Рубрика «хранение паролей»

Пастильда: нишевый краудфандинг - 1

Разрабатывать электронику для нас и профессия, и хобби, и способ самовыражения.
Поэтому в свободное время по ночам и в выходные мы работаем над внутренними проектами, один из которых недавно стал нашим первым собственным Коммерческим Продуктом. Вот как это было:Читать полностью »

Pastilda — open source аппаратный USB менеджер паролей

Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например тут и вот тут), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:

  • закрытый код снижает доверие и вероятность оперативного устранения уязвимостей
  • для автозаполнения нужно ставить дополнительный софт
  • после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах
  • использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК
  • автозаполнение невозможно в некоторых случаях (в bios, консоли)

Мы пришли к выводу, что наиболее удобным решением будет простой и недорогой девайс, позволяющий аппаратно хранить и вводить логины/пароли на любые устройства, без установки какого-либо ПО.
Читать полностью »

Думаю все знают про важность использования сложных, неподбираемых, разных, периодически сменяемых паролей, так же как и про проблемы с их запоминанием. В принципе существует относительно неплохое решение этой проблемы — программы, хранящие базу паролей в зашифрованном виде. Я хочу поделиться альтернативным решением, которое обладает некоторыми преимуществами над такими «запоминалками» паролей, в частности не требует доступа к файлу с шифрованной базой паролей. Основная идея в том, чтобы помнить один очень стойкий мастер-пароль, а пароли для отдельных аккаунтов генерировать из него с помощью криптографических функций. Кому интересны подробности — прошу под кат.
Читать полностью »

Полдвенадцатого ночи, четверг. Вам срочно нужен доступ к сайту, чтобы, наконец-то, закончить серьезный проект, над которым вы работаете. Вам давно уже пора спать, но работу нужно доделать к 9 утра, и тут выясняется, что пароль от сайта Вы, как назло, забыли.

Password Managers и Post it Notes

Вы злитесь, хватаете клавиатуру, чтобы запустить ею в монитор и крикнуть что-нибудь нецензурное. И тут Вы замечаете желтую бумажку, приклеенную на клавиатуру с обратной стороны. Вы с облегчением вспоминаете, что наклеивали эту бумажку с паролем, написанным на ней.
При ближайшем рассмотрении оказывается, что это записка от службы информационной безопасности: «Мы знаем, что запомнить множество паролей сложно, но, пожалуйста, больше так не поступайте. Мы обсуждали этот вопрос с вашим отделом месяц назад. Ваша СБ ;-)»

Читать полностью »

Несмотря на то, что терминалы мобильного эквайринга, такие как Square или 2can позволяют принимать платежные карточки просто ставя подпись на экране смартфона или планшета, наша жизнь все еще буквально напичкана всевозможными номерами счетов, паролей, пин-кодов и другой конфиденциальной информацией, которую мы должны помнить и отслеживать. Пароли для часто посещаемых веб-сайтов, кредитных карт, банковских счетов, пароли для соцсетей или специализированных групп, номер водительского удостоверения, паспорта и страховки — это лишь малое количество примеров информации, которая бывает иногда нужна нам.

Хранители: обзор приложений для хранения данных кредитных картЧитать полностью »

По сей день очень многие хранят пароли в базе просто захешировав их с помощью md5 или в лучшем случае SHA-1, что едва ли обеспечивает сколь либо заметную безопасность. У устаревшего и уже признанного ненадёжным md5 существует немало коллизий, а также к нему рассчитаны довольно большие и общедоступные радужные таблицы. Ситуация с SHA-1 лишь немногим лучше.

Использование соли и более стойких алгоритмов хеширование значительно увеличивают надёжность, однако рассчёт даже длинных хешей — не очень сложная задача для современных систем, особенно с тех пор как для рассчётов стали привлекать GPU. Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js