id: Гость   вход   регистрация
текущее время 07:55 29/03/2024
Автор темы: Гость, тема открыта 01/07/2004 14:14 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/СколькоПаролейНужноИГдеИхХранить
создать
просмотр
ссылки

Сколько паролей нужно и где их хранить?


Не будучи спецом в области безопасности, прошу совета у гуру.


У меня имеется около двадцати клиентов, которым я регулярно рассылаю мылом однотипную информацию (таблички excel) с паролями. При этом есть шанс ошибиться и перепутать адресатов. Поэтому каждой табличке присваивается свой пароль. В случае путаницы не сможет прочесть неправильный получатель.


Сейчас ценность информации возросла и я хочу использовать TrueCrypt, а там пароли длинные – от 12 знаков.


Посоветуйте, где их хранить? Можно сделать отдельный контейнер для них. Но тогда "враг" вскрыв его получает доступ ко всей информации. Как поступают в таких случаях? Есть ли какие-то рекомендации по оптимальному числу паролей в системе?


 
На страницу: 1, 2, 3, 4, 5 След.
Комментарии
— Сергей (19/08/2009 13:14)   <#>
По поводу пароля и видеокамеры согласен. А что Вы думаете по поводу LSN Password Safe – там вроде бы есть антикейлоггер и файл открывается только на том диске, на котором он был записан.
— Гость (19/08/2009 14:30)   <#>
Ему бы ещё открытые исходники...
— Гость (19/08/2009 14:56)   <#>
Я полагаю, что либо надо расчитывать на безопасное окружение, либо на полностью скомпрометированное. На какие-то неведомые защиты надеяться я бы не стал. Важные пароли лучше хранить в голове или в зашифрованном контейнере на карманном компьютере и не вводить куда попало.
Парольные менеджеры, которые работают в windows, которая не восстанавливается при каждом запуске из доверенного образа и к тому же подключена к интернету, явно не расчитаны на хранение по-настоящему ценных секретов.
Скорей бы доделали уже Trusted Computing, чтобы иметь полный контроль над выполняемым в системе кодом.
— SATtva (19/08/2009 15:08, исправлен 19/08/2009 15:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Менеджеры паролей удобны для генерации и хранения некритических случайных паролей. Таких паролей, которые не столь важны, чтобы забивать ими голову, но и чуть важнее тех, которые можно хранить непосредственно в браузере. Для меня менеджер паролей — это просто удобное хранилище, а не сейф.
— Гость (19/08/2009 18:22)   <#>
Я полагаю, что либо надо расчитывать на безопасное окружение, либо на полностью скомпрометированное.
Ну почему обязательно такие крайности. Часто встречаются неспециализированные кейлоггеры, и если против них будет защита, можно меньше беспокоится о судьбе сравнительно небольших сумм виртуальных денег и игровых аккаунтов, обычно доступных с компьютера обычного пользователя.
— SATtva (19/08/2009 18:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если фича укладывается в модель угрозы конкретного пользователя, при этом не создавая иных угроз (например, за счёт избыточного раздувания кода программы), то почему бы и нет?
— Гость (19/08/2009 18:34)   <#>
Без технических подробностей нельзя судить о том, есть там защита или нет. Разве что попробовать установить разные кейлоггеры и проверить их взаимодействие с этой программой, и то это не даст объективного результата.
— Сергей (19/08/2009 18:44)   <#>
Некоторое время назад я то же все пароли в голове держал, пока не забыл один из них...
Давайте рассмотрим конкретную ситуацию – у меня есть кошелек WebMoney и, соответственно пароль к нему, коды и файл ключей. Денег там стараюсь держать как можно меньше. Но все равно будет неприятно, если уведут.
Предположим, пароль я помню и ввожу вручную. Если есть троян – он его возьмет, если нет – все нормально.
Теперь второй вариант – пароль у меня в менеджере. Главный пароль я то же ввожу вручную. Если есть троян – он его возьмет, еще ему придется захватить файл с паролями, что бы открыть у себя. C антикейлоггером – еще сложнее, а проверить антикейлоггер в действии можно хоть любым кейлоггером (напр. KGBspy), хоть antikeyloggertester'ом – aklt.
Ну и чем голова лучше парольного менеджера?
Единственная, казалось бы, разница не в пользу парольного менеджера – то что файл могут попытаться открыть не зная главного пароля – например сбрутить по словарю. Но ведь для этого файл увести надо, значит, нужен доступ к компьютеру, а раз есть доступ, значит и трояна кинуть можно. Вот мы и вернулись в самое начало...
— Гость (19/08/2009 18:44)   <#>
Скорей бы доделали уже Trusted Computing, чтобы иметь полный контроль над выполняемым в системе кодом.
только иметь его будете не вы, а им будут иметь вас.
— Гость (19/08/2009 19:11)   <#>
Сергей
Гораздо больше паролей крадутся фишингом, а не "случайными троянами". Хозяева "случайных троянов" не интересуются логами нажатий чёрт знает с каких машин. Из бизнес ориентирован на другое. А вот фишеры целенаправленно атакуют пользователей разных сервисов, и иногда с феноменальным успехом. (Недавний увод 130 тысяч аккаунтов вКонтакте. Им не помог бы любой антикейлоггер.)

только иметь его будете не вы, а им будут иметь вас.

Глупости какие-то.
— SATtva (19/08/2009 19:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Недавний увод 130 тысяч аккаунтов вКонтакте. Им не помог бы любой антикейлоггер.

Этим бы точно не помог. :-)) Вот моя статистическая выборка из утекшей базы, топ самых популярных паролей.



До сих пор мучаюсь вопросом: это ошибка в базе или самый популярный пароль — это отсутствие пароля? Вконтакт разрешает аккаунты без паролей?
— Сергей (19/08/2009 19:33)   <#>
Фишеры – тема отдельного разговора. Но я что то не слышал, что бы с этим были проблемы у WebMoney или других интернет-банков – там защищенное соединение и куча всяких защит, в том числе в клиенте, установленном на компьютере пользователя. Фишинг в чистом виде тут вряд ли поможет. Или проблемы с фишингом были, все таки? А вот у одного моего знакомого увели приличную приличную сумму из системы клиент-банк. А диагноз был поставлен такой – на вашем компьютере присутствует злонамеренная программа. Живой пример...
— Гость (19/08/2009 20:00)   <#>
только иметь его будете не вы, а им будут иметь вас.

Глупости какие-то.

Ну почему глупости? Сейчас вы худо-бедно, на всё-таки можете узнать (дизассемблировав или поинтересовавшись у сделавших это), что делает установленная на вашем компьютере программа. А Trusted Computing лишит вас такой возможности. В сочетании с интеловской технологией vPro с вами (и нами) будет именно то, что сказали выше.
— Гость (19/08/2009 20:18)   <#>
Ну почему глупости? Сейчас вы худо-бедно, на всё-таки можете узнать (дизассемблировав или поинтересовавшись у сделавших это), что делает установленная на вашем компьютере программа. А Trusted Computing лишит вас такой возможности.

Почему? Trusted Computing не имеет к этому отношения. Он нужен только для того чтобы гарантировать безопасное исполнение авторизованного кода. И если админ нечаянно авторизовал не тот код, последний не смог нанести ущерб стабильности остальных процессов.
В сочетании с интеловской технологией vPro с вами (и нами) будет именно то, что сказали выше.

Это администраторский тул, который простым пользователям не нужен.
— Гость (19/08/2009 22:43)   <#>
[offtop]
Trusted Computing не имеет к этому отношения.

АМТ позволяет производить удалённый доступ к выключенному компьютеру в отсутствии владельца. А дополнительно в vPro есть ещё Intel Virtualization Technology (Intel VT), которая позволит через гипервизор вести скрытое наблюдение и даже вмешательство непосредственно в прцессе работы (например отказ в запуске запрещённой программы), а Trusted Execution Technology (TET or TXT), тоже входящая в Intel vPro, не позволит вам подменить гипервизор и даже разобраться в его работе, поскольку код его будет зашифрован.
тут

Это администраторский тул, который простым пользователям не нужен.
А кто будет спрашивать, нужен-не нужен? Поставят на все. Других не будут выпускать. И AMD что-нибудь подобное сделает "для сохранения конкурентноспособности".
А насчёт того, насколько ноуты с vPro "бизнес", судите сами – вот пример. Имхо, банально-обычные типовые ноуты следующего поколения, будут в активном обиходе через несколько лет. Здесь важно то, что сама технология уже существует, является, как пишут, OS independent, и может работать на современных архитектурах: как на ноутах, так и на обычных PCюках.
тут
[/offtop]
На страницу: 1, 2, 3, 4, 5 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3