Это копия, сохраненная 25 декабря 2022 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Храню в голове около 20 разных паролей и не простых, а бредятина вида vtQ-K2lxZM
Задавайте свои ответы
Из софтовых решение - только keepassx, на базу сложный мастер-пароль. Саму базу - в контейнер и его шифровать каскадом в семь алгоритмов.
Молодец, а я иногда ленюсь вводить 256 символов с клавы - токены наше всё
>можно ли доверять всяким lastpass, blur
Без исходников? Не стоит.
>где хранишь их ты
Основные в голове, остальные в текстовом файле в криптоконтейнере.
Откуда этот пароль?
внутри текстовый документ файл "%геймнейм%.торрент.
таким образом скрываю сам факт присутствия паролей
на сколько это надежно?
Я храню пароли в консольном pass (http://www.passwordstore.org/), установленом на отдельно стоящем Raspbery Pi, подключаюсь через SSH. Хранилище паролей под контролем GIT, и с помощью него бекапяться на несколько других хостов. GPG ключи (шифрующие пароли) лежат только на Raspberry Pi, и забекапленны на несколько физических носителей, которые не куда не подключены, и лежат укромных местах, один закопан в лесу. Пароль от GPG ключа (сложный рандомно сгенерированный утилитой pwgen, больше 8 символов) храню только в голове
Нихуя не надёжно. Просто поменяй rar на 7z и шифруй при создании.
Хотя и в этом случае есть траблы с безопасностью, например сохранение открытых файлов в temp-папке в не шифрованном виде, но по сравнению с тем что было, - это просто уровень анб.
Какие пароли? Пасскод? У меня его нет. Трипкодом тоже не пользуюсь.
Так что хранить нечего.
Не создавайте себе лишних проблем, чтоб ударно их решать.
> Ну и зачем заводить под генерацию\хранение паролей отдельную машинку ?
Чтоб секурно было, чтоб случайно чтонить с трояном на эту машинку не поставить например, или чтоб при расшаривании диска под медиацентр, случайно не расшарить и папку с паролями и ключами. Или чтоб когда будеш обновлять медиацентр, путем заливки на флешку новой версии образа iso медиацентра, потом не вспомнить что у тебя там были ключи и пароли
Храню keypass в обычном криптотоме
Том открывается первым предложением из письма Онегина к Татьяне
Кейпасс - первой строчкой одного из стихов Есенина
Я тоже. В папке "загрузки". Какие подводные камни, если физического доступа к моему компу ни у кого нет?
Попадёшь на какого-нибудь какира-вручную-ебакера, который первым делом полезет в папку загрузок.
>бредятина вида vtQ-K2lxZM
Хранить такие пароли - ебанатсво т.к. сложность пароля увеличивает его длина, пароль легкий для запоминания но длинный будет надежнее чем твой бред.
Можно забыть. Но наверное голова и бумага лучшие варианты
Помещаешь данные в криптоконтейнерчик, шифруешь длинным паролем (который ни в коем случае не запоминаешь). Часть пароля даёшь мамочке, часть коллеге, часть двачеру, часть нотариусу, часть адвокату, часть соседу, часть себе оставляешь.
Опционально для всех: если не хочешь проебать бекап из-за пожара у соседа, делаешь схему разделения секрета «M из N». Всем говоришь, что «N из N».
Опционально для мамкиных какиров: строго-настрого наказываешь выдавать тебе информацию только после предоставления справки об отсутствии возбуждённых дел если бывает в мире такая справка и после прохождения месяца времени и только если ты звонишь по скайпику с Ямайки.
Ну вы понели.
Пароли кагбе надо менять почаще. Будешь каждый раз при смене паролей заебывать двачеров, нотариусов, адвокатов и мамку?
Не вариант, короче.
Использую один 31-символьный пароль для всех сервисов, где он требуется.
Пароль нигде не записан, храню в голове.
Брутфорс на любом из суперкомпьютеров займет стопицот лет.
кейлоги-кейлогушки
>пароли
>пароль от криптоконтейнера пок пок
Чому ты такой долбаеб? Не от криптоконтейнера, а от тех акков, которые ты хранишь там.
Ну так меняй. Что мешает, кроме тупости? Человеческие криптоконтейнеры позволяют иметь больше одной парольной фразы — храни вторую удалённо на сервере с dead man's switch.
> один
> для всех сервисов
А потом один из сервисов взломают и окажется, что они пароли не хешируют и плаинтекстом хранят, а рядом в базе еще твое мыло.
По-старинке, зато надежно.
Иди нахуй отсюда, понял?
>первым предложением из письма Онегина к Татьяне
>первой строчкой одного из стихов Есенина
Извиняюсь за некробамп, но какие душевные люди тут сидят.
>lastpass
Петушки не успокаивались, мол всё безопасно, и ничего, что облако...
А потом его сломали.
Слива кстати так и нет.
keepass не?
Оригинально, но организация безопасности через незнание - это неверный путь.
если они не 10+ значные, то хуйня бесполезная
А почему ты не оставляешь кошелек около дома, не разгуливаешь голым по улице, не сообщаешь пин от своей карты всем знакомым?
Думаю будет в тему.
Кейс: нужно использовать парольную систему на 5ти устройствах. Соответственно - два ноута, телефон, два пк.
Для аккаунтов и любых контейнеров из под ос запускается keepassx, с мастерпаролем из головы.
А вот для самих устройств на более низком уровне...
Итак нужны уникальные пароли из 20+ символов, для 5ти устройств.
1 - для расшифровки fde
2 - для root
3 - для user
(для телефона только ключ от fde и ключ)
+мастерпароль keepassx
Итак - 4x3+2+1=14 уникальных паролей
Запомнить такое количество - сложно (учитывая что раз в месяц нужно менять)
Анон, есть идеи и решения?
15
Он хостится на сорсфордже, который известен приклеиванием дерьма, качается оттуда по http без tls, потому что сорсфордж это не позволяет, сам сайт кипасса тоже доступен исключительно по http, в отличии от keepassx. Откуда мне знать, что в бинарник анб/фсб/gchq/китайские хакеры, взломавшие провайдера, не напихали вредоносного кода. Pgp-подписи? Публичный ключ я могу получить только с сайта, подписи рандомных людей на публичном ключе ничего не значат, толка нет от такой подписи.
2 На ведре ситуация хуже не куда - там все менеджеры продолжают перекладывать пароль через буфер обмена, который легко грабается.
>>5334
3 хранить на другом компе не имеет смысла, если нет настроенного selinux. Если ты авторизовал клиент на доступ к базе без пароля, то он вынужден хранить идентификаторы, которые легко извлечь с диска любой . Если авторизовал с паролем, то зависит от того, даны ли малвари привилегии быть кейлоггером (для снифа мастер-пароля) или может ли оно перехватить данные другим способом, например, модифицировав код аддона-клиента в браузере (для этого привилегий не надо). На винде такое делается элементарно.
Я кончил.
Напоминаю - хороший пароль можно получить так:
1. Выбрали источник. Стихи - это хорошо.
Редкие - отлично. Собственного сочинения и не опубликованные? - идеально.
У лукоморья дуб зелёный;
Златая цепь на дубе том:
И днём и ночью кот учёный.
Всё ходит по цепи кругом;
2. Сокращаем лишние символы, берем 3 буквы от слова:
У лук дуб зел
Зла цеп на дуб том
И днё и ноч кот учё
Всё ход по цеп кру
3. Производим подмену по собственному алгоритму, в качестве примера: а=1 б=2 в=3:
У лук ду2 зел
Зл1 цеп на ду2 том
И днё и ноч кот учё
3сё ход по цеп кру
4. убираем пробелы, добавляем символы нумерации строк, к примеру "!" "@" "#" "$", и символы переноса, например - "="
!Улукду2зел=
@Зл1цепнаду2том=
#Иднёиночкотучё=
$3сёходпоцепкру=
5. Переводим в латинскую раскладку, соединяем строки:
!Улукду2зел=
@Зл1цепнаду2том=
#Иднёиночкотучё=
$3сёходпоцепкру=
!Ekerle2ptk=@Pk1wtgyfle2njv=#Bly`byjxrjnex`=$3c`[jlgjwtrhe=
Вуаля!
У нас пароль, который легко запомнить, и который отличается сложностью при бруте, как минимум "выше средней".
Напоминаю - хороший пароль можно получить так:
1. Выбрали источник. Стихи - это хорошо.
Редкие - отлично. Собственного сочинения и не опубликованные? - идеально.
У лукоморья дуб зелёный;
Златая цепь на дубе том:
И днём и ночью кот учёный.
Всё ходит по цепи кругом;
2. Сокращаем лишние символы, берем 3 буквы от слова:
У лук дуб зел
Зла цеп на дуб том
И днё и ноч кот учё
Всё ход по цеп кру
3. Производим подмену по собственному алгоритму, в качестве примера: а=1 б=2 в=3:
У лук ду2 зел
Зл1 цеп на ду2 том
И днё и ноч кот учё
3сё ход по цеп кру
4. убираем пробелы, добавляем символы нумерации строк, к примеру "!" "@" "#" "$", и символы переноса, например - "="
!Улукду2зел=
@Зл1цепнаду2том=
#Иднёиночкотучё=
$3сёходпоцепкру=
5. Переводим в латинскую раскладку, соединяем строки:
!Улукду2зел=
@Зл1цепнаду2том=
#Иднёиночкотучё=
$3сёходпоцепкру=
!Ekerle2ptk=@Pk1wtgyfle2njv=#Bly`byjxrjnex`=$3c`[jlgjwtrhe=
Вуаля!
У нас пароль, который легко запомнить, и который отличается сложностью при бруте, как минимум "выше средней".
http://world.std.com/~reinhold/diceware.html
Ну что может быть проще словаря и броска кубиков для выбора пароля? Так нет, не хотим Diceware, хотим свои костыли создавать. Ладно, давайте разберёмся со сложностью паролей и мощностью машин, необходимых для их перебора.
Написал гайд. Пощу на fpaste, потому что убогий движок этой борды не желает тег [code] принимать:
http://fpaste.org/271771/
>>10509
Ну можно и запомнить при желании.
Или специально для вас придумали штуку такую: http://www.anelok.com/about.html
В биткоине двойной sha256(sha256()), так что считай мощность в два раза большей.
Но это чисто умозрительный эксперимент для нижней оценки времени и стоимости подбора, потому что на майнерах просто так пароли не повзламываешь. Они хеши наружу не выдают, а сравнивают их с заданным значением, причём на выполнение hash < target, а не hash = target.
Стоит упомянуть ещё один момент: запоминать намного проще, чем символьные и даже чем символьные такого рода >>10507.
Штука хороша. Вот только она выдаст твои пароли, когда её у тебя заберут, а к горлу приставят острый предмет, чтобы не дергался.
А вот в голове... - тут только паяльник и твоё желание\нежелание говорить пароль.
>Использую один 31-символьный пароль для всех сервисов, где он требуется.
>Брутфорс на любом из суперкомпьютеров займет стопицот лет.
Есть датский, литовский и древнегреческий, лол.
А если хранить в неписьменном языке со своей письменностью?
>А потом один из сервисов взломают и окажется, что они пароли не хешируют и плаинтекстом хранят
Изучал слитые (свои) пароли в течении 5 лет (на каждом сайте свой пароль).
Всё гораздо хуже, чем можно представить
5 лет ждал этот совет
Но решил эту проблему проще: запоминал файл, и количество хешей на нём, из чего и генерировался ключевой файл. Ключевой файл на микросдфлешке + отдельный пароль в голове.
>мин. пароль хотя бы на несколько месяцев вычислений - 100-130 символов
Что ты несёшь? Даже если брать только цифры, это 10^100 вариантов.
Ты просто считать от 0 до 10^100 на всех суперкомпьютерах мира будешь хуиллиард лет, не говоря уже о подборе пароля.
Однозначно keepass.
Тем более что подбор пароля ограничен еще и скоростью носителя. Это если ты в идеале заполучишь файл и будешь подбирать пароль на своем железе. А если на железе жертвы то вообще пздц.
потому что ты спалился
Храню в памяти 3 русские пословицы, переведенные на 3 разных языка. На выходе уже от 15 до 20 знаков.
Дальше, зависит от задачи. На простых регах тупо ввожу их и все. На регах посложнее меняю o на 0, i на !.
На очень критичных юзаю связку пассзнак разделителя, например #логин или название сайта. Ясен хуй, есть файлик и тетрадочка, где записи паролей вида.
>s...
>p0..
>H!..log
Систему эту разработал для себя 10 лет назад. Работает, как часы.
Надо взять на вооружение.
Берешь бумажку и пишешь на нем все данные об аккаунте.
Если ты до сих пор еще умешь писать. А то вдруг.
Вряд ли.
По хорошему нужно иметь рандомно сгенереные пароли длинной не меньше 48 символов, а совсем в идеале, можно попробовать изобрести свое хранение паролей, которое еще подкреплено хэш-функций. Хз, как, но чисто в теории должно безотказно работать.
Больной ублюдок
Чаще всего генерирую его исходя из элементов имени сайта + своя соль.
Не думаю, что эффективно, но пароли сложные.
Keepass2
/thread
>lastpass
Пользовался пару лет. Неудобный стал, очень. Привязка к браузеру, пароли хранятся в облаке у дяди и хер знает, что он с ними делает. За это время их 2 раза официально взламывали и что-то сливали, вроде базу ящиков, а ещё был раз, когда они даже не писали о взломе.
То же самое, а вообще надеяться на пароль - глупо.
Нет, друзьям в соц сетях не рассказывал.
Раньше была очень годная, на мой взгляд, фича stickypassword: там было 2 пароля, первый пароль для входа в свой аккаунт и загрузки базы, а второй пароль для расшифровывания базы. Не знаю почему, но вскоре, первый пароль от аккаунта убрали, оставили всего один, которым база зашифрована, он же и для расшифровки и для входа.
Потому что второй пароль никаких полезных функций не несет.
saifeincloud, пользуюсь, вроде нормально, бд лежит на ваше облаке dropbox/yadisk и т.д
чекисты уже подобрали твой пароль из 9 символов
шутка))))))
на самом деле тут все упирается в доверие к keepassx
не сливает ли он куда-нибудь
Делаю как этот >>23276
Но изначальные выражения - не пословицы и нигде не встречаются в сети. Каждое отдельное слово переводится на какой-то один язык. Грамматически, синтаксически - полный сумбур, но запоминается очень легко. По памяти восстановить можно
примерчик бы
спасибо
Что именно тебя веселит?
и в сейфе!
Зачем придумывать велосипеды? KeepassX. Уникальный надежны пароль, для каждого сайта запомнить невозможно.
А мастер-пароль на него так. Простой способ увеличить длину же
Дофига, если над ключом не одна sha1() при проверке.
Совсем не сложно, ты его сам только что запостил.
Нет никакого сферического взлома пароля в вакууме, сложность зависит от контекста. Одно дело, если это локальный пароль для криптоконтейнера с каким-нибудь PBKDF2, и совсем другое, если такой пароль хранится в открытом виде в БД какого-нибудь говносайтика.
Запросто вылавливается фишингом и другими техниками
Ага, вот удивишься, когда твой пароль в словаре окажется в словаре для брутфорса
Видимо тут достаточно адекватные аноны, чтобы отказаться от хранения паролей в проприетарном софте
Ааа.. понял. Я прост новенький в этом деле. Еще только пытаюсь вкатиться
Если не нужно синхронизировать, то еще поверх gpg. Разработчики оригинального KeePass как минимум не думают о своей репутации.
Нахуя там жпж, блеать.
> только keepassx
Нонейм хуйня, не пршедшая нихуя аудита. Старайся лучше.
Юзать нужно только KeePass
http://keepass.info/
Концептуально он прав, но мы шифруемся от васяна и работодателя, а не от анб.
есть в тырнетах игры всякие на память да на сообразительность, может и без малинки обошелся бы
Только keepassx протух и не обновляется. Бинарник действительно можно верифицировать по контрольной сумме, не понял претензии.
В голове лучше хранить. Выработал себе систему создания паролей и в ус не дую. К тому же я практически никогда не запоминаю пароли полностью, а лишь помню принцип их выведения, что во много раз проще, тем более что во всех критических местах у меня длинные сложные не взламываемые по словарю пароли внешне напоминающие абракадабру для постороннего человека, но для меня они вполне себе упорядоченные, понятные и логичные. Не критичные пароли либо так же помню либо храню на бумажке или в электронном текстовом документе.
Да он толстит явно.
>В голове лучше хранить
Да охуеет твоя голова столько хранить. У меня, к примеру, порядка 20 паролей от 16 символов и более. Для себя пока ничего лучше KeePassX + криптоконтейнер не нашел.
Не толсти, плес
keepassX пишет в раму, Не скрытый контейтер не добавляет надежности. Поскольку ты пользуешься Windows, лучше грохни подкачку.
Он пишеь в раму в открытом виде. Сохраняет в закрытом.
Утверждаешь не так - кидай пруф космических технологий. Рам это оперативная память, а не винт. Windows иногда пишет оперативку на диск, в фаил подкачки.
Тащемта, винду я не использую лет пять как. Добиваться анонимности на винде это как напяливать гондон, когда у тебя и так запущенный сифилис.
Кинул тебе за щеку. Проверяй.
Это теплое чувство ложной безопасности.
LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода
https://geektimes.ru/post/287240/
Причем, это уже не первый раз такая история.
Нужно быть полным идиотом, чтобы хранить свои пароли в облаке на каком-то проприетарном сайте.
Пароль - полное название сайта
Согласные заменяются на цифры, символы или не меняются, часть гласных - на символы или тоже не меняются, первая буква всегда большая
Пробелы меняются на тильду, изначальные цифры (если есть) опускаются. Если даже после всех преобразований сайтец не пропускает пароль из соображений безопасности, то в начале добавляется Qhe^2 (а вот в каких сайтах нужно добавлять эту штучку, нужно запомнить. Ну или подбирать на ходу)
Сбосна, требуется неделька на заучивание правил с помощью какой-нибудь анки, затем еще с месяц потупить при логинах, а потом все пойдет автоматически
Разумеется, одноразовые учетки, чтобы что-нибудь скачать, не требует таких мер, там, как правило, достаточно и 123456
Сам уже несколько лет храню все в базе кипаса, которая лежит в гуглдрайве. Ну теперь обоссыте штоле.
Да
Стеганография, шифруй в картинке
Ты ебанутый, чувак
Я храню пароли в keepass первой версии. Там у меня сотни акков, а все пароли сгенерированы рандомом и имеют длину 20+ символов. Храню базу, как анальную девственность, бекаплю в три места.
Мастер-пароль помню наизусть и нигде, кроме, как в голове, не храню.
>>33361
Это потенциально небезопасно, такой функционал ненужон. Хочешь безопасности, копируй руками.
copy -> paste, скопировал, вставил. Буфер обмена keepass очищает самостоятельно, через некоторое время, чтобы пароль там не лежал.
это ж не телеграм, у него нет серверной части
>keepassx протух и не обновляется
Нахуя обновлять, если багов нет? С задачей инструмент прекрасно справляется. Модные креаклы идут нахуй.
Вапщет обновы выходят раз в 2-3 месяца
Любой опенсорсный менеджер паролей
В принципе да, более-менее. В радужной таблице его хеша нет.
Это пиздец как редко происходит
И никто не мешает вспомнить/прогуглить старое название и сменить пасс
У меня в гугловском лежит кстати.
Как запоминать то? Как повторять? У меня есть задача помнить около 20 паролей, сложно взламываемых брутфорсом. Сейчас помню около 12, периодически некоторые забываются. В одном месте забыл последовательность слов, хотя помнил что там примерно было - -500 долларов. Брутфорс 30 паролей в минуту, брутфорсить пол года для перебора наиболее вероятных вариантов. Заебись. В другом спецсимволы и регист. В третьем вообще даже примерно не помню, что там было.
Итого пароли надо запоминать. Целенаправленно. Системно. Но как? Просто проговаривать его про себя 100500 раз, периодически вызывая ассоциации для гарантированного связывания последовательности с нейронами? Все мнемотехники это хуйня, если ты не повторяешь пароль дохуя раз. Пиздец. Не знаю что делать в данном случае. 3 часа в неделю на повтор всех паролей норм будет? У меня проебывается все. И бекапы, и криптовалюта, и аккаунты, заебало, нужна дисциплина и система.
Среднекритические пароли храню в кипас за 3 криптоконтейнерами.
Малокритические за 1 контейнером.
До леса и закопанными винтами еще не дошел, да и собачки вынюхивать умеют.
Почему бы не сделать общую часть пароля, к которой прицеплять суффиксы и приставки для разных ресурсов, то есть создать правило формирования пароля.
И разом ставить все пароли под риск разоблачения, заебись, если взломщик угадает ключевое слово.
Даже не так: достаточно несколько примеров ключевого слова, которое трансформируется в пароль в уме по выбранным правилам, как это правило выводится и подделываются вообще все пароли. А потом сидишь и думаешь: где произошла утечка? А она везде и сразу
Ну так слово то не из трёх букв должно быть. А вообще ты должен сам оценить свои угрозы. Если ты международный шпион, то тренируй память на 40-символьные пароли, а если ты нормальный, то юзай как я описал: уникальный пароль + мнемоключ + имя сайта.
Тем, что подбираетс по словарю.
Тупа в уме, любой даун запомнит 60+ символов пароль, а в конце достаточно добавлять цифры или дни рождения.
Зачем контейнер, если кипассх хорошо шифрует?
Или зачем кипасс, если есть контейнер и можно положить пароли просто в блокнот.
>Ты просто считать от 0 до 10^100 на всех суперкомпьютерах мира будешь хуиллиард лет, не говоря уже о подборе пароля.
Есть более фундаментальная оценка, никак с возможностями компьютеров не связанная.
https://ru.wikipedia.org/wiki/Предел_Бремерманна
Это копия, сохраненная 25 декабря 2022 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.