Перейти к содержанию

Хранение паролей


Дмитрий Вагин

Рекомендуемые сообщения

Вообщем так.

 

Где следует хранить пароли (в ворде, екселе) от разного рода пинчей, троянов и т.д. Ведь эти звери сканируют все файлы?

 

А если допустим сделать вордовский файл с запросом пароля? Сможет ли пинч пробить его? Или ещё лучше заархивировать вордовский файл в RAR с паролем?

 

Или как сделать лучше всего? Кто знает ответьте.

 

PS. Сам конечно знаю что пароли следует хранить только в головном МОЗГЕ, так как никто ещё пока их оттуда не стыривал, но паролей у меня столько много на разных сайтах, что МОЗГ уже не может запоминать все. :)

Ссылка на комментарий
Поделиться на другие сайты

Желательно, конечно, в голове хранить. Как вариант, можно выписать их на бумажку, доступ к которой будете иметь только вы. Компьютерный вирус в таком случае пароли точно не украдёт. :)

Ссылка на комментарий
Поделиться на другие сайты

Falcon, на флешке, а флешку куда нибудь заныкать, как вариант - в гору дисков/компутерного мусора. А флешку формата SD, там есть переключалка, которая не даст заразить файло.

Ссылка на комментарий
Поделиться на другие сайты

JIABP, Falcon, MiStr, - большое спасибо за советы, буду выбирать. :)

 

Если я правильно понял, нельзя хранить пароли в ворде и т.д.?

Ссылка на комментарий
Поделиться на другие сайты

Если я правильно понял, нельзя хранить пароли в ворде и т.д.?

Можно, но никто гарантии Вам не даст. Тем более есть более надежные способы.

Ссылка на комментарий
Поделиться на другие сайты

Лично у меня все пароли(а их очень много) на всякий "пожарный" хранятся в Excel-таблице, а таблица лежит на виртуальном шифрованном диске с AES-шифрованием, использовал для этого дела TrueCrypt. ;)

Ссылка на комментарий
Поделиться на другие сайты

Извините, может я чего не понимаю, но зачем вообще хранить пароли на компьютере. Все свои я распечатываю и храню в специальном месте - коробке от боксовой версии КАВ6.0.. А с компьютера все такие вещи (особенно письма с регистрацией, ключами активации, логинами, паролями и прочей конфи.... конфе.... словом личной информацией) сразу удаляю, и из корзины тоже.

Ссылка на комментарий
Поделиться на другие сайты

Да , когда 5-10 то можно и в голове, а если их у меня на сегодняшний день 50-60 то в голове уже не могу все хранить.

 

Вот и я о том же! Скорее всего сделаю как сказал MiStr

 

Мозг. Вот где я храню свои пароли.

 

Вот это да ;)

 

Кажись все одинаковые на всех сайтах!?

 

Мозг. Вот где я храню свои пароли.

 

 

Раньше тоже так делал, Пока не забыл один пароль в своем компьютерном магазине, Но я его вспомнил по случайному набору клавиш через 1 год :)

Ссылка на комментарий
Поделиться на другие сайты

Да уж. У меня в наличии 5 паролей, которые я использую в разных ситуациях.

1й - 4 знака, 2й и 3й - 7 знаков, 4й - 9 знаков, 5й - 27 знаков.

Этой 5ки мне вполне хватает)) Пользую их уже не в первый год, и доволен)

Изменено пользователем SLASH_id
Ссылка на комментарий
Поделиться на другие сайты

Кажись все одинаковые на всех сайтах!?

от всего самого важного надо хранить в мозге ;)

методика проста - берется некий "базовый" пароль, и потом к нему добавляются символы. главное не перепутать где что используется. например - для почты за основу взять один пароль, для оборудования - другой...

ее советую почитать вот эту темку у нащих товарищей: http://forum.sysfaq.ru/index.php?showtopic=364

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.
      Первая приманка
      Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.
      Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
    • kushnarenkoa
      От kushnarenkoa
      Добрый день! Зашифровали файлы в формат le0 и файлы с базами данных на Postgre SQL положили в архив с паролем. Как можно восстановить данные? И что нужно скинуть для понимания?
    • KL FC Bot
      От KL FC Bot
      Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
      Как происходит фишинговая атака на бизнес-аккаунты Facebook*
      Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
      Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
       
      Посмотреть статью полностью
×
×
  • Создать...