Как стать автором
Обновить

Комментарии 35

НЛО прилетело и опубликовало эту надпись здесь
Сейчас особо одаренные сайтостроители «в соответствие с лучшими практиками» (ой ли) делают двухэтажный вход: сначала логин, отправка формы, потом пароль. Автоввод Кипаса не работает с таким безобразием, как победить — пока не понял.

В Keepass автоввод можно гибко настроить под любой порядок ввода логина и пароля

Через костыль {DELAY xxxx} решил, но пошагово не получается — заголовок окна одинаковый, кипас не видит разницу.
Альфа-Банк например, поломал все, даже не пользуясь keepass, надо использовать клавиатуру и мышь для ввода логина и пароля, только кликнув в нужное поле, можно вводить текст, что жутко не удобно и очень раздражает, особенно после двухэтажного входа. Руки бы тому менеджеру оторвать. Поэтому с ПК не пользуюсь вообще.
PS недавно они «освежили» дизайн. Если бы убрали двухэтажный вход, было бы идеально.
Почти идеально

но пошагово не получается

Это как? Перефразируйте. Вы два раза нажимаете ctrl+alt+a?
Я лично таким образом большинство двухэтажных форм победил.
Заголовок спойлера
{USERNAME}{ENTER}{DELAY 2300}{PASSWORD}{ENTER}

Или так.
Заголовок спойлера
{USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 3000}{TOTP}{ENTER}

Через костыль {DELAY xxxx}

Это не костыль, оно специально для таких форм и создано.
Это не костыль, оно специально для таких форм и создано.
Кажется, это и есть определение костыля, не для кипаса, а для таких идиотских форм, а их все больше.

Юзерям тяжелее пропагандировать менеджеры паролей, когда с точки зрения этого самого юзера для ввода л/п ему надо провести сложный магический ритуал.
Альфу удалось победить только так, пока работает
Заголовок спойлера
{CLEARFIELD}{USERNAME}{ENTER}{DELAY 1500}{TAB}{TAB}{PASSWORD}{ENTER}
Не знаю как у Keepass, но у KeePassXC надо нажать правой кнопкой по полю пароля и выбрать запись.
НЛО прилетело и опубликовало эту надпись здесь
Скажем так не намного безопаснее чем использовать qwerty123 в качестве пароля. «Никакая информация в интернете никогда не может быть в безопасности» — это аксиома.
НЛО прилетело и опубликовало эту надпись здесь

… а с другого устройства вы как логинитесь?

У меня в бразуере открыта куча вкладок и при загрузке они открываются неактивными и не потребляют памяти, с какой-то версси ЛастПасс начал добавлять JavaScript во все страницы и тут же, при старте каждая вкладка стала отжирать по 10 метров и вместо 100мб, браузер захавал около 10Гб. Прощу прощения, за «поток сознания», но прежде чем сменить менеджер паролей или, даже версию, приходится проверять и такие вещи.

Я использую персональный битварден и не в виде расширения браузера, а отдельным приложением, просто оттуда копирую то что нужно. Так лучше?

НЛО прилетело и опубликовало эту надпись здесь

Относительно небезопасно, лучше - отдельным приложением. С точки зрения векторов атаки, рассматриваемых в статье, не важно оффлайн или онлайн, важно, что расширение фундаментально более уязвимо.

мне кажется, что статья в принципе про то, что через джаваскрипт можно все стащить, не важно где хостится твой блоб.

Тут важно не столько зашифрованный блоб из базы данных на онлайн серверах менеджера паролей, сколько то, что расширение вводит на странице расшифрованные данные и их можно перехватить

От фишинга не будет защиты, всё ещё можно обмануться похожей на реальную страницу.

Если пароль сохранён в хром, то он не заполнится автоматически (адрес то другой, хоть внешне и похоже), а это повод перепроверить, что там в адресной строке.

А вот если вручную копировать пароли и вставлять туда, где похоже выглядит, то тогда это проблема

Да, я как раз про второй случай, когда исполтзуется отдельное приложение.

Епрст.

Уже сам заголовок наводит выглядит небезопасно.

Использование менеджера паролей, соединённого с браузером, хорошо защищает от тупого фишинга. Если вы зайдёте на роrn.com вместо porn.com, то он просто не станет предлагать ввести пароль.
Использование онлайн менеджера паролей так же является их бэкапом, на который все так часто забивают.
Так что ещё вопрос: если отключить функцию автоматической вставки паролей, то есть ли реализуемый на практике вектор атаки по стыриванию паролей, столь же реальный, как и фишинг.

Я провел немало времени, чтобы понять, что такое "поверхность атаки". А вы?

Эх… имхо, тот случай, когда смысл теряется из-за буквального перевода.

Регулярно встречается. Например panic attack.

Как-то перед внутренним взором автоматически нарисовалась поверхность (именно в геометрическом смысле), натянутая на вектора атаки (именно в виде стрелочек) и мне настолько картинка целостной показалась, что вопрос сам отвалился)

Всегда стоит вспомнить классику.
xakep.ru/2006/12/16/35784

А в целом — безопасность это про компромисс. Автор предлагает использовать браузерную функциональность, но никак не поясняет, что делать, когда ты хранишь пароли не для браузера, или двухфакторный калькулятор, или у тебя украли комп, или у тебя те же сайты на телефоне, и тебе надо второй раз все пароли вводить (считаем, что мы не используем синхронизацию паролей, потому что автор против неё).

Или тебе надо хранить сканы документов, шифрованные записки, и т.д.

текст на века ​

Менеджер Bitwarden в виде расширения браузера не использует скрипты контента для вставки пароля. В данном случае чем опасно его использование?

  1. Расширение браузера спасает от банального фишинга – пароль не подставится, если адрес/страница не те, что записаны в менеджере паролей

  2. Браузеры сегодня не поставляют функционал крипто-блокнотов или хранилища файлов

  3. Также они не умеют объединять пароли в группы, например, если хочется сделать отдельный кошелёк для видео-подписок и шарить его с семьёй

  4. В случае дефейса – вообще без разницы, кто источник введённого пароля, т.к. даже при ручном вводе пароль попабает на страницу с чужими скриптами

  5. Нормальный менеджер паролей не предлагает/не подставляет пароли каждый раз, при входе на сайт. Функционал должен отключаться по истечении каких-то первых минут использования

  6. Используя не расширение браузера, а отдельное приложение – люди не только могут не заметить фишинг, но и перемещают свои пароли через буфер обмена на ту же страницу. JS с ним также умеет работать, а ещё другие фоновые приложения...

  7. Браузерные автофиллы работают как-то таки странно и не сильно завязываются на адрес страниц, как следствие можешь засветить пароль от ресурса А на ресурсе Б

  8. Имхо – в большинстве случаев, при осознанном подходе, использовать менеджеры паролей таки будет лучше, чем браузер, который у тебя может синкаться с незапаролленым планшетом, соответственно все пароли утекают, при потере одного устройства. Либо ты шаришь пасс с семьёй путём копирования и теряют девайс они

  9. Также сомневаюсь, что многие простые пользователи дополнительно устанавливают мастер-пароль в браузер, а менеджер паролей, даже в виде расширения, этот момент обязательно учитывает

В целом посыл у автора хороший, но не без изъянов. В некоторых ситуациях выводы автора напротив могут привести к состоянию угрозы

На злобу дня – в одном из менеджеров паролей был плохой рандом

https://donjon.ledger.com/kaspersky-password-manager/

Зарегистрируйтесь на Хабре , чтобы оставить комментарий