Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Mozilla представила новые функции защиты конфиденциальности пользователей для Firefox

ITSummaFirefoxИнформационная безопасностьРасширения для браузеровБраузеры


Вчера, 22 октября, в официальном блоге Mozilla разработчики Firefox представили новые функции браузера, призванные повысить конфиденциальность пользователей при посещении сайтов и дающие возможность отслеживать, какие веб-ресурсы пытаются собирать персональные данные посетителей.

В основу новых функций легла система блокировки сторонних Cookies и криптомайнеров, которая ранее работала «под капотом» Firefox.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры7.2K
Комментарии 2

Менеджер паролей в Firefox будет полагаться на защиту аккаунта Windows

FirefoxИнформационная безопасностьРасширения для браузеровБраузеры
image

Mozilla изменила менеджер паролей Firefox Lockwise для защиты от посторонних людей, которые могли бы воспользоваться компьютером, пишет Bleeping Computer. Теперь верификация паролей будет происходить с помощью учётной записи Windows.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры2.6K
Комментарии 11

ИБ-исследователь раскритиковал LastPass за 7 встроенных трекеров для Android

Информационная безопасностьКонтекстная рекламаУправление продажами

Исследователь безопасности Майк Кукетц рекомендовал не использовать диспетчер паролей LastPass для Android, поскольку обнаружил в нем семь встроенных трекеров. Производитель программного обеспечения заявляет, что пользователи могут отказаться от трекинга, если захотят.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры3.9K
Комментарии 9

Менеджер паролей в Firefox. Синхронизация на нескольких компьютерах

Firefox
Задача:
Есть добрая сотня аккаунтов на разных сайтах. Требуется свести к минимуму введения логина/пароля (одним кликом), при этом:
— предусмотреть способ для синхронизации данных с аккаунтов между рабочим и домашним компьютером
— соблюсти все меры безопасности, во избежании кражи паролей
— решение должно быть кроссплатформенным
Итак, моё решение этой задачи.
Всего голосов 11: ↑9 и ↓2 +7
Просмотры6.8K
Комментарии 23

Safari и Chrome: худшие менеджеры паролей

Информационная безопасность
Safari и Chrome разделили последнее место в рейтинге на лучший менеджер паролей среди всех браузеров, с точки зрения безопасности. Эти браузеры провалили 19 из 21 параметров, которые проверялись во время тестирования, и получили общую оценку «два». Главная проблема в том, что в них так и не исправлен серьёзный баг, обнаруженный для Firefox два года назад. Этот баг позволяет злоумышленнику получать пароли из браузера с помощью специального элемента на веб-странице. Он действует для всех браузеров, однако в Safari его так и не исправили, ну а Chrome вышел на том же движке WebKit, что и Safari.

Internet Explorer сдал тест на «пятёрку» (5 из 21), ну а лидерами оказались Opera 9.62 и Firefox 3.0.4: они соответствуют нормам безопасности по 7 параметрам из 21.

В итоговой таблице можно найти полные результаты, а также подробное описание каждого пункта, по которому осуществлялось тестирование.

Кстати, на сайте Chapin Information Services можно проверить свой собственный браузер на том же наборе тестов.
Всего голосов 52: ↑51 и ↓1 +50
Просмотры4K
Комментарии 43

KeyDB: портативный мендежер паролей

Чулан
Перевод
Я большой любитель менеджеров паролей, потому что все время забываю свои пароли. Причиной моей забывчивости является тот факт, что я всегда придумываю очень сложные пароли, которые будет трудно взломать или разгадать.

Одна из замечательных особенностей менеджеров паролей это шифрование и портативность. От менеджера паролей требуется шифрование, поскольку дополнительная безопасность никогда не помешает, и портативность, потому что менеджер паролей тем и хорош, что его можно везде с собой взять. Я много путешествую и использую разные компьютеры, поэтому хочу, чтобы мои пароли всегда были со мной.

KeyDb является небольшим и простым приложением, включающим в себя вышеперечисленные особенности.

Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры447
Комментарии 8

Ботнет Torpig захватили для исследований

Информационная безопасность
Исследователи из Университета Калифорнии опубликовали результаты анализа взломанного ботнета Torpig, управление над которым удалось перехватить не так давно (PDF). К сожалению, через десять дней клиентские модули обновились и связь с ними была потеряна. Однако, собранная даже за это время информации позволяет подробно изучить, как работают ботнеты и насколько они эффективны. За данный период через ботнет прошло 70 ГБ информации: это заполняемые формы в браузере, почтовая переписка и различные пароли. Интересно, что специалистам удалось слёту расшифровать 56 000 паролей буквально в течение часа.

Получить управление над ботнетом Torpig (также известном как Sinowal) удалось благодаря расшифровке метода, с помощью которого клиентские машины ежедневно генерируют список ещё не зарегистрированных доменов.


Читать дальше →
Всего голосов 100: ↑97 и ↓3 +94
Просмотры1.3K
Комментарии 67

Онлайн менеджер паролей

Я пиарюсь
Рад представить онлайн менеджер паролей – KeyMemo.com.

Сразу спешу ответить на вопрос – «Как можно хранить свои пароли на каком-то сайте?»
Все очень просто, все пароли шифруются на стороне клиента, в браузере, с помощью алгоритмов AES256 и Blowfish реализованных на JavaScript. Только после шифрования ваши данные передаются по протоколу https на сервер. Ключи шифрования для алгоритмов разные и не передаются на сервер. Все поля каждого пароля (название, теги, примечание и пр. ) шифруются, логин пользователя тоже шифруется. В результате на сервере хранится только анонимный «мусор», ломать ради него сервер бессмысленно.

image


Читать дальше →
Всего голосов 128: ↑106 и ↓22 +84
Просмотры3.8K
Комментарии 273

Paranotic — для заметок, для паролей

Я пиарюсь
Я хочу поделиться с вами необычным менеджером паролей (for Win), который сделал около года назад. Думаю, что теперь его не стыдно показать и возможно он найдет здесь своих пользователей: www.paranotic.com

Год назад объем моих паролей от хостингов, регистраторов, FTP и email аккаунтов превысил пресловутые 10% возможностей мозга. Я, как и многие здесь, генерировал пароли по какому-то своему алгоритму, так, чтобы можно было всегда вспомнить, а также имел набор «проверенных временем» и «исторически сложившихся» паролей.

Конечно, у меня был и «файлик», в зашифрованном контейнере, куда я старался все сохранять. В конце концов, все это стало жутко неудобно и, главное, небезопасно. И я стал искать менеджер паролей…

Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Просмотры1.8K
Комментарии 14

Хранение паролей без их сохранения (развитие темы)

Информационная безопасность
Сегодня залез в песочницу и наткнулся на статью о хранении паролей без их сохранения (больше нету, сохранённая копия здесь). Не знаю, как вам, но мне идея показалась интересной.

Мне часто приходится придумывать, запоминать и хранить множество паролей…
Но, увы, для меня использование консольной утилиты для «нахождения» нужного пароля не всегда удобно.

Для себя я сделал онлайн-аналог утилиты автора статьи. Даже сохранил с ней обратную совместимость (используется такой же алгоритм хэширования и «алфавит»).
Читать дальше →
Всего голосов 35: ↑30 и ↓5 +25
Просмотры4.3K
Комментарии 58

Хранение паролей без их сохранения

Информационная безопасностьКриптографияПрограммирование
Из песочницы
Здравствуйте. Примерно два года назад на Хабрахабре я из некого комментария познакомился с интересным способом хранения паролей без их сохранения. Фраза выглядит странно, но более точно описать род этой программы мне не получилось. Способ заключается в том, что для получения пароля к конкретной учетной записи на конкретном сайте необходимо загнать в хэш-функцию строку, «склеенную» из мастер-пароля, адреса сайта, и логина на сайте.
keyword+sitename+login
В данной строке keyword – это мастер-пароль, используемый для «хранения» паролей ко всем сайтам. Далее идет адрес сайта, затем логин. Загнав в хэш-функцию данную строку, мы получим на выходе строку символов, которую полностью или частично можно использовать в качестве пароля к данной учетной записи на данном сайте. Ключевое слово в начале строки обеспечивает невозможность узнать пароль, если известны адрес сайта и логин. Длина результата хэш-функции более чем предостаточна для пароля. Но надежность пароля все равно оставляет желать лучшего. Каждый символ такого пароля может принимать только одно 16-ти значений, так как результатом хэш-функции является строка чисел в шестнадцатеричном представлении.
Я попытался исправить этот недостаток. Далее расскажу как.
Читать дальше →
Всего голосов 50: ↑18 и ↓32 -14
Просмотры9.6K
Комментарии 74

StoreBirds — главный конкурент для LastPass

Я пиарюсь
Привет, Хабр. Наконец-то пришло время познакомить вас со своим проектом под названием "StoreBirds". Он являет собой свободный менеджер паролей и заполнитель форм в виде плагина для браузера «Chrome». Давайте я расскажу вам что мотивировало мною к созданию «StoreBirds», какие его основные особенности и почему меня не привлекла идея использования в качестве менеджера паролей столь популярный «LastPass»…
Читать дальше →
Всего голосов 60: ↑36 и ↓24 +12
Просмотры1.4K
Комментарии 85

StoreBirds — новый дизайн

Google Chrome
Привет всем. Прошло четыре с половиной месяца с тех пор как была опубликована первая статья о проектe StoreBirds –свободном менеджере паролей для браузера Chrome с возможностью установки серверной части на своем хосте. В комментариях под ней мне четко дали понять, что дизайн сайта проекта никуда не годится и без него дороги нет, к тому же сайт был на английском языке (скорее, даже, на ломаном английском:) ). Ну, собственно, наконец было найдено время на смену дизайна проекта и полный его перевод на русский язык. Что с того получилось, смотрите под катом.


Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры1.4K
Комментарии 12

Менеджер паролей с web доступом

Настройка LinuxIT-инфраструктураСетевые технологии
В нашей компании используются десятки серверов на которых крутятся сотни сервисов. Их настраивают и администрируют разные люди, которые могут заболеть, перейти на другой проект или уволиться. Уже не один раз возникала ситуация, когда вдруг оказывалось, что никто не знает пароля от той или иной базы данных, web сервера или иного ресурса требующего авторизации. В данной ситуации есть только один выход — единый сервер хранения паролей.

Выбор софта был осложнён тем, что требовалось решение с возможностью установки на локальный сервер и именно под Linux. Наконец после долгого поиска мною был установлен и опробован TeamPass — Collaborative Password Manager. Данный продукт полностью удовлетворил мои потребности в централизованном хранения паролей. Я не буду описывать установку. Она довольно простая и достаточно подробно описана тут. Моей целью было рассказать про решение которое я долго искал. Авось кому-нибудь тоже пригодится.
Читать дальше →
Всего голосов 33: ↑30 и ↓3 +27
Просмотры43.1K
Комментарии 28

ЦП на файле? Нет, не слышал

Антивирусная защита
Интересный вид конкуренции случайно предложила компания Symantec. Их Norton 360 обнаружил в файле с цифровой подписью троян. Что ж в этом такого, спросите вы? А то, что файл подписан Лабораторией Касперского и является исполняемым файлом продукта Kaspersky Password Manager.

image

Некрасиво получилось, право слово…
Всего голосов 38: ↑11 и ↓27 -16
Просмотры1.7K
Комментарии 16

Порка идеи — удобный и безопасный веб-менеджер сокровенных текстовых заметок с javascript

Информационная безопасность
Уважаемые профессионалы и любители информационной безопасности!

Хочу обсудить с вами вот какой интересный вопрос. Мне пришла в голову нижеследующая идея для удобного и безопасного веб-менеджера сокровенных текстовых заметок. Так ли она хороша, как я думаю? Или где-то есть подвох, и я что-то упустил? Буду рад вашему мнению.

Итак.

Цель.


Веб-сервис для управления текстовыми заметками (документами). Настолько удобный и безопасный, насколько возможно.

Требования


  • Веб-доступ — возможность доступа из любого места
  • Возможность импорта / экспорта заметок
  • На сервере (в экспортируемом файле) хранятся только заметки, только в зашифрованном виде
  • Версия для локального использования (чтобы избежать риска взлома сервера и подмены жаваскрипта)
  • Пароль не хранится нигде ни в каком виде


В чем, собственно, суть идеи
Всего голосов 8: ↑6 и ↓2 +4
Просмотры6.1K
Комментарии 30

Многофакторный LastPass

«Актив»Информационная безопасность


Относительно недавно у компании LastPass, разработчика одноименного менеджера паролей, произошла утечка данных пользователей и возникла опасность доступа злоумышленников к мастер-паролям (хоть они и не были украдены в открытом виде). Этот инцидент нанес серьезный удар по их имиджу, хотя стоит признать, что такое могло произойти и с любым из их конкурентов.

Впрочем, LastPass предоставляет своим пользователем возможность обеспечить дополнительную защиту в виде многофакторной аутентификации различных видов. Используя несколько факторов для доступа к сохраненным паролям, можно обезопасить себя от утечек мастер-паролей с сервера разработчика.

В этой статье я хотел бы описать настройку и использование многофакторной аутентификации в менеджере паролей LastPass.
Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры13.3K
Комментарии 15

1Password меняет формат файлов по умолчанию для повышения уровня безопасности

ua-hosting.companyИнформационная безопасностьКриптография
image

Менеджер файлов 1Password заявил о смене формата файлов, в которых хранится информация пользователей. Эти действия компания решила предпринять в ответ на пост Дейла Майерса, работника Microsfoft, обнаружившего уязвимость в текущем формате. Так, Майерс изучил файл .agilekeychain, оставляемый 1Password, и обнаружил, что метаданные не зашифрованы, а хранятся практически в открытом виде, plain text. А поскольку 1Password — достаточно популярный менеджер паролей, то данные многих сотен тысяч пользователей могут быть скомпрометированы.

Если кто-либо получает доступ к соответствующему файлу, то этот человек без проблем может получить информацию о сайтах, на которых пользователь недавно логинился. Есть также возможность получить данные о банковском аккаунте пользователя, и узнать, какого рода лицензии на ПО были приобретены. Вся эта информация позволяет обратиться в банк от имени пользователя, плюс злоумышленник может сбросить все пароли. Плюс ко всему, Google индексирует keychain-ы пользователей, обеспечивающих простой доступ к различным сайтам.

.agilekeychain — это директория, где находится файл 1password.html. Все данные пользователя хранятся в файле 1Password.agilekeychain/data/default/contents.js.
Читать дальше →
Всего голосов 24: ↑19 и ↓5 +14
Просмотры17.4K
Комментарии 20

Аппаратный менеджер паролей или как перестать вводить пароли и начать жить

Информационная безопасностьРазработка веб-сайтовКриптография
Из песочницы
Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым годом. В итоге наши пароли, хранимые как получится, становятся достоянием общественности.

Безопасность не мертва, но инкапсулирована и агонизирует. И с каждым годом стук по крышке черного ящика все тише, а сдавленные вопли и вовсе больше не слышны. Уж больно много абстракций поверх.

Мы не знаем как хранит наши пароли очередной сервис, поэтому мы сами должны заботиться о своей безопасности, но и это становится все сложнее с каждым годом. А количество необходимых для комфортной жизни сервисов только растет. И для каждого надо иметь свой стойкий и уникальный пароль. Не на это я свою личную жизнь променивал.

Поэтому мы придумали свой хакерский подход к хранению и вводу паролей.



Кратко: телефон связан через Bluetooth со специальным девайсом, который эмулирует клавиатуру. Утеря девайса и телефона не позволяют получить паролей. Утеря девайса и мастер-пароля тоже не страшны. Как так? Добро пожаловать под кат (там 7 картинок, но они красивенькие).
Читать дальше →
Всего голосов 61: ↑57 и ↓4 +53
Просмотры68.1K
Комментарии 144

Настраиваем URL Overrides в Keepass2

Настройка LinuxСистемное администрированиеIT-инфраструктура*nix

Наверное все уже и так знают, что всегда хорошо иметь большой и сложный пароль. Многие так же знают про менеждеры паролей и как удобно, а главное безопасно можно хранить в них информацию.


По специфике моей работы мне часто приходится записывать и хранить большое количество паролей и другой конфиденциальной информации, поэтому я пользуюсь Keepass2 — менеджером паролей со свободной лицензией. Я не стану рассказывать о его возможностях и преимуществах перед другими, все это и так уже обсуждалось не раз. Если кто хочет познакомиться подробнее, вот несколько ссылок: wiki, обзорная статья, сравнения с другими: 1 2.
Вместо этого я хотел бы рассказать об одной его интересной функции:


Функция называется "URL Overrides", и представляет ссобой возможность запускать ассоциированные с записями программы и передавать им данные для аутентификации прямо из Keepass'а.


Например, вы можете хранить в keepass'е список учеток для подключения к удаленному серверу, а в определенный момент выбрать нужную и простым нажатием Ctrl+U, запустить клиент удаленного подключения, и моментально получить доступ к вашему серверу.
Это очень удобно, так как все логины и пароли не хранятся абы где, а надежно зашифрованны в вашей базе keepass и передаются программе-клиенту только в момент подключения.


Идея состоит в том, что бы использовать Keepass как единую точку входа на все удаленные сервера.

Читать дальше →
Всего голосов 22: ↑21 и ↓1 +20
Просмотры36.6K
Комментарии 45
1