Конференция VBStreets

[Q2W]

Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

и почему длина заголовка топика всего 60 символов?

Как я понял, вот почему:
1. Во время создания/взятия пароля нужно запустить какую-то прогу, что-то ей сказать и уж потом она даст пароль, который нужно скопировать от неё и вставить куда надо.
Это жутко долго.
2. Её надо искать, устанавливать, а возможно и оплачивать.
3. Нет уверенности в её безопасности.

Я думаю, есть вариант с решением первой и самой главной (для меня по крайней мере) проблемы.

К каждому текстбоксу в системе, предназначенному для заполнения пароля, приделать доп. пункт системного меню, в котором можно создать/взять пароль.

В вэб браузере (а именно в нём мы вводим больше всего паролей) можно заодно анализировать документ, где есть заполняемая форма, и помнить, как выглядит основное число форм авторизации (на популярных форумах, например), чтобы быстро и эффективно предложить создание/взятие пароля от нужного аккаунта.

Т.о. юзеру нужно будет всего лишь выбрать аккаунт, когда его браузер увидит стандартную форму авторизации.

Вобщем это один из путей сделать удобней и ближе к народу подобного рода проги. А ведь если пользоваться таковыми, все пароли от всех аккаунтов могут быть совершенно случайным набором символов большой длины, и автоматичеки меняться раз в месяц, например, той же прогой.

[Amed]

Главный пункт - 3?

А вообще, все три пункта верны.

У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

[gaidar]

Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.

[Q2W]

Главный пункт - 3?

Решений по шифрованию и вообще безопасности море. Это не тема данной дискуссии, как любят выражаться в этом форуме.

У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?

Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.

Это, конечно, вариант. Но разве можно удержать в голове хотя бы десятка два строчек со случайным набором символов?

P.S.: А мне не нравится, когда в пароль нельзя вбивать символ запятой.

[tyomitch]

У меня, например есть файл, в который я руками ввожу все пароли/логины, которые надо запомнить. Ссылка на файл кладется на панель быстрого запуска.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?

guidgen рулит
Легко генерить, легко хранить, нереально подобрать.

[Amed]

Решений по шифрованию и вообще безопасности море. Это не тема данной дискуссии, как любят выражаться в этом форуме.

Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей. Доверять данные чужой программе - неосмотрительно.

Ты для каждого сайта, форума, чего-бы-то-нибыло придумываешь новый пароль?
Тебе удобно держать всё это в файле?

Всяко бывает
Да, вполне удобно. У меня паролей не так много, и они хорошо обозримы.
Кстати, если оч захочется обеспечить безопасность этого файла - буду его хранить в запароленном рар-архиве.

[Q2W]

guidgen рулит
Легко генерить, легко хранить, нереально подобрать.

Что есть guidgen?

Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей

В таком случае поможет открытость кода или тот факт, что уж твои-то ключи не нужны никому, из тех, кто мог бы купить их у этого производителя.

Вообще я тему завёл не для обсуждения, какая софтина лучше, или лучше всё руками.

Мне интересно ваше мнение по поводу удобностей, которые я изложил.

[keks-n]

guidgen рулит
Легко генерить, легко хранить, нереально подобрать.

ЖЖоШ.
Q2W
Эта такая удобная утилита, вызывающая CoCreateGUID, которая генерирует 128-битный уникальный номер и выдаёт его примерно в таком виде: EC385FA5-27C8-45ed-BF1E-64C5E44812E3. Входить в состав Visual Studio.

[BV]

Ну, вы, блин, даете...

А ситуация "чужой компьютер" не рассматривается? Где я возьму тот же GUID на чужой машине?

[GSerg]

А ты и на своей его больше не возьмёшь...

[gaidar]

Я предпочитаю помнить, но то, чем долго не пользуюсь, быстро забываю и тогда использую восстановления пароля. Именно поэтому сайты, которые не позволяют восстанавливать пароли я считаю моветоном.

Это, конечно, вариант. Но разве можно удержать в голове хотя бы десятка два строчек со случайным набором символов?

P.S.: А мне не нравится, когда в пароль нельзя вбивать символ запятой.

Вообще-то можно удержать в голове огромное множество паролей разной длины за счет механической памяти - вы можете не помнить пароль, но ваши руки будут помнить какие кнопочки и в какой последовательности нажимать.
Например, посмотрите на какого-нибудь гитариста, который не подглядывая в бумажку может пилить мелодии несколько суток подряд. Сколько паролей укладывается на на эти ноты?
Я вот как-то для пароля использовал Чижика-Пыжика ECECFEDGGGABCCC, причем с разными комбинациями регистра символов

[Конь]

gaidar
А почему именно гитарист?
Я, кстати, действую с паролями так же

[Andrey Fedorov]

Я имел в виду то, что сам производитель паролехранящего софта может не гнушаться кражей паролей. Доверять данные чужой программе - неосмотрительно.

А много ли у нас ну очень важных паролей?
Те что действительно важны я помню и они нигде не записаны, а пароли к нескольким форумам не настолько уж и важны - можно восстановить, а в крайнем случае просто перерегистриться...

[Amed]

Andrey Fedorov, вполне немного. Провайдерские, вебмани...
Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?

[Andrey Fedorov]

Andrey Fedorov, вполне немного. Провайдерские, вебмани...
Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?

Да нет у меня наработок - простой текстовый файлик если где-то что-то. Хотя, конечно, нехорошо это. Ну и FireFox пароли к сайтам хранит. А к рабочим серверам пароли я просто помню.

[alibek]

Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

Не знаю, я пользуюсь.

[gaidar]

Идеальный вариант аутентификация запароленым девайсом - мечта - вставляешь флешку, вводишь один пароль и все . Пока, к сожалению, до этого далеко. Использую чаще шифрованные сертификаты.

[Andrey Fedorov]

Почему мы не хотим пользоваться прогами по созданию/хранению паролей?

Не знаю, я пользуюсь.

Хорошая программа по хранению паролей заботливо упаковывает всю регистрационную информацию и изыскивает возможность отправить получившийся архив для дальнейшего и более надежного хранения по одному из известных ей адресов или сайтов...

[alibek]

Хорошая программа по хранению паролей заботливо упаковывает всю регистрационную информацию и изыскивает возможность отправить получившийся архив для дальнейшего и более надежного хранения по одному из известных ей адресов или сайтов...

Во-первых, такой возможности у нее нет.
Во-вторых, длительное тестирование показало, что этого она не делает.
И даже если она выжидает и отправит таки архив лет через 80, мне к тому времени будет уже все-равно.

[Q2W]

Например, посмотрите на какого-нибудь гитариста, который не подглядывая в бумажку может пилить мелодии несколько суток подряд. Сколько паролей укладывается на на эти ноты?

Я не могу себя застваить помнить столько строк.

Q2W, а у тебя уже есть наработки, или пока это пред(по)ложения?

Нет, наработок нет. Это пред(по)ложения.

[DirectXManiac]

У меня например всего 3-4 пароля... А почти на все форумы один, который забыть нереально! Вот и вся музыка!

[Q2W]

У меня например всего 3-4 пароля... А почти на все форумы один, который забыть нереально! Вот и вся музыка!

Ну так это небезопасно.
Узнав один твой пароль и зная (не без помощи поисковиков) другие твои аккаунты, я могу попробовать применить этот пароль на них, и завладеть ими.

[Andrey Fedorov]

Ну так это небезопасно.
Узнав один твой пароль и зная (не без помощи поисковиков) другие твои аккаунты, я могу попробовать применить этот пароль на них, и завладеть ими.

Я не думаю что у него тот-же пароль на "деньги" или администрирование сайтами/серверами.

Скорей всего один и тот же пароль на форумы различных сайтов... Ну завладеешь ты им - сильно возрадует? Максимум что сможешь - под его аккаунтом немножко гадости написать - в порядке самоутверждения, чтобы хоть как-то напакостить. Ему, конечно, неприятно будет, но не смертельно.

[GAGArin]

Аналогично, есть N стандартных паролей и вариации. Пароль на бэкап к наладоннику я восстановил через два года за которые давно его забыл.

[gaidar]

Хорошо, когда N стандартных, а я каждый раз мучаюсь, придумывая новый...

[Q2W]

Я не думаю что у него тот-же пароль на "деньги" или администрирование сайтами/серверами.

Не факт!

Скорей всего один и тот же пароль на форумы различных сайтов... Ну завладеешь ты им - сильно возрадует? Максимум что сможешь - под его аккаунтом немножко гадости написать - в порядке самоутверждения, чтобы хоть как-то напакостить. Ему, конечно, неприятно будет, но не смертельно.

Я могу ввести в заблуждение людей, выдав себя за него.

[GAGArin]

А оно тебе надо? Он восстановит пароль/сделает новый акк и напишет что его хакнули. И толку? Ничего серьезного ты не сделаешь - максимум попортишь нервы.

Да и кроме того никто же не мешает помимо N стандартных паролей иметь K стандартных методов их образования.

Есть пасс jdPvk15gd, которй ты добыл. Но тут стандартный пасс jPk5gd, буква v - первая буква в названии сайта, еденичка - третья цифра из IDшника пользователя, а буква d расположна на месте первой цифры IDшника - Восстановишь ты зная только этот пасс от vbStreets пароли от других форумов? А вот хозяин - легко.
В принципе достаточно и менее геморойной техники образования.

Ну а пароли на деньги, хосты, доступ - всегда новые. Однако когда кошелек давно заброшен, сменился провайдер, или не нужен больше хост никто не мешает эти пароли записать в стандартные. Потому что их то ты уже десть раз запомнил и набираешь с закрытыми глазами не задумываясь.

[Q2W]

А оно тебе надо?

Вопрос не в том, надо ли оно мне, а в том, могу ли я это.
Злоумышленнику надо.

Он восстановит пароль/сделает новый акк и напишет что его хакнули. И толку? Ничего серьезного ты не сделаешь - максимум попортишь нервы.

Если я завладею акком, весьма вероятно, что я позабочусь о том, чтобы его нельзя было забрать обратно. Или вообще не буду на нём ничего менять до тех пор, пока не станет видно, что им пользуется кто-то ещё.

Да и кроме того никто же не мешает помимо N стандартных паролей иметь K стандартных методов их образования.

Не все так делают, наверно ни для кого не секрет что по многим исследованиям многие люди используют один или несколько паролей на разные аккаунты. Да и пароли эти обычно не сложные.
Если у тебя много сложных паролей и ты генеришь новые по стандартным способам - ты скорее всего исключение из правил, согласись.

Ну а пароли на деньги, хосты, доступ - всегда новые.

Тоже далеко не всегда, да и имея мыло, на которое зарегистрирован акк, часто можно получить к нему доступ.

На всякий случай повторюсь, а то не все поняли:

Вообще я тему завёл не для обсуждения, какая софтина лучше, или лучше всё руками.

Мне интересно ваше мнение по поводу удобностей, которые я изложил.

[GAGArin]

На счет нововведений - не врубаюсь чем один пасс от проги для хранения лучше чем просто один пасс на всё? Если есть доступ к ней, то есть все пароли. Хотя ввести пунктик сгенерить пасс и забить его сразу в БД в принципе - весьма неплохая идея.

[tyomitch]

Потому что если пасс от проги, то это одна точка уязвимости, а если один пасс на всё, то много.
Например, админ какого-нибудь форума возьмёт и подглядит твой пасс на этом форуме, а потом пойдёт от твоего имени писать на всех остальных форумах. Если пассы на всё разные, тогда такого не будет.