Безопасность данных на компе

[Пойманый_маньяк]

А простым юзерам что делать? Есть идеи?

Текст в файле "письма любимой бабушки в спортлото.swp"
Лично мне как-то стремно доверять свои пароли каким-то фирмам, что бы они ни говорили...

[BadBlock]

Текст в файле "письма любимой бабушки в спортлото.swp"
Лично мне как-то стремно доверять свои пароли каким-то фирмам, что бы они ни говорили...

Ты это пишешь, поди, из винды, а файл открываешь "Блокнотом"? Уже доверил пароли Микрософту.
А браузер, поди, Хром? Ещё и Гуглу.
Да и вообще, любое приложение теоретически может прочитать с диска твои письма бабушке.

При этом если использовать хранилки паролей, то база шифруется мастер-паролем, а твои письма бабушке не шифруюся, так что нужно предпринимать дополнительные усилия для обезопасивания (-шивания?) данных.
Плюс в твоём случае неудобно вводить логины-пароли: нужно открыть файл, найти в нём пароль, скопировать, и так каждый раз — жесть какая-то.

[Пойманый_маньяк]

Ты это пишешь, поди, из винды

Дык и хранилки паролей будут работать из-под нее-же

файл открываешь "Блокнотом"?

Обидеть хочешь?! В душу плюнуть?
Изначально был MultiEdit, сейчас Notepad++

Да и вообще, любое приложение теоретически может прочитать с диска твои письма бабушке.

Может.
Но в процессе поиска этому любому приложению потребуется "прошерстить" и как-то проанализировать весь жесткий диск. Ну допустим даже оно это сделало, ориентируясь на наличие УРЛов.
Но файлов с УРЛами будет дофига (всякие последние открываемые страницы, всякие readme со ссылками на сайты и прочее)...
Сейчас в Total Commander запустил в папке Windows поиск файлов со строкой строке "http" - пара секунд, 308 найдено, остановил.
Этому приложению их все своему разработчику кидать?

А в случае использования хранилки паролей аналогичному приложению искать и анализировать ничего не надо - где пароли уже понятно.

[BadBlock]

Дык и хранилки паролей будут работать из-под нее-же

Речь о тебе. Ты УЖЕ доверяешь пароли фирмам.
При этом рассказываешь, что не хочешь доверять пароли фирмам.

Обидеть хочешь?! В душу плюнуть?
Изначально был MultiEdit, сейчас Notepad++

То есть, Микрософт, Гугл и неизвестный чувак из интернета, представляющийся Don Ho — как минимум им ты уже доверил все свои пароли.

А в случае использования хранилки паролей аналогичному приложению искать и анализировать ничего не надо - где пароли уже понятно.

Ага, только к ним доступа нет — файл-база шифрован мастер-паролем.
Весь вопрос — в доверии к автору приложения. Собственно, точно так же, как и в твоём случае.

[Пойманый_маньяк]

Речь о тебе. Ты УЖЕ доверяешь пароли фирмам.

Основное - минимизация их количества.
Вышеперечисленное по определению у всех, кому требуется установленное у меня ПО, часть которого на Linux просто не встанет.
От этого избавиться проблематично, мягко говоря - две системы ставить и так далее.

неизвестный чувак из интернета, представляющийся Don Ho

Я доверяю не Don'у Ho, а открытым кодам на GitHub'е
И тому, что число файлов, которые в Notepad++ редактируются - в разы усложняют задачу поиска файла с паролями.
Проще говоря даже если этот редактор захочет переслать мои пароли кому-то - ему опять таки надо будет или как-то искать нужный, или пересылать хренову кучу файлов.

Ага, только к ним доступа нет — файл-база шифрован мастер-паролем.

Который по определению знает хранилка паролей

[BadBlock]

Который по определению знает хранилка паролей

Во-первых, ты это прочитал?
"Весь вопрос — в доверии к автору приложения. Собственно, точно так же, как и в твоём случае."
Если прочитал, зачем флудишь, пытаясь мне приводить мои же аргументы?

Но это во-первых.
А во-вторых, тут точно такие же открытые исходные коды, как и у твоего Дона Хо.
Ты это прочитал?

- Приложение KeePassXC - https://keepassxc.org/ — кросс-платформенное (Windows, MacOS, Linux), open source, русский интерфейс встроен.

KeePass, исходный код на SourceForge: https://sourceforge.net/p/keepass/code/HEAD/tree/
KeePassXC, Исходный код на Гитхабе: https://github.com/keepassxreboot/keepassxc/releases

[Пойманый_маньяк]

Ты это прочитал?
- Приложение KeePassXC ... open source...

Да прочитал я, прочитал...
Но вопрос не только в недоверии к именно этим фирмам, но и в недоверии к их программным продуктам.
А в этом случае open source скорее вреден, поскольку позволяет выяснить алгоритмы шифрования.

[оффтоп]

Показать

Блин, Блок, ну реально же какой-то Индиана Джонс!
При наличии сокровищ паролей всенепременно надо поставить сверху
неебических размеров дворец. Явно демонстрирующий
А. Наличие сокровищ
Б. Место в котором они находятся
явно показывающую куда копать программу.
С кучей ловушек шифрований, которые один хрен взламываются, так или иначе...

Для того, чтобы вскрыть любой менеджер паролей - вредному ПО/вирусу надо отследить его запуск (сходу двигаемся по направлению к вооон тому неебическому дворцу!), поймать пару десятков символов, введенных с клавиатуры, после его запуска, и спереть один единственный файл с паролями.
kickidler, как доказательство возможности поймать запуск программы "*Pass*".
PintoSwitsher, как доказательство возможности отлавливания символов.

Для того, чтобы вскрыть пароль в виде текстового или любого другого файла, при условии, что он вообще есть - надо или скачивать все подряд с компьютера, или анализировать вообще все файлы, и каким-то хреном определить нужный...
Вредное ПО/вирус должен обладать фактически ИИ для поиска файла с паролями и уметь работать с большим количеством редакторов, на случай если у тебя пароли в Word, в Excel или даже в чертеже Autoсad, хранятся.

[/оффтоп]

[BadBlock]

А в этом случае open source скорее вреден, поскольку позволяет выяснить алгоритмы шифрования.

Алгоритмы шифрования тоже open source, это обеспечивает их надёжность.
Именно в этом их сила.
Security through obscurity в криптографии всегда проваливается.

"...дизайн криптографической системы не должен требовать секретности и не должен причинять неудобств, если он попадёт в руки врага. Разработчики должны считать, что весь дизайн системы безопасности известен нападавшим, за исключением криптографических ключей (безопасность криптографической системы находится полностью в криптографическом ключе). В 1940 году Клод Шеннон сформулировал этот принцип как «враг знает систему».

В прошлом несколько алгоритмов программного обеспечения или систем со скрытием внутренних деталей видели, как эти внутренние детали становятся достоянием общественности. Случайное раскрытие произошло несколько раз, например, в известном случае GSM конфиденциальная документация касательно шифра была передана в Университет Брэдфорда без наложения обычных требований конфиденциальности[1]. Кроме того, уязвимости были обнаружены и использованы в программном обеспечении даже тогда, когда внутренние детали оставались секретными. Взятые вместе, эти и другие примеры показывают, что сложно или неэффективно держать детали систем и алгоритмов в секрете."

https://ru.wikipedia.org/wiki/%D0%91%D0 ... 1%82%D1%8C

Для того, чтобы вскрыть пароль в виде текстового или любого другого файла, при условии, что он вообще есть - надо или скачивать все подряд с компьютера,

Зачем, когда можно перехватывать ввод с клавиатуры в определенных полях в браузерах, или вставку из буфера обмена, а потом пакетно отправлять, куда надо?

Кроме того, найти файл с паролями тоже не так сложно, как ты себе представляешь.
Например, у него будет свойство, отличающее его от 99,99% остальных файлов на компе: ты его регулярно открываешь в редакторе.
Реально таких файлов, скорее всего, вообще будет по пальцам руки.

[Пойманый_маньяк]

Алгоритмы шифрования тоже open source, это обеспечивает их надёжность.
Именно в этом их сила.

Я имел в виду, что "перехватив" один пароль в заранее понятном месте - вскрыть файл базы, взятый также в заранее понятном месте, труда теоретически не составит вообще.

Зачем, когда можно перехватывать ввод с клавиатуры в определенных полях в браузерах,

Не потребуется выяснять, кто я такой, потом что я зарегистрирован условно на форуме Миландра, потом в каком месте там вообще вводится пароль?

или вставку из буфера обмена, а потом пакетно отправлять, куда надо?

Если посмотреть сейчас содержимое моего буфера обмена, то там...
Там, согласно свежескачанной программе Clipboard Viewer... строка "Clipboard Viewer" Нда, скопировал пока искал. Думал еще какая-нибудь муть будет. В общем не пароль.
Это получится ежедневная жуткая куча хлама из текстов, цифр, команд на нескольких языках программирования, файлов, урлов и прочего мусора. Как вычленять?
И что делать, если я скажем лапами переписываю? Вообще все пропало, плачем и заваливаем автора вредоносного ПО по сети "рулезным свопом для мастдая", пущай почитает?

Кроме того, найти файл с паролями тоже не так сложно, как ты себе представляешь.
Например, у него будет свойство, отличающее его от 99,99% остальных файлов на компе: ты его регулярно открываешь в редакторе.
Реально таких файлов, скорее всего, вообще будет по пальцам руки.

Так в каком именно редакторе то? За каким следить?
Даже у совсем уже ламеров вариантов далеко не один - Notepad, Wordpad, Word, Excel, даже в Paintbrush можно писать, хотя конечно возможность копирования утратится. А у программистов - так это же лють лютая. Любая среда разработки под подозрением.
Помнишь Русиновича и утилиту FileMon, или как там она называлась?
Это же ужас сколько всякого файла постоянно открывается/закрывается...

[BadBlock]

Не потребуется выяснять, кто я такой, потом что я зарегистрирован условно на форуме Миландра, потом в каком месте там вообще вводится пароль?

Не потребуется, т.к. в урле браузера все есть.
Аккаунт на форуме твой зачем?
Лучше таргетировать сайты банков, известные соцсети, почтовые службы и т. Д.

Если посмотреть сейчас содержимое моего буфера обмена, то там...
Там, согласно свежескачанной программе Clipboard Viewer... строка "Clipboard Viewer" Нда, скопировал пока искал. Думал еще какая-нибудь муть будет. В общем не пароль.
Это получится ежедневная жуткая куча хлама из текстов, цифр, команд на нескольких языках программирования, файлов, урлов и прочего мусора. Как вычленять?

Вычленять по факту вставки в браузер в определенные поля на сайтах из искомого списка.

И что делать, если я скажем лапами переписываю?

Вычленять по факту набирания в браузере в определенных полях на сайтах из искомого списка.
А что делать, если ты на бумажке хранишь всё?
Плакать, наверное.
А что если ты вообще компьютер не используешь? Подумай над этим.

Так в каком именно редакторе то? За каким следить?

За самыми популярными. Но особенно, конечно, за браузерами.

Наивно думать, что микрософт с гуглом не знают все твои пароли.
А проверить, что они их не отсылают, ты вряд ли можешь.
Например, винда в ходе проверки обновлений куяк — и заодно сливает всё Микрософту!
Или зловред.

[Пойманый_маньяк]

Не потребуется, т.к. в урле браузера все есть.
Аккаунт на форуме твой зачем?
Лучше таргетировать сайты банков, известные соцсети, почтовые службы и т. Д.
...
Вычленять по факту вставки в браузер в определенные поля на сайтах из искомого списка.

То-ли в Хроме, то-ли в Опере, то-ли в российском Яндексе, то-ли в китайском QQ...
То-ли The Bank of New York Mellon, то-ли Газпромбанк, то-ли Ючо Гин'ко KK, то-ли Bundesbank...
То-ли с СМС подтверждениями, то-ли еще с чем-то...
И на всякий случай желательно проверять отсутствие приложений от самих этих банков, в каждом из которых своя система шифрования
С соцсетями примерно та-же картина.

Условно говоря - это "лес", в котором, под каким-то из деревьев, может быть закопано что-то ценное...
По сравнению с "неебическим дворцом над сокровищами" - далеко не самый плохой вариант.

А что если ты вообще компьютер не используешь? Подумай над этим.

Подумал.
Зря иронизируешь.
Если вкупе с неиспользованием смартфона, то шанс вскрыть пароли такого человека = 0.
Максимальная защита. Но неудобно.

Наивно думать, что микрософт с гуглом не знают все твои пароли.
А проверить, что они их не отсылают, ты вряд ли можешь.

Эти заразы знают (или как минимум могут узнать) все пароли у всех
Даже у тех, кто поставил себе какое-то ПО для хранения паролей.
Кроме линуксоидов и людей без компьютеров/смартфонов.
Неизбежное зло.
Утешает лишь то, что их будет легко найти и завалить исками по самую тыкву, если обнаружится что они используют чужие пароли.