Те, что в браузере или в виде отдельной проги. Насколько я понимаю, как минимум некоторые из них хранят данные локально. В зашифрованном виде, но зловред может найти где хранится ключ, или извлечь из проги, если он скачивается с сервера.
Так что собственно сабж.
Ад пуст, все бесы здесь.
Re: насколько безопасны на самом деле менеджеры паролей?
Здравствуйте, Codealot, Вы писали:
C>Насколько я понимаю, как минимум некоторые из них хранят данные локально.
Думаю, что все хранят.
C>В зашифрованном виде, но зловред может найти где хранится ключ, или извлечь из проги, если он скачивается с сервера.
Ключ ты вводишь при разблокировке. Зловред может подслушать твою клавиатуру или прочитать память процесса.
В целом никакой серьёзной защиты от зловреда, который хозяйствует на твоём компьютере, нет и быть не может, по крайней мере для десктопных операционных систем. Принципиально все эти менеджеры паролей не особо безопасней, чем файлик пароли.txt на рабочем столе.
Здравствуйте, Codealot, Вы писали:
C>Те, что в браузере или в виде отдельной проги. Насколько я понимаю, как минимум некоторые из них хранят данные локально. В зашифрованном виде, но зловред может найти где хранится ключ, или извлечь из проги, если он скачивается с сервера.
Мастер-ключ сам зашифрован главным паролем.
В скачанном есть только алгоритмы, а они проверены.
Проблемы безопасности бывают, но в другом: побочные каналы, чтение из памяти запущенного процесса, методы, которыми пароль, например, впихивается в поля ввода в браузере, и тому подобное.
The God is real, unless declared integer.
Re[2]: насколько безопасны на самом деле менеджеры паролей?
Здравствуйте, Codealot, Вы писали:
C>Здравствуйте, netch80, Вы писали:
N>>Мастер-ключ сам зашифрован главным паролем.
C>В баузерах вроде не используется пароль. По крайней мере по умолчанию.
It depends on.
Edge, Chrome под виндой используют системное хранилище, как-то защищённое средствами самой системы — типа, пока текущий юзер залогинен, есть доступ к его данным через спец-API.
Konqueror использует kwallet, насколько я знаю, который даёт то же самое.
Firefox без мастер-пароля просто слегка маскирует, а с мастер-паролем — полноценно шифрует.
The God is real, unless declared integer.
Re[4]: насколько безопасны на самом деле менеджеры паролей?
Здравствуйте, netch80, Вы писали:
N>Edge, Chrome под виндой используют системное хранилище, как-то защищённое средствами самой системы — типа, пока текущий юзер залогинен, есть доступ к его данным через спец-API.
DPAPI или что-то еще?
Ад пуст, все бесы здесь.
Re: насколько безопасны на самом деле менеджеры паролей?
C>зловред может найти где хранится ключ, или извлечь из проги, если он скачивается с сервера.
А как он попадёт на хост-систему, и как отошлёт результаты вовне?
Re[2]: насколько безопасны на самом деле менеджеры паролей?
O>>А как он попадёт на хост-систему, и как отошлёт результаты вовне? C>А никакой софт на систему не ставится?
Только олдовый, многолетней выдержки. Всё "актуальное" только в виртуалку.
Re[4]: насколько безопасны на самом деле менеджеры паролей?
Здравствуйте, vsb, Вы писали:
vsb>В целом никакой серьёзной защиты от зловреда, который хозяйствует на твоём компьютере, нет и быть не может, по крайней мере для десктопных операционных систем. Принципиально все эти менеджеры паролей не особо безопасней, чем файлик пароли.txt на рабочем столе.
Тут ты ошибаешься. Инфосек давно ушел от дихотомии либо "комар носа не подточит", либо "все пропало". Реальность полна оттенков.
Если использовать хороший менеджер паролей, не записывать пароль на стикере и применять здравый смысл (не сидеть под админом, не отключать обновления и т.д.) то это гораздо лучше файлика на рабочем столе.
Re[5]: насколько безопасны на самом деле менеджеры паролей?
Здравствуйте, Codealot, Вы писали: C>DPAPI или что-то еще?
Судя по всему — он. Хром уже несколько версий ещё и требует системный пин-код при использовании паролей из хранилища.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[2]: насколько безопасны на самом деле менеджеры паролей?
vsb>В целом никакой серьёзной защиты от зловреда, который хозяйствует на твоём компьютере, нет и быть не может, по крайней мере для десктопных операционных систем. Принципиально все эти менеджеры паролей не особо безопасней, чем файлик пароли.txt на рабочем столе.
На самом деле сильно лучше. Вы рассматриваете только сценарий кражи ваших индивидуальных паролей, но есть и другие сценарии.
Вот несколько вариантов:
1. Может прийти шифровальщик и вы потеряете ваш файлик.
2. У вас несколько устройств, с файликом вам придется синхронизировать пароли вручную или пользоваться каким-то сетевым хранилищем расшареным между устройствами.
3. Вы работаете в команде и вам нужно поделиться реквизитами доступа к тестовой системе с другими людьми. Или поменять их и передать новые всей команде и не скомпрометировать в процссе передачи.
Это просто то, что на поверхности.
