пароли аккаунты... хочется навести порядок в
Аноним (Microsoft Windows 10: Chromium based)
25/09/20 Птн 06:13:43
№1
хочется навести порядок в этой помойке из милллиарда всяких акков почты форумов и тп
с чего начать? как создавать пароли чтобы их никогда не сломали и где хранить чтобы их не проебаться сразу все?
>как создавать пароли чтобы их никогда не сломали
Пароли должны быть длинные, богатые на алфавит и хорошо запоминаемые.
1488anal&Destroyer — хороший пароль
q#D):$ — плохой пароль
greenapplemicrosoft — тоже плохой пароль
>и где хранить чтобы их не проебаться сразу все?
Несколько бумажных блокнотов, хранящихся в разных местах. Это конечно не слишком удобно, однако максимально надёжно (в плане защиты от взлома с сети и долговечности).
> >как создавать пароли чтобы их никогда не сломали
Запоминаешь 5-10 фраз, включающих цифры, и используешь их в качестве паролей. Потому что вероятность утери пароля обычно несравнимо выше вероятности взлома (хотя, зависит от твоих задач).
> Пароли должны быть длинные, богатые на алфавит и хорошо запоминаемые.
И хорошо забываемые?
> Несколько бумажных блокнотов, хранящихся в разных местах. Это конечно не слишком удобно, однако максимально надёжно (в плане защиты от взлома с сети и долговечности).
Вот это двачую. Единственный способ защитить свои данные на 100% - это сделать их физически изолированными от сети. Тхт файл на дивидишке - хорошо, бумажный блокнот - ещё лучше.
Качаешь KeePass 2, создаёшь базу (пароль ставь мощный и запиши на бумажке на всякий, которую спрячь в укромном месте). Настраиваешь синхронизацию в какой-нибудь гугол-диск или что у тебя есть (если ничего нет, придётся после каждого довавления вручную обновлять бекап). Файл ключа от базы в сеть не заливай, он всё равно не меняется, лучше просто скопируй на все флешки, что у тебя есть. В кипасе есть генератор паролей, можешь спокойно создавать пароли любой сложности, запоминать их не придётся. 2020 всё таки, хранить пароли на листочке это пиздец глупо (особенно если есть мелкий брат или ревнивая девушка).
>И хорошо забываемые?
Смотря как придумывать. Хватит и одного символа не входящего в стандартные a-z A-Z 0-9 чтобы на порядки усложнить перебор. И скорее всего эти символы даже перебирать не станут, слишком уж мало людей включает их в свои пароли.
>(особенно если есть мелкий брат или ревнивая девушка)
Есть два бесплатных путя:
1. Bitwarden (все платформы, но пароли хранятся на их серверах, правда, код проходит аудит)
2. Roboform (бесплатно только windows, но удобство использования просто охуительное)
А кипас дерьмо неюзабельное с костылями от васянов. Я не смог этим говном пользоваться, простите.
Менеджер паролей браузера удобен, можешь прям хранить в браузере всю инфу, оттуда можно как раз взять экспортировать в любом формате всю информацию, работает автозаполнение на сайтах которые посещал, удобно.
Если боишься, то можешь использовать специализированный менеджер паролей, типа касперского или какого другого, который будет автоматически логинить тебя на сайте и при этом будет просить тебя залогиниться. Его практически невозможно будет сломать.
Версия с блокнотом, самый безопасный способ в мире. Но есть минусы, например если с автоматическими менеджерами ты можешь логиниться в любом приложений, с браузера ты можешь эскпортировать около 10 тыс паролей в андройд, или айфон и хранить их там, действовать они будут на всю систему. Блокнот неудобен если ты генерируешь посимвольно пароли или юзаешь хеши. Чем длиннее пароль тем сложнее его взломать. Способ со словами не рекомендую, проще сгенерировать пароль 16 символами. Тем более слова будет быстрее взломать чем сгенерированный. А базы бояться не надо, чтобы получить доступ должна быть дыра в коде, то есть её должны зареверсить и шанс то что ты попадешь под раздачу очень мал, к тому времени новость уже разойдется по всему миру и дыру залатают.
Я делаю так: Беру генерирую 16 символьный пароль, сохраняю в браузере, ибо я не боюсь что меня взломят и когда нужно просто беру экспротирую файлик и передаю на устройство в нужном формате.
Если ты совсем параноик юзай keepass+kee. Кросплатформенная прога, никто еще не осилил.
https://keeweb.info/
- кроссплатформа во все поля (можешь хоть с чайника зайти)
- опенсорс и довольно большое коммьюнити
Если беспокоишься, то можешь отключить интернет и пользоваться им. Версия веба работает оффлайн и никуда твои пароли не сольёт.
есть ли смысл не заморачиваться ебическими паролями а просто писать что-то типа топкекчебурек-название сайта-12345?
>Качаешь KeePass 2
И получаешь линкрелейтед себе в срачечку. А разраб даже не собирается это фиксить, это не баг а фича.
https://github.com/denandz/KeeFarce
> синхронизацию
> гугол-диск
Тебе свою жопу не жалко? Там уже не то что зонды, туда бронепоезд влетит и не заметишь.
> генератор паролей, можешь спокойно создавать пароли любой сложности, запоминать их не придётся.
Стоит потерять доступ к главному - и ты потерял все аккаунты.
> 2020 всё таки, хранить пароли на листочке это пиздец глупо (особенно если есть мелкий брат или ревнивая девушка).
2020 - самое время для back to the primitive
Ты жопой читаешь? Получается, что придется восстанавливать все пароли по привязанному мылу. Но это обычные сайты. Ресурсы на каждый день уровня гугла ты должен хранить в голове, а не менеджере. Ну и мне кажется сложно проебать мастер если регулярно обращаться к менеджеру. Разве что непредвиденные обстоятельства, отлучившие юзера от пекарни и интернета на длительное время.
Мне похуй, я на линуксе сижу. Хотя уверен, фиксится легко, а любой антивирь на раз задетектит эту дичь.
>>2860674
А в чём проблема? Сам гуглом не пользуюсь, предпочитая свободные аналоги, но совет-то я даю ОПу, познания которого мне неизвестны. Поэтому для меня он типикал нормис с гугол-диском. Всё равно без файла-ключа и сложного мастер пароля файлик не открыть, поэтому подобного рода хранение более чем безопасно.
И ты серьёзно будешь каждый раз заходить на сайты, вручную набирая пароль с бумажки? Или воспользуешься кукисами, откуда пароль спиздить легче лёгкого?
KeePassX
Автогенератор в хроме для сайтов и запоминающиеся пароли для лончеров и самого гугла
Я в keepassxc храню, на ведре использую keepassdroid. Файл с базой синхронизирую между компом и телефоном через яндекс диск по webdav.
Любой менеджер паролей и 2FA на важных сервисах.
KeyPass
Опенсурсная шняга с которой ты делаешь всё локально - не сервис, а просто программа
Я юзаю на компе KeePassX и на телефоне какой-то там тоже (впадлу лезть смотреть)
Файл с паролями лежит в папочке, на которую подсосана мега (mega.co.nz), и которая сама его при обновлении синхронизирует в облако
На андройде стоит MegaSync или как-то так, не офф клиент. В нем настроено раз в день делать forced sync и соответственно обновлять мой файлик с паролями
В итоге между устройствами всегда последняя версия и всё работает нормально
Перевел всё основное туда, а на стремных сайтах на которых похуй на аккаунт оставил старую связку почт+паролей
Уже год прошел, полет нормальный. Не жалею о том что собрался и потратил пару часов чтобы настроить всю хуйню
>>2860787
https://www.virustotal.com/gui/file/0b11dad59c1f4ff3cbe2a6d228b6f957ca9e0e949c8d42e42f6de5572e91d7dd/detection
Но надо признать, программа действительно работает. Правда я хз, каким надо быть дауном, чтобы допустить доступ к своей системе постронних (а иначе этим "вирусом" никак не воспользоваться).
Это в итоге делает весь процесс менее умозатратным когда ты все настроишь
У тебя будет 1 пароль для всего, где ты логинишься. Это будет пароль от твоего файла с паролями, который никаким образом не может "утечь" куда-то или стать менее безопасным. Он может быть хоть hunter2, всем похуй, потому что доступ к нему все равно никто не получит скорее всего, даже если ты полный долбаеб
Ты этим одним обычным паролем открываешь прогу, в которой у тебя строчками записаны твои сайты и аккаунты на них. Тыкаешь на аккаунт, жмешь ctrl+c, вставляешь в поле логина на сайте
Разница только в том, что эти пароли которые ты будешь дергать со своей проги будут выглядеть как sDNd-!%nw@dn4Bnc3 и они будут фактически не взламываемыми, а если утекут, то утекут только с одного сайта, и ты конкретно на нем пароль перегенерируешь-поменяешь
В сравнение можно привести случай, когда у тебя po4ta@yandex.ru и hunter2 на 5 разных сайтах, с одного из которых эта комбинация почты-пароля утекает, и тебе надо на все пяти сайтах ее идти менять
Либо же у тебя po4ta@yandex.ru и 5 разных паролей для каждого сайта свой и тебе надо засирать этим свою голову и потом запоминать еще 6й пароль который придет на смену одному из утекших
Проблема "утеканий" почт-пароль комбинацией может для тебя не выглядеть как проблема, но в среднем раз в 5 лет у тебя эта комбинация точно утекает. Что с ней могут сделать? Обычно ровно нихуя, кроме доставления головника. "Обнаружен логин из новой локации на ваш аккаунт" - посыпится такое говно и будут тебе стресс стакать нисхуя
>>2861179
>>2861181
Да, KeePassXC и стоит, в глаза ебусь
KeepassXC
Читаешь весь материал на эту тему, тратишь один день на настройку и перенос тысяч паролей в него, пожизненно пользуешься без головняка.
Дебы про обсфукацию не в курсе. Вам мало примеров, типа зевса, который каждый антивирь знал, но он заразил рекордное количество тачек? Потому что не исполняемый файл стоил денег, а именно абсфукация.
Да и никто не мешает тебе пересобрать этот код без детекта.
Опять же, память у кипаса сливалась в дамп уже давно и самой системой отсылалась. Тут уж ни один антивирь не спасает.
прост кипасс возьми и вспоминай потихоньку что там у тебя есть, ненужное позже удалишь. /thread
Берёшь и без задней мысли забываешь про эти аккаунты. На будущее - стоит использовать какой-нибудь менеджер паролей, НО только опен-сорс варианты с хорошим доверием типа keepassxc. Либо купи себе блокнот и ручку как сделал я.
По поводу самих паролей - есть пара распространённых практик создания таковых. Одна из них - diceware. Метод Diceware заключается в следующем: ты покупаешь игральные кости, переходишь на официальный сайт человека, который этот способ придумал, и находишь там специальные словарные листы. В этих листах записаны слова (возможно ещё спец-символы и цифры) и напротив каждого есть некая цифровая комбинация. Комбинации эти соответствуют всем возможным вариантам выпадения пяти игральных костей. Теперь берёшь в руки кость и кидаешь её пять раз (либо кидаешь пять костей сразу) и записываешь те цифры, которые получились при броске. Ну а дальше смотришь, какое слово из списка соответствует твоим пяти числам. Это слово будет являться первым в твоём пароле. Повторяешь этот порядок действий столько, какой длины тебе нужен пароль. В идеале это от 7 до 10 слов и более. Кстати, пробелы между словами тоже идут в пароль! То есть, пароль набираешь прямо так, как если бы ты писал эти слова в блокноте - с пробелами.
Вот, собственно, сайт:
https://theworld.com/~reinhold/diceware.html
Вот комикс:
https://xkcd.com/936/
Вот дополнительные словари от EFF:
https://www.eff.org/deeplinks/2016/07/new-wordlists-random-passphrases
А вот ещё что-то про пароли и их составление:
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
https://www.passwordstore.org/
Есть и не один: https://keepass.info/download.html
яндекс бровзер. сохранит все твои пароли, их хуй кто узнает. синхронизирует все твои пароли на всех твоих устройствах, убьет всех твоих врагов, кто знает хоть один символ из твоего пароля
Keepassxc
>>2860587
Придумывать самому хуевая затея, бери генераторы, но ток не какие попало (встроенный в кипасе подойдет думаю)
Чем он устарел, маня? Вот работает пару лет и что? Бежать другой свежий зонд ставить? Приманка уровня веракриптвместо трукрипта?
>Кипас при создании пароля указывает энтропию
И что?
>Чем выше энтропия, тем больше времени уйдёт на перебор
Спасибо, кэп.
>весьма спорное утверждение
Разве что если у тебя туго с головушкой. Периодически в блокнот заносил разную кашу из символов, букв и цифр. Проверял их в KeePassXC и показывало самый высокий зелёный уровень.