Долго время хранил пароли и заметки к ним в простом txt файле. Однако, txt может быть легко украден трояном, да и вообще не так безопасен, как того хотелось бы.
Посоветуйте, что использовать, дабы хранить пароли в безопасности, локально, сухо и прохладно?
Если удастся сохранить свободный формат блокнота, будет даже плюсом, ибо это привычнее, чем вписывать всё в таблицы.
Облака, синхронизации-хуянизации, автозаполнения и прочая ерунда не интересуют, только локальное хранилище.
Что уже перепробовал:
Keepass и KeepasXC очень неудобны в плане интерфейса. Нет даже такой элементарной возможности, как простое добавление кастомных столбцов в таблицу. Нельзя разнести на отдельные строки логин и номер телефона, емейл и имя пользователя, например. Только через пердолинг и костыли.
Не знаю, какой хуй там разработчики курят, но за двадцать лет не додуматься сделать адекватный интерфейс с БАЗОВЫМИ ФУНКЦИЯМИ, это надо быть уникумом. Зато есть сортировка по силе пароля, охуенно.
Битварден - какое-то недоразумение, не пустит тебя в твои же (!) пароли без доступа к их серверу, если ты вышел из учётки. Разворачивать свой альтернативный сервер желания нет.
Безопасно ли будет создать шифрованный контейнер при помощи Веракрипт, кинуть туда txt и время от времени его юзать?
>Не знаю, какой хуй там разработчики курят, но за двадцать лет не додуматься сделать адекватный интерфейс с БАЗОВЫМИ ФУНКЦИЯМИ, это надо быть уникумом.
Не знаю что курят клоуны, которые делают разные сущности с одинаковым функционалом, типа логина и номера дибильника. Но даже для них есть кастомные поля, которые могут быть чем угодно.
Очевидная подмаёрная проприетарная залупа-as-a-service для контроля доступов работобыдла.
Keepassxc
Ты недоразумение, зачем ты выходишь из учётки?
Ты можешь создать аккаунт битвардена войти в клиент один раз на пк и заблокировать доступ фаерволом и он будет у тебя офлайновый. На рутрекере еще есть кряк 1password еще старой версии который держит пароли в локальной базе данных а не в облаке.
Так вроде как он автономную версию имеет, причем тут майор?
>>3300940
Жопой читаешь?
>>3300957
Анус твой недоразумение, как и способность мыслить хотя бы дальше своего носа, поридж безмозглый.
>>3300935
>сущности с одинаковым функционалом, типа логина и номера дибильника.
Это разные сущности с разным функционалом.
>кастомные поля, которые могут быть чем угодно.
Покажешь мне, как быстро добавить кастомное поле при создании новой записи, в два клика?
>>3300985
>Ты можешь создать аккаунт битвардена войти в клиент один раз на пк и заблокировать доступ фаерволом и он будет у тебя офлайновый.
Ты, блин, шутишь? Логшин с новой машины/слетит Винда/ещё какой-нибудь непредвиденный косяк и ты свои пароли, считай, переливаешь какому-то хую на удалённый сервер. Долбоебизм.
KeeWeb попробуй.
> Безопасно ли будет создать шифрованный контейнер при помощи Веракрипт, кинуть туда txt и время от времени его юзать?
https://www.veracrypt.fr/en/Security%20Requirements%20and%20Precautions.html
Храню пароли в обычном блокноте, блокнот в небольшом сейфе. Вот поистине настоящий безопасный селфхостинг и никакой троян не страшен.
Молодец. А копипастишь при помощи чипа в голове?
У меня не так сильно много паролей, максимум с десяток штук. Зачем их копипастить постоянно? Один раз вошёл и всё.
Чтобы винда не крякнула, меньше свои ручки надо сувать туда, в чём не разбираешься и не ставить ветпасси себе в систему.
Ты не ответил на мой вопрос
Попробуй тогда включить логическое мышление и перечитать снова.
> Логическое мышление
> нет прямого ответа
Все лисоебы такие дегенераты?
Как насчет accdb?
Так эта хуета платная. Кто-то этим вообще пользовался?
> Безопасно ли будет создать шифрованный контейнер при помощи Веракрипт, кинуть туда txt и время от времени его юзать?
>https://www.veracrypt.fr/en/Security%20Requirements%20and%20Precautions.html
Можешь конкретнее показать? Тут целая, мать её, книга. Мне не резон изучать это, если я возможно, даже не факт, что буду пользоваться этим.
Хочу часть полей убрать а остальные поменять местами. Пикрил.
>дал аргументированный ответ
>нет прямого ответа
Не зря видимо у хромога именование созвучно с хромосомой. Ведь у вас она всего одна на каждого.
> дал аргументированный ответ
> Чтобы винда не крякнула, меньше свои ручки надо сувать туда, в чём не разбираешься и не ставить ветпасси себе в систему.
>аргументы не аргументы
Ясно, этот пациент особенный. Отсутвуют хромосомы напрочь. Поможет только эвтаназия, дабы не занимать ресурсы планеты.
Почему ты такой тупой? + Ещё сидишь на лисе, понимаю сидел на хроме, но нет, ты же лисоеб, так почему ты такой тупой?
По-крайней мере это барахло откроется в любой ОС.
Куда прикрепить? Что это значит?
В базу, кипас может шифровать и файлы.
Как это сделать, покажи, пожалуйста, анон. Что-то не пойму.
Я открыл, закрыл txt при помощи Keepass, а как вносить изменения в содержимое-то?
По сути, всё, что изменилось, так это база сохранилась вместо файла kdbx в txt. А что толку то? ЧЯДНТ?
Судя по тому что я нашёл, никак. Если кто-то знает как, сообщите, пожалуйста.
Рекомендации от сотфтошиза
В самой базе создаёшь новую строку (add entry) и присоединяешь (attach files) любые файлы. База сохранится в .kdbx
ОП-пост читать пробовал?
Алсо, если у тебя шиза, попробуй лечиться.
И как этим пользоваться?
То есть теперь чтобы открыть пароли надо сделать 5 действий открыть дб -> запись -> адвансед -> имя файла -> опен.
Костыль конечно, пиздец.
Спасибо, better than nothing, конечно. Но неужели нет нормального решения?
Конкретно для паролей можно и отдельно сделать строки, либо просто прописывать в Notes.
Я лично прикрепляю редко используемые файлы, с комментариями. которые в стандартные поля не влезают.
>Конкретно для паролей можно и отдельно сделать строки
Какие строки, о чём речь?
Мне нужно много легко настраиваемых кастомных строк; см. ОП-пост, там я расписал, почему интерфейса Кипасса, на мой взгляд, неудобное говно.
>Это разные сущности с разным функционалом.
В 99% случаев дебильник это просто замена логина и пароля вместе взятых.
>Покажешь мне, как быстро добавить кастомное поле при создании новой записи, в два клика?
Это правда так сложно? или ты сутками на пролёт создаёшь новые записи и тебе НЕУДОБНО?
А что если сервер наебнётся? Или что-то такое? https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ Или просто у сервиса взыграет сострадание и он забанит тебя по танцпольному признаку?
>В случае потери устройства или доступа к нему ты теряешь и офлайн пароли поломка диска/пожар/тюрьма да что угодно может случится.
Бэкапы для лохов
>Так вроде как он автономную версию имеет, причем тут майор?
При том что проприетарная хранилка паролей равноценна майору, который "зуб даю всё в рамках закона". Непроверяема.
>Keepass
Удачи с этим дырявой говной.
https://github.com/denandz/KeeFarce
Наловил троянов ты, а дырявый кипас?
>врёти, это фича такая, ну и что что в кипасе дырень
Ясно.
У тебя троян с админским доступом и возможностью чтения-записи памяти чужих процессов, клоун. Всё, от этого защиты нет и быть не может.
Анон, она а в т о н о м н а. Никакой майор к тебе не дотянется, если прога не имеет доступ к интернету. Ты о чём?
>>3301909
>В 99% случаев дебильник это просто замена логина и пароля вместе взятых.
Есть немало сайтов, где вместе сосуществуют логин, имя пользователя, ID, телефон и ещё много чего. Как по-мне, если делать прогу для хранения таких данных, то делать надо как следует, а не ограничиваться "и так сойдёт". Нормально делай, нормально будет.
>Это правда так сложно?
Типа это, блядь, легко. Анон, ты шутишь. Это костыльный пердолинг от неумения в нормальный интерфейс, особенно когда у тебя сотни записей.
Плюс в оригинальном интерфейсе, а не модденом, как у тебя, это делается дольше.
Плюс у тебя не отображаются кастомные поля в таблице.
Плюс отображение кастомных полей вообще деревянное, их можно либо включить, либо выключить, никакой настройки по группам.
> сутками на пролёт создаёшь новые записи
Мне надо всю текстовку в базу перегнать. Это, вроде, понятно из ОП-поста.
А шифровать как? Безопасность на уровне того же txt.
>>3301913
Ты проверял работоспособность этой проги?
Во-первых, с чего ты решил, что у него троян?
Во вторых, в теории, не обязательно иметь рут в атакуемой системе, достаточно угнать файл БД kdbx. В теории, повторюсь. Prove me wrong.
> А что если сервер наебнётся? Или что-то такое?
Во первых сервера дублируются, во вторых битварден работает локально, инет нужен для синхронизации.
То есть у тебя должен сдохнуть и комп и сервера сразу, какой ты тупой, это пиздец.
> битварден работает локально
Нет. Логин только онлайн.
Вообще нет никакого смысла обсуждать эту прогу, она выпадает из критериев, обозначенных в ОП-посте.
>Анон, она а в т о н о м н а. Никакой майор к тебе не дотянется, если прога не имеет доступ к интернету. Ты о чём?
От того что закладка не имеет доступа к интернету она не перестает быть закладкой.
>Есть немало сайтов, где вместе сосуществуют логин, имя пользователя, ID, телефон и ещё много чего.
И всё это нахуй не нужно, потому что форма авторизации\аутентификации просит дибильник и иногда пароль вместо смсочки.
Конечно бывают иные чувствительные данные вроде кодов восстановления, обязательных секретных вопросов и тому подобной мути, но на каждое наркоманское решение делать стандартное поле никаких экранов не хватит.
> Это костыльный пердолинг не совпадающий с тем как я хочу
Слишком субъективно чтобы что-то об этом говорить
> Мне надо всю текстовку в базу перегнать. Это, вроде, понятно из ОП-поста.
Ну блядь разгребать говно, копившееся годами, всегда тяжело, хули ты хотел? Ты в любом случае попал на монотонную механическую работу по расфасовке твоих драгоценных зваписей по интерфейсу нескучной програмки.
>>3302034
>Во вторых, в теории, не обязательно иметь рут в атакуемой системе, достаточно угнать файл БД kdbx.
Нет, не достаточно. Его "дыра" основана на DLL injection, вредоносный код которой отрабатывает только после разблокировки базы пользователем. Подменить исполняемый код может только троян или злоумышленник с достаточными правами. А раз у трояна\злоумышленника есть права поменять исполняемый код, то он может сделать с ОС, программами и вероятно с железом вообще что угодно.
>>3302037
ты давай про утечки лучше скажи, как их контрить будешь, нетупой?
Btw, доводилось поднимать серверную часть этого битвардена - господи, более жирного и уебанского продукта я не видел.
Ты уверен, что тебе надо что-то шифровать? Все популярные программы уже перечислили.
Если ты хочешь манянадежность: ищешь редкий шифратор, в идеале без поддержки новых ОС -> шифруешь, потом меняешь расширение.
Через время забываешь как зашифровал и возвращаешься к .txt
>Во первых сервера дублируются
Ну да, мы видели. облачный сервер, б-гг
>ищешь редкий шифратор, в идеале без поддержки новых ОС -> шифруешь, потом меняешь расширение.
Вредные советы итт. За security through obscurity надо бить. возможно даже ногами и группой лиц
>Все популярные программы уже перечислили.
А я не гонюсь за популярными. Мне нужны качественная, и всего одна.
>ищешь редкий шифратор...
Во-первых, зачем редкий?
Во-вторых, а пользоваться как? Что-то мне подсказывает, что тут есть подводные камни.
Ты, похоже, теоретик, поэтому, пусть на эти вопросы лучше пусть ответит практически подкованный человек.
>От того что закладка не имеет доступа к интернету она не перестает быть закладкой.
Какие практические опасения?
Это просто бессмысленная паранойя. Узнай ты, сколько у тебя "закладок" в компьютере, в т. ч. хардверных, ты бы им вообще пользоваться перестал.
>потому что форма авторизации\аутентификации просит дибильник и иногда пароль вместо смсочки
Значит, надо забыть остальные сведения и не записывать нигде.
Повторюсь, если ты делаешь специализированную программу для хранения credentials, делать надо нормально.
>всё это нахуй не нужно
Поверь, нужно.
Давай ты не будешь умничать и пытаться решить за других, кому что нужно, а что нет. Если хочешь беспочвенно посраться, для этого есть другие разделы.
>на каждое наркоманское решение делать стандартное поле
Во-первых, не не "наркоманское", а обычное. Во-вторых, не стандартное, а кастомное.
>Слишком субъективно
Это не "с тем, как я хочу", а объективный пердолинг. Адекватный интерфейс это когда по одному клику ставишь курсор внутри поля и его заполняешь. Пример - Excel. Не надо, пожалуйста, оправдывать криворукость разработчиков, если ты просто давно пользуешься программой.
Пердолинг и лажа останутся пердолингом и лажей, что ты не напиши.
Как помнить сложные пароли? Зубрить, как зубрил стихи в начальной школе?
Собственно говоря, я использую простые пароли лишь для самой базы данных и логина в систему. По идее мне оно и не упало что-то менять, так как база локальная и взлом жопы не предвидится. Но внутри свербит от того, что для доступа к одной из самых дорогих вещей на моем пк я использую !23Vasy4n
>так как база локальная
Что используешь?
Его >>3302062 собственно и юзаю. Я пробовал текстовые файлы в контейнерах Veracrypt и в зашифрованных архивах rar и zip/7z, пробовал оригинальный keepass, Padloc, Bitwarden, Keeweb и даже такую невероятную хуйню, как Buttercup. Все это шелуха на моем умудренном пенисе и лишняя суета.
Желаю тебе обрести покой в твоих поисках.
>оп, не выебывайся. В кипасхц есть все, что тебе нужно
>панель предпросмотра с расширенным режимом.
Удобно пиздец.
Не пудри мне голову. Я написал своё мне6ние и не несу цели кого-то переубедить, тред создан для другого.
>текстовые файлы в контейнерах Veracrypt
И чего не пошло? Чем плохо было?
Да в общем-то ничего критичного, просто специализированный инструмент удобнее. Не нужно монтировать контейнер, работа с содержимым происходит внутри одного интерфейса с приятными ништяками в виде генерации паролей, ОТП и вложениями.
> Нет. Логин только онлайн.
Так а нахуй ты выходишь из логина? Ты ебанутый?
>>3302041
> ты давай про утечки лучше скажи, как их контрить будешь, нетупой?
Какие утечки шизик, почитай как шифруются данные, просто дегенерат закрой ебало. Как же ты заебал своей тупостью.
>нахуй ты выходишь из логина?
Уже выше по треду обсуждалось.
Хз где там обсуждалось. Короче пиши свои пароли в блокнотик и шифруй в вераскрипт, если такой параноик.
>Какие практические опасения?
>Это просто бессмысленная паранойя.
Это особый вид мазохизма доверять практически самое ценное что у тебя есть в этих ваших компуктерах мутному инструменту, в который почему-то запрещено заглядывать. Надо ли вспоминать флешки или диски с типа "суперзащитой аппаратным шифрованием", которой на самом деле небыло или был примитивнейший xor с пин-кодом?
>Узнай ты, сколько у тебя "закладок" в компьютере, в т. ч. хардверных, ты бы им вообще пользоваться перестал.
Сгорел сарай, гори и хата, так что-ли?
Остальное заебавший спор о цвете фломастеров
>нет зачистки буфера обмена
Ебала шифропанков к осмотру.
>тред создан для другого
Для чего?
>Это особый вид мазохизма...
Чувак, не будем вдаваться в демагогию. Что плохого, конкретно, может сделать эта прога? Без доступа к сети любая потенциальная "закладка" безобидна.
>в который почему-то запрещено заглядывать.
Он, вроде как, попенсорс.
В битвардене все это есть
Теперь это тред обоссывания криптоанархистов, которые разлочив контейнер, моментально слили свое гавно.
>разлочив контейнер, моментально слили свое гавно.
Пруфы? С чего ты это взял?
Потому что дальше данные пойдут в буфер обмена, который читают все процессы.
>Пруфы?
Тебе Faktxeber или Раша Тудей?
>буфер обмена
У меня складывается впечатление, что ты не понимаешь, о чём речь ведёшь. Может, ты с кэшем путаешь? Буфер обмена несколько иная вещь.
>Тебе Faktxeber или Раша Тудей?
Любой.
Да нет, банальный буфер обмена. После помещения в который данные становятся доступны всем желающим.
Если у тебя на компьютере трояны мониторящие буфер обмена, то им ничто не мешает мониторить клавастуру, оперативу, считать все файлы с дисков, всё что угодно, твоим паролям так и так пизда и всем остальным данным тоже. Охзуительная "уязвимость" тонкой дверки в комнату когда к тебе в квартиру ворвался маньяк с бензопилой.
В специализированном софте креды в памяти в расшифрованном виде могут (теоретически) существовать только в момент автовбива в приложение, который очень мал, что снижает вероятность их спиздить, поэтому при прочих равных нет причин не использовать его.
>Чувак, не будем вдаваться в демагогию. Что плохого, конкретно, может сделать эта прога? Без доступа к сети любая потенциальная "закладка" безобидна.
1. Это сейчас сети нет. Сомневаюсь что это будет использоваться на airgap машине.
2. Закладка в файле с данными, обнуляющая всё шифрование для кого надо
3. Говно принято убирать, а не запихивать под фаерволл
> Он, вроде как, попенсорс.
Вижу только аудит кода под NDA. Который может быть чистым, а в релизе добавлено что угодно ещё. Но тут я начинаю сомневать, о каком продукте мы пытаемся спорить?
Разрешите вопрос, схуяли у меня на пк живет такой пиздец? Кто его туда пустил? Кто подготовил ему окружение? На каком языке он написан?
Тут половина рассуждений в /s/ о каких-то мифических вирусах, которые жопу могут сломать и от которых никуда не спрячешься. Это же буквально паранойя.
Ну вот тут клоун >>3301913 серьёзно считает что у каждого такое есть
Ну если (предположим) современный кипасцх хуево написан и там действительно расшифрованные данные хранятся в памяти от начала работы и до конца, а не только в момент автовбива, тогда Пойнт он имеет. Я не проверял лично.
>Тут половина рассуждений в /s/ о каких-то мифических вирусах, которые жопу могут сломать и от которых никуда не спрячешься.
Есть такая поговорка "Надейся на лучшее, готовься к худшему", анонас. Следовательно, надо быть во всеоружии, защищённым от любого трояна.
захости vaultwarden, который написан на расте на облаке / своем железе с аргоном, насчет бэкапов можешь не переживать - локальная копия на твоем устройстве / устройствах и ты можешь ее заэкспортить, шифруется все на стороне клиента. Выходить из учетки постоянно это надо быть шизом, какой толк в этом? Аноны выше писали про трояны, они правы. Если у тебя зловред, будь то кипас, битворден, мамкин документ экселя, текстовый файл на рабочем столе или любой другой менеджер паролей, твоим паролям пизда неизбежно так или иначе
А, ну ясно. Дон Кихот на страже порядка пиздится с мельницами вместо того, чтобы пользоваться софтом по назначению.
>>3302118
Достаточно не делать очевидной хуйни по типу скачивания софта по первой ссылке из яндекса и пользоваться блокировщиком рекламы, все. В попытках защититься от непонятно чего ты только жопу порвешь на британский флаг, на восемь частей, если быть точным.
В общем меня тоже эта демагогия заебала и я ливаю, трендж скучный.
>>3302121
>Достаточно не делать очевидной хуйни по типу скачивания софта по первой ссылке из яндекса и пользоваться блокировщиком рекламы, все.
На самом деле не достаточно но суть верная. Безопасность не бывает абсолютной и чем ближе подходишь к пределу, тем больше надо времени и средств. Когда-то придётся остановиться.
Очевидно же чтоб не скомпрометировали логин, только возникает вопрос, мы действительно хотим менеджер паролей или мы шифруемся от ФБР
>Безопасность не бывает абсолютной и чем ближе подходишь к пределу, тем больше надо времени и средств. Когда-то придётся остановиться.
Да, ты прав, анон.
>KeepasXC
Пользуюсь этим, но неудобно.
Вот если бы был ПРОСТОЙ БЛОКНОТ, который открывает ПРОСТЫЕ ЛИСТЫ С ТЕКСТОМ, но с аналогичным шифрованием, то это было бы удобнее. Ну и, желательно, вложения что бы были разные, картинку, видик, бекап какого-нибудь приложения и т.д.
>Зато есть сортировка по силе пароля, охуенно.
Это вообще каламбур. Разработчики реально марсиане ебаные.
>Вот если бы был ПРОСТОЙ БЛОКНОТ, который открывает ПРОСТЫЕ ЛИСТЫ С ТЕКСТОМ
Согласен.
А оригинальный файл txt что? Больше не нужен?
Его копия создалась в базе kdbx?
Он будет там. С оригиналами решай сам, что делать.
На мой взгляд, если только для себя шифруешь, то можно онли в базе всё хранить.
Если есть расчёт (мало ли что) на доступ к данным родне-близким, то надо куда-то запрятать .txt, для удобства. Т.к ебаться с шифраторами не всем дано.
Локальное хранилище нинужно. У меня несколько устройств и удобно иметь быструю синхронизацию внутри приложения, а не костыль в виде постоянное бекапа файлика через сторонее облако как в кипасе.
>Ррряяя но ведь твои пароли хранятся на серверах левой конторы, любой сотрудник может посмотреть твой пароль! А если сервера взломают и пароли спиздят?
Для этого не нужно хранить свой пароль в явном виде. Надо солить пароли. Пароль будет состоять из двух частей: одну, "сложную", храните в менеджере паролей, а вторую, т.н. "соль" храните у себя в голове. И добавляете в конец пароля.
Пример: создаете новый пароль для какого-то сайта.
В менеджере паролей генерите рандомный пароль: bVwifU-E89UBKpo73tBF , сохраняете его.
Далее придумываете "соль". Например 1234. Соль держите у тебя в голове и никому не рассказываете.
Заходите на сайт, при регистрации в поле пароля копируете из менеджера bVwifU-E89UBKpo73tBF и добавляете свою соль 1234. Т.о. ваш фактический пароль - это bVwifU-E89UBKpo73tBF1234 , но в МП вы храните только первую его часть bVwifU-E89UBKpo73tBF.
При авторизации на этом сайте МП сам предзаполнит "сложную" часть пароля, а вам нужно только в конец строки добавить свое 1234.
Итого даже если угонят ваши пароли, то они все равно не подойдут, т.к. не хватает соли. Соль придумываете как угодно, можно одну на все пароли, можно свою уникальную на каждую учетку. Добавлять ее можете хоть в начало хоть в конец, главное помнить саму соль и куда ее нужно добавлять.
Идею взял отсюда: https://www.youtube.com/watch?v=boj9q26gadE
Как получить доступ к хранилищу когда нет интернета?
У тебя будет доступ к кэшированной версии твоей базы что в 1Р что в битвордене, получишь доступ без смс и регистрации
Ну не знаю, как то неудобно, а что делать если на новом устройстве доступ нужен.
Кстати про 1Р, я наныл им в поддержку что мне очень нужен качественный менеджер паролей и мне залили $20 на аккаунт, но я его уже удалил, мне больше битворден нравится
Тогда поднимаешь Vaultwarden на своем сервере и не теряешь ничего, у тебя всегда будет доступ, если ты конечно в метро не живешь, сервер то твой
Дверь в туалет на сколько замков запираешь? Железом обил? Камеры установил? А сигнализация?
Дебил, есть такое понятие "зона". Внутри твоей квартиры бесполезно защищаться, это твоя безопасная зона. Защита заключается только во входной двери, чтобы с улицы никто не пролез. Если же пролез - всё, ты проебан, никакая защита уже смысла не имеет.
Так и с компьютером. Нет смысла блокировать свой же компьютер от самого себя, одну программу от другой. Если ты пропустил и у тебя в компьютер пролез троян и там скрытно работает, он может делать что захочет - уже поздно защищаться, твоя безопасная зона проебана.
Если я закрою входную, то как вор пройдёт дальше к другим комнатам?
Тогда зачем менеджер. Проще в обычный .txt забрутить пароли (без логинов) от главных сайтов, а соль самому вставлять.
Синхронизация, автозаполнение, удобное сохранение новых паролей, генератор паролей. Плюс в МП можно хранить не только пароли но и другую важную инфу
Сейчас там крутится wireguard, хочу ещё чего докинуть.
> Вот если бы был ПРОСТОЙ БЛОКНОТ, который открывает ПРОСТЫЕ ЛИСТЫ С ТЕКСТОМ, но с аналогичным шифрованием, то это было бы удобнее
Не знаю насчет аналогичного шифрования, но есть fSecrit, как раз блокнотом выглядит.
>Локальное хранилище нинужно.
Понятно. Дальше не читал.
В остальном похуй, юзай что тебе удобно, мой тред не об этом
Во-первых, дебила ты в зеркале увидишь. Есть большая разница между туалетом и самым ценным, что у тебя есть на компьютере. Ценные бумаги ты же в туалете не хранишь? Стоит понимать, что в таком случае защита не бывает лишней.
Во-вторых, не надо утрировать. Зловред зловреду рознь. С большой долей вероятности никто не станет целенаправленно хакать твою систему вручную, однако однако от простого троянчика, ворующего текстовики, защищённое, насколько это позволяют технические возможности, хранилище паролей является адекватной мерой.
>от простого троянчика, ворующего текстовики
Тупорылый дебилоид. Компьютерные ОС так устроены, что если может воровать текстовики, сможет и всё остальное украсть. Заруби на своей тупорылой кочерыжке, если троян на компе, он может всё, на компьютере отсутствует защита от самого себя, такое есть только на анальных гейфонах, игровых консолях и тому подобной анально огороженной дрисне, но не на компьютере. В этом весь смысл компьютера, что там можно делать что угодно, поэтому это не консолепараша или мобилкапараша, а компьютер.
Если ты не можешь пользоваться компьютером избегая троянов, слишком тупорылое говно, пользуйся планшетами, там тебе и защита будет и дилдак в жопу, всё как любишь, а в компьютеры не лезь, там никакой защиты нет и быть не может, только дерьмодауны вроде тебя верят в эту поеботу.
Ты чего так раскудахтался, петушок? Здесь аноны ведут адекватные беседы. Если не можешь так же, смойся в /б, говно, где тебе самое место.
И не заставляй меня ссать на твоё тупое ебало с твоими тупыми дилетантскими советами.
>>3302724
Тупорылое говно, ты никто и звать никак, не можешь разевать ебало в разделе компьютеров пока полностью безграмотное тупорылое хуйло. Съеби в раздел мобилок или консолей, где такие дебилы как ты только и умеют тыкать в иконки, а здесь ебало завали и сдохни нахуй, тупорылый выродок. Нихуя не понимает в компьютерах, но приперся и еще что-то кудахчет. Ты понимаешь, что ты только серешь тупостью и больше ничего? Кому нужна твоя тупорылая серь? Никому, только гадишь во вред всем.
>никому
Никому твои выебоны здесь не нужны. Ты можешь двери не закрывать, пароли на устройства не устанавливать, даже паспорт сюда свой можешь скинуть - никто же не сможет им воспользоваться. Все эти потуги показать себя и ощущать безопасность остаются до первого облома.
>нихуя не понимает в компьютерах
То, что в твоей деревне появился недавно компьютер, ещё не значит, что ты стал слишком опытным пользователем.
Так, что жмёшь своей шаловливой ручонкой наши большие члены и уходишь из треда.
Быстро оформил съебчанского крутить рулеточки в /б, животное. Даже не читал, что ты там напукал.
Тупосраль, просто сдохни отсюда нахуй. Свинячий визг дебила никому не нужен. Не можешь ничего сказать по теме - пошел нахуй, тут не помойный чатик вырожденцев, а раздел обсуждения софта. Не понимаешь ничего в софте - нахуй иди, или ебало завали и читай молча.
Удобнее keepass ничего не придумали. Он мультиплатформенный, он удобный для заполнения, заполнять можно из блокнота и импортировать в бд если хочется быстрее.
Спасибо что сам всё рассказал, меньше работы потребуется.
Сколько тебе платят за рекламу?
bitwarden на селфхосте вышел из чата
Зумеры без ОБЛАКОВ вообще нежизнеспособны?
>вышел из чата
Хуя там пердолинг моё почтение.
Проблема битвардыча в том что они капиталисты а собственно наверняка намеренно не хотят сделать хорошую оффлайн версию для того чтобы подсаживать юзверей на свое гомооблако а собственно и подписочки, я думаю что для них это не сильно сложно в плане реализации тот же крякнутый 1password старой версии 2016 до сих пор работает и браузерная интеграция в некрорасширении тоже. Могли бы готовую виртуалку однокликовую OVF выпустить для бояр с овердохуя рамы но этого тоже нет. Какой-то докер гайды пердолинг напоминаю самостоятельно а для дебилов которым нужно тупа на локальном компе нихуя. Мне нахуй это не нужно как лишенному мозга индивиду я уж лучше потерплю на облачной параше как терпел 3 года без 2FA в один клик но просто констатирую факт что это 95% делается намеренно.
Все потому что ты на винде и в гуи, ты не до конца джедай
>>3303309
Так это твое личное облако, я пользовался кипсиной пару лет, меня заебало из одного устройства в другое переносить. А в битвордене сервер твой, шифруешь на клиенте, удобно и безопасно
Пикрелейтед.
У меня все важные пароли посолены, в МП храниться пароль без соли. Даже есть вирос/мамкин хакер/сотрудник утащит мой "пароль" из моего МП, то он все равно в учетку не войдет, потому что это фактически только часть пароля.
> то он все равно в учетку не войдет, потому что это фактически только часть пароля.
Даун, если все пароли не будут подходить, очевидно твой метод легко поймут, и чё сколько символов вторая часть? Всего 4? Так это пару минут бруфортп
Метод в теории довольно неплох, вот допустим он добавил соль 666777 и хакеру уже нужно сделать миллион попыток входа в гугл если известно что соль 6значная и состоит онли из цифр. Это уже физически очень трудно реализовать, потребуется дохуя прокси. А уж если ничего из этого неизвестно.. там расходы пойдут на тысячи и десятки и сотни тысяч долларов чтоб к этому гуглу подключатся и выполнять попытки входа и с вероятностью 99% он просто локнет акк и не пустит если пасс будет подобран. С офлайн софтом уже сложнее но только в плане того что нужно выбирать более длинную комбинацию как соль.
Попробуй хотя бы 2 символа подобрать. Акк блокнут уже на 3й - 5й ну максимум 10й попытке за подозрительную активность и ты не войдешь в сервис пока фотку ануса не пришлешь.
По моему ебли больше чем выхлопа. Если хочешь свое, то юзай keepass и его форки и синкай файлик с паролями через облако.
А вообще добавляешь к паролю соль и хранишь в любом месте.
Что такое ХМРР сервер?
>там расходы пойдут на тысячи и десятки и сотни тысяч долларов чтоб к этому гуглу подключатся и выполнять попытки входа
Анончик, пароли регулярно утекают то там то тут, по вине хуёвых хранилищ у третьих лиц. Найти твои утёкшие пароли не составит труда любому васяну, поюзавшего слитые базы.
Что ты будешь делать, когда твоя "соль" утечёт? Менять все[/i ] пароли?
Зависит от целей и требований.
Откуда она утечет, из моей головы? Она нигде не хранится, плюс она у меня не везде одинаковая, но ее несложно запомнить. Ставь норм соль и не парься.
А когда утекут базы, то никто не будет бутфосить твою соленую учетку, когда рядом тысячи паролей без соли. Пойдут по пути наименьшего сопротивления.
Если не уверен в том, что сделаешь все как надо и защитишь сервер / будешь обновлять и тд, то идея херня и лучше официальный использовать. В любом случае если ты очень дорого стоишь, то смею предположить что и как кипасом пользоваться / поднимать свой сервер чтобы было все безопасненько ты тоже знаешь(однако поднимая Vaultwarden имей ввиду что аудита не было в отличии от официального сервера, поэтому на свой страх и риск либо сам аудит делай), в другом случае это баловство. Для нормисов/гиков обычный Bitwarden либо 1password достаточно с головой
>Откуда она утечет, из моей головы?
>Она нигде не хранится
Написал же ->
>слитые базы
Она хранится в БД сервисов, которыми ты пользовался.
>плюс она у меня не везде одинаковая
Ну две-три их. С учётом, что утёкших паролей может быть с дюжину и больше, ситуацию меняет не сильно.
>никто не будет бутфосить твою соленую учетку, когда рядом тысячи паролей без соли. Пойдут по пути наименьшего сопротивления.
Возможно.
Так ты не ответил. Что ты будешь желать, когда твоя "соль" утечёт вместе с рандомными паролями?
>Она хранится в БД сервисов, которыми ты пользовался.
Сервисы, если это не форум 2005 года, не хранят пароли открытым текстом, они шифруются по 100к раз чтобы усложнить брутфорс и чтобы сотрудники не смогли спиздить пароли. Офк речь идет о серьезных чувствительных сервисах.
>когда твоя "соль" утечёт вместе с рандомными паролями
Как ты это себе представляешь? Для этого нужно чтобы одновременно произошли два маловероятных события и между ними было очень мало времени:
1. Утекла БД менеджера паролей (что по-моему даже в дырявом ластпассе не было).
2. Утекли пароли какого-то сервиса, что еще страннее, потому что современные сервисы не хранят пароли в явном виде, а прогоняют через хеш по 100к раз, чтобы усложнить брутфорс. И насколько я слышал, утекают только пользовательские данные, такие как фио, телефон, емейл, но не пароль.
Вероятность реализации этих двух событий одновременно по-моему ну крайне мала.
В любом случае, если станет известно об утечке из МП, то это сразу крест на продукте, и смена всех важных паролей, даже соленых.
Даже если ты найдешь одну соль, то потом попробуй подбери соль для другого сервиса. Тебя уже на 3й - 10й попытке залочит сам сервис за брутфорс.
Далее, даже если ты подобрал пароль, то подключена 2фа, удачи с ней. 2фа подключена на всех важных сервисах, не через аутентификатор, так через смс.
база то все равно зашифрована, а доступ к телеге у меня на всех устройствах есть
уничтожаю блокнот*
Если у тебя мастер пароль нормальный, то безопасно, но нахуя тогда кипас вообще ? Очень часто будешь видеть как на одном устройстве старая версия, а на другом новая и тебе придется выбирать какую оставить. Если нужна синхронизация, это Bitwarden
В теории да, если у тебя хороший пароль от гугла и 2фа стоит, и хороший мастер пароль на базу.
Но блин, я одно время пользовался кипасом с синхронизацией через гугл драйв - мне не очень понравилось. Слишком медленная синхронизация приводила к тому что возникали конфликты файлов, когда в облаке у тебя одна версия файла, на компе другая, на мобиле третья. Сидишь потом это все новые записи руками синкаешь.
В браузере небезопасно хранить пароли получаеться?
Если отдельные менеджеры паролей вообще существуют, значит несовсем.
Может и безопасно, а смысл так делать?
Браузеры время от времени скатываются в сраное говно и их приходится менять. Как перетаскиваь будешь? Уверен что тебе дадут экспортировать и импортировать данные, или по одной штучке вручную? А в отдельной базе ничего не проебалось за очень много лет. Кроме того, надо сохранять также как-то ключи и креды не от сайтов.
>браузеры скатываются
Лиса и хром до сих пор не скатились. А аналогов им и нету, только поделки на их основе.
Естественно. В браузере это замануха попиздить и твои пароли вдобавок ко всем остальным собираемым данным. Туда же идут предложения ввести в браузер адреса и способы оплаты. Разве не видно, что это отдача твоей жопы со всеми потрохами в чужие руки? Ладено бы хоть платили за это, а то блять бесплатно отдайся, лол.
Осталось ещё закладки, журнал и историю бэкапить во внешние приложения.
За исключением криминала, людей как правило не парит история посещения веб-сайтов, это действительно фигня которую "нечего скрывать". Однако пароли, адреса и банковские карты совсем другая история, это уже серьезно, как ключи от квартиры, давать другим никак нельзя. А браузеры пытаются под шумок неважной веб-истории попиздить именно твои жизненно важные приватные данные.
Историю выключить. Зачем она вообще? Букмарки забэкапить в html.
>забэкапить
Они постоянно дополняются, в истории иногда приходится рыться, если, что забыл.
> Попробуй хотя бы 2 символа подобрать.
Ну ты тупенький, зачем подбирать там где защита стоитт
Наоборот, проблема что браузеры стали самовольно удалять историю. Раньше без хуйни можно было найти что угодно, а теперь они принудительно чистят. Но конечно у себя на серваках всё хранят что им надо, только самому пользователю залупу за воротник.
на ведре keepass2android, на винде KeePass Password Safe, на линуксе его же (работает на не уважаемом красноглазыми mono), либо чисто линуксовый keepass XC (но этот не умеет в нормальную синхронизацию с облаками и плагины).
Уже много лет сижу на этом даре богов. И под ведро реализация прекрасно исполнена, надо сказать.
Есть всё, что нужно. Сверхбезопасное шифрвоание. Можно включить argon2d+chacha20 вместо aes256, чтобы не зависеть от потенциально дырявых api и получить устойчивость от перебора даже на asic и ГПУ фермах. И тебя не сломает даже цру на суперкомпьютере. лишь бы сам мастер пароль не проебал (хотя можно дублировать еще ключом, который хранить отдельно, тогда и пароль проебывать можно).
Умеет в синхронизацию, автмоатическое заполнение (на ведре несколькими методами - безопасным и гибким - авто сменой клавиатуры на специальную или гугловыми автозаполеннием),
на венде благодаря плагину умеет читать url из браузера, чтобы автоматически выбирать запись в базе и начинат ьавтоввод (в сам браузер ничег оставить не требуется, работает аксесебилити сервис встроенный в браузер из коробки).
Позволяет созадвать произвольные поля разного назначения, скрытые или плейнтекстом. умеет генеирровать totp. Есть история версий, удобная организация паролей в базе и еще куча всяких фишек сложных типа ссылок одной базы на дургую, хитрых модификаторов и тд.
один минус есть только. на ПК программа не парсит страницу сайта в отличие от всяких плагинов для браузера. и поэтому не знает какие поля конкретно надо сохранять и заполнять. Есть и для этого костыль в браузер, но я бы не рекомендовал.
соответственно, алгоритмы авто заполнения основаны на имитации ввода с клавы. А так как ебучие дизайнеры и их тупые макаки чуть ли не раз в три дня меняют формы ввода на сайтах, то автоввод не редко ломается. Есть взможности для заполнения самых сложных форм ввода, для самых кривых сайтов. Для случаев ,коггджа url меняется и когда нельзя предсказать вылезет ли капча и запросит ли двухфакторный пароль. Но после того как тфы все настроил и сохранил ебучие дизайнеры с макаками все меняют. пиздить их надо по голове.
ну тту уж выход только один - юзать плагины для браузера типа ластпас (что совсем не безопасно, там даже не шифруются логины и хранятся с правом передачи третьим лицам у одной маркетинговой компании), ни говоря уж про возможност ьпроизвольного исполнения кода).
встроенный же в сам браузер менеджер слишком простенький и деревянный, может в 70% случаев залогиниться, а вот с оставшимися соснулей.
база синхроинзируется, как оыбчный файл-контейнер. сначала файл сохраняется, потом отправляется на сервер. А т.к. он зашифрован, то гугл его никак не откроет.
но если параноик, то сначала создай в гугл драйве базу из ведроида с паролем 1234. измени алгоритм шифрования (усилив защиту, например argon2d+chacha20, 16циклов, 64мегабайта).
после этого измени пароль на нормальный (от16символов). А только потом начинай записывать в базу пароли.
Если ты создашь базу сразу со своим паролем, но на дефолтной слабой защите aes256 с минимальным количеством циклов, то потом уже повышать стойкость базы смысла не ьбудет, если пароль останется тем же. гугл просто введут твой пароль и откроет базу.
ну и надо откобючить локальные бэкап копии на ведре. иначе останется старая база с легким паролем в памяти.
> android
> не взломает даже цру
Если у тебя модель угрозы такая что за тобой цру, ты бы не пользовался андроидом совсем, да и телефоном в целом тоже. Как я уже и говорил, кипас это мнимая безопасность с такой моделью угрозы, лишние танцы с бубном и ради чего?
андроид не эпол. -система открытая. удобных и универсальных бэкдоров не закопаешь туда без палева.
А мастер пароль от базы набирается на не гугловой клаве. И автозаполнение не зависит от гугл сервисов.
Если боишься потерять мастер паролть, всегда можно добавить второй факторв в виде ключа, который ты не хранишь на телефоне ,а отдельно на флешке, которую после разблокировки базы прячешь в задницу своего пса.
на самом деле андроид безопаснее венды.
Если уж на то пошло. в андроиде нет такого простого доступа к буферу экрана, памяти другого приложения и его библиотекам и тд. андроид в разу безопаснее венды. и эпола, где ты не знаешь как что работает и вся система управляется напрямую из облака.
но чтобы настлько заморачиваться, надо держать логины от собственного ЦОД или минимум дедика. где ты знаешь как что работает на стороне сервера.
потому что защиты типичных сервисов гораздо слабее получится, чемты тыришь пароли на своей стороне.
Это уже дебри не интересные простому человеку.
Но и ластпас это не дело, когда маркетинговая компания просто хранит плейнтекстом мыла и логины. шифрует тоьлко пароли не очень-то надежно в браузерных скриптах.
и ты полностью зависишь от удаленного сервиса.
к тому еще добавляются дыры самих браузеров при отправке в них паролей. пока что эмуляция клавиатурного ввода безопаснее всего. особенно на линуксе, особенно на вейланде.
>Если боишься потерять мастер паролть, всегда можно добавить второй факторв в виде ключа, который ты не хранишь на телефоне ,а отдельно на флешке, которую после разблокировки базы прячешь в задницу своего пса.
А как на андроеде заходить в таком случае? Каждый раз подключать флешку с этим файлом? Ебанешься же.
Почему не запилили возможность залочить базу еще и под TOTP? Это гораздо удобнее чем файл-ключ.
Алсо напрягает, что если в твою базу кто-то войдет, ты даже об этом не узнаешь. В облачном МП тебе сразу придет сообщение на почту, что произошел вход с нового устройства.
Алсо тебе нужно этот файл(ы) где-то в облаке хранить, дополнительно запоминать еще и пароль от облака, а у меня все пароли в МП.
Ну и сам синк через сторонее облако - пиздец костыль, работает медленно. Не всегда уверен последняя ли у тебя копия файла или нет. По крайней мере через я синкал через гугл драйв на андроиде - бывало что пока в прилагу гугл драйва не зайдешь, синк не происходил. Короче если у тебя в кипасе 3 записи, и ты добавляешь/редачишь там раз в пол-года, то мб это и ок, но если что-то добавляешь чаще, то он неудобен, если работать с нескольких устройств. Плюс мокрую письку от гугла нужно ставить, на комп. Такое себе.
пиздец, ладно
> андроид не эпол
"венда" не космический корабль, но при чем тут это? Я тебе про то что телефоном пользоваться с этой моделью не нужно, но тебе лишь бы перед одноклассниками повыебываться видимо
> на самом деле андроид безопаснее венды
абсолютно все безопаснее винды, назови любую систему
> андроит бизапаснии венды и вапще я так скозал и этат эпол тут ищо закрытый сафсем вапще уже
пора лечится от шизы, и кстати да, эпл - не система.
> управляется из облака
ХАХАХАХА, да, андроид роботом управляется, или у вас в деревне еще этого не знают??! КАК ТАК
>KeePassXC Password Manager
Пользуюсь больше года. Не задавайте ответы, мне чисто похуй лел.
>Сервисы, если это не форум 2005 года, не хранят пароли открытым текстом, бла бла бла
Анон, вбей сейчас "глаз бога" и аналогичные сервисы втелеге, особенно те. что специализируются на утёкших паролях. По любым своим данным (емейл, телефон, ник, страница в соцсети и т. д.) найди свои утёкшие пароли. И это только верхушка айсберга, то, что лежит в бесплатных базах.
Ты, пока, в упор не понимаешь, о чём я тебе говорю.
>Тебя уже на 3й - 10й попытке залочит сам сервис за брутфорс.
Никто не подбирает просто так. Ты думаешь там дядя ручками вводит пароли через форму логина? What a grand and intoxicating innocence. How could you be so naive?
>безопасно вообще?
Нет. Учитывая, что в теории любой шифр рано или поздно будет подвергнут дешифровке, не безопасно.
>>3304423
>Лиса
Ошибка на каждом пятом сайте то с тем, то с этим.
привожу самый простой и очевидный пример:
1. на винде любая программа имеет возможность переписать библиотеки любой другой программы. Например вирус может подменить библиотеки плагинов в твоём браузере. И те начнут парсить страничку входа в банк. Смекаешь? Или нет? Ну ты подумай немношк.
На ведре это вообще невозможно принципиально. Никакие приложения, даже вирусные, не могут переписать библиотеки других приложений.
2. На венде всё что угодно может смотреть буфер экрана. Графическое окружение абсолютно не защищено. Майкрософт даже выдумал костыль за прикрытия этой дырки в виде специального режима ввода пароля. он может быть вызван и кстати кипас это делает для ввода мастер пароля, если галочку тыкнуть в настройках. Но всё остальное может быть заскриншоттено любой программой.
На ведре есть ограничение на доступ к бферу экрана приложений.
На линуксе, и в xorg и в wayland так же стоит несколько препятствий на чтение буфера.
3. Винда устанавливает ТОЛЬКО бинарники. Ты не знаешь, что там. Если конечно не будешь заниматься декомпиляцией и угадывать функции когда.
На линукс и ведро программы ставятся из ерпозитория, а не с сайтов васянов. В случае линукса ты можешь использовать только открытый код или собирать из исходников сам. Поэтому для тебя сюрпризов быть не может.
Но даже если ты запускаешь закрытый appimage пакет, он исполняется в отличие от венды, в своей песочнице. И без рут прав. Поэтому не имеет в системе привелегий даже для того, чтобы создат ьсебе ярлык на рабочем столе.
Продолжать или дошло, манька окошечная?
>На линукс и ведро программы ставятся из ерпозитория, а не с сайтов васянов
Дальше не смог читать из-за вытекания жирноты. То есть васян, загрузивший свой пакет в репу это конечно же другое и становится не васяном, да?
>То есть васян, загрузивший свой пакет в репу
В репу грузит не васяны, а мейнтейнеры. Васян пишет код и открывает исходники. всё.
прикинь!?
А даже, если ты установил из не официального источника, например из PPA или скачал deb|rpm с сайта. То явно вредоносный софт сломать систему не сможет. Ты максимум навредишь тоьлко юзерспейсу. И то без рута опять же вредоносная программа не может испортить другие программы. да и под рутом не всегда.
в шиндовсе считай, что все исполняется под рутом и всё имеет доступ ко всему. плюс еще из облака МС тебя потрахивает.
Почему на 99% серверов linux и бсд, а не виндовс сервер? Угадай с одной попытки. Угадал? -правильно, разграничение прав доступа между юзерами и между софтом и системой. Ну это одна из причин, есть и другие. -большая стабильность, например.
госпади, да шиндовс в 2023ем до сих пор ебёт мой файл подчкачки, как сумасшедший. Сколько бы ОЗУ я ей не выдал.
линукс ест не 6гб, а 350мб и своп у меня прост остоит пустой - все работает из озу.
нвидия гадит и не дает нормально работать своим дровам.
но в играх амд с драйвером amdgpu под линуксом ФПС выше ,чем на десятке. такие дела. Если корпораты не сговариваются с игроделами, то все работает.
А сейчас как синхронизируешь?
Насколько я могу быть уверен что моя база не сломается при синхронизации либо в процессе из итераций шифрования твоим чача и аргоном? Почему нельзя сразу пароль большой ставить?
Никак, я юзаю облачный МП и солю пароли (выше по треду описан принцип).
>Насколько я могу быть уверен что моя база не сломается при синхронизации
Потому что транзакционная схема работы с файловаой системой. Плюс проверка версии файла на облаке до синхронизации (и после локального сохранения). Если есть два изменения - одно локально, другое на облаке, то будет запрос - сохранить оба или один из.
На облако попадает только зашифрованный закрытый контейнер. Как обычный файл. С подписью, известной контрольной суммой и версией. заменить его или незаметно испортить нельзя. поэтому мжно даже через ФСБ синхроинизровать, митм не канает. внутри есть подпись.
личинка на линуксе, ты лично аудит делал? Код то у него написан на С, я бы больше доверял чему то на Rust, хз почему все просто на доверии начали пользоваться. Официального аудита не было у кипаса никогда, недавно первый "независимый аудит" от васяна появился, но это даже не компания и тем более не Cure53
гомик, тебя вообще не спрашивали. Твои пароли лежат в облаке и ты их лишаешься за неуплату подписки. Съеби нахер.
Локальная копия всегда есть на компе и на мобиле, открываются в оффлайне.
После истечения подписки все записи доступны для чтения.
С чего ты это взял, личинка ?
У меня свой сервер дома, где у меня Vaultwarden, синхра по впну, порты закрыты и вход по ключу. Чем этот сетап хуже твоего файлика .kdbx? Давай сюда свой аудит, почитаю.
О какой ужас, Вася Жопов из Задрищенска станет не таким секьюрным и приватным, надо сообщить в ООН)))
Ты шутишь, сейчас на другом конце земного шара узнают что он дрочит на гей негров, завтра на первых страницах Гардиан и Таймс!
Вы здесь преувеличиваете свою значимость, сынки. И создаете себе лишние сложности.
Тупице не хватило мозгов прочитать руководство. И этот олуш требует, чтобы за него почитали книгу. Ебанутый, пошел вон отсюда.
Шифры и секьюрите не для тебя, ты умом не тянешь.
Как бы мне bitwarden из рахи оплатить?
Хочу попробовать встроенный их TOTP, я так понял что он будет еще и второй фактор сам проходить без необходимости дополнительно authy открывать
>Как бы мне bitwarden из рахи оплатить?
Там можно пополнить баланс счета биткоином.
>встроенный их TOTP
Удобно, но небезопасно. Второй фактор он на то и второй фактор, а у тебя получается все яйца в одной корзине.
Я как раз вчера наоборот поудалял все TOTP коды из МП, и а потом обновил их и все добавил в телефон в приложение Aegis. Оно лучше гугл аутентификатора, потому что оно открытое и там можно по человечески создать бекап и зашифровать его. Повключал TOTP везде где только можно.
Представим экстремальную ситуацию, что ты оказался в новом месте без доступа к своей технике, без всяких бумажных бекапов. Но при этому у тебя есть новый комп и новый телефон. Тебе нужно войти в свой облачный МП/облако, где хранится файлик с паролями. Как это сделать, если МП/облако защищены 2FA?
Мне пока на ум пришло только хранить секрет от 2FA к МП/облаку в отдельном МП/облаке, на котором не будет 2FA, а будет только пароль.
>Как это сделать, если МП/облако защищены 2FA?
Да вот возьми и зайди в тот же гугл с нового телефона, там помимо аутентификатора еще по смс можно вход подтвердить или с запасной почты. Я когда новый телефон купил и свою симку вставил - даже смс вводить не пришлось, просто по паролю зашел.
> в МП
Челы с реддита покупают юбикеи, например. А если ты уже смог зайти в свою почту то код можно и на нее получить, помимо приложения.
Так пароли от гугла/почты рандомно сгенерены и хранятся в МП, а в МП под вторым фактором.
Думаю что слегка перебор, пароль от основной почты все же нужно помнить а мусорную на которую ты весь кал регаешь уже сгенерировать
Не секьюрно. Я еле-еле для МП сложные пароли придумал. А для почты надо придумывать новый сложный пароль, потом я его сохраню в МП, и не буду вводить вручную. А когда он мне понадобится, то я его не вспомню. Плюс там второй фактор.
В мастер пароль для МП вводишь каждый день почти, он так и запоминается.
А в totp ты каким образом попадаешь? Вероятно надо с этого начинать
Ну аутентификатор, чем ты там пользуешься
В тот же authy например по номеру телефона заходят и уже имея в руках свой 2fa можно зайти в МП
>из облака МС
Чиво?
А причём тут андроид?
Хуй соси, дебил не могущий в два плюс два.
Токен для генерации totp в любом случае нужно записывать вручную в базу кипаса (лучше отдельную, но в этом есть смысл только, если ты ее открываешь не на том устройстве, на котором вводишь пароли).
Если телефон сломал/потерял, то просто открываешь бэкап базы или загружаешь из облака. и все работает и генерирует. если юзаешь для генерации другое приложение, ну вставляешь из кипаса в него.
Если кипас не хочешь, записывай двухфакторный код на бумажку и носи в трусах всегда.
если токен не записывать, а сканировать камерой просто, то ты рано или поздно проебешь аккаунт, как только потеряешь телефон/удалишь приложение для генерации, а открытого сеанса в аккаунте не будет. Так 99,99% людей и делают. А потом ноют в отзывах на приложение, что безопасный метод входа слишком безопасный и хорошо бы, чтобы он быд не безпоасный и бессмысленный, чтобы они не проебывали свои акки.
Так же как и запасные ключи от квартиры, если живёшь один. Куда угодно, хоть в задницу.
Насколько безопасно pass + gpg? По факту у злоумышленника не получится получить доступ к ключам не имея доп пароля и приватного ключа. Все будет локально на флехе.
>локально на флехе
Т.е. заранее проёбано
Можно в принципе в другую базу keepass закинуть, с другой стороны winrar и veracrypt защитят получше - но это отдельное приложение на смартфоне (палево).
Отправь себе с фейк майла письмо с запороленным рар архивом и успокойся.
Так я иногда буду юзать, на разных устройствах. В т.ч что-то добавлять, исправлять.
KeePass лучше защищает, так как Argon2.
Если тебе надо хранить что-то так, чтобы факт хранения не был известен, это уже стеганография.
Можно хранить текстовые файлы внутри фотографий, например. Не рарджипег, а именно зашифровано в пикселях. Так же можно шумом на видео записывать файлы.
Можно создавать скрытые зашифрвоанные тома на дисках.
В конце концов просто на флешку сохранять и прятать ее. microsd не найдешь куда затырить что ли?
Юзай старую версию Roboform, которая еще не онлайновая параша, там всё на одной странице, и можно пихать поля как хочешь.
А накой тебе XC на винде?
Двачирую полностью. Алсо, что на твоём пике?
Да я просто решил спустя пару лет снова установить его, думал мб че поменяется, но он как был уродливым так и остался.
Или там кроме XC есть какие-то другие клиенты, более модные? КипасХ вроде не развивается, а ХС самый "современный".
>>3307936
1password. Из всех МП что я перепробовал оказался самым удобным, но и самым дорогим. Зато почти на всех сайтах может в нормальную подстановку логина и пароля, а не как в битвардене/кипасе, где на каких-то сайтах форма тупо не заполняется, приходится ctrl-c ctrl-v делать.
Стандартный Кипас развивается, я на нём сижу
>keepassXC
Неудобный и синхронизации нет. Думаю, лучше уж оригинальный кипас на mono юзать. На винде к нему привык, всё функциональнее и удобнее. И синхронизация есть.
Скачал стандартный. Он оказался еще хуже чем XС
> хуже
во зумер даёт, гляньте🤣🤣🤣
Ты просто не осилил.
К тому же для старта нужно его грамотно настроить, добавить плагины и выработать правила, чтобы никогда не залипать-чтобы всё было единообразно и работало для тебя предсказуемо.
Если не осиливаешь, сиди дальше на ластпасах своих.
Тот факт, что программку, суть которой - просто отображать текстовые поля, нужно "осиливать", показывает, как убого она реализована.
Почему-то в других МП такой хуйни нет, только в кипасе.
https://github.com/keeweb/keeweb/releases/tag/v1.18.7
А последние изменения были 2 года назад, видать авторы забили хуй.
Да я хз что тебе не так. Выглядит старо?
Обычный кипас из коробки вернул мне мой 2003. Там даже TOTP нет.
Про XC: ну UI еще терпимый, но UX вообще неудобный. Даже скрин не могу приложить потому что там напердолили какую-то защиту от принт скрина. Но на словах я уже писал - я не могу ткнуть на запись и увидеть сразу все ее поля в одном месте. Логин-пароль в одной вкладке, а кастомные поля и аттачи зачем-то вынесены во вкладку "расширенные". Нахуя? Тотп вообще блять через правую кнопку нужно смотреть. Я вообще даже сначала не сразу понял, что там ТОТП поддерживается. Пиздец какой-то.
Расположение элементов - тоже беда. Там 3 области: слева дерево элементов, а справа список записей и ниже под ним данные по записи. Зачем область с данными запихнули ПОД список, тем самым сократив его, когда справа дохуища свободного места и у нас в 2023 уже у всех мониторы широкие а не 4:3? Еще и разнесли эти данные на 2 столбца что ухудшило читаемость. Лучше когда все в столбик
>суть которой - просто отображать текстовые поля,
Вообще-то, она ещё умеет автоматически заполнять поля в других программах и на сайтах, имитируя клавиатурный ввод. Копипасть пароли глупо. И для этого там нужны кое какие донастройки.
А если ты будешь синхронизировать базу через дефолтный интерфейс вместо правильного плагина, у тебя пароль от облака будет простым текстом в папке лежать. Ну это для примера.
А все претензии, что программа не такая - она бесплатная, дядя. Ты хоть копейку задонатил на раработку?
Ну вот. И даже будучи бесплатной опенсорсной она во много дает больший функционал и большую безопасность, чем коммерческие.
> Там даже TOTP нет.
Вообще-то есть. Добавили из коробки в этом году, емнип.
Ты чё скачал? Устаревшую версию для соместимости с древними БД? лол
нахуя тебе целую отдельную ос запускать? Есть контейнеры веракрипт. смонтировал контейнер, как том и закинул все что надо. отмонтировал и у тебя зашифрованный файл лежит.
Что ты собрался шифровать? Файлик кипаса по дефолту зашифрован. Экспорты из других МП тоже шифруются, если конечно ты не прямо указываешь что не надо шифровать.
Что может быть важнее безопасности?
Названия додзиней про волкодевочек с волосатыми пёздами.
Проще хранения симметричным ключом файлов и документов, списков паролей в текстовом файле ничего нет. Все это шифруется Ринаджайлом. Ну можно пасс еще без всяких контейнеров, а просто файлов.
>Но на словах я уже писал - я не могу ткнуть на запись и увидеть сразу все ее поля в одном месте. Логин-пароль в одной вкладке, а кастомные поля и аттачи зачем-то вынесены во вкладку "расширенные". Нахуя?
О чём я и говорю.
ОП
Только безопасности как я понимаю не прибавит. Постоянное монтирование размонтирование и активное использование файла с паролями создаёт всякие незашифрованные проекции файла в системе, кэше хуеше логах и пр.
>хранения симметричным ключом файлов и документов, списков паролей в текстовом файле
Не понял, как это? Что за симметричный ключ?
https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D0%BC%D0%BC%D0%B5%D1%82%D1%80%D0%B8%D1%87%D0%BD%D1%8B%D0%B5_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B
Простыми словами - каким ключом (паролем) зашифровал, таким и расшифровываешь.
А бывает по-другому? Что, ввёл один пароль, расшифровал другим?
Так в основном и делают. Никому не нужен пароль котоым можно зашифровать данные имперсонировав другого. Дается пароль только на расшифровку чтобы пользоваться, однако создавать - зашифровать может только хозяин своим секретным паролем, так что никто другой не может под его видом вклиниться в систему. В этом вся суть криптопараши - дрм, цифровой гулаг.
А если пароль изначально 30+ символов, но мало циклов и аес256?
Как решить проблему автоматического отслеживания слитых паролей?
> насколько важна для вас проверка слива паролей?
да_поебать_мне.jpg
На всех важных сервисах подключена 2FA через TOTP. На крайняк через почту или смс, если TOTP не завезли. Все пароли рандомно сгенерированы, так что если и сольют какой-то пароль + почту для одного сайта, то ни на каком другом сайте он не сработает.
>Как решить проблему автоматического отслеживания слитых паролей?
У 1password есть такая фича из коробки. У битвардена есть такая фича в платном премиуме. Если тебя парит, можешь раз в месяц проверять критичные пароли вручную https://haveibeenpwned.com/Passwords
Спасибо, добра тебе
Блять ну ты серьёзно? Сливы проверять? А если пароли были спизжены, но не опубликованы?
Когда у тебя свой сервер, ты отключаешь вход по паролю и создаёшь SSH ключ. А еще опционально закрываешь порты, настраиваешь кнокер и тд. Ты сам отвечаешь за безопасность. В случае регистрации в чужих системах ты должен доверять их владельцам. Единственное, что добавляет уверенности в этой ситуации это двухфактор по totp или хотя бы смс. Ну и регулярная смена пароля. Можешь раз в месяц генерировать новые пароли на все аккаунты. И тогда на сливы будет похер.
Есть не так много аккаунтов, в которых есть смысл этим заниматься.
Двачую, про доверие: особенно банки любят ставить ограны вроде пароль 15 символов максимум, вход по смс и звонок из банка)))
Двачую, про доверие: особенно банки любят ставить ограны вроде пароль 15 символов максимум, вход по смс и звонок из банка)))
Меня веселят люди ,которые генерируют пароли из головы по какому-то хитрому алгоритму. Думают, что никто не догадается.
Ну если такой пароль один, то конечно не догадаешься. А вот если собрать штук 5, можно найти закономерности. А т.к. и от банка и от какого-нибудь торент трекера пароли по единому сценарию делались, то всё - пиздарики.
И хуй че докажешь таким сверхразумам.
Спасибо, Антоша
>А если пароли были спизжены, но не опубликованы?
Годное замечание, не подумал об этом.
О сливах напишут в новостях тематических. Для профилактики меняй пароль так часто, как желается.
>Чтобы только тыкнул, а все само собой заполнилось.
keepass+WebAutoType plugin
Брайзерные заполнялки менее гибкие. не на каждом сайте работают даже. кипас может все, что ты сам можешь сделать руками на клавиатуре. пишешь любой алгоритм заполнения и он делает.
обрати внимание на эти плагины еще.
GoogleSyncPlugin
AlternateAutoType
AutoTypeSplitter
CheckPasswordBox
>AutoTypeSplitter
позволяет остановить заполнение на каком-то этапе и показать форму диалоговую, где можно тыкнут ькнопочку продолжения алгоритма или остановки. полезно, например, если сайт иногда запрашивает двухфакторный код, а иногда нет. хром ничего подобного не умеет. он деревянный совсем.
Это все хорошо, конечно, но я использую keepassXC.. наверное стоило сразу сказать, а то ты уже столько плагинов посоветовал ><
keepassxc-browser расширение
>Если тебя парит, можешь раз в месяц проверять критичные пароли вручную https://haveibeenpwned.com/Passwords
Щас бы вбивать свои пароли на каком-то сайте...
>keepassXC
зачем? он даже в синхронизацию не умеет.
Можно конечно что-то вот такое использовать
https://github.com/astrada/google-drive-ocamlfuse
Чтобы создать папку, примонтированную в гугл диск и сохранять в неё БД. Но работать будет это плохо. Не будет проверки версий и слияния.
синхронизирую файл базы syncthing'ом вместе с остальным говном. Никаких проблем
Боже какой пердолинг
У тебя не работает проверка версии БД и слияние изменений по запросу.
Это неполноценная синхронизация.
Поэтому keepassXC не нужон. Да и ui там говно. И плагинов нет. А браузерный не безопасен.
зачем эти версии? Та база что новее перезаписывает ту что старее. Это работает уже годами, поэтому ты мимо.
Браузерный плагин, кстати, вообще не нужен, когда есть autotype, которые по хоткею тебе введет куда угодно, хоть в браузер, хоть в консоль виртуалки.
А плагины написанные неизвестно где и как рандомными васянами подпускать к паролям вообще чревато.
> Та база что новее перезаписывает ту что старее
это не синхронизация, а бэкап называется. при синхронизации должна учитываться возможность сделать изменения на двух и более устройствах и сохранить всё в момент обращения к бэкапу на облаке.
мне иногда это надобится. например добавил пароль на ПК. потом взял смартфон и добавил пароль там. в момент сохранения смартфон должен учесть изменения из пк и те ,что ты на самом телефоне внес и сохранить оба.
должно и в обратную сторону работать так же.
в моём случае когда ты добавил пароль на пк, он зааплоадил файл базы на все остальные устройства, и ты добавляешь пароль на другом устройстве, произойдёт такая же операция, но уже другое устройство зааплоадит обновлённую базу на остальные устройства.
У меня все один в один, плюс гугл на ведре (и в хроме) заполняет пароли от приложений и сайтов. Короче моя лень победила, ничего не буду менять раз все устраивает.
>>3314186 анон
В первую очередь необходимо определиться, что будет шифроваться, на выбор даётся 3 варианта: контейнер (отдельный скрытый диск в виде файла), не системный раздел/диск, системный диск. У последних двух вариантов могут возникнуть неприятные побочные эффекты о которых лучше знать заранее. Если вы когда-либо будете переставлять зашифрованный системный/не системный диск в другой компьютер, то винда не опознает диск и предложит отформатировать, согласитесь - конечная. Помимо этого зашифрованный системный диск может повредиться при обновлении винды (если кто-то практикует подобное). Поэтому для ноутбука, возможно, имеет смысл полное шифрование системного диска, для системных/обычных дисков ПК предпочтительнее контейнер.
Последующие этапы про алгоритмы шифрования, pim/ключи файлы, размер контейнера, тип контейнера и т.д. - пропущу, если кому-то будет интересно, то напишу позже.
Если создаёте контейнер, то название лучше давать похожее на системный файл, а расширение .dat либо другие нетипизированные бинарные файлы, никаких jpg, mp3, mp4 и прочие которые имеют характерный внутренний бинарный заголовок. Проведя анализ файла-контейнера, можно определить, что содержимое файла на самом деле не является файлом данного типа.
Про двойное дно много написано, но поскольку его существование нельзя доказать/опровергнуть математически, то если попадёте на пытки или в суд который обяжет вас выдать все пароли для следствия (подобная практика существует на западе), вам могут не поверить в отсутствие других скрытых контейнеров поэтому лучше спрятать файл-контейнер вместе с программой так, будто у вас ничего нет и вы ничего про это не знаете, в пользу этой версии будет говорить остальная не зашифрованная система с файлами доступными для просмотра. Cпрятать саму программу на компьютере/флешке можно скачав portable версию VeraCrypt, поместить в 7zip архив с паролем, название архиву дать не связанное с программой, при таком подходе в отличии от winrar нельзя будет просмотреть содержимое архива до правильного ввода пароля.
Чтобы сделать бекап файла-контейнера придётся его предварительно размонтировать из системы.
> если попадёте на пытки или в суд который обяжет вас выдать все пароли для следствия
> Cпрятать саму программу на компьютере/флешке можно скачав portable версию VeraCrypt, поместить в 7zip архив с паролем, название архиву дать не связанное с программой
А пароль от архива у тебя не попросят?
Если тебе такое угрожает, то нужно совсем другие методы использовать, в любом другом случае лучше шифровать весь диск, чтобы ни у кого не было возможности искать всякие логи и историю по всей системе.
суд тебя не обяжет выдавать пароли. Тем более ты всегда можешь сказать, что их не помнишь. Или вообще тупо отказаться их давать без всяких оправданий.
Выбираю между bitwarden и https://www.passwordstore.org
Второй гораздо проще, по сути зашифрованные текстовые файлы, но логины указаны в названиях файлов, что означает, что если кто-то получит доступ к хранилищу, то сможет связать аккаунты.
Если файлы именовать иначе, например u@example.com вместо username@example.com, то ломается автокомплит на мобильных устройствах.
Bitwarden не имеет такой проблемы, все данные хранятся в одном SQLite файле, логины и пароли зашифрованы. Но куча ненужных мне настроек и фич как в приложениях, так и у сервера, не хочется во всем этом разбираться.
Понятно, продолжай вести наблюдение.
А то если забудь пароль от кипаса - база потеряна.
>А то если забудь пароль от кипаса - база потеряна.
Храни пароль или подсказку к нему в другом месте в bitwarden'e, кек.
то есть разрабы битвордена будут знать твой пароль? збс
>Тупице не хватило мозгов прочитать руководство. И этот олуш требует, чтобы за него почитали книгу.
Достаточно прочитать в шапке всего одну строку
>Только через пердолинг и костыли.
Чтобы понять, что оп - ленивое инфантильное xуйлo, которое ждет что ему, как мама с бабушкой на блюдечке, аноны будут подносить готовые решения, а он их по барски отбрасывать, мол "цвет пуговиц не тот".
Встроенное хранилище Firefox.
Текстовый файл.
/thread
Жирно, пойду пожалуй ластпас поставлю
>Keepass и KeepasXC очень неудобны в плане интерфейса.
Ваще пиздец. Какая-то ебейшая вырвиглазай хуйня.
>Битварден
Это ваще какое-то ненужно. Если уж что-то селфхостить, то надо ставить hashi corp vault: там хотябы есть полиси, api, интеграция в штоугодно, sso, кластеризация бекенда хранения, куча функционала помимо kv. А что у твоего бастарда есть?
Самым топовых хранилищем паролей для 1 человека считаю что является pass. Это баш скрипт обвязка вокруг gpg размером 700 строк. Он просто охуенен во всех смыслах:
- максимум легковесен насколько это возможно.
- индустриальный способ шифрования, не изобретает небезопасные велосипеды
- поддерживает разные гуи гуи ненужны
- синхронизируется принипильно абсолютно со всем. Можешь в публичный гит пушить свои пароли.
- поддерживает многопользовательское использование, если оно внезапно потребуется.
Pass это для линуксопердов
> hashicorp
Вроде выглядит нормально, но где приложения ? И это вообще вроде как под энтерпрайс, а не под обычных юзеров вроде нас с тобой
Vaultwarden (на расте) развернуть в 1 команду, завернуть админ ключ в аргон и все, клиенты есть подо все что нужно, бэкапы через системстл автоматом улетают на облако в зашифрованном виде конечно же. Что еще нужно для счастья? Синхра есть, безопасность есть, удобство есть. Пока пароли не вытеснят к 2030 с FIDO, можно пользоваться
>Pass это для линуксопердов
Для натуралов ты хотел сказать?
> pass
>уставшее шифрование RSA, которое скоро отсосет у кванта
>нет PBKDF
>нет автоввода по хоткею
>нет интеграции в браузер
>нет поддержки TOTP
>невозможно нормально пользоваться с мобилы, и нет автоввода на мобилах
спасибо не надо
Каждое твое утверждение ошибочно.
Как у тебя так получилось? Ты нашел какой-то другой pass?
Для натуралов Шинда и Танки онлайн. А Линупс всегда был для голубеньких.
Заметил, да. Среди линуксоидов ещё популярна голубая игра Диско Сойлизиум, биджиджи
Скрипты от васянов с гитхаба не считаются
А нахуя?
Я храню пароли в txt-файлах на Яндекс-диске
И всё
А хранить пароли в какой-то левой программе это верх дебилизма
>А нахуя?
>Я храню пароли на стикере приклееном к монитору
>И всё
>А хранить пароли в какой-то левой программе это верх дебилизма
Истина только одна. Пользуйтесь нативными приложениями, блокнотами, ворд документами, ексель табличками(включая опендокумент форматы). Документы и таблички защищайте паролем, текстовые документы помещайте в архив с паролем. Приложения могут иметь уязвимости, т.к постоянно разрабатываются, доверия разработчики специальных менеджеров и сервисов не внушает, в любой момент они могут использовать бэкдур и взломать твою базу. К тому же сам защищенный документ не представляет ценности, т.к хакеру стопроцентно неизвестно хранятся там пароли или нет.
А, ну да, майрософт конечно же не станет бэкдоры засовывать в свои приложения, проиграл с дебила
Да и винрар с 7зип тоже мутноваты.
>получил от подследственных хакеров взятку в биткойнах, соответствующую почти $24 млн. Коды доступа к электронному кошельку с биткойнами следователь хранил в папке с названием «Пенсия», где их и нашли, взломав его компьютер.
>Примечание из другого источника: хранил в виде картинки жпег (видимо с названием пенсия.jpg)
https://www.kommersant.ru/doc/6026773
Да, ты прочитал и смеешься. Но где-то в глубине души понимаешь, что и сам мог бы также пролупится.
За все время не было доказано ни одного бекдура, да и их быть не может, зачем майкам подставлять корпаративные организации, у них и софт проприетарный.
> В нем внимание следователей центрального аппарата СКР привлекла папка под названием «Пенсия», в которой оказалась фотография листа бумаги с записями кодов, позволявших господину Тамбиеву получить доступ к 932,1 и 100 биткойнам.
> сам мог бы также пролупится
Нет, это совсем тупо.
было 45 паролей, 42 перевёл на код по SMS, отсались 3 - 4пда форум, рутрекер и алиэкспресс.
Как довести до нуля?
>тупо.
1). Там можно разные версии предположить. Возможно его подставили. Хотя сумма слишком велика, чтобы ее выкинуть на это.
2). Паренек мог просто отложить размышление как заныкать сведения на потом, пока был занят работой. Но так и не успел продумать... Такое может с каждым случится на самом деле.
> Паренек мог просто отложить размышление как заныкать сведения на потом, пока был занят работой. Но так и не успел продумать... Такое может с каждым случится на самом деле.
Я бы просто заснуть не мог, зная что у меня столько бетховенов буквально в открытом виде лежат, зашифровал бы всё в несколько слоёв и спрятал, а на компьютере остались бы лишь игры и аниме. Тем более это ещё и улика против меня.
Мне больше интересно как они макбук взломали.
/thread
>Мне больше интересно как они макбук взломали.
пароль видимо был рядом на квадратике бумаги написан или на самом маке карандашом.
А ключ шифрования куда бы дел? Поверь, ниточка от клубка всегда куда-то ведет.
>А пароль от архива у тебя не попросят?
При выборочных проверках в аэропортах, когда пограничники просят вежливо разблокировать устройства, легче прикинуться чистым/дурачком когда у тебя открытая OC либо ты вводишь пароль добровольно, пусть даже в одной из 50 папок с названием "Программы" будет обнаружен архив с названием photoshop.7z, сказать забыл/не помню в таком случае будет более правдоподобной версией чем объяснять почему при запуске системы ноута на весь экран вылазит надпись VeraCrypt Bootloader (это вообще можно убрать оставив только пустую строку для ввода пароля?)
>>3317363
>суд тебя не обяжет выдавать пароли. Тем более ты всегда можешь сказать, что их не помнишь. Или вообще тупо отказаться их давать без всяких оправданий.
In 2015 there was a Philadelphia police sergeant Francis Rawls who had his hard drive(s?) confiscated by the police, due to suspicious of sharing or possessing child porn. The veracrypt saved him, they couldnt crack his hard drive, even though, they even had knowledge of his IP address for a substantial amount of time.They chose not to, or werent able to, infiltrate his OS while it was still connected to the internet for some reason. He was imprisoned for 18 months for refusing a court order to decrypt his hard drives. He only did 18 months.
https://arstechnica.com/tech-policy/2020/02/man-who-refused-to-decrypt-hard-drives-is-free-after-four-years-in-jail/
А сказать, что забыл пароль от веракрипта нельзя?
Идеально когда это не лежит на виду и таким образом существует возможность правдоподобного отрицания. Если всё-таки найдут, тогда можно будет сказать - забыл, в качестве запасного варианта, понимаешь?
>А сказать, что забыл пароль от веракрипта нельзя?
A judge ordered Rawls to decrypt the hard drives. In its recent ruling, the 3rd Circuit Court of Appeals described what happened next. Rawls "stated that he could not remember the passwords necessary to decrypt the hard drives and entered several incorrect passwords during the forensic examination."
The judge held Rawls in contempt and ordered him imprisoned.
> The judge held Rawls in contempt and ordered him imprisoned.
Фига произвол, я дважды забывал пароль на зашифрованные данные.
Это не такая уж невероятная ситуация.
> При выборочных проверках в аэропортах
Для такого случая лучше чистую ОС накатить где вообще ничего не будет храниться. Или можно просто диски поменять, один будет с чистенькой системой, а второй с основной убрать в корпус для внешнего диска, бутлоадер тоже можно отдельно спрятать, а потом востановить всё. Ну уж точно не давать шариться по моим данным каким-то левым челикам, вдруг ещё внедрят какую-нибудь хуйню вирусную.
> это вообще можно убрать оставив только пустую строку для ввода пароля?
Можно, там есть небольшая кастомизация бутлоадера.
> In 2015
Ну ты же понимаешь, что там другая ситуация, или ты гуглить по похоже звучащим заголовкам?
>там другая ситуация
Что изменилось с тех пор? Текущая повестка как-то влияет на принятие решений судьями первой инстанции и апелляционными судьями?
Нашёл здесь
https://www.reddit.com/r/VeraCrypt/comments/yyty90/what_are_some_examples_where_veracrypt_protected/
там суть достоверно знал, что на ноутбуке находится цп, поэтому требование расшифровки не нарушало пятую поправку, не могло быть классифицировано как свидетельствование против себя.
Будь у него скрытое хранилище и отдай он доступ от внешнего на котором нет ничего запрещённого - как бы его обвинили в таком случае?
Куда ты без интернета пароль собрался вводить?
Открывать десятки зашифрованных контейнеров и дисков.
А что?
>теряешь тилибон
>їїїїїїїїїїїїїїїїїїїїїїїїїїїїїїїї
Про пин коды никогда не слыхал?
Как пин-код поможет восстановить пароли?
Мне протон понравился. Из швейцарских самый норм. Пиклауд сосет
Какие смс? Это самый небезопасный способ.
1. Товарищ майор имеет доступ ко всем твоим смскам.
2. Ты отдаешь этим сервисам свой номер телефона. Зачем, когда можно не давать?
3. Твою симку могут перевыпустить левые люди. По закону это можно сделать только в присутствии владельца номера, но кого в РФии это волнует?
4. Ты можешь тупо потерять телефон/симку и потеряешь доступ к паролям, нужно идти в салон связи восстанавливать, и хз сколько по времени это занимает. А если ты потеряешь телефон заграницей - это вообще мрак.
Лучше используй 2FA приложения типа Aegis и делай запароленые бекапы кодов. А смс аутентификацию лучше вообще свести к минимуму, т.к. это один из самых небезопасных способов 2FA.
Уже год стоит, открывал наверно 1-2 раза когда устанавливал и все остальное делаю в аддоне для браузера. Вот на ведроиде хорошо сделоли с возможностью автозаполнения в приложениях, а на винде оно зачем нужно?
Использую приложениехотя оно говно, будто сайт в обертке. Не использую расширение
Автозаполнение не ценишь?
Автозаполнение использую в вивальди или в гугл пассвордс. В битвардене храню важные пароли, например от денег и важных сайтов. Так как я не блочу ноут и в целом если проебу, чтобы доступа не было ни у кого.
Закину тебе говняк и украду все важные пароли пока ты какаешь.
>смс
Я бы пиздил по башке вот за это.
Во-первых, иногда телефон может быть вне сети мобильных операторов, но при этом с wifi. И че делать? -Соснуть только остается.
Во-вторых, как двухфактор смс не безопасный вариант. Пароль открытым текстом передается через открытый же канал связи. И более того смс можно перехватывать или получать на клон симкарты и реальный владелец аккаунта даже не узнает об этом. СМС можно получить через поддельную базовую станцию, которую может купить кто угодно. При том операторы могли бы закрыть эту уязвимость уже давно, но оставили дыру для фсб, чтобы им не надо было получать разрешение суда для прослушки.
В-третьих, телефон может просто сесть блядь.
В-четвертых, номер телефона не привязан к моему ДНК. Сегодня это мой номер, через год ушел к другому человеку.
Просто пиздец какие пидорнасы те, кто это внедряет.
Нихуя не понял.
>>3323838
> но с вайфай
Ты же в курсе, что смс и звонки по вайфай уже несколько лет работают?
> пароль открытый
Не пароль а отп
> клон симки
Сразу дебич диванный палится. Если ты сможешь это провернуть, то тебе миллион за такое готовы заплатить. Очень много клиентов есть, кому такое нужно.
> телефон сел
Ну так ты и внутри приложения тогда не получишь. Или у тебя приложение внутри мозга?
> номер не привязан
Привязан к тебе по документу. Постоянно приложение спрашивает обновить. Можешь купить виртуальный через фрагмент.
>ак я блядь 20 рандомных символов запомню-то?
4-5 рандомных слов запомнить тоже не можешь?
Могу, по идее. Это pass-phrase на английском называется?
Запомни 40 символов, но в виде рифмы какой-нибудь из слов.
Ну и KDF можешь настроить пожирнее.
Ушел гуглить генераторы. Это решение, спасибо.
Зачем?
Бред, вот нормальная таблица.
Найди там свой старый простенький пароль и новый из слов, уверен они не очень сильно по энтропии будут отличаться.
> 4.3 буквы в среднем в слове
Зачем вообще эта информация, если они считают энтропию как log2("количество слов в словаре" ~= 7800)?
Что если добавить выдуманное слово, не из словаря? Как взломщики будут действовать в таком случае?
Хм, т.е. по идее 12-значного пароля из строчных, заглавных, цифр и спецсимволов должно хватить.
MoJ~55Ta7PZz
&rDz9I$RrUxB
HLCf71^nbMHu
5GVOH#%rUnIi
Согласно этой таблице, чтобы забрутфорсить такие пароли уйдет 96 лет при подборе 100 триллионов/сек
Где там тысячи?
А вообще написано что в таблице гарантированное время взлома, а в среднем на взлом уходит в половину меньше.
Т.е. в итоге 48 лет. Ну все равно много.
> image.png
Действительно, я смотрел на миллиарды.
Не знаю.
>>3324530
> 96 лет при подборе 100 триллионов/сек
Только KeePass использует Argon2, который сильно снижает скорость перебора.
Взглянул, заболела голова.
Можете заигнорить, а можете помочь: старый простенький 12 символов = 11 символов в нижнем регистре + 1 цифра против условной фразы "gyration statue heritage wobbly".
Ладно с таблицей я разобрался, только откуда брать мощность атаки, с потолка?
бери всегда по максимуму, если это не какой-то онлайн сервис.
Базу KeePass никто брутить не будет, даже с дефолтными настройками там задержка примерно в одну секунду на открытие базы, но эта одна секунда она именно для твоего компьютера, на устройствах мощнее задержка будет меньше, но всё равно она значительная, не знаю какими мощностями обладают злоумышленники, но думаю миллион-миллиард попыток в секунду возможны. Можешь для безопасности увеличить количество требуемых ресурсов в Argon2, памяти побольше и задержку в 3 или больше секунд если это твоему комфорту не помешает.
> 1 секунда
Ты вообще не понимаешь, что это за время. Почитай справку.
Все он правильно понимает, сам походу и не читал
Это количество повторений при шифровании. Причём тут его вычисления?
KeePassXC на Windows, Linux. Strongbox на macOS. Сейчас бы хранить пароли в облаке у кого-то там, как в случае с Bitwarden. Also, у этих дебилов из Bitwarden иногда не даёт войти в свою учётку с паролями. Приходится сбрасывать и все пароли переделывать во всех сервисах.
> количество повторений при шифровании
Которые увеличивают затрачиваемое время при открытии базы.
По дефолту там высчитывается 1 секунда для твоего компьютера.
Можно парольную фразу, как уже советовали. А можно взять рандомную книгу, запомнить номер страницы или главу, и составить пароль из первых букв предложений, или из первых букв второго слова в каждом предложении, или что‐то наподобие. Если книга не на английском, то транслит. Ну и добавить пару цифр.
Спасибо, интересный метод.
Но вообще, анонасы, мне пиздеть перед вами незачем. Я самый обычный чел с самыми обычными штуками, мне глубоко похуй на приватность и безопасность, потому что никому я не всрался.
Да и бд моя не представляет никакой ценности – у меня даже подписок на сервисы нет и нигде карты не привязаны. Даже в теории очень трудно представить кейс, в котором кто-то посторонний получит доступ к домашней пеке, на которой все это лежит.
/тхреад
>мы не сохраняем эти ваши пароли которые мы же и генерируем
Главное верить в добро.
И задержка 1 сёк на фейл в реальном
Я на секунду задумался о возможности такой атаки: если бы сайты не изолировались друг от друга и могли видеть активные сеансы других сайтов, условно открытых в соседних вкладках, это могло бы иметь теоретический смысл.
Например, genpw.com видит, что у юзера открыт social.net и юзер генерит пароль – предполагаем, что как раз для social. А если открыто ещё пятнадцать вкладок? А если генерируется прямиком в локальный текстовый файл и сопоставлять нечего?
Но что-то мне подсказывает, что в 2023 году это просто фантастика для самых маленьких и подобная хуйня просто невозможна.
Не понимаю тряски из-за have i beeb owned и прочих. Пароли можно ебашить в один клик и менять их так же. Кому нахуй упало за тобой их записывать и для чего-то хранить? Шиза.
Что несешь даун, эти пароли просто сливают в базы и всё, тебя поимели банальным перебором по словарю. Смысл пароля, чтобы его никто не знал кроме тебя, а ты доверяешь его рандому в интернете, и еще веришь надписи на заборе "мы не спиздим, честно". Комбо тупого еблана просто.
Вроде извлекают из файла участок с хэшем и его уже брутят отдельно.
Охуенная наверное база эта ваша вавилонская библиотека, перебирать можно бесконечно. Ты видимо не понимаешь сути вопроса и брызжешь слюной на ровном месте, ну и иди нахуй.
>Охуенная наверное база эта ваша вавилонская библиотека
Обыкновенная база слитых паролей, достаточно просто по ней пройтись и поиметь таких тупых лохов как ты. А ты как думал? Слитые пароли бережно хранятся, а ебланы как ты даже сами их сливают, просто пиздец насколько бараны тупые.
Вот например сайтик с базами, наслаждайся https://haveibeenpwned.com/Passwords
> Что несешь даун, эти пароли просто сливают в базы и всё,
> Генератор на js, никаких запросов в devtools не видно, работает с отключенным интернетом
> эти пароли просто сливают в базы
Какие же тут тупые шизопараноики.
Ты с кем воюешь, ебила? Какие нахуй слитые пароли у генератора этих самых паролей? Откуда они знают, буду ли я вообще пользоваться их паролем или не буду, почему они тогда не генерят себе бесконечную базу по которой потом можно будет всех прогнать, нахуй им меня ждать для этого?
Короче еще раз нахуй пошел, если тебе высираться негде то я тут тебе не помощник.
Эта таблица тоже хуевая. Я недавно считал с учетом закона Мура и известных данных о возможностях брутфорса спецслужбами из открытых источников. Если тебе нужен пароль, который гарантированно не взломают до конца твоей жизни (даже с использованием квантовых алгоритмов), то нужно больше 100 бит энтропии, то есть пароль из 16 символов (из 94 возможных) или парольная фраза из 8 слов (из списка 7776).
16 символов это 128 бит же, 100/8 = 12,25.
То есть 13 символов достаточно?
https://labs.hakaioffsec.com/nginx-alias-traversal/
Case Study #1: Leaking Bitwarden's vault, logs, and certificates.
> Therefore, if we issue an unauthenticated request to http://<instance>/attachments../vault.db, we will download the entire Bitwarden SQLite3 database.
> https://www.wolframalpha.com/input?i=log2%2894%5E16%29
Нет, пароль 16 символов из набора upper + lower + 0-9 + special имеет ~104.8 бит энтропии.
Название самой программы можно записать куда угодно.
Берём картинку и смотря на неё выводим слова в предложение.
Например первая картинка — белоснежный ангелочек раскинула колготочки сверкая нимбом сидит счастливая.
Получаем восемь слов.
Картинку сохраняем и иногда на неё поглядываем пока в памяти она не отпечатается вместе с парольной фразой.
Причём необязательно описывать словами что происходит на картинке, можно взять картинку с любимым персонажем и исходя из ваших знаний об этом персонаже составить парольную фразу.
Например вторая картинка — кошечка рин пламенная кася отвезла домой мою грешную душу.
Зрительный образ помогает лучше запомнить фразу.
Хуйня, забудешь через 1.5 года, когда подрастешь из возраста анимедебила и уже такие ассоциации в голову не придут. Проверено.
Я старше тебя.
Помню придуманные таким образом прошлые пароли, которые уже 1-2 года не используются.
Твои проблемы что ты деградируешь со временем, я лишь развиваюсь, физически и ментально.
Давно так не проигрывал.
Значит нужно отпраздновать, беги скорее за соской пива, или что ты там потребляешь, может водочку, или просто сладкую газировочку, чай с сахарком, десертик, конфетки и печенье.
Сядь на диванчик, отдохни, не трясись, а то рассыпешься, скуфидонище.
Анимечник, подрочи в подушечку с вайфу и успокойся, не нужно так расстраиваться из-за того, что твою методику отвергли. Есть алгоритмы куда проще и эффективнее.
Пердикс, когда ты кого-то оскорбляешь, то не удивляйся что тебя нахуй посылают.
В реально жизни это так же работает, только более эффективней, по твоей жирной харе прилетает оплеуха, чтобы ты быстрее осознал в чём ошибся, а если не осознал и продолжаешь нахрюк, то в твой ебальник залетает уже двоечка, и твоя жирная туша обмякает на землю.
Всё ясно?
Вот все твои пароли, а также фотокарточка твоего эмбала.
Ты не угадал, я легко контролирую свою похоть с помощью развитого разума и силы воли. Так что перестань проецировать.
Пиздец ты истеричка, я ведь тебя даже не оскорблял, ты сам набросился. Таблеточки попей, инклюзивная, ранимая членодевка, с такими нервами до 30 не доживешь.
Вот теперь оскорбил. И что ты сделаешь?
> когда подрастешь из возраста анимедебила
> не оскорблял
Иди нахуй.
Учи русский язык, это не обращение к тебе лично. Пиздец, ну зумерки визгливые пошли, я вахуе.
Ебать манёвры, лол.
Если использовать функцию депривации ключа типа PBKDF или аргон, то скорость перебора упадёт в хуеву тучу раз и эта железка бесполезна. Ну и онлайн это все не работает
Я знаю.
Просто мысли в слух о том что прогресс нам готовит. Лет десять назад перебор паролей и ключей со скоростью в 1 TH/s считался теоретическим (вроде). Тогда Сноуден об этих цифрах обмолвился.
Сейчас любой школьник в стране первого мира может (уговорить родителей) держать в гараже 260 TH/s всего за 4 тысячи долларов.
А ведь еще квантовые вычисления не за горами.
Да, страшно. И меня предупреждали.
Храню файлик .txt в архиве. Перекатился на такой формат с KeepAss (и его форков) из-за того, что часто ломалась БД. Да и архив можно открыть практически везде. Удобно и есть не просит.
Каким образом ломалась БД? Из-за форков?
Хз как это у вас получается. Активно пользуюсь несколько лет KeepassXC, ни разу БД не ломалась
> Хранения паролей тред
https://lock.cmpxchg8b.com/passmgrs.html
> I would recommend using the one already built into your browser.
> I use Chrome
> I’m a vulnerability researcher with Google Project Zero.
Парольную фразу используй. Очень трудно такую брутфорсить
>Хз как это у вас получается. Активно пользуюсь несколько лет KeepassXC, ни разу БД не ломалась
У меня всего один раз ломалась в прошлом году, но это не вина KePassXC была, а вина корявенького виндовского дравера Ext4 в Paragon Linux File Systems for Windows. База хранилась на другом диске на линуксоидном разделе Ext4 и при резком отключении питания не зажурналировалсь что-то, все изменения в файлах, сделанные за время работы винды были потеряны, а база сломанная оказалась. Как-то так. Бывает, короче.
>Ваще тема.
Для тех, у кого часто питание отключается, может быть и тема, но для меня не особо как-то. Иногда делать бэкапы в облако и нормально. Виндовские разделы вообще никак не портятся при отключении питания резком. Там ведь NTFS - это журналируемая файловая система.
> Linux: Firefox based
> постит какого-то шиза, который рекомендует все пароли хранить в браузере
> демонтрирует "ошибки" на примере нордпаса, хотя до этого говорил про кипас. Это как сказать что все компы говно потому что винда говно
У меня стоит vaultwarden, его "демонстрация уязвимости" не сработала, пук
> I would recommend using the one already built into your browser. They provide the same functionality, and can sidestep these fundamental problems with extensions.
уже иду пользоваться и сливать данные любому желающему с дампом моей папки браузера, не говоря об эксплоитах XSS
Генерирую пароли в менеджере паролей и записываю в блокнот. Есть сеймы?
>Можно успокоится
До ближайшего your database is corrupted, лол
Хуяпы. Флешка может отказать в любую минуту, в НАСе может отъебнуть жёсткий, а с облака удалить дядя по велению левой пятки. Всё это сомнительные методы с игрой в рулетку. Это уже не говоря, про доверие как к программе, так и алгоритмам шифрования. Ничего не идеально в цифровом мире.
> 17177
> не уметь в 3-2-1 бэкапы
Лучший бэкап это офлайн. Только не тот, что отключил интернет и ты "в домике". А реальный бэкап в офлайн без ЭВМ. Например, листочек. Дома (если живёшь один) можешь хранить в открытом виде, если не один, то добавлять лишние символы.