebin.com/es6qSAmZ
не надо переходить по непонятным сайтам, все делает ваш браузер
не надо переходить по непонятным сайтам, все делает ваш браузер
0
Я подобное реализовал для Android давно. Как не прескорбно, но люди не совсем понимают идею таково приложения.
Хотя установок уже почти 10.000
play.google.com/store/apps/details?id=com.thenatd.masterpassword
И для Desktop на WPF + C#.
Кстати, тут подняли хороший вопрос в коментариях, что делать если нужно сменить пароль, надо будет апдейт к своей апп сделать.
Хотя установок уже почти 10.000
play.google.com/store/apps/details?id=com.thenatd.masterpassword
И для Desktop на WPF + C#.
Кстати, тут подняли хороший вопрос в коментариях, что делать если нужно сменить пароль, надо будет апдейт к своей апп сделать.
0
UFO just landed and posted this here
, Ctrl-C, Ctrl-W, готово! скопировал и закрыл вкладку?
0
все равно перебор по радуге или по «популярным» вхождениям… ошибаюсь?
0
Мастер пароль никак не проверяется, и если я допущу опечатку при генерации нового пароля, то не смогу его восстановить.
0
А как он должен проверятся, если суть не хранить вообще никаких данных а полагатся только на алгоритм.
0
да, как заметил FanKiLL — мастер пароль нигде не хранится, поэтому как его проверить. Вариант — checkbox show master password (если вы точно знаете, что никто за плечом не стоит).
0
Хороший сервис уже второй день пользуюсь.
0
Sign up to leave a comment.
vPass: страничка на Javascript для максимума безопасности и минимума мучений при работе с паролями