Мой знакомый забыл пароль к одному сайту. Однако ранее он поставил при входе флажок «Запомнить меня» в браузере Google Chrome, что позволяло ему заходить на сайт под своим аккаунтом. Мне прилетел вопрос, можно ли перенести это волшебное состояние на другой компьютер.
Правильнее, конечно, было бы сменить или восстановить пароль, но сделать это знакомый не мог по причинам, не относящимся к делу. Поэтому выполненный вход пришлось именно переносить.
[+] Сегодня в программе
Где хранятся запомненные пароли
В браузерах учетные данные хранится двумя способами.
Менеджер паролей
Когда вы впервые выполняете вход на сайт, браузер спрашивает вас, запомнить ли пароль, если вы не отключили такой запрос в настройках. Реализация хранения паролей зависит от программы. Так, IE / Edge используют диспетчер учетных данных Windows.
У Chrome свой менеджер паролей, однако для их просмотра требуется ввести пароль от учетной записи Windows.
Пароль хранится в менеджере до тех пор, пока вы не удалите его или не очистите все пароли. В скобках замечу, что современные браузеры обладают возможностью облачной синхронизации паролей между устройствами.
Куки
На большинстве сайтов с системой входа логин/пароль есть флажок с условным названием «Запомнить меня». Иногда, например, у Яндекса или в недавнем прошлом на Rutracker, он работает по обратной логике – сайт запоминает вас, если не поставлен флажок.
Честно говоря, меня обратная логика напрягает, а некоторых людей она ставит в тупик. Так, одна моя хорошая знакомая в свое время долго не могла понять, почему у нее не запоминаются учетные данные Rutracker, хотя она ставит флажок (на его название она внимания не обращала).
Так или иначе, тут учетные данные сохранятся в куках. Куки находятся в профиле вашего браузера, а формат опять же различается от программы к программе. Например, куки браузеров на основе Chromium хранятся в формате SQLite version 3 (в Google Chrome файл Cookies расположен по адресу %LocalAppData%\Google\Chrome\User Data\Default).
Сохраненные учетные данные живут до тех пор, пока вы не удалите конкретные куки, не очистите все куки или не истечет срок действия куки, заданный вебмастером сайта. Например, у WordPress они становятся недействительны через две недели после попадания в хранилище.
Управление куками Google Chrome с помощью приложения Cookies
Конечно, можно перенести профиль браузера целиком или файл Cookies, но не всегда это возможно или целесообразно. В моем случае задача свелась к подбору расширения, умеющего работать с куками Chrome. Недолгие поиски привели меня к браузерному приложению Cookies (сайт), с помощью которого я проделал всю работу. Ключевым преимуществом стало умение приложения выполнять операции экспорта / импорта на уровне домена.
Интерфейс у приложения Cookies английский, а процедура переноса куков не совсем очевидная, поэтому я опишу ее пошагово. Давайте познакомимся с печеньками.
Общие сведения
На этой картинке:
- Хранилище куков.
- Поиск по доменам.
- Куки конкретного домена.
- Выбранная кука.
- Значение куки, которое содержит логин и хэш пароля (на картинке я удалил данные из соображений конфиденциальности).
- Дата истечения куки. В приложении можно изменить ее и зафиксировать новую дату нажатием кнопки Set Cookie.
Зашифрованное хранилище
Приложение предоставляет возможность задействовать зашифрованное хранилище, которое в нашем случае можно и нужно использовать в качестве перевалочной базы для переноса куков.
При первом обращении к хранилищу требуется создать пароль, который вы будете вводить при дальнейшем доступе, как показано на рисунке ниже.
Перенос куков
Процедура переноса состоит из двух этапов.
Этап 1 – экспорт куков на исходном ПК
- Откройте зашифрованное хранилище (Encrypted Storage) и задайте пароль для него.
- Перейдите в основное хранилище (Manage Stored Cookies) и найдите поиском домен, куки которого вы хотите перенести. Если их несколько, может понадобиться перенос куков каждого домена (просто повторяйте шаг 3).
- Выделите найденный домен (а не отдельную куку) и нажмите значок с замком.
Куки скопируются в зашифрованное хранилище, которое откроется автоматически. - Внизу зашифрованного хранилища нажмите кнопку Backup, чтобы экспортировать куки в файл. Введите пароль (не менее четырех символов) для защиты экспортированного файла.
Этот пароль вам понадобится при импорте на другом ПК. Сохраните файл .db с любым именем в любой папке и перенесите на целевой ПК.
Этап 2 – импорт куков на целевом ПК
- Откройте зашифрованное хранилище (Encrypted Storage) и задайте пароль для него.
- Нажмите кнопку Restore и выберите сохраненный файл с куками.
- Введите пароль, заданный при экспорте файла.
- Выделите домен и нажмите кнопку со стрелкой.
Куки будут перенесены в основное хранилище.
Уже можно заходить на сайт, все должно работать! В моем случае в качестве завершающего штриха я значительно увеличил срок истечения куки.
Перенос куков в других браузерах
Запись была бы неполной без аналогичной информации для прочих браузеров. Учтите, однако, что я не проверял работу описанных ниже средств для Opera и Firefox. Если вы знаете проверенные решения, укажите их в комментариях.
Яндекс
Следуйте инструкциям для Chrome ↑С помощью приложения Cookies можно переносить куки между Chrome и Яндекс.
Opera
Рассмотренное выше приложение Cookies в Opera не работает, потому что браузер не поддерживает приложения. Но есть расширение Edit this cookie, которое позволяет зайти на сайт, экспортировать куки в формат JSON, а затем импортировать их.
Недостаток расширения в том, что с каждой кукой приходится работать индивидуально. Преимущество — возможность переносить куки между Opera, Chrome и Яндекс.
Edge
В новом браузере Microsoft пока нет функции экспорта / импорта куков.
Internet Explorer
Сразу все куки можно выгрузить в текстовый файл так: Alt → Файл → Импорт и экспорт → Экспортировать в файл → Файлы cookie. Затем из файла можно скопировать нужные куки или удалить ненужные. Импорт выполнятся аналогично.
Бонус: экспортированный файл можно загрузить в консольный wget с ключом --load-cookies.
Firefox
Быстрый поиск наводит на дополнение Export Cookies, которое привносит функцию экспорта, аналогичную IE.
Дискуссия и опрос
Хранение учетных данных в куках – не очень безопасный, но в то же время самый привычный и понятный способ для большинства неискушенных пользователей. Впрочем, мне тоже не чужда такая практика :) Вообще, я использую почти все основные варианты хранения учетных данных веб-сайтов:
- Куки на ряде второстепенных сайтов, не связанных напрямую с моей личностью.
- Менеджеры паролей браузеров там, где мне нужна синхронизация между устройствами, в т.ч. кросс-платформенная.
- Локальный менеджер паролей KeePass под длинным мастер-паролем для самых важных учетных данных, компрометация которых может нанести удар по моей репутации или поставить под угрозу посетителей моих сайтов.
- Аутентификацию с помощью аккаунтов соцсетей, причем в последнее время предпочитаю именно этот способ.
Пожалуй, за кадром остался только облачный менеджер паролей, типа LastPass.
А чем пользуетесь вы? Расскажите в комментариях, какие способы хранения паролей к сайтам вы предпочитаете и почему.
Хранение в куках использую побочно. Так как они рано или поздно слетают. Поэтому основа — браузерное хранилище в FireFox. Помогает дополнение Secure Login для вставки паролей, наподобие «Жезла» Оперы.
KeePass пробовал, что-то не понравилось. Некомфортно. Но кроссбраузерно.
Одно время пробовал авторизацию по OpenID (аналог соцсетей). Вроде специально заточнено на безопасность, но почему-то меня эти способы пугают. Что один, что второй.
Вадим, может расскажете про этот способ подробнее. Распространенность, удобство, безопасность, утечки данных.
У меня нет OpenID, я использую FB, Twitter, Google. Мне кажется, что он хотя и получил широкую поддержку, не взлетел именно из-за соцсетей. На многих сайтах с ним не войдешь.
Пользуюсь KeePass, его базу синхронизирую между устройствами посредством OneDrive. Браузерные менеджеры паролей отключены. LastPass — да, удобно, но после его взломов, по-моему даже неоднократных, не советую.
Я тоже использую OneDrive на разных устройствах, но лучше всего KeePass выглядит на десктопе Windows. Остальное — костыли.
LastPass, сервис синхронизации Opera, что-то храню в собственной памяти. Не знаю почему именно так — удобно, какое-то специальное исследование не проводил на эту тему:)
Только кукисы/пароли переношу редко, обычно перетаскиваю профиль целиком с помощью утилиты Hekasoft Backup&Restore. Так сохраняется текущая сессия, установленные плагины, в общем получаю практически полностью готовое к работе окружение. Остаётся только подключить LastPass:)
Вот интересно, а кто вообще решил, что риск хранить пароли в сторонней программе меньше, чем риск хранить их где-то на файловой системе в открытом виде? Ну, например, в текстовом файле на «Рабочем столе».
В обоих случаях, помимо самого пользователя и администраторов компьютера, пароли доступны ещё ОС. А значит — потенциально ещё и разрабочику ОС (Microsoft там) и злоумышленникам, которые получат доступ к системе с правами администратора. Но в первом случае к этому (и так немаленькому) списку добавляются разработчики стороннего ПО.
Встроенные хранители паролей в ОС и в браузере, конечно, прекрасны. И по возможности я стараюсь пользоваться ими. Но никаких специальных действий не предпринимаю, а значит (1) пароли не всегда сохраняются в браузере, а куки периодически протухают и (2) синхронизация тоже иногда отказывает.
Борюсь я с этим самым тривиальным способом. На все малозначительные сайты (а таких большинство) у меня один и тот же пароль, к тому же словарный. Мне плевать, если кто-то завладеет моей учётной записью на сайте доставки пиццы или будет за меня читать платную подписку к сайту с новостями. Да, там в профиле может быть сохранено моё имя, адрес и телефон. Но я не делаю из этой информации тайны и одно время вообще публиковал их в открытом доступе. (Когда у меня ещё были учётные записи в некоторых социальных сетях).
Сторонние программы хранят пароли в зашифрованном виде (мастер-пароль, по сути, ключ шифрования), в то время как в текстовом файле всё в открытом виде. Если злоумышленник получит доступ к файлу с паролями того же KeePass сделать он с ним мало что сможет, в то время как с текстовым файлом — всё что угодно.
А как он получит доступ к файлу с паролями? Варианта я вижу два.
1. Физическая кража носителя. Исключено — всё зашифровано BitLocker. (Если не шифровать диск, то вопрос целесообразности шифрования отдельно паролей превращается в дискуссионный. У кого как, но лично у меня на дисках и так достаточно информации, которая если попадёт в третьи руки, сможет навредить достаточно для того, что пароли уже станут не важны). Ну и вообще, вариант того, что ко мне в квартиру заберутся воры, он слабо вероятен, как мне кажется. Особенно по сравнению со вторым сценарием
2. Злоумышленник получает удалённый доступ к компьютеру. (Вирус, троян, уязвимость ОС, социальная инженерия, что угодно). Тут смотри предыдущий мой комментарий. Если злоумышленник уже контролирует вашу сессию в ОС (даже не обладая правами не администратора, а текущего пользователя), он может «подсмотреть» пароли в оперативной памяти (или считать с экрана), когда ваша программа расшифрует их для вас. Никакой дополнительной защиты в этом случае шифрование в программе не обесечивает.
Артем, в таких вопросах всегда много теории. Раз в открытом виде, то теоретически легче получить доступ, если к тебе в руки попал файл.
На практике это, скорее, проблема не безопасности, а конфиденциальности. Допустим, в семье одна учетная запись (или даже у каждого своя, но могут «проверить карманы»). Да, файл надо еще найти, но зато сразу становятся доступны даже те пароли, которые ты не вводил (ни кейлоггер, ни оперативная память тут не помогут). Поэтому KeePass под паролем — дополнительный барьер.
Что касается безопасности, то все это индивидуально. Битокер — редкость. Вообще, файл в руки врагов может и так не попасть, зато попадет смартфон — без пин-кода (снова не ты) и со включенной синхронизацией паролей в браузере :) Таких смартфонов больше, чем ПК под битолкером.
Ты прав, в разговорах о безопасности всегда больше теории, чем практики. (Думаю, никто не захочет в своей жизни много практики в этом вопросе). Я поэтому и писал выше — «потенциально». Конечно, каждый думает, что уж у него-то на компьютере пока нету вирусов, и в данный момент никакие файлы не видны злоумышленникам.
Если в семье одна учётная запись или все «проверяют карманы» друг у друга, по-моему, пароли уже бесполезно шифровать. В любом случае, это выглядит костылём. Типа знаменитых вопросов на форуме — «как мне зашифровать папку на рабочем столе?». Конечно, наложенными средствами можно зашифровать всё, что угодно. Но нужно ли идти по этому пути, и тем более пропагандировать его? Особенно учитывая, что мы живём в эпоху «принудительной честности».
(Вкратце — это о том, что все про всех всё знают, благодаря социальным сетям, службам бронирования, всяким открытым государственным реестрам, а также сервисам, которые могут неожиданно опубликовать твою фотку, случайно сделанную посторонним человеком в месте и обстоятельствах, которые ты не хотел бы афишировать. А Интернет, как известно, помнит всё, и из него ничего нельзя удалить. И чем дальше, тем быстрее объём этой информации будет нарастать, и в ней неминуемо будет появляться структура, а когда-нибудь — индексация и поиск. Поэтому единственный способ сделать так, чтобы о тебе чего-то гарантированно не узнали — не делать этого, не участвовать в этом и не иметь к этому отношения. Тут, конечно, как в ситуации с вирусами на компе — каждый думает, что это не про него. Но дело в том, что чем серьёзнее ситуация, тем больше общественный интерес к ней, и тем больше вероятности раскрытия информации такими вот непрямыми методами. Поэтому это «не про тебя» ровно до тех пор, пока ты не делаешь ничего интересного. А если ты не делаешь, тогда тем более зачем тебе шифроваться и скрываться?).
Поэтому я и выступаю за то, чтобы не усложнять. Есть встроенные средства, которые в ряде случаев (и чем дальше, тем больше) включены по умолчанию. Например, Device Encryption, встроенный в потребительские издания начиная с Windows 8, — этот тот же BitLocker, только включённый по умолчанию и без тонкой настройки пользователем. Есть разные учётные записи в Windows. Есть права NTFS, в конце концов. Всё это не надо настраивать, оно работает «из коробки» и обеспечивает приемлемый («необходимый достаточный» или даже выше) уровень. Как безопасности, так и конфиденциальности. (Не вижу тут принципиальных различий).
Если человек сознательно (или не очень) принебрегает этими механизмами (использует одну учётную запись для нескольких человек, раскрывает свой пароль членам семьи и проч.) — значит, он вышел на новый уровень «принудительной честности». И декларирует, что у него нет ничего такого, чего стоило бы охранять. Если для него это приемлемо — можно только порадоваться.
Например, для меня комфортный уровень «принудительной честности» — это не бояться за свои учётные записи на сайтах доставки еды, новостей, большинстве форумов и сайтах с порнографией. Поэтому там я использую стандартные учётные данные, которые при необходимости спокойно сообщаю друзьям. Я заведомо знаю, что информация, которую я раскрываю на этих сайтах, либо и так открытая, либо настолько незначительна, что её раскрытие не принесёт существенного ущерба. (Ну узнает кто-то, какую пиццу я люблю, и какие студии мне нравятся, дальше-то что?).
Рабочие учётные данные, а также сильно важные (типа онлайн-банков), я-таки храню в текстовом файле. Ну, почти. На самом деле — в OneNote. Которая — да — синхронизируется через OneDrive. Ну, в данном случае, не обычный OD, а OneDrive for Business (т.е., технически, облачный SharePoint). Но в данном случае это роли не играет. С таким же успехом мог бы быть и текстовы файл. Или, например, база Access. Главное здесь — я доверяю технологиям Microsoft и считаю, что они обеспечивают приемлемый уровень защиты. Если бы не доверял — очевидно, не пользовался бы продуктами Microsoft вообще. Ну то есть тут ситуация один в один как со «шпионскими модулями».
Ах да, и давно собираюсь добавить в какой-нибудь комментарий здесь эту ссылку, и всё время забываю. Очень в тему. https://tjournal.ru/c/14016-britanskie-specsluzhbi-prosyat-grazhdan-vibirat-prostie-paroli-v-internete
Да, и о смартфонах. Насколько я могу судить, большинство активных пользователей сейчас всё-таки ставит пин-код. Зачем? Да, не ради защиты сохраннённых паролей. Их ценность не самоочевидна, хотя результат тот же. Но люди всё-таки считают, что им есть, что скрывать. Обычно это фотографии и переписка. Если же ничего такого нет — то, скорее всего, человек либо не пользуется смартфоном достаточно активно, и поэтому сохранённых паролей тоже нет. Либо такому человку действительно скрывать нечего, поэтому даже его пароли интереса не представляют.
В обычном мире под безопасностью понимаются разные вещи – для кого-то это презервативы, для других – телохранители и бронированные автомобили,
третьи думают, что это антивирусные программы. На самом деле, безопасность – это состояние полной собранности, позволяющее адекватно реагировать на любую угрозу извне, предупреждение и устранение опасностей до того, как реализуется потенциал угрозы, будь то угроза заражения гриппом или направленный на тебя ствол пистолета.
© ВОРОШИЛОВ ИГОРЬ — Таможня
Артем, я все-таки придерживаюсь принципа «доверяй, но защищай». Поэтому не позволяю никому входить в свою учетную запись и т.д. И поэтому же закрываю важные пароли на ключ — сегодня карманы не проверяют, а завтра зашли и проверили. Мне известны случаи, когда «отчаянные домохозяйки» быстро доходили до успешного подбора секретных вопросов к почте :)
Менеджер паролей — это не только средство защиты, но и удобства (в сравнении с текстовым файлом), в т.ч. когда дело доходит до кросс-платформенности и неполной поддержки твоим вендором других платформ.
Шифрование встроено не в издания, а в устройства, поддерживающие InstantGо, т.е. планшеты и ноутбуки с 8+. На самосборе это работать не будет, скорее всего.
Ну так про что и речь! Живя в эпоху «принудительной честности», мы должны понимать, что если ей есть до тебя дело — рано или поздно она подберёт пароль. Ну или твоего почтового провайдера взломают, и кто-то (не обязательно она сама) этим воспользуется и опубликует переписку. Поэтому тут как в стратегии ядерного сдерживания — «the only winning move is not to play». Т.е. жить надо так, чтобы не бояться в любой момент вывернуть карманы. Пока ещё не все люди дошли до этого своим умом, но наверное после скандала с Ashley Madison начнут что-то подозревать :)
Да ладно. Что может быть более кросс-платформенным, чем текстовый файл? :)
Ты прав, поэтому я и говорю — «чем дальше, тем больше». Прогресс закономерным образом работает на то, что всё больше и больше новых устройств выходят с TPM на борту. Т.е. нет никаких технических преград к работе BitLocker или Device Encryption «из коробки» и прозрачно для пользователя (без ввода сложных ключей вручную при каждой загрузке). Поэтому прозреваю (у меня нет никаких инсайдов тут), что в одном из следующих крупных обновлений Windows эта функция будет включена и не только на устройствах с InstantGo.
Не-не, мне под паролем спокойнее.
Кросс-платформенность. С TXT тут не поспоришь, хаха, но я сравнивал менеджер и браузерные пароли :) Ускорение — на десктопе KeePass быстрее текстового файла, а это для меня актуальный юзкейс.
Шифрование. Думаю, исходят из мобильности устройства > попадания личной информации в чужие руки. Десктопам это не грозит, как ты сам заметил.
Ну я не говорил, что десктопам не грозит. Это, опять же, до тех пор, пока ты серьезно кого-то не заинтересуешь. А тут и дверь вскроют (болгаркой :)), и ордер на обыск выпишут. Поэтому, опять же, решение не в том, чтобы использовать супер-шифрование. Решение в том, чтобы не бояться выложить пароль до того, как тебе начнут зажимать пальцы косяком двери.
Я готов принять аргумент про удобство. Хотя это дело субъективное. Мне, например, с
текстовым файломOneNote достаточно удобно. Настолько, чтобы не инвестировать время (и не принимать риски) в изучение сторонних программ.Аргумент про шифрование не принимаю всё-таки. Как по мне, если человек спрашивает, например, «как мне зашифровать папку на рабочем столе?» — то советовать надо не архиватор с паролем, а раздельные профили пользователей. (Ну и почитать про права доступа NTFS). И аналогичным образом, если задача формулируется в стиле «как мне зашифровать свои пароли?», то ответ должен лежать не в плоскости специализированных программ, а в шифровании всего диска.
Если человек считает, что его пароли достаточно важны — ничего, освоит полторы галочки в настройках BitLocker. Если же считает, что у него нет ничего ценного, то ему и возня с хранителями паролей будет лишней.
Я тут придумал ещё вот какой аргумент. Допустим, в руки злоумышленников действительно попал твой жёсткий диск. И перед ними стоит задача прочитать твою почту. Ну хорошо, пароль от почты у тебя зашифрован специальной прогой, и они его не взломают. Но как насчёт файлов Outlook (или другого почтового клиента)? И даже если ты читаешь почту в браузере, наверняка у него есть какой-то кеш. Или те же самые куки, из которых наверняка тоже можно вытащить пароль.
Эту же схему можно спроецировать и на другие службы, не только почту. Короче, шифрование паролей без шифрования диска — профанация. А использовать то и другое сразу — ну-у-у-у, не знаю.
Ваша точка зрения понятна и имеет право на жизнь. Так же как и альтернативные точки. У каждого свои условия. Самое главное, если что-то произойдет, вы винили в этом только себя — мол недосмотрел, понадеялся, недооценил опасность, не учел риск и прочее.
Использую Google Chrome с настроенной синхронизацией между устройствами. Запоминание паролей в настройках отключено, в качестве менеджера паролей — LastPass с длинным мастер-паролем и двухфакторной аутентификацией. Да, про утечки слышал, но, если мне память не изменяет, ничего серьёзного не «утекало».
Я Вас расстрою: утекало: http://arstechnica.com/security/2015/06/hack-of-cloud-based-lastpass-exposes-encrypted-master-passwords/
У меня включена опция «Очищать куки при закрытии». Сохранением паролей никогда не пользуюсь.
Браузер, который хранит куки без шифрации с привязкой к машине — фтопку. Ну, по крайней мере, не давать ему что-либо хранить.
Дмитрий, я считаю, что с очищенными куками неудобно. Да хоть ненужные форумы на OSZone складывать каждый день — спасибо, не надо :)
Пароли в менеджере Chrome для не очень важных сайтов (удобно, кросплатформенная синхронизация — для меня это важно).
Пароль live.com синхронизирован на всех машинах с 8, вход через IE автоматический.
Важные пароли и Live.com на других машинах набираю вручную, без запоминания/в гостевом режиме браузера.
Прочёл все комментарии и понял одно.
Все выбрали такие сложные системы для паролей и для этих ку-ки, что диву даёшься.
У меня же всё очень просто.
Был сперва браузер Google Chrome, пароли все сохранял внутри него и была синхронизация с моим кабинетом на сайте Google где хранились все мои закладки с моими сайтами и пароли на нужные сайты, форумы и блоги.
Поменял браузер Google Chrome на другой — SRWare Iron и синхронизировал его со своим кабинетом. И у меня в новом сразу встали на свои места и закладки с сайтами и пароли все вернулись ко мне. А эти ку-ки я всегда удаляю перед переводом ноутбука в Гибернацию. И всё прекрасно работает.
Удобно, быстро и просто !
Всем всего хорошего !
К некоторым — в кукисах, к некоторым — в Опере. В качестве хранителя паролей и др. информации использую приложение Сейф для Андроида:
https://play.google.com/store/apps/details?id=com.zholdak.safebox&hl=ru
Цитата: :-)
Это программное обеспечение предназначено для безопасного хранения приватной и секретной информации, такой как пароли, данные к банковским счетам, коды запуска межконтинентальных баллистических ракет, а также фотографии и контакты связных, карты расположения конспиративных квартир.
Ваши данные надёжно защищены 256-битным AES шифрованием.
Присоединяюсь к просьбе рассказать об авторизации через соц. сети: насколько это безопасно и если это безопасно, то зачем это нужно владельцам соотв. ресурсов.
Николай, спасибо, я подумаю — надо исследовать вопрос :)
Ну вот, и рассылки на почту получаю, и читаю. А коммент написать не смог. Пришлось перерегистрироваться.
Раньше пароли были в браузере, теперь в lastpass. Видимо пароль от блога потерялся. Если банковские услуги, то через IE, с заполнением norton safe.
Я не помню, где читал. Притча.
— Учитель!, я придумал надёжный пароль.
— Он не надёжен, его знают ты и я.
— Учитель, я снова придумал пароль и Вам я его не скажу. Я сохранил его в облаке.
— Ну он также не надёжен, теперь к нему имеет доступ «интернет».
Ну примерно.
А так, если захожу с чужого РС. Lastpass отсылает сообщение на имейл, для подтверждения, IP у меня динамический. Как определяет, не выяснял, может по МАС-у роутера.
Эд, дело не в регистрации, просто статья вышла с закрытыми комментами по ошибке.
Уведомления — хорошая практика. Мне нравится Google, Facebook (и вроде Microsoft тоже), которые тоже шлют уведомления при входе на новые устройства.
Мне вот тоже нравились уведомления, пока кроме них ничего не было. А потом, с какого-то момента, тот же Гугл запретил доступ некоторым моим устройствам к почте, причём было неочевидно, как это побороть. А вот это уже с моей точки зрения — то самое «восстание машин». Мягко скажем — неприятно, особенно когда жмёшь на кнопку разрешить доступ устройству (не помню как она точно называется в Гугле), а ничего не меняется — в доступе всё-равно отказано.
Уведомления — да, здорово, запреты согласно машинной логике, лично для меня — зло.
Для хранения паролей использую LastPass, ужасно удобно. Главное не хранить нигде от него пароль, тем более в браузере, и менять раз в пару-тройку месяцев. Пароль больше 30 символов с цифрами, буквами разных регистров и символы, всё в голове.
Очень удобно, чтоб Chrome и Firefox поддерживают синхронизацию, правда, использую только между своими ПК и ноутами, на смартфонах это почему-то неудобно.
Отдельное спасибо за статью, может быть, когда-нибудь пригодится, чтобы самому не тратить время на поиск информации.
Один вопрос только, вызывающий у меня сомнения — разве авторизация через аккаунты социальных сетей это более безопасно, чем с использованием email + уникальный пароль? Преимущество вижу только в удобстве, когда надо зарегистрироваться ради одного раза.
Алексей, мне кажется, что соцсети в теории безопаснее — например, сайт не получает мой пароль ни в каком виде, т.е. меньше вероятность компрометации связки логин/пароль.
Зато таким образом можно скомпрометировать свой доступ к используемой соцсети, разве нет?
Почему? Вы видите список прав, которые даете сайту/приложению, отключить их доступ можно в любой момент. Учетных данных они не получают.
А что будет при взломе вашего пароля к соцсети или взломе самой соцсети? Фактически, соцсеть это менее безопасно чем LastPass. И даже менее безопасно, чем локальное/браузерное хранилище паролей. Ведь уязвимости сети, а они в ней есть 100%, изучают много высококлассных профессионалов. Любой посредник это минус.
В этом плане IE11 (Desktop) и Edge можно считать современными браузерами, или они облачную связку ключей не используют?
Пароли IE (десктопного и в телефоне) синхронизируются через MSA. Не уверен, что их можно где-то посмотреть в открытом виде, но в формы пароли подставляются исправно. И насчёт Edge точно не знаю, но подозреваю, что с ним в этом отношении дела обстоят не сильно хуже.
А я страдаю параноей и не сохраняю пароли в браузере никогда, даже отключаю опцию у себя=).
Был схожий опыт, только человек забыл пароль от ВКонтакте, а в его браузере Firefox он сохранён. Задача решилась простым копированием папок профиля на новую машину
Появилось еще одно соображение. Пользователи разделяют хранение паролей или определяют способ хранения, по уровню требуемой безопасности и паранойи. Однако все больше сайтов с критической информацией, поддерживают двухфакторную авторизацию. Что позволяет выбирать способ хранения уже не по качеству, а по комфорту. А тут браузерное хранилище вне конкуренции. Для обычного пользователя.
В какой-то степени. Сегодня вы держали все пароли в Chrome, а завтра зачем-то купили Windows Phone :)
И я бы поспорил насчет 2FA — думаю, это как раз удел гиков пока, ибо требует доп. настройки.
Смотря что с чем сравнивать. Для тех вещей, которые требуют повышенного контроля, что KeePass, что 2FA требуют доп.настройки. И еще не известно, что проще, и какой из вариантов более известен обычному пользователю. Думаю о 2FA слышали почти все, даже если и не знают такого названия (SMS от соцсетей), а такие слова как KeePass или LastPass вызовут лишь недоумение.
Странно, что никто не пользует Roboform. Я им пользуюсь уже лет 10, никаких нареканий.
До сегодняшнего дня, считал, что это наиболее популярный менеджер паролей. Оказывается — нет.
А ведь он:
1. Кросс-платформенный (Windows, Mac, Linux, iOS, Android, BlackBerry),
2. Поддерживает браузеры IE, Chrome, Firefox, Opera и др.
3. Имеет возможность шифрования алгоритмами военного назначения: AES 256, с наличием добавочных опций по защите.
4. Для синхронизации можно использовать USB-носитель, можно облако (OneDrive, например), а лучше пользоваться Roboform Everywhere (подобие облака OneDrive).
5. Хранит не только пароли, а также и закладки, и любую другую информацию, какую пожелаете.
6. Автоматически заполняет не только веб-формы, но и окна Windows.
Рекомендую всем попробовать, надеюсь не пожалеете.
Сергей, у меня брат его много лет использует и доволен.
Для доступа к подавляющему большинству сетевых сервисов использую менеджеры паролей в браузерах или куки (смотря насколько для меня регистрация на конкретном ресурсе неважна, а таких — подавляющее большинство). А ещё чаще использую вход под учетными записями социальных сетей. А вот действительно важные пароли (таких в общем то не по работе — кот наплакал) — в оффлайновом менеджере паролей и/или в голове.
Несомненно интересный опыт. Однако простому смертному достаточно знать, что существует программа для Google Chrome Backup. Вот ссылка:
http://www.parhelia-tools.com/products/gcb/googlechrome.aspx
Так же для мазилы mozbackup:
http://mozutil.mozilla-russia.org/backup/index-ru.html
Создаёт копию всего: настроек, дополнений, паролей и закладок. По окончании импорта получаешь такой же браузер, каким он был до краха. Вот это, реально проще.
Переносить куки — малополезное занятие, на мой взгляд. Сейчас мало какие сайты верифицируют только по кукам, IP адрес, идентификатор браузера, его версия, и множество других дополнительных факторов.
Пробовал различные решения: хранение в браузере (пока не увидел, насколько просто их оттуда выцепить) в запароленном архиве (дико неудобно), онлайн-сервисах типа LastPass (пока паанойя не взыграла), потом был 1password (удобный, но задушила жаба) и наконец я пришёл к файлику в keepass, с яндекс-диском в качестве дистрибьютора до устройств.
Важные пароли даже в keepass у меня хранятся не прямым текстовом а солёные или недосоленные или иным способом подзашифрованные. У базы keepass стоит пятиминутный триггер на бездействие — лочиться. В целом, конечно же, не то, чтоб сильно надёжное решение, но оно достаточное для моего уровня паранойи.
Для Chrome тоже есть удобное расширение cookies.txt, которое позволяет скопировать cookies, а потом вставить их в любой текстовый файл для использования wget с ключом —load-cookies. Очень удобно, т.к. копируются cookies, которые относятся только к текущему сайту (а не все cookies, которые сохранил Chrome).
Здравствуйте. Мой вопрос не совсем в тему, но позволю себе его задать. Может быть кто-то подскажет решение моей задачи. Есть мобильный телефон на Андроиде (Samsung 7262) . Установлен Google Chrome. Через него захожу на страницу VK. Суть задачи в том, что надо вытянуть данные авторизации для этой страницы на сайте VK, которые мне не известны, но автоматически запомнены для входа… Я знаю лишь данные Google аккаунта.
Похоже на нарушение УК РФ.
В каком месте? Это его собственный смартфон, разве он не имеет право с ним делать, что захочет?
Даже если смартфон его (не факт), учетная запись — нет.
Похоже на ст. 272, и обсуждаться тут не будет, так как запрещено правилами, которые интерпретирую я.
Для хранения паролей использую Kaspersky Password Manager. Лицензия от антивирусного продукта Kaspersky Total Security позволяет это делать.
Подскажите как мне быть.
В попыхах поменял пароль в почтовом ящике mail.ru на планшете с андроид. Теперь не могу попасть с других устройств, только с планшета. Старый пароль нужен что бы сменить на новый, кличку собаки тоже не помню, дополнительный ящик тоже не ввести без пароля. В общем замкнутый круг.
Подскажите как узнать пароль?
Пишите в поддержку mail.ru
Но ведь если я захожу, значит он где-то сохранён, может в куках. Не подскажите где google chrome android хранит пароли? Самое интересное, что мастер паролей показывает старый вариант, а вот где лежит новый не представляю.
Дмитрий, тут пока блог о Windows…
Куки браузеров хромиум уже давно привязываются к ОС (не к железу), как теперь перенести куки ни другой ПК?
Здравствуйте! У меня такая проблемка. На работе есть Интернет, но с ограниченными возможностями, в частности, заблокированы все более-менее распространённые соцсети. Я хочу заходить на один сайт (назовём его abc.com) через Google Chrome. Сам сайт не является запрещённым, я на него захожу, но авторизоваться на нём можно только через фейсбук, который заблокирован. Можно ли как-то решить эту проблему (перенести какие-нибудь куки с домашнего компьютера, или сделать что-нибудь ещё)?
Так проверьте вариант с куками на домашнем ПК…