Выбор парольного менеджера — непростая задача. Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера. Фундаментальный вопрос: безопасно ли использовать облачные сервисы или принципиально хранить пароли только локально? Кто-то считает, что использование облачных сервисов всё-таки повышает риски. И вот поступил очередной аргумент в этом споре. Только что парольный менеджер LastPass закрыл три уязвимости (одна для расширения под Chrome, две для расширения под Firefox), которые позволяли вредоносному сайту прямо извлекать пароли LastPass. Как обычно, причина уязвимости — ошибка программистов.

Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»?

В корпоративном блоге LastPass сообщается, что об уязвимостях им сообщил специалист по безопасности Тэвис Орманди (удивительно, что львиную долю всех багов в популярном софте находят одни и те же люди) из хакерской команды Google Project Zero.

LastPass говорит, что не заметила кражи паролей пользователей и советует обновиться на последние версии расширения, где эта уязвимость закрыта, если они ещё не обновились автоматически:

  • Firefox: 4.1.36
  • Chrome: 4.1.43
  • Edge: 4.1.30
  • Opera: 4.1.28

Предположим, что кражи паролей действительно не произошло. Но как конкретно злоумышленники могли произвести такую кражу?

Первая уязвимость (Firefox 3.3.2 message-hijacking) для старой ветки расширения под Firefox эксплуатирует схему парсинга URL в 3.3.2, которая позволяла вредоносному веб-сайту выдать себя за легитимный сайт и тем самым вынудить LastPass предоставить учётные данные. Информация об этом баге поступила в LastPass в прошлом году — в июле уязвимость была закрыта, но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.

В прошлом году специалист по безопасности Матиас Карлссон (Mathias Karlsson) подробно рассказывал об этом позорном баге с URL-парсером в LastPass.

Вот как выглядел парсер (функция lpParseUri в расширении LastPass):

var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);
fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Такое обращение с «собачками» означает, что URL типа http://avlidienbrunn.se/@twitter.com/@hehe.php браузер воспринимал как адрес на домене avlidienbrunn.se, а расширение LastPass воспринимало как адрес twitter.com/@hehe.php. Соответственно, функция автозаполнения передавала домену avlidienbrunn.se пароль для домена twitter.com.

Эту уязвимость закрыли год назад в актуальной ветке LastPass, все посмеялись и забыли. Сейчас оказалось, что в ветке 3.Х баг ещё остался. Разработчики LastPass объясняют, что ту ветку формально закрыли ещё в апреле, то есть её поддержкой никто не занимался. И если до сих пор остались пользователи старых версий, то им настоятельно рекомендуется перейти на 4.1.36.

Второй баг


Вторая уязвимость, которую LastPass закрыла вчера, уже свеженькая. И она затрагивает не только версии для Firefox, но и версии под Chrome и Edge. Как и прошлый баг, здесь вредоносный сайт может выдать себя за доверенный и выудить пароль. Более того, в случае использования бинарного компонента LastPass было возможно даже удалённое исполнение кода, что совершенно недопустимо.

В сообщении баг-трекера Chromium Тэвис Орманди объяснил, что проблема в скрипте websiteConnector.js, который используется только на домене 1min-ui-prod.service.lastpass.com. Вот он указан в манифесте:

{
	"matches": [
		"https://1min-ui-prod.service.lastpass.com/*"
	],
	"js": [
		"1minsignup/chrome/websiteConnector.js"
	],
	"all_frames": true,
	"run_at": "document_end"
},

Содержимое скрипта:

$ uglifyjs --beautify < 1minsignup/chrome/websiteConnector.js
...
window.addEventListener("message", function(e) {
    e.data.fromExtension || chrome.runtime.sendMessage(e.data, function(e) {});
});

Передача неаутентифицированных объектов window в расширение из скрипта websiteConnector.js позволяет кому угодно использовать эту функцию:

win = window.open("https://1min-ui-prod.service.lastpass.com/");
win.postMessage({}, "*");

И получить доступ ко всем внутренним командам LastPass RPC. Там сотни вызовов, в том числе передача паролей. При использовании бинарного компонента LastPass можно даже запустить произвольный код:

win = window.open("https://1min-ui-prod.service.lastpass.com/");
win.postMessage({fromExtension: false, cmd: "openattach", attachkey: "d44479a4ce97554c24399f651ca76899179dec81c854b38ef2389c3185ae8eec", data: "!8uK7g5j8Eq08Nr86mhmMxw==|1dSN0jXZSQ51V1ww9rk4DQ==", mimetype: "other:.bat"}, "*");



Закрытый баг в расширении для Chrome совпадает с одним из закрытых багов в расширении для Firefox, только там понадобилось внести некоторые дополнения.

Как говорил Матиас Карлссон в прошлом году, нахождение таких уязвимостей — не повод отказаться от парольных менеджеров.

Кстати, Microsoft ещё не одобрила у себя новую версию расширения для Edge. Похоже, что пользователей LastPass на этом браузере всё ещё можно эксплуатировать.
Поделиться с друзьями
-->

Комментарии (136)


  1. Tatooine
    23.03.2017 18:22
    +1

    Тогда уж экселька, а не блокнот


    1. Sadler
      23.03.2017 18:37
      +1

      Нет уж, блокнот надёжнее, особенно если хранить его в скрытом сейфе и не вводить пароли на недоверенных машинах. А ещё надёжнее для этого использовать хардовый ключ ЭЦП.


      1. myanacc1
        24.03.2017 09:47
        +2

        Блокнот надежнее, но бумажный. И вводить при каждой авторизации ручками. Это для реально важных вещей. В остальном отключить паранойю и будет счастье.


        1. Tatooine
          24.03.2017 09:48

          Бумажный блокнот можно потерять.

          Тогда уж написать прогу под дройда для хранения паролей с шифрованием.


          1. Sadler
            24.03.2017 17:44

            Бумажный блокнот можно потерять.
            Это очень просто решается: достаточно записать туда ключик от какого-нибудь электронного кошелька, где лежит кругленькая сумма. Ни за что не потеряете, охранять блокнотик будете как зеницу ока.


            1. Tatooine
              24.03.2017 17:49
              +2

              Любой предмет можно потерять. Вне зависимости от желания/внимания и т.п.


              1. Sadler
                25.03.2017 18:31

                В таком случае Вам любое локальное хранение не подходит, раз Вы можете нечаянно потерять свой ПК. Храните пароли в облаке или в голове, если её Вы потерять не боитесь.


          1. SergeyD
            26.03.2017 12:33

            Прога называется KeePassDroid.


          1. myanacc1
            26.03.2017 14:30
            -2

            Да-да, давайте не будем хранить пароли в ОС, вдруг взломают и украдут. И на бумаге, вдруг потеряем. Лучше в дырявом ведроиде, который в жизни не обновлялся с момента продажи. Прям лозунг – А ты упростил жизнь хацкеру!?? )))


        1. Akon32
          24.03.2017 11:51

          Главное, отключить не только паранойю, но и камеры, чтобы они не увидели содержимое блокнота.


    1. saboteur_kiev
      23.03.2017 20:04
      +1

      Чтобы найти что-то в эксельке, надо запускать эксельку.
      А в plain text можно просто grep или поиск в FAR.


      1. MAXInator
        23.03.2017 21:36
        +1

        Чтобы найти что-то в эксельке, надо запускать эксельку.

        Разве эта проблема не ушла с появлением *.xlsx, который суть *.xml в архиве?


        1. nerudo
          23.03.2017 21:43
          +4

          Тогда уж .csv, который txt с запятыми ;)


        1. mayorovp
          24.03.2017 12:24
          +1

          Там формат далеко не человекочитаемый.


          1. MAXInator
            24.03.2017 18:29

            Но, тем не менее, для его чтения не нужен именно Excel, о чем говорилось в комментарии. Выдернуть из него инфо можно чем угодно.


        1. saboteur_kiev
          24.03.2017 15:55

          то есть чтобы что-то найти, нужн сперва распаковать архив, затем выполнить поиск внутри распакованного файла?
          А если файлов десятки?

          НЕ удобно.


          1. sumanai
            24.03.2017 16:01

            Тотал умеет искать в архивах.


            1. saboteur_kiev
              24.03.2017 20:22
              +1

              Много кто умеет искать в архивах, а вот работать с найденным не так уж удобно. Особенно, если мы говорим про xmlx


      1. OnYourLips
        24.03.2017 09:46

        А чтобы посмотреть в grep или FAR. надо запустить grep или FAR.
        Есть же опенсорсный KeePass с множеством клиентов, удобный поиск, версионирование.


        1. saboteur_kiev
          24.03.2017 15:56

          А чтобы посмотреть в keepass, надо запустить keePass

          У меня консоль или фар всегда запущены, так что мне особо без разницы. Зато я очень хорошо себе представляю возможные уязвимости текстового файла. А что внутри KeePass, LastPass и др — не знаю…


          1. sumanai
            24.03.2017 16:07

            А что внутри KeePass,

            Можно легко посмотреть, так как Open Source.


            1. saboteur_kiev
              24.03.2017 20:23

              Как-то уже несколько раз «легко» смотрели что внутри TrueCrypt, так до сих пор и непонятно что с ним ;)


              1. sumanai
                24.03.2017 22:17

                А что с ним не понятно?


                1. saboteur_kiev
                  25.03.2017 18:25

                  https://habrahabr.ru/post/201408/

                  Почему-то не вышло легко посмотреть опенсорс, решили собрать денег на специалистов

                  https://habrahabr.ru/post/224491/
                  Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.


                  1. sumanai
                    25.03.2017 19:47

                    Почему-то не вышло легко посмотреть опенсорс

                    Опять повторю- что не вышло то? Всё прекрасно выходило, кто угодно мог смотреть их код.
                    решили собрать денег на специалистов

                    Внешний аудит- это очень хорошо, там сидят специалисты.
                    Вроде бы аудит прошел не выявив ничего серьезного, но появилась целая куча теорий на базе закрытия проекта и удаления старых бинарников, вместо которых появились новые, подписанные другим ключом.

                    Главное- вначале фразы. А то, что первых разработчиков ушли- это следствие того, что он слишком хорошо работает. Но появились продолжатели, ещё до закрытия, типа VeraCrypt.


    1. cekuc
      24.03.2017 12:39

      Я сейчас использую FASTAUTOREG берет мои пароли из блокнота из заполняет.УДОБНО


  1. grvelvet
    23.03.2017 18:34

    В приложении для андроид такого бага значит нет?


  1. Shtucer
    23.03.2017 18:40
    +1

    «Выбор правильного редактора — непростая задача». Пойди пойми, что речь не о редакторе гиктаймса, а о редакторе текста. Что, впрочем, одно и тоже.

    «Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера.», а если посчитать KeePassX?


  1. hdfan2
    23.03.2017 18:43
    +9

    LostPass


  1. norlin
    23.03.2017 19:10
    +1

    в этой области нет явного лидера

    Хм, а как же 1Password? Я как-то даже не задумывался о других вариантах...


    1. alexk24
      24.03.2017 13:38
      +1

      Покупал. Пользовался до выхода новой версии.
      В текущей не устраивает:
      1. Ценовая политика.
      2. Облако.


      1. norlin
        24.03.2017 13:55
        +2

        По-поводу 2: насколько вижу, можно спокойно создавать локальные хранилища. Более того, если захотите – можно эти локальные хранилища синхронизировать с девайсами несколькими способами (как минимум, через локальный сервер, поднимаемый самим приложением 1Password, либо через Dropbox).


        1. alexk24
          24.03.2017 19:06

          Понятно, я на первой странице такого не заметил. Да и давно ими не интересовался. В свое время покупал 1Password за $30. Потом было обновление и клиент стал стоить около $50, обновятся я не стал. Сейчас зашел, увидел подписку по $3 в месяц, пока желания приобрести не появилось. Хотя интеграция у них действительно удачная, после них к KeePass привыкать тяжело, хотя казалось бы тот же принцип.


          1. isden
            24.03.2017 20:08

            Я покупал 4-ю версию несколько лет назад, емнип за те же $30 (какая-то акция была). С тех пор все обновления до текущей были бесплатно (через аппстор на маке), внезапно.
            Недавно вот покупал stand-alone версию (захотелось еще и на виндовую машинку поставить), дали нехилую скидку — вышло те же 30 баксов с копейками.


  1. stalinets
    23.03.2017 19:25
    +4

    Считаю правильным хранить пароли в блокноте, личном бумажном блокноте, который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками, а самые важные — только в памяти. Всякие электронные хранилки паролей — от лукавого.


    1. wholeman
      24.03.2017 07:57

      Ваше право. А я считаю, что правильный пароль должен быть не короче 16 случайных символов в разных регистрах, а желательно ещё и спецсимволов добавить. Хранить это в памяти не так просто.


      1. myanacc1
        26.03.2017 14:35

        Я тоже так думал. Пока не попробовал запоминать эти пресловутые в разных регистрах, со спецсимволами и буквами, не несущие смысл, 16-значные пароли. И знаете – небольшая практика и все отлично запоминается.


        1. wholeman
          26.03.2017 15:03
          +1

          Круго. Если я, скажем, с полгода ресурсом не пользовался, я даже не могу вспомнить, какой там логин, не то, что пароль.


          1. myanacc1
            27.03.2017 05:45

            Такие серьезные пароли нужно держать в памяти только для частого употребления. Если вам не нужно проходить авторизацию по полгода (как насчет смены пароля регулярно?))), то и смысла нет помнить, проще записать. На бумаге.
            Если же речь о всяких форумах или еще о чем подобном, так и вовсе нет смысла паранойей мучиться. Я проще делаю – там где безопасность ни к чему, регистрируюсь везде с одним уникальным логином и простым паролем.


    1. Retifff
      24.03.2017 09:31

      Не знаю, локальный keepass меня более чем устраивает. А вот онлайновые LostPass-ы всякие — да, действительно от лукавого.


      1. OtshelnikFm
        24.03.2017 11:46

        Согласен — локальный keepass, тоже там и храню. И таскаю на флешке по командировкам. Ну потеряю я ее если — это же все равно безопасней, чем потерять физический блокнот

        который хранится дома и лишь иногда (в командировках, например) носится с собой в бумажнике вместе с деньгами/карточками


      1. Ziptar
        24.03.2017 12:29

        Использую KeePass с плагином синхронизации базы с гуглодиском. Шифрование базы сертификатом, сертификат храню на токене.


  1. EndUser
    23.03.2017 19:44

    Если уж доверяться, то разделять — шифрует один, хранит другой.
    А объединённый сервис, это вот такая череда граблей, как у LastPass.


  1. Loriamar
    23.03.2017 19:55
    +16

    Однако, здравствуйте. У нас снова утекли пароли от LastPass. Вы нас извините, в четвёртый раз. Но мы клятвенно заверяем, в четвёртый раз, что мы самые-самые надежные. Но вы к нам вернётесь, ведь правда? Лох не мамонт — лох не вымрет.


  1. konchok
    23.03.2017 20:06

    Просто автозаполнение не надо использовать, только и всего. По крайней мере должно быть приглашение да/нет перед тем как данные слать.


  1. Kenya-West
    23.03.2017 20:21
    +11

    В чем прикол юзать сервисы Lastpass, когда можно создать базу в опен-сурсном KeePass, залить файл с паролями в любое популярное облако и открывать-смотреть пароли на любом устройстве? Для большей защиты проводить аутентификацию по файлу-ключу и хранить его только локально. Клиентов KeePass туева хуча, для одних только Windows-смартфонов их шесть штук. Даже веб-версия (которая может работать оффлайн) есть.


    1. NIKOSV
      24.03.2017 01:00
      +6

      Вы сами то хоть этими клиентами пользовались? А плагинами под браузеры? Это же не для людей сделано. Я сам в определенный момент перешел на KeePass (где-то более года назад, может сейчас все лучше, не знаю) и пол года им пользовался, думал ну не могут же гики так ошибаться. Пол года честно искал к нему подходы, пробовал разные плагины, костыли, заставлял себя его полюбить, и… в конце-концов сдался, вернулся назад на LastPass.

      По поводу паролей, думаю увести базу с дропбокса намного проще чем с LastPass, все-таки во втором случае безопасность в приоритете. Но в любом случае, что с дропбоксом что с LastPass, база без мастер пароля для злоумышленника никакой ценности не несет. Косяки могут быть с автозаполнением, и на первое место выходит пряморукость разработчиков плагинов. Глядя на многочисленные подделки плагинов для KeePass, к разработчикам LastPass как-то больше доверия, уж извините. Ну а если автозаполнение вообще отключить, можно спать спокойно.


      1. wolfus
        24.03.2017 07:14

        Пользовались. Для windows mobile — Codesafe Pro, спасибо комментарию выше вашего, поищу альтернативные клиенты, в своё время их не было. Под Android есть KeepassToAndroid и KepassDroid. Под Windows нативный клиент. База лежит на своём ftp, облаков для этого не использую. Использую кипасс около 7 лет точно.

        Какие ещё «плагины под браузеры»? )


        1. NIKOSV
          24.03.2017 07:49

          Ну десктопный клиент к слову нормальный, правда дизайном отдает из начала 2000-х.

          Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился, и все, без постоянного ввода мастер пароля, без постоянного держания открытым десктопного клиента или других вспомогательных сервисов, без копирования данных в буфер обмена. Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.

          Про двуфакторную авторизацию из коробки уже писали.


          1. ruslanm
            24.03.2017 09:44
            +1

            Автозаполнение в десктопном KeePass работает без дополнительных плагинов. При создании записи во вкладке Атонабор добавьте целевое окно. В последующем при открытии страницы авторизации сайта или какой то программы нажимаем Ctrl+Alt+A и происходит автозаполнение.


          1. sumanai
            24.03.2017 16:12

            Плагин для того, чтобы зашел на сайт, одним кликом автозаполнил поля, другим кликом залогинился

            А что так сложно?
            Я делаю одно нажатие в KeeFox, он заполняет поля и отправляет форму. Да, KeePass настроен на автозапуск, и спрашивает пароль при запуске ОС и выходе из ждущего режима.
            Плагин, который установил из магазина, залогинился, и пользуешься, а не выполняешь инструкцию по установке на 10+ пунктов.

            Это нужно выполнить один раз.


      1. Retifff
        24.03.2017 09:33
        +1

        Пользовался и пользуюсь, не испытываю никаких проблем. Под винду родной клиент, под андроид — keepassdroid. База на дропбоксе. Плагинами, правда, не пользуюсь совсем.


        1. NIKOSV
          24.03.2017 10:32

          То есть потеря в гибкости и удобстве ради возможной чуть лучшей защищенности.

          Не знаю, лично я, ради удобства, готов рискнуть быть взломанным с вероятностью меньше чем выиграть в лотерею. Тем более что особо важные ресурсы защищены двуфакторной авторизацией.

          Кстати постоянное вбивания мастер пароля, использование буфера обмена, копипаст, открывают другие возможности для атаки, вероятность которых не факт что ниже вероятности попадания в одну из дыр облачных хранилищ с браузерными плагинами.


          1. Andrusha
            24.03.2017 12:17

            Пользуюсь десктопной версией только дома, на незнакомых компьютерах перебиваю из андроидного клиента руками. По-моему, вероятность того, что ломанут мой телефон или домашний компьютер гораздо ниже, чем то, что выкачают какое-то облачное хранилище с непрозрачной для меня схемой работы. А так у каждого своя планка гибкости и удобства :) Для меня критично то, что в случае не моего косяка придётся менять 300+ паролей, некоторые из которых сменить не так-то просто (например, личный кабинет провайдера).


            1. dion
              24.03.2017 12:28

              К keepass2android, если что, есть плагин, умеющий эмулировать обычную клавиатуру и таким образом вводить пароль (но нужен root), Либо еще InputStick


            1. Exaybachay
              24.03.2017 15:47

              Тоже самое, только использую Dashlane и везде где важно есть 2ФА, плюс на телефоне можно разблокировать отпечатком, что бы не вводить каждый раз длинный пароль.
              Пробовал KeePass, не удобно, но храню там на локалке копию, на всякий :)


              1. Andrusha
                24.03.2017 16:27

                Keepass2Android тоже может разблокировать базу отпечатком.


          1. dion
            24.03.2017 12:26

            Мастер пароль каждый раз вбивать не обязательно. Как и использовать буфер обмена


      1. terek_ambrosovich
        24.03.2017 09:46
        +1

        Если для вас именно безопасность в приоритете, то KeePass — лидер.
        А вот если для вас в большем приоритете некоторые удобные вам интерфейсные отличия — тогда да… можно рассматривать другие решения.
        Не пользуюсь никакими плагинами для него, основного функционала более чем достаточно.
        Пряморукость разработчиков можно проверять только по исходным кодам. LastPass уже стал опенсорсным? А судя по найденным уязвимостям…


      1. uzverkms
        24.03.2017 11:10

        Для людей — это iCloud Keychain. Но ограничение тоже понятно — только Apple инфраструктура.


    1. sheknitrtch
      24.03.2017 01:23

      Для меня плюсы LastPass в следующем: двухфакторная аутентификация, интеграция со всеми браузерами (даже Opera 12 была какое-то время), возможность делиться паролями и секретными заметками с другими пользователями, интеграция с Android приложениями. Мне, как пользователю, достаточно вовремя обновлять расширения в браузерах.
      Косяки случаются у всех, но утечки секретных данных в LastPass ещё не было (по крайней мере публично никто об этом не заявлял :).


      1. 9uvwyuwo6pqt
        24.03.2017 05:20

        /del


    1. kernelconf
      24.03.2017 12:23

      Собирать QT для него. :) Это единственное QT-приложение у меня.


    1. danyaShep
      24.03.2017 12:24

      Разница — как между Сбером и Тиньковым. Вроде оба банки, функции схожие, но от сервиса одного хочется взять автомат и всех убивать, а другому только аплодировать и завидовать.


  1. sumanai
    23.03.2017 20:46
    +1

    Как говорил Матиас Карлссон в прошлом году, нахождение таких уязвимостей — не повод отказаться от парольных менеджеров.

    Конечно. Но уже которая подряд дыра в LastPass- это повод отказаться от него, ультимативный повод.


  1. NaHCO3
    23.03.2017 20:59
    +2

    > Как обычно, причина уязвимости — ошибка программистов.

    Уж скорее ошибка дизайна.


  1. imbasoft
    23.03.2017 21:04
    -2

    но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.


    Знакомо до боли. В России этим грешат сплошь и рядом, в том числе, для систем, обрабатывающих информацию на миллиарды рублей.


    1. myanacc1
      26.03.2017 14:41

      Странно, что располагая столь интересной статистикой по столь серьезным системам мира вы пишете односложные комментарии на Гиктаймс, а не рулите им.


  1. HKA
    23.03.2017 21:20
    -1

    Есть простой способ "хранить" неограниченное число паролей, не прибегая к бумажным или электронным помощникам. Нужно всего лишь поставить пароль в зависимость от идентификатора сайта (домена) или приложения (названия) и рандомизировать это производной вашего единственного секретного слова. Т.е. password = f(id, secret). Например, взять от идентификатора 5 четных символов с конца и добавить к ним последние (len(id) mod 5) символов вашего секрета. Сложность функции зависит от вашей способности помнить и решать ее в уме, ну и от степени параноидальности. При должной сложности утечка одного пароля не сильно скомпрометирует вашу защиту.


    1. sumanai
      23.03.2017 21:42

      А при утечке метода генерации (а придумать хороший достаточно сложно) будут скомпроментированны все пароли на всех сайтах, включая будущие.


      1. Fullmoon
        23.03.2017 22:06

        Это удобно и имеет смысл в основном для разных некритичных сайтов, непременно требующих логин. Или когда пароль будет сменён в ближайшем будущем.


        Я, например, этим способом пользуюсь, когда нахожусь где-нибудь „в гостях“. Добираюсь до своего компа — меняю пароль и заношу его в менеджер.


      1. Sadler
        23.03.2017 22:07

        Метод генерации может включать дополнительные ключи. Например, можете использовать набор суффиксов, тогда скомпрометированы окажутся только известные злоумышленнику суффиксы. Так можно организовать нечто вроде системы уровней допуска. Конечно, это плохо подходит для коротких паролей, ибо брутфорс. Из минусов отмечу разве что тот факт, что эта система заставляет использовать всё более длинные и длинные пароли. Я доходил до 80 символов (примерно шестая часть этого комментария)


      1. HKA
        23.03.2017 22:08
        -1

        Куда, вернее, откуда он утечет? Приличный для бытового уровня хэш придумать можно. Добавить шифр Цезаря, например. Потребуется знание более одного пароля, чтобы восстановить метод. Разумеется, это применимо не ко всем случаям, но тогда и любой другой plain text применим не всегда.


        1. Akon32
          24.03.2017 11:58

          Приличный для бытового уровня хэш придумать можно.

          Это уже по принципу Неуловимого Джо. Хэш никто не взломает, пока он особо никому не нужен.


        1. sumanai
          24.03.2017 16:22

          Любой шифр, который человек может провернуть в голове, взламывается микропроцессором уровня калькулятора в наручных часах.


          1. HKA
            24.03.2017 17:11

            То же самое можно сказать про любое вычисление по известному алгоритму.


            1. sumanai
              24.03.2017 19:19

              Даже создание файла с заданным хешем SHA-2?


              1. HKA
                24.03.2017 21:42
                -1

                Объясните, пожалуйста? Я имею в виду любой алгоритм, используемый на стороне сервера для валидации введенного пароля. Он не должен быть вычислительно сложным, чтобы уменьшить плечо DOS-атаки. Как я понял, вы предполагаете, что злоумышленнику известен алгоритм, поэтому то, что считается в уме, легко щелкается любым умным утюгом. Моя идея в том, что алгоритм неизвестен, поэтому перебор алгоритмов сопоставим с брутфорсом пароля.


    1. NoGotnu
      24.03.2017 08:24

      У этого способа есть один большой недостаток: для одного сайта/домена можно сгенерировать только один пароль. Если нужен второй или новый — увы и ах.


  1. ReFZitlBVEQjof59
    23.03.2017 21:20
    -2

    Использую обычный форум MyBB на своем сервере. Доступ на него открыт только по VPN или из домашней локалки. Каждый член семьи имеет свой раздел для паролей. Не знаю хорошо ли так хранить пароли, но мне вполне достаточно. Однако очень жалею и тоскую о такой фиче как автоподстановка пароля.


  1. MonkAlex
    23.03.2017 21:41
    +3

    Внезапно, на addons.mozilla.org только 3 версия lastpass'a. Отличная работа.


  1. ingegnere
    23.03.2017 21:41

    тоже узаю keepas база в облаке а клиент локально на win и андройде он даже в буфере пас и логин только 10 сек держит а автозаполнение само по себе вектор для атаки


  1. omgiafs
    23.03.2017 22:07
    +4

    Доверять все свои пароли какому-то левому сервису?
    *Диоген mode on, torch fired up*
    Эй, нормальные люди, вы еще остались? Есть те, кто свои секреты хранит при себе, а не доверяет третьим лицам?


    1. Ilyasyakubov
      24.03.2017 10:13

      Секрет, это когда жене по пьяне изменил, или деньги у работодателя тыришь, а пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще. В конце концов самые важные пароли (банк-клиент, основная почта и т.д.) можно и запомнить, для всего остального есть сервисы хранения.
      P.S. В любом случае иметь везде один/два пароля это менее безопасно, чем везде разные, но хранящиеся в сейфе какого-нибудь сервиса. Плюс это еще и такой себе импровизированный менеджер аккаунтов — не нужно помнить какие акки у тебя есть.


      1. MAXInator
        24.03.2017 19:00
        +2

        пароли это просто пароли, камон! Главное чтобы они не достались злоумышленникам, остальное пофиг вообще.

        Я не злоумышленник, имел привод в милицию в 16 лет, о вас не знаю ничего, кроме ника. Дайте, пожалуйста, мне пароль от вашей почты, связанной с аккаунтом на GT. :D
        Ответ я уже представляю и сразу говорю: «вот то-то и оно».


  1. IGHOR
    23.03.2017 22:17

    Расширение для Safari не подвержено уязвимости.


  1. braineater
    23.03.2017 23:39
    -1

    Помнить свои пароли надо, помнить.


    1. Monoroch
      23.03.2017 23:59
      +5

      Расскажите как запомнить 131, 8-12 значный пароль с регистром, цифрами и местами спецзнаками.
      Если вы обычный человек, а не робот само собой) Использовать 5 паролей на всё про всё, не предлагать.


      1. braineater
        24.03.2017 00:25

        А у вас серьезно 131 важный аккаунт? Не уверен что мои варианты покроют такое количество паролей, но это выглядит довольно специфическим кейсом.
        Начну с того что для некритичных сервисов (Которые даже если угонят то это не страшно) можно использовать один пароль. Сколько останется? Для важных варианты.
        0. Т.К. во многих вариантах я предложу использовать слова то этот общий. Придумать и запомнить правила замены букв на симовлы или на похожие из других языков. И менять на i например.
        1. Выучить длинное стихотворение. Придется помнить только позицию слова и применять к нему 0 правило.
        2. Придумывать то с чем у вас ассоциируется то от чего этот пароль или для чего этот аккаунт. В 2-3 слова. «Аккавитодляработорговли» например. Естесственно применяем правло 0.
        3. Помните каким по счету зарегистрировали аккаунт? Учитесь считать на 2-3 языках, пишете порядковый номер аккаунта. Это конечно уже посложнее, но все таки дает какую-то отправную точку для памяти.

        Как-то так.


        1. lasc
          24.03.2017 01:11
          +1

          А потом. «Извините у нас утекли пароли поменяйте плз». И все правила котуподхвост.


          1. braineater
            24.03.2017 02:32

            Мнемонические правила коту под хвост?


        1. mkm565
          24.03.2017 09:47
          +2

          1) 140 (сто сорок) паролей в моем ластпасс-е. Банковские счета, страховки, амазоны, электричество, интернеты и т.д.
          2) Часть надо зашерить с моим бизнес партнером. Часть — для семьи
          3) В некоторых местах требуется пароль менять каждые пару месяцев. Поменять можно. Но есть 2)
          4) Одни требуют пароль не длиннее 12 символов. А другие требуют безумные комбинации с использованием символов !@%:* и т.д. А у других запрещены такие символы.
          5) Надо иметь доступ с домашнего компутера, с рабочего, с остальных (цм 2) выше)

          Ну и как тут быть?

          Идеального «ластпасса» не существует. Идеально хранить все пароли в голове. Но это нереально. На бумажке? А как срочно перезагрузить удаленный сервер, когда ты в аэропорту, тебе звонят и кричат в трубку, что ничего не работает. А пароль пришлось поменять позавчера, поскольку этого потребовал провайдер, а у тебя есть 10 мин до самолета и три попытки вспомнить пароль, прежде чем логин заблокируют.

          А если взломают сервер банка, то пофигу, насколько хороший пароль я придумал.
          Если захотят взломать меня персонально, то ничего не поможет

          Поэтому мы используем ластпасс и довольны.

          Крошка сын к отцу пришел
          И сказала кроха
          -Жить с ластпассом хорошо,
          Без ластпасса — плохо


        1. saboteur_kiev
          24.03.2017 16:00
          +1

          У меня несколько сотен разных ресурсов.

          Да, там много разных сайтов и форумов, но как-то совершенно случайно так случилось, что примерно на трети я администратор/модератор.
          Я давно перестал использовать одинаковые пароли для разных ресурсов, во избежание, потому что не всегда от меня может зависеть утечка пароля на каком-то ресурсе.

          Я совершенно не хочу держать в голове, на каком ресурсе могут быть зависимости, в том числе финансовые или моральные. Поэтому для меня ЛЮБОЙ ресурс, где я регистрируюсь достаточно важен, чтобы я озаботился созданием рандомного несловарного пароля. И понятно, что держать в голове пароли, которыми пользуешься нечасто — нереально.


    1. dartraiden
      24.03.2017 01:22
      +2

      Да, я в курсе про технику «выбери яркий образ», и если бы я жил в камере для сенсорной депривации и никогда не пользовался Интернетом, то мог бы легко запомнить фразу-пароль типа «Вечеринка гигантских Марсианских насекомых». Увы, я пользовался Интернетом, а это значит, что я видел, слышал и местами даже платил деньги за всё, что только можно представить. Я видел видеоролик «Вечеринка гигантских Марсианских насекомых», и я видел другой видеоролик, «Вечеринка гигантских Марсианских насекомых: Не говори маме», и оба ролика мне сильно не понравились, но это меня не остановило и я снял продолжение, «Вечеринка гигантских Марсианских насекомых: Возмездие». Так что мне невероятно сложно придумать хорошо запоминающийся образ, чтобы он выделялся среди того бурлящего океана нелепостей, что заполняет мою голову в результате потребления 31 часов медиа-контента за каждые 24 часа. Придумать запоминающийся образ сложно, а чтобы жизнь мёдом не казалась, безопасники вдобавок говорят, для разных вебсайтов нужны разные пароли. Так что подразумевается, что я должен помнить и «Вечеринку гигантских Марсианских насекомых» и «Структурно непрочную сумку Йети», и каким-то образом вдобавок надо запомнить, которая из этих фраз для моего онлайн-банка, а которая для другого вебсайта, не имеющего ничего общего ни с внеземными насекомыми, ни со снаряжением Йети. Это варварство и я требую от жизни большего.


      1. M_AJ
        24.03.2017 08:31

        Последний пункт действительно проблема, недавно вспоминал пароль от почты на protonmail, выписала все пароли, которые не могу соотнести с сайтами, и их оказалась более 10 штук.


  1. Bonio
    24.03.2017 03:59
    +2

    Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»?

    KeePass без всяких расширений к браузеру.


    1. wolfus
      24.03.2017 07:16

      Поддерживаю. Удивился комментарию выше про «плагины к браузеру», зачем они кипассу? ) Ctrl-V и автоматически входишь куда нужно.


      1. MonkAlex
        24.03.2017 07:40

        А если фишинг и это подделка под нужный вам сайт? Плагин как раз спасает, говоря что у меня нет паролей к этому сайту.


        1. wolfus
          24.03.2017 08:15
          +3

          В урл смотреть надо.


        1. mayorovp
          24.03.2017 12:31

          … или не спасает, а сам же и отдает пароль. Автоматически, из-за программной ошибки. Прямо как LastPass.


  1. BlackRaven86
    24.03.2017 05:03

    На мой взгляд, лучше всего локальная база и менеджер паролей с открытым исходным кодом. Плюс, периодический бекап базы (естественно, зашифрованной) в облако.
    Уже много лет пользуюсь KeePassX — все устраивает.


  1. Nuwen
    24.03.2017 08:27
    +1

    Я, наверное, один храню пароли в браузерах.


    1. 9uvwyuwo6pqt
      24.03.2017 09:22
      +1

      Храню, но не все. Группировать и генерировать их удобней в менеджере. :)


    1. erty
      24.03.2017 09:47
      +1

      Тут три уязвимости нашли и начался хайп. Для интереса посмотрите сколько в браузерах каждый месяц критических уязвимостей закрывают.


      1. tmin10
        24.03.2017 09:55

        Но вроде бы про слив паролей из запомненных ещё не разу не было новостей?


        1. erty
          24.03.2017 10:18

          Выполнение произвольного кода с привилегиями браузера само по себе это подразумевает. Что вы получаете доступ ко всему, к чему имеет доступ сам браузер.


  1. technic93
    24.03.2017 09:47

    Чем использовать менеджер паролей с сомнительной безопасностью лучше чем просто один пароль на все?
    Лучше уже несколько паролей запомнить и пусть на некритичных сайтах они совпадают.
    Поправьте меня если я не прав, или не учитываю каких то особых случаев использования.


    1. Ilyasyakubov
      24.03.2017 10:19

      Один пароль на все не лучше и не удобнее.


    1. Tatooine
      24.03.2017 10:31

      Если везде использовать один и тот же пароль даже сложный и длинный то рано или поздно он может попасть в список самых популярных паролей.
      Наверное :)


    1. polearnik
      24.03.2017 11:49
      +1

      проблема в том что при очередной утечке паролей вас попросят сменить пароль и теперь у вас будет один пароль на все кроме одного сайта для которого на конце будет единичка дополнительно. А примерно на 10 регистрации с одним и тем же паролем вы столкнетесь с тем что ваш супер мега пароль не подходит изза того что в нем присуствует/отсутствует спецсимвол. В случае кипасс( или иного менеджера паролей)такой проблемы вообще нет. Там для каждого сайта генерится новый пароль который вам запоминать не нужно.


  1. Ioanlarionov
    24.03.2017 09:54

    Лучше всего использовать аппаратный менеджер, как, например, Pastilda или Mooltipass. Чисто программные менеджеры довольно уязвимы. Поддержите нас с Пастильдой на crowd supply!


  1. tmin10
    24.03.2017 09:57

    Скажите, а насколько безопасно использовать запоминание паролей в браузере, при условии, что они синхронизируются не с сервером компании, а с твоим личным? Например, Firefox такое позволяет.


    1. Ilyasyakubov
      24.03.2017 10:32

      Хоть банки иногда и грабят, для хранения ценных вещей банк подходит лучше чем бачок унитаза или матрас ;)


  1. geher
    24.03.2017 10:56

    Тут все рекламируют keepass. Он действительно настолько надежен, что ему нет альтернатив?
    А как с надежностью его различных клиентов под разные системы, есть ли канонические (прежде всего Windows, Linux, Sailfish, Maemo6/MeeGo1.2)?


    Может ли кто чего плохого/хорошего написать про MeePasswords? Или имеет смысл мигрировать с него на Keepass?


    1. dartraiden
      27.03.2017 19:49
      +2

      KeePass это, в первую очередь, стандарт формата базы с паролями. А дальше уже можно выбирать клиент:

      — официальный KeePass на C#/Mono
      — неофициальный KeePassX на C++ (портирован даже на Maemo 5)
      — неофициальный KeePass4Android и т. д.

      А у альтернатив, обычно, свои форматы.


  1. DRDOS
    24.03.2017 11:49

    Ха Ха

    В журнале Х… р тестировали Ваш KeePas и ему подобные!!!

    Самая главная проблема был в том, что пароли перехватывались на этапе копирования и вставки!
    Что блокнот, что эксель, что облако ЦРУ… результат ОДИН,
    Только один (забыл уже) с трудом прошел проверку.


    1. Tatooine
      24.03.2017 12:00

      Ну не знаю на счет ксакепа. Его репутация довольно неоднозначна.


    1. Monoroch
      24.03.2017 13:24

      Если у вас хост система скомпрометирована, то поздно пить боржоми и ниодин парольный менеджер вас уже не спасёт. Независимо от его способа ввода паролей.


      1. sumanai
        24.03.2017 16:28
        +1

        Ну, Intel базарил что-то про защищённые регионы памяти на уровне процессора, куда даже ОС не сможет добраться, но это только самые новые процессоры, софт это не поддерживает, да и как пить дать опенсорсу никто так делать не разрешит, а зашьют ключи крупных производителей медиаконтента.


        1. MikailBag
          26.03.2017 12:33
          -1

          А клавиатура будет прямо в эти регионы печатать?
          И как предлагается запрос на сервер для входа, если не через API операционной системы?
          mov eax, "site.com"
          mov ebx, "pass=123&login=abc"
          ajax
          ))?


          1. mayorovp
            26.03.2017 21:40

            Вопрос с клавиатурой решается дополнительной клавиатурой, которая шифрует коды нажимаемых клавиш (по типу того, как это сделано в банкоматах). Запрос на сервер делается обычным образом — вот только отправляемые данные перед этим, опять-таки, шифруются.


            Разумеется, для обычного парольного менеджера общего назначения ни то, ни другое решения не применимы.


            1. MikailBag
              27.03.2017 20:29

              Как предлагается шифровать данные, чтобы об этом не узнала ОС?
              (в комментарии выше говорилось именно про это)


              1. mayorovp
                27.03.2017 21:45

                Находясь в защищенном от ОС регионе памяти.


                1. MikailBag
                  28.03.2017 18:24

                  Спасибо, я понял, любопытная схема.
                  Интересно, как решены вопросы контроля.


        1. dartraiden
          27.03.2017 19:51

          1. sumanai
            27.03.2017 21:12

            Ну вот и славненько, производителям менеджеров паролей можно даже не парится с внедрением этой штуки.


    1. tmin10
      24.03.2017 15:40

      Так получается и ввод пароля с клавиатуры тоже легко перехватить, т.е. хранить пароли в голове тоже не вариант…


      1. dartraiden
        27.03.2017 19:53

        Если у юзера на ПК стоит кейлоггер или ещё какая зверушка, которая перехватывает пароли на этапе копирования/вставки/набора, то борьба с ней уже выходит за пределы функций парольного менеджера. Тут не всегда поможет даже драйвер, который меняет «на лету» сканкоды нажимаемых клавиш (встречал когда-то такую штуку). Поскольку если я на вашем ПК могу запускать по своему желанию произвольный код, то вы уже не можете доверять такой системе.


    1. terek_ambrosovich
      24.03.2017 23:42

      Как раз при тестировании попыток взлома в Хакере по сравнению с другими KeePass смотрелся очень даже достойно.


  1. denonlink
    24.03.2017 11:49

    Пользуюсь https://keepersecurity.com/download.html — здесь есть плагины для основных браузеров и приложения для осноных десктопных и мобильных платформ. Для шифрования используется мастер-пароль, автозаполнение работает в ручном режиме: оно есть, но чтобы в поле ввода попал пароль — вам надо подтвердить это нажатием на кнопочку. Платный, зато удобно и, судя по всему, достаточно безопасно.


  1. svr_91
    24.03.2017 12:15

    Я один до сих пор пользуюсь Password Commander?


    1. Andrusha
      24.03.2017 14:37

      Видимо вы пользуетесь только Windows? Я им тоже пользовался более 10 лет назад, но сменил после приобретения КПК Palm на KeePass: для него есть плагин, выгружающий базу в Keyring.


  1. pulsatrix
    24.03.2017 13:31

    Мультфильм о забытом пароле — Халиф аист.


  1. cicatrix
    24.03.2017 13:31

    Для форумов и прочей фигни пользуюсь примитивнейшим 6-символьным паролем, который уже «на подкорке» (не забудешь, не пропьёшь). Большей безопасности и не требуется. Уведут, да и пофиг.
    Для ресурсов более-менее ценных имеется «хэш-функция» по части имён, дней рождений и знаков зодиака моих родственников… Так я знаю, что это «мамин сайт», это мой, это жены, это отца, это деда и т. д. Сбрутить сложно — пароли по 10-12 символов. Криптоаналитик, наверное, разгадает, но я — неуловимый Джо, так что пофиг.
    Банк-клиенты и прочие важные вещи под двухфакторной аутентификацией с автосгенерёнными паролями по 50-60 символов (копи-паста из KeePass), либо отпечаток пальца (под Android).

    *Paranoid mode on*
    Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)
    *Paranoid mode off*


    1. isden
      24.03.2017 17:07
      +1

      > Самый действенный, на мой взгляд, вектор атаки — перехват содержимого буфера обмена. Какие-нибудь методы защиты придумал кто-нибудь? (кроме банальных вещей типа «не запускай чего ни попадя, не ходи по сомнительным ссылкам и т. д.)

      Не использовать буфер, очевидно же. Т.е. прямая вставка из менеджера в нужную форму.
      Но, как уже говорили выше, если дошло до возможности следить за буфером — то тут уже поздно беспокоиться.


    1. myanacc1
      26.03.2017 14:55

      Я одно время пользовался менеджером, киллер-фичей которого было НЕ использование системного буфера. Названия не помню. Он был бесплатным, но не open-source… сами понимаете надежность исключительно на вере в девелопера. Сейчас ничем, кроме бумажного не пользуюсь. А для «всякой фигни» у меня один на всех 7-значный пароль)))