Сломали Google account

[liamkin]

KeePassX - готовый офлайн менеджер.

А чем Lastpass хуже?

Lastpass недавно взломали и все пароли утекли. Нужен оффлайновый менеджер. Чтобы он был доступен только вам. Даже зашифрованный архив, но в онлайне, могут взломать. У хакеров времени много, они терпеливые...

[liamkin]

Пароли должны быть уникальные, длинные, но легко запоминаемые для каждого сайта.

почему паролИ? Мы же говорим про один Master Password. Так?

Да. В случае парольного менеджера нужен один пароль. Но тогда уж подлиннее и незабываемый. Ineffable, как сказали бы в Гуд Оменс.

[liamkin]

Пароли должны быть уникальные, длинные, но легко запоминаемые для каждого сайта.

Месте теоретик, либо уникум с абсолютной памятью. Я давно выяснил что кол-во паролей больше трех запоминать не способен, даже если они "легко запоминаемые". Garbage collector в моей голове работает 24/7 и на компромиссы не идёт.

Да. Это трудно. На помощь придет парольный менеджер. Оффлайновый.

[kyk]

KeePass + Dropbox юзаю.

KeePassX - готовый офлайн менеджер.

KeePassX started as a Linux port of KeePass, which was at that time an open-source but Windows-only password manager. Both are now cross platform, with KeePassX using Qt libraries and recent versions of KeePass using .NET / Mono

Получается, что KeePass и KeePassX - почти одно и тоже. Что лучше выбрать если пользовать на Windows PC и, возможно, Android? Но точно не Linux и точно не Mac

[liamkin]

KeePass + Dropbox юзаю.

KeePassX - готовый офлайн менеджер.

KeePassX started as a Linux port of KeePass, which was at that time an open-source but Windows-only password manager. Both are now cross platform, with KeePassX using Qt libraries and recent versions of KeePass using .NET / Mono

Получается, что KeePass и KeePassX - почти одно и тоже. Что лучше выбрать если пользовать на Windows PC и, возможно, Android? Но точно не Linux и точно не Mac

Под Андроид ничто из них не работает. Под Винды КипасХ видел. Работает. Можно оба пробовать - бесплатно же.

[kyk]

Под Винды КипасХ видел.

Вы на Линуксe?

[Flash-04]

KeePassX - готовый офлайн менеджер.

А чем Lastpass хуже?

Lastpass недавно взломали и все пароли утекли. Нужен оффлайновый менеджер. Чтобы он был доступен только вам. Даже зашифрованный архив, но в онлайне, могут взломать. У хакеров времени много, они терпеливые...

Слышал звон (с) изучите основы криптографии для начала, а то мне с вами неинтересно будет разговаривать.

[kyk]

пароль достаточно длинный.

поделись идеями как такой пароль выбирать. Фамилию первой любви или военрука в школе, 33 страница, 3 абзац истории КПСС и т.п?

[Flash-04]

Принцип простой: пару слов и цифр которые нельзя выставить из памяти, но невозможно подобрать. Соединять спецсимволами, что ставит крест на dictionary attack.

[kyk]

Принцип простой: пару слов и цифр которые нельзя выставить из памяти, но невозможно подобрать. Соединять спецсимволами, что ставит крест на dictionary attack.

Так ведь потом можно ведь забыть спецсимволы или размер буквы. Получится как "лошадинная фамилия" - вроде как примерно помнишь, но не абсолютно точно .

Лет 15 назад я делал фотки вроде диминых, но без удушения и прочих извращений. Затем RAR-архив запоролил типа пароля как ты сказал. Через пол-года не смог разархивировать. Вроде пароль помнил - но не подходит. Так и пропали фотки

[Flash-04]

Сочувствую. Ежели не полагаешься на память, запиши на бумажку и положи в сейф. Lastpass ещё всякие recovery предлагает вроде отпечатка пальца на смартофоне.

Кароче: в security community нет единого фронта против lastpass (сам понимаешь, злюк хватает при этом), так что делай выводы.

[kyk]

KeePass + Dropbox юзаю.

KeePassX - готовый офлайн менеджер.

Заведи себе Lastpass с Yubikey

Объясните на пальТцах (или дайте ссылку для танкистов), как Password manager решает задачи. При каждом обращении надо вводить Master Password?

Сценарий-1: мой собственный комп (домашний десктоп или лаптоп, с которым путешествую).
Сценарий-2: комп на работе
Сценарий-3: чужой или общественный комп, типа в библиотеке.
Сценарий-4 Мой Android

[sss1]

Простейший способ иметь сложный мастер-пароль и не прятать ключ от него.
Для примера предлагаю упрощеный вариант:

1.
Берете любую любимую песню или стих, которые вы знаете наизусть или легко можете найти в интернете.
Например:

В лесу родилась елочка,
В лесу она росла,
Зимой и летом стройная,
Зеленая была.

Метель ей пела песенку
"Спи елочка, бай-бай."
Мороз снежком укутывал:
«Смотри, не замерзай!»

Трусишка зайка серенький
Под ёлочкой скакал.
Порою волк, сердитый волк,
Рысцою пробегал.


2.
Находите в интернете номер телефона любого учреждения. Обязательно наличие цифры 1 (один) в любом месте.
Например: 9124591208 [912-459-1208 (Бургер Кинг)]

3.
Система/алгоритм шифрования пароля:
а) порядковый номер цифры номера - это нoмер строки (всегда берем первую букву в строке, или вторую, или последнюю)
б) Цифра 1 (или 2, или ...) всегда означает заглавную букву
в) Нечетная (или четная) цифра - специальный знак на той же клавиатуре

С указанной песней пароль получится (если брать по первым буквам):

9 В лесу родилась елочка,
1 В лесу она росла,
2 Зимой и летом стройная,
4 Зеленая была.

5 Метель ей пела песенку
9 "Спи елочка, бай-бай."
1 Мороз снежком укутывал:
2 «Смотри, не замерзай!»

0 Трусишка зайка серенький
8 Под ёлочкой скакал.

Шифруем и получаем:

9 --> в
1 --> В
2 --> @
4 --> $
5 --> м
9 --> с
1 --> М
2 --> @
0 --> )
8 --> *

пароль: вВ@$мсМ@)* скрыт под телефонным номером 912-459-1208
У меня в телефоне 167 контактных номеров. Кто посторонний может сказать какой из номеров является ключом пароля (а есть еще и "второй" ключ - песня или стихотворение, которые вообще нигде не указаны)

3.
Хотите изменить пароль? - Заменяете на другой номер телефона взятый из Гугл.

------------------------------------------------------

Считаете вариант с песней очень сложным? - Выдумайте любое имя подлиннее, например: Гульнара Насреддинова.

Контакт в телефоне:
Gulnara Nasreddinova 912-459-1208 (Даже если кто-то для проверки и позвонит - в Бургер Кинге ответят "Такой нет" (могла давно уволиться))

Шифруем пароль аналогично

------------------------------------------------------

Пароль к банковскому счету?

Варианты:
- номер телефона банка
- номер кредитки
- sin/cos/tg/натуральный логарифм от номера кредитки (берем из результата например цифры с 7 по счету по 16 включительно).

Логарифм/sin/cos/tg считаем на телефонном калькуляторе или на интернете.

Дальше по алгоритму

------------------------------------------------------

[kyk]

Простейший способ иметь сложный мастер-пароль и не прятать ключ от него.

Спасибо. C Master Password и ключём понятно.

Теперь надо разобраться - какую функциональность добавляет password manager app

[Flash-04]

На чужих компах я бы никогда не пользовал. Кейлогеры, все такое. Но наличие 2FA помогает. На Андроиде нужно ввводить master key, но потом на время позволяет использовать fingerprint. Yubikey у меня периодически просит, можно ставить галочку "make trusted for 30 days".