LINUX.ORG.RU

Где храните ваши пароли?

 , ,


0

3
  1. В голове368 (40%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. В менеджере паролей333 (36%)

    *************************************************************************************************************************************************************************************************************************************************************************************************

  3. В текстовом файле79 (9%)

    ********************************************************************

  4. Не знаю, хром сам подставляет68 (7%)

    ***********************************************************

  5. В тетрадке43 (5%)

    *************************************

  6. Свой вариант38 (4%)

    *********************************

Всего голосов: 929

>>> Проголосовать

Ответ на: комментарий от Bruce_Lee

Что-то в этом роде, но всё-таки хотелось бы сложнее. Вариантов масса.

rechnick ()
Ответ на: комментарий от AntonyRF

но ведь сложность взлома может быть разная, правильно? есть данные, которые с одной и той же командой можно получить за час, есть, которые за 12 часов, есть которые за 3 суток и т.д.

prozaik ()
Последнее исправление: prozaik (всего исправлений: 1)
Ответ на: комментарий от prozaik

нет никакой разницы хранить пароли в обычном текстовом файлике(без всякого шифрования) или в другой более мощной системе?

Я не понял логической цепочки, по которой тебя принесло к такому выводу.

Vigi ()
Ответ на: комментарий от prozaik

Это работает так только если пароли нужно подбирать, а если подбирать не надо, то какая разница?

AntonyRF ★★ ()
Ответ на: комментарий от alwayslate

текстовые файлы, шифрованые gpg, на шифрованном диске, а главный ключ на флешке.

И все это в единственном экземпляре? :)

anc ★★★★★ ()
Ответ на: комментарий от AntonyRF

Да я просто считаю, что любые данные могут быть спизжены. Серьёзной защиты пароль не даст

Вы двери тоже не запираете? Ведь один фиг замок может быть взломан.

anc ★★★★★ ()
Ответ на: комментарий от AntonyRF

мне кажется, есть разница или я не совсем понимаю

вот рассмотрим такую ситуацию. у меня на машине есть менеджер паролей и в нём хранится пароль от онлайн-банка с миллионом американских долларов сша на счёте. после сеанса работы в личном кабинете я всегда разлогиниваюсь

допустим, кто-то получил доступ к моей машине. чтобы злоумышленник смог попасть в личный кабинет онлайн-банка, ему потребуется взломать мой менеджер паролей(мастер-пароль от котрого находится у меня в голове или записан на бумажке. то есть никак не связан с машиной)

мне кажется, есть смысл не хранить пароли в простом текстовом файлике

prozaik ()
Последнее исправление: prozaik (всего исправлений: 6)
Ответ на: комментарий от prozaik

Давайте рассмотрим по другому:

есть менеджер паролей

Что есть «менеджер паролей» ? Это софт который пользует куча народа. Интересно искать уязвимости в нем? Мне кажется да. Т.е. вектор атаки скорее на них.
Теперь возьмем текстовый файл abc, который лежит по пути /home/$USER/a/b/c/d/abc - в нем только пасс, от чего он, только у вас в голове. Или положили куданидь в /var/* или... другие варианты...
ИМХО свиснут скорее из манагера паролей, так как известно где искать, чем найдут ваш файлик и поймут от чего этот пасс.

anc ★★★★★ ()
Ответ на: комментарий от prozaik

допустим, что это так. тогда получается, что нет никакой разницы хранить пароли в обычном текстовом файлике(без всякого шифрования) или в другой более мощной системе?

На самом деле разницы не так много. Просто хранят не чтобы от твоего имени что-то не сделали на левом аккаунте, а чтобы твой родной аккаунт на который ты потратил время не увели так просто. Я вот много лет на ЛОР-е флужу. Мне жалко будет с нуля аккаунт заводить.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

твой родной аккаунт на который ты потратил время
Я вот много лет на ЛОР-е флужу. Мне жалко будет с нуля аккаунт заводить.

В смысле звезд жалко? :) Шутка :) На самом деле модераторы лор по моему опыту, тогда еще «не звездатого» готовы пойти на помощь восстановить пасс, я не помнил не мыло, не пароль. Но пасс в конце концов я все-таки вспомнил сам :)

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)

 Свой вариант

Так я прямо и сказал, ага.

aplay ★★★★ ()

Все указанные варианты!

saw ()

в голове, но постоянно какой-либо забываю, указываю новый, и через какое-то снова забываю, и так по кругу..

DILIN ★★★ ()
Ответ на: комментарий от fornlr

Там хранятся хэши паролей. Ты их не сможешь раскодировать, не зная пароль от входа.

Каким образом Хром может использовать хеши паролей для логина? Как можно «раскодировать» хеш? Ты не путаешь хеширование с шифрованием?

theNamelessOne ★★★★★ ()
Ответ на: комментарий от Samamy

security by obscurity

Почти так. Я привел вариант куда будет направлен в первую очередь вектора атаки. Если же говорить про те же текстовые файлы, расширим, они зашифрованы, чем не важно, хоть своей наколенной поделкой. Шансов что искать будут именно в этой точке все меньше и меньше. Но конечно ТРКА никто не отменяет.

anc ★★★★★ ()
Ответ на: комментарий от anc

И все это в единственном экземпляре? :)

нет, никто ж backup не отменял.

alwayslate ()

KeePassXC (pass + key file на шифрованном диске). Соответственно несколько сложных паролей в голове, остальные в менеджере.

Strannik-j ()

У меня один и тот же пароль на всех сайтах: P@assw0rd123456

E2-E4 ()
Ответ на: комментарий от a1batross

если в голове значит пароли простые и смысла особого не имеют либо один пароль на всё что тоже не очень хорошо. удобнее всего конечно же текстовый файл откуда можно скопировать и вставить. в браузере обычно тоже сохраняю чего уж там если хакнут браузер и без этого обойдутся стырят какие нибудь куки и по ним зайдут. а вероятность возникновения серьёзных проблем из за того что забыл пароль гораздо более реальна чем от того что его кто то узнал (по крайней мере для обычного юзера за которым не охотится цру) так что файл ещё и бэкапить надо на флэшку и распечатки делать.

iluha16 ()
Ответ на: комментарий от anc

Теперь возьмем текстовый файл abc, который лежит по пути /home/$USER/a/b/c/d/abc - в нем только пасс, от чего он, только у вас в голове. Или положили куданидь в /var/* или...
ИМХО свиснут скорее из манагера паролей, так как известно где искать, чем найдут ваш файлик и поймут от чего этот пасс.

ваше решение не масштабируется. предтсавьте, что кроме пароля от vk, у пользователя есть ещё 20-30 важных паролей? (вполне реальная и частая ситуация)

prozaik ()
Последнее исправление: prozaik (всего исправлений: 1)

В голове - это как? Один пароль везде?

zgen ★★★★★ ()

Голова + самописный менагер паролей.

Deleted ()

И всё таки головой лоровцы работают больше, чем мозгами.

save_data ()

Keepass. Тулкитофобией не страдаю

gutaper ★★ ()
Ответ на: комментарий от anc

Не, не звёзд. Аккаунта и ника. Не охота ник менять.

peregrine ★★★★★ ()

[x] ТС забыл свои нейролептики

mos ★★★★★ ()
Ответ на: комментарий от iluha16

если в голове значит пароли простые и смысла особого не имеют

Есть и другое мнение:

пароль вовсе не должен быть длинным, кудрявым, содержать обязательно цифры, буквы разных регистров и обязательно хотя бы один знак препинания. Это всё — бред перепуганных дилетантов. Подобрать пароль невозможно. Вообще никак, если система нормально спроектирована. Даже если пароль из четырех цифр. Кто так не считает — пройдите к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед.

batekman ★★★ ()

Запароленный хром для сайтов + дублирую в Password Safe, который в свою очередь закрыт приватным ключом и отдельным паролем, туда же пишу остальные пароли, от криптокошельков данные в виде скриншотов на encfs.

intel ()
Ответ на: комментарий от A-234

На стикере приклеенном к монитору, разве не у всех так?



Какое невежество, под клаву мой друг, под клаву!

Ramil ★★★ ()

Держу чувствительные пароли от банковских аккаунтов и фрилансерских сайтов в голове, остальное в текстовом файле. Назло.

Ибо задрали всякие говносайты на дырявых Вордпрессах выставлять заоблачные требования к паролям.

Для скачивания какой-нить новенькой карты к C&C придумывать пароль от 8 символов, включающий цифру, заглавную букву и спецсимвол, при этом исключая слеш ибо похапе-макака ниасилила экранирование ? Серьезно ?

windows10 ()
Ответ на: комментарий от batekman

Кто так не считает — пройдите к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед.

к особо рьяным пробовальщикам подъедут сотрудники. обычные люди не могут себе позволить иметь такую

система нормально спроектирована.

prozaik ()
Последнее исправление: prozaik (всего исправлений: 1)
Ответ на: комментарий от prozaik

ваше решение не масштабируется. предтсавьте, что кроме пароля от vk, у пользователя есть ещё 20-30 важных паролей? (вполне реальная и частая ситуация)

Что значит «не масштабируется»? или вы про манагеры паролей которые хз через какой сторонний ресурс синхронизируются? Т.е. в два раза больше вероятности пролюбливания на сторону.

anc ★★★★★ ()
Ответ на: комментарий от anc

Что значит «не масштабируется»?

я ответил на сообщение, в котором предлагается хранить каждый пароль в отдельном текстовом файлике, который находится в глубинах дерева каталогов. его местоположение нужно запомнить, это возможно, когда паролей мало. а если их несколько десятков, то как запоминать?

про синхронизацию ничего не говорил, это другой вопрос

prozaik ()
Ответ на: комментарий от anc

или вы про манагеры паролей которые хз через какой сторонний ресурс синхронизируются

если используется менеджер с закрытым исходным кодом, то вы правы

prozaik ()
Ответ на: комментарий от prozaik

ваше решение не масштабируется. предтсавьте, что кроме пароля от vk, у пользователя есть ещё 20-30

И что? Логин только у меня в голове. Представьте себе подбор при наличии пароля но не знании логина? Достаточно мутная процедура может получиться.

важных паролей

А вот их только в тетрадочке или в голове.

если используется менеджер с закрытым исходным кодом, то вы правы

Да хоть с открытым, вы его читали?

anc ★★★★★ ()
Ответ на: комментарий от anc

Да хоть с открытым, вы его читали?

я нет, но существует сообщество. если в нём не миллионы строк кода как в линуксе например, и если он существует не первый год, то с хорошей вероятностью о синхронизации будет известно.

Представьте себе подбор при наличии пароля но не знании логина?

я сначала хотел бы представить пользователя, который хранит в голове несколько десятков логинов и соответствующих им файликов с паролями. именно об этом я и писал в предыдущем сообщении

даже, если такое возможно запомнить, что будет когда паролей станет в разы больше? - не масштабируется -

prozaik ()
Последнее исправление: prozaik (всего исправлений: 1)
Ответ на: комментарий от prozaik

я нет, но существует сообщество. если в нём не миллионы строк кода как в линуксе например, и если он существует не первый год, то с хорошей вероятностью о синхронизации будет известно.

Да ладно... Поржал от души. Вам про тот же openssl напомнить? Или трукрипт?

anc ★★★★★ ()
Ответ на: комментарий от anc

Да ладно... Поржал от души. Вам про тот же openssl напомнить? Или трукрипт?

напомните. только говорите пожалуйста конкретнее и по возможности с примерами. и без пожрал

я ведь «препираюсь» не для того чтобы конкретно вам что-то показать или доказать. мне интересна эта тема и нужна информация к размышлению

prozaik ()
Последнее исправление: prozaik (всего исправлений: 4)
Ответ на: комментарий от prozaik

Вам слово «уязвимости» добавить надо было что бы понять? Ну хорошо уязвимости в openssl, так понятнее? Или... всю историю с трукриптом за вас гуглить? Почему он «потерялся».

anc ★★★★★ ()

Менеджер паролей. Другие варианты мне неудобны.

Deleted ()
Ответ на: комментарий от prozaik

Во-первых, менеджер паролей попросту удобней, чем текстовый файл. Да ты и сам про это писал дальше по треду (там где про масштабируемость).

Во-вторых, менеджеры паролей используют в первую очередь чтобы твои аккаунты не хакнули сцелями: а) распространения спама, б) кражи денег. А вовсе не из-за опасений, что от твоего имени будут какие-то там призывы к чему-то.

Уверен, что оба поинта тебе были и так очевидны. Но тогда не ясно, зачем ты это спрашивал )

Deleted ()
Последнее исправление: myLogin (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)