В официальном блоге LastPass появилось уведомление, указывающее на то, что сервера компании были скомпрометированы. Подозрительные действия в сети компании были замечены в минувшую пятницу.
Команда LastPass утверждает, что зашифрованные данные пользователей в безопасности, однако расследование показало, что злоумышленники получили доступ к email, напоминанию пароля, соли и хешам аутентификации пользователей.
Мы уверены, что наших мер шифрования достаточно, чтобы защитить подавляющее большинство пользователей. LastPass усиляет хэш аутентификации случайном значением соли и 100000 итерациями PBKDF2-SHA256, в дополнении к итерациям, проведенным на стороне клиента. Эти меры защиты затруднят атаки украденных хэшей с любой скоростью.
Тем не менее, LastPass принимает дополнительные меры, чтобы гарантировать, что ваши данные останутся в безопасности. Для входа с нового устройства или IP адреса необходимо будет подтвердить свою учетную запись, если не включена двухфакторная аутентификация.
В качестве дополнительной предосторожности всем пользователям предлагается обновить свой мастер-пароль.
artemlight
Да что ж за новости такие с утра…
Уже не в первый раз, кстати. Куда свалить-то с него можно?
Требования — мобильный клиент на Android (сейчас — встроенный в Dolphin очень неплох) + заполнение форм.
divanikus
KeePass же
mantiscorp
PasswSafe/PwSafe?
IGHOR
Чем обоснована уверенность в KeePass?
anmipo
Работает без интернетов, исходники открыты и были изучены несколькими разработчиками (в частности, при портировании на другие платформы). Зияющих дыр/закладок за 12 лет никто не нашёл. Безусловно, это ничего не гарантирует, но в сравнении с проприетарными облачными сервисами выглядит серьёзнее.
IGHOR
Да, это уже увидел, мой комментарий ниже.
Но для локального хранилища проще свою программу сделать что банально шифрует файлы в AES256.
Чем собственно и пользуюсь, проще и надежнее некуда.
Но LastPass и локальное хранилище совсем разные вещи.
anmipo
Если Вы — эксперт в криптографии и пользуетесь только компьютером, то почему бы и нет. Собственно, некий Брюс Шнайер так и поступил, разработав для себя Password Safe (от которого позже произошёл и KeePass).
Если Вы не эксперт — легко накосячить с реализацией криптографии, и безопасность окажется мнимой.
Если пользуетесь не только компьютером — придётся портировать свою программу и на смартфон/планшет.
Делать своё полезно в образовательных целях, но в реальности, по-моему, нерационально.
IGHOR
Я с вами согласен, в своем коде, тем более в шифровании, накосячить легко.
А найти уязвимости очень сложно, поэтому только время может служить хоть каким то показателем надежности кода.
Спасибо за ссылки и я осмелюсь их прокомментировать не вызвав оффтоп.
Про автентификацию запросов API то я консультирую некоторые биржи Bitcoin по безопасности их API.
И опыт показывает что у каждой пятой есть проблемы с пониманием того зачем же нужно само шифрование в протоколе передачи данных.
А по второй ссылке и по теме разговора, то для шифрования можно просто использовать OpenSSL, не без своих причуд, но все же проверенная библиотека.
Так что говоря про симметричное шифрование, то его можно просто и легко внедрить в любую программу без риска накосячить, ибо код самого OpenSSL уже проверен.
Кому интересно вот Qt исходник одного из моих проектов, где используется шифрование, который тоже проверен временем.
grossws
IGHOR
Чего минусуете? Просто хотел узнать преимущества, сам только LastPass пользуюсь.
Смотрю что KeePass это локальное хранилище.
Но LastPass же кроссплатформенный и кроссбраузерный.
Как можно сравнивать его с локальным хранилищем?
divanikus
Так положите базу в любое облако, в зависимости от вашей степени паранойи, и будет вам и кроссплатформенный и кроссбраузерный и облачный сервис.
imgen
Бесплатно — KeePass, платно и с комфортом — 1 password
Makc666
Enpass.
Не понимаю, как люди работают с 1Password по таким ценам + программа разрекламированная до чёртиков.
quozd
1Password удобнее всего, что я видел. +WatchTower просто шикарная фича.
Antiarchitect
Ну если WatchTower шикарна, то вот эти ребята вам вообще доставят оргазм.
batal
Я плохо искал или не нашел у Enpass расширение для хрома? На ластпассе очень привык к этому…
Makc666
Будут расширения. Должны быть. Ребята обещали на отправленный вопрос об этом.
anmipo
KeePass — с открытыми исходниками, длиннющим списком наград, официально сертифицирован в Германии и Франции.
Enpass — проприетарная софтина от индийской конторы, которая только недавно перелезла со своего криптовелосипеда на SQLCipher.
isden
Если бы еще на макось был нормальный нативный порт… KyPass — говнище то еще, разраб даже дизайн поправить не спешит, все расползается. Не говоря уж об аналогичных фичах виндовой версии.
KeePass через XQuartz — это просто ужас-ужас на ретине.
mrThe
KeePassX + retinizer = довольно неплохо выглядит и стабильно работает.
isden
А можно скриншот посмотреть, как все это выглядит в итоге?
У меня максимум получалось вот так (откройте в новом табе и увеличение 100%) —
mrThe
Я говорил про KeePassX.
isden
А неплохо. Разница с KeePass, как я понимаю, только в Mono vs. Qt?
NeoCode
Последний KeePassX умеет открывать базы от KeePass2. Так что — да. Хотя мне именно оригинальный KeePass удобнее, там пункты меню «копировать логин» и «копировать пароль» непосредственно в контекстном меню, и строка поиска сразу открыта; а в KeePassX пункты в подменю, и строка поиска по умолчанию закрыта.
anmipo
MacPass, несмотря на disclaimer, вполне прилично работает.
quozd
Подтверждаю, пользовался им довольно долго, но очень слабый UX заставил купить 1Password, о чем ни капли не жалею.
Makc666
KeePass хороший, но кроссплатформенность, как у Android с его кроссустройством — каждый делает с кодом, что хочет.
По этом причине пытаться рассуждать про Enpass, как-то фиктивно.
Открытый код KeePass, да и вообще любой открытый код — это фикция.
Берите phpBB с его открытым кодом (я люблю phpBB до сих пор, если кто меня знает), но ошибки и уязвимости в нём как появлялись, так и будут появляться
Открытый код проще изучить злоумышленникам и использовать уязвимость в своих целях, не сообщая производителю?!
Вы сами часто в жизни смотрели открытый код и уж тем более изучали его строки?!
Почему Вы бросаетесь доверять сообществу, которое якобы изучает эти открытые коды, но при этом эти люди в сообществе Вам так же не знакомы, как и те люди, которые работают в индийской конторе.
Репутация конторы, которая получает деньги за ПО в разы важнее, чем репутация свободного ПО.
В свободно ПО находят дырки и всё сводится к — оно же бесплатное, что вы мол хотели.
В платном ПО подобное не пройдёт на раз, поэтому и сознательность (возможно таких и правда мало) производителя выше.
anmipo
Я тоже не отношусь к проповедникам open source, но «фикция» — это всё же перебор.
В случае KeePass речь не об абстрактной репутации свободного ПО, а десятилетней личной репутации конкретного разработчика по имени Dominik Reichl. В то же время, на сайте Enpass никаких имён нет. А деньги получают как контора (в виде покупок), так и Доминик (в виде пожертвований), и совсем не очевидно кто больше.Открытый код изучают как злоумышленники, так и честные разработчики. Одни ищут уязвимости, другие устраняют. В то же время, проприетарный код реверсят преимущественно злоумышленники (за парой-тройкой легальных исключений). Поэтому хотя открытый код и проще изучать — эксплуатировать уязвимости удобнее как раз в проприетарном коде. (К слову, Enpass отлично декомпилируется.)
Я с удовольствием поведусь на такой откровенный переход на личности, поскольку волею судьбы исходники KeePass (и нескольких портов) я изучал довольно внимательно.
Речь не о знакомстве с людьми, речь о принципиальной возможности самостоятельно проверить код (и разработчик знает об этом, поэтому поостережётся внедрять бэкдоры). А в случае проприетарного Enpass пользователь имеет только обещания безликой конторы.
AlexBin
>> поэтому поостережётся внедрять бэкдоры
Чтобы оставить бэкдор, необязательно внедрять бэкдор. Достаточно оставить закладку в виде незаметной и хитрой ошибки обработки каких-либо хитрых данных.
anmipo
Разумеется. С другой стороны, чувство безнаказанности при закрытом коде оставляет гораздо больше свободы для козней.
Makc666
Имя компаниии адрес есть. Проблема в том, что ни Вы, ни я не поедут проверять паспорт Dominik Reichl или адрес адрес компании.
Вы циклитесь на одной программе KeePass. Речь шла о всём мире свободного ПО. И если KeePass популярен на столько, что да же Вы добрались до него, то до других программ ни Вы, ни другие не добираются насколько досконально.
Что Вы лукавите? Зачем?!
Возможность самостоятельно проверить? Я вот не могу самостоятельно проверить и что делать то будем?
Доверять Вам? Доверять сообществу? Доверять Dominik Reichl?
Поэтому Ваши слова типа «самостоятельно», «десятилетней личной репутации», «конкретного разработчика», «я изучал довольно внимательно» и т.д. — это фикция!
Блеф!
Вы, лично в т.ч., создаёте иллюзия о том, что свободное ПО — просто не может содержать уязвимости.
И именно это огорчает.
anmipo
Поэтому я не могу согласится с тем, что «речь шла о всём мире свободного ПО». Если Вы предпочитаете обсудить именно эту обширную и сложную тему — милости просим, но ретроспективно тему менять не стоит.
Что же касается второй части Вашего комментария, лично я, пожалуй, воздержусь от дискуссии с позиций ad hominem и аргументами из разряда «фикция!» и «блеф!»
Уж увольте.
Vicpo
Keepass2android умеет работать с файлом паролей, который хранится в дропбоксе. Удобно
maseal
Не только в дропбоксе. У меня он по webdav с Яндекс.Диск-ом работает
Arvur
На заметку — ещё есть плагин для Google Drive'
Akr0n
KeePass на своем домашнем NAS
ls1
KeePassX — не путать с KeePass
serf
KeePassX совсем малофункционален, KeePass хорошо работает с mono.
dunmaksim
Firefox Sync
redc0de
Вот все жду когда же про него новости будут
striimii
1Password
aleks1k
Пока хотя бы один пароль хранящейся в ластпасе не всплывет, нет смысла сваливать
grossws
Особенно приятно читать текст в котором часть вводных конструкций переведены на русский. И в комментариях та же фигня. Crap.
grossws
mastini
Это ссылка кривая, блог сам пытался перевести текст на русский.
Оригинальная ссылка
grossws
Оно и по этой ссылке попытается средиректить в соответствии с локалью, если не проставлена кука (если не выбирали язык вручную).
lukasafonov Автор
Да, был редирект, поправил.
grokinn
Кстати мастер-пароль они пока не советуют менять всем, говорят что менять надо только когда они сами предложат вам это сделать (возможно система до сих пор компроментирована), однако если мастер-пароль был словарным или использовался на других сайтах, то они все таки советуют его поменять заранее.
TimsTims
Хоть уведомили и признались об утечке, несмотря на то, что это ударит по их репутации. Бывают компании, которые молчат до последнего, т.к. боятся позора. Сразу вспомнился фриларсер.ру. А тут всё технично и честно:
-да, угнали базу паролей
-нет, все пароли в соли
-поменяйте пароль
AlexBin
Насколько я понимаю, соль нужна только для защиты от поиска паролей в радужных таблицах, поэтому даже при наличии соли, хеш все равно придется брутить, как и без соли. Поэтому толку от этой похищенной соли маловато. Или я ошибаюсь?
netto
Ну чего придымывать-то, вот же письмо от них
We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.
We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.
Перевод нужен, или так понятно?
Отставить панику. :)
aleks1k
Сейчас лучше не менять ничего, не факт что хакеры не оставили закладок перехватывающих новый пароль. а так как зашифрованная база паролей уже у хакеров смена мастер пароля ничего не даст. Нужно менять пароли от важных сервисов хранящихся в ластпасе. Вот и посмотрим теперь насколько надежно шифруются базы паролей
Allfar
Вроде бы, об украденной базе паролей ничего не говорится. Напротив, «No encrypted user vault data was taken»
GAS_85
Не так много, у меня на KeePass для 1ой секунды задержки более чем 8*10^6 стоит, а тут только 100 тысяч. Вообще никогда не понимал людей отдающих свои приватные данные, документы, или пароли онлайн и потом удивляющихся что кого-то кого-то взломал и все утекло. Ведь, все, что попадает в Интернет остается там навсегда.
Rayslava
Только keepassx, хранящий данные в encfs, с синхронизацией по tahoe-lafs over i2p!
Ведь мой пароль от порнолаба — самая великая тайна в моей жизни! :)
batal
А кроме 1password и lastpass кто еще имеет расширение для хрома?
GAS_85
Ну KeePass например…
batal
Это шутка такая в гугл отправлять?
GAS_85
Что Вы, что Вы! Вот прямая ссылка.
vladon
А как из Lastpass экспортировать все пароли и импортировать их в Keepass?
quattro
Инструкция.
dmiceman
> обновить свой мастер-пароль.
Вызывает большие сомнения шаг этот. Если в последнее время я не лазил по их сайту, а только пользовался плагинами, разве передавался им мой мастер пароль?
Cadaver
Roboform — есть плагины ко всем браузерам и приложения для всех мобильных систем.
vlivyur
Одно облако на другое? Пароли с lastpass'а не расшифровываются что ль?
Smile42RU
Мы из-за всего такого сделали свой велосипед внутри команды который потом родился в проект teamkey.ru. Звучит как самопиар, но по факту в треде где все ищут куда можно мигрировать — грех не упомянуть еще один вариант, вероятно кому то подойдет.
inkvizitor68sl
Это шутка, я надеюсь? Такой сервис _обязан_ быть self-hosted, а не saas.
Smile42RU
У нас есть self-hosted версия — с неё сервис начинался.
Но как показывает общение с клиентами многие в таких инструментах ищут не безопасность, а удобство и определенный набор фич. Мы с вами как люди от мира разработки не совсем релевантны. Мы с командой были сами в некоторой прострации когда осознали этот факт :)
Если self-hosted версия нужна для вас — готовы запустить её у вас в инфраструктуре, но на сайте вы её не найдете сейчас, ибо слишком мал спрос.
uMg
А самостоятельно сложно развернуть?
Smile42RU
Можем дать развернуть самостоятельно — таких прецендентов пока не было, но там не сложно, особенно если есть опыт установки похожих (self-hosted) решений а-ля Jira или Redmine.
uMg
Хм посмотрел по фичам эх к сожалению до sourceforge.net/projects/corporatevault недотягивает :(
Smile42RU
А чего не хватает лично вам? У нас тут есть списочек фич для запила в будущем — будем рады если поможете докинуть туда что-нибудь еще.
uMg
Требования довольно специфичны, поля для хранения ssh ключей. Поля для хранения доступов к бд.
Ключи доступа и секретные ключи от aws.
Возможность это всё шарить по группам пользователей.
+ доступ к этим данным чз некоторый апи.
В настоящее время используем corporate vault, но он старый и не разрабатывается и нет апи, работа с группами кривовата. Но интерфейс и удобство пользования хороши.
Smile42RU
— Поля для SSH-ключей, доступов к распространенным SQL и no-SQL БД запланированы на лето.
— Публичный API запланирован на лето.
— Ключи доступа и прочее что принадлежит к определенным сервисам будет пока непонятно когда, но в планах начать делать прямые интеграции с некоторыми провайдерами (вроде того же Amazon) что бы хранить релевантные данные (ключи, secret key и т.д.) в конце августа. Proof of concept есть уже сейчас, можем попробовать включить Amazon для вас, но не уверен что будет стабильно работать :)
— Возможность шарить по группам сейчас есть.
Если интересно, то напишите мне в личку или на почту — если хотите мигрировать на инструмент который развивается, то можем обсудить конкретику и дать определенные гарантии. Нам интересно работать с людьми которые дают конкретный фидбэк.
inkvizitor68sl
А что там по деньгам?
Так-то оно мне нужно полутора калекам c моей стороны, но с другой стороны я могу помочь с опакечиванием этой штуки под debian.
uMg
rattic.org Есть еще вот такое решение селф хостед
Smile42RU
По деньгам 100р за аккаунт в месяц. Не военные деньги, зато у вас хороший продукт и команда которая любит то что делает и соответсвующе реагирует на фидбэк :)
inkvizitor68sl
И у self-hosted тоже)?
Smile42RU
У self-hosted тоже, но там только если подписываемся на год+. Если действительно интересно, то давайте в личке или в почте :)
imwode
Это ваш маркетинговый месседж — мы продаем вам удобство вместо безопасности?
Люди ищут удобную безопасность, а не удобство вместо безопасности. Менеджер паролей — это доступная человеку безопасность, выражающаяся в физической возможности использовать уникальный пароль для каждого сервиса. Если на безопасность наплевать, то для удобства можно использовать пароль 12345seven — намного удобнее любой программы/сервиса.
Smile42RU
Вам же никто не мешает засунуть в хранилище уникальный, рандомный пароль для каждого сервиса. А мы тут еще скоро запилим десктопное приложение заточенное под поиск паролей и будет совсем красиво — нажал пару кнопкой и получил нужный сервис, нужный логин и нужный пароль.
А в комменте выше речь шла о том что люди нормально работают с облаком и не парятся по поводу безопасности. Мы, как люди из IT мира, здесь не очень релевантны.
И облако у нас вполне секурное: шифрование, мониторинг. Готовим к релизу историю операций с паролями, этакий лог + двухфакторную авторизацию — так что всё шикарно.
imwode
тут главное не упиваться своей неуязвимостью
Ну что я вам рассказываю…
Smile42RU
Меня тут бывает в команде пинают за то что я малость передергиваю одеяло на себя в жарких спорах, но перед вашим мастерством интерпретировать слова другого человека так как вам нужно — я преклоняюсь.
На самом деле у нас в команде есть четкое понимание что безопасность это приоритет намбер раз и всё остальное лишь кайфушки которые навешиваются поверх этого. Сейчас мы не чувствуем себя неуязвимыми, а значит не можем этим упиваться.
Всё что мы делаем это лишь усердный труд по изучению, обучению и внедрению практик, методологий, технологий и подходов в обеспечении безопасности без принесения удобства в жертву.
Энивей, спасибо за фидбэк :)
imwode
:-) Еще накину:
А какова будет ваша реакция на получение официального запроса от органов? Попадает ли информация под определение «персональной» и распространяется ли на нее требование находиться на серверах, расположенных в РФ? Находится ли она на серверах, расположенных в РФ?
А вдруг вы скроетесь с нашими паролями? А вдруг вы продадите наши пароли конкурентам?
Smile42RU
Реакция на запрос от органов простая и понятная — мы законопослушные граждане любящие свою страну :)
А как господа будут расшифровывать то что расшифровать не можем даже мы я ума не приложу. Опять же все заговоры относительно бэкдоров в алгоритмах шифрования — мимо нас, мы мало о них знаем фактов и слабо можем повлиять на ситуацию. Энивей новости мы мониторим и если понадобится, то сменим алгоритм шифрования.
Персональная информация — не находится в РФ, закон еще не вступил в силу. Мы мигрируем к августу персональные данные согласно требованиям законов РФ.
Пароли не являются персональной информацией и их хранение это небольшой секрет — единственное скажу что мы используем Microsoft Azure, а это шифрование каналов и PCI DSS со всеми вытекающими. Это публичная информация, выводы можете сделать сами. В скором времени будем использовать Azure на полную в т.ч. и децентрализованное хранение по нескольким ДЦ.
Мы партнеры Microsoft и IIDF — скрываться с паролями это глупость. Прямой ответ: мы не скроемся, плюс есть некий запас прочности на самый черный день, если что, то дадим мигрировать.
Продать пароли конкурентам? Хм. Если найдете покупателя на бесполезную информацию в виде зашифрованных блобов, то честь вам и хвала. А по существу могу сказать лишь что это тоже довольно глупая затея — шила в мешке не утаишь и мы проектом занялись не для того что бы делать грязь :)
imwode
Крутыши. Удачи, ребят.
Singerofthefall
Судя по комментариям, большинство предпочитают keepassX обычному keepass, в чем причина?
Myosotis
У меня keepass. Файл с ключами вручную синхронизирую на компьютере и планшете (не через dropbox). Dropbox, как любому облаку не доверяю, там только ерунда у меня хранится.
isden
База же неплохо так шифруется?
GAS_85
Однако, отдавать файл-ключ дроббоксу не
обязательнонужно. Он должен быть только там, где KeePass должен работать и лучше бы он был перенесен туда «ручками».isden
А, речь про сам файл-ключ. Тогда да, конечно. Подумал, что про базу речь идет.
Singerofthefall
Думаю, что под «файлом с ключами» все-таки имелась в виду сама база с паролями. Разумеется, файл-ключ, который используется для расшифровки, должен храниться в секрете, так же как и мастер-пароль. А зашифрованную базу, если ваш мастер-пароль достаточно стойкий, можно довольно безопасно передавать по любым каналам.
isden
Кстати, можно вот такой финт провернуть еще.
Кладем в дропбокс каталог со 100500 фоточками. И одна из фоточек — тот самый ключевой файл.
andreishe
Я не знаю, как с этим дела обстоят в KeePass 2, но в первой версии — это сомнительная затея. Я ковырял его исходники, и из файла ключа он использует то ли первые 1024 байт, то ли первые 1024 бит. В любом случае, в виду того, что у картинок (и других файлов с опеределенным форматом) заголовок довольно стандартный — вы ослабляете ключ в пользу использования security through obscurity.
isden
Каждая фоточка отдельно в zip, например :) У zip, емнип, заголовок очень короткий.
Ну и плюс к этому, никто же не знает, что ключ — это файл такого-то типа.
anmipo
Ну скажем, будет там свалка из 10 тысяч файлов. Это усложнит перебор на 4 порядка.
Это практически определение security by obscurity :)А если ключевой файл вообще неизвестен (и никогда не был в облаке) — нужно перебирать все возможные значения 256-битного хеша (2^256 ~ 10^77). Чувствуете разницу?
isden
> Ну скажем, будет там свалка из 10 тысяч файлов. Это усложнит перебор на 4 порядка.
Для этого, как я понимаю, нужно изначально знать, что вот в том каталоге один из файлов — ключ. И что вообще ключ — именно какой-то файл, а не пароль. Т.е. нужно заранее знать, что:
1. Ключ — файл.
2. Файл лежит вон в том каталоге.
И тут можно даже немного усложнить задачу (да хоть вот так — ключ — это результат выполнения cat img1.png img2.png > key).
anmipo
Если уж речь о переборе, то рассмотреть варианты «только пароль», «только файл» и «пароль + файл» — это всего лишь 3-кратное повышение сложности. (Для сравнения, удлинение мастер пароля на одну маленькую латинскую букву — повышение в 26 раз). В каком каталоге файл — непринципиально, важно только количество.
А комбинирование файлов существенно усложнит не только перебор, но и жизнь пользователя…
anmipo
Как человек, портировавший KeePass на BlackBerry 10, отмечу, что для произвольных ключевых файлов KeePass (обеих версий) берёт SHA-256 хеш от всего содержимого файла. Просто KeePass 1 читает этот файл кусочками по 2 кБ.
andreishe
Да, вы правы. Но он особым образом обрабатывает файлы длиной 32 и 64 байта, видимо, в голове у меня что-то не так отложилось по этому поводу.
Myosotis
Да я имела ввиду зашифрованную базу с ключами. А мастер-ключ я храню только в голове. Если я его забуду, то потеряю разом доступ ко всем сервисам… А что за файл-ключ? Ведь ключ для AES — это и есть мастер-пароль.
anmipo
KeePass позволяет использовать составной мастер-ключ. Например, в виде пары ключевой_файл + пароль. Это повышает сложность мастер-ключа, и помогает в случае слабого мастер-пароля. Или если нехороший человек подсмотрит мастер-пароль — ему/ей придётся добыть ещё и ключевой файл.
Singerofthefall
Да, там AES с 256-битным ключом.
glagola
Относительно древняя (2011 год) статья от aig, о том как тогда было устроено расширение lastpass
netto
Да, сегодня это очень ценные сведения ;)
glagola
Знать, что могло попасть в чужие руки (пусть даже примерно) не помешает (я про не зашифрованные данные), не думаю, что у них что-то сильно изменилось.
Akit
Всегда было стремно было хранить где-то пароли, кроме как в голове. Ну или на крайний случай в браузере или например с помощью подобных, так чтобы хранилось локально.
maseal
Botkin
Подобные сервисы используются для хранения паролей отвсегоподряд. Ластпасс удобен тем, что пароли можно даже и не знать вовсе — сгенерил при регистрации и сохранил. Зарегистрируйтесь чтобы скачать pdf с описанием продукта — да нет проблем. Всяко лучше, чем везде одинаковый ставить.
Пароль от почты, тем более корпоративной, а также онлайнбанков люди в здравом уме там не хранят.
Принял эту новость с покерфейсом
bodqhrohro
Придумал себе алгоритм, позволяющий с приличной скоростью в уме (но обычно использую реализующий его скрипт) генерировать уникальные пароли для ресурсов по мастер-паролю. И нафиг нужны эти ваши хранилища, спрашивается?
anmipo
У некоторых сайтов есть специфические заморочки (например, не больше 8 символов, без пунктуации). Что делать в таком случае?
Или некий сайт оказался взломан и советует сменить пароль — что делать?
bodqhrohro
На такой случай можно завести ещё парочку мастер-паролей. Благо, у меня они генерируются тоже по алгоритму из примитивного базиса.
vlivyur
Не редко: одноклассники, банки.
faiwer
А что вы делаете, когда ресурс принудительно заставляет вас менять пароль раз в Х месяцев? Недавно на ebay с этим столкнулся. Да и не только на ebay. Приходится держать ряд паролей отдельно от скрипта…
GAS_85
Не ебеем единым сыт человек. Вот тут веточка есть.
bodqhrohro
Такого ещё не встречал. Но если всё же понадобится — см. выше. Лучше даже будет в профилактических целях на всех аккаунтах обновить пароли по новому мастер-паролю.
faiwer
bodqhrohro
Я ж сказал — не встречал ни разу. И тем не менее, не вижу проблемы в том, чтобы запомнить такие капризные сайты и что для них требуется не основной мастер-пароль.
vlivyur
Пользуясь случаем хочу спросить: а как в KeePass удобно хранить несколько паролей от одного домена?
anmipo
В отдельной группе или в дополнительных полях (Entry — Advanced — String fields).
divanikus
Можете просто несколько записей с одинаковым урлом сделать и все. Расширение для хрома предлагает выбрать подходящий пароль из списка совпадений.
GAS_85
phl
Пользуясь случаем: KeePass использую с 30.05.2002 (нашел самую старую запись) почитал комменты, лишний раз осознал чем для меня стала эта программа за эти годы и сколько я на нее подсадил народу, которые хранили пароли в txt или xls, при чем не самого простого народа :) и пошел сюда keepass.info/donate.html, это наверное до 10-ка раз в моей жизни такое случалось :)… и привлеку habra-массу дяде в спасибо.
* не минусуйте — это искренне накатило :)
anmipo
<zanuda mode>
Используете с 2002-го, хотя первый релиз был в ноябре 2003… Вас случайно не Dominik зовут? :)
</zanuda mode>
Кстати, дядя отвечает емейлом с благодарностью. Мелочь, а приятно.
AlexBin
Жалко WMR не принимают
vserg
1password и KeePass могут подставлять автоматом реквизиты в поля в виндовых приложениях?