Удобный менеджер паролей TeddyID
Удобный менеджер паролей TeddyID
Одна из самых больших проблем с
безопасностью данных пользователей
связана с паролями, которые
пользователи выбирают при регистрации
на сервисах.
Как известно, подавляющее большинство пользователей по поводу паролей сильно не напрягаются и совершенно искренне считают, что какой-нибудь "123456" - это весьма устойчивый пароль, который ни один злоумышленник подобрать не может.
А потом начинается: почтовый ящик взломали, игровой аккаунт взломали, банковский аккаунт взломали, форумский аккаунт взломали, фейсбучный аккаунт взломали, вконтактиковый аккаунт взломали, лишь только одноклассниковый аккаунт не взломали, потому что - да кому он вообще нужен...
Конечно, владельцы различных сервисов изо всех сил пытаются заставлять пользователей задавать более или менее устойчивые пароли. Более того, когда владельцы сервисов поняли, что взывать к разуму пользователей совершенно бесполезно ввиду или отсутствия разума или присутствия полнейшей беспечности в этом вопросе, они стали принудительно вводить различные ограничения при задании пароля: минимум столько-то символов (как правило, 6-8, не меньше), обязательно буквы в различных регистрах, обязательно присутствие каких-то цифр и так далее.
Вы думаете, пользователей это сломило? Да ни черта! Они просто стали вводить в качестве пароля "Password123456" - и все.
UPD. А, забыл -- на mail.ru этот Teddy вообще не отреагировал и не предложил сохранить пароль. Оно вообще работает или уже сдохло?
в общем, я так понял, под keepass есть только два плагина для мультифактора, один поддерживает только усб-ключ yubikey, другой (обсуждается в вышестоящем линке), в том числе, гугл-аутентификатор (и кучу других генераторов одноразовых паролей). но! в случае использования одной базы на нескольких устройствах, необходимо между ними синхронизировать счетчик использованных паролей. я нередко одновременно использую линукс на компе и ноут с виндой, с включенным браузером в обеих системах, синхронизировать их не получится. усб-ключ, при использовании другого плагина, вроде, таких ограничений не имеет, но не перетыкать же его туда-сюда. ну и денег стоит, бэкап ключа возможен, но его нельзя хранить открыто/расшифровывать на том же устройстве, где хранится база (которую хотелось бы иметь на всех устройствах). ну и с десктопными программами, я так понял, тоже ничего не получится. условия для андроида тоже не выполняются.
получается, что единственное кросс-платформенное решение - ластпасс премиум, в линуксе - только с браузером (и похоже, что мультифактора необходим сезам, доступный только под дебиан/убунту, переходить на которые не хочу. искал "lastpass [sesame,multifactor] arch linux" - ничего кроме того поста с вопросом на форуме не нашел. думаю, если бы можно было поставить через alien - кто-то бы об этом написал). я думал в прошлом о полной миграции на винду (возможно, с виртуалкой с линуксом для самых секьюрити-критичных вещей) после того как соберу новый комп, но в последнее время, что со старой 7 на компе (которая, правда, не смогла поставить сп1, после чего я ее не переставлял, чего явно стоило сделать), что с 8.1/10 с последними обновлениями на ноутах, наловил столько глюков, что перехотелось. хотя хочется, наконец, поиграть опять в несколько виндовых игр/использовать музыкальный софт на более мощном компе, и не хочется перезагружать комп постоянно.
но, даже с поддержкой всех желаемых функций под виндой, выяснил, что мультифактор отключается по линку на сохраненное мыло. т.е. (тут уровень паранойи зашкаливает), по-хорошему нельзя хранить мыло с этого ящика на компе, где набирается мастер пароль или набирать на одном компе мастер-пароль, чтобы залогиниться в ластпасс и потом логин и пароль мыла, чтобы через него отменить мультифактор. разве что тыкать в другое место и вводить лишние символы.
в общем, одного идеального решения не существует и возможно, что придется поискать несколько разных менеджеров и переносить между ними пароли, когда будет нужно, вручную. или забить на все 😉
Знаете, это все очень просто решается. Причем ни в малейшем ущербе для безопасности. Статистически - однохренественно. Просто запомните четыре цифры. Для романтики - пусть это будет как-то связано с вашей первой любовью. Отнимимте (или прибавьте) от вашего пина. Все. Пишите результат на карте. Если у вас проблема с мозгом, то всегда восстановите.
Установить букмарклет www.teddyid.com и активировать его перед логином. Кстати букмарклет бесплатен в отличие от расширения.
Все яйца в одной корзинке?
ailcat: Я правильно понял, что с телефоном (под "явой" его использовать нельзя?Жаль. Мог бы быть удачным решением...
У Ластпасс есть Ява апплет. Я им на Нокии пользовался сто лет тому назад, правда он сам заполнять формы не мог, надо было вручную копировать/вставлять, но хоть что-то.
Можно, есть приложение и для явы, но на смартфоне действительно приятней использовать.
Ничего не было скомпрометировано. Были попытки взлома, завершились ничем. Никто ничего не смог украсть, потому что у ластпасса физически нету ваших паролей и никогда не было.
У них только хеши, но кого это волнует - ПОПЫТКИ ВЗЛОМА ведь были 😄
По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?
А по поводу других менеджеров, для меня менеджер который не умеет сам заполнять поля в браузере - не существует. А они не все умеют. Большинство не умеет, так что выбор не особо-то и большой. Даже среди платных.
По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?
ну, после того как нашел малварь, полученную, когда я еще регулярно обновлял систему, не ставил ничего, не существующего в официальных репозиториях и не давал винде доступа к партиции (позже уже что-то сломал в настройках и система не грузилась, двд-привод уже не работал, грузиться с флэшки материнка не умеет - пришлось поставить, чтобы поправить конфиги из винды), доверия линуксу поуменьшилось. да и в последнее время часто читал про все новую малварь для линукса, большинство из них поражает веб-сервера, но и для десктопа тоже кое-что появляется, в т.ч. кейлоггеры. я при каждом запуске ввожу мастер-пароль громоптица, с которым легко расшифровать пароли ко всем используемым с ним мэйл-аккаунтам. и пока не вышел пиджин 3, приходится хранить все пароли в открытом виде в текстовом файле (из них важны аська с красивым номером и фейсбук, фейсбук, вроде, хотя бы при смене пароля требует код, присылаемый по смс, но когда менял привязанный номер, не помню, требовалось ли сначала подтвердить код со старого. но в любом случае, не хотелось бы и, чтобы кто-то получал доступ к аккаунту, переписка - хрен с ней, но в некоторых, не особо критических, местах я использую логин через фейсбук. а аська, вроде, не защищается никак), хотелось бы получить возможность их авто-ввода при каждом запуске через менеджер паролей.
копия профилей пиджина и громоптица существует и под виндой, которой доверия было изначально меньше. а недавно попробовал десятку на старом ноуте, сначала апгрейд с семерки, потом переписал сериальник и поставил с нуля (последний на то время дистрибутив с сайта мс). установил только тотал коммандер, авиру и файрфокс, потом не пользовался пару месяцев. когда запустил снова, авира обновила базы и нашла троянца в роуминг-папке.
www.exler.ru
---
посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.
---
перепелкин мне там посоветовал ластпасс, но после подробного курения сайта ластпасса и информации по нему на вики-разделе арча обнаружил, что под винду и адроид, вроде, все устраивает, но под линукс нету поддержки десктопных программ (только плагины для браузеров) и конкретно под арчем доступны не все функции, вроде двухфакторной аутентификации. и техподдержка, судя по этому посту ((forums.lastpass.com от платного юзера на их форуме, за 11 месяцев не получившего ответа, очень хреновая. а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)
вроде, единственная кросс-платформенная альтернатива, доступная под арчем - keepass, но там сразу несколько разных вариантов и так и не понял, можно ли хоть к одному из них прикрутить двухфакторную аутентификацию и поддерживает ли он авто-ввод (не копирование в буфер) паролей.
надо бы спросить и на форуме арча, но в последние дни все время боролся с разными глюками, вызванными железом, и руки до этого не доходили. обнаружил дикие глюки у сата-контроллера материнки, из-за которых большАя часть данных, записанных в последнии три недели на разные винты, была порушена (старые данных с этих винтов вчера читались нормально, но смарт сообщает о гигантских количествах ошибок чтения. думаю теперь, что не было никакого криптолокера, а просто, в момент сканирования винтов крэшпланом, данные считались неправильно). так что, пока не заменил материнку, ничего нового ставить не буду и стараюсь вообще использовать комп по минимуму.
Шифротекст хранится на сервере TeddyID, ключ шифрования хранится на вашем компьютере.
Т.е. в случае потери доступа к компьютеру (украли, умер) - терям всю базу паролей?
Для keepass не существует 2х факторной аутентификации, так как это не сервис, а локальная программа с хранением паролей в локальном зашифрованном хранилище. Это хранилище, может быть синхронизировано как файл или через API от разных облаков на разные компы. Для него есть плагины/адд-оны для браузеров, которые поддерживают автозаполнение ((keepass.info смотреть Integration & Transfer). Правда я этим не пользуюсь, ничего особенного сказать не могу.
Не только хрен знает кому, но и хрен знает кому хрен знает откуда. Сервис с поддержкой только английского и русского языков, но без поддержки, например испанского, как гораздо более распространенного.
С возможностью поделиться "радостью" с друзьями в "Одноклассниках" но не в "фейсбуке" или "твитторе"?
Я даже не спрашиваю в какой стране сервера находятся. Незачем. И так все понятно. Спасибо, хорошего вам настроения и здоровья, но я лучше здесь подержусь.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
такая же фигня, 😄 в робоформе предусмотрены базы контактов (типа как в оутлуке) и различного рода заметки, храни любую инфу...
Непонятен момент с паролями не от веба.
Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.
Teddy поддерживает пароли только от веба, потому что только их сможет автоматически заполнить. Я сам продолжаю использовать свой старый менеджер пароле (типа keepass) для паролей от не-веба.
Ну кто-то бухает, кто-то садится на иглу, кто-то на Apple 😄
Присоединяюсь к вопросу.
И ещё я не понял - если у меня хром на телефоне-планшете, он к нему привязывается и там тоже пароли не нужно вводить будет?
А то в ластпассе это платная функция, причём по подпискек,а не разово, поэтому он идёт лесом.
а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей
Как отдельной функции в настоящее время нет, но можно постепенно переносить пароли по мере использования - робоформ подставил пароль, тедди сохранил.
Еще один недостаток "облачных" решений, то что в самый нужный момент сервис недоступен и все. Ты без всех своих паролей вообще, без возможности сделать хоть что-то.
А по-поводу менеджеров, самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде. Если хочется автоматически вводить пароли в браузере, а не копи-пастить, то к нему есть аддоны для FF/Chrome...
+100
StasTs: самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде
+150!
+++
В случае паролей на СМС, еще можно добавить выдачу дубликатов симок по поддельным документам в салонах связи (о чем и Алекс писал).
Авторизация через телефон - зло, широко используется только в силу дешевизны и универсальности метода. Т.к. не нужно иметь спец устройство (типа юсб-ключа или независимого герератора разовых паролей). Но серьезной защитой не является.
StasTs: А по-поводу менеджеров, самый простой KeePass2
+++
Никаких проблем с перходом на новое устройство или с платформы на платформу (клиенты есть практически под все). Недостаток - нужно самостоятельно заботится о хранении/переносе/синхронизации базы, поэтому для неподготовленного пользователя подходит слабо.
Это плохая идея. Хотя бы потому, что многие сервисы (особенно связанные с деньгами) требуют периодической смены пароля