24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
ХРАНЕНИЕ ПАРОЛЕЙ ТРЕД Появилась новость о взломе менеджера паролей LastPass? И вообще - какой спосо
Появилась новость о взломе менеджера паролей LastPass? И вообще - какой способ хранение паролей посоветуете на 2022-2023 год?
Вот, когда я был школьником - то записывал пароли в тетрадке и таскал в школьном ранце. Потом - использовал хранение паролей в браузере и синхронизацию через Google (для левых одноразовых аккаунтов до сих пор так делаю). Дальше - был LastPass (но когда начались санкции - я на всякий случай достал и удалил оттуда все пароль.
Щас храню бэкап паролей с ластпасса на флешке, и присатриваюсь к KeePass.
>>273317456 (OP) KeePass по токену с хранением парольного файла в шифрованном контейнере по токену ну и должны это быть разные файлы ключевые. Единственная опасность это потерять токен или проебать файлы. Такие контейнеры хуй взломаешь.
>>273317456 (OP) Winrar с паролем где будет txt, не? Либо просто запомнить. Даже самый сложный пароль можно запомнить, если часто пользуешься и правильно запоминаешь
>>273318300 Из 19 века капчуешь? Сколько шифротетрадей припрятал? Знать свой пароль, ну в голове значит легчайше проебать его. Пароль должен был минимум 32 символа(если сервис позволяет) со всеми возможными комбинациями включая китайский и латиницу. Такие пассы не взламываются и не запоминаются, их просто из менеджера пароля копируют.
>>273317744 >Советую мозг. Единственный программно-аппаратный комплекс, обладающий абсолютной защищенностью Только при условии что он не забагованный с хорошим и крепким хранилищем данных, а пароль имеет несколько ассоциативных рядов дабы его можно было вспомнить в случае чего.
>>273318408 Он ведь написал, что можно фразу. Берёшь фразу "ЯебалВРотМамуоПаАа" и делаешь так: "Zt,fkDHjnVfvejGfFf". Теперь, добавляешь какие-нибудь цифорки, спецсимволы и получается: "_Zt,fkDHjnVfvejGfFf-1432_K". Фразу довольно легко запомнить, через программу долго перебирается. Минус: на телефоне особо не введёшь, если часто не сидишь за компом и не знаешь какая латинская буква стоит под "Д"
Есть ещё вариант - это разбить слова на части и составить фразу
>>273318808 Проблема запоминаемых паролей в том, что их у тебя можно выманить, выбить или отобрать и ты не можешь отказаться от авторства. А если у тебя аппаратный пароль, то ты во первых можешь сломать его и выкинуть в окно и ты хрен докажешь что он твой, ну в идеальном мире конечно. Ну и чем более жесткий ключ, тем меньше вероятность что его ломанут. Если у тебя уже 8192+ то там можно уже 100+ лет перебирать.
>>273318808 не только с тельчика, но и с пекарни, где стоит раскладка другая, а не Английский (США). Я ебать, все мозги переломал, пока сообразил, что на ПеКе стоит Английский (Австралия).
>>273317456 (OP) Храню просто в винраре, вернее, в запароленном архиве. Его невозможно взломать, кроме как брутфорсом, потому просто ставишь пароль больше, типа 30~50 символов (фразу какуюнибудь + соль).
Т.к. винрар при открытии распаковывает в %temp свою хуйню, то (там вообще есть галочка на какое-то хитрое удаление временных файлов, но я не знаю как работает, кажется, хуйня) открываю только на системном диске, который зашифрован битлокером. Также держу файл с паролями в папке нокс в открытом виде, папка открывается по отпечатку пальцев и там просто текстовый файлик. Удобно. (это у самсунга на телефонах только есть)
Также многие пароли от сайтов просто в локальном профиле браузере лежат, какая нахуй разница? Он тоже на системном запароленном ссд.
В итоге если я сдохну или проебу диск или гебня придет (а меня не будет дома), прочитать эти файлики до изобретения настоящих квантовых пек будет невозможно.
>>273318967 Двачаю, если в памяти держать, то терморектальный психоанализ быстро выведает пароль при желании, но есть вариант 2 иметь, первый откроет всякую херню и удалит контейнер с важным например...
>>273319235 Нет, если тебя будут сильно пиздить ты и про варианты расскажешь и пароли все выдашь, не надо в рембо играть. Только аппаратный токен спасет тебя от криптоанализа, потому что ключевого файла в памяти у тебя быть не может. А все остальное это просто клоунада и провокация отпиздить тебя посильнее.
>>273319240 Куда слил, если это чисто локальный хэш-вектор, который хранится на телефоне в зашифрованной области и никуда не передается? Даже часто приходится заново, т.к. ебаный датчик в с22ультре лагает, заебал уже.
>>273317456 (OP) В мозгу. Просто придумываешь себе 3-4 разных пароля и миксуешь их между собой типо Хуесос132 + qwerty = qwerty123 или ЙЦУКЕН. Запоминаешь способы которыми ты их миксуешь, получаешь профит.
>>273319547 Так тут и запоминать нечего, от сервисов которыми часто пользуешься пароли в голове всегда, а если на что-то древнее зайти надо то просто перебираешь комбинации и все.
>>273317456 (OP) KeePassXC + Keepass2Android если надо на ведре иметь доступ. По причине того, что открытый исходный код https://github.com/keepassxreboot/keepassxc и хранишь всё сам, а не у каких-то клоунов, вероятность обсёра, типа LastPass приближается к нулю
>>273319412 Не андроид, а зашифрованный хардварным динамическим (вычисляемым) ключом раздел. Т.е. ты должен был в своем гринтексте написать не гугл и т.д., а "самсунг - ты што им паверил??17". А так ты вообще какую-то поебень написал.
А лейтмотив здесь в том, что бил гейц или чан вонг какой-ниьуь для меня более сильные авторитеты, чем гебня лайтпас и проч. Представил ебало главы мокрософт и всего их маркетингового отдела, если они все свои усилия сольют в мусорку и просто так помогут руской гебне что б они там мимокроку рар архив прочитали какой-то лол? Ты что вообще несешь
>>273319235 >если в памяти держать, то терморектальный психоанализ быстро выведает пароль при желании Лол, если к тебе применяют терморектальный анализ, то как раз в твоих же интересах иметь запоминаемый пароль, чтобы сразу его выдать. Или ты думаешь, что от тебя отстанут, когда ты скажешь ЧЕСТНО НЕ ПОМНЮ МАМОЙ КЛЯНУСЬ))?
>>273317782 Здесь есть одна крупная проблемка. В последнее время всякие яндексы перестали пускать с паролем, если ты долго не заходил через вебинтерфейс, требуют ответа на всякие "контрольные вопросы".
Я вырвал бы кишки тому, кто придумал идею "контрольного вопроса", это пиздецкая дыра в безопасности. Поэтому у меня там всегда что-то типа ываываыва, и, разумеется, ответа я не помню.
На вопрос "почему я не ввел нормальный контрольный вопрос" отвечу, что вариант с потерей пароля или не рассматривается, или есть резервная почта. Если я проебал пароль - сам мудак.
А ситуация, когда потребуют контрольный вопрос при верном пароле, мне и в страшных снах раньше не снилась...
>>273320227 Ну контрольный вопрос это привет из начала нулевых оставшийся как анархронизм для бабок. Нормальные сервисы давно уже двухфактор по телефону или вообще без него.
Все, кто в голове держат или алгоритмы какие-то придумывают, вызывают только улыбку. У меня одних только почтовых ящиков столько, что я даже логинов не знаю, ни то что бы помнить еще пароль к ним по алгоритму лол. Не говоря уже о том, сколько серваков сменили домены и названия.
Суть в том, что за 20 лет ведения файлика с паролями он у меня уже вырос до 130 килобайт и в нем 6к строчек. Насколько имбецилом надо быть, чтобы выделять место в голове, лимитированные нейрончики в гиппокампе, под эту хуйню?
>>273320298 Телефон тоже лажа по многим причинам. А из-за того, что я забыл ответы на эти ебаные контрольные вопросы, в 2022 у меня отобрали несколько старых яндекс аккаунтов.
>>273320719 (старых - это с 2003 и 2008, например)
>>273320600 > У меня одних только почтовых ящиков столько, что я даже логинов не знаю, ни то что бы помнить еще пароль к ним по алгоритму лол Это другая ситуация.
А пароль по алгоритму хорош тем, что ты не помнишь сам пароль, ты помнишь, как его сгенерить.
>>273320719 Ну тогда только забить хуй, контрольные вопросы лет через 5 отомрут окончательно. Жаль что идею с аппаратными токенами проебали, могли бы сейчас NFC токены в кармане носить с паролями от всех систем и в каждой машине был бы NFC ридер, где и телефоном можно было бы платить.
>>273320600 >Суть в том, что за 20 лет ведения файлика с паролями он у меня уже вырос до 130 килобайт и в нем 6к строчек. Ну так это исключительно твоя проблема, мы тут при чём? У нормального человека максимум десяток паролей для запоминания.
>>273320777 Так это ты писал про яндекс? И одновременно про алгоритм? Вот меня тоже так же не впускал и тоже ответы уровня ывфаывадоржфпавлоп. Естественно, файлик, в котором все записано, в данной ситуации и вырулил, он оказался более отказоустойчивым, чем алгоритм. Да, яндекс полные уебки, но как я написал, в перспективе десятилетий ты не можешь такого знать, и опыт показывает, что проще вести реестр
>>273321139 Лол это как раз их проблема. Один пароль проебал и открыл кучу своих сервисов. Удобно. Особенно сегодня.
>>273317456 (OP) На флешке лежит шифрованная бд собственной криптографией. Втыкаю флешку, запускаю гуи, ввожу пасс, вбиваю нужный акк и появляется 2 кнопки: тыкаю на первую, в буфере появляется логин, наживаю вторую и в буфере появляется пасс.
Есть мастер пасс, который расшифровывает всю бд на случай, если забуду, под каким ключом какой акк висит.
Флешка забекапится при каждом обновлении автоматически. Если даже у кого-то окажется флешка, то вникать в измененную криптографию никто не будет, даже если брутом подобрать пароль, то во-первых, нужно еще ключи от акков как-то узнать, а даже если их узнаешь, то хуй поймешь от какого они ресурса.
>>273319235 >есть вариант 2 иметь, первый откроет всякую херню и удалит контейнер с важным например... Майор всегда сохраняет копию данных на другой носитель, как раз от таких умников.
>>273323153 ну вообще это просто менеджер паролей гайд по установке также на гитхабе есть просто есть pass - это хуятина для линукса а gopass - это хуятина для винды
>>273323203 Ты и есть утюг. Чем больше ламер тем сложнее жить. Зонды выпилил из венды хоть, что б она скрины не отправляла или ты с прошивки для роутера капчуешь?
передача обезличенного хэша, который работает только в определенной программе, че-т жостковато
>>273323505 Ну для такого очень напрячься надо. Выход не быть публичным лицом или иметь 10 разных симок на каждый ресурс, чтобы они заебались на каждую выпускать. Ну и не палить номер в интернете.
>>273323212 Криптография не такая сложная, как кажется. Большая часть основана либо на факторизации целых чисел, либо на дискретном логарифмировании, либо на эллиптических кривых, либо симметричные шифры с ключом. Много ума не нужно, чтобы сдвинуть ряд параметров и совместить пару алгоритмов. Также мы в институте проходили все основные методы криптоанализа.
В итоге ебаться с не сертифицированным алгоритмом будет только шиз, и то это должен быть хорошего уровня спец, потому что те же дубинки тупо юзают разработанный софт под все популярные алгоритмы и как только попадается другой алгоритм, то у них сразу лапки.
>>273323587 Ну как минимум у тебя блоки могут быть уязвимы или алгоритм генерации ключа. Если ты так круто написал, почему ты еще на 300кк\нс не работает в ФСТЭК или гебне?
>>273323647 >Ну как минимум у тебя блоки могут быть уязвимы или алгоритм генерации ключа Он может сначала обычным алгоритмом зашифровать потом своим маняизобретением (с другим ключом). Это точно не ослабит защиту.
>>273323733 Ну вообще умные люди из США не зря AES придумывали, как и хеши всякие, зачем поделия свои использовать если есть сертифицированные и прошедшие аудит инструменты, которыми пользуется много людей и где нашли бы дыры, если бы они были?
>>273323607 Когда не знаешь чо сказать, но кажется какбудта в стаде дурачков тебя кто-то поддержит
>>273323703 Лол т.е. ты серьезно считаешь, что палец из самсунговского аутентификатора для андроида можно скопировать и вставить в госуслуги, или вообще распечатать на листке а4 и пришить к папке с пидоращьим делом в местном военкомате? А если он попадет к вот ентому парню в очках из си эс ай, то так енто ж он вообще твой геном расшифрует по отпечатку и твою пьсбку в матлабе с моделирует и всем покаже!
свою систему криптографии придумай проблема только в том, чтобы соотносить их с сайтами, но можно к своей фразе вписывать название сайта , от которого пароль, с каким-то алгоритмом, типа СегодяКрасивыйДень СегодняКрасивыйДеньДвач но естественно что должен быть рандом, который ты будешь запоминать, ключ к этому рандому.
>>273323647 Какие нахуй блоки? Если ты можешь в приемлемое время разложить большие числа на множители или скакать по эллиптическим кривым в обратном направлении, то я у тебя спрошу, почему ты не на рептилоидов работаешь? Во-вторых, ты же ничего обо мне не знаешь. Ну и в-третьих, еще раз, даже если алгоритм по итогу окажется уязвим, он не вскрывается простыми способами, чтобы его вскрыть придется знатно поебаться. Кто это будет делать? Условный школьник, который мне мейлварь подсадил? Тянка, которая ночью флешку спиздила? Полицай, который про эйлера или аткина не слышал? Секретная служба с израильским софтом, который в душе не ебет что на что проверять на моей флешке?
>>273323918 >Кто это будет делать? Ну если ты свой кастомный алгоритм сделал и используешь его, скорее всего ты от мировой гебни скрываешься, иначе цель не понятна. От наших и AES спасет.
>>273323861 Дебс, китайцы коммунисты и у них мания шпионить за всеми. Отпечатки они могут собирать просто, потому что хотят. Почему бы не собирать если есть возможность?
>>273324108 > Почему утекут? Потому что вероятность того, что что-то одно взломают, как бы анально огорожено оно не было, очень большая. Вот что взломают сразу несколько анально огороженных мест уже небольшая.
Придумать 3-5 разных паролей и при решистрации рандомный вводить. Если забудешь пароль, перебирай каждый и 100% зайдешь. Настолько часто будешь их вводить, что в мышечной памяти запомняться
>>273324223 >Ну а хули мне, я и не криптограф, просто поверхностно знаю тему. Блочные шифры это маленькая часть криптографии.
>Очевидно когда текст стал читаемым, ну или исполняемым то шифротекст расшифрован. Ты теорию то криптографии читал? В автоматическом режиме сложно проверить читаемость текста. Для компьютера "хуй" от "adsfadsfq" ничем не отличается. Чтобы понять, что ты получил читаемый текст, тебе нужно иметь под рукой словарь со всеми словами, ошибками в них и прочим говном, а когда ты пароли дешифруешь, то там вообще труба, потому что "vanya99" и "v;№"DSa" тоже ничем не отличаются и одинаково могут быть паролями. Поэтому даже банальным цезарем можно пароль шифрануть и ты заебешься проверять варианты.
>>273324127 Ну, надо все-таки хоть немножко отдаленно понимать суть возникаемых проблем и их решение, чтобы правильно оценивать степень усилинности пихания под нос, а не быть совсем дауничем. А то так окажется, что и обувь носить не может быть полезным - всюду суют её повсюду, "видать жидорептилоиды опять что-то придумали! Лучше буду босиком ходить".
>>273324141 Заебал уже хуйню пороть, хоть последовательность соблюдай какую-то, пиздос. Гугл это не китайцы, самсунг тоже. Если уж на то пошло, то гугл побольше о тебе знает, чем ебаный бесполезный хеш отпечатка, который пока полезный интрумент. Только в данном случае он у вообще у корейцев, которые типа в контрах с америкосами, или что там за магические слова твой шизоголове надо услышать, ващепохуй
>>273324223 >Очевидно когда текст стал читаемым, ну или исполняемым то шифротекст расшифрован. Ну хранишь ты в юникоде пароли и что делать с этим? Там все читаемо и не с первого раза поймешь, какой именно юникод взят, а символов там ой как дохуя. Сейчас половина ресурсов такие пароли принимает.
>>273324422 В твоей схеме все хорошо, кроме твоей физической безопасности. Если ты конечно аппаратные хранилища не используешь, так как ты не писал где у тебя хранилища ключей.
>>273324625 Да, также ты не описал о том, реализована ли у тебя возможность отказа от авторства, что тоже интересно и важно если ты против мировой гебни скрываешься.
>>273324696 Да нет, все очевидно, любой алгоритм или пароль в памяти вскрывается с помощью опиздюливания его создателя\носителя пароля. Криптоанализ с помощью паяльника.
>>273324776 Странно что ты не понимаешь, что аппаратное хранилище ключа можно уничтожить без возможности восстановления оригинального ключа и расшифровывания файла.
>>273324821 Ахуительная схема иметь возможность уничтожить одно хранилище, которое используется для доступа к другому хранилищу, когда можно уничтожить сразу второе хранилище.
Способов уничтожить информацию не так много, все они ненадежны, даже способов физического уничтожения когда нарушается герметичность корпуса по пальцам пересчитать и на коленке такое не воспроизведешь.
>>273317456 (OP) Я все свои пароли знаю наизусть. Когда нужно придумать новый, то я гуглю 10 самых популярных паролей. Они должы быть очень хорошими раз такие популярные. И когда забываю один из них, то просто гуглю свнова пока не найду подходящий
>>273324860 Физически стереть с носителя информацию нетривиальная задача. Даже если ты у мамы не дурак и не просто указатели переставил, а физически записал поверх новые данные. Во-вторых, никто тебе не даст ничего вводить без снятой копии, а дальше хоть обводись "неправильных паролей" кровью ссать начнешь быстрее, чем пропадет информация.
>>273324871 Ага, взрываются в руках. Носишь такой в кармане и одним летнем днем твоя кустарная хуйня оторвала тебе яйцо. Шифропанк уровня б.
>>273325032 Смотря что ты хочешь. Если погружаться, то начать нужно с математики. Берешь любой учебник по криптографии, где в названии есть "математические основы". Там будет беглая база по битовым операциям, множествам, комбинаторике, простым числам, целочисленному делению, статистике и почему. Потом берешь пару учебников по разной криптографии, блочной, асимметричной, на кривых. Потом понимаешь, что тебе больше всего интересно и уже углубленно изучаешь и математику, и криптографию этого раздела.
>>273325366 >Физически стереть с носителя информацию нетривиальная задача. Это называется шредер. Шёсткий диск в специальной коробке, которая может запустить винтели и размельчить диск.
>>273317456 (OP) Их не надо хранить нужно разработать систему ну вроде если пароль от Instagram берем первую и последнюю i и m ну и начинаем хуевертить например правило такое
сначала 2 буквы между ними любимый значек вторая буква большая потом номер квартиры две первых буквы и одна последняя потом цифра сколько букв в слове Инстаграм ну и какая нибудь фраза вроде я ебу гусей кажется както ебано, на самом деле запомнить схему очень просто, особенно если по ней ты уже составлял пароли раньше
>>273325669 Эта хуйня как раз на насмотревшихся гиковского научпопа додиков вонаби и рассчитана. Такую хуйню товарищ майор вставляет в израильский чемоданчик и за кружкой кофе пролистывает твои данные. А когда он встречается с кастомной хуетой, то тут уже не до кофе и все мантры про устойчивость и ошибки быстро испаряются, потому что это не на двощах пиздеть, а нужно реально что-то подбирать, а любой, кто хоть чуть-чуть знает комбинаторику, понимает, что сложность прирастает с факториальной скоростью и если нет специальных инструментов, то это гиблое дело.
>>273325793 >специальных инструментов А ты думаешь что у мировой гебни нету спец инструментов? У того же гугла есть квантовые компы уже в зачаточном состоянии, у АНБ и не такое должно быть.
>>273325873 Как вариант, но желательно хотябы малое хуеверчение применить, чтобы они разные были ну чтобы нельзя было все пароли разом скомпрометировать
>>273325858 Конечно нет, потому что они невозможны. Еще раз, вся комбинаторика построена на факториалах. Когда ты не знаешь, что с чем комбинируется и в какой последовательности, то все, это труба, потому что каким бы не был дебильным алгоритм, их такое огромное множество, что ты просто не переберешь их все.
>>273317456 (OP) >KeePass В самом менеджере хранишь только часть пароля, а вторую часть пароля - любой символ в конце, не хранишь в менеджере, а запоминаешь в голове. Все. То есть при генерации пароля в программе сохраняешь его полностью, а при заполнении формы на сайте в конце к сгенерированному паролю добавляем свой символ))) взламывай что хочешь, мне похуй. Тоже самое с логинами)))))
Появилась новость о взломе менеджера паролей LastPass? И вообще - какой способ хранение паролей посоветуете на 2022-2023 год?
Вот, когда я был школьником - то записывал пароли в тетрадке и таскал в школьном ранце. Потом - использовал хранение паролей в браузере и синхронизацию через Google (для левых одноразовых аккаунтов до сих пор так делаю). Дальше - был LastPass (но когда начались санкции - я на всякий случай достал и удалил оттуда все пароль.
Щас храню бэкап паролей с ластпасса на флешке, и присатриваюсь к KeePass.
А вы что посоветуете?