Онлайн менеджер паролей

    Рад представить онлайн менеджер паролей – KeyMemo.com.

    Сразу спешу ответить на вопрос – «Как можно хранить свои пароли на каком-то сайте?»
    Все очень просто, все пароли шифруются на стороне клиента, в браузере, с помощью алгоритмов AES256 и Blowfish реализованных на JavaScript. Только после шифрования ваши данные передаются по протоколу https на сервер. Ключи шифрования для алгоритмов разные и не передаются на сервер. Все поля каждого пароля (название, теги, примечание и пр. ) шифруются, логин пользователя тоже шифруется. В результате на сервере хранится только анонимный «мусор», ломать ради него сервер бессмысленно.

    image




    Вопрос – зачем?

    Я прошел полный путь хранения паролей:
    бумажка -> блокнотик с собой –> файлик -> менеджер паролей -> портейбл менеджер паролей -> онлайн менеджер паролей –> свой менеджер паролей.

    Первые два способа хранения даже обсуждать не буду, это бомба замедленного действия.

    Я админю две конторы и за день успеваю поработать минимум за 3 компами, поэтому у офлайн менеджера паролей возникает проблема синхронизации данных между компами.

    Портейбл менеджер паролей требует носить с собой флешку. Но флешка может потеряться или выйти из строя. Флешка должна подключаться ко всем компам. А сам менеджер должен запускаться на всех ОС.

    Есть менеджеры, которые сам файл паролей синхронизирую через ftp сервер, но это не снимает проблем кроссплатформенности, и необходимости установки клиента на машины за которыми я в первый и последний раз в этом году.

    Достоинства онлайн менеджера очевидны: работает на всех платформах, не требует установки, не требует подключения фешки, все данные синхронизированы через сервер, все автоматически бекапится.

    Поэтому некоторое время я сидел на онлайн менеджере clipperz.com, но через некоторое время он достал меня своими тормозами. Иногда нужно быстренько подсмотреть забытый пароль, пока clipperz.com загрузится, уже забыл, что хотел вспомнить. Была и еще одна проблема, которая меня заботила. Бекап своих паролей с clipperz.com нужно было не забывать скачивать вручную. Человек не забывает что-то делать регулярно только первые три дня.

    Поэтому я написал свой менеджер паролей, где я решил проблему бекапа очень изящно, как мне кажется.

    После каждого добавления нового пароля в KeyMemo.com, через 10 минут сервер рассылает на несколько ваших почтовых ящиков html файл, в котором ваши зашифрованные пароли и алгоритмы расшифровки. Если KeyMemo.com однажды пропадет или у вас пропадет Интернет, достаточно найти последнее письмо от KeyMemo.com открыть приложенный файл браузером и ввести свой мастер-пароль. Файл в архиве zip весит всего 35 кб (для сравнения у clipperz бэкап весит 500 кб). В качестве ящиков для рассылки полезно указывать ящики, которые проверяются офлайн почтовыми программами на рабочем, домашнем компьютере или ноутбуке. Письма вам понадобятся только в том случае, если KeyMemo.com будет не доступен.

    Больше не надо думать о подключении флешки, установке клиента, о совместимости его с ОС и пр. Достаточно записать свой пароль на KeyMemo.com и через 10 минут он будет во всех ваших почтовых программах. У вас просто не получится потерять свои пароли. Даже если вы захотите от них избавится, вам придется чистить все почтовые ящики, бесплатные почтовые сервисы и бекапы почтовых серверов, а этого вам не дадут сделать админы этих серверов. Конечно БД KeyMemo.com тоже бекапится автоматически.

    Такую систему бэкапов считаю отличительной фишкой своего сервиса.
    Второй фишкой считаю легковесность, быстроту и простоту своего сервиса.

    В планах следующая версия с заточкой под HTML5, с хранением данных на клиенте и возможности их просмотра офлайн.

    Как это работает?

    Для объяснения работы системы «на пальцах» покажу, как каждый может себе сделать надежную систему хранения паролей, которая позволит все шифровать, автоматически бекапить, и дать доступ из любого места.

    Пишите все пароли в обыкновенный текстовый файл. Архивируете его с паролем (длинным и сложным паролем), Архив засылаете на специальный (возможно бесплатный) почтовый ящик. В этом ящике должно быть настроено пересылка на несколько других ваших почтовых ящиков (домашний, рабочий, бесплатный). Архиватор можно использовать портейбл и хранить его тоже в бесплатном почтовом ящике. В результате все надежно, прозрачно, только неудобно.

    KeyMemo.com делает ровно тоже самое, только удобным способом. Вместо архиватора для шифрования используется JavaScript. Шифруются не все пароли одним файлом, а каждый пароль отдельно. Полученный «мусор» отправляется не на почту, а на сервер KeyMemo.com, а уже он рассылает их на 5 ваших почтовых ящиков.

    Подробности для любознательных

    Приблизительно схема работы шифрования выглядит так: (несущественные подробности опущены)

    Вы вводите два значения login и masterkey.

    Хеширование:
    temp_val=MD5(login+salt1+ masterkey)+ MD5(login+salt2+ masterkey)
    temp_key=MD5(login+salt3+ masterkey)+ MD5(login+salt4+ masterkey)
    TargetValue1=AES256_Encode(temp_key, temp_val)


    Все это повторяется 4 раза с разной солью и получается:
    TargetValue1 – ключ для алгоритма AES256 (не передается по сети, не хранится на сервере)
    TargetValue2 – ключ для алгоритма Blowfish (не передается по сети, не хранится на сервере)
    TargetValue3 – логин для сервера (передается на сервер для авторизации)
    TargetValue4 – пароль для сервера (передается на сервер для авторизации)

    На практике эти значения выглядят примерно так:
    TargetValue1=46592074424B97EDFEBEB259A1B20390343C282C2D0B2154D5FF7E10BD0B5065
    TargetValue2=721A6DD94327E53079D340CB563D94C389319262FA2E8F293BAD4EE4D2031B7D
    TargetValue3=277567FD786E432F9762B33FDA8808A31933149573D1C84A8C1795CAC0FE6178
    TargetValue4=DC7AF573B283F97017E91480611D9B0EFBF44F33AF0A03C8D00FA97DD7E16B4C


    login, masterkey, temp_val, temp_key затираются.

    TargetValue3 и TargetValue4 отправляются на сервер, сервер возвращает wrong_login, или ваш комплект мусора.

    trash_from_server=C0ED5E324AD7DD3959493F4EFFE056C59AC6EC120C6123EF2D78A8202BF0F3F5A90BE8E0FE393C63B13D9CC95ADAC1DF8582B867220F5E2CCF416A23FDC22CE05C1BD0F5A7DE35D3C21BF2D0E4243348….. (ну я же говорю, мусор!)

    Этот мусор расшифровывается сначала с помощью Blowfish:
    tmp=Blowfish_Decode(TargetValue2,trash_from_server);

    Потом AES256:
    secret=AES256_Decode(TargetValue1,tmp);
    alert(secret); // show bla-bla-bla :-)

    Вы видите ваш ценный secret

    Шифрование перед отправкой любой информации на сервер осуществляется в обратном порядке.

    Обмен информации ведется по протоколу https и перед отправкой браузер все шифрует третий раз :-) Ведь я же параноик. Ну и конечно там ssl сертификат и пр., короче все по-взрослому.

    Из этого следует:
    1. Я даже не знаю ваши логины :-) и тем более все остальное.
    2. Забытый мастер-пароль напомнить невозможно. Он просто нигде не хранится.
    3. Все алгоритмы дублируются. Двойное хеширование, двойное шифрование. Это на случай если завтра какой-то алгоритм признают не стойким. Ведь я же параноик.
    4. Нельзя в браузере нажимать F5 иначе потеряются значения TargetValue3 и TargetValue4 а я их не храню ни на сервере, ни в куках, ни в URL.
    5. Для смены логина и/или пароля приходится закачивать все пароли на клиента, расшифровывать старым паролем, шифровать новым, и снова отправлять на сервер.

    А правильно ли реализованы алгоритмы на JavaScript?

    В этом стандарте с 27 страницы начинаются тестовые примеры.
    http://www.csrc.nist.gov/publications/fips/fips197/fips-197.pdf
    Результаты работы AES применяемого в KeyMemo.com на этих тестовых примерах совпадают с указанными в стандарте.
    MD5 проверить еще проще. Он есть в линуксах и в SQL, т.е. почти везде. Результаты тоже совпадают.
    Blowfish не проверял. Понадеялся на авторов реализации Andre Mueller и Rainer Wollmann.

    P.S. Не пинайте сильно за дизайн. Я не дизайнер.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 272
    • 0
      Так я не понял, если нечаянно нажать F5, все пароли сотрутся?
      • +5
        нет. Попадете на главную страницу разлогиненым.
        • +3
          А, ну тогда всё хорошо.
          • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
          • –7
            батенька, вы действительно параноик!

            один вопрос: почему отечественными криптоалгоритмами не пользуетесь?
            • +9
              Просто нашел заготовки AES и Blowfish, допилил их под свои нужды, проверил на правильность.
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Занятно. Сейчас опробуем удобность :-) У вас тут косяки какие-то на страницах: img63.imageshack.us/img63/7978/53598439.png
                • 0
                  Так и задумано.

                  // — это корневой каталог
                  … < — родительский каталог

                  Если добавите хотя бы 1 каталог, все станет понятно
                  • +1
                    А-а-а… Понятно :-)
                    • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Просто нашел заготовки AES и Blowfish, допилил их под свои нужды, проверил на правильность.
                  • 0
                    Ох, черт! Вы придумали PassPack :)
                    • +6
                      Ага, а также Clipperz.com и еще штук 5 аналогов.
                      Зачем я это сделал и в чем преимущества я написал.

                      • НЛО прилетело и опубликовало эту надпись здесь
                        • +1
                          Да, гениальная. Но он не поможет, когда надо запомнить пин-код к карте, например.
                          • –4
                            4 цифры легко запомнить. Даже на 3-4-5 картах.
                            • 0
                              Вы думаете я не пытался все запомнить и тренировать память?
                              есть еще пин-код от авто сигналки, пин-код от домофона.
                              и еще много, много мест куда
                              меня пугает даже не количество паролей, а количество мест и сервисов требующих наличие паролей.
                              • +3
                                А ещё — сотовые номера (штук 200-300) всех ваших знакомых, приятелей и т.п.
                                Зачем запоминать в голове всякий мусор? Голова должна помнить только то, что нужно. Вы же не повторяете все свои пароли (ну, чтобы не дай бог не забыть — освежаете периодически), когда переходите дорогу на зелёный свет светофора?
                                • +1
                                  Сотовые номера действительно нужных людей я помню наизусть :-) Потому что бывают ситуации, когда нужно позвонить, не со своего телефона. Разные ситуации.

                                  Пины от карточек запоминаются на машинном уровне, вот если меня щас спросить пин код, то я не вспомню. А если буду набивать его на клавиатуре банкомата, то это произойдёт автоматически :-) Мне почему-то кажется, что доверять пин код, являющийся ключём к финансам, любому сервису кроме собственной головы не очень секьюрно.
                                  • 0
                                    А доверять голове, которая тоже может ударится или из-за продолжительных пауз потерять рефлексы набора — тоже не ахти=)
                                    Я на своем опыте не раз замечал, что то, что я безупречно помню сегодня, могу забыть напрочь через месяц… Даже такое чувство что работает банальный механизм вытеснения старой инфы, новой…
                                    • +3
                                      Бывает и другое: у меня в голове ровненькими строчками лежит начало Also Sprach Zarathustra уже скоро будет лет 10… И не надо оно мне, а запомнилось с какого-то перепугу. Как раз до строчек типа Vieles das diesem Volke gut hiess, hiess einem andern Hohn und Schmach: also fand ichs. Vieles fand ich hier bose genant und dort mit purpurnen Ehren geputzt.
                                      И вот это почему-то помнится вместо того чтобы помнится что надо купить в супермаркете. Загадочная вещь — память.
                                    • 0
                                      И только человек источник всех ошибок. Я вон, даже 2 на 5 множу на калькуляторе т.к. есть очень маленький шанс что меня переклинит и я решу что результат, допустим, 12. И вероятность этого маленького шанса намного больше чем вероятность того, что калькулятор выдаст мне неверный результат.
                                      Я серьезно. Верить никому нельзя, конечно, но людям и их способностям нельзя верить в первую очередь.
                                      С теми же номерами телефонов нужных людей: не стоит доводить ситуацию до того, что приходится постоянно пользоваться своим последним шансом — памятью.
                                      • 0
                                        Эдак мы деградируем до того, что 2+2 сложить не сможем. А между тем тренировка памяти тоже необходима. И считать в уме тоже полезно.
                                        В общем категорически не согласен.
                                        • 0
                                          Ну да, считать в уме — полезно, бегать по утрам — полезно, иметь хобби — полезно, но при выполнении работы считать лучше на калькуляторе, на работу ездить лучше на машине и при устройстве на работу если спросят про хобби — то лучше чтобы оно совпадало в профессиональными требованиями, а на работе выполнять свои обязанности в соответствии с должностными инструкциями.

                                          зы. А вообще-то я и 2+2 считаю на калькуляторе в ОС и результат копипастом переношу, а не запоминаю и ввожу потом с клавы (2*5 тем более). И это не деградация. Это… если красиво сказать, то это уменьшение возможных необоснованных рисков. И так багов хватает, так зачем намеренно давать повод плодиться новым??!
                                          • 0
                                            ну про 2+2 я соврал, но 2+2+5 точно считаю на калькуляторе и вижу, что это правильно.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                • +1
                                  Точно. Я на всех своих картах код знаю — 0000 :)
                            • +2
                              Штука конечно прикольная, но много где не поможет.
                              Я например храню не столько пароли но и SSL сертификаты.
                              Есть пароли которые нельзя поменять.
                              Или например ключи от лицензионных программ.
                              • 0
                                Очень здорово, но всетаки у меня есть сомнения.
                                Как я понял, она использует в качестве пароля хэш от «ключевоеслово: домен». А что случится с паролем если сайт сменит домен с например getdropbox.com на dropbox.com, а я этого не замечу, т.к. всегда заходил через закладку?
                                • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  есть у сервиса supergenpass.com одно слабое место: вот, например, на прошлой неделе мне необходимо было срочно залогиниться в мою почту с чужого, абсолютно ненадежного и незащищенного компьютера — но выбора не было, требовалось войти в почту. Перекрестившись, залогинился, отправил необходимые письма, а спустя несколько часов, добравшись до домашнего ПК, я сменил пароль на своей почте.
                                  Если предположить, что я использовал бы supergenpass, мне пришлось бы в целях профилактики сменить мастер пароль, а вслед за этим пройтись по всем моим профайлам (коих немало) и заменить старый пароль на сгенерённый новый.

                                  Вы, возможно, предложите использовать несколько мастер-паролей на такой случай, но тогда немного теряется смысл в этом сервисе. сложные пароли я умею и без его помощи генерить.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      согласен, для генерации паролей на говносайты — отличное решение. Но тогда про него и нужно говорить как про «сервис генерации паролей на говносайты», а не «Полное и окончательное решение проблемы паролей в Интернет». До «полного и окончательного» немного не дотягивает…
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  supergenpass не справится если у меня на одном сервисе несколько аккаунтов с разными паролями!
                              • 0
                                кто нибудь пользуется им? можно использовать?
                              • 0
                                Импорт планируется? Ручками та-а-ак лениво перебивать.
                                • 0
                                  Импорт пока нет. Много вопросов.
                                  Откуда импортировать (из какого формата)?
                                  Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?
                                  • 0
                                    >>Откуда импортировать (из какого формата)?
                                    >>Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?

                                    Delimiter Separated Values?
                                    Flash?
                                    • 0
                                      Чтоб так не извращаться нас всех спасет HTML5 это там доступно.
                                      Импорт включен в список todo следующей версии.
                                • +10
                                  А связка KeePass + Dropbox чем не устраивает?
                                  • +1
                                    Все проблемы от недостатка слов. Чем больше вы молча нажимаете на кнопки в браузере вместо того что бы материализовать свои мысли в слова тем больше вы становитесь обезьяной. Наслаждайтесь %-)
                                    • +2
                                      переведи…
                                      • +5
                                        Негодую по поводу того что минусующие мой первый комментарий не раскрывают свою точку зрения на связку «KeePass + Dropbox».
                                        • 0
                                          keepass 2 поддерживает синхронизацию онлайн

                                          мне же достаточно синхронизации с КПК, и то периодической
                                          • 0
                                            О, я этот момент упустил из виду. Спасибо что напомнили. Почитаю подробности.
                                          • 0
                                            Тоже считаю неаргументированно минусы вам поставили, поправил немного ;)
                                            Ну и вопрос в догонку. Сам пользуюсь KeePass, но храню локально, а какие преимущества/недостатки получаем, если храним в Dropbox?
                                            • +2
                                              Благодарю.
                                              Ну, вообще суть в следующем — файл с паролями я храню в дропбоксовской директории, т.е. изменение этого файла на одном компьютере ведёт к изменению на всех, на которых я поставил dropbox и настроил на свой аккаунт. Недостаток, пожалуй, в том что файл с паролями остаётся в системе после того как вы воспользовались паролем. Но если мастер-пароль для него не «password», то воспользоваться им будет сложно.
                                              • +1
                                                Сам клиент тоже можно в дропбоксе хранить в принципе =)

                                                У меня организовано точно также хранение, плюс там же в дропбоксе хранятся два трукриптовских образа с мелким софтом и рабочими программами и файлами. Позволяет без проблем иметь одну хистори в мессенджерах, необходимые утилиты с актуальными настройками и т.п. При чем на нескольких десктопах и ноутбуках.
                                                • 0
                                                  Да, я задумывался об единой истории в мессенджерах, но меня смутило постоянное обновление файлов туда-сюда в дропбоксе. Побоялся что сервер скажет «досвидания». Плюс хранение многих версий одного и того же файла мне кажется не очень хорошей идеей :)
                                                  А хранение таким образом паролей нравится ещё и тем что когда, бывает, приходишь домой, а там оказывается интернета нету. Казалось бы всё, пароли не увидеть. Ан нет — дропбокс бережно хранит последнюю версию файла :-)
                                                  • 0
                                                    Ну скажем так, нам в Кутиме тоже нужен какой-то способ хранения на сервере хистори, настроек, паролей. В общем любых данных, но в зашифрованном виде.
                                                    Поэтому есть идея как то всё это к общему знаменателю свести, то есть так, чтобы в результате этим все могли пользоваться. Нужен какой-то протокол видимо.
                                                    А уж с программной реализацией как-нибудь справимся.
                                                    • 0
                                                      Именно поэтому, весь софт в контейнерах =)
                                                      Дропбокс их заливает только после того, как их размонтируешь, до этого они локнуты трукриптом. При чем, из-за того что дропбокс юзает бинарный дифф, то грузит он немного и, соответственно, быстро. Проблемы только с большими файлами, такие дольше синкаются (у меня один образ 250 метров, второй 2Гб).
                                                      Большие обычно отсавляю синкаться и ухожу с работы, запуская delayed shutdown. Как я понял, это происходит из-за того, что он их синкает кусками по 4 метра и даже если там один байт поменялся, грузится весь кусок. У меня в большом образе лежит эклипс настроенный, его обычно скучно ждать пока засинкается, т.к. он тьму своих файлов при работе вертит, даже если его просто запустить/вырубить.
                                                      А с местом проблем нет, у меня бесплатный акк., прокаченный инвайтами — ни каких проблем не возникало.
                                                      Ну и с большими еще трабл, что он лагать начинает, потребляя много ресурсов (актуально на нетбуках) и жрет место под кеш, храня полные версии файлов локально, а не дифы, т.е. локально храняться прямо 2х гиговые куски.
                                                  • 0
                                                    Допускаете ли вы возможность повреждение файла на Dropbox от KeePass (в котором хранятся пароли), в случае хранения ВСЕ online?
                                                    В результате вы можете лишиться всех паролей сразу! Хранение копии локально — обязательно!
                                                    + необходимо организовать проверку CRC самого KeePass-файла

                                                    Вот так вот =)

                                                    Что скажите?
                                                    • 0
                                                      Скажу что Dropbox любезно сохраняет все версии файла ;-)
                                                      • 0
                                                        И при синке сверяет их хеши. Ни разу ни каких проблем такого рода не было, за долгое время плотного пользования.
                                            • 0
                                              Я такую же связку использую. Очень удобно, но переносимость плохая.
                                              • 0
                                                а можно по подробнее про переносимость? и вообще про KeePass + Dropbox?
                                                • +1
                                                  KeePass — open source менеджер паролей с хорошим функционалом. Dropbox — удаленное хранилище с удобствами в плане синхронизации и т.д.

                                                  Под связкой подразумевается расположение контейнера данных KeePass'a (а возможно и дистрибутива / портабельной версии) в удаленном хранилище с удобной синхронизацией. Таким образом обеспечивается удобство переносимости вашего вороха паролей.
                                                  • 0
                                                    Ну можно и так :-) тоже вариант
                                                • 0
                                                  Почему плохая переносимость? Дропбокс как и кипасс существуют почти для всех ОС (по крайней мере как заявляют на сайтах производители). Если же дропбокс не доступен на какой-то ОС, то можно стянуть файл паролей с сайта дропбокса.
                                                  • 0
                                                    У описанной связки есть пара существенных недостатков которые могут быть в некоторых случаях непреодолимыми.
                                                    Первый — для keepass под MS Windows нужен .NET Framework 2, а он как показала практика не везде стоит. И не везде где придется использовать кипасс у вас будут права админа и достаточно трафика для скачивания дистрибутива. Не исключаю, что и под линуксом придется добавлять какие-нибудь библиотеки.
                                                    Второй недостаток — на впервые используемой машине быстро запустить не получится надо будет либо установить дропбокс, либо скачать каталог с keepass из веб — каталога, а это тоже не всегда возможно — ограничения по трафику, отсутствие прав, дефицит времени, перестраховка пользователей от запуска неизвестных экзешников и т.д. Особенно это чувствуется в командировках или поездках за границу. Тут поможет мобильный клиент для keepass, но у него свои минусы.
                                                    • 0
                                                      Оо наконец-то здоровая критика. Спасибо.
                                                      Насчёт первого могу парировать тем что при установке на вин7 (который пока ещё не так сильно распространён как хп, но всё к этому идёт) .NET мне не пришлось дополнительно ставить. Вопрос трафика и админских прав думаю можно решить используя портейбл версию keepass (принести её с собой).
                                                      А второе… Ну как вам сказать… Когда пароль необходим для чего-то важного, то человек, его использующий готов пойти на некоторые жертвы для того что бы найти его. Но, безусловно, это неудобно. Согласен.
                                                      • 0
                                                        Еще одна беда про которую сразу забыл. Регулярная синхронизация баз. Это конечно вопрос личной дисциплины, но все же. Дело в том, что на работе комп включен круглосуточно, а домашний комп или походный ноут не всегда, поэтому иногда бывают коллизии когда а работе поменял пароль но не сохранил (^S жму везде на автомате ))) либо дома поменял пароль, обновил базу, но на работе не открыл обновленную заново. В случае с онлайновым менеджером такое исключено.
                                                        По поводу принести с собой — видал перестраховщиков, которые не то, что экзешник запустить, jpeg открывать с чужого источника боятся. А почту иногда проверить здорово надо, тут у веб — интерфейса альтернативы быть не может. У дропбокса в этом отношении здорово организовано, молодцы! Надо бы им заплатить, хотя мне и двух гигов за глаза хватает )))
                                              • 0
                                                Если бы не SSL, ваша защита не стоила бы и выеденного яйца.
                                                Без SSL мужык-посредине без проблем может подменить Javascript, поменяв местами соль для TargetValue1,2,3,4, и в итоге получит все нужные TargetValue, имея в дальнейшем возможность получить все ваши пароли.
                                                • 0
                                                  Хм, хотя чего тут мудрить — без SSL можно просто подменить Javascript, заставив послать его логин/пароль.
                                                  А с SSL достаточно просто запросить нужный пароль и расшифровать его своим мастер-ключем на стороне клиента.
                                                  Танцы с md5/солью/двойным шифрованием абсолютно никчему.
                                                  • +3
                                                    Верно.
                                                    Офлайн менеджеры паролей скачиваются с сайтов производителей по https? Вы уверены что их по дороге не модифицировали?
                                                    И не только менеджеры паролей, но и антивирусы, браузеры, обновления ОС и пр. и пр.
                                                    Так что если вы этого боитесь, дальше идти вам просто некуда, кроме как отрубить себе сеть.
                                                    • +1
                                                      Не пользовался менеджерами паролей, но вполне было бы разумно в них добавлять цифровую подпись/скачивать по HTTPS. Иначе они также лишены смысла.
                                                • +2
                                                  Поэтому все подобные сервисы с SSL
                                                  • +18
                                                    >… и ввести свой матер-пароль

                                                    матер-пароли на сколько этажей порекомендуете?
                                                  • 0
                                                    Будет ли возможность экспорта например из xMarks паролей?
                                                    • 0
                                                      я чуть выше писал:
                                                      Импорт пока нет. Много вопросов.
                                                      Откуда импортировать (из какого формата)?
                                                      Как отпарсить импортируемый файл паролей на стороне клиента, не загружая его на сервер?
                                                      • +1
                                                        Очень удобным был бы импорт из KeePass. У меня, например, там более полусотни паролей и перебивать их еще куда-то оочень не хочется. Да и судя по комментарим им многие пользуются.
                                                      • +4
                                                        … Но флешка может потеряться или выйти из строя...

                                                        Раз уж на то пошло, интернет тоже не всегда и не везде доступен. Было бы здорово, если бы у сайта была PDA-версия или — что еще лучше — версия, которая будет работать в Opera Mini (насколько я понимаю, текущая не будет, ибо Javascript в таком объеме в опере мини не поддерживается). Тогда можно было пользоваться сервисом со своего телефона *

                                                        * Угу, я параноик. И предпочел бы не логиниться в важных сайтах и сервисах с неизвестных мне компьютеров =)
                                                        • +1
                                                          поддерживаю. эта функция нужна.
                                                          • +2
                                                            В принципе текущая версия работает на мобилках. Проверял на Iphone и Win Mobile (Opera)
                                                            только пользоваться неудобно, верстка не заточена.

                                                            В планах следующая версия где будет подумано о мелких экранах и тачскринах.
                                                            • 0
                                                              На симбиан не работает. Ни стандартный, ни Opera Mobile, Mini версию проверять не стал, ибо выше.
                                                          • +1
                                                            А что будет если украдут мастер пароль?
                                                            Хорошо бы сделать возможность ограничения доступа по IP (например сетью своего инетернет-провайдера и адресами организаций)
                                                            Ну и несколько паролей.
                                                            Или авторизацию по SSL-сертификату (типа как у webmoney keeper lite)
                                                            • 0
                                                              Ничего хорошего не будет.
                                                              Я со своей стороны сделал все возможное, чтобы не потерять ваш мастер-пароль. Я его просто ни куда не записываю и ни куда не передаю.
                                                              Вы со своей стороны, тоже позаботьтесь чтобы запомнить и не потерять хотя бы один пароль

                                                              Да ограничения по IP планируется, но опасная эта штука.
                                                              Планируется сделать фичу, каждый новый для пользователя IP подтверждать через мыло.
                                                              • 0
                                                                >Планируется сделать фичу, каждый новый для пользователя IP подтверждать через мыло.
                                                                Как же нарадуются пользователи со своей динамикой…
                                                                • +1
                                                                  это же будет опционально
                                                                  • 0
                                                                    предполагается в письме для подтверждения ip делать несколько ссылок с разной маской.

                                                                    для 1 Ip
                                                                    для блока побольше
                                                                    для еще больше
                                                                    и для 255 адресов
                                                              • +3
                                                                > В результате на сервере хранится только анонимный «мусор», ломать ради него сервер бессмысленно.
                                                                Очень даже имеет смысл. меняем JS и перехватываем все мастер пароли у всех кто заходит. онлайн менеджер для паролей – ОЧЕНЬ плохая идея.

                                                                • 0
                                                                  Я там выше писал. Офлайн менеджеры в этом плане еще хуже. Они скачиваются с сайта по небезопасному протоколу, их могут перехватить и модифицировать. Это касается всего скачиваемого и обновляемого софта от самой ОС и до антивирусов.
                                                                  • 0
                                                                    обезпечить безопасность софт апдейтов намного легче – просто надо использовать цифровую подпись. и не хранитъ сертификат подписи на сайте.
                                                                    большенство 'нормальных' прог так и делают. так что сломав сайт невозможно запустить в оборот 'левую' версию.
                                                                    • 0
                                                                      % codesign -dvvvv /Applications/1Password.app/Contents/MacOS/1PasswordExecutable=/Applications/1Password.app/Contents/MacOS/1Password
                                                                      Identifier=ws.agile
                                                                      Format=bundle with Mach-O universal (i386 ppc7400 x86_64)
                                                                      CodeDirectory v=20100 size=8597 flags=0x0(none) hashes=424+3 location=embedded
                                                                      CDHash=5fea28ba52301c5fc82004dd86377c23e9c35a12
                                                                      Signature size=3192
                                                                      Authority=Agile Web Solutions
                                                                      Authority=Thawte Code Signing CA
                                                                      Authority=Thawte Premium Server CA
                                                                      Signed Time=31 дек. 2009 01:40:04
                                                                      Info.plist entries=22
                                                                      Sealed Resources rules=4 files=604
                                                                      Internal requirements count=1 size=308

                                                                      Поставщику ОС я доверяю, корневым сертификатам Thawte – тоже :) Так что проверить подлинность приложения не так сложно.
                                                                    • 0
                                                                      Или же JS меняет вирус, который заразит сайт разработчика (что случалось неоднократно) или будет внедрён на уровне браузера пользователя. Без SSL ещё и атака man in the middle явно светит.
                                                                    • 0
                                                                      Я не знаю тонкостей программирования и шифрования… но вопрос логичен, зачем я буду доверять какому-либо серверу свои важные данные, не подписав с ним договор, имеющий юридическую силу, о не разглашении?
                                                                      • +3
                                                                        Вас никто не заставляет доверять. Но вы это уже делаете пользуясь кучей софта и сервисами. Вы же доверяете своей винде, антивирусу, браузеру и офлайн менеджеру паролей без договора и пр. А если договор есть, то что в нем написано? Правильно! что писатель софта не отвечает за любой причиненный вред прямой или косвенный.
                                                                        • 0
                                                                          =) Нет нет вы меня не поняли! Я Параноик! Все пароли в голове )) И сервис как по мне хорош, просто я параноик =) А Виндоусу я ниче не доверяю )
                                                                          • +2
                                                                            Если вы написали этот коммент значит вы пользуетесь минимум браузером, значит вы доверяете производителю своего браузера, что он не сольет налево ваш пароль от хабра. Брайзер работает на ОС. Если вы запустили свой браузер под ОС, значит вы доверяете производителю ОС что они не сделают тоже самое. ТОже можно сказать про антивирус и пр.
                                                                      • +3
                                                                        В чём принципиальные отличия от например LastPass?
                                                                        • 0
                                                                          LastPass я плохо знаю. Знаю что он есть в виде плагинов для браузеров и клиентов под различные ОС. А веб-клиент там есть? А как бекап реализован?
                                                                          • 0
                                                                            Вёб клиент там есть, что именно вы подразумеваете под бекапом? Можно экспортировать все свой пароли в CSV файл.
                                                                        • +1
                                                                          в чем приемуества перед LastPass?
                                                                          • 0
                                                                            Ну, на сколько я вижу только наличием рассылки на эмайл.
                                                                            ЛастПасс мне как-то больше по душе, хотя как-то всеравно не слишком приятно хранить пароли на серверах (не своих серверах).
                                                                            • 0
                                                                              Ответе мне кто-нибудь кто хорошо знает LastPast, у него веб-клиент есть?
                                                                              • 0
                                                                                Что значит «веб-клиент»? Я могу зайти в «Личный кабинет» или как там это называется (My LastPass Vault) и там смотреть свои сайты, при клике — авторизация на сайте сразу. Удобно. Плюс плагины для ФФ (не пользуюсь), Хрома (удобный, обновляется часто), вэб-клипперы для Оперы.
                                                                                • 0
                                                                                  Плюс еще букмарклеты, которые работают не хуже плагинов.
                                                                                  И вообще не зависят от браузера — только б жаваскрипт держал
                                                                                  • 0
                                                                                    Под вэб-клипперами я как раз и понимал букмарклеты:)
                                                                                    Пользуюсь в опере тем, который логинит сразу.
                                                                                    • 0
                                                                                      Ну это не всегда удобно, но согласен — как правило он оптимален
                                                                                  • 0
                                                                                    а у мя в хроме не работает и как обновить его для хрома я не нашел
                                                                                    • 0
                                                                                      Я удалил старый и поставил с официального сайта хромовых расширений.
                                                                                  • 0
                                                                                    Есть станичка на которую я могу зайти и полностью менеджерить пароли и другую информацию
                                                                                    • 0
                                                                                      Да, веб-клиент есть. Бэкап выполняется вручную. Но, честно говоря, я не думаю, что их сервера могут накрыться. Не стартап все-таки, бэкапы сами ведут.
                                                                                  • 0
                                                                                    И такой же вопрос касательно RoboForm'a
                                                                                  • 0
                                                                                    > Все очень просто,
                                                                                    > все пароли шифруются на стороне клиента, в браузере с помощью алгоритмов AES256 и Blowfish реализованных на Javascript. Только после шифрования ваши данные передаются по протоколу https на сервер. Ключи шифрования для алгоритмов разные и не передается на сервер. Все поля каждого пароля (название, теги, примечание и пр. ) шифруются, логин пользователя тоже шифруется

                                                                                    Индийская жаба выражается яснее (с) Квн Дастисфак

                                                                                    без обид, сервис наверное действительно полезный :)
                                                                                  • –2
                                                                                    >все пароли шифруются на стороне клиента, в браузере с помощью алгоритмов AES256 и Blowfish реализованных на Javascript
                                                                                    сейчас мне очень хочется вставить сюда ТОТ ГИГАНТСКИЙ смайл с яндекса
                                                                                  • 0
                                                                                    Зачем 2 раза шифровать? в чём профит?
                                                                                    • +1
                                                                                      Да так просто…
                                                                                      Было два алгоритма работающих, долго выбирал, тестил.
                                                                                      Решил пускай будут оба.
                                                                                      Потом придумал отмазку, на счет того, что если завтра в одном алгоритме найдется уязвимость.
                                                                                      Да и методом «влоб» ломать тяжелее.
                                                                                      • 0
                                                                                        Мне кажеться что это далеко не лучшая идея. Суть в том что вы скомбинировав AES и Blowfish получили какой-то другой алгоритм, стойкость которого не доказана. Даже если использовать оч сложный алгоритм, то может внезапно выясниться что он имеет какие-то уязвимости.
                                                                                        • +1
                                                                                          Если ключ у них один то да может получится.
                                                                                          У меня ключи разные. Алгоритмы не модифицированы и ни как друг с другом не связаны.
                                                                                          • 0
                                                                                            разные ключи должны быть безопасны для последовательного блочного симметричного шифрования
                                                                                            • 0
                                                                                              там как раз применяются два блочных симметричных алгоритма
                                                                                            • +2
                                                                                              Стойкость последовательного применения двух алгоритмов шифрования не может быть ниже чем стойкость любого из этих двух. По-моему, это очевидно. Иначе, либо стойкость алгоритма зависит от входных данных (если мы сравниваем со стойкостью второго алгоритма), либо может быть снижена путём каких-то манипуляций с завшифрованными данными (если мы сравниваем со стойкостью первого алгоритма). Что, разумеется, противоречит самому определению стойкости.
                                                                                              • 0
                                                                                                Если ключи шифрования разные, конечно (как в описываемом случае).
                                                                                                • 0
                                                                                                  Я из этого и исходил. Но так и не смог сформулировать то что вы написали. У меня бы получилось на 2 абзаца :-)
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                            • +4
                                                                                              Пробовал… Херня получилась.
                                                                                              Блокнотик можно потерять, еще хуже если его найдет тот кто понимает что в нем написано.
                                                                                              У меня 200 паролей, блокнотики быстро кончаются. Приходится переписывать все в новый.
                                                                                              После нескольких лет работы у меня скопилось 5 блокнотиков с паролями. При переезде решили их выкинуть. Просто так выкинуть нельзя нужно уничтожить.

                                                                                              И вот стою я на улице, мороз -30, жгу блокнотики, а они не горят стопкой, нужно по 5 страничек выдирать и сжигать. Руки мерзнут, сопли мерзнут, блокнотики не греют.

                                                                                              Вот тут я понял что это — писец… Что то я сделал неправильно с самого начала.
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                • +1
                                                                                                  один сервер c cсайтом это пароль:
                                                                                                  1 user
                                                                                                  2 root
                                                                                                  3 mysql user
                                                                                                  4 mysql root
                                                                                                  5. админка сайта
                                                                                                  А если сайт не один на сервере? А если серверов 10?
                                                                                                  А помимо сайтов есть еще почта и тп и тп.

                                                                                                  у меня получилось 200 и все нужны, недавно чистку проводил
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    • 0
                                                                                                      я себе сделал схему на основе химических формул, брутфорс обломается а запомнить легко=) типа _(H2o2^C2h5Oh)_ =)
                                                                                                      • +1
                                                                                                        далеко не все пароли можно задавать самому
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      • 0
                                                                                                        Не знаю… На сервере сайтов 5 сейчас, В каждом 15-значный пароль, ни один из которых я не использую, хранятся себе в конфигах, всегда можно поменять.
                                                                                                        Использую только два пароля. root для бд и сервера один. Доступ к root по ssh закрыл, в целях безопасности. Захожу сначала под пользователем.
                                                                                                        Я к тому, что нет смысла записывать на каждый сайт пароль от бд.
                                                                                                    • 0
                                                                                                      героический поступок. надо было до весны подождать и спалить блокнотики
                                                                                                      • 0
                                                                                                        Их нужно было сжигать пока не забыл это сделать. В такой ситуации гораздо проще их кинуть в другой ящик и забыть еще на год, а потом какой-нибудь отпрыск найдет и выкинет. Короче опасно терять контроль над сохранностью.
                                                                                                  • 0
                                                                                                    В целом идея не плоха, да и дизайн не такой страшный. Но вот косячки есть.
                                                                                                    Вводишь в имя секрета 123.123456789.123, получаешь 123.123456789.1 23
                                                                                                    • 0
                                                                                                      Угу это так задумано, чтоб верстка не ползла в некоторых браузерах. Я не придумал как сделать так чтоб при длинных названиях без пробелов не растягивались поля ввода. Могу успокоить что пробелы вставляются только в названия.

                                                                                                      За хвалу дизайну огромное спасибо, его я вымучивал 50% времени.
                                                                                                    • 0
                                                                                                      мой вам совет (или даже просьба):
                                                                                                      никогда не пишите <a href="javascript:void(0);" onclick="…
                                                                                                      • 0
                                                                                                        почему?
                                                                                                        ну да в href должно быть куда ссылка
                                                                                                        но в данном случае почему?
                                                                                                        • +1
                                                                                                          потому что если ссылка некуда не ведёт, то не надо её делать ссылкой
                                                                                                          сделайте span с одтельным классом, который будет выглядеть как ссылка

                                                                                                          и ещё у вас в футере написано «Copyright© 2008-»
                                                                                                          • 0
                                                                                                            на многих сайтах видел <a href="#" ....> — этот подход тоже неверен с вашей точки зрения?
                                                                                                            • +2
                                                                                                              Да, по абсолютно той же причине. Для людей, которые пользуются открытием ссылок в новом/фоновом окне это очевидно.
                                                                                                              • –1
                                                                                                                Здесь это неуместно. Здесь в отдельном окне ничего работать не будет.
                                                                                                                и поисковики ничего не будут индексировать. Валидацию проходит значит все хорошо. :-)
                                                                                                                • 0
                                                                                                                  Отдельное окно будет открываться, но в нем ничего не будет. Открыл в фоновом режиме десяток окон, переключился на них — а там пустота. Приходится закрывать все, возвращаться на исходную страницу и открывать снова. Время и нервы потеряны, сайту минус один в карму.
                                                                                                            • 0
                                                                                                              Вы с этим советом о-о-очень погорячились!

                                                                                                              Все элементы всегда надо делать или кнопками, или ссылками т.е. элементами управления, которые понимает браузер. Смысл в этом очень простой: элемент управления должен быть доступен на странице по нажатию tab'а (плюс экзотические юзер-агенты, например аудиальные, для них ваш спан — хуйня). Чтобы добиться фокуса на спане придется писать тонну, по сути бесполезного, джаваскрипта.
                                                                                                              • 0
                                                                                                                Кнопки — хорошее решение, даже семантичное, если можно так выразиться.
                                                                                                                • +1
                                                                                                                  Изначально отказывались от кнопок, чтобы картинки для них не рисовать и интерфейс не делать тяжелым. Но потом таки добавили иконки, ибо совсем убого получалось. А ссылки остались ссылками.
                                                                                                                  • +1
                                                                                                                    Кнопка может выглядеть как ссылка и вообще как угодно — CSS 2.1 на дворе. Тем более, «псевдо-ссылки» по сути являются именно кнопками, так как выполняют немедленное действие при нажатии и никуда, в отличие от настоящих ссылок, не ссылаются.
                                                                                                        • 0
                                                                                                          А если инета не будет, а пароль ну очень нужен? Все-таки одним сервисом лучше ограничиваться =)
                                                                                                          • 0
                                                                                                            Если у Вас нет интернета — то зачем Вам пароль к интернет-ресурсу? :)
                                                                                                            Там есть возможность скачать все в автономный html-файл — работает, попробовал.
                                                                                                            • 0
                                                                                                              это если забыли пароль от входа в домен? тогда поможет старый способ:
                                                                                                              «на бумажке пишем пароьл и ложим её под клавиатуру»
                                                                                                              • 0
                                                                                                                Главная фишка этого ресурса как раз в том что все свои пароли вы найдете в своей почтовой программе (офлайн почтовой программе). Письмо в нее попадет пока инет у вас есть.
                                                                                                                Правда может быть что вы только что записали пароль, письмо еще не пришло а инет уже отвалился.
                                                                                                                Но тут очень небольшая вероятность, что вы прямо через 10 минут забудете пароль и он вам сразу понадобится.
                                                                                                                • +1
                                                                                                                  а откуда там возьмутся пароли, если в сервисе они в открытом виде не хранятся?
                                                                                                                  да и на email пересылать в открытом виде их тоже не хорошо, мягко говоря…
                                                                                                                  или они шифрованные высылаются?
                                                                                                                  • +1
                                                                                                                    Шифрованные высылаются

                                                                                                                    вам письмо, в письме html файл, в файле комплект вашего мусора + еще 60 кб Javascript лагортмов для превращения его в ваши пароли, естественно после ввода мастер-пароля

                                                                                                                    какбы офлан версия сайта в одном html файле
                                                                                                                    • 0
                                                                                                                      тогда замечательно.
                                                                                                                      осталось еще сделать плагины для браузеров для автозаполнения и автосохранения паролей, и вообще отлично будет )
                                                                                                              • +4
                                                                                                                Приятно удивило то, что браузеры не ругаются на самоподписанный сертификат (чем грешат панельки местечковых недопровайдеров)
                                                                                                                Если не секрет — почем обошелся сертификат для сайта?
                                                                                                                • +10
                                                                                                                  Сертификат честно куплен за 65$
                                                                                                                  Спасибо что оценили хоть вы :-)
                                                                                                                  Если бы браузеры ругались я бы сюда даже писать не стал, съели бы.
                                                                                                                  А когда не ругаются ни кто даже и не заметил :-)
                                                                                                                  • 0
                                                                                                                    Процедурку покупки/получения (можно в отдельном топике) не опишете?
                                                                                                                    А заметил потому что достали с левыми сертификатами — вон знакомые — дилеры гроссен тройки операторов — приложение «удаленный дилер» — даже не парятся — слепили левый сертификат и работайте господа! А ведь там паспортные данные отправляются по инету… Сейчас же закон вышел какой-то новый о защите перс. данных. Блин дайте телефон доверия…
                                                                                                                    • +1
                                                                                                                      www.startssl.com/?app=1, зайти, зарегатся, провалидировать домен через один из email'ов во whois, получить сертификат первого уровня бесплатно.
                                                                                                                      • +2
                                                                                                                        Написать могу, но я думаю меня на хабре с этой темой пошлют куда подальше. Потому что чисто случайно окажется что тут каждый второй покупает сертификаты пачками, и нефиг гнать тут тривиал.
                                                                                                                        На самом деле ничего сложного нет, нужно только внимательно читать все инструкции на сайте продавца.
                                                                                                                        • 0
                                                                                                                          А напишите тогда плиз в приват?
                                                                                                                      • 0
                                                                                                                        А Вы сертификат как физическое лицо покупали?
                                                                                                                        • 0
                                                                                                                          да их как бы не интересует
                                                                                                                          какое лицо в анкету заполнишь такое и будет.
                                                                                                                          главное подтвердить что ты владелец домена и заплатить бабки.