ага, значит сергей правильно спросил

ты вместо чтобы помнить пароль, помнишь соль

но всё равно что-то приходится помнить, и разное ) Ну не знаю.

т.е. соль это по сути твой пароль?

Не совсем. Он может быть весьма простым, это очень мало влияет сложность подбора, особенно, если атакующий не в курсе, что ты используешь passwhash. Особенно, если после него еще что-то добавлять к хэшу или удалять него.

но всё равно что-то приходится помнить, и разное ) Ну не знаю.

Это весьма простые штуки и редко меняющиеся

Т.е. оно хранит это всё у себя и есть нечто, что можно угадать или стащить и получить всё?

хранит локально, шифрует тоже локально, но есть синк между девайсами. Ключ ко всему - мастер-пароль (тоже локальный). Он оч длинный и хэшится (локально) хитрым образом 100,000 раз. И у него ещё гео-привязка.

но если я в курсе, что ты пользуешься им, и я узнаю твой "пароль" от твиттера, то я смогу войти и в твой фб?

это очень примерное описание, как в ластпассе сделано, подробнее надо читать )

но, в общем, не так всё просто у них

хранит локально, шифрует тоже локально, но есть синк между девайсами. Ключ ко всему - мастер-пароль (тоже локальный). Он оч длинный и хэшится (локально) хитрым образом 100,000 раз. И у него ещё гео-привязка.

Еще раз, нет же девайса. Все выключены

тогда мб и не войдёшь =) надо будет проверить ради любопытства

но если я в курсе, что ты пользуешься им, и я узнаю твой "пароль" от твиттера, то я смогу войти и в твой фб?

Если они одинаковые и я никак не модифицирую хэш

модифицируешь?

ты его и руками модифицируешь после всего?

выглядит жутко неудобно

модифицируешь?

Обычно да. Но fb и Твиттер у меня на персональных сложных паролях:)

ты его и руками модифицируешь после всего?

Это пароноид мод. На почти 100℅ не модифицирую. Модели угроз соответствующей нет

ну чёрт знает, странно всё это выглядит, как по мне.

но прикольно :)

выглядит жутко неудобно

Неудобно подарить кому-то все свои пароли

Это пароноид мод. На почти 100℅ не модифицирую. Модели угроз соответствующей нет

ты что с процентом сделал

он его модифицировал

для безопасности

ну чёрт знает, странно всё это выглядит, как по мне.

Дело привычки. Зато ничего не нужно. Есть страничка на сайте MIT, которую можно сохранить и получит локальный passwhash

надо пробовать - на словах сложно

ты что с процентом сделал

Что нашел на клаве андроида, то и набрал

Неудобно подарить кому-то все свои пароли

хэши же какие-то даришь, а не пароли ) ну да ладно

а зачем вы съезжаете на onelogin, @propositive ?

а зачем вы съезжаете на onelogin, @propositive ?

говорю же - не знаю :)

хэши же какие-то даришь, а не пароли ) ну да ладно

Кому дарю? Это все локально происходит и выкидывается сразу

я про ластпасс

>> User data is encrypted and decrypted at the device level. Data stored in the vault is kept secret, even from LastPass.

почитал ещё, похоже всё-таки они хранят (и выходит что сможешь войти если всё остальное выключено)

знаешь чем ещё ластпасс хорош, серж

он ведь и логины запоминает. Убирает напрочь эту вечную проблему где ты не помнишь как регался

ну и плюс в него можно всякие штуки типа банковских реквизитов положить, там есть спец. место. тоже шифрованно

у меня раньше такое, страшно сказать, тупо в трелке лежало

короче, добрый такой кейчейн для всего, что нельзя хранить плейнтекстом.

он ведь и логины запоминает. Убирает напрочь эту вечную проблему где ты не помнишь как регался

У меня нет такой проблемы. Я даже не понимаю как такое может случиться

легко

несколько емейлов, несколько логинов и т.п

ну и плюс в него можно всякие штуки типа банковских реквизитов положить, там есть спец. место. тоже шифрованно

Это пароль к интернет-банку что ль?

где-то сайты вводят в заблуждение: не пойми, чего они хотят, логин или емейл

Это пароль к интернет-банку что ль?

неа, это реквизиты пластиковой карточки, например. Или ssh-ключи.

где-то сайты вводят в заблуждение: не пойми, чего они хотят, логин или емейл

Ну, на каждый день у меня есть хром с мастер паролем. Тоже самое.

короче, всякая sensitive info

неа, это реквизиты пластиковой карточки, например. Или ssh-ключи.

Это чтобы не только карту можно было украсть. Удобно.

=)

короче, всякая sensitive info

Ну ок, у меня есть шифрованный диск в дропбоксе:)

ну, на крайний случай на всех картах лимиты стоят внутренние

больше чем сумма дневных расходов не украдут, и банк должен восстанвить и её

>>шифрованный диск в дропбоксе но это неудобно же. Быстрого доступа нету нифига

больше чем сумма дневных расходов не украдут, и банк должен восстанвить и её

Это уже на случай после драки. Мы не об этом

>>шифрованный диск в дропбоксе но это неудобно же. Быстрого доступа нету нифига

Откуда? С любого девайса

и с мобилки? =)

и с мобилки? =)

Канеш

ну не знаю..

ладно, согласен, вариант.

С видны нет. Но меня это не касается

только чем это принципиально лучше ластпасс?

по-моему, аналогичное совершенно решение

только чем это принципиально лучше ластпасс?

Это всё моё, родное

Сам зашифровал и положил

а, ты имеешь сказать, что дропбокс ничего не знает о твоём шифровании?

а, ты имеешь сказать, что дропбокс ничего не знает о твоём шифровании?

Естесн

=) окей, это секьюрней.

@lig11 а как у тебя синхается на дропбоксе диск без коллизий между девайсами? :)

ERROR: S client not available

А то если это encfs или что-то типа того, что ты монтируешь на диск, то как-то это ...

Вообще мне казалось все последователи Столмана используют keepass и не выпендриваются

Может лежать в дропбоксе, шифрованный, есть пароль, сенситив инфу хранить может, денег не стоит, плагины есть. Даже под андройд есть.

Выглядит правда, как ядерная зима, но обычно людей, под которых он заточен, это мало интересует :)

Может лежать в дропбоксе, шифрованный, есть пароль, сенситив инфу хранить может, денег не стоит, плагины есть. Даже под андройд есть.

+1

да, я на него тоже смотрел

По крайней мере пока я жил на Ubuntu у меня он стоял, все было ок.

и ужасался

мне нужны были вебдванольненькие формочки

Ась? :)

я про keepass

у меня были подобные чувства, я даже поставил демку 1password и рука тянулась к кнопке купить, но немного не дотянулась

:))))

А я купил :( гад.

ну а чего горевать, 1password очень норм

поздравляю же :)

Поддержал капиталистическое устройство общества.

норм, так и надо :)

Ну это не OpenSource и маст дай же :)

капитализм добро

Скажи это @lig11

Правда я пока так и не понял где он скан паспорта хранит :)

Но и спрашивать неудобно.

вот я сканы эти положил туда же. в secure notes lastpass-а

а раньше лежали шифрованным архивом в дропбоксе

Слышал кто-то скан паса хранил в виде распечатки картинки, подсоленой паролем.

Когда надо было это дело послать - фоткаешь, дешифруешь, посылаешь ...

о_0

@lig11 а как у тебя синхается на дропбоксе диск без коллизий между девайсами? :)

Дропбокс в этом смысле рулит и тащит

No idea как это работает. Учитывая что он абсолютно не понимает что внутри твоего dd if=/dev/urandom of=file лежит.

Может лежать в дропбоксе, шифрованный, есть пароль, сенситив инфу хранить может, денег не стоит, плагины есть. Даже под андройд есть.

Ну, я как то пробовал, но почти сразу нашел passwhash

вот да. Ты же не можешь разрулить конфликты семантически, если у тебя данные это рандомный набор байтов..