вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Keepas-ом не пользуюсь, но бесит что тупой хром не позволяет один раз в настройках указать что не надо запоминать пароли и кредитные карты
Я конечно там всё отключаю каждый раз и чищу в настройках — но на новой тачке оно опять откуда-то всё берётся.
Здравствуйте, _VW_, Вы писали:
_VW>вы разрешаете хрому или firefox'у запоминать пароли?
некоторые.
_VW> и синхронизиуете их?
нет.
_VW>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать.
Все проблемы от жадности и глупости
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>Вопрос к тем, кто пользуется keepass(X):
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Запоминать разрешаю, синхронизацией не пользуюсь, профиль браузера держу в трукрипте.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[2]: Запоминация и синхронизация паролей в браузерах и keepass
_VW>>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их? Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров. Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
CF>Запоминать разрешаю, синхронизацией не пользуюсь, профиль браузера держу в трукрипте.
Здравствуйте, Stanislaw K, Вы писали:
SK>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать.
сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
а если вам надо с телефона зайти на сайт, на который на десктопе вы залогинены или пароль запомнен, но вы сам пароль не помните, что вы делаете,?
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
CF>Если программа поддерживает хранение профиля в нестандартном месте, то просто указываю путь. Если нет, то прокидываю симлинку.
как программа, в данном случае хром, расшифровывает файлы после того, как трукрипт их зашифрует?
CF>Даже если кто-то получит мой жёсткий диск, сохранённых браузерных паролей он с него не вытащит.
а где пароль от самого трукрипта хранится?
Re[5]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
CF>>Если программа поддерживает хранение профиля в нестандартном месте, то просто указываю путь. Если нет, то прокидываю симлинку. _VW>как программа, в данном случае хром, расшифровывает файлы после того, как трукрипт их зашифрует?
Если шифрованый том не примонтирован — то никак.
CF>>Даже если кто-то получит мой жёсткий диск, сохранённых браузерных паролей он с него не вытащит. _VW>а где пароль от самого трукрипта хранится?
Для параноиков может не храниться нигде, а вводиться каждый раз вручную при монтировании тома. В моём случае монтирование выполняется автостартом при логине, файл с паролем зашифрован EFS-ом (то есть, фактически, паролем от виндового аккаунта). Ну и запись в KeePass, разумеется, на случай слёта EFS или аккаунта.
Здравствуйте, _VW_, Вы писали:
SK>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
_VW>а если вам надо с телефона зайти на сайт, на который на десктопе вы залогинены или пароль запомнен, но вы сам пароль не помните, что вы делаете,?
я не захожу с телефона на сайт. в реальной жизни нет такой необходимости.
Все проблемы от жадности и глупости
Re: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали: _VW>Вопрос к тем, кто пользуется keepass(X):
_VW>вы разрешаете хрому или firefox'у запоминать пароли? и синхронизиуете их?
Нет. Приложения, работающие на границе доверия, должны хранить минимум конфиденциальной информации.
_VW>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров.
Так и есть.
_VW>Кто ж знает, как они на самом деле запоминаются в браузерах
Сохраненные базы учетных данных шифруются ключом, полученным из мастер-пароля. Сам мастер-пароль при этом, разумеется, не синхронизируется. Хром по умолчанию использует в качестве такого пароля инфу из гугловской учетки, но умеет также использовать и пароль, заданный пользователем. Файрфокс по умолчанию использует пустой мастер-пароль, но он также может быть переопределен пользователем. Поэтому, в обоих браузерах возможно прийти к тому, чтобы инфа уходила на серверы синхронизации в зашифрованном виде, а для шифрования использовался ключ на основе пароля, который не будет известен владельцам этих серверов.
Но в любом случае — вся эта суета с хранением паролей в браузерах — зло (см. первое замечание).
Здравствуйте, _VW_, Вы писали:
_VW>Кто ж знает, как они на самом деле запоминаются в браузерах и как синхронизируются и что с ними на самом деле происходит на серверах гугла и мозиллы.
Не знаю, как в фаерфоксе, а в хроме: набираете в адресной строке "chrome://settings/password", "показать дополнительные настройки", "Предлагать сохранять пароли для сайтов — настроить"
Там можно посмотреть все запомненные пароли (для этого хром просит ввести пароль к учетной записи Виндоуз, а раньше вообще просто так показывал: сел кто-то за ваш компьютер, пока вы отошли — срисовал все пароли).
И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
Re[2]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, Панда, Вы писали:
П>И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет. Ну или владелец кейлоггера, подхваченного владельцем компьютера.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, _VW_, Вы писали:
SK>>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
SK>заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
браузер можно собрать из сорцов. например, лису или хромиум.
репутация браузера и компании сильно пострает, если кто-то обнаружит, что он действительно вот так тайком отправляет пароли на сервера. поднимется большой кипиш. таким браузером перестанут пользоваться.
наверняка, все уже проверено сообществом и не раз -- что все чисто.
а вы проверяли? он именно зипует и отправляет в зашифрованном виде? или это просто теория?
Здравствуйте, kochetkov.vladimir, Вы писали:
_VW>>Я просто думаю, что запоминание паролей и их синхронизация сводят на нет использование парольных менеджеров.
KV>Так и есть.
а если пароль на десктопе сохранен в keypass, а на телефоне вам надо его ввести на этом же сайте, что вы делаете? устанавливаете keepass на телефон и копируете базу паролей keepass на телефон? из сорцов keepass компилируете или с google play готовый apk?
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, CaptainFlint, Вы писали:
CF>Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет. Ну или владелец кейлоггера, подхваченного владельцем компьютера.
На некоторых сайтах есть виртуальная клавиатура для ввода пароля. Правда, я еще не видел чтобы буквы на ней были бы в случайном порядке и менялись после каждого нажатия.
Здравствуйте, _VW_, Вы писали:
SK>>>>кто знает, что на самом деле происходит с введенным паролем/номером карточки/CVC в браузере? он может хоть и не запоминать, но отправлять еще куда ни будь. любой addon может это делать. _VW>>>сниффер. если бы отправлял сам просто так, то уже бы кто-нибудь нашел, это ведь несложно заметить. я так думаю.
SK>>заметить что? что он неделю копил, потом собранный текст зазиповал, зашифровал, и отправил "бинарный лог" содержащий "времена между нажатиями на кнопки на определенных путях внутри программы" или что то вроде этого...
_VW>браузер можно собрать из сорцов. например, лису или хромиум.
уже хватит заниматься ананизмом на опенсорс. никто в эти сырцы не заглядывает, а если заглядывает, то не видит ничего.
например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
_VW>а вы проверяли? он именно зипует и отправляет в зашифрованном виде? или это просто теория?
я бы сделал так. нужно быть полным идиотом, чтобы сливать данные в открытом виде.
Здравствуйте, Stanislaw K, Вы писали:
SK>например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
одно дело дыры, другое функции sendUsersPasswordВтихуюЧтобыОнНеЗнал()
SK>я бы сделал так. нужно быть полным идиотом, чтобы сливать данные в открытом виде.
вот именно, что бы.
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, CaptainFlint, Вы писали:
CF>Здравствуйте, Панда, Вы писали:
П>>И если вы на чужом компьютере вводили пароль и браузер его запомнил — владелец компьютера без проблем его посмотрит, следует помнить об этом.
CF>Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет.
SK>>например в программах прямо относящимся к безопасности и охраняющим секреты в сотни порядков более ценные, чем доверяют браузерам, SSH OpenVPN OpenSSL, годами сохраняются дыры, не смотря на регулярный аудит кода специалистами.
_VW>одно дело дыры, другое функции sendUsersPasswordВтихуюЧтобыОнНеЗнал()
ок. можешь закрыть глаза и жить в мире волшебных пони.
Все проблемы от жадности и глупости
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>а если пароль на десктопе сохранен в keypass, а на телефоне вам надо его ввести на этом же сайте, что вы делаете? устанавливаете keepass на телефон и копируете базу паролей keepass на телефон? из сорцов keepass компилируете или с google play готовый apk?
Открываю десктоп, переписываю пароль на бумажку, закрываю десктоп, открываю телефон, переписываю пароль с бумажки на телефон, закрываю телефон, кушаю бумажку с паролем.
Почти не шутка. Еще можно открыть базу на десктопе и, глядя в монитор, перепечатать пароль в телефон.
Re[4]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, Venom, Вы писали:
V>Здравствуйте, _VW_, Вы писали:
_VW>>а если пароль на десктопе сохранен в keypass, а на телефоне вам надо его ввести на этом же сайте, что вы делаете? устанавливаете keepass на телефон и копируете базу паролей keepass на телефон? из сорцов keepass компилируете или с google play готовый apk?
V>Открываю десктоп, переписываю пароль на бумажку, закрываю десктоп, открываю телефон, переписываю пароль с бумажки на телефон, закрываю телефон, кушаю бумажку с паролем. V>Почти не шутка. Еще можно открыть базу на десктопе и, глядя в монитор, перепечатать пароль в телефон.
ого, сложно. а что не через keypass менеджер на телефоне?
Re[4]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
CF>>Если вы на чужом компьютере вводили пароль, владелец компьютера без проблем его посмотрит независимо от того, запомнил его браузер или нет.
_VW>как? если он кейлоггер установил.
Не понял, в чём вопрос. Как посмотреть чужой пароль, введённый на компе с установленным кейлоггером? Открыть лог кейлоггера и посмотреть…
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[5]: Запоминация и синхронизация паролей в браузерах и keepass
_VW>>как? если он кейлоггер установил.
CF>Не понял, в чём вопрос. Как посмотреть чужой пароль, введённый на компе с установленным кейлоггером? Открыть лог кейлоггера и посмотреть…
вопрос в том, что почему вы думаете, что у всех пользователей на компьютере стоит кейлоггер, на случай если кто-то другой будет вводить свои пароли у них на компе?
Re[6]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>вопрос в том, что почему вы думаете, что у всех пользователей на компьютере стоит кейлоггер, на случай если кто-то другой будет вводить свои пароли у них на компе?
Я не думаю, что у всех пользователей стоит кейлоггер. Я просто предупреждаю, что такая вероятность существует, и если ваш пароль вам дорог как память, эту вероятность стоит учитывать.
Во-первых, пользователь мог просто подхватить где-нибудь кейлоггер-троян и даже не догадывается об этом. Во-вторых, он мог установить программу, перехватывающую и сохраняющую нажатия клавиш для вполне легитимных задач (типа того же дневника в Punto Switcher'е), а уже сохранённые данные могут попасться на глаза как самому пользователю, так и (потенциально), опять же, владельцу трояна, которым оказался заражён комп пользователя и который (троян) вполне может своровать всякие полезные данные, даже не будучи кейлоггером.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[3]: Запоминация и синхронизация паролей в браузерах и keepass
Здравствуйте, _VW_, Вы писали:
_VW>а если пароль на десктопе сохранен в keypass, а на телефоне вам надо его ввести на этом же сайте, что вы делаете? устанавливаете keepass на телефон и копируете базу паролей keepass на телефон?
Я параноик по профессии и к техническому обеспечению собственной безопасности отношусь без фанатизма (в противном случае, только этим и буду заниматься, т.к. пределов совершенству здесь быть не может). Я не храню в KeePass пароли, нарушение конфиденциальности которых может нанести мне прямой финансовый или репутационный ущерб. Мой мозг вполне способен запомнить десяток стойких паролей для особо важных ресурсов типа онлайн-банкинга и рабочего домена, поэтому они все у меня хранятся там. Keepass установлен на ноутбуке (от десктопа отказался лет 10 назад), планшете и телефоне. Все три используют одну и ту же базу, хранящуюся на облачном диске в Dropbox и автоматически синхронизирующуюся между ними всеми при любых ее изменениях средствами Dropbox'а (не знаю, как еще развернутее объяснить смысл фразы "базу храню на дропбоксе", которую я повторил уже пару раз в соседней теме ).
_VW>из сорцов keepass компилируете или с google play готовый apk?
Для того, чтобы компиляция из сорцов имела хоть какой-то смысл, сначала нужно обеспечить целостность окружения сборки и убедиться в отсутствии закладок в компиляторе и стандартной библиотеке. Лично у меня на это времени нет
KV>Я параноик по профессии и к техническому обеспечению собственной безопасности отношусь без фанатизма (в противном случае, только этим и буду заниматься, т.к. пределов совершенству здесь быть не может). Я не храню в KeePass пароли, нарушение конфиденциальности которых может нанести мне прямой финансовый или репутационный ущерб. Мой мозг вполне способен запомнить десяток стойких паролей для особо важных ресурсов типа онлайн-банкинга и рабочего домена, поэтому они все у меня хранятся там. Keepass установлен на ноутбуке (от десктопа отказался лет 10 назад), планшете и телефоне. Все три используют одну и ту же базу, хранящуюся на облачном диске в Dropbox и автоматически синхронизирующуюся между ними всеми при любых ее изменениях средствами Dropbox'а (не знаю, как еще развернутее объяснить смысл фразы "базу храню на дропбоксе", которую я повторил уже пару раз в соседней теме ).
базу-файл kdbx? его безопасно там хранить или нужно шифровать? а файл-ключ где храните?
KV>Для того, чтобы компиляция из сорцов имела хоть какой-то смысл, сначала нужно обеспечить целостность окружения сборки и убедиться в отсутствии закладок в компиляторе и стандартной библиотеке. Лично у меня на это времени нет
то есть, можно просто качать любой (apk) keepass для андороида с открытым кодом?
Файл ключ я не использую, только пароль. Храню его в голове.
_VW>то есть, можно просто качать любой (apk) keepass для андороида с открытым кодом?
Про любой apk я вроде ничего не утверждал В самом низу любой системы безопасности находится т.н. модель доверия — набор аксиом о защищенности того или иного компонента системы, которые необходимо совершенно бездоказательно принять на веру, чтобы строить на них безопасность оставшихся частей системы. Этот набор аксиом всегда представляет собой компромисс между уровнем защищенности и усилиями, необходимыми для реализации модели безопасности. В задаче хранения персональных паролей, идея доверять одному конкретному автору приложения с открытом кодом и базой >100K пользователей мне представляется гораздо разумнее, чем трата времени на самостоятельную сборку apk при каждом обновлении. Пароли, которые конкретно я храню в Keepass этого определенно не стоят.
_VW>мне https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=en понравился намного больше, чем простой, дефолтный keepass для андороида. вот только keepass2android менее популярный и еще даже не прошел релиз. сорцы открытые. можно качать или лучше выбрать дефолтный?
Я использую Keepass2Android Offline (файл из Dropbox получаю штатными средствами его клиента), но не из соображений безопасности, а исключительно в силу удобства его UI.
). 
