Рубрика «хранение паролей»

Знакомьтесь, pass - 1

Я много лет искал подходящую мне хранилку паролей и недавно наткнулся на Pass на HackerNews. Идея хранить пароли в git-репозитории может выглядеть странно, но в целом это неплохая идея, потому что:

  • Я держу гит-репозиторий локально у себя на компе
  • Все пароли защищены GPG шифрованием, поэтому даже при получении SSH-доступа к моему компьютеру утечка не повлияет на безопасность

Я использую -c чтобы копировать/вставлять пароли. Есть расширение для браузера, но копипейст лично мне удобнее. Проблемы синхронизации с телефоном и всеми linux-дейвайсами тоже не стоит (потому что это всего лишь git).

Делюсь с вами переводом приветственной странички Pass.


Управление паролями должно быть простым и следовать философии Unix. Используя pass, каждый Ваш пароль находится внутри зашифрованного файла gpg, имя которого совпадает с именем ресурса или веб сайта к которому данный пароль привязан. Эти зашифрованные файлы могут быть организованы в удобные иерархии папок, скопированы с носителя на носитель и, в общем, обработаны с помощью любых утилит управления файлами командной строки.

С pass управлять отдельными файлами паролей становится крайне просто. Все пароли хранятся в ~ / .password-store, а pass предоставляет несколько удобных команд для добавления, редактирования, генерации и получения паролей. Это очень короткий и простой Shell скрипт. Он способен временно помещать пароли в буфер обмена и отслеживать изменения паролей с помощью git.
Читать полностью »

Пастильда: нишевый краудфандинг - 1

Разрабатывать электронику для нас и профессия, и хобби, и способ самовыражения.
Поэтому в свободное время по ночам и в выходные мы работаем над внутренними проектами, один из которых недавно стал нашим первым собственным Коммерческим Продуктом. Вот как это было:Читать полностью »

Pastilda — open source аппаратный USB менеджер паролей

Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например тут и вот тут), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:

  • закрытый код снижает доверие и вероятность оперативного устранения уязвимостей
  • для автозаполнения нужно ставить дополнительный софт
  • после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах
  • использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК
  • автозаполнение невозможно в некоторых случаях (в bios, консоли)

Мы пришли к выводу, что наиболее удобным решением будет простой и недорогой девайс, позволяющий аппаратно хранить и вводить логины/пароли на любые устройства, без установки какого-либо ПО.
Читать полностью »

Думаю все знают про важность использования сложных, неподбираемых, разных, периодически сменяемых паролей, так же как и про проблемы с их запоминанием. В принципе существует относительно неплохое решение этой проблемы — программы, хранящие базу паролей в зашифрованном виде. Я хочу поделиться альтернативным решением, которое обладает некоторыми преимуществами над такими «запоминалками» паролей, в частности не требует доступа к файлу с шифрованной базой паролей. Основная идея в том, чтобы помнить один очень стойкий мастер-пароль, а пароли для отдельных аккаунтов генерировать из него с помощью криптографических функций. Кому интересны подробности — прошу под кат.
Читать полностью »

Полдвенадцатого ночи, четверг. Вам срочно нужен доступ к сайту, чтобы, наконец-то, закончить серьезный проект, над которым вы работаете. Вам давно уже пора спать, но работу нужно доделать к 9 утра, и тут выясняется, что пароль от сайта Вы, как назло, забыли.

Password Managers и Post it Notes

Вы злитесь, хватаете клавиатуру, чтобы запустить ею в монитор и крикнуть что-нибудь нецензурное. И тут Вы замечаете желтую бумажку, приклеенную на клавиатуру с обратной стороны. Вы с облегчением вспоминаете, что наклеивали эту бумажку с паролем, написанным на ней.
При ближайшем рассмотрении оказывается, что это записка от службы информационной безопасности: «Мы знаем, что запомнить множество паролей сложно, но, пожалуйста, больше так не поступайте. Мы обсуждали этот вопрос с вашим отделом месяц назад. Ваша СБ ;-)»

Читать полностью »

Несмотря на то, что терминалы мобильного эквайринга, такие как Square или 2can позволяют принимать платежные карточки просто ставя подпись на экране смартфона или планшета, наша жизнь все еще буквально напичкана всевозможными номерами счетов, паролей, пин-кодов и другой конфиденциальной информацией, которую мы должны помнить и отслеживать. Пароли для часто посещаемых веб-сайтов, кредитных карт, банковских счетов, пароли для соцсетей или специализированных групп, номер водительского удостоверения, паспорта и страховки — это лишь малое количество примеров информации, которая бывает иногда нужна нам.

Хранители: обзор приложений для хранения данных кредитных картЧитать полностью »

По сей день очень многие хранят пароли в базе просто захешировав их с помощью md5 или в лучшем случае SHA-1, что едва ли обеспечивает сколь либо заметную безопасность. У устаревшего и уже признанного ненадёжным md5 существует немало коллизий, а также к нему рассчитаны довольно большие и общедоступные радужные таблицы. Ситуация с SHA-1 лишь немногим лучше.

Использование соли и более стойких алгоритмов хеширование значительно увеличивают надёжность, однако рассчёт даже длинных хешей — не очень сложная задача для современных систем, особенно с тех пор как для рассчётов стали привлекать GPU. Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js