Добро пожаловать к нам в гости! Наш сайт посвящён программе NeoBook, с помощью которой вы легко сможете создавать собственные мультимедиа-приложения без необходимости изучать сложные языки программирования! Зарегистрируйтесь, чтобы стать членом нашего сообщества.
До сих пор предпочитал все важные пароли хранить только в бумажном блокноте и голове... Однако сегодня, в поисках инфы по PGP, обнаружил совершенно бесплатную прогу, руки мастера - Брюса Шнайера (как я понял, одного из самых авторитетных экспертов в области компьютерной безопасности). Прога просто офигенская, даёт массу удобств и возможностей! Давно не встречал такой продуманной программы. Не могу не поделиться ссылкой!
Использовать тот или иной алгоритм не есть проблема, все имеется в доступном для использовании виде, и как правило, степень защиты превыщает степень ценности зашифрованной информации Приведенная статья вполне описывает положение вещей, в зависимости от ценности информации и выбираются методы защиты. Стоимость информации должна превышать стоимость взлома, только тогда игра стоит свечь.
А каким хочеш Любая доступная всем прога, может быть пронализирована и взломана разобравшись в ней можно справится и с ее копиями, остается только определить ее наличие на твоем компе и стырить все что нужно. Локализация секретных данных в одном месте всегда вызывает интерес, и желание их дбыть. Недаром все банковские структуры предпочитают иметь свое собственное п.о. и регулярно его модифицируют. Потом не исключено что разработчик оставил себе какую либо щель, на всякий пожарный случай. Но опять таки, информация должна стоить взлома
думаю что у обычного юзверя нечего красть, разве что поудалять ему все doc файлы в моих документах и на рабочем столе А если кто посерьезней, то лучше самому состряпать или знакомого программиста попросить, намного безопасней, чем какой-то "сейф"
Красть мож и нечего, а вот взять в рабство можно, есть такая штука - распределенная атака, понавешивают юзерам на компы серверков а потом по команде задрачивают нужный ресурс одновременно с тысячи компютероф. А так, просто рекомендация-хранить пароли в отбалдовых файлах, в произвольных местах, что бы не было никакой ассоциации с содержимым.
А так, просто рекомендация-хранить пароли в отбалдовых файлах, в произвольных местах, что бы не было никакой ассоциации с содержимым.
Тогда уж проще, как я делал все время до этого - просто в памяти и в бумажном блокноте. При этом в каждом пароле у меня есть последовательность символов, которую при записи в блокнот отмечаю просто звездочкой. Эту последовательность я просто помню (а поскольку я ее использую часто, то и забыть нет возможности). В результате, если даже я блокнот потеряю, то паролями добытыми из него воспользоваться будет невозможно. В бумажный блокнот, пока, проги влазить не умеют Пару лет назад, на своем сайте, я сформулировал такие рекомендации по хранению паролей. Бесплатный онлайн курс программирования в VisualNEO Win (NeoBook)
Любая доступная всем прога, может быть пронализирована и взломана
В общем, Alex3A, как обычно, прав. Нашел я слабое место в этой проге... Как ни странно, за несколько минут. Решил проверить гипотезу, называется . А жаль, так удобно вставлять данные авторизации простым перетаскиванием с одного монитора на другой или с окна на окно... Конечно, слабое место - это не база, закодированная алгоритмом Twofish (Брюс Шнайер разработал известные алгоритмы симметричного шифрования Blowfish, Twofish и Threefish, хэш-функцию Skein и генератор случайных чисел Yarrow, - См. вики). Благодаря плагину Петра, программа из трех (!!!) строк исправно складывает в отдельный файлик всё, что проходит через буфер обмена... Т.е. буфер никак не защищен, на самом деле, пока программа Password Safe запущена. Логично, когда сейф открыт, он не защищен ...
Кстати, Peter, отдельное спасибо за эту команду - уже знаю как организовать сбор материалов при работе с литературой! Очень удобная команда! Забацаю для своих студентов и коллег, пусть радуются :).
А если к дубляжу буфера добавить отслеживание активности процесса, ответственного за прогу хранения паролей, плюс еще добавить несколько фильтров (для отсева ненужной и сбора нужной инфы), то копировать можно минимум лишнего... Похоже, что акромя бумажного блокнота (с использованием в тексте каждого пароля кодового фрагмента) ничего надежнее пока не придумать.
Quote (Alex3A)
сделай себе собственную аналогичную прогу, и никому ее не показывай
Похоже, что это единственный достойный внимания подход, если вообще браться за хранение паролей в программе. Можно, разве что, сделать блокнот электронным - т.е. исключить копирование содержимого в буфер - чтобы требуемый пароль просто показывался в окошке "поверх других окон" (естественно, на всякий случай, с кодовым фрагментом, обозначенным спецсимволом, поскольку в общем-то раз плюнуть организовать создание скриншотов в фоновом режиме...). Набирать все равно придется вручную, но доступ к паролям будет много проще и таскать с собой можно на флехе (и хранить бэкап базы), что удобнее, чем один бумажный блокнот (и, тем более, два...).
А еще (сейчас придумал, дарю идею, может кому пригодится) показ пароля можно организовать в такой проге по принципу формирования целостного образа при частой смене кадра (напр. 25-10 кадров в сек), где в каждом кадре меняться будут символы пароля. Тогда для человека пароль будет выглядеть как, например, слово "ПАРОЛЬ", а на скриншоте (который делается в определенный момент - будет только один или несколько символов "ПА___Ь", но не весь пароль целиком.
Кстати, интересно, может кто знает, существует ли такой параметр в командах создания скриншотов, который определяет интервал времени в течении которого все изменившиеся пикселы отображаются? Хотя, если и не параметр в уже существующих командах, то сам алгоритм такой записи наверняка можно реализовать...
Вот, блин, как ни крути, "на силу сила найдется..."
Вадим, хватит уж тебе избретать энигму Защищать пароли надо не алгоритмами шифрования а собственным интелектом. Создай к примеру файл Readmy.txt и храни в нем свои пароли в открытом виде, гарантировано ни одна паскудная шпиона на него не позарится
Quote (Вадим)
Кстати, интересно, может кто знает, существует ли такой параметр в командах создания
БРРРРРР... То что ты видиш на экране просто участок памяти, в зависимости от параметров видеоадаптера - частоты строк и частоты кадров и отрисовывается изображение. Строка отрисовывается за время 1/частоту строк, весь экран перерисовывается за время 1/частоту кадров. Время за которое можно изменить один пиксел соответствует времени необходимому для пересылки нного количества байт по нужному адресу, количество байт определяется режимом экрана, в свойствах последнего смотрим параметр качество цветопередачи в битах,делим на 8 получаем в байтах. 32 бита-это 2 байта, на 32битных машинах это пересылается за один подход, лезем в описание команд процессора, и смотрим сколько тактов занимает команда пересылки mov, зная тактовую частоту процессора, можно вычислить время...бррр... Ну это так, по простому, а на деле фиг его знает Слишком много всяко разного, есть еше и экранные страницы, одну показываем, на другой рисуем, потом просто переключаем с одной на другую. Выходя из бреда, изменение картики на экране, по сравнению с ее отображением на экране мнгновенно. Для того, скажем, что бы ты увидел какую либо анимацию нужно использовать задержки. Теперь скриншот - копирование экранной страницы памяти = мнгновенно, войдя в бред, и это можно вычислить.
Quote (Вадим)
при частой смене кадра (напр. 25-10 кадров в сек)
Ну чуть не так Я ля 25 кадр, не вижу но вспомнил, или не знал но вспомнил, или на ум пришло
Да уж, и без меня энигм понасоздавали :D. Хотя, энигма тоже не была защищена от "копирования в буфер" , если я правильно помню. С другой стороны, в познавательных целях, почему бы и нет? Старая как мир игра...
Quote (Alex3A)
Создай к примеру файл Readmy.txt
Если рассчитывать на удобство (а иначе зачем прога), то в энтом файле должны быть и ссылки на страницы авторизации (или хотя бы понятные обозначения - какой пароль к какому ресурсу относится), а следовательно простой поиск по файлам вмиг этот "редми" определит как "интересный" (скажем, содержит имена доменов известных банков или платежных систем, другие ключевые слова). Так что это не защита... Одно время я держал пароли в виде картинки с непримечательным названием. Но у этого способа свои минусы - не удобно добавлять, плюс не всегда хочется раскрывать все свои пароли на обозрение (а бывает нужно зайти на ресурс в чьём-либо присутствии, а редко используемый пароль вылетел из головы...), да и от скриншота хранение паролей в картинке не защитит (скажем, если шпион делающий скриншоты включается в момент появления искомого процесса в системе, то и невинное название картинки не поможет, она попадет в копилку).
Quote (Alex3A)
25 кадр, не вижу но вспомнил, или не знал но вспомнил, или на ум пришло :D
Quote (Alex3A)
...бррр...
То есть, в принципе, так захватывать инфу с экрана возможно . Однако защититься от этого, наверное, проще, чем реализовать такой сбор информации. Если немного порассуждать, познания ради... Например, если учитывать скорость сенсомоторной реакции человека, то, в среднем, это 0,2-0,3 сек (это самая простая, заготовленная реакция на заранее известный стимул, например "жду зеленый сигнал светофора, как загорится - поеду". Между "загорится" и "поеду" как раз и будет около 0,3 сек, не считая времени на выбор свободного хода педали и прочего...). Следовательно, если с таким интервалом делать снимки, то, как правило, все отображающиеся на мониторе действия человека окажутся в памяти "следопыта" (а значит пароли вводить нужно только в режиме "звездочки"). А если говорить о считывании информативных для человека изменений на экране, то 10 кадров в секунду в большинстве случаев (но только при малой скорости изменений на экране) вполне достаточно, чтобы для человека дискретная последовательность кадров воспринималась как непрерывное движение (и существующие программы записи с экрана компьютера как раз это демонстрируют). Значит и простая "видеозапись" с экрана, запущенная в критический момент выявит всё, что происходит на мониторе. Но если графические элементы дискретно демонстрируемого пароля менять с большей скоростью и, главное, не держать на экране долго, то есть вероятность, что все кадры не попадут в лапы видеосборщику даже при высокой скорости записи... Допустим, нажимаем кнопочку, пароль демонстрируется ровно секунду и исчезает (т.е. составляющие его символы асинхронно обновляются, например, 10 раз в памяти компьютера в течении одной секунды) и чтобы пароль отобразить снова, надо пользователю снова нажать на кнопочку. Соответственно, прога, которая делает видеосъемку в экономном режиме (около 10 кадров в сек) имеет весьма малые шансы "схватить" весь пароль целиком, а программа с большей частотой кадров будет создавать слишком большие файлы, которые труднее утаить и переслать... ________________ Тэкс... Проверил, гипотезу... Не зря проверял...
1. Создал первый проект с кнопкой "показать пароль", чтобы отображалось слово "ПАРОЛЬ". Каждая буква загоралась последовательно, на одну миллисекунду. Всё слово отображалось 10 раз, в цикле, что составило на моем компе чуть больше секунды в целом. Т.е. около секунды я видел быстро загорающиеся и исчезающие буквы, визуально складывающиеся в слово "ПАРОЛЬ".
2. Далее, создал второй проект в котором по нажатию кнопки делается просто 10 скриншотов на весь экран. Нажимал на кнопку "показать пароль" в первом проекте, после чего сразу нажимал на кнопку "сделать серию скриншотов" в этом проекте (имитируя деятельность проги-шпиона) и ... если данные 10 скриншотов просмотреть, то легко обнаружим на них все буквы пароля...
3. Далее я попытался записать показ пароля (работу первого проекта) на UVScreenCamera с частотой 10 кадров в секунду. В результате, получил все буквы пароля (см. прикрепление, в записи три раза я нажимаю на кнопку, отмечая сдвигом курсора каждый подход)...
Из этих экспериментов делаю вывод, что показывать пароль на компьютере, даже дискретно предъявляя его пользователю - "дохлый номер" - его все равно можно перехватить. Т.е. "защититься совсем даже не проще", как оказалось...
а следовательно простой поиск по файлам вмиг этот "редми" определит как "интересный"
Я с Алексом полностью согласен. Что вы там такого прячите? Я на модеме пароль не менял, хотя у нас в локалке категорически советуют. За все время, лет 5 наверно, один раз влезли, настройки поменяли, на большее ума не хватило. И все. Ник и пароль на все ресурсы один и тот же. Почта нужна кому? Читайте, тайных переписок не веду. Вай Фай в открытом виде, подсоединяйтесь кому надо, видать не от хорошей жизни надо если полезут. Веб мани заводил, так сам и забыл пароль, потом восстанавливать кошелек, сплошной геморой. Так что у вас там такого секретного? Что б кто то , залез в комп и начал сканировать ВСЕ файлы на предмет поиска какойто, только вам самим известной информации? Ржу не могу. Смешно, честное слово. Без обид. Не хочешь читать хелп?
Мне достаточно двух мотивов: - спортивный интерес - не хотелось бы номера своих кредиток слить...
Quote (mishem)
Почта нужна кому?
На почту приходит пароль от хостинга, от аккаунтов в платежных системах... Этого тоже более, чем достаточно .
Quote (mishem)
Так что у вас там такого секретного?
Дык, ничего секретного, что может быть секретного в паролях на webmoney, аккаунт рассылки для клиентов, аккаунт личной программы организации приема платежей на сайте, аккаунты в разных партнерских программах и интернет-магазинах или мессенджере?
Norton™ IdentitySafe позволяет входить в системы одним щелчком и автоматически заполнять формы, защищая от кражи информации с помощью программ регистрации нажатия клавиш.
Norton IdentitySafe входит в комплект NIS и Norton 360.
- А вам какую операционку поставить - экспи, семерку или висту? - Это ты сейчас о чем? - Олег Георгиевич, вам какой компьютер хотелось бы - молодежный или надежный? - Ну, конечно, надежный! - Вот, значит - экспи, без вопросов! Сейчас сделаем...
(Улицы разбитых фонарей, сезон 10, серия 17)
Единственная инновация Windows 8 это - Metro, чтобы дебилы по иконкам не промахивались!
При модном втюхе модоподдающимся начинает нравиться
Сообщение отредактировано Peter - Ср, 16 Июня 2010, 02:03
Да, хорошо, наверное, быть "неуловимым Джо" . Да только не хочется "слить" свою зарплату (по дебетовой карте) или кредитный лимит (по кредитным картам)... Равно как не хотелось бы утратить контроль над хостингом и прочими важными аккаунтами. Не хотелось бы оставлять даже такую возможность. Да и учетную запись в мессенджере не хотелось бы отдать для рассылки вируса по всему контакт-листу (я уже получил от двоих контактов из своего списка такой "подарок", однако по подозрительной ссылке, слава богу, не ходил, но определил вирус наверняка - у обоих потом был синий экран с требованием выслать СМС).
А как насчет того, чтобы проверить? У меня не было необходимости использовать Norton IdentitySafe, т.к. я не "Агент 007"! А сейчас (временно?) пользую Avast+OutPost в тестовых целях.
Кстати, передавать иноформацию между приложениями можно и без буфера обмена.
- А вам какую операционку поставить - экспи, семерку или висту? - Это ты сейчас о чем? - Олег Георгиевич, вам какой компьютер хотелось бы - молодежный или надежный? - Ну, конечно, надежный! - Вот, значит - экспи, без вопросов! Сейчас сделаем...
(Улицы разбитых фонарей, сезон 10, серия 17)
Единственная инновация Windows 8 это - Metro, чтобы дебилы по иконкам не промахивались!
При модном втюхе модоподдающимся начинает нравиться
Достаточно начать расплачиваться в интернете по пластику, чтобы решить, что вводить эти цифры немного муторно... Да и прочее. Ну да ладно, это лирика.
Quote (Peter)
А как насчет того, чтобы проверить?
Дык, все равно в этом году уже Eset купил на 3 компа... Мой задохлик иное не потянет. Пользую его в комплекте с OutPost, иногда CureIt и еще реже AVZ... Но ссылочку занес в избранное, спасибо!
Quote (Peter)
Кстати, передавать информацию между приложениями можно и без буфера обмена.
О БОЖЕ!!! Без обид только, но большей глупости (на этом поприще) сделать было невозможно! Я уж устал лечить от вирусов компы, "защищенные" NOD-ом! Такое ощущение, что NOD это какая-то мощнейшая афера десятилетия - денег стОит немалых, во всех компьютерных магазинах его "толкают" лохам "на ура", а потом лохи несут компы в сервис на лечение! Короче, сумашедший дом!
Quote (Вадим)
Как?
WM_COPYDATA, например... - А вам какую операционку поставить - экспи, семерку или висту? - Это ты сейчас о чем? - Олег Георгиевич, вам какой компьютер хотелось бы - молодежный или надежный? - Ну, конечно, надежный! - Вот, значит - экспи, без вопросов! Сейчас сделаем...
(Улицы разбитых фонарей, сезон 10, серия 17)
Единственная инновация Windows 8 это - Metro, чтобы дебилы по иконкам не промахивались!
При модном втюхе модоподдающимся начинает нравиться
Да, я знаю твое к нему отношение. А мне нравится. Сколько раз приносил вирус с компьютеров, на которых стоит Касперский (с универа)... Мой опыт в этом деле даёт обратные сведения :). К ресурсам непритязателен, компом управлять не пытается, да и дешевле (1690 - одна лицензия на три компа). Но у меня нет опыта обслуживания большого кол-ва машин, поэтому не берусь судить (а на заметку беру, как говорится). Про Нортон не могу ничего сказать, очень давно им не пользовался, и давно системы с ним не попадались.
Quote (Сергей)
через параметр(командлине)
Еще не владею этим вопросом. Спасибо за наводку, буду разбираться!
Я на модеме пароль не менял, хотя у нас в локалке категорически советуют. За все время, лет 5 наверно, один раз влезли, настройки поменяли, на большее ума не хватило. 
! Как? Обращение к известному имени переменной, адресу памяти?
