Комментарии 32
Да без разницы — как вообще можно доверять свои пароли стороннему сервису? Единственный надёжный вариант — это опенсорсное приложение, полностью работающее на вашем компе, например KeePass. А для доступа с разных устройств БД этого приложения (зашифрованную, само собой), можно синхронизировать через что угодно, даже Dropbox.
Сервер для хранения — не самый критичный момент, особенно если то, что на нём хранится, было зашифровано на клиенте ключом, известным только самому клиенту. Как в случае с хранением базы KeePass в Dropbox или зашифрованных бэкапов в любом публичном облаке.
Совсем другое дело, когда клиентом является, по сути, сторонний веб-сервис вроде LastPass. Сегодня он присылает в браузер надёжный код, который всё шифрует в браузере и передаёт на сервера LastPass только зашифрованные данные без ключа дешифрования… а что он пришлёт завтра?
И никакой опенсорс здесь уже не спасёт, потому что никто не знает, что на самом деле запущено на серверах LastPass. Чтобы такой сервис стал безопасен необходимо скачивать его в исходниках и запускать на своём сервере — а это гораздо больше мороки, чем использовать локальное приложение вроде KeePass.
полностью работающее на вашем компе
Полностью работающее не на вашем компе, а на отдельной железке без зондов, Management Engine, проприетарных операционных систем и возможности динамической загрузки/исполнения кода.
Да! А такая есть? :)
Сделайте :)
STM32F103 имеет и USB (для эмуляции клавиатуры), и набортную флеш, и пока вы сами не сделаете — не сможете динамически загружать софт в железку.
Да, для действительно секурного хранения данных используется отдельный класс микроконтроллеров (с элементом безопасности на кристалле), но
- Их простым смертным особо не продают (гуглить NXP Secure MCU)
- Ваш логин от вконтактика/хабры столько не стоит
USB-девайсы для паролей не новость, хоть самодельные, хоть покупные. Но пока этот девайс подключен к компу с той самой OS (и даже не обязательно проприетарной) общего назначения с тьмой софта, работающей на железе с ME — отличия от KeePass совершенно непринципиальные. Чтобы пароль ввести в формочке в браузере его надо как-то в этот браузер передать, и если OS скомпрометирована или ME любопытствует — они что из KeePass что из USB его получат в момент передачи.
Вариант когда USB девайс пароли не передаёт вообще, а работает по схеме уникальный запрос/ответ будет понадёжнее, но на 99.999% сайтов/сервисов такой способ логиниться всё-равно не поддерживается, так что смысла на это заморачиваться пока что нет.
На данный момент комбинация KeePass на компе плюс 2FA через OTP приложение на телефоне — самый надёжный, и даже поддерживается многими сайтами.
Внешнее устройство позволяет решить как минимум одну проблему — атаку по времени. У зловреда не будет возможности анализировать содержимое контейнера с паролями, поскольку у него не будет физического доступа к нему.
А про ОСь и ME все правильно сказано, да.
работает по схеме уникальный запрос/ответ будет понадёжнее
кажется скоро его время может и прийти
Вариант когда USB девайс пароли не передаёт вообще, а работает по схеме уникальный запрос/ответ
Возрадуйтесь, стандарт наконец принят: "Web Authentication"
https://www.w3.org/TR/2018/CR-webauthn-20180320/
Супервизора в Cortex M3 (в отличие от А15 и круче, как и М23/М33, которые еще не вышли) не предусмотрено архитектурой (да там даже Memory Protection Unit нет), но фактически гарантий никаких.
Проблема в том, что при наличии физического доступа — можно запустить bootloader, закинуть сверхмаленькую прошивку, которая сольет все содержимое по открытому каналу.
Спасибо, читал ещё когда она вышла. Как по мне — не очень актуально, если система скомпрометирована и там работает кейлоггер, то оппаньки. Пытаться защищаться можно, но по факту проще предотвратить изначальный взлом системы, чем бороться с последствиями. У меня KeePassXC и линух. Он использует вроде какие-то доп.меры предосторожности вроде защиты секретных значений в памяти, etc. Но я больше полагаюсь на hardened ядро ОС, регулярные обновления, файрвол и тщательный выбор всех сервисов/приложений, которые доступны по сети (браузер прикрывает, в основном, uMatrix).
Таким образом, Mozilla знает о проблеме, как минимум, 18 месяцев, а 8 месяцев назад даже опубликовала эту информацию. В чём же дело? Судя по всему, проблему не посчитали слишком важной.
Дело в том, что и синхронизация, и менеджер паролей (об уязвимости которого недавно писали многие) давно уже числятся в Roadmap на текущий, 2018 год. И наверное всё это будет реализовано. У разработчиков и без этого дел по горло, видимо поэтому и затянули решение проблемы. Хотя как качественно всё это будет реализовано — пока не известно, может статься что проблема останется или мутирует.
Я храню в голове свои 8+ значные пароли и рабочие 15+ знаков.
Запоминаются сами, путем ввода каждый день либо раз в неделю.
IP адреса в голове держаться тоже… не знаю что со мной не так.
Прошлый админ на работе хранил пароли на бумажном блокнотике, в целом очень таки удобно. Но потом я блокнот выкинул.
обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.
миллионы пользователей, которые тупо меняли пароли каждые три месяца, выбирая строчные и прописные буквы, цифры и специальные символы, интуитивно чувствовали абсурдность этого процесса — и теперь они тоже могут вздохнуть с облегчением. Новые правила предполагают использование парольных фраз, которые гораздо легче запомнить. Это могут быть строчки из стихотворения или произвольные предложения. Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов. Это более сложно, чем сбрутить восьмисимвольный пароль с произвольными символами.
geektimes.com/post/291907
Вот тут чушь какая-то написана.
«может обсчитать 3,2 миллиона хэшей PBKDF2-HMAC-SHA1 в секунду» означает скорость перебора, но никак не 3,2 миллиона совпавших хэшей. За эту секунду работы полного перебора ни один из этих 3.2млн хешей может не совпасть. Т.е. это никак не «3,2 миллиона угаданных паролей в секунду.», а «3,2 миллиона потенциальных вариантов паролей в секунду.». В реальности она может 3 дня или 3 месяца перебирать по 3,2 миллиона хэшей в секунду и не найти совпадения.
На остальные, которые не жалко, можно и простые пароли ставить.
Пароли при этом можно хранить хоть где, в том числе в браузерах. Злоумышленник всё равно не получит доступ, т.к. будет заходить с необычным IP и без куков.
Таким образом, Mozilla знает о проблеме, как минимум, 18 месяцев, а 8 месяцев назад даже опубликовала эту информацию. В чём же дело?
В том, что готовят новый менеджер паролей.
habr.com/company/defconru/blog/260383
habr.com/post/275443
geektimes.com/post/287240
и т.д.
Можно ли доверять свои пароли синхронизации Chrome и Firefox?