Рубрика «менеджер паролей» - 2

Как ни странно, но только 1% пользователей браузера используют специализированные расширения для хранения паролей (LastPass, KeePass, 1Password, ...). Безопасность паролей всех остальных пользователей зависит от браузера. Cегодня мы расскажем читателям Хабрахабра, почему наша команда отказалась от архитектуры защиты паролей из проекта Chromium и как разработала собственный менеджер паролей, который уже тестируется в бете. Вы также узнаете, как мы решили проблему сброса мастер-пароля без расшифровки самих паролей.

Как мы создавали менеджер паролей со стойкой криптографией и мастер-паролем. Опыт команды Яндекс.Браузера - 1

С точки зрения безопасности, на каждом сайта рекомендуется использовать свой уникальный пароль. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Проблема в том, что запомнить десятки надёжных паролей очень сложно. Кто-то честно придумывает новые пароли и записывает их руками в блокнот (а потом теряет вместе с ним же), другие – используют один и тот же пароль на всех сайтах. Трудно сказать, какой из этих вариантов хуже. Решением проблемы для миллионов обычных пользователей может быть встроенный в браузер менеджер паролей, но его эффективность зависит от того, насколько он прост и надёжен. И в этих вопросах у предыдущего решения были пробелы, о которых мы и расскажем ниже.

Читать полностью »

image

Всем привет!

Как и любой приличный браузер, Vivaldi умеет сохранять пароли для входа на различные сайты, чтобы вам было проще посещать ресурсы, требующие авторизации. Но есть одна проблема: как правило, сегодня мы имеем в своих закладках десятки и даже сотни самых различных ресурсов, запрашивающих авторизацию при входе, но мы не можем хранить в голове абсолютно все пароли, поэтому в случае, если по каким-то причинам мы не смогли войти на сайт и при этом забыли пароль, нам придётся пройти весь процесс восстановления оного. Или воспользоваться менеджером паролей, чтобы просмотреть список хранимых браузером записей и найти нужный в данный момент.

К сожалению, штатный менеджер паролей Vivaldi позволяет пока только удалять их, но не просматривать. Мы, конечно, планируем в будущем расширить возможности встроенного менеджера, но когда это будущее наступит — определённо сказать очень сложно. Но можно ли решить эту проблему, используя уже имеющиеся возможности самого браузера, а не устанавливая расширения и не пользуясь сторонними сервисами? Сразу скажу — можно, и даже сейчас расскажу, как это сделать.
Читать полностью »

image

Как часто вы задумывались над тем, сколько же всего у вас аккаунтов на различных ресурсах? Сколько имен пользователя и паролей приходится держать в памяти или в специальном файле на рабочем столе, скрытом от посторонних глаз? В среднем пользователь может иметь до 40 аккаунтов. И, в зависимости от рода деятельности, эта цифра вполне способна вырасти на порядок.

Итак топ-12 лучших менеджеров паролей. Первая половина из них отлично подойдет для персонального пользования, а вторая – для вашей рабочей команды.

Читать полностью »

Pastilda — open source аппаратный USB менеджер паролей

Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например тут и вот тут), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:

  • закрытый код снижает доверие и вероятность оперативного устранения уязвимостей
  • для автозаполнения нужно ставить дополнительный софт
  • после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах
  • использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК
  • автозаполнение невозможно в некоторых случаях (в bios, консоли)

Мы пришли к выводу, что наиболее удобным решением будет простой и недорогой девайс, позволяющий аппаратно хранить и вводить логины/пароли на любые устройства, без установки какого-либо ПО.
Читать полностью »

Настраиваем URL Overrides в Keepass2 - 1

Наверное все уже и так знают, что всегда хорошо иметь большой и сложный пароль. Многие так же знают про менеждеры паролей и как удобно, а главное безопасно можно хранить в них информацию.

По специфике моей работы мне часто приходится записывать и хранить большое количество паролей и другой конфиденциальной информации, поэтому я пользуюсь Keepass2 — менеджером паролей со свободной лицензией. Я не стану рассказывать о его возможностях и преимуществах перед другими, все это и так уже обсуждалось не раз. Если кто хочет познакомиться подробнее, вот несколько ссылок: wiki, обзорная статья, сравнения с другими: 1 2.
Вместо этого я хотел бы рассказать об одной его интересной функции:

Функция называется "URL Overrides", и представляет ссобой возможность запускать ассоциированные с записями программы и передавать им данные для аутентификации прямо из Keepass'а.

Например, вы можете хранить в keepass'е список учеток для подключения к удаленному серверу, а в определенный момент выбрать нужную и простым нажатием Ctrl+U, запустить клиент удаленного подключения, и моментально получить доступ к вашему серверу.
Это очень удобно, так как все логины и пароли не хранятся абы где, а надежно зашифрованны в вашей базе keepass и передаются программе-клиенту только в момент подключения.

Идея состоит в том, что бы использовать Keepass как единую точку входа на все удаленные сервера.

Читать полностью »

Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым годом. В итоге наши пароли, хранимые как получится, становятся достоянием общественности.

Безопасность не мертва, но инкапсулирована и агонизирует. И с каждым годом стук по крышке черного ящика все тише, а сдавленные вопли и вовсе больше не слышны. Уж больно много абстракций поверх.

Мы не знаем как хранит наши пароли очередной сервис, поэтому мы сами должны заботиться о своей безопасности, но и это становится все сложнее с каждым годом. А количество необходимых для комфортной жизни сервисов только растет. И для каждого надо иметь свой стойкий и уникальный пароль. Не на это я свою личную жизнь променивал.

Поэтому мы придумали свой хакерский подход к хранению и вводу паролей.

Аппаратный менеджер паролей или как перестать вводить пароли и начать жить - 1

Кратко: телефон связан через Bluetooth со специальным девайсом, который эмулирует клавиатуру. Утеря девайса и телефона не позволяют получить паролей. Утеря девайса и мастер-пароля тоже не страшны. Как так? Добро пожаловать под кат (там 7 картинок, но они красивенькие).
Читать полностью »

pwdshare.com — Безопасное хранение и передача паролей

— Алло, Илюха? Какой у нас пароль от хостинга?
— Эээ… Сейчас посмотрю. Ты в скайпе?

Работая в IT сфере мне приходится часто получать и передавать логины и пароли. Как это происходит, я думаю, все мы знаем:

  • По скайпу или почте
  • По почте двумя сообщениями (логин и пароль раздельно)
  • Логин по скайпу, пароль смской
  • Часть пароля по почте, часть — смской
  • Голосом по телефону
  • Любые другие комбинации

Один раз я получил запароленный ZIP-архив с doc-файлом, в котором был ребус. Честно, ребус, разгадывая который получаешь пароль.

Если полученный пароль не сохранить в каком-нибудь менеджере паролей, то он сразу теряется, а сохранять — некогда, неудобно, иногда просто лень. Файлы-хранилища менеджеров паролей теряются, убиваются вместе с «жестким». А как работать с паролями коллективно, со своими разработчиками или клиентами? Ведь хранить их в интернете, у дяди, согласитесь, страшно.

Нам надоело переспрашивать пароли у клиентов, рыться в почте, историях скайпа, и мы серьезно задумались над проблемой. Нам не удалось найти удобного и простого решения для коллективной и безопасной работы с паролями.

Для решения проблемы мы разработали Password Share — сервис сочетающий в себе безопасность локального менеджера паролей, надежность облака, возможность коллективной работы, а так же безопасную отправку пароля в один клик.

Читать полностью »

Уважаемые профессионалы и любители информационной безопасности!

Хочу обсудить с вами вот какой интересный вопрос. Мне пришла в голову нижеследующая идея для удобного и безопасного веб-менеджера сокровенных текстовых заметок. Так ли она хороша, как я думаю? Или где-то есть подвох, и я что-то упустил? Буду рад вашему мнению.

Итак.

Цель.

Веб-сервис для управления текстовыми заметками (документами). Настолько удобный и безопасный, насколько возможно.

Требования

  • Веб-доступ — возможность доступа из любого места
  • Возможность импорта / экспорта заметок
  • На сервере (в экспортируемом файле) хранятся только заметки, только в зашифрованном виде
  • Версия для локального использования (чтобы избежать риска взлома сервера и подмены жаваскрипта)
  • Пароль не хранится нигде ни в каком виде

Читать полностью »

Здравствуйте. Примерно два года назад на Хабрахабре я из некого комментария познакомился с интересным способом хранения паролей без их сохранения. Фраза выглядит странно, но более точно описать род этой программы мне не получилось. Способ заключается в том, что для получения пароля к конкретной учетной записи на конкретном сайте необходимо загнать в хэш-функцию строку, «склеенную» из мастер-пароля, адреса сайта, и логина на сайте.
keyword+sitename+login
В данной строке keyword – это мастер-пароль, используемый для «хранения» паролей ко всем сайтам. Далее идет адрес сайта, затем логин. Загнав в хэш-функцию данную строку, мы получим на выходе строку символов, которую полностью или частично можно использовать в качестве пароля к данной учетной записи на данном сайте. Ключевое слово в начале строки обеспечивает невозможность узнать пароль, если известны адрес сайта и логин. Длина результата хэш-функции более чем предостаточна для пароля. Но надежность пароля все равно оставляет желать лучшего. Каждый символ такого пароля может принимать только одно 16-ти значений, так как результатом хэш-функции является строка чисел в шестнадцатеричном представлении.
Я попытался исправить этот недостаток. Далее расскажу как.
Читать полностью »

Менеджер паролей с web доступом В нашей компании используются десятки серверов на которых крутятся сотни сервисов. Их настраивают и администрируют разные люди, которые могут заболеть, перейти на другой проект или уволиться. Уже не один раз возникала ситуация, когда вдруг оказывалось, что никто не знает пароля от той или иной базы данных, web сервера или иного ресурса требующего авторизации. В данной ситуации есть только один выход — единый сервер хранения паролей.

Выбор софта был осложнён тем, что требовалось решение с возможностью установки на локальный сервер и именно под Linux. Наконец после долгого поиска мною был установлен и опробован TeamPass — Collaborative Password Manager. Данный продукт полностью удовлетворил мои потребности в централизованном хранения паролей. Я не буду описывать установку. Она довольно простая и достаточно подробно описана тут. Моей целью было рассказать про решение которое я долго искал. Авось кому-нибудь тоже пригодится.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js