Релиз pass 1.5 — консольный менеджер паролей

Приложение iOS.

Чтож под iOS-то не кальсонный, а гуёвый?

Другие проекты:

В Debian STable нет.

Занятная штука. Какую-нибудь бы автоматическую синхронизацию через облако(через OwnCloud конечно) и можно выкидывать lastpass.

Ну пароли в файлах лежат, можно руками синхронизацию настроить для своего любимого сервиса.

Там гит для синхронизации используется

Там гит для синхронизации используется

Вопрос как его синхронизировать автоматически после каждого изменения? если тупо по крону, то может не просинхронизироваться до выключения? inotify? но это я не умею так сходу.

Вопрос как его синхронизировать автоматически после каждого изменения?

Это гит, оно само.

Как Вы не боитесь пароли в файлах держать?

Как Вы не боитесь пароли в файлах держать? Они бьются на мощном компе за пару минут.

Как Вы не боитесь пароли в файлах держать? Они бьются на мощном компе за пару минут.

А где надо, в инете? Или пытаться запомнить каждый из нескольких десятков паролей типа ZF#B^0P-R+31'"EdSO^pAIf2?C'8!\W4, которые из головы вылетят быстрее, чем на экране появится поле ввода?

Это гит, оно само.

А push и pull кто будет делать в удаленный репозиторий? По идее надо на появление нового файла в хранилище или изменение существующего автоматически pull-push делать или как нибудь более правильно, но я с гитом не на ты, поэтому не уверен.

имя которого - название сайта или ресурса

Это косяк. Не надо это светить.

храните пароли в одном месте, оттуда их удобнее тырить

Всё бы хорошо, но автотайп в кипассе уж очень удобный, может кто знает как решить проблему с pass?

А где надо, в инете?

В обычном бумажном блокноте.

В обычном бумажном блокноте.

Надеюсь, это троллинг такой. Иначе рискую фейспалмом спровоцировать землетрясение...

Надеюсь, это троллинг такой. Иначе рискую фейспалмом спровоцировать землетрясение...

Я серьёзно. Толк от пароля ZF#B^0P-R+31'«EdSO^pAIf2?C'8!\W4 приближается к нулю, если его можно декодировать из файла. Ещё хуже, если он перебрасывается через буфер обмена.

Как вы не боитесь вообще где либо держать пароли - место хранения и сами пароли бьются за пару минут при помощи ректотермального криптоанализа или банального утюга

Толк от пароля ZF#B^0P-R+31'«EdSO^pAIf2?C'8!\W4 приближается к нулю, если его можно декодировать из файла.

А запись в бумажном блокноте декодировать вообще не надо. По крайней мере, если его владелец не работает врачом. :)

И для вытаскивания пароля из файла паролехранилки этот файл надо сначала утащить и расшифровать. Чтобы утащить, надо знать про его существование, проникнуть на компьютер жертвы и найти файл, не спалившись при всём этом вещами типа подозрительно высокой дисковой активности. Чтобы расшифровать, надо подобрать [мастер-]пароль, более-менее нормальный вариант которого придумать и запомнить намного проще, чем десятки остальных паролей. И успеть подобрать до того, как жертва тем или иным способом обнаружит факт несанкционированного доступа и поменяет все [наиболее важные] пароли, сделав взлом бессмысленным.

Ещё хуже, если он перебрасывается через буфер обмена.

Кейлоггеры появились раньше любых общесистемных буферов обмена и с тех пор никуда не исчезали.

Из средств хранения паролей хуже бумажного блокнота могут быть только наклеенные на монитор стикеры.

Классика: http://xkcd.com/936/
Если нужна особая секьюрность, паролем может выступать предложение или даже небольшой стих. Пароли из /dev/random это знатное извращение.

Что вы имеете в виду под «парой минут»? Пароли хранятся в шифрованных файлах и каким же слабым должен быть мастер-пароль, чтобы его можно было вскрыть за минуты. Или я что-то не так понял?

Пароли из /dev/random это знатное извращение.

Зато, в отличие от слов/предложений/стихов/..., сломать их можно только брутфорсом либо коллизией используемого для проверки хэша (второе, впрочем, в обсуждаемом случае бессмысленно), никакая словарная атака не пройдёт.

И да, 52 буквы латинского алфавита + 10 цифр + 6 знаков препинания (.,!?:;) + 25 спецсимволов ( '«@#$%^&*()-_=+/\[]{}<>|) при длине пароля 32 дают 93^32=~2^209 комбинаций. Успешного подбора.

И да, 52 буквы латинского алфавита + 10 цифр + 6 знаков препинания (.,!?:;) + 25 спецсимволов ( '«@#$%^&*()-_=+/\[]{}<>|) при длине пароля 32 дают 93^32=~2^209 комбинаций.

Причём, это ещё без учёта того факта, что взломщик даже длину пароля не знает. Так что и без того немаленькое количество комбинаций, которые ему придётся проверять, можно смело увеличивать на несколько порядков.

Ладно, разжую. Пусть в языке всего лишь 2^12 слов. Одно четверостишье содержит порядка 20 слов, откуда получаем 2^240 вариантов перебора – для случая когда взломщик знает принцип составления пароля и брутит именно по тому словарю, что мы используем. Если не знает, сложность космическая. Устойчивость ко взлому даже выше твоего варианта, запоминается легко и непринужденно. Так зачем же использовать пароли из /dev/random?

93^32+(93^31+93^30+...)
Даже на 2% не возрастет, какие несколько порядков.

Пусть в языке всего лишь 2^12 слов. Одно четверостишье содержит порядка 20 слов, откуда получаем 2^240 вариантов перебора

Вероятность встретить любое из этих слов в осмысленном тексте не подчиняется закону равномерного распределения, так что какие 2^240? У букв, если речь идёт, опять же, о нормальном тексте, со случайностью ещё хуже (хотя бы даже из-за значительно меньшего количества). Обычный текст по криптостойкости никогда не сравнится с таким же количеством случайной белиберды из /dev/random.

Дело вкуса, конечно, но лично я в идее паролехранилок преимуществ вижу намного больше, чем недостатков. Мастер-пароль нормальный поставить — и пусть оббрутфорсятся, при смене паролей хотя бы раз в год (а это полезно при любом способе их хранения) содержимое файла устареет раньше.

Вероятность встретить любое из этих слов в осмысленном тексте не подчиняется закону равномерного распределения

Ну так и слов не 2^12, а что-то в районе 2^18 - 2^19. Основная идея вообще в том, что сложность запоминания рандомного слова человеком меньше, чем рандомного символа, а вариантов одного слова куда больше, чем одного символа.

К паролехранилкам как идее претензий не имею, но пароли вида (10-15-100500 рандомных слов подряд) генерируются легко, криптостойкость дают не хуже, диктуются по телефону/переписываются на соседнее устройство при необходимости и даже запоминаются. Они и должны использоваться в паролехранилках, а не мусор, с которым можно взаимодействовать только копипастом.

Да, такие пароли будут сильно длиннее равных по криптостойкости рандомных, но это имеет значение только на сайтах с ограничением длины пароля сверху.

К паролехранилкам как идее претензий не имею, но пароли вида (10-15-100500 рандомных слов подряд) генерируются легко, криптостойкость дают не хуже, диктуются по телефону/переписываются на соседнее устройство при необходимости и даже запоминаются. Они и должны использоваться в паролехранилках, а не мусор, с которым можно взаимодействовать только копипастом.

А какая разница, какой пароль пихать в программу — поэму или несколько десятков случайных символов? Программе-то всё равно, что хранить и копипастить в поля ввода.

Ситуацию «продиктовать пароль по телефону», честно говоря, категорически не приветствую, т.к. убеждён, что пароль должен быть у каждого свой, иначе смысл защиты теряется. Если некий ресурс используется несколькими людьми, то лучше завести каждому по своей учётке. В самом крайнем случае, если уж действительно надо расшарить нечто запароленное, то для этого нечто выбрать немсусорный пароль.

Ну да ладно, спор бессмысленный, пусть каждый сам решает, какие пароли использовать и где их хранить.