Сломали Google account

[kyk]

Под Винды КипасХ видел.

Вы на Линуксe?

[Flash-04]

KeePassX - готовый офлайн менеджер.

А чем Lastpass хуже?

Lastpass недавно взломали и все пароли утекли. Нужен оффлайновый менеджер. Чтобы он был доступен только вам. Даже зашифрованный архив, но в онлайне, могут взломать. У хакеров времени много, они терпеливые...

Слышал звон (с) изучите основы криптографии для начала, а то мне с вами неинтересно будет разговаривать.

[kyk]

пароль достаточно длинный.

поделись идеями как такой пароль выбирать. Фамилию первой любви или военрука в школе, 33 страница, 3 абзац истории КПСС и т.п?

[Flash-04]

Принцип простой: пару слов и цифр которые нельзя выставить из памяти, но невозможно подобрать. Соединять спецсимволами, что ставит крест на dictionary attack.

[kyk]

Принцип простой: пару слов и цифр которые нельзя выставить из памяти, но невозможно подобрать. Соединять спецсимволами, что ставит крест на dictionary attack.

Так ведь потом можно ведь забыть спецсимволы или размер буквы. Получится как "лошадинная фамилия" - вроде как примерно помнишь, но не абсолютно точно .

Лет 15 назад я делал фотки вроде диминых, но без удушения и прочих извращений. Затем RAR-архив запоролил типа пароля как ты сказал. Через пол-года не смог разархивировать. Вроде пароль помнил - но не подходит. Так и пропали фотки

[Flash-04]

Сочувствую. Ежели не полагаешься на память, запиши на бумажку и положи в сейф. Lastpass ещё всякие recovery предлагает вроде отпечатка пальца на смартофоне.

Кароче: в security community нет единого фронта против lastpass (сам понимаешь, злюк хватает при этом), так что делай выводы.

[kyk]

KeePass + Dropbox юзаю.

KeePassX - готовый офлайн менеджер.

Заведи себе Lastpass с Yubikey

Объясните на пальТцах (или дайте ссылку для танкистов), как Password manager решает задачи. При каждом обращении надо вводить Master Password?

Сценарий-1: мой собственный комп (домашний десктоп или лаптоп, с которым путешествую).
Сценарий-2: комп на работе
Сценарий-3: чужой или общественный комп, типа в библиотеке.
Сценарий-4 Мой Android

[sss1]

Простейший способ иметь сложный мастер-пароль и не прятать ключ от него.
Для примера предлагаю упрощеный вариант:

1.
Берете любую любимую песню или стих, которые вы знаете наизусть или легко можете найти в интернете.
Например:

В лесу родилась елочка,
В лесу она росла,
Зимой и летом стройная,
Зеленая была.

Метель ей пела песенку
"Спи елочка, бай-бай."
Мороз снежком укутывал:
«Смотри, не замерзай!»

Трусишка зайка серенький
Под ёлочкой скакал.
Порою волк, сердитый волк,
Рысцою пробегал.


2.
Находите в интернете номер телефона любого учреждения. Обязательно наличие цифры 1 (один) в любом месте.
Например: 9124591208 [912-459-1208 (Бургер Кинг)]

3.
Система/алгоритм шифрования пароля:
а) порядковый номер цифры номера - это нoмер строки (всегда берем первую букву в строке, или вторую, или последнюю)
б) Цифра 1 (или 2, или ...) всегда означает заглавную букву
в) Нечетная (или четная) цифра - специальный знак на той же клавиатуре

С указанной песней пароль получится (если брать по первым буквам):

9 В лесу родилась елочка,
1 В лесу она росла,
2 Зимой и летом стройная,
4 Зеленая была.

5 Метель ей пела песенку
9 "Спи елочка, бай-бай."
1 Мороз снежком укутывал:
2 «Смотри, не замерзай!»

0 Трусишка зайка серенький
8 Под ёлочкой скакал.

Шифруем и получаем:

9 --> в
1 --> В
2 --> @
4 --> $
5 --> м
9 --> с
1 --> М
2 --> @
0 --> )
8 --> *

пароль: вВ@$мсМ@)* скрыт под телефонным номером 912-459-1208
У меня в телефоне 167 контактных номеров. Кто посторонний может сказать какой из номеров является ключом пароля (а есть еще и "второй" ключ - песня или стихотворение, которые вообще нигде не указаны)

3.
Хотите изменить пароль? - Заменяете на другой номер телефона взятый из Гугл.

------------------------------------------------------

Считаете вариант с песней очень сложным? - Выдумайте любое имя подлиннее, например: Гульнара Насреддинова.

Контакт в телефоне:
Gulnara Nasreddinova 912-459-1208 (Даже если кто-то для проверки и позвонит - в Бургер Кинге ответят "Такой нет" (могла давно уволиться))

Шифруем пароль аналогично

------------------------------------------------------

Пароль к банковскому счету?

Варианты:
- номер телефона банка
- номер кредитки
- sin/cos/tg/натуральный логарифм от номера кредитки (берем из результата например цифры с 7 по счету по 16 включительно).

Логарифм/sin/cos/tg считаем на телефонном калькуляторе или на интернете.

Дальше по алгоритму

------------------------------------------------------

[kyk]

Простейший способ иметь сложный мастер-пароль и не прятать ключ от него.

Спасибо. C Master Password и ключём понятно.

Теперь надо разобраться - какую функциональность добавляет password manager app

[Flash-04]

На чужих компах я бы никогда не пользовал. Кейлогеры, все такое. Но наличие 2FA помогает. На Андроиде нужно ввводить master key, но потом на время позволяет использовать fingerprint. Yubikey у меня периодически просит, можно ставить галочку "make trusted for 30 days".

[liamkin]

KeePassX - готовый офлайн менеджер.

А чем Lastpass хуже?

Lastpass недавно взломали и все пароли утекли. Нужен оффлайновый менеджер. Чтобы он был доступен только вам. Даже зашифрованный архив, но в онлайне, могут взломать. У хакеров времени много, они терпеливые...

Слышал звон (с) изучите основы криптографии для начала, а то мне с вами неинтересно будет разговаривать.

Что ваша криптография знает про сошиал инжиниринг?

[liamkin]

Простейший способ иметь сложный мастер-пароль и не прятать ключ от него.

Спасибо. C Master Password и ключём понятно.

Теперь надо разобраться - какую функциональность добавляет password manager app

Вот еще нашел - просто плагин для Ноутпада++ https://www.addictivetips.com/windows-t ... cted-text/

Храните ваши пароли в зашифрованном файле, пароль вводите при открытии.

Под Линукс Vim умеет шифровать.

[Flash-04]

KeePassX - готовый офлайн менеджер.

А чем Lastpass хуже?

Lastpass недавно взломали и все пароли утекли. Нужен оффлайновый менеджер. Чтобы он был доступен только вам. Даже зашифрованный архив, но в онлайне, могут взломать. У хакеров времени много, они терпеливые...

Слышал звон (с) изучите основы криптографии для начала, а то мне с вами неинтересно будет разговаривать.

Что ваша криптография знает про сошиал инжиниринг?

Криптография то может и не знает, а я с этим работаю каждый день.

[kyk]

Yubikey

Его можно пользовать и на Windows PC и Андроиде тоже?

[Flash-04]

Даже на маке. Но читай описание.

[liamkin]

Под Винды КипасХ видел.

Вы на Линуксe?

я и тут и там.

[kyk]

Что думаете о Microsoft Authenticator app ?

[Flash-04]

так же как и Google Authenticatior. choose your poison
Вполне как 2FA.

[8K]

Google Authenticatior. choose your poison

Я них там забавные глюки были на айфоне. Типа один и тот же ключ два раза показывали. Ну, чтобы листать в два раза дольше. Или, скажем, у тебя 30-40 счетов в AWS, так тоже листать замаешься, даже без удвоения.

Наверное, девочки стажеры писали.

[Flash-04]

на Андроиде ни разу не видел.

[8K]

на Андроиде ни разу не видел.

Не скажу за Андроид, но айфон-версия реально задолбала. К счастью, я давно расстался с теми проектами и с гугленым отентикатором тоже.

[kyk]

давно расстался с теми проектами и с гугленым отентикатором тоже

а как вопосы с паролями решаешь в повседневной жизни (не только Google)?
Какой password manager?

[8K]

а как вопосы с паролями решаешь в повседневной жизни (не только Google)?
Какой password manager?

Дома я с этой фигней не заморачиваюсь. Пароли формируются по некоторому алгоритму (зависит от сайта, даты и имени пользователя), так что их легко запомнить. Меняю периодически.

[Flash-04]

И как вы понимаете какой у вас сейчас легкозапоминаемый пароль на данном сайте, если вы его несколько раз уже сменили?

[kyk]

"8k-privet"