Файерфоксовские пароли

Можно же не пользоваться ими, а генерить в сторонке через pwgen или KeePass[D|X|C].

Так и есть

Лучше ответят те, кто заглянет в исходники firefox’a

Ну и кто туда заглядывал за последний год?

я не прогер, даже если загляну скорее ошибусь.

Там сам черт ногу сломит что-то найти

Не раскачивай лодку.

Дык чо, Илончику позвонить, пускай разбирается?

у мозилловцев полны карманы чужих паролей

Так у них независимо от используемого алгоритма эти пароли могут быть. И те что ты руками нагенеришь и с которыми потом через файрфокс будешь логиниться тоже. А еще они могут у тебя по hdd полазить и украсть все файлики «пароль от вконтакте.txt».

Мой способ лучше, потому что фокс не палится передачей данных, достаточно увидеть, что на каком-то сайте есть такое имя пользователя. Ой, то есть не мой, а их способ.

Вы и аудит безопасности на плечи нейронок хотите переложить?
Вот код самого генератора https://searchfox.org/mozilla-central/source/toolkit/components/passwordmgr/s... но как оно дальше в браузере используется я разбираться не собираюсь, там на пару дней с бутылкой водки можно застрять.

Где гарантия, что вызывается именно этот код?

Если так интересно, то посмотрите в сурсах, точнее инфы не будет.
PS Если вам интересно мое мнение, то я предпочитаю мух от котлет отделять, генератор отдельно, место применения отдельно.

pwgen

По-моему проще запомнить однострочник для генерации чем название проги, используемой раз в несколько лет.

К тому же

$ pwgen
bash: pwgen: команда не найдена
$ base64 /dev/urandom | head -1
/AjCafN9GyemYSxqpahx4MqBHeD/A4Z4UzaFI8cpaZqvhVicroHoGPYeGLPa7RW5N5CVp/5OsQ5i
$ 

которые он предлагает создавать при регистрациях на сайтах

Мне ни разу не предлагал

Будь первой, тебя же этот вопрос озаботил.

А гарантии нету, сами в этой монструозной шляпе разбирайтесь.

Я исп. apg - Automated Password Generator - Standalone version

$ apg
Ec4TwujUndAs- (Ec-FOUR-Twuj-Und-As-HYPHEN)
Arv[ozFec6 (Arv-LEFT_BRACKET-oz-Fec-SIX)
osIn+Efjuc3 (os-In-PLUS_SIGN-Ef-juc-THREE)
coj.Ovboyk7 (coj-PERIOD-Ov-boyk-SEVEN)
ads4OgAifwuOr) (ads-FOUR-Og-Aif-wu-Or-RIGHT_PARENTHESIS)
[0Phlanoo (LEFT_BRACKET-ZERO-Phlan-oo)

$ apt-cache show apg
Package: apg
Source: apg (2.2.3.dfsg.1-5)
Version: 2.2.3.dfsg.1-5+b2
Installed-Size: 142
Maintainer: Marc Haber <mh+debian-packages@zugschlus.de>
Architecture: amd64
Depends: libc6 (>= 2.29), libcrypt1 (>= 1:4.1.0)
Description-en: Automated Password Generator - Standalone version
 APG (Automated Password Generator) is the tool set for random
 password generation. It generates some random words of required type
 and prints them to standard output. This binary package contains only
 the standalone version of apg.
 Advantages:
  * Built-in ANSI X9.17 RNG (Random Number Generator)(CAST/SHA1)
  * Built-in password quality checking system (now it has support for Bloom
    filter for faster access)
  * Two Password Generation Algorithms:
     1. Pronounceable Password Generation Algorithm (according to NIST
        FIPS 181)
     2. Random Character Password Generation Algorithm with 35
        configurable modes of operation
  * Configurable password length parameters
  * Configurable amount of generated passwords
  * Ability to initialize RNG with user string
  * Support for /dev/random
  * Ability to crypt() generated passwords and print them as additional output.
  * Special parameters to use APG in script
  * Ability to log password generation requests for network version
  * Ability to control APG service access using tcpd
  * Ability to use password generation service from any type of box (Mac,
    WinXX, etc.) that connected to network
  * Ability to enforce remote users to use only allowed type of password
    generation
 The client/server version of apg has been deliberately omitted.
 .
 Please note that there are security flaws in pronounceable
 password generation schemes (see Ganesan / Davis "A New Attack on
 Random Pronounceable Password Generators", in "Proceedings of the 17th
 National Computer Security Conference (NCSC), Oct. 11-14, 1994
 (Volume 1)", http://csrc.nist.gov/publications/history/nissc/
 1994-17th-NCSC-proceedings-vol-1.pdf, pages 203-216)
 .
 Also note that the FIPS 181 standard from 1993 has been withdrawn by NIST in
 2015 with no superseding publication. This means that the document is
 considered by its publicher as obsolete and not been updated to reference
 current or revised voluntary industry standards, federal specifications, or
 federal data standards.
 .
 apg has not seen upstream attention since 2003, upstream is not
 answering e-mail, and the upstream web page does not look like it is
 in good working order. The Debian maintainer plans to discontinue apg
 maintenance as soon as an actually maintained software with a
 compariable feature set becomes available.

Если ты такой крутой параноик, зачем вообще где-то регистрируется?

я заглядывал, апп икон на упоротого лиса в найтли поменял)

Где гарантия, что вызывается именно этот код?

Вот, поэтому надо ставить генту и чтобы она при тебе все конпелировала! Я вижу ты уже скоро к этому придешь. Длительное пребывание на лорчике не проходит без последствий.

а зачем этим вообще пользоваться, когда есть KeePassXC?

Дык чо, Илончику позвонить, пускай разбирается?

Дык ты трампчику сразу, че мелочится

вот и ваш линукс весь такой открытый и безопасный, без дырок и закладок, только никто в этой шляпе не разбирался и не смотрел

вот и ваш линукс весь такой открытый и безопасный, без дырок и закладок, только никто в этой шляпе не разбирался и не смотрел

Никто вообще или никто на ЛОРе?

а зачем этим вообще пользоваться, когда есть KeePassXC?

Да

Просто используй keepassxc, bvaultwarden или passman. Не стоит доверять это браузерам, это же их бизнес.

А ты не используй файрфокс, используй Яндекс броузер. И тогда с твоими паролями все будет в порядке.

Поэтому я свой генератор написал. Можете пользоваться https://vbezhenar.com/pwgen/pwgen.html

        if (lowerCaseLettersElement.checked)
          characterGroups.push("abcdefghijklmnopqrstuvwxyz");
        if (upperCaseLettersElement.checked)
          characterGroups.push("ABCDEFGHIJKLMNOPQRSTUVWXYZ");
        if (digitsElement.checked) characterGroups.push("0123456789");
        if (specialCharactersElement.checked) {
          characterGroups.push("@#$%.,:;'\"`!?_()[]{}~&|^+-*/\\=<>");
        } else if (hyphenElement.checked) {
          characterGroups.push("-");
        }
        if (excludeLookalikeElement.checked) {
          characterGroups = characterGroups.map((s) =>
            s.replace(/I|O|Q|i|l|o|0|1|!|\||`/g, ""),

Хм. То есть, сначала в пароль попадают символы, а потом их выкидывает проверка? А зачем они тогда в той строке изначально есть? Да, паранойя улучшает умственные способности.

Если ты ставишь галочку «убрать эти символы», то они убираются. Вопрос не совсем понятен. Почему я вместо шести if-ов не написал десять? Мне показалось, что так правильней.

Э… я не заметила галочку. Паранойя воздействует на организм комплексно, видимо.

Еще есть похожий символ D и комбинация rn похожа на m с некоторыми шрифтами.

Согласен, но так можно далеко зайти, где-то надо остановиться. Всё же не хотелось этой галочкой так уж сильно ослаблять пароль.

Кто ж тебе правду скажет?

а как это вообще работает если каждый первый сает выдвигается свои требования к паролям, т.е. везде свои правила?

притом эти правила меняются иногда. притом где-то явно правила указаны, а где-то только методом проб и ошибок можно выяснить.

Генерируй случайные пароли прям самим менеджером паролей, их даже помнить необязательно. Те, что нужно помнить, генерируй сам головой, по словарю, из ограниченного количества компонентов.

а как он узнает по каким критериям надо генерить?

очень часто ситуация что каждый первый сайт требует какой-то хитрый символ и вот алфавит хитрых символов (не ascii-цифробукв + обычных знаков препинания) - везде разный. где-то даже # нельзя применять. где-то можно и везде такая отсебятина.

хочу понять как это работает, на уровне механики. генеришь много раз подряд для одного и того же сайте, прежде он примет пароль за допустимый?

Файерфоксовские пароли
Синхронизация Firefox/Chrome

И ежу понятно что это всё зонды. Странно что все молчат и не говорят о зондах.