Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Где и как хранить пароли?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
А вообще наиболее безопасные среди аппаратных - изготовленные самостоятельно Потому как промышленные, ну вы же понимаете, что может включать в себя э...м "сертификация"

Цитата:
только если вы САМИ ЛИЧНО скомпилировали алгоритм шифрования из исходников. В любом другом случае всегда может быть небольшое "но".

Цитата:
А вдруг именно завтра ломанут тот алгоритм, которым вы шифровали, а все уже знают, где лежит ваш зашифрованнный файл.

Спасибо за подсказки!

Цитата:
А вот указать на ложное для запутывания и даже подложить туда "макет" - это вот как раз может быть очень умнО

Это имхо как бы тоже оставление своих следов. А свои следы они всегда о чём-то говорят имхо. Или я не прав?
 
Добавлено:
igor me v2

Цитата:
 Я не буду повторяться, могу добавить разве что, что можно использовать кое-где одинаковые оффлайн и онлайн пароли. Ну то есть например у вас есть пароль от BIOS вашего компа, или пароль админа, или пароль на какой-то архив запароленный, лежащий локально. Можно использовать такой-же пароль и ещё на каком-то сайте онлайн.

Имхо лучше не стоит даже так. Мало ли кто-то узнал про то, что у Вас на запароленный архив такой-то пароль, а также знает то, что Вы можете повторять пароли, то уже возникает риск.

----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 23:01 20-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Rako1, пароли мне кажется лучше хранить не в явном в виде, блин повтор ipmanyak Ссылка # такой текст я думаю вряд ли поймут что это ..   А сами файлики обзывать как то так,  чтоб не было наводки на то что это пароль. По поводу шифрования , сейчас вон пока что, AES 256 широко используется , но это всё до поры до времени..  Вон уже если хэши ломают с использованием тех же радужных таблиц и прочего.. Плюс сайты ... Да и не стоит забывать что любая техника, может ломаться и прочие факторы риска итд..  
Да и забыл добавить , что от самого пароля тоже много зависит ..
Вообщем как то так ...  
Добавлено:

Цитата:
только если вы САМИ ЛИЧНО скомпилировали алгоритм шифрования из исходников.

И что толку , найдут уязвимость и всё .. можно сказать можно выкинуть то , что когда было хорошим.

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 23:57 20-02-2021 | Исправлено: MihailM, 00:36 21-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MihailM

Цитата:
А сами файлики обзывать как то так,  чтоб не было наводки на то что это пароль.

Кстати, да, точно!

Цитата:
Да и не стоит забывать что любая техника, может ломаться

Это да.

----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 01:02 21-02-2021
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Это имхо как бы тоже оставление своих следов. А свои следы они всегда о чём-то говорят имхо. Или я не прав?  

Ну это зависит от того, какой важности данные вы храните и кто вы сам, и кто и на что может пойти, чтобы попытаться их достать. В случае если это просто личная частная инфа - да возможно делать "обманки" и не нужно. Но вот если вы храните инфу, которая важна и затрагивает в том числе других людей, например коммерческую и не только - обманки создаются для того, чтобы в случае если вплоть до того, что к вам придут с "физическими" требованиями и угрозами выдать инфу - вы могли указать на обманку, выдать от неё пароль. Злоумышленники увидят что да, вот шифрованное хранилище, к нему подходит пароль, который вы дали, но вот инфа, хранящаяся в нём - (частично или полностью) не настоящая. И далее уже включается "режим дурака": "ну я не знаю, ребяты, вот всё, что есть, я же дал вам пароль, ну сами видите ".  
Если вы не являетесь крупным бизнесменом или шпионом - вам такое по идее не нужно, но вы спрашивали в широком смысле, я просто и напомнил, что есть и ТАКОЙ способ Надеюсь понятно объяснил? Могу кинуть ссылку. И некоторые проги штатно предлагают создание второго "скрытого" криптоконтейнера внутри первого и т. п.  
Да, добавлю ещё про следующий момент - никогда не надо верить официальным структурам (особенно в единственном числе), если они говорят, что какое-то шифрование или прога стали вдруг "небезопасными" и они предлагают воспользоваться другим шифрованием. Надо всегда проводить свои тесты и изыскания. Имеется недавний пример. Про TrueCrypt слышали, что оказывается шифровать с помощью него "НЕБЕЗОПАСНО" и Microsoft предлагали среди прочего перейти на что? Насколько я помню - на встроенный в винду (конечно же в 10-ку) BitLocker. Мне как, надо объяснять, что это может быть элементарная попытка воспрепятствовать использовать ДЕЙСТВИТЕЛЬНО надёжный инструмент?
https://www.opennet.ru/openforum/vsluhforumID3/96063.html

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 14:48 21-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
 какой важности данные вы храните  

ну да , это тоже имеет значение ..
Цитата:
которая важна и затрагивает в том числе других людей, например коммерческую и не только

Это тоже .

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 19:55 21-02-2021
Xant1k



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KeePassXC лучший софт для хранения паролей на данный момент.

Всего записей: 2918 | Зарегистр. 20-02-2009 | Отправлено: 22:50 21-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
обманки создаются для того, чтобы в случае если вплоть до того, что к вам придут с "физическими" требованиями и угрозами выдать инфу - вы могли указать на обманку, выдать от неё пароль. Злоумышленники увидят что да, вот шифрованное хранилище, к нему подходит пароль, который вы дали, но вот инфа, хранящаяся в нём - (частично или полностью) не настоящая. И далее уже включается "режим дурака": "ну я не знаю, ребяты, вот всё, что есть, я же дал вам пароль, ну сами видите ".  

Понятно!

Цитата:
Мне как, надо объяснять, что это может быть элементарная попытка воспрепятствовать использовать ДЕЙСТВИТЕЛЬНО надёжный инструмент?

Вот оно что. Спасибо за подсказку!

Цитата:
И некоторые проги штатно предлагают создание второго "скрытого" криптоконтейнера внутри первого и т. п.  

У меня тоже была такая мысль. А именно про создание скрытого контейнера в файле изображения например. Ну есть такие проги, которые создают скрытый контейнер в файле изображения и когда ты смотришь на файл, то, если размер вменяемый для картинки, то внешне не отличить от изображения, открывается просмотрщиком изображений, показывает изображение, но другой прогой можно ещё и посмотреть скрытый контейнер и по паролю расшифровать его кажется. Не пользовался такими прогами. Это MihailM навёл меня на мысль своей этой фразой:

Цитата:
А сами файлики обзывать как то так,  чтоб не было наводки на то что это пароль.

А Вы как думаете, это надёжно так хранить, в смысле не будет сбоев со стороны программы, да и вообще, надёжно ли? Скрыть какой-нибудь контейнер с паролями в изображении. Мне кажется, будет ненадёжно, когда-нибудь откроешь этот файл с картинкой, а там пароли-то и не откроются.


----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 00:01 22-02-2021 | Исправлено: Rako1, 00:05 22-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Rako1

Цитата:
 которые создают скрытый контейнер в файле изображения

Это называется - стенографией , ищите в этом направлении. Но сразу скажу есть один минус , со стороны если вы будете их хранить в облаке. Вроде на Гугль,там файлы многие подвергаются вторичной обработке/конвертировании.Могу ошибаться , но где то такое вроде есть.  
Добавка:
Цитата:
Это называется - стенографией , ищите в этом направлении.

Да кстати видел программу, которая "вшивает" свой шифротекст в МР3 , название не помню. Вроде даже бесплатная была.  
А так , можно просто "слепить" 2 файла , скажем какой нить ехе-шник+текст, типа: "copy  ехе+тхт result" , на выходе 1 файл с добавкой .. Есть минус , шифротекст будет открыт как на ладони.  

Цитата:
не будет сбоев со стороны программы, да и вообще, надёжно ли?
По поводу сбоев - тоже может, смотря какая инфа по размеру .
 
 
В каждой программе - есть свой алгоритм+так называемый заголовок , где хранится вся инфа о файле или может хранится . Вот его если откроют - то толку. Хотя некоторые опенсоурс программы это не скрывают. Так что здесь выбор за вами.  Самый лучший алгоритм это в вашей голове или программе %))
Цитата:
Это MihailM навёл меня на мысль
Но все равно так открыто не стоит хранить .. Лучше зашифровать , тем же AES256 в режиме CBC, хотя бы так .
Xant1k

Цитата:
KeePassXC  
Посмотрел , ну что там применили новый алгоритм хеша Argon2d, дальше его не копал.Будем смотреть.

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 00:29 22-02-2021 | Исправлено: MihailM, 12:22 22-02-2021
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Rako1

Цитата:
А именно про создание скрытого контейнера в файле изображения например.

Ну это как один из частных случаев, да. Я изначально в голове держал тот же TrueCrypt. У него там хитрее, он либо создаёт скрытое шифрованное хранилище внутри основного в виде отдельного файла, либо вовсе внутри даже нет видимых файлов, а какое хранилище будет открыто, зависит вовсе от того, какой пароль введёшь, основной или дополнительный. Детали не помню, почитайте справку...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 16:04 22-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё пара вопросов:
 
Как чаще всего взламывают пароли от сайтов?
 
Где надёжнее хранить пароли, в зашифрованной базе KeePass или в запароленном архиве WinRAR с шифрованием имён файлов?

----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 02:17 23-02-2021
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
пароли от сайтов?

Я не спец по кибер-безопасности, но вроде бы как говорит статистика, чаще всего - СОЦИАЛЬНОЙ ИНЖЕНЕРИЕЙ То есть шлют тебе на почту поддельное письмо, мол зайдите, поменяйте пароль, и подсунут ссылку на фиктивную страницу Это и взломом не назовёшь,  а так - "развод". А вот именно взлом, так чтобы атаковать сайт какой-то, пытаться вытянуть с него пароли, базу пользователей - это заметно РЕЖЕ, хотя и тоже бывает...

Цитата:
Где надёжнее  

Интуитивно я бы выбрал второе, но это я ...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 04:12 23-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2

Цитата:
Интуитивно я бы выбрал второе

Вот и мне так кажется.

----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 04:40 23-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MihailM

Цитата:
 в смысле не будет сбоев со стороны программы


Цитата:
KeePass  

По поводу надежности и прочего - вот как раз через эту прогу я и потерял при сохранении свою базу . Комп. слабый оказался для него .
igor me v2

Цитата:
взлом, так чтобы атаковать сайт какой-то

Сейчас вроде этот способ утих , раньше да - было такое .. Потом где нить видишь слитую базу сайта какого нибудь %))
Да и один сайт , где хеши паролей , наверняка так и собрал свою базу..
 
По поводу фишинга - здесь надо иметь "голову на плечах" .. А не рваться выполнить действие мошенников. Посмотреть откуда пришло , ссылку , если короткая и известный сервис то есть способы как получить "нормальную ссылку".  
Хотя сам не
Цитата:
не спец по кибер-безопасности

Но стараюсь держатся этих правил ....

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 10:10 23-02-2021
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
По поводу надежности и прочего - вот как раз через эту прогу я и потерял при сохранении свою базу . Комп. слабый оказался для него  

Для кого? Для проги???? Это шош там за системные требования и шош там за комп был, 486-й? У таких прог вообще "не должно быть" системных требований, они хоть на Пеньке I-м должны пахать. А если на деле обратное - говнокод детектед. Прям интересно стало, что там за монстр...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 17:47 23-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igor me v2, а я там вроде итерацию выставил слишком большую вроде , что вот так и получил .. А может и с местом на харде было что - не хватило. Плюс на ХР дело было .. вообщем как то так получилось . Хорошо что копия была ..Хотя у меня как бы и так есть копии.На тот момент просто испытывал прогу + ... А так это так давно , что уже и не вспомнишь , как так получилось %))
 
Решил здесь создать опрос :  http://forum.ru-board.com/topic.cgi?forum=2&bm=1&topic=5845&glp#lt  
Ну и так же возможность обсудить, те или иные связанные вопросы по теме..

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 18:00 23-02-2021 | Исправлено: MihailM, 15:15 24-02-2021
VSHY

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пароли ненужно нигде хранить. В голове хранится лишь алгоритм его формирования. К примеру у меня их всего два: для интернет-сайтов и для работы, где политиками требуется частая смена пароля.
 
Расскажу, тот алгоритм, который мне рассказали лет 15 назад, а то и больше.
1. Берётся 1-я буква от сайта (ru-board), т.е. "r".
2. Берутся поменянные местами последние 2 цифры вашего года рождения (например 1982), т.е. "28".
3. Берётся какой-то статический текст, с которым вы привыкли себя ассоциировать (логин - символов 5-6 с большими и маленькими буквами), т.е. для фамилии Х..ков Сидор П....ович это будет что-то типа "XyzSP".
4. Берётся дальше цифры от фонаря, хоть первые 2 цифры от года рождения, хоть количество прожитых лет своего любимого писателя, например "95". Чем с большей цифры будет начинаться, тем лучше, т.к. алгоритмы расшифровки всегда начинаются с 0 и идут по возрастанию, - есть вероятность, что если раскодирование вашего пароля превысит определённое время, то вашу учётку просто оставят в покое и перейдут к следующей.
5.  Берётся последняя буква от сайта, т.е. "d".
В итоге получаем пароль: r28XyzSPd.
Причём:
1. Он уникален для каждого сайта.
2. Есть статическая часть, которая уже вбита в подкорку, и постоянно вбивается туда ещё глубже, т.к. ты постоянно, по сути, везде вводишь один и тот же пароль.
3. В нём на вид нет никакой логики для программ-дешифровщиков.
4. Нет необходимости в каких бы то ни было программах-хранителях паролей.
 
Естественно у меня этот алгоритм другой. Но за эти, более чем, 15 лет ни один мой пароль не взломали.
 
На работе алгоритм другой. Там требуется периодическая смена пароля.
Т.е. дополнительно участвуют такие параметры, как:
- "зашифрованный" по определённому принципу идентификатор текущего года;
- "зашифрованный" по определённому принципу номер пароля по порядку, начиная с единицы; при следующей смене пароля - 2 и т.д.;
- какой-нибудь один и тот же спецсимвол.
В итоге при каждой смене пароля меняется идентификатор месяца и реже года.

Всего записей: 1090 | Зарегистр. 19-05-2008 | Отправлено: 16:59 26-02-2021 | Исправлено: VSHY, 17:01 26-02-2021
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тоже вариант ... не хуже, но и не лучше... просто другой...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 01:15 27-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VSHY

Цитата:
2. Есть статическая часть

Вот именно. И у меня так было. Пока эта статическая часть не пришла мне на почту от кого-то. Ради справедливости, стоит заметить, однако, что статическая часть, которая мне пришла, у меня была использована в том числе как отдельный пароль на каком-то сайте, а не только как часть другого пароля. В связи с этим письмом, которое мне пришло я попеременял пароли себе почти на всех сайтах.
 
У меня была похожая система, только проще. У меня была статическая часть и дополнение в виде названия сайта в каком-нибудь виде (не скажу в каком, потому что ещё где-то могли остаться эти пароли, хотя на всех важных сайтах я поменял). Запомнить все эти дополнения я не мог, потому что дополнение каждый раз разное, т.е. не было системы. Не знаю, может это психологический фактор, но я всё-таки не стал придумывать себе такую систему, потому что если её разгадают, скажем взломав один или два твоих пароля, то разгадают и все остальные.
 
Т.е. получается, что  
r28XyzSPd
Т.е. получается у нас только последняя и начальная буквы отличаются что-ли? Имхо это мало.

Цитата:
Нет необходимости в каких бы то ни было программах-хранителях паролей

Это безусловно плюс! Возьму на заметку, спасибо!
 


----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 03:42 27-02-2021 | Исправлено: Rako1, 03:45 27-02-2021
MihailM



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VSHY,igor me v2,Rako1
Это тоже хорошая идея, но на это должен быть хороший "склад ума" и память хорошая..  
Вопрос : А как быть с запоминанием паролей - скажем в на тех сайтах или еще где либо , где пароли тебе как бы "выдают" готовый.
И ты его еще хрен поменяешь , как быть в этом случае ?
К примеру на том же блокчэйн , где еще и фразу запомнить нужно, кстати и форум какой то видел с похожей фишкой.

Всего записей: 2498 | Зарегистр. 19-10-2003 | Отправлено: 12:25 27-02-2021
Rako1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MihailM

Цитата:
и память хорошая..  

Это да)

Цитата:
Вопрос : А как быть с запоминанием паролей - скажем в на тех сайтах или еще где либо , где пароли тебе как бы "выдают" готовый.
И ты его еще хрен поменяешь  

Мне такие, кстати, не встречались.
 
2all
Собственно, зачем я написал это сообщение. Возникла необходимость поменять пароли. И т.к. я не менял свои методы создания и хранения паролей уже лет 10-20, то решил сделать всё как надо. В прошлый же раз сделано было неплохо, но не идеально, потому как опыта соответственно было меньше. Начал искать информацию на эту тему. А находишь кусочки информации, читаешь и ты такой "О, круто!". Давай я так сделаю. Смотришь, а можно вот так вот, т.е. скажем пароли могут быть случайными. Давай-ка и я так сделаю. Потом, смотришь, "О, пароли могут быть длинными!". Давай-ка и я так сделаю. Потом смотришь, а пароли могут быть там ещё какими-то. Давай-ка и я так сделаю. Потом смотришь, там что-нибудь ещё. Давай-ка и я так сделаю. Вот я и решил сразу сделать конечный вариант из всех возможных, т.е. самые длинные пароли, самые случайные. Ну, чтоб не проходить вот эти вот все шажки, а сразу все шаги шагнуть одним шагом. А то пришло письмо на почту, а там один из моих паролей полностью указан. Т.е. я решил, зачем мучиться, ждать, лучше сразу сделать конечный вариант и всё.
 
Ещё вопросы остались.
 
Существует ли программа, которая показывает, считает вероятность взлома конкретного пароля абсолютно точно? Добавление буквы должно давать большее время для взлома паролей, чем добавление цифры. Смена строчной буквы на заглавную должна давать немного по-моему. Т.е. считала бы точно время в минутах, секундах, днях, годах, часах и т.д. Т.е. чтобы показывала время как "1 год, 1 месяц, 5 дней, 6 часов, 56 минут, 11 секунд".
 
Есть ли, где почитать всё это, про брутфорс, про минимальную длину пароля, про то, какие там должны быть буквы-цифры и должны ли быть (более подробно, с выкладками что-ли), какие должны быть там заглавные буквы, вот это всё. А то нахожу в Интернете лишь заметки про это, но без выкладок.
 
Где надёжнее хранить пароли на Android, в браузере Opera или в KeePass, в приложении? Если в KeePass, то в какой версии, ведь, как я понял, нет официальной версии KeePass для Android, есть только форки. Вот кто разбирается во взламывании смартфонов, Opera там предоставляет защиту этих паролей, они там зашифрованы или нет?

----------
Интересные видео, рекомендую.

Всего записей: 890 | Зарегистр. 17-12-2007 | Отправлено: 00:59 01-03-2021 | Исправлено: Rako1, 07:56 01-03-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Где и как хранить пароли?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru