Javascript.RU

Правильный генератор паролей: Password Hasher

Большинство интернет-сервисов почему-то хотят, чтобы на них регистрировались. При этом еще устраивают всякие проверки e-mail и прочие защиты.

Понять их вполне можно... Но где найти такую прорву паролей?

Использовать случайный генератор - неудобно, придумывать каждый раз "запоминающуюся" фразу - тоже. Одинаковый пароль могут один раз получить через взлом кривого сайта, сниффер на локалке, или троян в винде.

Улучшить безопасность для таких сервисов как раз и может Password Hasher.

Этот плагин принимает один мастер-пароль, и генерирует по нему для каждого сайта свой, случайный. Для удобства ввода этого сгенерированного пароля предусмотрен специальный значок "#", который появляется у соответствующих полей.

Так что по сети передается уникальный случайный пароль. Узнать пароль к другому сайту без мастер-пароля нельзя... Что весьма полезно для секьюрити в наш просвещенный век...

С другой стороны - восстановить пароль к сайту можно даже после падения всего на свете. Достаточно знать адрес сайта и мастер-пароль.

На скрине изображена автогенерация пароля для почты.

Пример пароля

» Страница расширения на addons.mozilla.org


Автор: Андрей Параничев, дата: 19 марта, 2008 - 16:41
#permalink

Ссылка не туда ведёт. Как я понимаю вот верная ссылка.


Автор: Илья Кантор, дата: 20 марта, 2008 - 00:05
#permalink

Да, действительно. Поправил в тексте, спасибо.


Автор: barbiturat, дата: 29 мая, 2008 - 15:56
#permalink

А если я решил зайти на этот же сайт, но с чужого компа, или через другой браузер?


Автор: Гость (не зарегистрирован), дата: 18 августа, 2008 - 14:38
#permalink

> или троян в винде
а что мешает украсть мастер-пароль?


Автор: Илья Кантор, дата: 18 августа, 2008 - 22:39
#permalink

Мастер-пароль в смысле трояна точно так же безопасен, как и вообще все пароли.
Безопаснее только хардварная защита: ключик там, отпечаток сетчатки глаза..

А так - мастер-пароль отсылает разные пароли на сайты. Если где-то вдруг мошенники или хакеры - они, в отличие от просто одного пароля на все, не получат вход на другие ресурсы.

Зато с чужого компа или через другой браузер да - не выйдет. Хотя, может, и можно получить пароль из файрфокса который он там генерит..


Автор: PingWin (не зарегистрирован), дата: 2 ноября, 2008 - 11:45
#permalink

Пока не пользую, и вряд ли буду, но сама идея - великолепная!

Только вот от идеи до реального использования оказалось далеко - надо чтобы во-первых подобный плагин был для всех распространённых браузеров, во-вторых - в stand-alone варианте. Его автор случаем сюда не ходит?

PS: Нашёл в описании то, что хочу:
* Generates a portable HTML page with your site tags and option settings that allows you to generate your hash words in any browser on any machine without the extension installed. (New!)
Но, одновременно с этим совершенно разочаровался:
* Saves all data to the browser's secure password database.
Получается, он ещё и данные хранит... Я уж было обрадовался, что вся ценная информация лишь в моей "секретной фразе"... А так это всего лишь ещё один менеджер паролей


Автор: latteo.ru (не зарегистрирован), дата: 20 января, 2009 - 13:37
#permalink
Я уж было обрадовался, что вся ценная информация лишь в моей "секретной фразе"...

Кстати да интереснаяя идея генерировать пароли в зависимости от адреса сайта и секретной фразы... изная алгоритм не так сложно будет сделать модули для почти всех обозревателей.


Автор: Гость (не зарегистрирован), дата: 13 марта, 2010 - 17:19
#permalink

> Saves all data to the browser's secure password database.
а кто и где сказал что под "всеми данными" подразумеваются также и сгенерированные пароли? там это означает опции генерации. разумеется, это не полностью секьюрно, но сколько троянов из ныне существующих ориентированы на вытаскивание из лиски этих данных? не думаю что много, в любом случае даже если такие и есть, их гораздо меньше, чем банальных кейлоггеров


Автор: миркус (не зарегистрирован), дата: 26 января, 2009 - 16:22
#permalink

во во
покапавшись в исходнике
труда не составит любителям экзотики (ИЕ,Опера)
сделать модуль (виджет) для себя.
спасиьо за статью.


Автор: anike (не зарегистрирован), дата: 11 июля, 2009 - 17:54
#permalink

запретный плод всегда будет сладким.
Чем сильнее защита тем проще её сломать, но дольше уйдет на поиск технологии взлома.
Это означает только одно, программисты будут улучшать системы защиты вплодь до звука и отпечатков палчегов как на некоторых ноутах asus /// а хацкеры будут пытаться сломать в общем раз это появилось значит кому то нужно, но не значит бесполезно и необходимо. Что в свою очередь является небольшим продвижением в программировании систем защиты.

Имхо прикольно. (:


Автор: Vitaleks (не зарегистрирован), дата: 19 декабря, 2009 - 16:34
#permalink

А как же восстановление паролей по эмайлу? Взломав почту хакер получает доступ ко всем сайтам, где при регистрации был указан этот взломаный эмайл...


Автор: D.S.Denton (не зарегистрирован), дата: 13 марта, 2010 - 17:27
#permalink

а как же насчет горячего утюга? добавившись в друзья к вам в соцсети, хакер имеет очень неплохие шансы узнать домашний адрес и добраться до вас с этим "средством взлома", после чего сами добровольно выдадите все пароли.

фишка в том, что даже если кто-то узнал почту и пароль к ней - ему же еще надо знать на каких сайтах этот ящик использован в качестве регистрационного чтобы запросить восстановление на этот адрес.

так что элементарная защита (которая кстати и от спама заодно нужна) состоит в регистрации дополнительного (а можно и не одного) ящика для регистраций, с которого настроена пересылка на основной. предположим что кто-то узнает основной адрес user@mail.ru. но при попытке ввести его на каком-то сайте, где он совершенно точно знает что я зарегистрирован, он получит ответ "такого адреса нет в нашей базе" или "логин и мейл не сооответствуют друг другу", в зависимости от способа восстановления. и это вполне понятно, ведь на этом сайте дентон регистрировался с указанием ящика например user666@hotmail.com, на который даже не заходит никогда благодаря настроенному форварду почты на user@mail.ru


Автор: Гость (не зарегистрирован), дата: 15 марта, 2010 - 03:44
#permalink

>фишка в том, что даже если кто-то узнал почту и пароль к ней - ему же еще >надо знать на каких сайтах этот ящик использован в качестве регистрационного >чтобы запросить восстановление на этот адрес.

Так обычно в самом ящике все регистрационные письма и хранятся, что там искать.

Так же, если регистрационное письмо пришло по пересылке, в его заголовках всё равно есть реальный адрес, указанный при регистрации.


Автор: Гость (не зарегистрирован), дата: 26 сентября, 2010 - 14:19
#permalink

фуфло этот плагин. если могут просниферить пароль к одному сайту, то просниферят пароли ко всем остальным. защититься можно лишь используя https протокол или специальную процедуру аутентификации когда в гостю выдается уникальный случайный код сессии еще до введения логина и пароля. на основе этого кода сессии скрипт первой страницы сайта, прогруженый на браузер клиента генерирует ответный код с подмешанный паролем. и только скрипт на стороне сервера знает как обратно декодировать эту смесь символов. так называемая аутентификация с челендж-кодом. каждый раз в канале передается иникальная комбинация кода. сниферить бесполезно.


Автор: Гость (не зарегистрирован), дата: 29 сентября, 2010 - 12:57
#permalink

challenge уязвим к атаке man-in-the-middle, так что ваш способ - такое же фуфло, создающее иллюзию защищенности. Кроме https ничего не поможет.


Автор: Гость (не зарегистрирован), дата: 15 апреля, 2022 - 23:26
#permalink

Автор: Гость (не зарегистрирован), дата: 16 апреля, 2022 - 13:57
#permalink

Отправить комментарий

Приветствуются комментарии:
  • Полезные.
  • Дополняющие прочитанное.
  • Вопросы по прочитанному. Именно по прочитанному, чтобы ответ на него помог другим разобраться в предмете статьи. Другие вопросы могут быть удалены.
    Для остальных вопросов и обсуждений есть форум.
P.S. Лучшее "спасибо" - не комментарий, как все здорово, а рекомендация или ссылка на статью.
Содержание этого поля является приватным и не предназначено к показу.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешены HTML-таги: <strike> <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <u> <i> <b> <pre> <img> <abbr> <blockquote> <h1> <h2> <h3> <h4> <h5> <p> <div> <span> <sub> <sup>
  • Строки и параграфы переносятся автоматически.
  • Текстовые смайлы будут заменены на графические.

Подробнее о форматировании

CAPTCHA
Антиспам
11 + 4 =
Введите результат. Например, для 1+3, введите 4.
 
Текущий раздел
Поиск по сайту
Содержание

Учебник javascript

Основные элементы языка

Сундучок с инструментами

Интерфейсы

Все об AJAX

Оптимизация

Разное

Дерево всех статей

Последние комментарии
Последние темы на форуме
Forum