Удобный менеджер паролей TeddyID

Попробовал. Не знаю, что делаю не так, но работает как-то странно. Пытаюсь авторизоваться на сайте Teddy, браузер на компьютере пишет "Не могу отправить запрос подтверждения на ваш телефон", а в телефоне появляется картинка с запросом на вход, после согласия пишет, что страница браузера обновится, но ничего не происходит (ждал 15 мин). Пытаюсь зайти не под логином, а под другой записью, сканирую QR-код, он отправляет подтверждение на е-майл, подтверждаю -- заходит на сайт, там все работает. Выхожу, пытаюсь опять зайти -- такая же ерунда.
UPD. А, забыл -- на mail.ru этот Teddy вообще не отреагировал и не предложил сохранить пароль. Оно вообще работает или уже сдохло?

Технологии не стоят на месте и еще через каких-нибудь лет пятьдесят мы получим софт, который умеет делать все тоже самое, только для не-веб учеток, коих у среднестатистического юзера обычно чуть более, чем дохрена.

Оплатить расширение для Chrome/ Yandex Browser из Казахстана не получится. Авторы программы в курсе, но сделать ничего не могут...

sourceforge.net



в общем, я так понял, под keepass есть только два плагина для мультифактора, один поддерживает только усб-ключ yubikey, другой (обсуждается в вышестоящем линке), в том числе, гугл-аутентификатор (и кучу других генераторов одноразовых паролей). но! в случае использования одной базы на нескольких устройствах, необходимо между ними синхронизировать счетчик использованных паролей. я нередко одновременно использую линукс на компе и ноут с виндой, с включенным браузером в обеих системах, синхронизировать их не получится. усб-ключ, при использовании другого плагина, вроде, таких ограничений не имеет, но не перетыкать же его туда-сюда. ну и денег стоит, бэкап ключа возможен, но его нельзя хранить открыто/расшифровывать на том же устройстве, где хранится база (которую хотелось бы иметь на всех устройствах). ну и с десктопными программами, я так понял, тоже ничего не получится. условия для андроида тоже не выполняются.



получается, что единственное кросс-платформенное решение - ластпасс премиум, в линуксе - только с браузером (и похоже, что мультифактора необходим сезам, доступный только под дебиан/убунту, переходить на которые не хочу. искал "lastpass [sesame,multifactor] arch linux" - ничего кроме того поста с вопросом на форуме не нашел. думаю, если бы можно было поставить через alien - кто-то бы об этом написал). я думал в прошлом о полной миграции на винду (возможно, с виртуалкой с линуксом для самых секьюрити-критичных вещей) после того как соберу новый комп, но в последнее время, что со старой 7 на компе (которая, правда, не смогла поставить сп1, после чего я ее не переставлял, чего явно стоило сделать), что с 8.1/10 с последними обновлениями на ноутах, наловил столько глюков, что перехотелось. хотя хочется, наконец, поиграть опять в несколько виндовых игр/использовать музыкальный софт на более мощном компе, и не хочется перезагружать комп постоянно.



но, даже с поддержкой всех желаемых функций под виндой, выяснил, что мультифактор отключается по линку на сохраненное мыло. т.е. (тут уровень паранойи зашкаливает), по-хорошему нельзя хранить мыло с этого ящика на компе, где набирается мастер пароль или набирать на одном компе мастер-пароль, чтобы залогиниться в ластпасс и потом логин и пароль мыла, чтобы через него отменить мультифактор. разве что тыкать в другое место и вводить лишние символы.



в общем, одного идеального решения не существует и возможно, что придется поискать несколько разных менеджеров и переносить между ними пароли, когда будет нужно, вручную. или забить на все 😉

А почему вы не пишете на визитках PIN?

Знаете, это все очень просто решается. Причем ни в малейшем ущербе для безопасности. Статистически - однохренественно. Просто запомните четыре цифры. Для романтики - пусть это будет как-то связано с вашей первой любовью. Отнимимте (или прибавьте) от вашего пина. Все. Пишите результат на карте. Если у вас проблема с мозгом, то всегда восстановите.

Тоже рекомендую Keepass2, всё что нужно - есть.

А как мне этим счастьем воспользоваться, если я смотрю сайты с мобильного устройства - того же телефона?

Я правильно понял, что с телефоном (под "явой" 😄 его использовать нельзя?Жаль. Мог бы быть удачным решением...

А менеджер паролей от Касперского чем плох?

Ничего не было скомпрометировано. Были попытки взлома, завершились ничем. Никто ничего не смог украсть, потому что у ластпасса физически нету ваших паролей и никогда не было.

У них только хеши, но кого это волнует - ПОПЫТКИ ВЗЛОМА ведь были 😄



По поводу линукса, а зачем вам приложение, если есть плагин для браузера? Я и в винде-то приложением не пользуюсь, только плагином, так что мне интересно знать что я теряю?



А по поводу других менеджеров, для меня менеджер который не умеет сам заполнять поля в браузере - не существует. А они не все умеют. Большинство не умеет, так что выбор не особо-то и большой. Даже среди платных.

повторю свой вопрос из этой темы (там больше подробностей, не стал все копировать):

www.exler.ru

---

посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.

---

перепелкин мне там посоветовал ластпасс, но после подробного курения сайта ластпасса и информации по нему на вики-разделе арча обнаружил, что под винду и адроид, вроде, все устраивает, но под линукс нету поддержки десктопных программ (только плагины для браузеров) и конкретно под арчем доступны не все функции, вроде двухфакторной аутентификации. и техподдержка, судя по этому посту ((forums.lastpass.com от платного юзера на их форуме, за 11 месяцев не получившего ответа, очень хреновая. а теперь еще и алекс говорит, что данные пользователей при взломе были скомпрометированы (можно подробности? получили доступ к учетным данным или все пароли?)



вроде, единственная кросс-платформенная альтернатива, доступная под арчем - keepass, но там сразу несколько разных вариантов и так и не понял, можно ли хоть к одному из них прикрутить двухфакторную аутентификацию и поддерживает ли он авто-ввод (не копирование в буфер) паролей.



надо бы спросить и на форуме арча, но в последние дни все время боролся с разными глюками, вызванными железом, и руки до этого не доходили. обнаружил дикие глюки у сата-контроллера материнки, из-за которых большАя часть данных, записанных в последнии три недели на разные винты, была порушена (старые данных с этих винтов вчера читались нормально, но смарт сообщает о гигантских количествах ошибок чтения. думаю теперь, что не было никакого криптолокера, а просто, в момент сканирования винтов крэшпланом, данные считались неправильно). так что, пока не заменил материнку, ничего нового ставить не буду и стараюсь вообще использовать комп по минимуму.

Опять доверять конфиденциальную информацию хрен знает кому? На мой взгляд, это не сильно лучше пароля 123456. Я предпочитаю хранить пароли в KeePass2, а чтобы иметь доступ к паролям отовсюду - его зашифрованную базу, защищенную паролем, хранить в облаке, защищенном другим паролем. Так хотя бы какая-то видимость защищенности появляется. А то как этот медвежонок там пароли с логинами хранит - это никто не знает. А KeePass2 опенсорсный, с ним всё ясно и вполне надёжно.

Непонятен момент с паролями не от веба.

Как пример - в keepass'e у меня хранятся пароли от аськи, скайпа, пары игр, учетка майкрософта.

Связка ключей от Apple + двухфактораня авторизация избавляет от лишних телодвижений с различными сервисами. Правда придется купить ненавистный-жуткодорогой-сложный для пониминия-чего там еще Apple

а я вот не понял, или пропустил... есть тут функция импорта-экспорта из других менеджеров паролей или хотябы текстовых файлов, т.к. на сегодняшний день работаю с робоформом, в котором уже пара сотен записей

я вот не очень понимаю такую страсть современных "систем безопасности" к телефонам. Телефон по сути своей очень небезопасное устройство, его можно забыть, отжать и просто взять на пару минут. Конечно, если ты параноик и у тебя телефон зашифрован и каждый раз требует ввести длинный пароль, то наверно, хотя и тут есть проблемы. Но главная проблема в том, что таким телефоном очень неудобно пользоваться 😄 При количестве анлоков телефона 100+ в день я не готов вводить даже 4х значный пин 😄

Еще один недостаток "облачных" решений, то что в самый нужный момент сервис недоступен и все. Ты без всех своих паролей вообще, без возможности сделать хоть что-то.

А по-поводу менеджеров, самый простой KeePass2 c базой на dropbox/Google Drive/... позволяет безопасно хранить пароли и пользоваться ими везде. Если хочется автоматически вводить пароли в браузере, а не копи-пастить, то к нему есть аддоны для FF/Chrome...

Интересно, но привязка к сторонним сервисам хоть и не лишена определенных плюсов, но кажется излишней. Если забыть об универсальности и мультибраузерности, от себя пользователям хрома и оперы могу порекомендовать PasswordMaker Pro - опенсорсное расширение, работающее следующим образом: вами придумывается один мастер-пароль, который может быть сохранен в настройках расширения (или не сохранен, если паранойя 😄), после этого оно исходя из мастер-пароля для каждого домена генерит уникальный сложный пароль. Метод не без недостатоков - иногда на конкретном сайте требования к паролю не совпадают со сгенеренным (например сайт требует использовать в пароле _только_ буквы и цифры), и сменить пароль для сайта становится затруднительно, так как расширение генерит пароль по строго определенному алгоритму и из пары мастер-пароль+домен всегда получится только один пароль. Но лично для меня эти недостатки несущественны, так как подобные ситуации являются скорее исключениями. Зато не приходится ни платить кому бы то ни было, ни доверять свои пароли сервису, который сегодня есть, а завтра его или похачили, или он просто взял и исчез. Но тут уж, как говорится, каждый сам выбирает.