Почему мы не хотим пользоваться прогами по созданию/хранению

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Почему мы не хотим пользоваться прогами по созданию/хранению

Сообщение Q2W » 06.12.2006 (Ср) 19:24

Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

и почему длина заголовка топика всего 60 символов?

Как я понял, вот почему:
1. Во время создания/взятия пароля нужно запустить какую-то прогу, что-то ей сказать и уж потом она даст пароль, который нужно скопировать от неё и вставить куда надо.
Это жутко долго.
2. Её надо искать, устанавливать, а возможно и оплачивать.
3. Нет уверенности в её безопасности.

Я думаю, есть вариант с решением первой и самой главной (для меня по крайней мере) проблемы.

К каждому текстбоксу в системе, предназначенному для заполнения пароля, приделать доп. пункт системного меню, в котором можно создать/взять пароль.

В вэб браузере (а именно в нём мы вводим больше всего паролей) можно заодно анализировать документ, где есть заполняемая форма, и помнить, как выглядит основное число форм авторизации (на популярных форумах, например), чтобы быстро и эффективно предложить создание/взятие пароля от нужного аккаунта.

Т.о. юзеру нужно будет всего лишь выбрать аккаунт, когда его браузер увидит стандартную форму авторизации.

Вобщем это один из путей сделать удобней и ближе к народу подобного рода проги. А ведь если пользоваться таковыми, все пароли от всех аккаунтов могут быть совершенно случайным набором символов большой длины, и автоматичеки меняться раз в месяц, например, той же прогой.
Я знаю верный путь

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 06.12.2006 (Ср) 19:33

Главный пункт - 3? :)

А вообще, все три пункта верны.

У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

gaidar
System Debugger
System Debugger
 
Сообщения: 3152
Зарегистрирован: 23.12.2001 (Вс) 13:22

Сообщение gaidar » 06.12.2006 (Ср) 19:38

Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.
The difficult I’ll do right now. The impossible will take a little while. (c) US engineers in WWII
I don't always know what I'm talking about, but I know I'm right. (c) Muhammad Ali

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 06.12.2006 (Ср) 19:44

Amed писал(а):Главный пункт - 3?

Решений по шифрованию и вообще безопасности море. Это не тема данной дискуссии, как любят выражаться в этом форуме.

У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?
gaidar писал(а):Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.

Это, конечно, вариант. Но разве можно удержать в голове хотя бы десятка два строчек со случайным набором символов?

P.S.: А мне не нравится, когда в пароль нельзя вбивать символ запятой.
Я знаю верный путь

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 06.12.2006 (Ср) 19:55

Q2W писал(а):
У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?

guidgen рулит :-)
Легко генерить, легко хранить, нереально подобрать.
Изображение

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 06.12.2006 (Ср) 19:57

Решений по шифрованию и вообще безопасности море. Это не тема данной дискуссии, как любят выражаться в этом форуме.

Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей. Доверять данные чужой программе - неосмотрительно.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?

Всяко бывает :)
Да, вполне удобно. У меня паролей не так много, и они хорошо обозримы.
Кстати, если оч захочется обеспечить безопасность этого файла - буду его хранить в запароленном рар-архиве.

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 06.12.2006 (Ср) 20:05

tyomitch писал(а):guidgen рулит :-)
Легко генерить, легко хранить, нереально подобрать.

Что есть guidgen?

Amed писал(а):Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей

В таком случае поможет открытость кода или тот факт, что уж твои-то ключи не нужны никому, из тех, кто мог бы купить их у этого производителя.

Вообще я тему завёл не для обсуждения, какая софтина лучше, или лучше всё руками.

Мне интересно ваше мнение по поводу удобностей, которые я изложил.
Я знаю верный путь

keks-n
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2509
Зарегистрирован: 19.09.2005 (Пн) 17:17
Откуда: г. Москва

Сообщение keks-n » 06.12.2006 (Ср) 20:57

tyomitch писал(а):guidgen рулит :-)
Легко генерить, легко хранить, нереально подобрать.

ЖЖоШ.
Q2W
Эта такая удобная утилита, вызывающая CoCreateGUID, которая генерирует 128-битный уникальный номер и выдаёт его примерно в таком виде: EC385FA5-27C8-45ed-BF1E-64C5E44812E3. Входить в состав Visual Studio.
Изображение

BV
Thinker
Thinker
Аватара пользователя
 
Сообщения: 3987
Зарегистрирован: 12.09.2004 (Вс) 0:55
Откуда: Молдавия, г. Кишинёв

Сообщение BV » 06.12.2006 (Ср) 21:20

Ну, вы, блин, даете... :)

А ситуация "чужой компьютер" не рассматривается? Где я возьму тот же GUID на чужой машине?
const char *out = "|*0>78-,+<|"; size_t cc = char_traits<char>::length(out);
for (size_t i=0;i<cc;i++){cout<<static_cast<char>((out[i]^89));}cout<<endl;

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 06.12.2006 (Ср) 21:22

А ты и на своей его больше не возьмёшь...
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

gaidar
System Debugger
System Debugger
 
Сообщения: 3152
Зарегистрирован: 23.12.2001 (Вс) 13:22

Сообщение gaidar » 06.12.2006 (Ср) 21:42

Q2W писал(а):
gaidar писал(а):Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.

Это, конечно, вариант. Но разве можно удержать в голове хотя бы десятка два строчек со случайным набором символов?

P.S.: А мне не нравится, когда в пароль нельзя вбивать символ запятой.


Вообще-то можно удержать в голове огромное множество паролей разной длины за счет механической памяти - вы можете не помнить пароль, но ваши руки будут помнить какие кнопочки и в какой последовательности нажимать.
Например, посмотрите на какого-нибудь гитариста, который не подглядывая в бумажку может пилить мелодии несколько суток подряд. Сколько паролей укладывается на на эти ноты? :)
Я вот как-то для пароля использовал Чижика-Пыжика ECECFEDGGGABCCC, причем с разными комбинациями регистра символов :)
The difficult I’ll do right now. The impossible will take a little while. (c) US engineers in WWII
I don't always know what I'm talking about, but I know I'm right. (c) Muhammad Ali

Конь
Постоялец
Постоялец
 
Сообщения: 650
Зарегистрирован: 02.06.2006 (Пт) 6:49
Откуда: г. Красноярск

Сообщение Конь » 07.12.2006 (Чт) 6:27

gaidar
А почему именно гитарист? :? :)
Я, кстати, действую с паролями так же :)
Подпись находится в стадии разработки...

Andrey Fedorov
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3287
Зарегистрирован: 21.05.2004 (Пт) 9:28
Откуда: Москва

Сообщение Andrey Fedorov » 07.12.2006 (Чт) 9:04

Amed писал(а):Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей. Доверять данные чужой программе - неосмотрительно.


А много ли у нас ну очень важных паролей?
Те что действительно важны я помню и они нигде не записаны, а пароли к нескольким форумам не настолько уж и важны - можно восстановить, а в крайнем случае просто перерегистриться...
Фиг Вам! - Сказал Чебурашка, обгладывая Крокодила Гену...

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 07.12.2006 (Чт) 9:15

Andrey Fedorov, вполне немного. Провайдерские, вебмани...
Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?

Andrey Fedorov
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3287
Зарегистрирован: 21.05.2004 (Пт) 9:28
Откуда: Москва

Сообщение Andrey Fedorov » 07.12.2006 (Чт) 9:20

Amed писал(а):Andrey Fedorov, вполне немного. Провайдерские, вебмани...
Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?


Да нет у меня наработок - простой текстовый файлик если где-то что-то. Хотя, конечно, нехорошо это. Ну и FireFox пароли к сайтам хранит. А к рабочим серверам пароли я просто помню.
Фиг Вам! - Сказал Чебурашка, обгладывая Крокодила Гену...

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Почему мы не хотим пользоваться прогами по созданию/хран

Сообщение alibek » 07.12.2006 (Чт) 9:56

Q2W писал(а):Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

Не знаю, я пользуюсь.
Lasciate ogni speranza, voi ch'entrate.

gaidar
System Debugger
System Debugger
 
Сообщения: 3152
Зарегистрирован: 23.12.2001 (Вс) 13:22

Сообщение gaidar » 07.12.2006 (Чт) 13:29

Идеальный вариант аутентификация запароленым девайсом - мечта - вставляешь флешку, вводишь один пароль и все :). Пока, к сожалению, до этого далеко. Использую чаще шифрованные сертификаты.
The difficult I’ll do right now. The impossible will take a little while. (c) US engineers in WWII
I don't always know what I'm talking about, but I know I'm right. (c) Muhammad Ali

Andrey Fedorov
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3287
Зарегистрирован: 21.05.2004 (Пт) 9:28
Откуда: Москва

Re: Почему мы не хотим пользоваться прогами по созданию/хран

Сообщение Andrey Fedorov » 07.12.2006 (Чт) 13:36

alibek писал(а):
Q2W писал(а):Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

Не знаю, я пользуюсь.


Хорошая программа по хранению паролей заботливо упаковывает всю регистрационную информацию и изыскивает возможность отправить получившийся архив для дальнейшего и более надежного хранения по одному из известных ей адресов или сайтов... :lol:
Фиг Вам! - Сказал Чебурашка, обгладывая Крокодила Гену...

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Почему мы не хотим пользоваться прогами по созданию/хран

Сообщение alibek » 07.12.2006 (Чт) 14:11

Andrey Fedorov писал(а):Хорошая программа по хранению паролей заботливо упаковывает всю регистрационную информацию и изыскивает возможность отправить получившийся архив для дальнейшего и более надежного хранения по одному из известных ей адресов или сайтов... :lol:

Во-первых, такой возможности у нее нет.
Во-вторых, длительное тестирование показало, что этого она не делает.
И даже если она выжидает и отправит таки архив лет через 80, мне к тому времени будет уже все-равно.
Lasciate ogni speranza, voi ch'entrate.

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 07.12.2006 (Чт) 15:23

gaidar писал(а):Например, посмотрите на какого-нибудь гитариста, который не подглядывая в бумажку может пилить мелодии несколько суток подряд. Сколько паролей укладывается на на эти ноты? :)

Я не могу себя застваить помнить столько строк.
Amed писал(а):Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?

Нет, наработок нет. Это пред(по)ложения.
Я знаю верный путь

DirectXManiac
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1543
Зарегистрирован: 03.11.2005 (Чт) 13:32
Откуда: из DirectX SDK

Сообщение DirectXManiac » 07.12.2006 (Чт) 18:31

У меня например всего 3-4 пароля... А почти на все форумы один, который забыть нереально! Вот и вся музыка! :D
#define ROFL 0xDDDD

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 07.12.2006 (Чт) 18:36

DirectXManiac писал(а):У меня например всего 3-4 пароля... А почти на все форумы один, который забыть нереально! Вот и вся музыка! :D

Ну так это небезопасно.
Узнав один твой пароль и зная (не без помощи поисковиков) другие твои аккаунты, я могу попробовать применить этот пароль на них, и завладеть ими.
Я знаю верный путь

Andrey Fedorov
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3287
Зарегистрирован: 21.05.2004 (Пт) 9:28
Откуда: Москва

Сообщение Andrey Fedorov » 07.12.2006 (Чт) 21:11

Q2W писал(а):Ну так это небезопасно.
Узнав один твой пароль и зная (не без помощи поисковиков) другие твои аккаунты, я могу попробовать применить этот пароль на них, и завладеть ими.


Я не думаю что у него тот-же пароль на "деньги" или администрирование сайтами/серверами.

Скорей всего один и тот же пароль на форумы различных сайтов... Ну завладеешь ты им - сильно возрадует? Максимум что сможешь - под его аккаунтом немножко гадости написать - в порядке самоутверждения, чтобы хоть как-то напакостить. Ему, конечно, неприятно будет, но не смертельно.
Фиг Вам! - Сказал Чебурашка, обгладывая Крокодила Гену...

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 07.12.2006 (Чт) 22:54

Аналогично, есть N стандартных паролей и вариации. Пароль на бэкап к наладоннику я восстановил через два года за которые давно его забыл.

gaidar
System Debugger
System Debugger
 
Сообщения: 3152
Зарегистрирован: 23.12.2001 (Вс) 13:22

Сообщение gaidar » 08.12.2006 (Пт) 10:19

Хорошо, когда N стандартных, а я каждый раз мучаюсь, придумывая новый...
The difficult I’ll do right now. The impossible will take a little while. (c) US engineers in WWII
I don't always know what I'm talking about, but I know I'm right. (c) Muhammad Ali

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 08.12.2006 (Пт) 19:05

Andrey Fedorov писал(а):Я не думаю что у него тот-же пароль на "деньги" или администрирование сайтами/серверами.

Не факт!
Скорей всего один и тот же пароль на форумы различных сайтов... Ну завладеешь ты им - сильно возрадует? Максимум что сможешь - под его аккаунтом немножко гадости написать - в порядке самоутверждения, чтобы хоть как-то напакостить. Ему, конечно, неприятно будет, но не смертельно.

Я могу ввести в заблуждение людей, выдав себя за него.
Я знаю верный путь

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 09.12.2006 (Сб) 2:17

А оно тебе надо? Он восстановит пароль/сделает новый акк и напишет что его хакнули. И толку? Ничего серьезного ты не сделаешь - максимум попортишь нервы.

Да и кроме того никто же не мешает помимо N стандартных паролей иметь K стандартных методов их образования.

Есть пасс jdPvk15gd, которй ты добыл. Но тут стандартный пасс jPk5gd, буква v - первая буква в названии сайта, еденичка - третья цифра из IDшника пользователя, а буква d расположна на месте первой цифры IDшника - Восстановишь ты зная только этот пасс от vbStreets пароли от других форумов? А вот хозяин - легко.
В принципе достаточно и менее геморойной техники образования.

Ну а пароли на деньги, хосты, доступ - всегда новые. Однако когда кошелек давно заброшен, сменился провайдер, или не нужен больше хост никто не мешает эти пароли записать в стандартные. Потому что их то ты уже десть раз запомнил и набираешь с закрытыми глазами не задумываясь.

Q2W
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 745
Зарегистрирован: 31.01.2004 (Сб) 20:46
Откуда: Питер

Сообщение Q2W » 10.12.2006 (Вс) 16:47

GAGArin писал(а):А оно тебе надо?

Вопрос не в том, надо ли оно мне, а в том, могу ли я это.
Злоумышленнику надо.
Он восстановит пароль/сделает новый акк и напишет что его хакнули. И толку? Ничего серьезного ты не сделаешь - максимум попортишь нервы.

Если я завладею акком, весьма вероятно, что я позабочусь о том, чтобы его нельзя было забрать обратно. Или вообще не буду на нём ничего менять до тех пор, пока не станет видно, что им пользуется кто-то ещё.
Да и кроме того никто же не мешает помимо N стандартных паролей иметь K стандартных методов их образования.

Не все так делают, наверно ни для кого не секрет что по многим исследованиям многие люди используют один или несколько паролей на разные аккаунты. Да и пароли эти обычно не сложные.
Если у тебя много сложных паролей и ты генеришь новые по стандартным способам - ты скорее всего исключение из правил, согласись.

Ну а пароли на деньги, хосты, доступ - всегда новые.

Тоже далеко не всегда, да и имея мыло, на которое зарегистрирован акк, часто можно получить к нему доступ.

На всякий случай повторюсь, а то не все поняли:
Q2W писал(а):Вообще я тему завёл не для обсуждения, какая софтина лучше, или лучше всё руками.

Мне интересно ваше мнение по поводу удобностей, которые я изложил.
Я знаю верный путь

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 10.12.2006 (Вс) 23:22

На счет нововведений - не врубаюсь чем один пасс от проги для хранения лучше чем просто один пасс на всё? Если есть доступ к ней, то есть все пароли. Хотя ввести пунктик сгенерить пасс и забить его сразу в БД в принципе - весьма неплохая идея.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 10.12.2006 (Вс) 23:28

Потому что если пасс от проги, то это одна точка уязвимости, а если один пасс на всё, то много.
Например, админ какого-нибудь форума возьмёт и подглядит твой пасс на этом форуме, а потом пойдёт от твоего имени писать на всех остальных форумах. Если пассы на всё разные, тогда такого не будет.
Изображение

След.

Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 74

    TopList  
cron