Какой метод хранения паролей предпочитаете вы и почему?
Аноним (Microsoft Windows 7: Chromium based)
29/07/22 Птн 08:31:57
№
1
Подходов может быть много, но я бы разделил их на три основных:
1) Анальный - с хранением всего что когда-либо было вами создано.
2) Похуистический - с отказом от хранения всякой хрени, в надежде в нужный момент восстановить пароль через емейл/СМС подтверждение.
3) Комбинированный метод - компромисное хранение важных паролей и отказа от накопления мусорных паролей, которые давно не использовал.
Все методы имеют право на существование, обладая как преимуществами так и недостатками и если с похуистическим методом все понятно из определения, то анальный и комбинированный при тщательном изучении открывают бездны разнообразных вариантов: онлайн сервисы паролей, хранение в браузере (акке гугл, ффокс, яд и т.д.), keepass, бумажный носитель и т.д. (больше варианты не могу вспомнить).
Как вы справляетесь с хранением этой ебельди для быстрого извлечения и храните ли вообще?
чем он отличается от обычного keepass. Я размышлял о переходе на кипасс и наткнулся на три ботлнека: 1) как запомнить пароль от базы и не проебать его. там ведь огромный пароль нужен на 20 символов иначе сбрутят 2)как пользоваться базой с 3-4 устройств (смарт, таблет, лаптоп, рабочий десктоп) 3) как настроить бэкап.
>1) как запомнить пароль от базы и не проебать его. там ведь огромный пароль нужен на 20 символов иначе сбрутят
запомнить его
>2)как пользоваться базой с 3-4 устройств (смарт, таблет, лаптоп, рабочий десктоп)
Ты издеваешься? На сайте список под любые платформы:
KeePassDroid (for Android)
KeePass2Android (for Android)
KeePassDX (for Android)
KeepShare (for Android)
JKeePass (for Android)
KeePassium (for iPhone / iPad)
Strongbox (for iPhone / iPad / MacOS)
SyncPass (for iPhone / iPad)
Passwordix (for iPhone / iPad)
iKeePass (for iPhone / iPad)
PassDrop 2 (for iPhone / iPad) 1.x Yes
KyPass (for iPhone / iPad)
KyPass Companion (for MacOS)
MacPass (for MacOS)
WinPass (for Windows 8 Mobile and higher)
ModernKeePass (for Windows 8 Tablet and higher)
KeePassPPC & KeePassSD (for PocketPC / Smart Devices)
Tusk (for Chrome, especially Chromebook)
KPD (for BlackBerry 10 / PlayBook)
KeePassB (for BlackBerry 10)
KeePassBB (for BlackBerry)
KeePassMobile (for J2ME / mobile phones)
KeePassJ2ME (for J2ME / mobile phones)
OwnKeePass (for Sailfish OS)
KeeWeb (for web browsers, also offline) 2.x Yes
Kee Vault (for web browsers) 2.x Yes
KeePass4Web (for web servers, serving to front-ends)
Export to Keyring (for Palm OS)
KPCLI (command line interface, see also KPScript)
>3) как настроить бэкап.
я делаю через гугл драйв.
это понятно, но как синхронизировать базу между устройствами? через онлайн диск дропбокс, гуглдрайв и т.д.?
>это понятно, но как синхронизировать базу между устройствами? через онлайн диск дропбокс, гуглдрайв и т.д.?
del
ясно. можно через гугл драйв какой-нибудь синхронизировать и база будет обновляться.
> как запомнить пароль от базы и не проебать его. там ведь огромный пароль нужен на 20 символов иначе сбрутят
20 символов это не так уж и много, составь из рандомных слов и пару цифр добавь, запомнится легко. А против брута уже давно есть защита, в KeePass это Argon2.
https://en.wikipedia.org/wiki/Argon2
Грубо говоря ты увеличиваешь время проверки пароля, то есть брутфорс будет очень сильно замедлен, буквально до одной попытки в секунду.
Размышляя над организацией комфортного пользования я подумывал создать что-то типа кейфайла на токене. Но меня настораживает, что я не смогу восстановить кейфайл в случае его утери. Тогда попрощаться с базой.
Не то чтобы меня беспокоила потеря лично моей базы. Там все пароли малозначительная шелупонь. Меня интересует сама методология. Я вертел эту идею пытаясь найти грааль идеальной организации хранения паролей в которой предусмотрены все случайности. Например пропал кейфайл - как мне его сделать восстанавливаемым по памяти (не решил как это сделать).
Или забыл пароль как организовать бум.носитель. Что если я окажусь за границей, забуду пароль, а бум носителя нет (тоже ничего не придумал). Или как находясь за границей раздобыть базу если проебал смартфон и другие устройства на которых был бэкап, ведь если база на гуглдрайв, то нужен пароль от него а он в базе.
>токен
смысл токен, чтобы не запоминать ебейшие пароли а сделать простой пароль с одновременным подтверждением с флешки кейфайлом. Удобно, но есть специфические ограничения.
короче я вдруг осознал насколько современный человек уязвим, если лишится симки за границей.
>>3182446
>>3182444
> что-то типа кейфайла на токене
А смысл, просто придумай хороший пароль и всё, никто не будет брутфорсить твою базу, пароль не обязательно должен быть ебейшим, придумай и заучи какой-нибудь стишок из рандомных слов, вот тебе и пароль.
> ведь если база на гуглдрайв, то нужен пароль от него а он в базе.
В чём смысл такого бэкапа, если ты не сможешь получить к нему доступ потеряв оригинал. Просто запомни пароль от облака.
> двойной идентификации на сервисах через смс
Это хуита, а не 2FA. Нормальная двухфакторная аутентификация работает через TOTP, а не через смс. То есть сайт/сервис где ты включаешь 2FA выдаёт тебе большой пароль, а ты этот пароль вставляешь в любой генератор TOTP кодов, и после этого генерируешь эти коды. Следовательно можно просто забэкапить этот большой пароль и восстановить если потребуется.
Вот ещё интересные сервисы.
https://spectre.app/
https://www.lesspass.com/
Так сказать менеджеры паролей, но без нужды хранить саму базу паролей.
>А смысл
Типа носить флешку в кошельке, на базе поставить дополнительный фактор - защита кейфайлом. При этом пароль можно поставить простенький !9856% например. Меньше времени придется тратить на вбив пароля по 10 раз в день. Без файла все равно не открыть. Я исследовал возможность воссоздания кейфайла по инструкции в случае проеба флешки. Например файл Txt в koi-8 с текстом zalupa c название key.txt. Но воссозданный файл кипасс не съедает - видимо он не идентичен оригиналу.
в этом случае помня свойства кейфайла можно было бы и даже по памяти его восстановить даже потеряв все вещи за границей.
>Нормальная двухфакторная аутентификация работает через TOTP
Спасибо, анончик. Не обращал внимание на эту фичу в том же гугл акке. Это поможет людям отвязаться от симки.
>>3182462
> Например файл Txt в koi-8 с текстом zalupa c название key.txt.
От такого кейфайла безопасности не прибавится.
> Но воссозданный файл кипасс не съедает - видимо он не идентичен оригиналу.
Попробовал в KeePassXC и всё норм открывается.
Ну если уж ты хочешь кейфайл, то можно сделать так.
Использовать какую-нибудь картинку с бур.
Вот к примеру 4 картинки, с 4 сайтов.
https://danbooru.donmai.us/posts/623504
https://gelbooru.com/index.php?page=post&s=view&id=720545
https://safebooru.org/index.php?page=post&s=view&id=63099
https://e-shuushuu.net/image/250070/
Все 4 картинки идентичны и принимаются в KeePass как один кейфайл.
>От такого кейфайла безопасности не прибавится.
Но это уже изъебы комфорта а не ради увеличения безопасности. Надоедает 20 значный пароль набивать по 6 раз в день. Разделить вход на две отдельные части, как я и описал: чтобы сократить мастер-пароль до минимума.
Ты имеешь ввиду, что этот кейфайл могут сбрутить легко?
Ну тогда думаю нормально будет.
Только проблема может быть в том что ты можешь забыть содержимое твоего кейфайла, пароль то ты будешь вводить каждый раз и навряд ли забудешь, а вот что у тебя в кейфайле записано можно и подзабыть.
Брутить никто не будет, главное не забудь настроить Argon2 когда будешь создавать базу. Это я так, сказал не подумав, просто привык что кейфайл это обычно рандом сгенерированный, а не что-то осмысленное небольшое.
1
2
* 3
# 1
# 2
# 3
https://defaultwiki1.librewiki.ru/#
чому бы не хранить всю текстовую информацию (пароли в том числе) в одной особой хтмл страничке? все решения выше надо устанавливать, они не всегда кроссплатформены, либо вообще могут тоьлко в сети работать на чужих серверах.
''в чем примущества либравики? ''
открытый код, швабодка, невозможность ето контролировать и отобрать у вас.
один файл не требующий установки.
можна работать с ним как по сети с помощью сайтав вроде [[librewiki|https://librewiki.ru/]] [[tiddlyhost|https://tiddlyhost.com/]], так и работать локально без инета.
работает везде где есть браузер. андройд линух окна айос ей пофигу.
* огромнейшие ширачайшие возможности по допилу кастомизация, куча плагинов и людей которые каждый день чт-онить новое делают. никакой вшивый праприетарный ноушин не даст такой гибкости. ета хтмл страничка - браузерный ексель в мире раобты с текстовой информацией.
''пачиму токо щас начинает добиратбся до людей''
как вы могли бы заметить ей уже много лет и по какой-то причине она не особо-то популярна. причины есть и они весомые: создатель етой штуки - линух, типичный их представитель. видима качества которые позволяют создават свои ос, техналогии изобретать сложные, делать штуки вроде тиддливики находятся где-то в противположное стороне от тех качеств каторые позволяют ето все привести в нужный для миллионав вид и распространять среди нхи. ето типичная болезнь линуха.
в последний год ситуация начала по-немногу выправляться, тидливики все еще не сильно дружественна к абывателю, но паявилось [[сообщество|https://talk.tiddlywiki.org/]] где регулярна что-нибудь выкладывают интересное, плогины всякие изобретают и в целом делятся хитрастями.
''что канкретна нада сделать чтоб начать работать с ней: ''
''локальна у ся на кампе; ''
# если берете чью-то вики с сайта типа librewiki tiddlyhost то нада зайти в <<? настройки "справка сверху кнопка с шестеренкой">> перейти во вкладку Saving далее в Tiddlyhspot Saver и очистить там поле Server URL
# далее на той же панели где значок настроек жмете на красную кнопку с галочкой и вики схроняится
# теперь надо сделать чтоб ваши изменения в вкики сохранялись. нужно поставить дополнение для хрома которое буит автомотически перезаписывать ваш файл при сохранении если они одинаковые имена имеют. [[Downloads Overwrite Already Existing Files|https://chrome.google.com/webstore/detail/downloads-overwrite-alrea/lddjgfpjnifpeondafidennlcfagekbp]] важна файл с вики поместить в вашу стандартную папку загрузок.
# гатова. терь каждый раз при нажатии на ту красную кнопку с галкой она будет перезаписывать файл. также есть автосейвер который по заданному интервалу буит сам схронять вашу вики. переодически имеет смысл делать бэкапы. сбоку вкладка Всячина, там на значок скачать жмите и оно в отдельный файл сохранит, можна комментарий к вики указать.
''что делать если хачу на сайте чтоб была: ''
# схраняете вики как в пунктах выше, регестрируете на librewiki.
# создаете пустую вики, загружаити туда вашу.
# заходите в вики, заходите в настройки Saving - TiddlyspotSaver и в поля Wiki Name и Password любую ерунду прописываете. ето нужно сделать 1 раз при создании новой вики, патом само будет.
# все, жмете на красную кнопку и оно схраняется. также и автосейвер буит схронять на сайт.
вики может быть публичной доступной всем или приватной, ето в настройках сайта можна указать.
если не хотите чтоб админ сайта рылся в вашей вики то заходите сбоку в Tools и ищите там кнопку set password. шифрует оно более менее надежно наскоко я понимаю, aes128 вроди там. [[подпробней|https://tiddlywiki.com/static/Encryption.html]] и на форуме были обусждения. шифрует и расшифровывает оно локально т. е. кагда файл у вас загружен, мамент ввода пороля незя перехватить. но прям слишком личные вещи я бы конешно локально хронил и никуда не лил.
https://defaultwiki1.librewiki.ru/ пустая вики которую щас под ся допиливаю потихоньку.
она еще не доделана и не особо под хранение паролей заточена, можна заморичтся и что-нить специализированое зделать.
>Какой метод хранения паролей предпочитаете вы
Нужные пароли помню наизусть, пароли для говна пишу в блокнотик
>и почему?
Не доверяю другим методам
>Нужные пароли помню наизусть
Затерлись, спутались в памяти?
>в блокнотик
"где этот ебучий блокнотик блять, был же здесь вчера. хан, блокнотик не видел(а)? в смысле выкинула?.."
>чому бы не хранить всю текстовую информацию (пароли в том числе) в одной особой хтмл страничке?
Она на хостинге лежит или локально? Если локально, то чем это лучше кипасса?
>все решения выше надо устанавливать, они не всегда кроссплатформены
кипас на любой утюг можно поставить
Идея какая-то слишком молодежная и передовая для меня.
>Нужные пароли помню наизусть
Удивляет такая самоуверенность. Тут либо один-три пароля на все, либо мнемонические правила исходя из названия сервиса-сайта, либо комбинация двух методов. Ненадежно звучит.
"блять, БЛЯТЬ, БЛЯТЬ, какого ХУЯ. это ТОТ ПАРОЛЬ, ПОЧЕМУ БЛЯТЬ НЕ ПОДХОДИТ!!!111"
Я даже думал собрать сертификат для двойной по тому же
>key.txt с текстом zalupa
принципу. Простенький какой нибудь. Тогда его можно закинуть в сертификат-вольт винды и андроида и он будет автоматом подтягиваться. Скопировать его естественно я всегда думаю что меня давно хакнули и фиксируют каждый день на что я дрочу на порнолабе будет не так просто как txt файл, а комфорт и скорость обращения к базе еще более возрастает.
А мануал для реанимации этого сертификата распечатать на бумаге и положить в нескольких местах, чтобы разом не проебать.
Как вариант логины также можно указывать онлайн лишь частично.
>Она на хостинге лежит или локально? Если локально, то чем это лучше кипасса?
как тебе захочется. можно на хостинге, можно локально.
>кипас на любой утюг можно поставить
его нужно ставить, че-то возится с файлами какими-то, а тут не нужно ниче ставить. открыл и везде работает. да и кипас только паролями ограничен, а ето для всего что хочешь и ожешь на лету меня как тебе захочется все ето дело, подстаивать под другие нужды.
>Идея какая-то слишком молодежная и передовая для меня.
оно для всего подряд и слепить из нее можно что угодно. планирую лурку на нее перенести всю щито бы в одном файле все была.
Я и не утверждал что оригинал. Но меня и имеющиеся альтернативу для андроид устроят. Чего боятся если код открытый?
>оно для всего подряд и слепить из нее можно что угодно.
Так-то гвозди можно и микроскопом забивать, но как-то за годы привык это молотком делать. Кроме того у кипас там еще вспомогательные защитные алгоритмы есть: прячет копировать-вставить и прочее от кейлоггеров и троянов если они уже у тебя есть. И вообще это специализированный софт для чувствительной информации, а вики очень специфическая вещь под эти цели. На любителя вещь.
>Затерлись, спутались в памяти?
Такого ещё ни разу не происходило, но если таки произойдёт, то будет печально. Буду плакать, скрипя зубами создам новые учётки.
>"где этот ебучий блокнотик блять, был же здесь вчера. хан, блокнотик не видел(а)? в смысле выкинула?.."
Ну, войду через почту. Если не получится - плохо, но похуй.
>>3182548
>"блять, БЛЯТЬ, БЛЯТЬ, какого ХУЯ. это ТОТ ПАРОЛЬ, ПОЧЕМУ БЛЯТЬ НЕ ПОДХОДИТ!!!111"
Не сталкивался с такой проблемой.
>Ненадежно звучит.
>Удивляет такая самоуверенность.
У меня всё заебись с памятью прост.
>У меня всё заебись с памятью прост.
У тебя 30-40 значимых паролей, все разные и ты их все помнишь? Тут либо всего несколько паролей / мнемотехника-алгоритм либо кто-то по3,14здывает.
Я и не утверждал, что у меня много паролей, мань. Что ж ты прицепился-то так с этим?
НО, замечу, что каждый пароль только для одного отдельного сайта, повторов нет.
>Что ж ты прицепился-то так с этим?
Просто итт подразумевается что люди переходят на длинные пароли из рандомных символов, которые нереально надежно запомнить да еще и периодически менять в памяти. А тут такой титан памяти появляется, что грех не распросить секрет мастерства. Без обид.
Самое главное чтобы тебе было удобно этим пользоваться, попробуй разные вариант, составь план на бумажке, распиши всё, что как и где будет, бэкапы и прочее. С первого раза идеал не получится, но со временем найдёшь что тебе больше всего подходит. Ну и я бы не советовал делать всё слишком complicated, чем проще вся схема, тем проще с ней работать.
>>3182551
Да, это очень хорошая идея для дополнительной безопасности если кто-то получит доступ к базе с паролями, но только вкупе с переодической сменой паролей.
>Ну, войду через почту.
многие малозначимые форумы и акки регаются / раньше регались на одноразовые почты типа 10minutemail, чтобы свои ящики не палить сопливым спамерам. восстанавливать анрил будет. мелочь, но досадно, когда мог бы зайти, но проебал пароль.
Ну, это ты уже там чего-то себе нафантазировал за меня..
>>3182569
Не регал на такое, спам не беспокоил особо
хотя нередко сайты через годы перестают пускать по старому паролю и требуют перевыпуск. тогда придется перерегаться.
Меня собственно сама идея системы хранения "под ключ" интересует. Грааль хранения паролей для любого обычного чела чтобы относительно надежно с быстрым доступом и не слишком замысловато организовано. Свою хрень я и в блокнотике умещу и меня это не беспокоит.
Опять же нужно учитывать потенциальные проблемы с смс подтверждением где-нибудь за границей о которых писал выше, о которых никто не думает пока не клюнет.
Стараюсь привязывать лишь к почте, избегая телефон, хоть и заграницей уже не был аж восимь лет
Речь идет об обычных людях, у которых десяток гугл-яндекс почт и акков всяких говнофорумов, банк акки. Пароли от почт васяну если он гипотетически решит массово ими попользоваться ничем не помогут, так как сработает защита по ай-пи и ему уведомление о попытке придет, в банк акк по паролю без смс он все равно не зайдет, ну а на говнофурумы пожалуйста, пусть заходит, я бы не особо возражал.
Если чел не обычный а с важными паролями от чемоданчиков и швейцарских хранилищ и криптобирж то ему нужно свой уровень защиты продумывать повыше.
то есть упор на относительно быстрый загруз паролей из копилки прямо в строку ввода на сайтах и их относительно безопасное хранение. А не на безупречную безопасность с тремя фаерволами и тройной идентификацией уровня Крепости Одиночества.
в чем конкретно проблема?
Это >>3182584
если что, не мировоззрение на использование васянских сборок вообще, а практический взгляд конкретно на васянские сборки кипасса.
стили ето все поправимо главное суть
а суть в том что через 10 лет это убьет ващи ноущины с триллярдными капитализациями
скринь дружочек
Нет, не храню, все в уме.
От всякой хуеты добавляю к паролю по дефолту соль получаемый от доменного имени по не сложным правилам - пароль плюс 6 доп символов.
От важного использую простенькую мнемонику. Типа, А и Б сидели на трубе - "AupaloBpropalo", ну и плюс соль
>От всякой хуеты добавляю к паролю по дефолту соль получаемый от доменного имени по не сложным правилам - пароль плюс 6 доп символов.
Преимущества:
фактически ничего кроме алгоритма формирования пароля в памяти держать не нужно;
все пароли всегда в твоей голове.
Недостатки:
твои пароли становятся предсказуемыми;
над алгоритмом нужно поработать, чтобы не брутился сам твой алгоритм (сложный алгоритм);
требования системы к сложности пароля-нельзя все создавать по одному алгоритму. придется запоминать несколько алгоритмов;
не всегда пароль выбираешь ты;
администратор генерирует тебе пароль. придется хранить на бумаге (которая всегда не с собой когда нужно);
опасность забывания. глупо ее игнорировать;
всегда и все нужно привязывать к почте на случай забывания.
>от доменного имени
Иногда меняется, пока ты туда годами не заходишь. Потом расследование какое там было доменное имя три года назад. И придется все регать на 1-2 почты, чтобы не забыть на какую восстанавливать.
>И придется все регать на 1-2 почты
про мультиакк придется забыть при такой системе.
Да, кстати, в памяти придется держать еще и логин. То есть и для логина придумать алгоритм формирования. И алгоритм для создания мультов (а они всегда могут пригодится по какой-либо причине).
Предпочитаю в KeePas на винде и его форках на FreeBSD и Linux.
Такое может случится и в России. Тянуть до последнего и в решающий момент судорожно кликать для восстановления пароля через почту (ты жмешь F5 как пулемет, материшься, все назло висит мейл не доходит). Это лишь пример, без обид.
> как запомнить пароль от базы и не проебать его. там ведь огромный пароль нужен на 20 символов иначе сбрутят
Ограничения на число символов на мастер-пароль в KeePass нет или очень большое ЕМНИП, так что вместо 20-символьного можно сделать пароль нужной силы из слов с помощью diceware или аналогичных способов, его запомнить легче.
>там ведь огромный пароль нужен
Подразумевалось,что желательно большой пароль хотя бы 20 символов. Но тут анон уже писал про защиту кипасс от брутфорса.
Пароли вроде correcthorsebatterystaple нужно еще мнемонически соединить с логином а также с сайтом. Это уже не так просто. Мнемонические техники в жизни я применяю немало, я по своему опыту скажу что такую конструкцию память будет носить только при условии регулярного применения. Месяц не обратишься к этому паролю и он сотрется из памяти частично, а это равнозначно потере пароля. Чтобы не стерся его нужно регулярно освежать. А как? Из блокнотика? Но на кой черт вся эта ебанина, если ты все равно в блокнотик записываешь. Лишняя пустая возня.
txt в архиве под паролем
> В моём случае, это Bandizip или Keka
Копрофаг детектед, бгг
чем это лучше базы keepass?
>file.txt я могу открыть на том же смартфоне
как минимум нужен архиватор. файл ведь заархивирован.
Да все уже поняли, что ты копроед именитый, бгг
А вот я люблю баловаться дилдаками у себя в срачке и потом сосать эти дилдаки.. Мм.. Шоколадки прямиком из попки.. Бгг.
Храню на смартфоне, вместе с остальными заметками в обычном приложении https://f-droid.org/en/packages/com.omgodse.notally/ и иногда делаю бекап в отдельный файл.
Насколько ебано в плане безопасности для обычного челибоса без гостайн?
Как же так.. Я очень люблю сидеть у параши и кушать несвежие какашки.. Бгг. Так бы и упал в канализацию, обдрочился бы там..
> Пароли вроде correcthorsebatterystaple нужно еще мнемонически соединить с логином а также с сайтом
Какая еще мнемоника? Я тебе про мастер-пароль от базы говорю, а ты про что-то свое.
> Месяц не обратишься к этому паролю
Мастер-пароль ты вводишь регулярно.
Тогда полностью согласен. Не думал в этом ключе, в этом контексте интересный метод генерации и запоминания.
Я решил что ты отвечаешь в контексте гиганта мысли, хранящего 200 паролей в мнемонических картинках и забугуртил иронией.
Мои личности одобрили. Копрошиз, кивишиз, яблошиз, ус, андроидошиз.. Все они любят кушать какашки, как и я. Галоперидол иногда забываю пить правда, ну ты это уже и так заметил. Бгг.
>Насколько ебано в плане безопасности для обычного челибоса без гостайн?
Дашь корешу телефон на 5 минут позвонить, он все скопирует через воцап себе и будет смотреть копро через твой акк на порнолабе и переписываться по твоей асечке. Но вряд ли он сообразит.
Ну хз, попробуй какую-нибудь сборочку с сайта keepass для андроида. имао будет и безопасней намного удобней чем копипастой из txt вставлять логин/пароли в акки.
Сильным личностям не нужно стороннее одобрение, чтобы зачмырить яблошиза, бгг
Ха! У меня нет друзей!
Понятное дело, что при физическом доступе это все сольется. Но интересно, есть ли сценарии, где на среднестатестическом срамсунге файлик с бекапом (или напрямую из приложения заметок) улетит кому-нибудь через интернет? Я не знаю как работает безопасность на андроиде. Может, там каждая программа по фотообработке из гугл плей выгружает твою память на сервера, я хз.
Кстати, выбрал именно это приложение из-за того, что оно не требует доступа к сети, а статистика по моб. данным показывает 0 байт всегда. В то время, когда ванильные срамсунговские заметки могут за месяц до мегабайта сожрать (хз куда).
txt сам по себе пароля никакого не имеет. в этом его слабость. вообще когда хвалят keepass по дефолту исходят из того что у пользователя есть действительно важные пароли к важным монетизируемым вещам. пароли обычного рандома в 2022 монетизировать никак не получится. вход в почту с незнакомого айпи- саспенд и подтверждение по смс/резервной почте, в банк без смс не пустят а все остальное какой-то шлак никому не нужный. Были времена спама и слабой защиты почтовых сервисов в 00-10-х. Но они уже давно прошли. Хз как там можно еще использовать эти пароли.
> срамсунговские заметки могут за месяц до мегабайта сожрать
так нормальные заметочники (one note, evernote, samsung notes) по дефолту синхронизируются через аккаунт с сервером.
Если не нравится просто отключить можно.
Я знаю, но у меня никакой синхронизации не было. Я даже в аккаунт не вошел. Там просто всегда какие-то данные передаются.
Просто нахуя тебе хранить на простыне в заметках пароли, если можно даже в том же chrome их в хешах хранить в хранилище паролей и с комфортом и скоростью пользоваться не копипастя каждый пароль тыкая на улице замерзшим пальцем в экран.
Или ты боишься что Брин, Цук и Билли Вратарь вечерком после направления капсулы с гаввахом на Нибиру сидят такие и думают, а дай-ка мы пароль Аноныча посмотрим на что он там дрочит? Чисто если по-колхозному то самсунг и гугл пусть смотрят пароли, я не против.
>Я знаю, но у меня никакой синхронизации не было.
ты опасаешься что твои фанфики написанные в самсунг ноутс читают в самсунге айти отдел с попкорном и пивом и ржут все 100 человек?
>>3182965
Если бы я чего-то опасался, то не хранил бы на телефоне с интернетом тхтщник с паролями. Просто написал к сведению, что стоковые приложения передают данные без нужды на то пользователя. И да, мне это просто не нравится.
Но ведь банально хранить пароли в аккаунте гугл и напрямую брать их браузером в один клик это же в 10 раз комфортнее. И ты не хочешь так делать, так как опасаешься, что гугл заберет себе твои пароли?
Да, это проще. Но у меня уже куча паролей в одном месте и мне лень их переносить.
>>3182971
Я вообще не доверяю онлайн сервисам. Мне блочили гугл аккаунт (как я подозреваю) из-за аватарки в виде анимешки в каске времен вьетнамской войны. Когда я пользовался Вконтактом, то регулярно пропадала музыка из плейлиста. Если на Ютубе делитнут один из каналов, на который ты подписан, ты об этом даже не узнаешь, а он просто пропадет из подписок. Я коллекционировал на ютубе видосики и клипы в плейлисты, а через год обнаружил, что половина роликов либо "не доступны в вашем регионе", либо ещё как-то ограничены (даже превью нет и названия). Хуета полная. Да, у меня ОКР.
>отправлял данные плейнтекстом майкам
Если субъективно в рамках конкретного чела и его копилки паролей размышлять. Какое ему дело что его пароль смотрят в майкрософте и какой ущерб он от этого получит? Зачем мелкософту пароли рандомов от сотни говноакков, как они это могут использовать...нахуя?
думать не нужно, попробуйте. ето убийца всех заметочниц.
>>3183145
поняв что ето такое и какое оно гибкое ты уже никуда не слезешь с етого, аноньчик. время потраченое на ноущины и другую проприетарщину - время выкинутое вникуда.
Поэтому самые ценные ролики с ютаба нужно тянуть себе на пеку через https://github.com/yt-dlp/yt-dlp
Гуй по вкусу, тысяча их.
Vk id и ничего хранить и запоминать ненадо.
//тхред
KeepassX база которая хранится на гугл драйве з 2фа.
AuthPass с синхронизацией через облако
Странно, на пикче указали энтропия 44 бит, но keepass на
>correcthorsebatterystaple
выдает 81 бит. Откуда такая разница в расчете? И как вообще происходит оценка сложности с точностью до бита?
keepassdroid (1кк скачиваний на плеймаркете) тоже "васяночка"? Какой конвенционало значимый аудит программа должна пройти, чтобы перейти из "васяночки" в категорию "нормальных"?
А линукс минт (навскидку привел) не "васяночка"?
> Даже когда новые версии выходят
Ну и запретить обновления можно. Там значительные изменения очень редко происходят. Сиди на старой версии.
> на пикче указали энтропия 44 бит
Всё как в определении же.
https://en.wikipedia.org/wiki/Password_strength#Entropy_as_a_measure_of_password_strength
Entropy as a measure of password strength
It is usual in the computer industry to specify password strength in terms of information entropy, which is measured in bits and is a concept from information theory. Instead of the number of guesses needed to find the password with certainty, the base-2 logarithm of that number is given, which is commonly referred to as the number of "entropy bits" in a password, though this is not exactly the same quantity as information entropy.[9] A password with an entropy of 42 bits calculated in this way would be as strong as a string of 42 bits chosen randomly, for example by a fair coin toss. Put another way, a password with an entropy of 42 bits would require 242 (4,398,046,511,104) attempts to exhaust all possibilities during a brute force search. Thus, increasing the entropy of the password by one bit doubles the number of guesses required, making an attacker's task twice as difficult. On average, an attacker will have to try half the possible number of passwords before finding the correct one.[4]
Это в предположении что хакер знает алгоритм создания пароля. Тогда чтобы гарантированно подобрать пароль из 4 случайно выбранных слов из 2048-словного словаря 2048=211 - потому что на картинке под каждым словом 11 квадратиков, ему и понадобится ровно 244 попыток в худшем случае.
А Keepass просто приблизительно оценивает энтропию, они сами на своем сайте пишут.
Храню пароли в голове, как и любой нормальный человек, а вы видимо всю память пропили, алкашня сраная.
сохрани в голове пароль
9Fr6xx2v1g4gcd^!#$fdx2cf55g20v0v02ff96c3
Запомнил, мудила сраный?
>Запомнил, мудила сраный?
Запомнил, алкаш одебилевший.
Использую обычные txt файлы, txt файлы в архивах с паролем, keepass-базы и несколько клиентов к ним, Google пароли на ведре и в Chrome, Padloc и, пожалуй, все. Ну и некоторые храню прямо в G Keep или в G Docs, на которые прямо совсем насрать.
Весь этот зверинец собрался за пять лет, теперь времени нет сесть и разобрать, что нужно, а что нет. Всего паролей около сотни.
7zip архив с паролем.
>Всего паролей около сотни.
пфф. Копи-паст в keepass за 20 минут.
Там нужно разбирать, что нужно, а что нет. Что не нужно - удалить. Проверить наличие этого пароля во всех местах, отовсюду удалить.
А ещё у меня отдельный файл, где я хранил удаленные аккаунты. Просто так, на всякий.
Короче ебаться придется несколько часов, так что и начинать не хочу.
Бэкап лежит один на флешке, второй на облаке, третий распечатан в виде восьми qr кодов на одном листочке
>распечатан в виде восьми qr кодов на одном листочке
Как это сделать? Не первый раз слышу, что файлы можно хранить в виде qr кодов. Это есть какая-то специальная прога, которая так делает? Как это происходит, реально прога может считать с картинки обратно не проебав ни одного байта? И сколько гигабайт можно разместить на одном листе бумаги, без риска проебать данные?
KeePass сразу нахуй. Если тебя уже взломали до вытаскивания файла с компа, скорее всего смогут и записать клаву мышь экран буфер. Итого сесурити как от txt/xls на десктопе + дискомфорт.
В почте лежат обрывки паролей, но фразы мне все знакомые и я их вспомню точно если эту хуйню увижу.
Самый пиздец записан на обоях за шкафом, никакие камеры туда не достают, надо физически придти и поебавшись прочитать.
В KeePassXC не смогут записать, он лишён недостатков обычного KeePass.
>Самый пиздец записан на обоях за шкафом
Можно было и не отвечать шизу.
>https://blog.mail.ru/kod-dostupa-androin-application-mailru/
А где этот totp на майл сру включать?
В разделе паролей электронной почты в качестве 2fa totp не предлагается. Там только смс и бэкапкодс (не понял что это но явно не totp).
>1) Перейдите в раздел «Пароль и безопасность» в «Настройках», и >включите двухфакторную аутентификацию (если еще не была >включена). Выберите способ получения кода подтверждения — >«Через приложение».
Я на десктопе через браузер зашел в акк в раздел пароли и безопасность, включил, мне предлагают получать смс и все. Там нет варика "Через приложение".
На внутренней стороне обоев, надеюсь?
Может я ошибаюсь, есть какие то лучшие аналоги с автовводом на телефоне?
свой сервер с bitwarden. Клиенты есть для всех популярных устройств + расширение для браузера (не лагучее кстати). 3 года полет нормальный.
>Актуальная тема. Почему никто не упоминает сервис от компаний Анальный Зонд 3000 или Анальное Зондирование Лимитед? Анальное Зондирование Лимитед с портативным анальным зондом со встроенным анальным зондом вообще имба.
Ну да, все же это мега корпорации, при утечке паролей это грозит им пиздецом в плане потери репутации и рыночной стоимости. А всякая непонятная залупа из 10 индусов в штате вызывает куда больше доверия, ага.
Рассматриваю этот вариант. Можешь пояснить за него немного?
Селфхост бесплатный? Сколько устройств можно подключить бесплатно? Есть NAS, куда планирую его поставить, но в инет не торчит, как обезопасить сервер когда он будет подключен к интернету?
>все же это мега корпорации, при утечке паролей это грозит им пиздецом в плане потери репутации и рыночной стоимости
Именно поэтому новости о том, как у этих мегакорпораций воруют все что можно и нельзя приходят буквально ежемесячно.
Все пароли хранятся в текстовоm докуmенте на рабочеm столе
Пиздецом грозит как раз непонятной залупе с 10 индусами в штате, а мегакорпорации все эти утечки на хую вертели.
КееПасс. Можешь 1.хх, даже нет.фрамеворка не надо
Файл Пароли.тхт
>>3182547
То есть пароли хранятся плейнтекстом без шифрования? Заливал бы тогда просто на пастбин
бгг
AI Roboform
Только надо брать последнюю нормальную версию с рутрекера, кажется 7.9.32.2, а то дальше они сменили нормальную программу на онлайновое говно.
Что там по безопасности7
Вижу что популярен, нет ли с ним сейчас проблем и прочих проебов?
В блокнотике храню, я же не долбоеб. Может ещё поставить софт который напоминает когда срать надо?
Могу. Пользуюсь сам и посадил на него семью в количестве 6 человек и офис (на корпоративном сервере офк) в количестве 26 человек, полтора года полет нормальный. Админку дополнительно анально огородил через Authelia с 2FA
До этого лет 7 юзал KeePass, Bitwarden удобнее. Использую дополнение для браузера и приложение на Андроид.
Есть смысл одновременно ставить приложение и аддон?
Правильно ли я понял что если я выключу автоматическую блокировку (т.к. и так всегда блокирую экран, нахуй она мне) - пароли перестанут шифроваться? Если на телефоне с этим еще как-то можно жить и разблокировать пальцем, то пин каждый раз вводить я уже за вечер заебался
А то заебало пересылать себе пароль через телеграм
Должен быть какой-то функционал экспорта с эппла, у битвардена на сайте инструкции есть. Ну а как экспортируешь - синхронизируешь с ПК
https://bitwarden.com/help/import-faqs/
>spectre.app
В примерах такие годные, удобочитаемые пароли. Жаль, мне надо помнить логины и сервисы тоже, поэтому менеджер паролей незаменим для меня. (По сути это менеджер аккаунтов и всей связанной с ними информацией, в том числе такой как дата создания аккаунта - иногда спрашивают в ответ на запрос на удаление.)