15:00
9/6/2015

Ciekawa propozycja.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. API z minionej epoki ;)

  2. Zakładając że moje hasło to:
    erhb56>%gkwkjgj2mg465262mgm12kkgj6m
    raz udało mi się je w życiu zapamiętać.
    Później tylko w kółko po prostu, co miesiąc, zapamiętuję że któryś substring tego hasła się zmienia, np. po pierwszym miesiącu:
    WRhb56>%gkwkjgj2mg465262mgm12kkgj6m
    drugi miesiąc:
    WRhb56!!gkwkjgj2mg465262mgm12kkgj6m itd.
    i tak dalej. Tym sposobem nie jest to trudne. A samego hasła się uczyłem partiami, najpierw pierwsze 16 znaków (za każdym razem wprowadzałem te 16 znaków do menadżera haseł, on mi podawał następne i co kilka dni dodawałem nowe).

    Zastanawiam się czy to bezpieczne, taka praktyka (zachowując ofc bezpieczeństwo fizyczne podczas odczytu hasła) i czy czasem niewskazane jest używać tego samego, w moim przypadku pomiędzy 32 i 40 znaków hasła do menadżera haseł i pełnego szyfrowania dysku (bo te dwa hasła jedynie znam, na reszcie stron (i woluminów TC) mam po prostu losowe znaki, maksymalna dozwolona długość).

    • J3s+eMn4N!ebEzp1ecZn1kUod-wiEluLat. 5 minut i pamiętasz całe.

    • Pamietasz, ale jedynie w „odszyfrowanej” formie.. ;D

    • https://xkcd.com/936/

  3. Masakra. Po pierwsze PM są tylko dla mięczaków. Po drugie jak ktoś utraci kontrolę nad swoim PM to, dosłownie, automatycznie utraci wszystkie hasła. Do tej pory intruz zmieniał tylko hasła w tych popularnych serwisach, do mniejszych nie chciało mu się logować :)

    • A o backupie to słyszał?

  4. Signum temporis… XKCD w RFC.

    https://xkcd.com/936/

  5. Password Manager, który automatycznie zmienia hasła? Hmmm no nie wiem czy to dobry pomysł.
    Same Managery to dość ciężki temat – ze względu na przechowywane dane są jakby nie patrzeć łakomym kąskiem dla wirusów/trojanów/spyware/etc. Fakt że taki KeePass ma jakieśtam wyrafinowane zabezpieczenia, ale przecież wszystko jest do złamania.

    Tak więc moim zdaniem PM tylko do “nieistotnych” stron, a naprawdę wrażliwe dane trzymać gdzie indziej (albo chociaż nie w “czystej” postaci – jedynie żeby wystarczyło do “przypomnienia” sobie całego hasła). A skoro tak, to automatyczna zmiana haseł do nieistotnych stron wydaje się być zbędna… Szczególnie że naprawdę ważne strony powinny mieć uwierzytelnienie dwuetapowe, tak więc automat tam za wiele nie zdziała.

    • I to jeszcze server-side. Nie masz kontroli nad własnym hasłem, które ustawia Ci jakiś automat, wedle jakiegoś algorytmu. Ahahahahahahahahaha. Oby ludzie zakopali pomysł, bo to się nie skończy dobrze.

    • 1/ Zapisywanie haseł to zło.
      2/ Do każdego miejsca trzeba mieć inne hasło.
      To są dwie podstawy i każdy się, zasadniczo, zgodzi. Niebezpieczniki powtarząją to jak mantrę. Ja też. Ale człowiek jest tylko człowiekiem. Oczywiście rozumiem że niebezpiecznika czytają nadludzie którzy pamiętają wszystko ale ja np. niestety nadludziem nie jestem. Więc pamiętając o tych dwóch założeniach “po długim procesie tentegowania w głowie” wymyśliłem coś takiego:
      Patrz punkt dwa. Korzystam z Lastpassa zatem to lastpass generuje mi hasło do strony i je zapamiętuje. Ale patrz punkt jeden. Więc lastpass zapamiętuje to co wygenerował i tyle – natomiast ja w trakcie rejestrowania hasła dopisuję do tego hasła jakieś tam znaki. Dzięki temu lastpass mi pomaga ale jednocześnie nie zna całego hasła. A te kilka znaków generowanych “w pamięci” z nazwy serwisu jestem w stanie zawsze odtworzyć i się zalogować.
      Co o tym sądzicie? Hasła są unikalne (punkt dwa), haseł nie powierzam nikomu (punkt jeden). IMHO dobre rozwiązanie. Dopóki nie przyjdzie nikt z kluczem za 9,99 (promocja na narzędzia w Biedronce!) powinno się sprawdzić.

    • Akurat sam pomysł na przechowywanie haseł po stronie serwera jest ciekawy, o ile ten serwer stoi w domu. Przydałby się jakiś dodatek do przeglądarek, odpytujący np. serwer stojący na Raspberry Pi o hasła do danej domeny, zawsze zmniejsza to ryzyko wykradnięcia wszystkiego ;)

  6. Wnioskując po podpunktach a i b w paragrafie 1.1 w przytoczonym linku, mniemam, że oni chyba o zwyczajnych keyringach nie słyszeli. Ja kilka tygodni (czy miesięcy) temu zmieniałem swoje hasełka na 128 bitowe automatycznie generowane hashe — 32 znaki. Chyba tylko dwa serwisy z blisko 250 (ale się tych kont nazbierało) miało ograniczenie znaków do 16, a kilka do 30 chyba.

    Także nie mam możliwości zapamiętać żadnych z tych haseł (taki jest cel tego manewru) i jednocześnie jestem w stanie z nich korzystać. Ten krok zabezpiecza też przed nierozważnym wpisywaniem haseł na niezaufanych maszynach, bo jako, że nie jestem w stanie sobie przypomnieć hasła, to nie mam możliwości zalogować się na konto z cudzej maszyny, nawet jeśli ten ktoś by mnie o to prosił — muszę mieć dostęp do jednego ze swoich sprzętów. :]

    Oczywiście pozostają dwie kwestie do rozważenia: bezpieczeństwo przechowywania haseł oraz bezpieczeństwo przesyłu ich przez sieć. Jeśli chodzi o przechowywanie, to zabezpieczenia w formie szyfrowanego keyringa lub/i pełnego szyfrowania dysku raczej powinno załatwić sprawę. Natomiast w przypadku samego przesyłu, to obecnie bardzo wiele stron działa na pełnym httpsie i zamiast ciągle się logować z wykorzystaniem haseł, co pociąga za sobą otwieranie keyringa, to można zwyczajnie zaprzęgnąć do tego celu ciasteczka, byle by tylko jakiś serwis nie wpadł na ustawienie ważności cookiesów na 2 dni. :]

    • Ja stosuję coś podobnego, ale zamiast keyringa używam generatora bazującego na master key i domenie serwisu — supergenpass.com — do którego zwykle dodaję jeszcze własny suffix.

  7. Możesz podpowiedzieć jak tego używać? Pod jakim hasłem szukać więcej informacji o tej metodzie?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: