Сколько паролей нужно и где их хранить?

Гипотетические злоупотребления ею человеконенавистническими корпорациями выдумали несведущие люди.

А на каком основании сведующие люди считают, что человеконенавистнические корпорации не станут злоупотреблять этой технологией? Подобреют? С чего бы это вдруг?
Или эти сведующие люди не верят в существование человеконенавистнических корпораций? С чего бы их тогда их считать сведующими?

Ну и в любом случае антикейлоггеры, антивирусы и прочие не должны быть частью программы, которая хранит пароли :)

Мне кажется, кашу маслом не испортишь. Вот пара практических примеров:
1. Вы периодически запускаете парольный менеджер на чужом компьютере и там может быть не установлен (или неправильно настроен) антивирус / антикейлоггер.
2. Пока Вас не было на рабочем месте, к компьютеру подошел некто, установил кейлоггер, добавил его в список исключений антивируса/антикейлоггера. Если антикейлоггер встроен в парольный менеджер и запускается вместе с ним – Вас этот случай не касается.

Мне кажется, кашу маслом не испортишь.

Очень хороший аттракцион предложили выше.
Парольный менеджер хранит пароли. Антикейлоггер защищает от кейлоггеров. Смешивать их – путаться, повышать сложность, и, как следствие, понижать безопасность.

1. Вы периодически запускаете парольный менеджер на чужом компьютере и там может быть не установлен (или неправильно настроен) антивирус / антикейлоггер.

Никто никогда не запускает парольный менеджер на чужом компьютере. Потому что на всех чужих компьютерах установлены зловредные программы, которые украдут все пароли. Они работают с привелегиями ядра (или реализованы аппаратно) и защититься от них невозможно.

2. Пока Вас не было на рабочем месте, к компьютеру подошел некто, установил кейлоггер, добавил его в список исключений антивируса/антикейлоггера. Если антикейлоггер встроен в парольный менеджер и запускается вместе с ним – Вас этот случай не касается.

Никто никогда не оставляет компьютер без присмотра. Все носят свои компьютеры вместе с собой. Ночью кладут под подушку.
Ну или в крайнем случае выключают, когда отходят. Так как жёсткий диск зашифрован, очевидно, изменить какие-то настройки не удастся.

Для тех, кто заботится о безопасности, но живёт в странном мире, где описанные выше ситуации возможны, отмечу, что если на другом компьютере можно запустить менеджер паролей, то можно и запустить антикейлоггер с теми же привелегиями. И если можно добавить исключение для антивируса, то можно сделать это и для модуля защиты, встроенного в хранитель паролей.

Для меня менеджер паролей — это просто удобное хранилище, а не сейф.

Согласен. Только ради удобства использую обычный текстовый файл :)

Для тех, кто заботится о безопасности

Каждый в какой-то мере заботится о своей безопасности, только мера разная. Почему обязательно должен быть подход "всё или ничего", если чаще всего бвыает, что ценность защищаемого не составляет "всего", а лишь некоторую небольшую часть, потерять которую не смертельно, но обидно.

И если можно добавить исключение для антивируса, то можно сделать это и для модуля защиты, встроенного в хранитель паролей.

Не согласен. Модуль защиты менеджера действует целенаправленно – в отношении своих собственных окон, у него просто нет списка исключений.

Модуль защиты менеджера действует целенаправленно – в отношении своих собственных окон, у него просто нет списка исключений.

Это не отменяет отсутствия эффективности такой "защиты" против кейлоггеров, работающих на уровне ядра или аппаратных.

Это не отменяет отсутствия эффективности такой "защиты" против кейлоггеров, работающих на уровне ядра или аппаратных.

Полностью согласен.

Каждый в какой-то мере заботится о своей безопасности, только мера разная. Почему обязательно должен быть подход "всё или ничего", если чаще всего бвыает, что ценность защищаемого не составляет "всего", а лишь некоторую небольшую часть, потерять которую не смертельно, но обидно.

Конечно. Только не вводить свои пароли на чужом железе и не оставлять без присмотра включённый компьютер (при этом не требующий пароля) – самый-самый минимум. О чём может идти речь, если злоумышленник может в любой момент подойти и установить свою программу?

Не согласен. Модуль защиты менеджера действует целенаправленно – в отношении своих собственных окон, у него просто нет списка исключений.

А как он при этом уживается с, например, Punto Switcher'ом, который работает для всех окон? Впрочем, ладно, пусть как-то уживается. Отключить-то его, вероятно, всё равно можно? Ну а если нельзя, то удалить и установить свою протрояненую версию – ведь у нас по условию задачи есть доступ с правами пользователя :)

Никто и не говорит что это – панацея. Но это лучше, чем писать пароли в текстовый файл, как Вы предлагаете.

Для тех, кто заботится о безопасности, но живёт в странном мире, где описанные выше ситуации возможны

Вот я как раз в этом странном мире и живу. У нас в фирме порядка
15 компьютеров, за которыми сидят не программисты или системные администраторы, а самые обычные пользователи. Никто из них не пользуется антикейлоггером. Админ периодически удаляет вирусы, несмотря на наличие антивируса. Что то я не припомню, чтобы кто-нибудь выключал свой компьютер, уходя в курилку или на обед. И уж точно никто не спит на них. Если такой объявится – санитары будут рядом:)

Все носят свои компьютеры вместе с собой. Ночью кладут под подушку.

Надеюсь, это была шутка.

Да, Вы правы, не стоит вводить пароли на чужом компьютере. Но жизнь есть жизнь и ситуации могут быть разные. Например, Ваш компьютер вышел из строя, а у Вас важный заказ и шеф предложил поработать пока "вот на этом компьютере". Можно, конечно, послать шефа, но обычно так не делают.

Абсолютных защит вообще не существует. Антивирусные программы то же не гарантируют защиту от вирусов, но это не означает, что их не надо применять, руководствуясь принципом "все или ничего".

Каждая программа сможет работать только с теми данными, которые ей будет разрешено использовать системными политиками.

А политики вне системы и системная оппозиция не будут допущены к контролю за данными. Потому что системной оппозиции не будет.

Да, Вы правы, не стоит вводить пароли на чужом компьютере. Но жизнь есть жизнь и ситуации могут быть разные. Например, Ваш компьютер вышел из строя, а у Вас важный заказ и шеф предложил поработать пока "вот на этом компьютере". Можно, конечно, послать шефа, но обычно так не делают.

Если для этого требуюутся личные(не служебные!) пароли, то в организации что-то сильно не так с бизнес-процессами.

Никто и не говорит что это – панацея. Но это лучше, чем писать пароли в текстовый файл, как Вы предлагаете.

Чем? Считаем, что вирусы умны. Если один сумел пробраться в компьютер, он может сделать всё, что позволено пользователю, от чьего имени работает. Для простоты – пусть каждый вирус, обосновавшись на компьютере, открывает для взломщика SSH-сессию. У нас уже не глупый вирус, а умный хакер. Вирус вполне может это сделать, надеяться, что это не так – не лучшая тактика для обеспечения безопасности.

Вот я как раз в этом странном мире и живу. У нас в фирме порядка
15 компьютеров, за которыми сидят не программисты или системные администраторы, а самые обычные пользователи. Никто из них не пользуется антикейлоггером. Админ периодически удаляет вирусы, несмотря на наличие антивируса. Что то я не припомню, чтобы кто-нибудь выключал свой компьютер, уходя в курилку или на обед.

Всё. Вы проиграли. Злоумышленник приходит с улицы во время перекура (Вы сами обозначили такую ситуацию выше, значит физической защиты тоже нет), садится за компьютер и устанавливает кейлоггер – новый, не находящийся никем. Или вместо парольного менеджера ставит почти такой же, но сохраняющий пароли и отправляющий их злоумышленнику. С этим ничего не поделать.

Все носят свои компьютеры вместе с собой. Ночью кладут под подушку.

Надеюсь, это была шутка.

Ок, Вы меня раскусили. "Под подушку" – разумеется, шутка. Это не безопасно. Требуется как минимум сейф.
Ладно.
Мы говорим про личные компьютеры? Хотите какой-то минимальной безопасности – считайте, что к Вам в квартиру никто не вломится и предполагайте, что компьютер в безопасности.
Мы говорим про служебные? Предположите, что никто не будет использовать жучки, чтобы украсть пароли и отключайте компьютеры, когда уходите – вот опять какая-то минимальная безопасность.

Да, Вы правы, не стоит вводить пароли на чужом компьютере. Но жизнь есть жизнь и ситуации могут быть разные. Например, Ваш компьютер вышел из строя, а у Вас важный заказ и шеф предложил поработать пока "вот на этом компьютере".

Как угодно. Только не надо при этом говорить о безопасности. Все пароли, введённые на чужом компьютеры, известны противнику. Точка.

А то похоже на "Поднял SSH-сервер, доступный из Интернета, пароль root'а – 123, мне так удобно, что можно сделать для обеспечения безопасности?". Уже ничего сделать нельзя. Так и в ситуациях выше. Если нет какого-то минимума защиты, сделать ничего нельзя. Остаётся только не париться об этом.

Антивирусные программы то же не гарантируют защиту от вирусов, но это не означает, что их не надо применять, руководствуясь принципом "все или ничего".

Конечно, их не надо применять. Но пусть про принятые в Linux способы защиты Вам расскажет кто-нибудь другой (и на форуме, кажется, тоже было).

Вы выходите на улицу без охраны. Всё. Вы проиграли. Злоумышленник подходит к вам на улице и бъёт кирпичём по голове. Выходите с охраной – злоумышленник стреляетс чердака из снайперской винтовки. Или нанимает более крупное вооружённое формирование. Хотите ходить по улице – пожалуйста, только не надо при этом говорить о безопасности. Всякий находящийся на улице может быть ограблен, убит, заражён смертельной болезнью или подвргнут цыганскому гипнозу. Не выходящие на улицу также не находятся в безопасности. Жить вообще опасно, некоторые (да да, не смейтесь, есть такие случаи) от этого даже умирают.

Как угодно. Только не надо при этом говорить о безопасности. Все пароли, введённые на чужом компьютеры, известны противнику. Точка.

Сразу вспоминается время, когда я был студентом. Поставив на лабах самопальный кейлоггер на подвернувшийся под руку комп, я долго пользовался халявным инетом по преподским учеткам. А знакомый лаборант поставил кейлоггер со скриншотами на комп в своей лаборатории, и мы потом долго угарали над порно, которое смотрел завкафедрой в рабочее время.

Конечно, их не надо применять.

+1, антивирусы в универе стояли везде, но местную сеть ломали все, кому не лень, антивирус ни разу никого не побеспокоил.

Из всего этого я вынес на будущее твердое правило – никогда не обрабатывать личные данные на служебных компах.

Или нанимает более крупное вооружённое формирование. Хотите ходить по улице – пожалуйста, только не надо при этом говорить о безопасности.

Если в Вашей модели угрозы есть противник, для которого это нормально – да.

Выше была заявлена как возможная ситуация

Пока Вас не было на рабочем месте, к компьютеру подошел некто, установил кейлоггер, добавил его в список исключений антивируса/антикейлоггера.

В таком случае ничего не поделать.