В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.
LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.
В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»
Известно, что объём похищенных данных был достаточно велик, и вполне может содержать и e-mail адреса клиентов, и хэшированные пароли. Вместе с тем сообщается, что этот объём был не настолько большим, чтобы повредить всем пользователям, пострадала лишь часть.
Команда LastPass настоятельно рекомендует сменить мастер-пароль. Кроме этого, они будут проводить верификацию путем проверки IP, или с помощью проверки подлинности почтового ящика.
Хотя масштабы потерь ещё неизвестны, для LastPass (названной одной из лучших программ 2009 по версии PCWorld) эта ситуация может стать возможностью проверить в деле свой новый механизм защиты: PBKDF2 (Password-Based Key Derivation Function), использующий SHA-256 на сервере с 256-битным шифрованием (100 000 циклов).
На фоне последних событий, связанных с кражей личных данных (самый видный пример — это Sony и примерно 77 миллионов пострадавших пользователей PlayStation Network), это даже хорошо, что LastPass подходит к делу с такой «параноидальностью».
http://habrahabr.ru/blogs/infosecurity/118788/
Arch Linux & xmonad
Отсутствует
А старый параноик Розенфельд постоянно путался под ногами и непрерывно советовал всем окружающим: "Храните, пожалуйста храните ВСЕ(!) свои пароли и прочие учетные данные со всех(!) имеющихся аккаунтов на сторонних сервисах, ибо только(!) их разработчики смогут обеспечить вашу надежную защиту и безопасность критичных данных! Это удобно и надежно!".
Отредактировано Rosenfeld (05-05-2011 22:52:21)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Надёжный мастер-пароль, символов на 20, с цифрами, буквами в разных регистрах, и спец.символами - это как прописная истина. И пусть ломают SHA-256, даже если скачали часть базы.
Отсутствует
olle
У таких паролей есть только одна проблема — их сложно не только взломать, но и вспомнить.
Добавлено 07-05-2011 01:42:25
Rosenfeld
прочие учетные данные со всех(!) имеющихся аккаунтов
С недосыпу прочитал «прочие утечные данные…». Наверное, и такие бывают.
Отредактировано MySh (07-05-2011 01:42:25)
Отсутствует
Надёжный мастер-пароль, символов на 20
Сколько-сколько символов? ... Надежный, говорите?
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Более надежнее вычислять свои пассы по формуле, которую знаешь только ты. И у каждого сайта будет свой уникальный набор символов. MD5 хорошо эту "уникальность" обеспечивает. Советую именно MD5, потому что его везде можно вычислить. Даже на JavaScript - http://md5x.ru (код проверил: ничего никуда не передается).
Добавлено 07-05-2011 13:53:11
P.S. При вычислении MD5 нужно использовать только латинский алфавит, потому национальные символы в разных кодировках выдадут разный хеш MD5.
Отредактировано Keepun (07-05-2011 13:53:11)
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Надёжный мастер-пароль, символов на 20
Сколько-сколько символов? ... Надежный, говорите?
Если символы случайные, с нескольких раскладок (то есть подобрать возможно только с использованием почти всех диапазонов юникода), то да, надёжный. На подбор с использованием суперкомпьютера типа «Эльбрус» теоретически уходит более трёх миллиардов лет.
Добавлено 10-05-2011 15:18:11
Keepun
Не понял, что именно Вы предлагаете.
Отредактировано Радик245 (10-05-2011 15:18:11)
Отсутствует
Надежный пароль сегодня - это символов 10-11, не словарный, со спец-символами и разным регистром.
Пусть для достижения маскимальной совместимости используются только символы с кодами до 128. Но т.к. символы с кодаим до 32 особо не понабираешь, получаем, что нам доступно 96 символов. Предположим, что представляет собой некоторое размещение с повторениями 10 таких символов. Всего таких размещенй будет 96^10. А теперь посчитаем, симметричному ключу какой длины это соответствует: log(96^10)/log(2) ~= 65 бит.
Качественную оценку делайте сами.
Отсутствует
Давай я тебе дам, че уж мелочиться, пароль в DES, который вообще 56 бит. Попробуешь сломать?
Это зависит от числа слагаемых в уравнении. Сколько их?
Отредактировано sentaus (10-05-2011 18:45:02)
Отсутствует
Билли
Радик245 пишетЕсли символы случайные, с нескольких раскладок
Какой бред. Надежный пароль сегодня - это символов 10-11, не словарный, со спец-символами и разным регистром.
Что? я и не писал, что 10-11 — ненадёжный, а написал то, что примерно знал. Или если 10-11 символов — надёжный, то 20 — ненадёжный? И ещё хозяйке на заметку. Не помню, за сколько времени подбирается именно 10 символов одной раскладки «со спец-символами и разным регистром», но если, допустим, все варианты пароля какой-нибудь сложности (не говорю, что именно такого) можно перебрать за несколько лет, то нельзя не учитывать вероятность того, что случайно он будет подобран значительно раньше, например, уже через несколько дней.
Если же где-то хранится пароль в открытом виде, или кто-нибудь так сделает на время, то даже 30 символов окажутся бесполезными.
Так это понятно.
Отредактировано Радик245 (11-05-2011 13:27:04)
Отсутствует
Тысяча долларов и срок полгода, хэш unix crypt (старый, который DES).
Положим, что это не 1000$, а шестиядерный Intel Core i7-995X - он как раз столько пока и стоит
Если верить его бенчмаркам, то он должен убрутфорсить такой пароль лет за 6-8. Полгода не хватит.
Отсутствует
Кстати, по поводу паролей - вчера на хабре была статейка о достаточно лёгком способе создания и запоминания достаточно сложных многосимвольных паролей. Способ конечно не самый надёжный с точки зрения приваси (как любит говорить Розенфельд), но для простого пользователя достаточно удобный - пароли всё же будут посложнее, чем "1111" или "пароль" )))
http://habrahabr.ru/blogs/infosecurity/119008/
Arch Linux & xmonad
Отсутствует
Потому и говорю, что теоретически-криптографические биты мало применимы на _практике_ PS Я собственно начал к тому, что надо разумно оценивать сложность/неуловимость/затраты.
Я собственно к тому же. Эти биты для оценок удобны. Можно просто выбрать нужную длину пароля в зависимости от нужной эквивалентной стойкости.
Если какой-нибудь md5 такой же битовки легче взломать, потому что на гпу скорости в миллиарды/с за 200 долларов, то sha-512 будет уже заметно сложнее.
Кстати, в данном случае sha-512 не сильно надёжнее. Она всего раза в 3-4 медленнее.
Отсутствует
Пользуйтесь не онлайн хранителем паролем, взломать который - заветная мечта хакеров, а локальным хранителем, типа Roboform. Я пробовал LastPass - не очень то и прога. Roboform мне нравиться больше. И я не переживаю, что кто то кого то взломает.
Отсутствует
Пользуйтесь не онлайн хранителем паролем
Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.
Отсутствует
hydrolizer, Ваш пример говорит лишь о том, что исходники никто не смотрит
Браузер должен сам решать свои проблемы, а не возлагать их на пользователей. Minor
Отсутствует
hydrolizer, Ваш пример говорит лишь о том, что исходники никто не смотрит
Отнюдь. Он как минимум говорит о том, что стеганография - тоже достаточно неплохая альтернатива обычной криптографии Ну, или о такой очевидной для каждого, кто сталкивался с действительной необходимостью защиты информации (а не просто "шоп аську не увели") штуке, как соизмеримость рисков, связанных с потерей информации, и мер, направленных на предотвращение этих потерь.
Отсутствует
lozmetakon пишетПользуйтесь не онлайн хранителем паролем
Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.
Тут вы правы. Но все таки как то надежнее думать, что хранишь пароли на своем компе, а не в онлайн.
Отсутствует
Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.
Хочешь хорошо спрятать - прячь на самом видном месте (кто то из мудрых)
Вы ленивы, следовательно вы изобретательны (Граф Де Гиш)
Список настроек About:config на русском языке с пояснениями и рекомендациями
Отсутствует
hydrolizer пишет: Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.Хочешь хорошо спрятать - прячь на самом видном месте (кто то из мудрых)
Есть такое выражение. Только с учетом нынешней автоматизации и учетом возможностей взломщиков - не совсем актуальна. Да даже если ты все пароли в голове держишь, все равно впихнуть тебе какой нить троян, который считывает все, что ты вводишь на клаве и пиши пропало.
Отсутствует
Да даже если ты все пароли в голове держишь, все равно впихнуть тебе какой нить троян
Да ну... К чему такие трудности? уж если кому-то очень понадобится - то будет как в той разбаянистой истории про главного сисадмина ЮКОСа. Главного, но наивного.
Отсутствует
Keepun
Не понял, что именно Вы предлагаете.
Использовать символы из MD5 в качестве пароля.
Формула может быть любая.
Например формула: MD5(домен 2 уровня + слово) = 3-13 символы - пароль
MD5(mozilla-russia.org love) = 4be1d97bca8cd16b5234a8bfad078ab8 = e1d97bca8c - пароль от этого форума
MD5(google.com love) = 3e1dd6be106a2530a60a757257deca18 = 1dd6be106a - пароль от Google
У каждого сайта получается свой уникальный пароль
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Жаль только, у каждого пользователя не получается уникального пароля.
Это еще почему?
Ну, добавь еще логин в генерацию.
Формула может быть любая.
Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?
Отсутствует
Пароль он для того и нужен, чтобы его украли)))
Отсутствует