Премини към съдържанието

Препоръчан отговор


04efc21592eca1f2.jpg

Сравнително нов (мисля) облачен мениджър на пароли - Encryptr - базиращ се на Crypton JavaScript фрeймуърка, осигуряващ zero-knowledge (никой освен вас не знае данните, които вписвате... което пък значи, че загубите ли си пасфразата, никой не може да ви помогне ) защита, с открит код. От Spyder Oak и Crypton. Криптира и декриптира информацията локално. 

И нещо за четене: Crypton: Zero-Knowledge Application Framework (pdf)

 

https://encryptr.org/

Кратко ревю:

http://www.net-security.org/review.php?id=350

С версии за Уиндоус, Линукс и OS X, а скоро и за iOS.

Не видях специална тема за мениджъри на пароли и продукти за защита на информацията посредством допълнителна сигурност (програми за пълно дисково криптиране, сигурно заличаване на данните - особено важно, ако ще си продавате стария лаптоп, засилена имейл защита) и подобни. Освен това, може да споделяте тук освен продукти и ревюта на подобни продукти, също и вашия опит с подобни програми, съвети и др.

 

С по десетина регистрации в Мрежата и повече, някакъв кошмар е да помниш различни пароли за сайтовете. Да използваш една за ...даже два сайта е рисково. Мениджърите на паролите обаче са тук. :)

 

И една лична история - преди пет-шест години имах глупостта да използвам едни и същи данни за вписването си в популярен сайт и в официалната си поща. Макар и да не мога да го докажа, според мен сайта или тази страница (сайтът е огромен) го хакнаха. Доста странно поведение показваше логин процеса - по-късно разбрах, че това е стандартен хак - man in the middle. Вписвам се в сайта (при което те са верни) и ми изкача диалогов прозорец пак да ги впиша, който се отличава обаче от стилизацията на сайта. Вписвам си безхаберно данните пак. Грешка. И въобще не ми направи впечатление, до една-две седмици по-късно, когато някой от Азия започна да разпраща от пощата ми спам яко. Изоставих пощата си... В смисъл дълга история. Смених си паролата, писах на съпорта два пъти. Никой не ми отговори и аз реших, че с такъв съпорт поща не искам. Може и да не е бил виновен сайта и да не са го хакнали, но това е доста често...

Ако има такава тема, а не съм я видял, слейте тази с нея.

Редактирано от Методи Дамянов (преглед на промените)
  • Харесва ми 6

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

PCMag - Сравнение на мениджъри на пароли - юни 2015 г. http://www.pcmag.com/article2/0,2817,2407168,00.asp

 

Офлайн (KeePass) или онлайн/облачен (LastPass)мениджър на пароли? Офлайн - пазите си вие данните. Друг няма контрол върху тях. Негативи - нямате ли бекъп и стане ли фал с компютъра - кофти работа... Имате ли бекъп... няма грижи. Контейнерите, в които ви се съдържат данните обикновено използват силно ниво на криптиране, и ако не използвате за главна (master) парола "123" или нещо подобно - няма защо да се страхувате от хакери. Математиката си е математика - никой не може да я хакне - даже АНС и ФСБ. Е, принципно, някакъв мощен малуер да прочете паметта докато вписвате данните, или някакъв кийлогър да пресече натисканите клавиши. Последното е добре да не се забравя.

Онлайн - друг се грижи за безопаснотта на данните ви. Досадно. За това, първо вижте на сайта им как защитават данните - какви алгоритми ползват, къде се съхранява информацията и такива неща. Разбира се, винаги може да ментят - за това - прочетете няколко неща, посъветвайте се с някого. Хакери съвсем не са единствените рискове тук. През август дейта център на LastPass минава офлайн. Сумата и хора 12 часа нямат връзка с хранилищата си (vaults). Аз лично не съм имал грижа - вероятно е за част от американските потребители било. Именно LastPass бяха хакнати наскоро. Смешно или не, пробивът показа колко сериозни са LastPass (все пак shit happens), тъй като станаха по-ясно как ги защитават (държат единствено осолени хашове на паролите - както си трябва). За съжаление са изтекли други данни, като имейли, което може и да е създало на някой проблеми, ако е бил немарлив. Но поне LastPass са си свършили работата. И разбира се, винаги компанията може да бъде придобита и да ви се наложи да търсите алтернатива (за офлайн мениджърите, няма значение).

Добре е да помислите за включването на двуфакторна авторизация при вписване в трезора си - за уеб мениджъри. Погледнете, дали услугата предлага такава възможност. Особено за собствениците на смартфони. Нали, "то на мене няма да се случи". Бе нека никога не се случва, ама... нали? Вижте, дали поддържа изнасянето на данните за друг мениджър и начините за бекъп. Не оставайте логнати в LastPass и подобните му мениджъри. Лично аз съм настроил браузъра си да не помни нищо след изключване и излизане от LastPass при изключване на браузъра. Някои хора предпочитат свръхважните си пароли (банки, ebay, такива) да и пазят в мозъчния си мениджър на пароли. За всеки случай. Все пак... shit happens.

 

И разбира се, вие си знаете. Противниците на използването на тези продукти, често използват като аргумент, че "слагате всичките си яйца в една кошница". Again... shit happens. Не знам, моята кошница - де е на раменете, не може да побере толкова "яйца"... но и те имат право, де.

Редактирано от Методи Дамянов (преглед на промените)
  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Кратък обзор на няколко мениджъра на пароли от SecurityLab.ru

Цитат:

"Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить. "

Автор: Maria Korolov

Обзор менеджеров паролей

image

 

Если вы читаете эту статью, то, скорее всего, пользуетесь всеми благами цивилизации: компьютером, мобильными устройствами и интернетом, посещаете множество сайтов, зарегистрированы в куче сервисов и, как следствие, используете намного больше паролей, чем можете запомнить.

Кроме того, с точки зрения безопасности пароли должны быть длинными и состоящими вперемешку из цифр и символов в различных регистрах. Ах, да, еще ведь желательно менять пароли раз в 3-6 месяцев. Догадались к чему я клоню?

Все верно. Пора начать использовать менеджер паролей (если вы еще этого не сделали). Для тех, кто уже пользуется подобным софтом, также будет не лишним ознакомиться с этим обзором. Ниже представлены менеджеры паролей для пользователей с любым уровнем требований и толщиной кошелька (есть и бесплатные, но менее удобные варианты).

Плюс к этому, лидеры рынка предлагают удобные решения для бизнеса. Если сотрудники вашей компании для хранения паролей (которые, как правило, легко подобрать) все еще используют свою память, то, возможно, вы также сможете выбрать подходящий вариант.

Dashlane

Наилучший менеджер паролей, представленный на рынке. Программа позволяет изменить сразу несколько паролей в один клик и поддерживает двухфакторную аутентификацию. Кроме того, есть возможность использования общих паролей внутри одной команды.

«Dashlane появился на рынке недавно, но за свой дружелюбный интерфейс уже завоевал симпатии представителей малых и средних бизнесов», - рассказывает Дэниел Хамфриз (Daniel Humphries), исследователь компании Software Advice.

Стоимость LastPass – 40$ долларов в год на одного пользователя, но есть бесплатная версия для одного устройства.

«Существует множество случаев, когда дело доходит до менеджеров паролей, и владельцы бизнесов всегда могут решить, следует ли купить полную версию или использовать бесплатную в зависимости от нужд и приоритетов», - говорит Хамфриз. Хорошая новость в том, что даже в бесплатных версиях есть множество функций.

В бесплатной версии Dashlane вы сможете «пощупать» интерфейс, включая менеджер паролей и автоматический заполнитель форм, и совместно использовать до 5 учетных записей.

В Dashlane можно назначить доступ к хранилищу аккаунтов (и к заполнителю форм) достоверному лицу, если вдруг с вами что-то случится. Так что вам не придется каждый раз вводить свой адрес.

Функция смены пачки паролей в один клик на данный момент присутствует только в Dashlane. Сюда входят более чем 160 наиболее популярных сайта, включая Facebook, Twitter, LinkedIn, Pinterest, Amazon, Dropbox и Evernote. Данная возможность очень пригодится в том случае, если вдруг вы заподозрите, что ваши учетные записи скомпрометированы.

При совместном использовании паролей вы полностью контролируете, кто пользуется общими аккаунтами (при необходимости можно изменить уровень доступа). Данная функция очень полезна, если несколько сотрудников вашей компании совместно работают под одним аккаунтом в социальной сети.

Автоматическая авторизация работает даже с многостраничными сайтами (например, банковскими сайтами). Пароли, информация в формах и заметки шифруются и сохраняются в любом месте на ваш выбор (локально или в облаке).

Кстати, компания Apple только недавно разрешила доступ к мобильному приложению Safari для сторонних менеджеров пролей. Ранее пользователи в iOS должны были копировать и вставлять информацию в формах вручную.

LastPass

Ранее LastPass был моим фаворитом, хотя я и сейчас продолжаю пользоваться этим менеджером паролей.

Существует корпоративная версия LastPass с синхронизацией через службу Active Directory, настраиваемыми политиками (подключение, отключение и добавление новых пользователей) и единой авторизацией в популярных облачных сервисах, включая Office 365, Google Apps, Salesforce, Wordpress и других.

Поддерживая как программная, так и аппаратная многофакторная аутентификация, включая YubiKey USB keyfob, toopher и Duo Security.

Кроме того, в LastPass есть бесплатная функция мониторинга кредитной истории. При работе в сомнительных системах и сетях генерируются одноразовые пароли.

Согласно заявлениям Сида Феррара (Cid Ferrara), вице президента по продажам в LastPass, на данный момент в компании более 10 тысяч корпоративных клиентов, компании некоторые из которых входят в список Fortune 500.

Цена колеблется от 18$ до 24$ в год за одного пользователя в зависимости от объема заказа.

Как и Dashlane, LastPass позволяет сохранять пароли во время авторизации на новых сайтах. Однако могут возникнуть проблемы, если сотрудник пользуется сервисами, не имеющими отношение к деятельности компании.

«Следует позаботиться о пользователях, которые на рабочем месте пользуются личными учетными записями, например, для доступа к банковским счетам, чтобы потом не столкнуться с исками в суд», - говорит Рэнди Абрамс (Randy Abrams), руководитель отдела исследований компании NSS Labs (город Остин, штата Техас).

В LastPass есть решение этой проблемы.

Сотрудники могут использовать корпоративное и личное хранилище паролей, однако руководство компании имеет доступ только корпоративному хранилищу.

Когда сотрудник уходит из компании, все корпоративные учетные записи могут быть удалены – а персональные пароли остаются нетронутыми.

Лично я пользуюсь персональной версией LastPass, но интерфейс этого менеджера довольно громоздкий и неудобный. Возможно в будущем, когда закончится подписка, я перейду на Dashlane.

К примеру, чтобы в LastPass поменять пачку паролей нужно создавать и менять пароль поочередно для каждого сайта. Весь процесс довольно хорошо автоматизирован, но все равно не так удобен, как в DashLane, где можно поменять несколько паролей одним кликом мыши.

Хотя корпоративная версия LastPass наиболее сильный конкурент для DashLane.

KeePass

Многие из наших читателей для персонального использования, возможно, предпочтут KeePass.

«Я предпочитаю KeepPass, поскольку этот менеджер паролей бесплатен, с открытым исходным кодом, интегрирован с Windows User Account Control и не является плагином к браузеру», - говорит Джейсон Фоссен (Jason Fossen), инструктор подразделения SANS Institute (город Вифезда, штат Мэриленд). «С точки зрения безопасно не совсем хорошо, когда наиболее важная информация – пароли и номера кредитных кар – хранится в браузере, который легко может стать жертвой вредоносной программы».

Джэйсон говорит, что KeePass – отдельное приложение и не является плагином браузера.

«KeePass поддерживает скрипты для PowerShell, что позволяет создавать решения под специальные нужды», - добавляет Джейсон.

KeePass – бесплатная альтернатива для «аскетов», не особо придирчивых к удобству и функциональности, но желающих серьезно повысить свою защищенность.

1Password

Еще один менеджер паролей, позволяющий использовать совместные учетные записи, - 1Password.

«Я настоятельно рекомендую менеджер паролей с защищенным хранилищем», - говорит Стив Хултквист (Steve Hultquist), главный евангелист компании RedSeal (город Саннивейл, штат Калифорния). «Подобные приложения позволяют вам автоматически генерировать полностью уникальные пароли для каждого сайта и автоматически заполнять формы во время работы на стационарных компьютерах, мобильных устройствах и в других приложениях».

Как Dashlane и LastPass, 1Password поддерживает большинство браузеров, автоматически заполняет формы и имеет версии как для iOS, так и для Android платформ.

Blur

Особенность Blur в том, что, помимо генерации длинного уникального пароля, этот менеджер создает одноразовый адрес для маскировки вашей реальной электронной почты.

Как и в других платных менеджерах, в Blur предусмотрена бесплатная версия. Расширенная версия (за счет которой компания получает доходы) стоимостью 40$ позволяет генерировать одноразовые номера кредитных карт с расходными лимитами, защищающими пользователя от скрытых комиссий и кражи информации. Кроме того, можно замаскировать номера телефонов.

«Всем пользователям интернета следует завести менеджер паролей», - говорит Роб Шейвелл (Rob Shavell), глава компании Abine. «Менеджеры паролей становятся все более удобными, экономят время, но в то же время хорошо защищают конфиденциальную информацию. Вне зависимости от размера вашего бизнеса, следует обратить внимание на эти приложения».

Помимо своего собственного детища (Blur), Шейвелл также рекомендует LastPass, 1Password, Dashlane и PasswordBox (см. ниже).

PasswordBox

PasswordBox недавно был приобретен компанией Intel. На данный момент полная версия бесплатна для всех пользователей.

Кроме того, в будущем планируется реализация функции «True Key», которая заменит мастер-пароль на биометрическую идентификацию (например, по лицу).

Большинство менеджеров паролей используют мастер-пароль, то есть пароль для разблокировки доступа ко всему хранилищу. Основная идея заключается в том, что намного проще запомнить один очень длинный пароль, чем десятки и сотни паролей для каждого сайта.

Однако мастер-пароль также не совсем удобен, особенно если менеджер блокируется из-за неактивности компьютера или мобильного устройства (хотя, с точки зрения безопасно, блокировка желательна).

«Всесторонняя поддержка крайне важна», - говорит Андре Бойсен (Andre Boysen), главный специалист по идентификации в компании SecureKey Technologies (город Норт-Йорк, провинция Онтарио). «Доступ к хранилищу паролей всегда будет одной из первостепенных целей злоумышленников».

Утверждается, что PasswordBox наиболее надежный менеджер паролей. На данный момент количество загрузок превышает 14 миллионов. Для сравнения: утверждается, что LastPass используют около 6 миллионов пользователей.

Кроме того, в PasswordBox есть функция назначения достоверного пользователя, который сможет получить доступ к хранилищу, если с вами что-нибудь случится. Также можно совместно использовать учетные записи среди сотрудников или членов семьи.

RoboForm

RoboForm – самый старый среди менеджеров паролей, упомянутых в этом обзоре. Первая версия RoboForm была выпущена в конце 1999 года.

У RoboForm есть одна уникальная функция, позволяющая пользователю одновременно авторизоваться на нескольких сайтах. Очень удобно, если вы ежедневно пользуетесь несколькими сервисами. Также есть портативная версия RoboForm2Go, которую можно установить на флешку.

Как и другие менеджеры паролей, RoboForm поддерживает все основные браузеры и устройства. Можно выбрать облачный сервис для синхронизации на всех устройствах или хранить данные локально. Однако в последнем случае вы не сможете получить доступ к хранилищу с других компьютеров и мобильных устройств.

В корпоративной версии RoboForm можно настраивать групповые политики, интеграцию с Active Directory, восстановление мастер-пароля и совместное использование учетных записей. Поддерживается автоматическое создание аккаунтов для групп пользователей и учетных записей, ограниченных по времени.

StickyPassword

В StickyPassword есть уникальная функция для синхронизации при помощи Wi-Fi сети (если вы по каким-то причинам не хотите использовать облачный сервис).

Поддерживается работа с USB-устройств, биометрия и автоматическое заполнение форм. StickyPassword адаптирован для всех наиболее популярных платформ, браузеров и устройств.

Стоимость полной версии с поддержкой синхронизации через Wi-Fi всего лишь 20$ в год (самый дешевый вариант среди всех остальных менеджеров из этого обзора).

В компании утверждают, что StickyPassword используют 2 миллиона пользователей. Кроме того, на основе StickyPassword была разработана технология VIPRE Password Vault (компанией ThreatTrack Security) и менеджер паролей Kaspersky Password Manager.

К сожалению, в StickyPassword не предусмотрена корпоративная версия, что делает этот менеджер паролей не особо пригодным для бизнеса.

«Если компания собирается использовать менеджер паролей, следует убедиться в том, что приложение поддерживает уровень дистанционной управляемости, соответствующий нуждам бизнеса», - говорит Рэнди Абрамс (Randy Abrams), директор NSS Labs (город Остин, штат Техас).

http://www.securitylab.ru/analytics/472353.php

И едно предложение от Kaspersky:

Kaspersky Password Manager

http://www.kaspersky.ru/kpm-latest-versions

Атук можете да се запознаете детайлно с програмата: http://www.comss.ru/page.php?id=2482

Обзор менеджера паролей Kaspersky Password Manager с поддержкой компьютеров под управлением операционных систем Windows, Mac OS X и мобильных устройств Android, iPhone и iPad

 

Введение

Самые известные менеджеры паролей поставляются компаниями, которые разрабатывают только один продукт. В этом случае вся энергия инженерного состава сконцентрирована на управлении паролями. Тем не менее, это не означает, что другие компании-разработчики не могут создавать собственные решения. Kaspersky Password Manager (для всех устройств) (14,99 долларов в год) выполняет все ожидаемые задачи управления паролями, но не может конкурировать с лучшими менеджерами паролями с мощной функциональностью.

Обзор Kaspersky Password Manager (для всех устройств)

Раньше Kaspersky Password Manager был совершенно другим приложением, разрабатываемым сторонней компанией. Текущая версия является полностью внутренним продуктом, разработанным с нуля. Простой интерфейс программы наглядно размещает и организует удобный доступ для всех ваших паролей, безопасных заметок и персональных данных.

Начало работы

Вы можете начать использовать Kaspersky Password Manager без оплаты. Однако, в этом случае пользователь может сохранить до 15 паролей и всего одни учетные данные для заполнения форм. Тем не менее, любой может получить шанс протестировать продукт и, в случае положительного опыта, приобрести продукт.

При установке программы, Kaspersky предлагает импортировать любые пароли, сохраненные в Chrome, Firefox и Internet Explorer. Установщик может отключить захват паролей в Firefox и IE и предупреждает о необходимости ручного выполнения данной операции в Google Chrome.

Обзор Kaspersky Password Manager (для всех устройств): Мастер-пароль

В процессе установки продукта пользователю нужно создать учетную запись Kaspersky на онлайн портале (или выполнить вход в существующий аккаунт) и задать сильный мастер-пароль. Как обычно, мастер-пароль должен быть достаточно сложным, чтобы никто не смог его угадать и в то же время достаточно запоминающимся, чтобы Вы сами не забыли его. Kaspersky автоматически оценивает надежность мастер-пароля по мере ввода, что очень удобно.

Основные операции

После активации браузерных плагинов, Вы будете меньше взаимодействовать с основным окном программы. Как ожидалось, Kaspersky захватывает ваши учетные данные при авторизации на безопасном сайте. При тестировании Kaspersky хорошо обрабатывал стандартные формы авторизации, но пропустил несколько двухстраничных форм и форм с нестандартной разметкой.

Когда Вы возвращаетесь на сайт с сохраненными данными, Kaspersky автоматически заполняет формы. При сохранении двух пар логин/пароль программа не выполнила заполнение, но при клике по кнопке на панели задач браузера отображалось оба варианта учетных записей для выбора. Пользователь может перейти в главное окно и указать одну пару логин/пароль для автоматического заполнения.

Обзор Kaspersky Password Manager (для всех устройств): Автозаполнение

Нажмите на кнопку на панели браузера и выберите пункт “Все учетные записи” для открытия меню сохраненных учетных записей. Как обычно при выборе конкретной записи, открывается сайт и производится автоматическое заполнение и авторизация. Пользователь может использовать поисковую строку для быстрого поиска объектов. Это очень удобно при разделении учетных записей по группам, потому что группы не становятся подменю в меню “Все аккаунты”.

Трудности переезда

В предыдущей версии Kaspersky Password Manager была возможность импорта паролей из RoboForm Everywhere, LastPass Password Manager или KeePass Password Safe. Теперь данной функции нет, в текущей версии Вы можете импортировать пароли только из браузеров и только при установке продукта.

Если Вы намерены перейти с другого менеджера паролей на Kaspersky Password Manager, Вам нужно будет проделать нехитрые операции. Включите Kaspersky в одном браузере, а еще один менеджер паролей - в другом. Затем поочередно копируйте пароли из старого менеджера паролей и вставляйте их в формы в браузере с включенным Kaspersky.

Управление паролями

Главное окно приложения отображает пять названий вкладок в левой части: Избранное, Интернет, приложения, Личные данные и Заметки. Пользователи Kaspersky вероятно большую часть времени будут работать с вкладкой “Интернет”, которая показывает все сохраненные пароли в узкой колонке в средней части окна, подробная информация о сохраненных данных отображается в правой части окна.

Обзор Kaspersky Password Manager (для всех устройств): Управление паролями

Одновременно Вы можете видеть 8 или 9 сохраненных паролей, поэтому при сохранении большого количества паролей логичнее будет организовать их по группам. Просто нажмите иконку чтобы добавить группу, затем перетащите соответствующие объекты в группу. Kaspersky не поддерживает вложенные группы, как например LastPass или Sticky Password. Программа содержит довольно удобную поисковую строку, которая ограничивает список и показывает только соответствующие запросу объекты. Если Вы накопили тонну сохраненных паролей, можно кликнуть иконку звезды для добавления наиболее часто используемых из них на вкладку “Избранное”.

Персональные данные

Также как и многие другие менеджеры паролей, Kaspesky имеет возможность сохранять персональные данные и платежную информацию для заполнения веб-форм. Для начала работы с данной функцией нужно задать учетную запись (личность) и ввести требуемые данные. Основные данные включают полное имя, номер телефона, адрес электронной почты и предпочитаемый веб-логин, а также название вашей компании. Пользователь может расширить список доступных объектов, добавив новые детали, например пол, возраст, почтовый адрес, аккаунты клиентов мгновенного обмена сообщениями и деловую информацию.

Обзор Kaspersky Password Manager (для всех устройств): Личные данные

Вы можете добавить одну или несколько кредитных карт или банковских аккаунтов к каждой личности. Кроме стандартной информации - номера карты, номера CVV и имени владельца карты, Вы можете добавить дополнительную информацию, как например банк-эмитент или номер телефона сервиса обслуживания клиентов банка. Помните, что данная информация синхронизируется с вашими мобильными устройствами, а хранить телефонные номера банка очень удобно, особенно в путешествиях.

При тестировании эксперт интернет-портала PC Magazine Н. Дж. Рубенкинг столкнулся с серьезной проблемой, которая могла быть вызвана нестабильностью аккаунта из-за многолетнего использования различных версий продукта. Меню “все учетные записи” не появлялось и заполнение форм не работало. При создании нового аккаунта меню сразу же появилось, но автозаполнение по-прежнему было неработоспособным.

Представитель технический поддержки «Лаборатории Касперского» в чате пояснил, что функция автозаполнения была протестирована в 100 самых популярных интернет-магазинах, среди которых Amazon, WalMart, Ikea, Best Buy и Target. При проверке на этих ресурсах Kaspersky все равно не заполнял формы.

В последний момент представитель компании обратился с пояснением. По всей видимости, изменения, сделанные в последней версии продукта, привели к неработоспособности данной функции, она работала только в версии для Mac. Сотрудник Kaspersky пообещал, что “в следующем обновлении ошибка в Windows-версии будет исправлена”.

Пароли приложений и безопасные заметки

Большинство менеджеров паролей ограничиваются сохранением паролей к многочисленным сайтам. Kaspersky, также как и Sticky Password, LastPass Premium и KeePass, может обрабатывать пароли приложений. Тем не менее, Kaspersky не выполняет автозаполнение сохраненных паролей в отличие от KeePass и LastPass. Пользователь должен самостоятельно копировать и вставлять нужную информацию.

Обзор Kaspersky Password Manager (для всех устройств): Пароли приложений

Kaspersky сохраняет секреты, не связанные с компьютерными технологиями, например комбинации замков и идентификационные номера, в виде безопасных заметок. Вы просто вводите неструктурированную информацию, и Kaspersky безопасно хранит ее вместе с вашими паролями. Ключевым моментом здесь является доступность информации с любого устройства. LastPass здесь ушел еще дальше - продукт имеет подготовленные шаблоны для различных типов данных, среди них информация о медицинском страховании, лицензии на программное обеспечение и пароли Wi-Fi.

Мультиплатформенная поддержка

Важной функцией новой версии продукта является поддержка нескольких устройств и платформ. Вы можете устанавливать Kaspersky Password Manager на все ваши устройства Windows, Mac OS, Android и iOS и хранить все данные синхронизированными. Версии для Windows и Mac практически не отличаются по функциональности, а мобильные версии имеют некоторые ограничения, связанные с особенностями ОС.

Как и многие другие менеджеры паролей для мобильных устройств, Kaspersky Password Manager для iOS открывает сайты в собственном браузере. Жесткий контроль Apple над взаимодействием между приложениями делает эту меру просто необходимостью. Kaspersky не поддерживает способ идентификации по Touch ID, хотя данную опцию предлагают LastPass, Dashlane, Keeper Password Manager & Digital Vault 8 и некоторые другие менеджеры паролей. Пользователь использует буфер обмена для копирования и вставки паролей в приложения, а также для копирования и вставки личных данных сохраненных личностей.

 

Kaspersky Password Manager для Android Kaspersky Password Manager для Android

 

Версия для Android очень похожа на приложение iOS. Здесь сайты также запускаются в собственном браузере, а заполнение паролей приложений и личных данных происходит с помощью копирования и вставки из буфера обмена. В Android-версии не отображается вкладка “Избранное”. При выборе учетной записи личных данных (личности) кредитная карта отображается в виде фактического ее изображения. Dashlane дальше развивает эту идею: добавляет логотип банка к изображению кредитной карты и позволяет пользователю выбирать цвет карты.

Расширенные возможности

По умолчанию менеджер паролей производит автоматический выход после 10 минут для ПК-версии и после 1 минуты на мобильных версиях. Кроме этого, Вы не найдете большого разнообразия расширенных функций.

Двухфакторная аутентификация значительно улучшает безопасность самых важных коллекций паролей. Keeper, LogmeOnce Password Manager Ultimate и Intuitive Password поддерживают аутентификацию с помощью кода, отправляемого по СМС.  LastPass и Dashlane имеют поддержку Google Authenticator. Kaspersky полагается исключительно на мастер-пароль, поэтому будьте уверены в его надежности.

Dashlane, LastPass, Keeper и LogMeOnce представляют возможность безопасного обмена учетными данными с другими пользователями.  Dashlane и PasswordBox PremiumFree решают проблему с передачей учетных данных в случае смерти пользователя. Kaspersky выполняет только базовые задачи управления паролями.

Непримечательный

Можно списать проблему с автозаполнением в Kaspersky Password Manager (для всех устройств), т.к. она, вероятно, будет исправлена в ближайшем обновлении для Windows -версии. В любом случае, заполнение паролей не является центральной функцией подобных продуктов. Что действительно важно, программа не имеет многих передовых расширенных функций, отсутствие которых не позволяет рекомендовать ее к использованию. Предполагается, что большинство пользователей получают этот продукт в составе комплексных антивирусных решений Kaspersky.

 

 

 

  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Един ,може би остарял тест,но все пак може да бъде интересен като изводи:

Търсим слабите места на съвременните мениджъри на пароли...

Ищем слабые места современных менеджеров паролей

Menedjeri-parolei-f
 
 
 

Несмотря на то что в мире придумано много способов аутентификации и контроля доступа, именно пароль самый распространенный и одновременно наиболее уязвимый. Множество интернет-порталов и сервисов в целях безопасности запрещают пользователям создавать простые пароли, что, с одной стороны, хорошо, а с другой — просто неудобно. Если же умножить данный факт на десяток подобных сайтов, то мы получим настоящую головную боль. Для устранения пробела между человеческим фактором и безопасностью данных на помощь приходят менеджеры паролей, которые берут на себя организацию паролей пользователя. Однако при таком подходе получается, что безопасность пользователя зависит только от одного — от мастер-пароля.

warning-icon.jpg

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Постановка задачи

В сентябрьском номере журнала (№ 176) был краткий обзор и сравнение популярных менеджеров паролей, сегодня же подробно поговорим об их безопасности в целом. В этой статье мы критически подойдем к защите менеджеров паролей и рассмотрим несколько вариантов атаки на популярные менеджеры с целью получения мастер-пароля или возможности частичного получения данных, сохраненных в базе паролей.

В качестве экзаменуемых были выбраны пять наиболее популярных решений для ОС Windows:

Каждый из них мы проверим на уязвимость к следующим атакам:

  • атаке на мастер-пароль;
  • атаке на содержимое базы паролей;
  • атаке DLL Hijacking.

И по результатам проверки поставим каждому из них соответствующую оценку: плохо, удовлетворительно или хорошо.

Атака на пароли

Как известно, менеджеры паролей не сохраняют мастер-пароль где-либо на компьютере, и каждый раз при использовании менеджера пользователь должен вводить его вручную. Для перехвата таких паролей, как правило, используют кейлоггеры плюс запись движения курсора и снимки экрана, если имела место виртуальная клавиатура. Однако в нашем случае мы не будем писать сложные теневые драйверы для перехвата нажатий клавиш и снимков экранов, так как они могут поставить нашу атаку в лабораторные условия и легко детектятся антивирусами. Мы рассмотрим интересный, но не новый способ получения пароля прямо из окна ввода через вызов API SendMessage c параметром WM_GETTEXT. Этот способ замечателен тем, что многие антивирусы не распознают его как потенциально опасное действие, а реализуется он буквально парами строк кода, плюс для его запуска не требуется наличие прав администратора.

Кроме того, атаку через SendMessage можно применить для получения текстовых данных из любых окон приложения, поэтому, даже если мастер-пароль не поддастся, есть большая вероятность частичного или полного получения содержимого самой базы после ее открытия.

DLL Hijacking

Помимо этого, мы будет проверять уязвимость каждого менеджера к атаке DLL Hijacking, чтобы выяснить, насколько корректно каждый из них загружает динамические библиотеки. И если будет обнаружена возможность подменить загружаемую библиотеку на свою, то это будет означать, что мы сможем выполнить произвольный код в системе. И хотя данной атаке подвержено большое количество различных приложений, в случае с менеджерами паролей она имеет свой нюанс. Многие пользователи часто работают за разными компьютерами, и поэтому они запускают менеджеры паролей со съемных устройств. Если при каждом таком запуске будет происходить загрузка несанкционированной библиотеки, то фактически сам менеджер паролей превращается в опасного распространителя вирусов.

Пишем SendMessage-эксплойт

Писать для каждого менеджера паролей свой собственный эксплойт неэффективно, поэтому давай лучше напишем универсальный. Преимущества такого эксплойта заключаются в том, что с его помощью мы можем не только «выдернуть» мастер-пароль и сохраненные в самой базе пароли, но также использовать его для других приложений, в которых есть форма ввода пароля. Фактически по функционалу у нас получится простой и удобный хактул, позволяющий получать пасворды, быстро дать ответ на интересующий вопрос для любого приложения. Ну а теперь перейдем к самому кодингу.

Прежде всего нам понадобится функция, которая будет подготавливать поле memo для принятия новых данных и определять хендл главного окна под курсором, после чего будет получать хендлы дочерних окон и передавать его последующей функции для распознания содержимого окна.

void __fastcall TForm1::Timer1Timer(TObject *Sender)
{
    Memo1->Lines->Clear();
    HWND h;
    POINT Point;
    GetCursorPos(&Point);
    h = WindowFromPoint(Point);
    EnumChildWindows(h,(WNDENUMPROC)EnmWndwsWnd,0);
}

За вывод содержимого дочерних окон будет отвечать функция EnmWndwsWnd.

BOOL CALLBACK EnmWndwsWnd(HWND h,LPARAM lParam)
{
    if (IsWindowVisible)
    {
        char g[255];
        GetClassName(h,g,255);
        std::string text;
        WPARAM ln = SendMessage(h,WM_GETTEXTLENGTH,0,0);
        if(ln>0)
        {
            char *buf = new char[ln+1];
            LRESULT got = SendMessage(h,WM_GETTEXT,ln+1,(LPARAM)buf);
            if((LRESULT)ln == got)
                text = buf;
            delete [] buf;
            Form1->Memo1->Lines->Add((String)g+":"+text.c_str());
        }
    }
    return TRUE;
}

После запуска программа, используя таймер, будет отслеживать положение курсора на экране и определять текст под ним, то есть достаточно навести на необходимое поле курсор, чтобы мгновенно узнать пароль. Кроме того, с помощью данной тулзы можно узнать текстовое содержимое всех окон в приложении. Данная функция будет полезна, чтобы мгновенно просканировать содержимое базы паролей после открытия менеджера.

Ищем уязвимости DLL Hijacking

В нашем случае для обнаружения DLL Hijacking можно использовать широко известный Procmon. Кроме Procmon, также подойдет другая известная утилита API Monitor, где в соответствующем меню настроек предварительно необходимо указать перехват функцийLoadLibrary и LoadLibraryEx. Если библиотека вызывалась без указания полного пути, а указывалось лишь конечное имя файла, то у нас есть все шансы найти уязвимый DLL-файл. Теперь напишем небольшой код, который будет сигнализировать о наличии уязвимости и в качестве доказательства открывать калькулятор.

#include <windows.h>
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
    WinExec("calc.exe", 0);
    return 1;
}

Созданная библиотека будет открывать калькулятор каждый раз, когда приложение ее загрузит, таким образом мы сможем однозначно судить о наличии DLL Hijacking.

info-icon.jpg

INFO


Все описанные уязвимости в Kaspersky Password Manager и Sticky Password существовали еще три года назад. Несмотря на то что вендоры были предупреждены, как видишь, проблема осталась до сих пор.

 

Kaspersky Password Manager 5.0.0.176

Ну а теперь пришло время приступить непосредственно к оценке безопасности менеджеров паролей. Первым экзаменуемым у нас будет Kaspersky Password Manager. Возможно, виртуальная клавиатура смогла бы помочь ему в случае с кейлоггерами, но в нашем случае мастер-пароль был получен сразу и без каких-либо трудностей. Первый раунд не в пользу «Лаборатории Касперского».

Получение мастер-пароля в Kaspersky Password Manager

Получение мастер-пароля в Kaspersky Password Manager

Второй раунд также оказался за нашей хак-тулзой. После ввода мастер-пароля сохраненные данные частично удалось заполучить в момент их просмотра или редактирования.

Перехват сохраненных данных в Kaspersky Password Manager

Перехват сохраненных данных в Kaspersky Password Manager

Кроме всего, KMP оказался подвержен и третьей атаке (DLL Hijacking). При старте он пытается загрузить библиотеку bthprops.cpl. Данная библиотека находится в системной директории и необходима для работы с Bluetooth-устройствами, однако KMP пытается запустить ее без указания полного пути, что и послужило причиной уязвимости. Таким же образом происходит загрузка другой библиотеки cryptsp.dll. Достаточно разместить вредоносную библиотеку, которая, к примеру, может содержать эксплойт для предыдущих двух атак, в одной директории с приложением и переименовать ее в bthprops.cpl, после чего она сможет загружаться каждый раз при запуске KMP.

Kaspersky Password Manager открывает калькулятор при каждом запуске

Kaspersky Password Manager открывает калькулятор при каждом запуске

Подводя итог, можно сказать, что Kaspersky Password Manager оказался далеко не на высоте. Итоговая оценка — плохо.

Sticky Password 7.0.2.27

Немногие знают, что Sticky Password является родителем Kaspersky Password Manager. Именно на его основе «Лаборатория Касперского» в свое время разработала собственный продукт. Оба менеджера обладают схожим функционалом и структурой, фактически главное их отличие — это номера версий и дизайн. Несмотря на то что последняя версия Sticky Password вышла совсем недавно, программа по-прежнему не избавилась от всех тех проблем, которыми когда-то наградила своего отпрыска. Первая и вторая атака успешно выдала мастер-пароль и частично содержимое базы паролей.

Получение мастер-пароля в Sticky Password

Получение мастер-пароля в Sticky Password

Как и в случае с Kaspersky Password Manager, третий раунд оказался не в пользу Sticky Password: был выявлен ряд уязвимостей DLL Hijacking. При запуске приложение пытается загрузить несколько динамических библиотек из собственного каталога: fitlib.dll, olepro32.dll, profapi.dll. Общий вердикт такой же, как и у Kaspersky Password Manager. Итоговая оценка — плохо.

1Password 1.0.9.337

1Password от компании Agile Bits первый тест прошел успешно и не дал так просто заполучить мастер-пароль, как в предыдущих двух случаях. Также очень порадовало наличие защитной функции Unlock on Secure Desktop, которая блокирует любой доступ к приложению в момент ввода пароля. Единственным моментом, когда удалось заполучить мастер-пароль нашей атакой, стал лишь непосредственный момент создания базы паролей. Однако такой метод малоприменим на практике, поэтому его результат мы не учитываем. После открытия базы заполучить сохраненные данные частично стало возможно при редактировании или просмотре, как и в предыдущих случаях.

Перехват сохраненных данных в 1Password

Перехват сохраненных данных в 1Password

DLL Hijacking также не обошла стороной и 1Password. После открытия базы приложение пытается загрузить библиотеку midimap.dll. Несмотря на ряд уязвимостей, наличие защитной функции ввода пароля все же склонило к нейтральной точке зрения, поэтому итоговая оценка — удовлетворительно.

KeePass 2.23

Хорошо известный KeePass отлично справился с первой атакой. Как и 1Password, он имеет в своем арсенале функцию контроля доступа к приложению в момент ввода пароля. Вторую атаку KeePass также сдержал достойно. Записанные в базе данные можно получить только в момент редактирования, при этом сохраненные пароли остаются нераскрытыми. Третья атака тоже в пользу опенсорсного менеджера паролей.

KeePass блокирует несанкционированный доступ

KeePass блокирует несанкционированный доступ

Хотя Procmon и показал несколько попыток небезопасной загрузки DLL-файлов, однако сделать на их основе рабочий эксплойт не вышло. Зачет в пользу GNU-сообщества. Итоговая оценка — хорошо.

RoboForm 7.9.2.5

RoboForm тоже просто так не сдался на первой атаке и не выдал свой мастер-пароль, за что и получил плюс. Однако второй раунд был не в его пользу. Даже в режиме просмотра удалось легко заполучить почти полное содержимое форм.

Перехват сохраненных данных в RoboForm

Перехват сохраненных данных в RoboForm

Как и в предыдущем случае, Procmon указал на теоретическую возможность DLL Hijacking, однако создать рабочий эксплойт не удалось. Поэтому третий раунд за RoboForm. По заработанным очкам его можно поставить на уровне где-то между 1Password и KeePass, но я все же не стал бы пользоваться менеджером паролей, который в явном виде выводит их на монитор, поэтому, на мой взгляд, итоговая оценка «удовлетворительно» вполне заслужена.

Подводя итоги

Из всех пяти менеджеров паролей только один KeePass смог успешно противостоять всем трем атакам. Открытый код и постоянная поддержка со стороны энтузиастов сделали действительно достойный продукт. Хоть RoboForm и 1Password и не обошлись без изъянов, но оба смогли защитить свой мастер-пароль. Что касательно Sticky Password и Kaspersky Password Manager, то ни один из них не смог уберечься от атаки на мастер-пароль. Кроме этого, они также открывают лазейку в виде DLL Hijacking, поэтому применение данных менеджеров паролей на флеш-накопителях может быть использовано хакером для распространения вредоносного кода и проведения целевой инсайдерской атаки. Данным продуктам требуется действительно качественное улучшение безопасности. Подведя итоги тестирования, не будем отдавать предпочтение какому-либо одному менеджеру, так как оно вытекало бы из различных субъективно-личностных факторов, мы же просто рассматривали эти менеджеры паролей с точки зрения их безопасности.


Все упомянутые в статье программы и исходники ждут тебя на нашем диске.

 

Предупрежден — значит вооружен

  1. Для защиты своих паролей от описанной методики перехвата можно настроить на компьютере специальное ПО, которое будет производить мониторинг вызова API-функций MARKDOWN_HASH2ab05fbef5eddf2027d7f05bdeac283dMARKDOWN_HASH и MARKDOWN_HASH84ea011a8379b1eb533f68d1d12fe6a6MARKDOWN_HASH c параметром MARKDOWN_HASHbed4f4e4c653f53c6abf14671add9c05MARKDOWN_HASH. Данную возможность предоставляют некоторые антивирусы, к примеру, в бесплатном Firewall от COMODO эта функция установлена по умолчанию, в других, возможно, придется задать настройку вручную. Если происходит несанкционированный доступ к окнам приложения, проактивная защита выдаст окно с предупреждением и выбором действия. Однако этот метод не поможет, если тебе часто приходится использовать менеджер паролей с флешки или на чужом компьютере. В качестве надежного решения можно взять менеджер паролей, которой обладает защитной функцией подобно UAC и блокирует несанкционированный доступ к приложению. Такой функцией, к примеру, обладает KeePass и 1Password.
  2. Для устранения проблемы, связанной с DLL Hijacking, на компьютере при помощи специальных утилит ограниваем доступ на запись в соответствующие директории сторонними приложениями. Как и в предыдущем пункте, эта функция может быть доступна в некоторых антивирусных решениях. Что касается защиты приложений на флешках, здесь не все так красиво, но можно использовать следующий ход конем. Сначала сконвертируем файловую систему флешки в NTFS:
    convert h: /fs:ntfs /nosecurity /x
    

Данная система позволяет задать настройки безопасности для отдельных папок и файлов. Можно сразу создать правило только чтения для директории с уязвимым МП, однако если файл с паролями находится там же, мы не сможем редактировать его в процессе работы за чужим компьютером. Поэтому можно создать просто файлы-пустышки с уязвимыми DLL-файлами и уже для них задать настройки только чтения. 3. В качестве дополнительной меры защиты паролей в менеджере паролей можно использовать дополнительную привязку к ключевому файлу или устройству, однако надо понимать, что теперь доступ к сохраненным паролям может быть уязвим к случайному фактору, например потере ключевого файла и поломке USB-устройства.

Заключение

Пароль и безопасность для многих людей могут казаться синонимами. Но когда ставится вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными военными шифрами менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку. Не стоит паниковать и однозначно судить, что нельзя класть все яйца в одну корзину, однако если все же мы собрались это сделать, то сначала надо как следует проверить надежность нашей корзины.

https://xakep.ru/2014/09/08/password-manager-pentest/

 

  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз мисля да съм много близо до дефиницията за параноик. Ще нахвърлям принципно как съм се организирал, може някому да се окаже полезно. Всичката си информация държа в KeePass. Основно работя от 4-5 компютъра и 2-3 мобилни устройства. Базата данни на KeePass я синхронизирам между тези устройства и няколко сървъра чрез Syncthing. Може да се ползва и Bittorrentsync за синхронизация, аз по идеологически съображения предпочитам отворен код затова съм със Syncthing. При всяко обновяване на базата, един от сървърите качва криптиран бекъп на Amazon чрез Duplicati.

Това е основното. Препоръчвам много сериозна парола на KeePass щото базата може да попадне в чужди ръце. Аз ползвам и скрипт на всяка машина който следи за конкретно събитие и ако се случи спират синхронизацията и трият базата и някои програми.

 


  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Чудя се за тая сделка между LastPass, и дали да не... Но просто по-удобен от Lastpass май няма. Ще пробвам Dashlane все пак. Другото е това, че ми е нужен мултиплатформен мениджър (Убунту и Уин). Между другото: Password Managers: Attacks and Defenses - от лятото на миналата година (pdf) и The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers

 

We conduct a security analysis of five popular web-based password managers. Unlike “local” password managers, web-based password managers run in the browser. We identify four key security concerns for web-based pass- word managers and, for each, identify representative vul- nerabilities through our case studies. Our attacks are se- vere: in four out of the five password managers we stud- ied, an attacker can learn a user’s credentials for arbi- trary websites. We find vulnerabilities in diverse features like one-time passwords, bookmarklets, and shared pass- words. The root-causes of the vulnerabilities are also di- verse: ranging from logic and authorization mistakes to misunderstandings about the web security model, in ad- dition to the typical vulnerabilities like CSRF and XSS. Our study suggests that it remains to be a challenge for the password managers to be secure. To guide future de- velopment of password managers, we provide guidance for password managers. Given the diversity of vulner- abilities we identified, we advocate a defense-in-depth approach to ensure security of password managers.

 

 

 

Редактирано от Методи Дамянов (преглед на промените)
  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз пък смятам че KeePass е доста удобен.

http://keepass.info/help/v2/setup.html

 

Става и за Убунту

https://apps.ubuntu.com/cat/applications/quantal/keepass2/

http://ubuntuforums.org/showthread.php?t=2047567

  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да, удобен е, и аз го пробвах единствено него след Lastpass.

Даже успях да прехвърля паролите си в смартфона, първо от LP към KP, и си ги ползвам чрез Keepassdroid, понеже LP  за мобилни устройства е платена.

Единствения минус за KP е липсата на тази пуста автоматична синхронизация, която в LP е перфектна. Всяка смяна на парола се записва онлайн на секундата естествено, и после имаш достъп до паролите си от всяко устройство, пък даже и да през сайта им.

Докато в KP и останалите локани менаджери се налага ръчно да отвориш, да попълваш,  да записваш в базите, и ако имаш няколко машини и смартфони е наистина досадно да сихронизираш навсякъде...

Естествено сигурността може да е по-висока локално, но аз не бързам да мигрирам изцяло. Ще изчакам... да видим кво ще излезе...

Редактирано от viperdick (преглед на промените)
  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Нещо не можахме да се разберем с KeePass,затова карам със Sticky Password...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Колкото повече чета някакви неща в Интернет, толкова повече недоумявам как се е осъществил този брак между две компании, които не знам какво общо имат... Lastpass имат добър бизнес модел и готин продукт. Когато това лято ги праснаха, реакцията им по информиране на потребителите им бе супер бърза, което не се случва често. Обяснението им на това какво се е случило, какво е задигнато и какво да се направи, напомняне за това, че това, което пазят е единствено хеш на данните, осолени с незнам си колко раунда и тъ нъ. Въобще, нещо, което е нормално да чуеш от една отговорна компания, на която (поне на външен вид) й пука за потребителите й, които трябва да са десетки хиляди. Какво, дяол го взел, ги е накарало да се продадат на компания, като тея??? Много жалко...

Подробно: Сигурност на Dashlane: pdf, 12 стр., англ.:

https://www.dashlane.com/download/Security-Whitepaper-V2.6.pdf

 

Темата за сделката във форума на LastPass продължава. И още нещо, фактът, че повечето хора, които пишат в темата не са гневни някакви, а по-скоро разочаровани и уплашени, свидетелства, че им пука за всичко това и че LastPass има (или са имали) уважението им...

 

Нещо не можахме да се разберем с KeePass,затова карам със Sticky Password...

И аз към него се насочих, четейки отзиви в Мрежата и страницата им, но и те нямат Линукс версия и изглежда не възнамеряват да правят такава. Но... аз мога предполагам да го ползвам с Wine или нещо подобно... В последно време се ровичкам за алтернатива (просто това, което са направили LogMeIn с потребителите си миналата година е недопустимо!) и сумати и мениджъри гледам са без версия за Линукс.

Редактирано от Методи Дамянов (преглед на промените)
  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Нова промоция на Sticky Password Premium

Въведете електронната поща на промо страницата и  кликнете на "Get my License". Копирайте кода(същият ще ви бъде пратен и на пощата).

Кода трябва да активирате до 30 ноември 2015.

Бесплатная лицензия Sticky Password Premium

Для получения бесплатной лицензии Sticky Password Premium на 1 год выполните следующие действия:

1. Перейдите на страницу промо-акции

2. Введите электронную почту и нажмите "Get my License".

3. На следующей странице скопируйте полученный код активации (он также придет на указанный адрес электронной почты).

ВАЖНО! Лицензию необходимо активировать до 30 ноября 2015 года.

4. Скачайте Sticky Password 8 (21.5 MB) для Windows. Вы также можете установить приложения для Mac и мобильных устройств Android и/или iOS.

5. Установите Sticky Password, использовав зарегистрированный в этой акции e-mail (StickyID) для создания аккаунта Sticky Password во время установки.

Для уже установленной программы вы можете активировать полную версию полученным лицензионным ключом в "Меню > Настройки > Мой StickyAccount".

 

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Едно ревю на PC Magazine за мениджърите на пароли (05.10.2015):

 

http://www.pcmag.com/article2/0,2817,2407168,00.asp

 

Редактирано от ExaFlop (преглед на промените)
  • Харесва ми 4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

:)

Забавно четиво. Едно изследване на "Касперски Лаб":

 

8a50d57d1bed5174.png

Lifehack: Treat your passwords as delicately as you treat your underwear

https://blog.kaspersky.co.in/lifehack-treat-your-passwords-as-delicately-as-you-treat-your-underwear/

 

 

  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

ce6bc815c7215a12.jpg

Кратко ревю на още един мениджър на пароли. Първо: съжалявам за качеството. Качвам за пръв път в Ютуб с тази програма (Vokoscreen). Запазих го в в .avi.

Относно самата програма - Enpass. Лесна и удобна за използване.

Плюс: Данните се съхраняват локално. Сървъра не знае паролата ти и нямат достъп до защитения ти сейф.

Минус: Не знам минуси ли са точно... но първо - експортиране в .txt файл и след това показване на историята на генерираните пароли в незащитен формат. Тоест, ако случайно имаш кийлогър, който снима десктопа ти, може да ти прихване тази информация (да не говорим, че се вижда и ресурса свързан с паролата ти). При Lastpass няма такава опасност.

И нещо, което не е направено много добре - при регистрация да те пита за запомняне на инфото. Не разбрах точно как функционира...

Демонстрацията е проведена на Debian Jessie 8.2.

 

Така, инсталирах го и на Уин (седмица). Безпроблемна синхронизация през Гугъл. Няма визуални или други разлики с Линукс версията.

Бекъпът се осъществява в техен си walletx формат. И отново спасяваш данните си лесно посредством облака си. Ако не бях с Lastpass, направо го сменях... :) Все пак това с показването на историята паролите...хм. Голеамият плюс? Разбира се, че всичко е под твой контрол. Нищо не държат на сървърите си...

 

 

 

 

Редактирано от Методи Дамянов (преглед на промените)
  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

аз за момента си ползвам Sticky Password и за момента съм доволен от функционалността. 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз продължавам да си ползвам Last Pass Premium. :)

И съм доволен и от поддръжката - отговарят in time.

Редактирано от ExaFlop (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 4 часа, ScD написа:

аз за момента си ползвам Sticky Password и за момента съм доволен от функционалността. 

Може ли да питам, как синхронизираш паролите си на всичките си устройства.

Аз лично ползвам LastPass на два компютъра постоянно -личния и служебния, Сядам на различни компютри често - в родителите ми, на брат ми... И  си имам достъп до базата с пароли навсякъде, и по всяко време (и на смартфона  влючително), , като променям най-чуствителните пароли (онлайн банкиране, epay, и други)  доста често....

Не бих си представил при промяна на парола, колко локални бази ръчно ще трябва да променям (или флашка) при тип локален менаджер на пароли...

Искам да кажа, че автоматичното синхронизиране и ъпдейт е най-голямото преимущество на онлайн базираните менаджери на пароли, според мен.

С Keepass не се разбрахме, предполагам със стики е същото

 

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 2 часа, viperdick написа:

Може ли да питам, как синхронизираш паролите си на всичките си устройства.

Аз лично ползвам LastPass на два компютъра постоянно -личния и служебния, Сядам на различни компютри често - в родителите ми, на брат ми... И  си имам достъп до базата с пароли навсякъде, и по всяко време (и на смартфона  влючително), , като променям най-чуствителните пароли (онлайн банкиране, epay, и други)  доста често....

Не бих си представил при промяна на парола, колко локални бази ръчно ще трябва да променям (или флашка) при тип локален менаджер на пароли...

Искам да кажа, че автоматичното синхронизиране и ъпдейт е най-голямото преимущество на онлайн базираните менаджери на пароли, според мен.

С Keepass не се разбрахме, предполагам със стики е същото

 

 

не ги синхронизирам. само на един компютър ги съхранявам и то умишлено.
Не си сменям паролите често, но услугите от съществено значение имат различни достатъчно дълги пароли.
когато ми се налага да ползвам даден профил на друг компютър или от телефона, си въвеждам паролите ръчно. 
Отново, съществените акаунти се управляват само от въпросният компютър.

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
на 4.02.2016 г. at 22:42, ScD написа:


когато ми се налага да ползвам даден профил на друг компютър или от телефона, си въвеждам паролите ръчно. 
 

Е как?... Точно как въвеждаш ръчно парола от 21 символа, например такава: 2bTUS8#!v736hdMz*M73v, ако го няма стики, да я вкара автоматично, как би я запомнил?...

И на колко профила би ти се наложило да влизаш от чужд компютър? На мен например не ми се налага често, ама веднъж да ти се наложи и...кофти...

Пример: Въпреки че ползваш стики, предполагам паролата ти на Фейса я помниш на изуст, за да я набиваш ръчно навсякъде другаде, освен на локалната машина, където е стики, а аз моята даже не я знам - създадена е от lastpass,и lastpass автоматично я попълва навсякъде...криптирана...

Редактирано от viperdick (преглед на промените)
  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

И аз не си знам повечето пароли :clown:... На може би два или три сайта само. Да видим LogMeIn обаче кога ще закрият LastPass. Иначе това, на което направих кратко клипче (Enpass), синхронизацията е безпроблемна. И за разлика от LastPass не пазят нищо на сървърите си. Но лично аз засега не мърдам от LastPass. Като стане белята тогавъ...:15:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
на 2/5/2016 at 1:13, viperdick написа:

Е как?... Точно как въвеждаш ръчно парола от 21 символа, например такава: 2bTUS8#!v736hdMz*M73v, ако го няма стики, да я вкара автоматично, как би я запомнил?...

И на колко профила би ти се наложило да влизаш от чужд компютър? На мен например не ми се налага често, ама веднъж да ти се наложи и...кофти...

Пример: Въпреки че ползваш стики, предполагам паролата ти на Фейса я помниш на изуст, за да я набиваш ръчно навсякъде другаде, освен на локалната машина, където е стики, а аз моята даже не я знам - създадена е от lastpass,и lastpass автоматично я попълва навсякъде...криптирана...

не използвам подобни пароли. Моите пароли са от по 15-20 символа, смесени смлки и големи букви, цифри и знаци. В подходяща поредица така че да е лесно за използване. Най-често използвам български думи на маймуница с вкаран някой друг знак тук и там. например: PustinqkPr0kl3t#@Majkati...

дори някой да знае схемата, по която си изработвам паролите, пак няма да може да отгатне какви думи точно съм използвал, кои букви съм заменил със знаци и кои с цифри. А bruteforce-a е безсмислен, ако сайтът се погрижил достатъчно добре за паролите.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Още една статия-ръководство за мениджъра на пароли KeePass

Бесплатный менеджер паролей KeePass: инструкция по безопасному и удобному использованию. Скрытые возможности

Инструкцията е много подробна и включва :

Цитат

 

 

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Напоследък си ползвам Password Safe. Доволен съм. Не се интегрира в браузъра за по голяма сигурност.

 

https://pwsafe.org/

https://www.schneier.com/academic/passsafe/

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

А, това на Брус Шнайер? А как се оправяш без интеграция с браузъра? Така безспорно е по-сигурно, ма не е ли тегаво?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход


  • Подобни теми

    • от Димитър Иванов
      Здравейте имам за задача да направя база от данни за авиокомпания. Която да съдържа деня, часа и продължителността на полета, начално и крайно летище, самолет, пилот, тип на предлаганата храна. Моля ако може някой да ми помогне само затова колко на брой може да са таблиците максимално с тези данни, тъй като повече от 4 не виждам, но ми казват в университета, че трябва да са повече. 
    • от C20XE l457
      Здравейте, мисля да минавам на лаптоп, вече не играя толквоа игри и само ми заема място компютъра и монитора и ще го продавам за да мина на по-компактна и преносима техника. Сегашният хард на компа е 500гб хитачи (ще прикача сминка) и е от 2010 от както ми е и компютъра, нямам проблеми с него не е падал и не е забивал доколкото знам. Та въпроса ми е следния - понеже имам бая информация (снимки, файлове, клипчета учебници в PDF.... и др.) и ме интересува какъв е най-добрия начин да запаза инфото. Заслужава ли си да записвам на DVD дискове (сигурно десетина), да си купя някаква по-сериозна флашка ИЛИ е вариянт да си откача харда и да го запазя някъде. Също за вариятна с харда не знам ако не го пипам така по месеци/година дали може да "спече нещо" или пради някаква причина да загуби инфото, добре ли е един път на 2-3 месеца да го пускам да се раздвижват чарковете върте? Най-вече заради снимките и клипчетата бих го запазил пък ще сложа друг имам SSD с него мога да го продам компа.. или пък ако SSD е по-надежден на него мога да метна данните мисля, че 100 гб ще стигнат.
       

    • от NiGh7
      Здравейте на всички,
      отскоро обмислям варианти за съхранение на снимки, клипове и всякакви файлове с големина до 500мб на външен носител, с цел съхранение и предпазване за дълго време от порядъка на години. Искам да ги "запазя" на външен носител - едно, че си остават спомени (ако са снимки и видеа) , второ ,че малко или много на настолни или преносими компютри може да се разчита, само докато няма токов удар (примерно) който да изпържи всичко, а трето, че в Интернет сайтовете за съхранение на снимки, е несигурно и всеки може да изтрие,промени и прочие.
      Като за начало обмислях външен хард диск от порядъка на 1-2 ТБ и цена около 100-150-200лв, но след като се поразрових, разбрах че този тип устройства издържат няколко години само.
      Въпросът ми е следният - За тези пари, има ли по-добър вариант за съхранение, истина ли е това със продължителността на живот външните дискове и евентуално ако няма - към кои марки/модели бихте ме насочили и какво да гледам в тях. Кой е по(най) - добрият вариант за съхранение?
      Поздрави!

      П.П Надявам се темата да е полезна на много хора и да е на правилното място.
    • от ExaFlop
      Бързо установяване дали данните за вписване в електронната ви поща са изтекли.
      https://www.leakedsource.com/main
      Целта е ако това е станало да си смените данните за вписване (паролата).
    • от loranst looa
      Здравейте моля за професионален съвет и отговор на въпросите ми.
      проблемът е следния имам съмнения че съм жертва на хакер който се опитва да източи лична моя информация от  телефона ми .  Въпреки че имам инсталирана антивирусна програма ( АВГ ) забелязах от няколко дни че някой текстови формати съдържащи мой данни са променяни или повредени - хакнати . Нещо повече въпреки че на смарт фона ми съм изключил ГПСа  получавам анонимни съобщения на имейл с доста приблизителна локализация на моето место положение за момента в който ги получавам . Съобщенията съдържат много цифри и кодове и са нещо като скрипт но в тях има линк към  Гугъл  Мапс който дава местоположението ми . Според мен тези съобщения се получават  в момент когато този който ми е хакнал телефона  прониква отново в моя апарат и рови из личната ми информация сякаш това е някакво предупреждение но надали от антивирусната програма . 
      Точно поради тази причина искам да попитам нещо относно сигурността измежду смартфон , таблет или стационарен компютър кое е най- сигурното устройство , кое е  най - надеждното за съхранение на лична информация.  И също така ме интересува когато ползвам Уай фай на телефона си или на таблета си  или на лаптопа си и съм в движение променя ли се ИП адреса на устройството ми , в смисъл какъв адрес има тогава този който е на стационарният ми Интернет доставчик или този на Уай файя  към който съм свързан в момента . 
       
      Телефона ми е Самсунг Галакси 6 с Андроид система   
       
       
       
  • Разглеждащи в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Дарение

×

Информация

Този сайт използва бисквитки (cookies), за най-доброто потребителско изживяване. С използването му, вие приемате нашите Условия за ползване.