Nežinau geresnio… už SuperGenPass
Turbūt kiekvienas šio tinklaraščio skaitytojas žino kaip svarbu nenaudoti vieno ir to paties slaptažodžio visur. Jei kažkas sugebės pavogti jūsų slaptažodį, jie galės prieiti prie visų jūsų paskyrų internete ir ne tik. Deja, net ir suprasdami kuo rizikuoja, nemažai žmonių vistiek naudoja vieną ar kelis slaptažodžius daugeliuose tarnybų, vietoj to, kad kiekvienai naudotų atskirą slaptažodį. Prisipažinsiu — taip dariau ir aš, kol kartą vienoje savo mėgiamų tinklo transliacijų neišgirdau apie SuperGenPass.
SuperGenPass — tai JavaScript bookmarklet’as, kuris sugeneruoja slaptažodį jūsų naudojamoms interneto tarnyboms, imdamas svetainės domeną (URL) + jūsų pagrindinį (ang. master) slaptažodį. Slaptažodis nėra niekur išsaugomas ar siunčiamas, viskas vyksta jūsų naršyklėje. Pagal jūsų sugeneruotą slaptažodį niekaip nepavyks atkurti pirminio slaptažodžio.
Kadangi SuperGenPass tėra gabalėlis JavaScript kodo, jis veikia beveik visose naršyklėse ir visose OS. Jei naršyklė nepalaiko bookmarklet’ų, galima pasinaudoti mobilia SuperGenPass versija. Taip pat egzistuoja programos bei įskiepiai, naudojantys SuperGenPass algoritmą. Pvz.: Android programa; Firefox įskiepis; Chrome įskiepis.
SuperGenPass naudojimas išties paprastas. Galima daryti kaip parodyta įrašo iliustracijoje arba tiesiog iškart nuspaust SuperGenPass bookmarklet tada jame įvest savo pagrindinį slaptažodį. SuperGenPass automatiškai atranda slaptažodžių formas puslapyje ir įrašo sugeneruotą slaptažodį.
Žinoma, jei naudosite SuperGenPass su vienu pagrindiniu slaptažodžiu, tai vėl prarasite didelę dalį saugumo, nes žmogus, sužinojęs, kad naudojat SuperGenPass ir jūsų pagrindinį slaptažodį, galės nesunkiai prisijungti prie visų jūsų naudojamų tarnybų. Rekomenduočiau naudoti bent kelis slaptažodžius kartu su SuperGenPass. Aš asmeniškai turiu tris: svarbioms svetainėms (interneto bankai, el.paštas ir t.t.), vidutinės svarbos svetainėms (forumai, socialiniai tinklai, ir t.t.) bei neaiškioms svetainėms (įvairiausios neaiškios tarnybos, kurios prašo registracijos).
Jei naudojate Mac OS X, galite paskaityti kokią programą slaptažodžių valdymui rekomenduoja kolega vienastoks.
Sveiki užsukę į mano tinklaraštį!
Pas mane slaptažodžiai ne problema. Man didesnė problema atsiminti vartotojo vardą būtent tai paskyrai. Reiks pažiūrėti tą gensuperpass.
Savo kompiuteryje tai naudoju Secure Login įskiepį Firefox – jis už tave prisimena ir vartotojo vardą, ir slaptažodį.
Aišku tai nė kiek nepadeda jei reikia prisijungt iš svetimo kompiuterio.
Aš tai pasirašiau savo generatorių/saugyklą. Ne toks patogus, kaip tavo variantas, bet veikia ir yra pakankamai saugus. Taip pat, yra galimybė jį tobulinti, todėl dar įdomiau.
Pagrinde veikia taip, įrašius pagrindinį slaptažodį, patenku į savo puslapį, kuriame, tarnybų sąrašas. Pasirinkus tarnybą parodomas vartotojo vardas ir slaptažodis. Pridedant naują tarnybą, galima pasirinkti, kokio ilgio (nuo 5 iki 10 simbolių), sudėtingumo (vien skaičiai, vien raidės, raidės skaičiai, raidės skaičiai simboliai)
Planuoju pasidaryti, patogesnį valdymą (gui) ir pilnai veikiančią wap versiją. Viešai paleisti neketinu, kažkaip nesinori būti atrakingam už kitų žmonių slaptažodžius.
Problema, kad tavo slaptažodžiai plain tekstu saugomi – tas pats, kas į paprastą failą susirašyti :-)
Mano slaptažodžiai saugomi mysql duomenų bazėje. O jei dėl copy paste, tai aišku nelabai patogu, bet gal kada pavyks padaryti ką gudresnio bet kolkas, ne mano žinioms.
O kuo mysql duomenų bazė saugesnė nei failas? Juk mysql duomenis taip pat failuose laiko.
O ką gudresnio, geresnio galėtum pasiūlyti?
Aivarai: gudriau būtų slaptažodžius saugoti ne plaintextu. Nesvarbu kokia forma, ar tai būtų failas, ar duomenų bazė ar dar kas nors. Jei jau naudoji kažkokį pagrindinį slaptažodį, tai galėtum jį ir naudoti kaip kodavimo raktą, t.y. visus slaptažodžius saugoti koduojant kokiu nors saugiu algoritmu, kad nežinant tavo pagr. slaptažodžio net ir turint failą naudos iš jo nebūtų. Aišku tada gerai būtų ir pakankamai sudėtingą ar bent ilgą slaptažodį naudot, kad nebūtų paprasta atlikti brute force ataką.
Bet tai reikia pačiam copy/paste tuos slaptažodžius? Nepatogu juk.
Aš įtariai žiūriu į tokį daiktą dėl paprasto klausimo – o jei noriu prisijungti iš visiškai svetimo kompiuterio? :)
Tai gali svetimam kompe įsimest bookmarklet, gali pasinaudot mobile versija, arba gali slaptažodį susigeneruot telefone.
Vidmantai, tiesiog nueini į supergenpass.com ir paimi bookmarkletą vėl.
Jeigu bijai, kad supergenpass.com nukris, padaryk kopiją ir įsidėk į savo hostingą.
Vienintelis SuperGenPass trūkumas – tai, kad puslapis, į kurį įvedi slaptažodį, gali pavogti SGP master slaptažodį, jei jame įjungtas Javascript. Štai dar viena priežastis išsijungti Javascript.
Skaičiau apie tą problemą. Iš pradžių išgąsdino ir jau norėjau mest SuperGenPass, bet paskui paskaičiau komentarus, kad realiai tas dalykas gali į betkokią svetainę būt įdėtas ir nuskaityt slaptažodį ir be SuperGenPass pagalbos. Išvada: nesijungti prie neaiškių svetainių arba, kaip tu sakei, išjungti JavaScript.
Šiaip šios technologijos idėja – labai šauni. Iki dar didesnio saugumo galėjo padaryti, kad generuojant bookmarklet’ą reikėtų įvesti kokį nors raktinį žodį. Tokiu būdu visų vartotojų bookmarklet’ai būtų skirtingi, todėl norint nulaužti – reiktų gauti ir patį bookmarklet’ą :)
SuperGenPass programa Android telefonams turi tokią galimybę :) Įdomu tik kodėl į patį bookmarklet tokios neįdeda. Gal bus vėliau.
greičiau prie visų kompų būtų lazerinis aparačiukas akies raineliai skanuoti ir super duper protokolas ;]]
Kada nors bus :) Tik jei bus kaip su pirštų antspaudais, kad gali rinktis ar nuskaityt pirštų antspaudą ar įvest slaptažodį, tai šnipštas. Beats the purpose, kaip sakant…
jokių pasirinkimų. Piršto antspaudas, tada slaptažodis. Ir saugu :) kol kas nesugalvotų pirštų pjaustyti :D
man patiko slaptažodžių kūrimo metodas iš Vienastoks. slaptažodis+gmail jei naudoji gmail, slaptažodis+hotmail jei hotmail :) Pabandysiu šią gerybę ir aš, o šiaip laikas keisti slaptažodžius man.
tai pala vaikinai, be java scrip nieko neveikia beveik, greader neveikia, channel 4 4oD ir pan.
p.s. o kodėl manęs prašo antispam skaičiukus įvest?
Akivaizdžiai nesupratai kaip stipriai šiuolaikinis web yra JavaScript-based :) Šiaip visiškai jo išjungt neapsimoka, geriau jau pritaikyt whitelist metodiką. T.y. išjungtas by default, bet įjungi svetainėse, kurias pasitiki.
O antispam skaičiukus dėl to ir prašo įvest, kad tu JavaScript išjungus, o tai yra viena iš spamerių charakteristikų ;)
gerai, reikės pabandyti. javascript buvau jau įjungus, lietai veikia tavo blogas :P
zinote ka, niekada nepasitikiu taip vadinamais slaptazodziu saugotojais ir generatoriais. o priezastis paprasta – kadangi programuoju pats, tai zinau kad nesunku tiesiog sudaryti galimybe tam kas reikia pasiusti visus tavo sukauptus slaptazodzius, ir ypac jei programa nemokama.
nemokamas buna tik suris spastuose. ir visi tie nemokami sh kazka daro – bent daugelis ju. o jau savo slaptazodzius saugoti …
na zinoma paprastas zmogelis ima ir uzkimba, juk pasaulyje protingu yra mazuma. nesmerkiu, tik ispeju
Pritariu, kad reikia įtariai žiūrėt į tokius produktus, bet SuperGenPass yra tik gabalas JavaScript kodo, kurį gali paleisti ir iš savo kompiuterio jei nori. O peržiūrėjus tą kodą matos, kad ten nė kvapo duomenų siuntimo kažkur. Ir šiaip per tiek laiko, kiek egzistuoja produktas, kažkas jau būtų tuo pasiskundęs ;)
Na, asmeniškai naudoju KeepassX programą. Ji itin patogi, be to, turi Windows ir Linux sistemoms skirtas versijas. Kol kas manęs nenuvylė (jau 2 metai :D).