Где хранить бесчисленные пароли

Управлять даже 10-15 паролями таким способом из браузера быстро надоедает.

 

Пароли утекали, были случаи. Геморрой ещё тот потом все менять.

 

А с андроидом так работает?

 

Сам не пробовал, не знаю.
Но для Андроида же есть родной Г-драйв клиент, проще его использовать, имхо.

 

Записанное через API не всегда можно прочитать через клиент, некоторое время назад столкнулся с этим на истории сообщений в whatsapp

 

из LastPass утекали пароли? т.е. взломали мастер-пароль?

 

у LastPass нет мастер пароля. Если ты добрался до базы, то все пароли - твои.

 

Есть мастер пароль.

 

тогда я не понял, как это работает.
Если есть мастер-пароль, но его надо отправлять по HTTP на сервер, то какой в нём смысл ? Просто для галочки, чтобы пользователи думали, что это безопасно ?

Если они говорят, что зашифрованное содержимое приходит на браузер и он сам дешифрует при помощи мастер-пароля уже локально на своём компе, то это тоже самообман (пароль-то ведь надо набивать в on-line форму приложения в браузере )

 

Прикольно .. остается надеется, что автор плагина знает об этом =)

 

Ну они говорят, что так есть. А что на самом деле делает этот скрипт ?
Этот скрипт динамический, это значит что в каждый момент времени для каждого пользователя он может делать всё что ему заблагорассудится. Поэтому наличие мастер-пароля это просто фикция.

 

Двухфазная идентификация -- это об авторизации, а не об усложнении самого шифрования. Она для усложнения доступа к данным извне. К самому шифрованию не имеет отношения.

 

это тема не об алгоритмах шифрования, а о способе хранить пароли для авторизации.
(Какой смысла усложнять шифрование, если все знают пароль. Зачем усложнять охрану забора, когда всё выносят через проходную)

 

Эта тема о безопасности данных. Двойная авторизация защищает данные только извне. Не защищает дополнительно от тех, кто имеет непосредственный доступ к базе данных, пусть даже зашифрованных. Или вы думаете, там все кристально честные сидят? Там, как везде, разные. То есть, двойная авторизация принципиально ничего не меняет в случае криптоапокалипсиса. Выражаясь вашими же аналогиями: вы надеетесь, что у вас на двери крепкий замок, а на самом деле с вами живёт нечистый на руку родственничек, который знает пароль к вашему сейфу с деньгами. Потому что на сейфе у вас замок с пинкодом всего с двумя кнопками. Подобрать проще простого. На двери крепкий замок, но ваши денежки лежат буквально в открытом доступе в вашем доме.

 

принципиальная разница. Если данные в базе зашифрованы, то доступ к базе даёт возможмость лишь посмотреть на сейф. Смотрите на здоровье.

меняет.

подбирайте. 10 лет будет достаточно ?

 

@chel, @pelgrim вы из сугубо практического вопроса ушли в какое-то теоретизирование. Большинству остальных читателей этой ветки скорее интересны конкретные способы для безопасного выбора и хранения паролей, а также их удобный ввода для авторизации в приложениях и на сайтах с разных устройств.

 

по-моему, конкретные способы и рекомендации доступны выше. Всё остальное можно (и нужно) подтереть

 

RoboForm - вне конкуренции.
Ниаких тарифов, покупается один раз.

 

А вообще, классика предлагает два метода нехранимых и незабываемых паролей:
1) некая естественная таблица, доступная везде - у киношпионов это часто книги, типа Библии. Тогда логин содержит в себе скрытое указание на номер парольного слова в тексте. Может быть поэма в стихах или что-то подобное.
2) правило генерации пароля, известное только вам. Тогда по логину или подсказке к логину вы поторяете генерацию в любой момент без ошибок.

Чтобы не дисредитировать таблицу или метод, нужно сразу разделять пароли на уровни и использовать метод на высоком уровне, а на низких уровнях однотипные или простые пароли.