LINUX.ORG.RU

pass: как правильно сделать backup?

 , ,


1

2

Привет. Задумался о безопасности своих аккаунтов, нагенерил паролей с помощью pass. Если с ноутом что-то случится, то все пароли потеряются. Как правильно сделать их бэкап?

Как правильно сделать их бэкап?

pass git init
cd $PASSWORD_STORE_DIR
git remote add origin https://gitlab.com/SouiCat/pass.git
git push -u origin master

Gitlab только потому, что там есть приватные репо.

По поводу слива данных не ссы, pass хранит только энкриптед, если ты сам туда не сложил каких-нибудь некриптованных данных.

r3lgar ★★★★★ ()
Ответ на: комментарий от pfg

не понимаю упор в гит для хранения криптованных данных.

Много раз менял пароли, вначале меняю их в pass, затем копирую и вставляю в аккаунт, но бывает так, что оборвётся связь или сервер заглючит, и твой пароль не обновится, а в pass он уже изменён. Так что git нужен, пусть и не всем.

r3lgar ★★★★★ ()
Ответ на: комментарий от SuoiCat

То, что надо.

Собственно, только потому и юзаю gitlab, что у них приватные репозитории даются искаропки. В принципе, данные криптованные, но файлы-то именуются человекопонятно, и тут считай сливаешь список аккаунтов, которые тебе принадлежат. В случае с почтой это саммон спамеров, в остальном это подсказка, что брутфорсить.

r3lgar ★★★★★ ()
Ответ на: комментарий от SuoiCat

Ах да, не забудь куда-нибудь забэкапить ~/.gnupg (я храню на внешних дисках и флэшках), иначе твой бэкап с паролями станет бесполезным, если просрёшь ключ.

r3lgar ★★★★★ ()
Ответ на: комментарий от r3lgar

Я тоже это подумал, когда сначала залил на гитхаб. Перезалил на гитлаб и для надежности немного изменил структуру:

Было:

├── cards
│   └── tinkoff
│       └── 1234-1234-1234-1234   
├── mail
│   ├── yandex
│   │   └── name@yandex.ru
│   ├── google
│   │   └── 1
│   │       └── name@google.com
│   └── yahoo
│       └── name@yahoo.com

Стало:

├── cards
│   └── tinkoff
│       ├── expire
│       ├── number
│       ├── pin
│       └── secret
├── mail
│   ├── yandex
│   │   ├── login
│   │   └── pass
│   ├── google
│   │   └── 1
│   │       ├── login
│   │       └── pass
│   └── yahoo
│       ├── login
│       └── pass

SuoiCat ()
Ответ на: комментарий от urxvt

Ну тогда на приватный репо у дяди я бы не рассчитывал.

Лучше приватное репо у дяди с опенсорцом, чем приватное облако у дяди с проприетарщиной.

Возьмут русские хакеры и опять взломают это ваш Интернет.

И последнее, что им будет нужно — приватная репа какого-то неизвестного Васяна.

r3lgar ★★★★★ ()
Ответ на: комментарий от SuoiCat

Ты, главное, не забудь удалить репо с изначальной структурой в гитхабе/гитлабе. А чтобы старой структуры не было видно в коммитах, пересоздай гиторепозиторий в локальном хранилище и тогда уже пушить в интернеты.

r3lgar ★★★★★ ()
Ответ на: комментарий от pfg

давно перешел на пароль формата соль+хеш и не парюсь какими хитроумными системами хранения.

только проблемка будет, если секрет утечёт. а ещё проблемка будет, если надо поменять пароль на каком-то ресурсе, а версионности не предусмотрено.

ivlad ★★★★★ ()
Ответ на: комментарий от ivlad

норм - секрет существует лишь в моей памяти. утечка оттуда вещчъ наименне вероятная. а так изза глюков на сайтах, уже есть три версии соли :)
версионность пароля внедряется лишь усложнением алгоритма - т.е. добавлением версии в соль.

а вот такой пароль для этого сайта формируется легко и запоминается элементарно
p23a45ux67li78r90u а вот подобрать его весьма и весьма сложно...

pfg ★★ ()
Ответ на: комментарий от pfg

секрет существует лишь в моей памяти.

а также — в памяти компьютера, когда пароль вычисляется.

а так изза глюков на сайтах, уже есть три версии соли :)

и как, удобно?

ivlad ★★★★★ ()
Ответ на: комментарий от ivlad

от вскрытия памяти во время ввода тебя и keypass не спасет :) только флешка с аппаратным шифратором.
да и еще многие средства снифинга паролей кейпасом и иже с ними не обойдешь.

да, гораздо удобнее, чем подсматривать пароль, выискивая его где-то в файле или проге. да и таскать это надо на чем-то...

pfg ★★ ()
Ответ на: комментарий от pfg

да, гораздо удобнее, чем подсматривать пароль, выискивая его где-то в файле или проге. да и таскать это надо на чем-то...

не понимаю, как помнить на каком сайте какая версия пароля (или какая соль). Я вот посмотрел, у меня в парольном менеджере 218 записей сейчас. Я про большинство сайтов не помню даже, есть у меня там логин, или нет.

ivlad ★★★★★ ()
Ответ на: комментарий от t184256

Браузерные плагины не хранят пароли. Они вставляют их в формы.

Как они вставляют пароли, если не хранят их?

А как ты на ЛОРе логинишься тогда? руками набираешь pass show -c ... и вставляешь?

Если мне придется логиниться на ЛОРе, то - да, именно так, только без show.

SuoiCat ()
Ответ на: комментарий от SuoiCat

Как они вставляют пароли, если не хранят их?

Вызывают pass и забирают с его stdout.

Примеры: browserpass-ce, passFF, webpass.

Если мне придется логиниться на ЛОРе, то - да, именно так, только без show.

С этими штуками сильно поудобней будет. У меня получается в худшем случае Control-Shift-L, Return, <пароль>, Return.

Но нужна структура, как задумывалась zx2c4, иначе автоподстановки username не будет. Хотя может и можно плагин допилить, чтобы и твою структуру ел.

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 3)

Не надо делать бэкап. Надо юзать такую генерилку, которая восстановит ваши пароли при утере, путём перегенерации от вашего мастер-пароля и имени домена сайта/почты конкретного аккаунта. Один недостаток — надо иметь один логин везде, но можно себя пересилить и этого не стесняться.

vodz ★★★★ ()
Ответ на: комментарий от ivlad

объясняю алгоритму системы соль+хеш для p23a45ux67li78r90u к примеру:
пароль состоит из соли - единого для всех ресурсов набора символов это p23a45__67__78_90_ т.к. он един для множества ресурсов и применяешь его практически ежедневно, соль запоминается хорошо.

в нее вписывает хеш - набор символов из названия ресурса, чтобы пароли не были идентичными на всех ресурсах. тут к примеру ux (два последних символа из linux) li (два первых символа из linux) r u (первый и последний символы из ru)
итого получается

для linux.org.ru p23a45ux67li78r90u
для mail.ru      p23a45il67ma78r90u
для google.com   p23a45le67go78c90m
и т.д. надо один раз подумать над алгоритмом формирования пароля и запомнить соль, и для кучи сайтов у тебя уже автоматически появляется пароли. запоминается он хорошо, а подобрать пароль будет сложновато, что собственно и надо парольной системы.

генерацию логина можно по подобию сделать

pfg ★★ ()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

OMG.

O M G.

Я думал, там настоящий хеш - типа

echo "${$(echo -n "passwd linux.org.ru"|openssl sha256 -binary|base64):1:12}"

а ты просто передаёшь секрет открытым тестом на все сайты. Достаточно украсть пароль от двух левых форумов, чтобы получить доступ везде.

Господи, ну и дно. Не называй это хешем, не оскорбляй разум нормальных людей.

ivlad ★★★★★ ()
Ответ на: комментарий от ivlad

когда ты сможешь вычислять хеш в мозгу, тогда и поговорим :) хеш-функция по определению не обязательна должна иметь криптостойкость.

сударь у вас проф.загибы :) вместо консольных команд я б посоветовал сразу устанавливать систему доступа на флешка с аппаратным шифрованием. в среднем на бытовой операционке (винда тобеж) обычно просто не имеются хеш-функции, а если есть необходимость к примеру залогиниться, для примера, с терминала в общедоступном месте и т.д. то придется весьма оповозиться для «криптостойкости».

да, также как и обычный пароль, хранимый в кейпасе :).

спробуй :) двух паролей явно не хватит, если ты не знаком с алгоритмом :) система удобна и ориентирована для прикладного бытового уровня, ибо не требует никаких лишних функций. а для качественной с гарантией от взлома аутенфикации логин-парольная система ваапче «не фариант».

pfg ★★ ()
Ответ на: комментарий от pfg

хеш-функция по определению не обязательна должна иметь криптостойкость.

Иди, мальчик, почитай сначала определение хеш функции. Внимательно и несколько раз. Можно в википедии. Когда поймёшь, что так называется, и какие у неё свойства (внимательно читай про размер входа и размер выхода), тогда и поговорим.

двух паролей явно не хватит, если ты не знаком с алгоритмом :)

Какую фантастическую чушь ты несёшь.

система удобна и ориентирована для прикладного бытового уровня, ибо не требует никаких лишних функций.

Да вводи просто одинаковый пароль на всех сайтах. Что, удобная система, ориентирована для прикладного бытового уровня. Ты всё равно ровно это и делаешь: вводишь секрет в открытом виде, дописывая специфичную для сайта информацию.

В общем, нормальным людям совет такой: купите 1password или last pass и поставьте на телефон. Если у вас MacOS и вам нормально с Safari — просто пользуйтесь Keychain. Там сразу, из коробки будет синхронизация между устройствами, зашифрованная копия в облаке, нормальный интерфейс на десктопе и в телефоне.

Если вы зачем то пользуетесь pass, выбирайте действительно сильную пассфразу (см., например, diceware с восемью словами на словаре из 5 костей, можно взять словарь EFF, он удобнее) и пушьте во внешний репозиторий. Gitlab в отличие от Github позволяет иметь приватные репозитории на бесплатных эккаунтах, можно использовать его. А можно использовать и открытый репозиторий, если вы уверены в стойкости пассфразы и отсутствии ошибок в gpg.

ivlad ★★★★★ ()
Ответ на: комментарий от ivlad

я вполне понимаю что такой алгоритм имеет множество минусов.
Предложи лучший алгоритм без аппаратных средств, т.е. без телефонов, функций, внешних хранилищ и прочего всего умного. если таким заморачиватся то стоит вообще протягивать сразу везде аппаратные ключи, они обеспечат идеальную математически доказанную защиту от взлома.
Это лучший вариант для указанных требований что я видел.

pfg ★★ ()
Ответ на: комментарий от pfg

Предложи лучший алгоритм без аппаратных средств, т.е. без телефонов, функций, внешних хранилищ и прочего всего умного. если таким заморачиватся то стоит вообще протягивать сразу везде аппаратные ключи, они обеспечат идеальную математически доказанную защиту от взлома.

«Аппаратные ключи» не работают с обычными паролями. Решение с человеческим парольным менеджером признаётся наилучшим абсолютным большинством специалистов по ИБ. Парольный менеджер в телефоне обеспечивает ещё и мобильность.

Это лучший вариант для указанных требований что я видел.

Если заранее формулировать требования под своё идиотское «решение», то, разумеется, нормальные не подойдут.

ivlad ★★★★★ ()
Ответ на: комментарий от t184256

вполне согласен - предложи лучшую при условии что нет возможности пользоваться смартфоном, как предлагает ivlad чуть выше, или иным счетным устройством.
есть только твои мозги.

pfg ★★ ()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

предложи лучшую при условии что нет возможности пользоваться смартфоном, как предлагает ivlad чуть выше, или иным счетным устройством.

Он там еще пишет «Если заранее формулировать требования под своё идиотское «решение», то, разумеется, нормальные не подойдут.» Так вот, я считаю, что он не совсем прав. Ну то есть да, так то при

есть только твои мозги.

лучше бы применить их и признать, что ограничение дурацкое и счетное устройство у тебя и так есть, ты с него логинишься.

Но пока миришься с этим очевидным фактом, можешь хотя бы следовать correct horse battery staple, все больше энтропии будет. Но мирись лучше побыстрее.

t184256 ★★★★★ ()