Пароли-пароли

[vitus_wagner]

Политика регулярной смены паролей - это зло. Вчера вот менял доменный пароль на работе, ухитрился ТРИ раза сделать одинаковую опечатку - когда вводил, когда подтверждал, и когда вводил его в почтовую программу.
А когда прописывал свежесмененный пароль в KeePass, этой опечатки не сделал. Потому что андроид и виртуальная клавиатура. Вообще KeePass это конечное "keep ass". В смысле, "на аллаха надейся, а осла привязывай". Но, увы, спасает ослов не всегда.

Сегодня утром долго не мог понять почему мой thunderbird в IMAP пускают, а в веб-интерфейс того же почтового сервера меня не пускают, не говоря уж о прочих корпоративных веб-сервисах, Но к счастью сообразил залезть Thunderbird-у в preferences и посмотреть с каким именно паролем он туда ходит.

Причем ведь давно доказано, что регулярная смена паролей отнюдь не способствует их стойкости, а способствует наклеиванию на монитор бумажок с текущим паролем.

Comments

[stiv_sigmal]

Это точно. На некоторых форумах требуют менять пароли каждые сколько-то дней — так я давно на подобных меняю qwerty на ytrewq и обратно. Благо, а) никому мои профили там не нужны, б) ничего страшного от их потери не случится.

[angry-elf.livejournal.com]

А у меня банк помнит предыдущие пароли и при очередной смене паролей старым его не накормишь, только новым.

[prividen.livejournal.com]

+1
в смысле каждый раз по 1 в конец старого пароля :)

[stiv_sigmal]

С банком ничего не поделаешь — приходится генерить и запоминать (где угодно).

[kant-elz.livejournal.com]

На работе юзеры должны менять пароль каждый месяц. Причем пароль не должен повторяться 12 месяцев. Потом можно запустить по кругу. Естественная защитная реакция - всем отделом берут одинаковый пароль=месяц+1. :-)

[zamotivator]

Не понимаю, в чём проблема.
У меня достаточно параноидальные пароли (32-64 символа включая разный регистр и спецсимволы), KeePassX их все хранит.
Поменять пароли через него же элементарно.

Достаточно СНАЧАДА сгенерировать пароль в KeePassX, и лишь ПОТОМ вводить новый пароль куда либо (причём вводить ТОЛЬКО через copypaste).

[filin]

В результате узким местом этой конструкции оказывается clipboard - заходи кто хочешь, бери что хочешь, а пароль там зависает на неопределенное, и как правило, довольно продолжительное время. И случайные пароли по 8 символов, которые все-таки можно ввести руками, оказываются надежнее.

[zamotivator]

Что значит "на неопределённое"? У меня чётко определённое - одна минута, потом самостоятельно чистится.

[filin]

Ну хорошо, на определенное. С точки зрения кейлоггеров (которые, надо полагать, за клипбордом тоже послеживают) что минута, что секунда, что два года...

[baadoo.livejournal.com]

Не понял ход мысли. С кейлоггерами ввод руками все равно надежней?! До меня не доходит.

[filin]

С кейлоггерами помогает только виртуальная экранная клавиатура. Ход мысли был, скорее, такой: в клипборд посмотреть проще, чем на клавиатуру, поэтому клавиатура все же безопаснее. К этому могло бы быть возражение, что кейлоггер как приложение, ворующие пароли, более распространен, чем любая альтернатива - но кейлоггер, вероятно, тоже догадывается посматривать в клипборд, так что по крайней мере клипборд не может оказаться безопаснее клавиатуры.

[yurikhan]

Если против кейлоггера помогает экранная клавиатура, это плохой, негодный кейлоггер.

[filin]

Не говоря уже о том, что хэш на том конце, как правило, MD5, так что пароль, случайная часть которого длиннее 128 бит (для генератора действительно случайных, но printable ASCII паролей это 20 символов) - просто зряшный расход накопленной рандомайзером энтропии.

Впрочем, конкретно KeePassX пользуется псевдослучайным со случайной затравкой, и по его поведению я бы сказал, что он и 128 бит ленится набрать...

[vitus_wagner]

И как ты будешь логиниться на рабочую станцию, чтобы запустить там keypassx?

[baadoo.livejournal.com]

+1. Сначала генерить (или записать-посмотреть-проверить) в хранилище, затем оттуда использовать. Просто вся цепочка задом наперед оказалась перевернута.

[zamotivator]

Тут речь про доступ к машине вообще
Понятное дело, что мои три пароля - на винт, на логин и на keepassx не меняются и берегутся как зеница ока.
Витусу на работе приходится менять

[greenkrokodilla]

хм..

(1) на самом деле не должно быть никаких 'паролей', а только фразы - passphrases. Их запоминать намного проще.

(2) Достаточно помнить только одну такую фразу - для вашей шифрованной хранилки паролей. Её сделать можно на основе одной из десятков существующих программ, которые дают интерфейс к сильному (симметричному) шифрованию.

Например, один немец помучившись связал стандартную библиотеку, которая воплощает простой редактор текста с библиотекой шифрования (помучившись, чтобы сделать работу чисто и правильно) и получилась удобная программа "cryptote", работающая и на линуксе, и на уиндоуз, имеющая и интерфейс командной строки, и графический редактор, куда легко переносить тексты подлиннее - и, разумеется, формат её шифрованных файлов тоже переносим на любую платформу.
Также запускается с флэшки, подоткните к любой платформе, лишь бы на флэшке был соответствующий набор binaries.

А чтобы не ошибаться, я пользуюсь copy-paste - это много надёжнее, чем клавиатура пальцами (вопреки общему упрямому мнению российских "программеров")

p.s. password generation

[greenkrokodilla]

и разумеется в cryptote встроен генератор паролей, если вам это надо.
Я, однако пользуюсь длинными осмысленными для меня фразами, которые благодаря развернутому смыслу запоминать намного легче, чем короткий пароль, в который пытаются впихнуть хоть что-то мнемонически понятное.

[greenkrokodilla]

http://idlebox.net/2009/cryptote/
CryptoTE is a text editor with integrated strong cryptography. It is based on the popular Scintilla widget and automatically stores text data in secure encrypted container files. Compared to other "password keeper" programs, CryptoTE does not force any structure upon your data: it works with plain ASCII text and does not require you to fill in grids, key-value attributes, descriptions etc. Encryption is transparently performed using the highly-secure Serpent cipher. The editing interface is thoroughly optimized for speed and ease of use. Multiple subfiles, Quick-Find and a two-click random password generator make daily use very convenient.

[zamotivator]

скажите, а с keepassx вы её не сравнивали?

[greenkrokodilla]

cryptote - РЕДАКТОР, как notepad на Windows - это обычный scintilla-based текстовый редактор.
Который шифрует файлы для записи их на диске - и раскрывает их исключительно в память, чтобы подсмотреть было труднее.

А программа Витуса и ваша - специализированная табличка с разграфлёнными полями, вбей А сюда, Б туда, и вот здесь оставь комментарий не длиннее чем

Криптот(а) - гораздо более универсальная небольшая программка. Она годится для чего угодно, писем, текстов, чего хотите.

В частности вы просто вбиваете в текстовый документ всё что вам надо помнить - где ваш счет открыт, его УРЛ, что угодно в свободной форме - и закрываете этот файл сильным шифрованием.

В одном закрытом файле может лежать много документов - или вы можете держать по шифрованному файлу на один текст, как хотите.

[filin]

notepad на Windows - это, извините, не редактор. Редактор - это vim или emacs. Под виндой есть еще какие-то, у меня просто базовая система Linux, я в виндовых не разбираюсь. А notepad годится заметку на три строчки набрать. Поэтому идея иметь нотепадный интерфейс для хранения более чем двух-трех паролей, прямо скажем, пугает.

Оба упомянутых, кстати, умеют прозрачное шифрование файлов. Пользуясь при этом стандартными средствами, то есть файл потом можно расшифровать мимо данного конкретного редактора из командной строки. Хотя, конечно, на флешке не особо унесешь, оба хотят быть установленными. Преимущество keepass для моих и Витуса целей - в том, что он под андроидом работает. Вернее, там есть отдельная программа, совместимая с десктопной по формату файлов, но с интерфейсом, заточенным под экран телефона.

[greenkrokodilla]

(a) я пользуюсь юниксом с 1994 года, так что не надо меня пытаться поразить некой .... и пытаться тем немножко попонтоваться.

(б) я для любых серьезных проектов пользуюсь Вим'ом. Хотя две строчки могу писать в любом редакторе (коих за годы препробовал множество)

(в) Вим не имеет никакого "прозрачного шифрования файлов", потому что он какает в служебный файл во время редактирования

Вся идея cryptote в том, что он работает 'чисто' и другие пользователи на машине его содержимое подсмотреть просто так не смогут.

К тому же ничтожный по величине cryptote несравним ни с мамонтом имаксом, ни с тоже немаленьким Вим'ом.
Криптоте не требует "установки на систему", это один файл.

[mithraen.livejournal.com]

emacs abc.txt.gpg

[greenkrokodilla]

(а) это не emacs, это GPG, верно?
(б) что происходит с файлами имакса на диске в этот момент? Отражается ли содержимое шифруемого буфера в них? До шифрования? Легко ли сделать так, чтобы имакс не "мусорил"?

В cryptote эти вопросы решены: программа ничего не пускает на диск в незашифрованном виде.

А пропустить открытый файл через внешнюю программу-фильтр можно на большинстве программных редакторов - это не совсем то, что нам надо на многопользовательской машине, верно?

[mithraen.livejournal.com]

1. Верно, это gpg.
2. Насколько я увидел в strace -- ничего интересного. Нашел лишь бэкапы (также криптованные).
3. На многопользовательской машине вопрос стоит просто -- либо вы доверяете root'у, либо нет.

Если доверяете -- использование фильтров безопасно.
Если не доверяете -- root прекрасно сворует ваши пароли, и cryptote вас не спасет.

keepass - наше все!

[dinozavr]

Win/Linux/Mac/Android.

Интересно, его шифрование файла на диске ключом из 12 символом - еще не взломали?

[matpuk.livejournal.com]

Полностью согласен с последним предложением. Первая мысль была примерно такой же - нарисовать стикер на моник. Но после прочтения письма от ваших московских админов, мы нашли другой способ. Железка она же тупая...