Небольшой тред про хранение паролей и безопасность в интернете.
Вводная: я админ, работаю в IT уже больше 10 лет, интерес к технике и софту активно проявился в 1996 и не угасает до сих пор.
Вводная: я админ, работаю в IT уже больше 10 лет, интерес к технике и софту активно проявился в 1996 и не угасает до сих пор.
Мой уровень паранойи значительно выше среднего, так что мой выбор средств как, правило, на уровень или два строже, чем это необходимо.
Итак, сначала я расскажу о паролях как таковых.
Везде пишут, что пароли на всех сервисах должны быть разными, уникальными и регулярно обновляться. В идеальном мире, конечно, да, но в реальности это сложнее, чем хотелось бы.
Везде пишут, что пароли на всех сервисах должны быть разными, уникальными и регулярно обновляться. В идеальном мире, конечно, да, но в реальности это сложнее, чем хотелось бы.
Когда я рассказываю о парольной политике я говорю обычно так:
- Отдельный уникальный пароль на почту (это ваш паспорт в интернете)
- Отдельные пароли на каждый платёжный сервис: банки и платёжки
- Пароль для важных сервисов
- Мусорный пароль для одноразовых регистраций
- Отдельный уникальный пароль на почту (это ваш паспорт в интернете)
- Отдельные пароли на каждый платёжный сервис: банки и платёжки
- Пароль для важных сервисов
- Мусорный пароль для одноразовых регистраций
"Пароль должен быть минимум 8 случайных символов, включать большие, маленькие буквы, цифры и спецсимволы". Вот сразу нахуй. Пароль "HuiPunina5%OtSredneyDliny" лучше, чем любой "Z3M^iCdDc" просто по всем параметром.
Неустаревающий комикс Рэндела Монро: xkcd.com/936/
Неустаревающий комикс Рэндела Монро: xkcd.com/936/
Придумывайте предложения, желательно абсурдные типа "40 тысяч обезьян в жопу сунули банан" (это предложение не используйте, оно словарное), транслитерируйте его как удобно и при необходимости формально выполните требования на цифру и спецсимвол.
Почему ещё такие пароли лучше, чем Z3M^iCdDc? Если вы набираете пароль на чужом компьютере, вы долго будете держать этот пароль видимым на экране телефона. На пароль про 40 тысяч обезьян вам будет достаточно посмотреть секунду-другую, как его печатать - вы уже помните.
Есть интернет-инициатива haveibeenpwned.com. Хакеры в белых шляпах (термин, означающий незлонамереных хакеров) мониторят утечки паролей доступные в интернете и если ваш аккаунт оказывается в такой утечке присылает вам вот примерно такое письмо
В такой ситуации лучше всего сменить пароль для этого сервиса и на всех сервисах, в которых установлен такой же пароль.
Теперь к хранению паролей.
- в тетрадке
- в голове
- в браузере
- в сервисе, с проприетарным (недоступном пользователям) кодом
- в сервисе, с открытым кодом
- в локальном хранилище
Сейчас разберём по пунктам
- в тетрадке
- в голове
- в браузере
- в сервисе, с проприетарным (недоступном пользователям) кодом
- в сервисе, с открытым кодом
- в локальном хранилище
Сейчас разберём по пунктам
Почему плохо хранить в тетрадке и в голове, думаю, объяснять не надо.
Браузер.
Неплохо, удобно, может синхронизироваться между устройствами. Однако при прямом доступе к вашему телефону или компьютеру, эти пароли легко становятся доступны злоумышленнику или силовику.
Браузер.
Неплохо, удобно, может синхронизироваться между устройствами. Однако при прямом доступе к вашему телефону или компьютеру, эти пароли легко становятся доступны злоумышленнику или силовику.
В случае включенной синхронизации также добавляются недостатки хранения в сервисе.
Проприетарным называют коммерческий код, который не публикуется в открытый доступ и считается коммерческой тайной.
Как правило, алгоритмы шифрования, хранения данных и протоколы безопасности такого кода тоже публике неизвестны.
Как правило, алгоритмы шифрования, хранения данных и протоколы безопасности такого кода тоже публике неизвестны.
Проприетарные сервисы, например lastpass, passwords.google.com или keychain в apple
Ими, как правило, очень удобно пользоваться. Ставишь дополнение в браузер и приложение на телефон или вообще ничего не ставишь, а оно просто работает и в вебе и в приложениях.
Ими, как правило, очень удобно пользоваться. Ставишь дополнение в браузер и приложение на телефон или вообще ничего не ставишь, а оно просто работает и в вебе и в приложениях.
Минусы:
- Вообще хер знает, как оно там внутри работает. Может быть, они там просто хранят текстовый файлик на сервере, в котором лежат все пароли для всех учётных записей. Например, они могут выдать силовикам паши пароли по судебному решению.
- Вообще хер знает, как оно там внутри работает. Может быть, они там просто хранят текстовый файлик на сервере, в котором лежат все пароли для всех учётных записей. Например, они могут выдать силовикам паши пароли по судебному решению.
- Тот же lastpass на моей памяти трижды допускал утечки пользовательских данных. Не помню, чтоб там прям утекали чистым текстом пароли, но всё равно.
Сервисы и приложения с открытым кодом же (например bitwarden или passbolt) публикуют и то, по каким принципам шифруются данные и сам код того, как это работает. Это позволяет как минимум удостовериться в том, что заявленные принципы соблюдаются в коде и там нет явных "закладок"
Также пароли можно хранить в локальном хранилище паролей. Так 10 лет назад работал 1password - как приложение, а не как сервис, так работает keepass на открытых кодах
Это весьма параноидальный способ хранения паролей, очень независимый, безопасный, но неудобный - как минимум надо как-то актуализировать этот файл ключницы между разными устройствами. Да и автодополнение в браузере работает не очень удобно, а в приложениях не работает вообще
Понятное дело, что я пробовал все из этих способов, включая самые безответственные.
Я пробовал приложение 1password и пользовался им бесплатные 3 месяца, кажется. Понял, что это лучше, чем хранение паролей в голове и в браузере, но жмот(прикидываясь сторонником open-source) предложил использовать keepass. Я пользовался им много лет.
Синхронизировал файлик ключницы через btsync, dropbox и яндекс.диск, страдал об неудобства, параллельно пытался разнообразные сервисы и self-hosted решения (веб-приложения которые можно поставить на свой сервер) и ни один из них не удовлетворял меня.
Пока я не попробовал bitwarden. Его реализация не позволяет расшифровать хранилище никак, кроме как паролем пользователя, можно использовать двухфакторную аутентификацию, у него удобные приложения для смартфонов и плагины для браузера.
И до сегодня vault.bitwarden.com/#/ это был сервис, который для меня был большим шагом в сторону удобства, и почти не был шагом от безопасноти. Сегодня я узнал что 1password отключил российских пользователей
https://twitter.com/roustem/status/1504196396320235524
Bitwarden не запрашивает на бесплатном тарифе никаких данных пользователя кроме адреса почты, так что прямых причин волноваться, что они отключат пользователей нет, но теперь я хочу переехать на self-hosted версию bitwarden. Для обычных людей, я думаю, это излишнее.
https://twitter.com/myrdultay/status/1504733335813251096
Тетрадка хранит пароли в открытом тексте, доступна кому угодно, каждая резервная копия имеет проблемы с версионированием паролей и увеличивает шансы попадания паролей в руки третьим лицам.
В голове удержать больше десятка-двух паролей будет сложно.
Дополнительный совет.
в gmail, после символа + в имени пользователя игнорируется всё, вплоть до @. Так user@gmail.com и user+ASDFGH@gmail.com - это один и тот же ящик.
в gmail, после символа + в имени пользователя игнорируется всё, вплоть до @. Так user@gmail.com и user+ASDFGH@gmail.com - это один и тот же ящик.
По возможности используйте адреса вида user+facebook@gmail.com, где facebook - имя сервиса - при регистрации для того, чтоб усложнить автоматический подбор паролей на разных сервисах. Также это поможет в определении источника утечки почты в спам-базы
Раз уж твит залетел, то
• • •
Missing some Tweet in this thread? You can try to
force a refresh
