M>>В этом сценарии, так же как в сценарии компрометации пароля, следует в имя ресурса включать номер (или год, месяц) смены пароля.
M>>Также можно периодически менять секрет/мастер-пароль для некоторой группы ресурсов.
Y>Это надо еще запомнить для кого и когда менял, а менять для всех сразу куча времени.

Если пароль ротируется на регулярной основе, то можно прикинуть текущее значение счетчика, либо примерную дату последней смены.
Если же пароль менялся по случаю каких-то security инцидентов, то также можно приблизительно оценить их число.
Шансы на успешный подбор правильного значения весьма неплохие.

Нo да, это один из недостатков схемы c детерминированной генерацией паролей.
И на мой взгляд не самый большой: хуже необходимость модификации сгененрированного пароля под требования (длину, символы) конкретного сервиса.
Вот это действительно нужно запоминать для каждого сервиса, как и алгоритм модификации.

Здравствуйте, vsb, Вы писали:

vsb>И сколько ты стоишь? Со своими адблоками.

Давно бы пора понять, что бесплатный сыр бывает только в мышеловке. Любые "бесплатные" услуги оплачиваешь лично ты, из твоего личного кошелька, откуда твои деньги берут без твоего разрешения. Ну а то, что при этом тебе еще и пытаются понапихать рекламы во все отверстия — это вишенка на торте этой самой великой мошеннической схемы, по сравнению с которой финансовые пирамиды — детские игры.

Здравствуйте, T4r4sB, Вы писали:

Пароль еще ладно. Самая мякотка — привязанные телефоны, ответы на вопросы и так далее. Отличнейший способ просрать доступ к аккаунту, даже если ты прекрасно помнишь свой очень безопасный пароль, да и вообще тебя никто даже не пытался взломать.

Здравствуйте, m2user, Вы писали:

M>К вычислениям на стороне клиента именно эти рекомендации вроде бы никак не относятся (что впрочем не исключает наличие таковых в природе).
Относится, но не прямо, насколько я понимаю.

Bcrypt на стороне клиента не надо делать, т.к. придётся ташить туда соль, что 'big no-no'(с).
А пре-хешировать на стороне клиента, чтобы просто обфусцировать пароль не надо из-за вот этого всего.

Как говорил Шнайер, в IT безопасности большая часть рисков либо переоценены, либо недооценены.
Или что-то в этом роде. Поэтому кого-то ломают, как лошков, а кто-то всю жизнь мучается с длинными паролями.

Здравствуйте, rudzuk, Вы писали:

R> Советую прочесть, всем интересующимся.
Не ну там вообще профнепригодность какая то описана.

Здравствуйте, CreatorCray, Вы писали:

CC> R> Советую прочесть, всем интересующимся.

CC> Не ну там вообще профнепригодность какая то описана.

Я сам офигел...

vsb>Вообще любой пароль сегодня легко восстанавливается через почту. Поэтому самое главное это контроль над почтой. А бэкап это скорей удобство, чем необходимость.

И тут будет уместно снова напомнить про печальную историю владельцев почты на qip.ru и пр.

https://vk.com/qiprecover

Почта QIP, являющаяся наследницей почтовых сервисов Newmail, Почта.ру и РБК маил, с миллионами ящиков электронной почты в 31 домене,
была демонтирована и почтовые ящики были переданы в yandex или куда-то неизвестно.

Теперь чтобы зайти в свой ящик на mail.yandex.ru, надо ввести полный адрес своей электронной почты,
которая у вас была на сайте qip.ru (например, login@hotbox.ru) и пароль. Однако, огромное количество пользователей не могут зайти в свою почту.

Здравствуйте, Codealot, Вы писали:


C>Пароль еще ладно. Самая мякотка — привязанные телефоны, ответы на вопросы и так далее. Отличнейший способ просрать доступ к аккаунту, даже если ты прекрасно помнишь свой очень безопасный пароль, да и вообще тебя никто даже не пытался взломать.

Я все свои ответы сразу же кидаю в менеджер пароли. Кроме того, по уму, ответы должны быть неправильными и неугадываемыми.

А с телефоном еще та засада, если надо в WiFi чужом аэропорту. А телефон и SMS через интернет (VoIP)

Лучше уж аутентификатор. И бэкап начального secret в надежном месте, offline, держать

Здравствуйте, Vetal_ca, Вы писали:

V_>Здравствуйте, Codealot, Вы писали:


C>>Пароль еще ладно. Самая мякотка — привязанные телефоны, ответы на вопросы и так далее. Отличнейший способ просрать доступ к аккаунту, даже если ты прекрасно помнишь свой очень безопасный пароль, да и вообще тебя никто даже не пытался взломать.

V_>Я все свои ответы сразу же кидаю в менеджер пароли. Кроме того, по уму, ответы должны быть неправильными и неугадываемыми.

V_>А с телефоном еще та засада, если надо в WiFi чужом аэропорту. А телефон и SMS через интернет (VoIP)

V_>Лучше уж аутентификатор. И бэкап начального secret в надежном месте, offline, держать

Да уж, и у Apple девичья фамилия матери по-прежнему при отсутствии личного iPhone, а про все эти приложения для хранения паролей я в этой теме уже писал. Впрочем, мода на персонализацию и многими пользователями от чего-то поддерживается, мне этого не понять, а проблем создаёт нередко больше.

Здравствуйте, scf, Вы писали:

scf>Здравствуйте, T4r4sB, Вы писали:

TB>>ДОКОЛЕ будет длиться эта секьюрная шизофрения?

scf>NIST еще в 2017 выпустил рекомендации, что к пользовательким паролям должно быть только два требования: минимальная длина и отсутствие в списке известных паролей. Но чукчи же писатели, чукчи не читают свежие бюллетени, а ты придумывай "строчная заглавная цифра и знак препинания".

scf>https://pages.nist.gov/800-63-3/sp800-63b.html#appA

Современный национальный management не предполагает рассмотрение подобных рекомендаций, руководство отечественных компаний ни при каких обстоятельствах не утвердит внесение подобных изменений.

Здравствуйте, Ilya81, Вы писали:



I>Да уж, и у Apple девичья фамилия матери по-прежнему при отсутствии личного iPhone, а про все эти приложения для хранения паролей я в этой теме уже писал. Впрочем, мода на персонализацию и многими пользователями от чего-то поддерживается, мне этого не понять, а проблем создаёт нередко больше.

Если не повезло тебе, это вовсе не значит что у других такие же проблемы. Сочувствую.

На конструктивной ноте, могу посоветовать BitWarden

Здравствуйте, Vetal_ca, Вы писали:

V_>Здравствуйте, Ilya81, Вы писали:



I>>Да уж, и у Apple девичья фамилия матери по-прежнему при отсутствии личного iPhone, а про все эти приложения для хранения паролей я в этой теме уже писал. Впрочем, мода на персонализацию и многими пользователями от чего-то поддерживается, мне этого не понять, а проблем создаёт нередко больше.

V_>Если не повезло тебе, это вовсе не значит что у других такие же проблемы. Сочувствую.

V_>На конструктивной ноте, могу посоветовать BitWarden

Всё-таки backup в биологически встроенной памяти по сумме показателей надёжнее, и хоть у него есть ощутимое ограничение на размер hash-таблицы, при котором ключи значений не путаются, но зато он всегда up to date и данные в нём совсем полностью не потеряются.

Кстати, на работе я такими штуками пользовался, но там другая ситуация, когда в случае необходимости доступ можно восстановить, а про ситуацию с личными учётными записями я в этой теме уже писал.

Здравствуйте, Ilya81, Вы писали:

I>Здравствуйте, Vetal_ca, Вы писали:


I>Всё-таки backup в биологически встроенной памяти по сумме показателей надёжнее, и хоть у него есть ощутимое ограничение на размер hash-таблицы, при котором ключи значений не путаются, но зато он всегда up to date и данные в нём совсем полностью не потеряются.

У меня несколько сотен паролей (> 600). Многие со своими требованиями. Туда же идут разные "вопросы восстановления", OTP, URL, ключи шифрования. Некоторые login/pass, некоторые просто записи/файлы (ssh и проч_, как, например, конфигурация для duplicati Некоторые части расшарены (семейные), некоторые общие с другими владельцами бизнеса. Номера соцстрахования, кредитные карты, кадастровые номера на недвижимости, номера аккаунтов на воду/газ — какой там может быть способ для запоминания? У меня и жилья-то больше одного. На некоторые сайты выход может быть очень "закрученный", типа: зайти только в хром, выбрать опцию express, ...". И это не левый сайт, это вход по налогам по бизнесу.
Я бы не смог делать то, что я делаю без соответствующего инструмента. Даже, не в IT, когда делаю налоги и нужно собрать инфу по расходам, госсайтам и прочему — без менеджера паролей и держать в голове?!!!! С таким подходом даже бухгалтерию не сделаешь. Или упустишь многое (это $$$), держать в голове — путь в никуда.



I>Кстати, на работе я такими штуками пользовался, но там другая ситуация, когда в случае необходимости доступ можно восстановить,

Не распарсил

I> а про ситуацию с личными учётными записями я в этой теме уже писал.


Странно надеяться, что люди будут помнить или искать тезисы, кто и чего тут писал.




В общем и целом, или переходи на подходящий инструмент. Или боль и мучения будут всегда, чем дальше тем больше, только принять и смириться.

M>Потеря резервной копии менеджера паролей действительно может быть фатальной

M>Для решения этой проблемы можно использовать алгоритмы воспроизводимой/детерминированной генерации паролей (reproducible/deterministic password generation или master-password algorithms),
M>которые также можно рассматривать как вариацию Password Based Key Derivation Scheme (PBKDF).

Для генерации долговременного, переживающего железки, платформы, операционные системы и носители, мастер-ключа есть одно забавное и гениально простое решение: https://www.crowdsupply.com/dicekeys/dicekeys.
Брюс Шнайер рекомендует.
На основе этого 196-битного ключика, домена и соли можно потом и детерминированные пароли генерировать.
Главное потом сам мастер-ключ не пролюбить или не рассыпать

Здравствуйте, Vetal_ca, Вы писали:

V_>Здравствуйте, Ilya81, Вы писали:

I>>Кстати, на работе я такими штуками пользовался, но там другая ситуация, когда в случае необходимости доступ можно восстановить,

V_>Не распарсил

I>> а про ситуацию с личными учётными записями я в этой теме уже писал.


V_>Странно надеяться, что люди будут помнить или искать тезисы, кто и чего тут писал.

В смысле приложениями для хранения паролей вообще я пользуюсь на работе для внутрикорпоративных учётных записей. Но только по той причине, что там при необходимости потерянный пароль восстановить возможно. Если ж эт какая-нибудь личная страница на каком-нибудь вконтаке, то после потери пароля единственный вариант — регистрироваться заново, на чём-т подобном восстановтиь потерянный пароль — это как вигирать в лотерею.

Здравствуйте, Ilya81, Вы писали:

V_>>Странно надеяться, что люди будут помнить или искать тезисы, кто и чего тут писал.

I>В смысле приложениями для хранения паролей вообще я пользуюсь на работе для внутрикорпоративных учётных записей. Но только по той причине, что там при необходимости потерянный пароль восстановить возможно. Если ж эт какая-нибудь личная страница на каком-нибудь вконтаке, то после потери пароля единственный вариант — регистрироваться заново, на чём-т подобном восстановтиь потерянный пароль — это как вигирать в лотерею.

И в чем проблема использовать программы хранения паролей для личных целей?

Здравствуйте, Vetal_ca, Вы писали:

V_>Здравствуйте, Ilya81, Вы писали:

V_>>>Странно надеяться, что люди будут помнить или искать тезисы, кто и чего тут писал.

I>>В смысле приложениями для хранения паролей вообще я пользуюсь на работе для внутрикорпоративных учётных записей. Но только по той причине, что там при необходимости потерянный пароль восстановить возможно. Если ж эт какая-нибудь личная страница на каком-нибудь вконтаке, то после потери пароля единственный вариант — регистрироваться заново, на чём-т подобном восстановтиь потерянный пароль — это как вигирать в лотерею.

V_>И в чем проблема использовать программы хранения паролей для личных целей?

В том и проблема, что когда потерянный пароль — беда, две возможности биологически встроенной памяти — информация никогда не бывает outdated и исключена полная потеря данных — имеют решающее значение. Для приложений для хранения паролей не выполняется второе условие — все данные в этом приложении через какое-то время неизбежно накроются медным тазом. Для backup'ов не выполняется первое условие, сохранившиеся backup'ы могут содержать неактуальные пароли, через какое-то время настанет сочетание этих ситуаций, в результате чего немалая часть учётных записей будет потеряна, преимущественно совсем, без реальной возможности восстановления. И вообще backup'ы хорошо иллюстрируют квантовую неопределённость, и не только backup'ы баз данных, даже XML-файл при некотором использовании устройств, на которых он записан, может проиллюстрировать квантовую неопределённость на примере его длины, которая при очередной попытке прочитать будет 0 байт.

P. S. Хоть с 1С редко случалось иметь дело, но по моему впечатлению в иллюстрировании квантовой неопределённости вот с ним ничто не сравнится, даже backup'ы баз данных.

Здравствуйте, Ilya81, Вы писали:


I>В том и проблема, что когда потерянный пароль — беда, две возможности биологически встроенной памяти — информация никогда не бывает outdated и исключена полная потеря данных — имеют решающее значение. Для приложений для хранения паролей не выполняется второе условие — все данные в этом приложении через какое-то время неизбежно накроются медным тазом. Для backup'ов не выполняется первое условие, сохранившиеся backup'ы могут содержать неактуальные пароли, через какое-то время настанет сочетание этих ситуаций, в результате чего немалая часть учётных записей будет потеряна, преимущественно совсем, без реальной возможности восстановления. И вообще backup'ы хорошо иллюстрируют квантовую неопределённость, и не только backup'ы баз данных, даже XML-файл при некотором использовании устройств, на которых он записан, может проиллюстрировать квантовую неопределённость на примере его длины, которая при очередной попытке прочитать будет 0 байт.

I>P. S. Хоть с 1С редко случалось иметь дело, но по моему впечатлению в иллюстрировании квантовой неопределённости вот с ним ничто не сравнится, даже backup'ы баз данных.


Т.е. ты не можешь работать с данными?!

Зачем так много и запутанно писать писать для такой простейшей вещи?

Личная база данных паролей для самых "тяжелых" случаев это пара мегабайт. Для подавляющего числа пользователей это меньше 0.1 Mb

Простой автоматизированный бэкап можно делать хоть каждый час а то и чаще, потерять можно максимум одну запись в нормальном случае. Тривиальность этого просто дико сравнивать с "иллюстрацией квантовой неопределенности" и прочими оправданиями.