Banks online security

[ny_quant]

Задолбали. Уже в нескольких местах попытка залогиниться приводит к примерно таким результатам:

Access Denied
You don't have permission to access "http://auth.fucking_bank.com/account/login" on this server.


Телефонный звонок ведет к длинным переговорам, пляскам с бубном, чистке кэша, переоткрыванию браузера, попытке залогиниться в других браузерах, перезагрузке компа и все это безрезультатно.

Проблема, как я случайно выяснил, решается просто заходом из анонимного окна. Что за фигня?

В комментарии приглашаются nlothik, sydorov47 и все кто хочет поделиться своими знаниями или эмоциями по этому вопросу.

UPDATE: Оказалось, что если набирать пароль руками, то анонимное окно открывать необязательно, дают зайти из обычного.

Comments

[place-of-pi.livejournal.com]

Это дыра в безопасности.
Я тоже записываю, но только части, остальное я вспоминаю по хинтам.

Лучше тогда менеджером паролей пользоваться.

[http://users.livejournal.com/_glav_/]

почему лучше?

[place-of-pi.livejournal.com]

Если кто-то получит доступ к файловой системе, то получит доступ ко всем паролям.

[http://users.livejournal.com/_glav_/]

а чем менеджер паролей лучше?

на доступ к текстовому файлу тоже можно поставить "суперпароль" — то же самое, чтоти менеджер паролей.

не записывать их вообще не вариант: у меня головы не хватит вспоминать пароли на каждый сайт, с которым я как-то взаимодействовал.

[place-of-pi.livejournal.com]

Поставить пароль на доступ к файлу гораздо сложнее, тем более шарить это между устройствами.

[nlothik.livejournal.com]

> а чем менеджер паролей лучше?

Он лучше тем, что хранит пароли в шифрованном виде, а не открытым текстом.

Так что красть файл менеджера с паролями, конечно, можно, но без пароля (если он достаточной длины) его не прочитать.

[ny-quant.livejournal.com]

А как быть с этим:
https://www.wired.com/story/lastpass-breach-vaults-password-managers/
?

[nlothik.livejournal.com]

А пароли и не украли.

Украли зашифрованные файлы с паролями.

Чтобы их прочитать, понадобится срок несколько больший, чем возраст вселенной.

[ny-quant.livejournal.com]

А если я поставлю пароль свой файл с паролями длиной символов эдак на 128, то эти воры не заколдобятся его расшифровывать>

[nlothik.livejournal.com]

Я тут ниже другому комментатору написал, что есть тонкости.

Ключ для шифрования отдельного файла хранится внутри пользовательской сессии.

Так что если на вход в Windows пароль не требуется или он простой, то защиты отдельного файла можно сказать, что нет.

Кроме того, менеджеры паролей дают много других плюшек -- например, чистят буфер обмена (clipboard) от копированных паролей, могут генерировать новые пароли, и так же дают доступ к паролям на всех устройствах.

Последнее можно изобразить самому, если хранить файл с паролями на облаке, но опять же возникают тонкости.

[ny-quant.livejournal.com]

Виноват, я не понимаю что это значит:

>Ключ для шифрования отдельного файла хранится внутри пользовательской сессии.

Положим, я создал этот ключ прямо щас а потом разлогинился из своего компа. Что происходит с ключом? Он же не исчез? Файл наверное остается зашифрованным пока на компе работает кто-то другой или вообще никто.

>Так что если на вход в Windows пароль не требуется или он простой, то защиты отдельного файла можно сказать, что нет.

Положим, кто-то пролез сквозь фаерволл и залогинился в мой комп под моим именем угадав мой пароль, или как моя жена или как гость. Ты говоришь, что с точки зрения такого взломщика фаил будет незашифрованным?

[nlothik.livejournal.com]

Давай сначала убедимся в том, что мы говорим про одно и то же.

Я говорю про встроенную в Винду версии Про и выше возможность зашифровать отдельный файл, поставив в соответствующем месте пЫптик:



Ключ для шифрования этого файла генерируется автоматически и хранится внутри твоей сессии Виндоуз.

Когда сессия не существует (ты не залогинен), прочитать этот файл невозможно.

Как только ты заходишь в комп, файл доступен для чтения.

[ny-quant.livejournal.com]

А, я кажется понял что ты имеешь в виду. Если так, то эта хитрая шифровка не прочнее, чем мой пароль для Windows.

В самом ли деле внешний взломщик проникший сквозь фаерволл может создать сессию под моим именем угадав мой юзернейм и пароль?

Но вообще-то я имел в виду не это, а например вот что. В Экселе, как известно, можно защищать worksheets & files паролями.

https://support.microsoft.com/en-us/office/protect-a-worksheet-3179efdb-1285-4d49-a9c3-f4ca36276de6

https://learn.microsoft.com/en-us/office/vba/api/Excel.Workbook.PasswordEncryptionKeyLength

Моя мысль была в том, чтобы спрятать и защитить файл с паролями таким вот черезжопистым путём.

[http://users.livejournal.com/_glav_/]

что значит "красть"? злоумышленник же не в сумку его с собой заберёт, он "на месте" читать будет. а на "на месте" можно текстовый файл паролем защитить.

[nlothik.livejournal.com]

Использование EFS идея, безусловно, здравая, но есть тонкости.

Ключ для шифрования отдельного файла, каким бы паролем он бы не был защищён, хранится внутри пользовательской сессии -- то-есть, он защищён только длиной пароля Windows.

Насколько хорош этот пароль? И зашифрован ли весь диск?

[http://users.livejournal.com/_glav_/]

Рискну предположить, что хорошесть пароля на виндовс коррелирует с хорошестью суперпароля для менеджера паролей :)

А весь диск — он же ntfs, если это винда.

[nlothik.livejournal.com]

NTFS не шифруется по умолчанию.

Надо включать битлокер.

[ormuz.livejournal.com]

я до ~2012 года пароля в драфтах в gmail держал, сейчас не представляю жизнь без google password manager.

А тут оказывается люди держат пароли в текстовых файлах на лаптопе (привет Хантеру Байдену) — это ж жутко неудобно, стопятсот версий одного файлика в разных местах.

[ny-quant.livejournal.com]

Если это вдруг в мой огород, то у у меня на десктопе и копия всего одна, если не считать бэкапа на флешке.

Согласен, что для тех, кто ведет полноценную половую сетевую жизнь на многих устройствах, это может быть слегка неудобно.

В итоге на каждую хитрую жопу найдется болт с левой резьбой. Вон у lastpass файл с паролями уже спиздили. Может и найдут способ расшифровать. Как когда-то кто-то нашел способ зайти в iPhone какого-то террориста.

[ormuz.livejournal.com]

так, а вы как — в профиле в хроме запретили ему сохранять пароли? (профиль в хроме у вас же есть?)

моя логика была — что если уведут гмейл, то в принципе все пароли все равно стырят. какой смысл подвергать дополнительной опасности и сохранять на своём диске? (ну и это банально удобней в пользовательском смысле — большинство своих паролей я даже никогда и не видел)

[ny-quant.livejournal.com]

Я вообще стараюсь Хромом не пользоваться, только если иначе не работает. Если сайт не важный, то пароль сохраняю (он каждый раз спрашивает), но обычно нет.

[http://users.livejournal.com/_glav_/]

держать что-то ценное в облаке, тем более пароли? увольте!

одного файлика имхо вполне достаточно

[ormuz.livejournal.com]

достаточно создать профиль в хроме и нажать один раз "yes".
в свою способность создать защищенное и достаточно безопасное локальное хранилище с надежным бекапом — я не верю (собственно, опыт про*&бываниея этого самого текстового файлика — это мои нулевые и ранние десятые года).

[http://users.livejournal.com/_glav_/]

Если меня кто-то будет атаковать, то профиль в хроме будет одним из первых мест, куда будут приложены усилия. А какой-то текстовый файлик, который неизвестно где лежит — поди найди ещё.

Насчёт проёбывания согласен, это риск.

[ormuz.livejournal.com]

в Recent Files? ;)

профиль в хроме зашифрован паролем от гугл аккаунта, в моем случае — если есть доступ к гугл акканту, больше никаких паролей не нужно, I am 90% fucked.
У Гугла, кстати, есть on-device encryption (https://support.google.com/accounts/answer/11350823), чтоб рожу в качестве ключа к паролям использовать