Авторизация
Регистрация

Напомнить пароль

Хранилище паролей

Зачем и почему:
Некоторое время я делал пароли так: у меня была пара шаблонов (10-12 знаков), и я только их и использовал, прибавляя к концу или к начала пару знаков из URL.
После недавних огромных утечек паролей убедился что это не работает, обошлось без крупных неприятностей, но пришлось поменять все пароли на уникальные, которые генерирует огнелис.
И где их хранить?

Софтверные менеджеры паролей работают по одному принципу — мастер-пароль, под которым открываются все остальные пароли.
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.
Хранить пароли в каком-то «облаке» это еще хуже. Типо, отдать ключ от сейфа соседу, он его положит под подушку, так надёжнее.
Другой подход — хранение паролей на отдельном устройстве. Но выбор таких устройств удручающе мизерный, и те что есть — неудобные.
Мой подход:
пароли хранить без всякого шифрования на внешнем устройстве, устройство подключается к компьютеру/телефону ТОЛЬКО через USB (без всяких Wifi, голозубьев и пр) по необходимости.
Шифровать пароли на устройстве не вижу смысла. Если вы держите ключи от сейфа у себя дома в надёжном месте (например, в шифонере на полке с носками), нет смысла класть их в другой сейф, а ключ от этого сейфа в другой сейф и так до самого конца.
Просто держите этот ключ у себя и не теряйте и никому не давайте. Потеряли — ваша проблема.
Также и с паролями.

Только не заводите параноидальные дискуссии про безопасность и терморектальный криптоанализ.
Меня этот уровень «безопасности» устраивает, кто может пусть сделает лучше, только приветствую.


Итак, предлагается простое устройство на ардуинке. Устройство включается при подключении к USB, внутри батареи нету.
Устройство имеет дисплей с перечнем названий(имя сайта и пр) — это меню первого уровня. Навигация по этому меню по крутилке (энкодеру).
Как работает: открыли на PC страницу с Login, поставили курсор на поле с именем пользователя или паролем.
Поключили устройство кабелем к USB, крутилкой выбрали имя для этой страницы, кликнули на крутилку — открывается меню второго уровня с полями URL, имя пользователя, пароль.
Так же навигация по крутилке. Выбрали поле (например, имя пользователя), кликнули на крутилку — текст из этого поля вставляется в то место, где стоит ваш курсор на компьютере. Устройство при этом притворяется клавиатурой.
Кстати так же работает и с андроид-телефоном.

Пароли загружаются/обновляются с простого csv файла на micro-SD. Если карта не вставлена, устройство читает пароли хранящиеся в памяти. Если при включении обнаружена карта — устройство считывает с нее файл с паролями и кладет его в постоянную память как обновление.
Кнопка снизу просто перезагружает Teensy, на случай если вставили карту «на ходу» и хотите обновить данные не перетыкая USB кабель. Ну или если зависнет (пока не было).
Если нужно редактировать/добавлять-убавлять пароли — открываете карту SD у себя на компьютере, в любом редакторе редактируете хранящийся на ней файл. Само устройство функций редактирования не имеет, это буквально — хранилище. Предельно простое.
Карту храните там же, в шифонере. Ну или в какой-нибудь книжке в шкафу если у вас есть книги.
Я храню две. В шифонере и на книжной полке;)
Не буду спорить про безопасность, пользуюсь уже пол-года, меня все устраивает, если бы такие имелись в продаже — с удовольствием бы купил, нет — так сделал сам.
Из чего состоит:
1. модуль дисплея 320x240, с энкодером, драйвер ST7789, SPI (вверху)
2. микропроцессор плата Teensy 3.1 (можно и новее, какая была в закромах) — внизу слева
3. плата с микро-SD от Adafruit, справа
Всё смонтировано на макетке, провода снизу (печатной платы не делал), дисплей сверху в виде бутерброда:
Был заказан online простенький корпус 3D печать, крышку вырезал сам своим старых лазерным каттером:
В сборе:
видео работы:
youtu.be/3J7BR-akjx8

файл данных на SD для загрузки паролей:
имя файла data.txt, просто набор строк, каждая строка содержит 3 поля разделенных запятой:
account name, user name, password. После password нужна запятая, дальше может быть четвертое поле comment (а может и не быть)

ЗЫ да, я в курсе что тогда запятую нельзя использовать как часть пароля. Not a big deal.

код:
парсинг csv файла — из сообщения пользователя fat16lib с форума arduino.cc:

многоуровневое меню для ардуино — библиотека GEM Александра Спиридонова(Spirik) с небольшими изменениями.

Подробно всё на моей странице проектов сайта Hackaday.io

PS заглавная картинка по мотивам чудесного мультфильма «Сундук»

И поцелуйчик означает девиз этого проекта —
K.I.S.S. — keep it simple, stupid!
Добавить в избранное
+104 +138
свернутьразвернуть
Комментарии (428)
RSS
+
avatar
+16
  • wasaa2
  • 20 мая 2026, 13:00
Всем доброго времени суток.
Я давно использую блокнот с номерами телефонов и соответственно записываю в конце пароли.
Телефоны и компьютеры (особенно какие щас SSD) могут в не нужный момент не включиться. Вот тогда очень обидно будет.
+
avatar
+27
+
avatar
+20
  • katran
  • 20 мая 2026, 14:02
— создать новый пароль
— такой пароль уже есть
+
avatar
+60
классика же: Розовые розы
Дополнительная информация
+
avatar
0
12345 — вполне вариант!..
+
avatar
+56
  • DVANru
  • 20 мая 2026, 14:31
+
avatar
+32
  • n00b1k
  • 20 мая 2026, 17:26
Эта картинка буквально описывает работу сервисов Яндекса
+
avatar
-4
  • djdff
  • 21 мая 2026, 08:18
яндекс отдыхает в сравнении с касперским
+
avatar
0
Касперский — шифруется… )
+
avatar
+7
Легко! Новый пароль совпадает с предпоследним, запрещено использовать последние N паролей.
+
avatar
+29
  • demonk
  • 20 мая 2026, 16:27
Китайцы взломали сервер Пентагона, вот как это было:
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун»
3. На 74357181-й попытке каждого второго — сервер согласился, что у него пароль «Мао Цзедун»
+
avatar
+5
  • yup2
  • 20 мая 2026, 17:36
сервер согласился, что у него пароль «Мао Цзедун»
Хотя настоящий пароль был «Цзян Цин»
+
avatar
0
использую старые номера стационарных! телефонов и свои ник мейлы и то забываю… хорошо если браузер запомнит! и да входы через другие акки… но постоянно по смс и почте восстанавливаю и меняю на них же !!))))) на бонге мой ник Yurannnn))))))+1n
+
avatar
+2
Я как то использовал госномера своих бывших и нынешних автомобилей, записывал подсказку в виде модели авто: смотришь подсказку — модель такая, значит пароль такой то.
Но тоже не грааль — некоторые пароли/номера утекли/скомпрометированы, иногда использовал другие пароли в виде домашних или рабочих адресов и начинаешь путаться какой пароль использовал: автомобильный или адресный.
А ведь как бывает: входишь долгое время автоматом на ресурс, забываешь уже пароль, а потом рраз, и браузер вдруг тоже «забывает» твой пароль и начинаются танцы с бубном — «Вспомни пароль»!!!
+
avatar
+3
  • SEM
  • 21 мая 2026, 10:32
Я регистрировался давно на одном сайте, нужен был e-mail, известные бесплатные почтовики не принимались, палить «железный» рабочий или домашний не хотелось. Нарыл сайт радиостанции в мелком городке в глубинке в США, там можно было зарегистрировать себе ящик (в те времена это было модно). Зарегистрировался на сайте с этим e-mail, пароль не записал. Через год сдох винт на компе, на сайте нажал «восстановление пароля», а радиостанция закрылась (её съела более крупная), сайт с почтовым ящиком очищен…
+
avatar
0
да фигли далеко ходить — сейчас вон на некоторых сайтах даже не для восстановления пароля, а просто банально для смены имейла — нужен доступ к этому старому имейлу. интересно, им не приходило в голову, что такая смена мейла требуется из-за того что тот мейл недоступен? ;)
у нас вон тутбаевские мейлы прикрыли (сейчас вроде опять заработало, но не факт что надолго) — а наверно у половины белорусских пользователей были мейлы именно там. благо как-то еще работало на отправку писем, то можно было запрос со старого мейла отправить чтобы на новый перевести…
+
avatar
+1
им не приходило в голову, что такая смена мейла требуется из-за того что тот мейл недоступен?
Так работает двухфакторная аутентификация, иначе вообще её смысл теряется.
+
avatar
+4
  • yup2
  • 21 мая 2026, 12:27
им не приходило в голову, что такая смена мейла требуется из-за того что тот мейл недоступен? ;)
Я однажды описывал тут, как в такой ситуации менял адрес e-mail на aliexpress.com.

Их обычная процедура смены адреса высылает на старый адрес письмо со ссылкой, по которой надо перейти, чтобы подтвердить смену адреса. Но очень хорошо покопавшись в дебрях сайта я нашёл кнопку для запуска процедуры смены адреса, когда старый недоступен. Процедура оказалось сложной и многошаговой. На странице последнего шага было написано: «Мы отправили письмо на ваш старый адрес. Для активации нового адреса перейдите по содержащейся в том письме ссылке.» :-0
+
avatar
0
Был когда-то почтовый сервис Pochta.ru. Но в один не очень прекрасный день этот домен был выкуплен Почтой России, и всё, адреса [email protected] больше нет.
+
avatar
0
  • Evger
  • 21 мая 2026, 15:09
.хорошо если браузер запомнит!
Хороший план, надёжный, как швейцарские часы..(арказм
+
avatar
+21
Ардуинка нужна только что бы пароль сам вставился в поле?
Обычная флешка с текстовым файлом будет гораздо проще :)
+
avatar
0
  • Nuts_
  • 20 мая 2026, 14:40
хацкерам гораздо проще получить доступ к этой флешке т.к. она вставлена в комп который торчит в интернете
+
avatar
+21
  • Harli
  • 20 мая 2026, 15:06
Соц.технологам гораздо проще увести пару лямов, чем искать доступ к какой-то там флешке еще неизвестно с каким профитом
+
avatar
+7
Хацкеры точно так же могут получить доступ к CSV файлу во время его редактирования на компе, так что описанное устройство — это в первую очередь про удобство, а не про безопасность.
+
avatar
+3
  • Alax
  • 20 мая 2026, 16:35
Вы смеетесь, а я как-то доменную политику безопасности угробил из-за тупой сотрудницы, которая знала только «123456»
Пришлось сервак переустанавливать, когда она уволилась.
+
avatar
+10
А надо было ей поставить «Password not required» и входила бы совсем без пароля.
+
avatar
0
  • Fobian
  • 21 мая 2026, 08:30
Не проще ли было дать ей смарт-карту с этим паролем и указать для её учётки чтобы она входила по смарт-карте?
+
avatar
+10
  • kvolk
  • 21 мая 2026, 09:47
Мне кажется что дело не в сотруднице.
+
avatar
+5
Автор поста про KeePass похоже не в курсе…
+
avatar
-2
И про Bitwarden :)
+
avatar
-1
В качестве софтверного хранилища я использую Oubliette и это меня устраивает.
Аффтар комментария НеизвестныйПользователь похоже не в курсе что я сделал хардверное хранилище паролей которое имеет совершенно другой функционал.
+
avatar
+26
  • mrStep
  • 20 мая 2026, 13:18
sd карта как-то бекапится?
А то будет обидно в один момент получить нечитаемую карту
+
avatar
+9
нужно пароль на бэкап)
+
avatar
+3
  • Harli
  • 20 мая 2026, 15:06
… на другой флешке
+
avatar
+2
  • Suhoff
  • 21 мая 2026, 00:18
На другой ардуинке. И синхронизацию между ними по кабелю.
+
avatar
+5
И когда дешевая SD-карта начнет сыпаться, то главное обновить бэкап-файл что б и его тоже убить :)
+
avatar
+13
Только все те же нерешаемые проблемы остаются.
Возможность утери устройства, возможность повреждения памяти устройства, необходимость носить с собой если есть необходимость логиниться вне дома.
Когда уже хотя бы в смартах все эти книгоморды, контакты, почты сделают хотя бы опционально возможность заменить пароль отпечатком пальца?
+
avatar
+6
  • aliex
  • 20 мая 2026, 13:38
passkey на каждом первом уже вроде

А так — от задач отталкиваться надо. Кому-то надо логинаться вне дома, кому-то — нет…
+
avatar
-1
прямых работающих реализаций примерно 5%.
пейсобук, алиэкспресс, постограм — да конечно, у нас есть паскеи, но пук среньк, праизашла ашипка!
+
avatar
+24
Мой коллега, заснувший подвыпившим в такси, больше нигде не использует отпечаток пальца, если есть возможность заменить его паролем. Таксист разблокировал смартфон пальцем спящего пассажира, а потом и банковские приложения, какие нашел в телефоне, сколько смог — перевел денег, потом зачем-то поменял в разных сервисах пароли. В полицию коллега, проспавшись, обратился, но чем дело закончилось — я не интересовался, обсуждение этой темы у него восторга не вызывало…
+
avatar
+8
+
avatar
+1
  • serdio
  • 20 мая 2026, 16:59
та же тема если полиция задержит. отпечатки и разблокировка по фейсу могут испортить карму
+
avatar
+11
  • GeodeZ
  • 20 мая 2026, 21:52
У них есть 1001 способ заставить вас сказать пароль ;-]
+
avatar
+2
  • katran
  • 20 мая 2026, 22:04
Для этого в телефонах (на многих) есть «второе пространство»
второй профиль
набирай пароль от него
Дополнительная информация
+
avatar
0
  • dNix
  • 27 мая 2026, 04:17
Если хозяин смартфона в сознании (а не спит пьяный в такси), ему достаточно выключить телефон или несколько раз приложить не тот палец. После этого биометрия не работает.
+
avatar
+5
  • n00b1k
  • 20 мая 2026, 17:29
Мой коллега, заснувший подвыпившим в такси, больше нигде не использует отпечаток пальца,
Правильно, всё лучше чем бросать пить до поросячего визга
+
avatar
+12
Ну пить ему дальше или нет — это ему самому решать, я ему не мама с папой и не жена с детьми. Но то, что распознавание лица и отпечаток нельзя использовать как единственное средство аутентификации — он на своем личном опыте уяснил навсегда, и детей научит, когда подрастут)). Опять же заменяем «выпил и уснул» на «потерял сознание» от жары/духоты/сердечного приступа/инсульта (не дай Бог, конечно), и видим, что ничего не меняется — снова телефоном и счетами беспомощного человека может воспользоваться любой недобросовестный прохожий.
+
avatar
+4
  • Harli
  • 21 мая 2026, 08:51
Распознавание лица работает с закрытыми глазами? Ну и поднимать себе тяжкую статью, по которой невозможно примирение сторон, решится далеко не каждый недобросовестный.
+
avatar
+2
У нас сотрудник умер от клофелина с водкой, таксист его угостил, а сердце не выдержало. Поддатый был, потерял бдительность. После этого когда таксист предлагает мне конфетку, то меня всего передёргивает.
Казалось бы тяжкая статья, а вот не останавливает.
+
avatar
+1
Каждый такой считает «ну я ж не лох какой, меня не поймают». И таких миллионы.
+
avatar
+3
  • kvarkk
  • 20 мая 2026, 17:42
Можно просто не пить).
+
avatar
+12
А он и не пил, и это был вовсе не коллега, и заснул он вовсе не у таксиста :))
+
avatar
+1
  • Harli
  • 21 мая 2026, 08:54
И лишился он совсем не средств…
Получатся, что единственная правда в рассказе то, что воспользовались пьяным
+
avatar
-1
  • Evger
  • 21 мая 2026, 15:15
И надругались о_0
+
avatar
-1
Сначала настрадалось тело, а затем — душа
+
avatar
+7
Банковские приложения лучше блокировать только кодом/паролем. Удобство использования отпечатка тут точно не перевешивает возможный урон
+
avatar
0
  • SEM
  • 20 мая 2026, 18:51
Банковские приложения лучше блокировать только кодом/паролем
Банковские приложения лучше вообще не ставить. Как и приложения магазинов.
+
avatar
+1
  • aliex
  • 20 мая 2026, 19:53
С чего бы?
+
avatar
0
  • jenya
  • 21 мая 2026, 00:20
Квн не любят
+
avatar
+6
Квн не любят
В нормальном квне есть возможность указать какому приложению можно ходить через квн, а какому нет.
+
avatar
+2
Happ нормальный? У меня не получилось. Некоторые приложения настроенные в обход, всё равно видят, что он запущен и ругаются.
+
avatar
0
  • Ser_Go
  • 24 мая 2026, 11:52
У меня видят, иногда пытаются даже ругаться, но все равно работают, КВН им показывает, в какую норку им следует сдриснуть. Много зависит от настроек профиля в этом самом КВН.
+
avatar
0
  • Harli
  • 21 мая 2026, 08:58
Но это никак не спасает от флажка в самой системе и некоторые приложения видят, что используется квн, даже при настройке их обхода приложением
+
avatar
+2
Время сейчас такое, полностью универсального средства нет. Приложуха в принципе может, например, и просканировать установленные приложения и найти даже не запущенный квн. Проблема даже не в том что приложуха видит квн и не запускается, а в том что она может сливать куда надо данные по найденному квну.
Я в общем не злоупотребляю квном, просто так не запускаю. На телеграмм прокси, если что надо Российскими приложухами делать, то стараюсь это не при включенном квне.
+
avatar
0
  • jenya
  • 21 мая 2026, 18:15
Погугли приложение — rknhardering, поставь и посмотри подробно что оно думает о твоём квн
+
avatar
0
  • aliex
  • 21 мая 2026, 00:54
А, то ваше местное, понял
+
avatar
0
Сбер/Тинь/ДомРФ — пофиг на КВН, работает без проблем. ДомРФ только плашку показывает о том, что КВН «может» мешать работе…
А вот Яндекс.Погода отказывается работать через КВН, беда-бедой…
+
avatar
0
  • Ser_Go
  • 24 мая 2026, 11:59
+
avatar
-1
  • SEM
  • 21 мая 2026, 10:48
С чего бы?
«Можно, а зачем?»
Какие задачи требуют постоянного теребления ЛК банка?
Ежедневно пользуюсь картой и наличкой. 2-3 раза в месяц оплатить счета, перетасовать депозиты или пополнить нужной суммой WB/O3 — достаточно web-кабинета со стационарного компа (в браузере в режиме «инкогнито» для очистки всего временного после выхода из ЛК).
К потребителям «лавандового рафа на кокосовом молоке», считающим что достаточно смартфона для всех финансовых операций, не отношусь.
Современные блокировки только усилили убеждение что я, как всегда, прав.
+
avatar
+7
  • Landed
  • 21 мая 2026, 11:40
Конечно же свои сценарии использования нужно распространять на всех. Неужели же кто-то может действовать иначе? Да нет, не может быть!
+
avatar
-3
  • SEM
  • 21 мая 2026, 12:25
Конечно же свои сценарии использования нужно распространять на всех.
«Всех» — это придумали Вы, т.е. спорите и «сарказмируете» с собой.
Успехов. Можете даже подраться.
+
avatar
0
  • aliex
  • 21 мая 2026, 12:35
У кого как.
1) У меня 90% покупок — через интернет, и половина из них — переводом на карту или оплатой на расчётный счёт. А там, где оплата картой — много для чего отдельная карта, денежку на которую перебрасываю с основной (например, чтобы, воспользовавшись очередным бесплатным пробником Amazon Prime и забыв отказаться от продления, не платить за него). Естественно, немалая доля этих покупок делается, когда я не только не за компом, нои вообще не дома
2) Приложение — это возможность быстро посмотреть, сколько на счетах осталось денег.

И не «смартфона достаточно», а «иногда веб-приложения достаточно». Потому что у банков приложения сейчас развиваются на порядок активнее, чем веб-кабинеты. А сам шоппинг — уогда в приложении удобнее, когда на сайте. Допустим, у местного продуктового приложение даёт больше вариантов оплаты, чем сайт, и я этим пользуюсь (и да, я большую часть продуктов покупаю с доставкой, благо бесплатная).
Зачем для покупок режим «инкогнито» — вопрос отдельный. Чего пугаться на собственной железке?
+
avatar
0
  • Evger
  • 21 мая 2026, 15:25
Счастливый человек.Есть *собственная железка".А я по-старинке, гуглоандроидом пользуюсь, и какой фортель он выкинет завтра — ХЗ.
Наверное и собственные деньги есть в собственном банке )
+
avatar
0
  • aliex
  • 21 мая 2026, 15:45
Если перечитаете — режим инкогнито упоминался контексте компа, но на телефоне тоже можно тот же GrapheneOS поставить.
+
avatar
-1
  • SEM
  • 21 мая 2026, 16:09
Зачем для покупок режим «инкогнито» — вопрос отдельный. Чего пугаться на собственной железке?
Мне не нужны временные файлы браузера после просмотра магазина или банка. Если сайту банка или магазина они нужны — пусть хранят их у себя.
При современных скоростях доступа и динамического содержания сайтов ускорение открытия станиц за счёт сохранённых вчера файлов незаметно, а значит их хранение лишено смысла.
Отслеживание где я был и что смотрел чтобы другой сайт подсовывал мне соответствующую рекламу мне тоже не нужно.
И кто его знает что сайт пытается хранить на моём компе, м.б. хэши паролей…
А так вкладку закрыл — всё почистилось (теоретически).
В «обычном» режиме хожу, например, на этот сайт. Лень каждый раз логиниться, а угон пароля не лишит меня честно награбленных миллионов.
+
avatar
0
  • aliex
  • 21 мая 2026, 16:20
Если есть блокировщик рекламы (UBO тот же) — то он и так побьёт абсолютное большинство скриптов слежки. Хотя именно в случае банка я не понимаю, что и от кого защищаем. Банк рекламу показывает? Или что какой-то сайт не поленится выковырять, что вы клиент конкретного банка?

Собственно, я смотрю ваши комментарии и в целом не понимаю, от каких угроз вы пытаетесь защититься.
+
avatar
-1
  • SEM
  • 21 мая 2026, 20:07
Собственно, я смотрю ваши комментарии и в целом не понимаю, от каких угроз вы пытаетесь защититься.
От всякого Г во временных файлах браузера.
Реальные случаи:
1. Искал картинку в кэше браузера, увидел там несколько ехе-шников.
2. На работе специально нанятые сторонние тестеры (пущенные легально в домен) вытянули с компов все хэши паролей и на простом ноутбуке по словарю наломали их сотни. В том числе и мой. Не к сайтам, а к RDP-сессиям, но не думаю что сохранённые пароли сайтов хранятся надёжнее.

Ну и не столько от слежки и ломки, сколько простое негодование «какого ляда вы пишете на мой диск свои хотелки». Это как если бы, например, вы зашли в «Пятёрочку», потупили перед полками с макаронами, а сотрудник магазина записал на бумажку «смотрел макароны» и засунул бумажку в ваш внутренний карман, чтобы в «Магните» тамошний сотрудник мог полезть в ваш карман, достать бумажку, прочитать и начать вас подталкивать к полке с макаронами. Нравится?
+
avatar
0
  • jenya
  • 22 мая 2026, 10:05
Сейчас почти все приложения это фактически если на сайте функционал не весь — это умышленно сделано на сайте.
+
avatar
0
  • aliex
  • 22 мая 2026, 12:15
Из двух самых распространенных украинских банков у одного (приватбанк) сайт делается абсолютно отдельно от приложения и, собственно, там что-то активно развивается только для бизнес-кабинета, а для частников все апдейты — в приложении. У второго (монобанк) сайта нет вообще, собственно вся их суть — виртуальный банк, живущий в приложении.

Ну и в любом случае — смысл для интернет-покупок быть привязанным к компу?
+
avatar
0
  • demonk
  • 22 мая 2026, 13:48
В российских банках такое раньше тоже наблюдалось, но с 22 года они все подтянули веб кабинет до уровня приложения, с полным набором функций. Видать на случай отвала приложений яблоком и гуглом. Раньше нет-нет да требовалось запускать приложуху, а теперь она не нужна.
И на сайт можно и с телефона ходить, не забивая его громоздкими спамогенераторами.
+
avatar
0
  • aliex
  • 22 мая 2026, 14:19
Приложение, в отличие от сайта, запускается мгновенно (да, я не парюсь гипотетическими сценариями «украдут телефон», была бы возможность — вообще блокировку бы убрал, а так — палец). Сайт, как водится, пока загрузится…
Приложение даёт возможность нормально подтвердить покупку картой в интернете — никаких вводов кода, внятно написанное сообщение о том, у кого и за сколько покупаем.
Ну и насчёт спамогенераторов — банки, наверное, самые мирные в этом плане, а уж по сравнению с мессенджером — так вообще всё остальное блекнет.

И ещё один важный плюс — приложение можно заморозить на той версии, которая тебе нравится. Банки свои API ломают крайне редко и неохотно, так что если в новой версии что-то начудили с интферфейсом — можно годами на старом сидеть. Я в своё время с год на обновлялся пока приватбанк с UI экспериментировал.
+
avatar
+2
  • demonk
  • 22 мая 2026, 14:46
Да как бы молниеносности от банка и не требуется, пара секунд на открытие в браузере норм.
И где-то видел картинки приложений разных банков — у иностранных прямо голый функционал, хотя местами и убогий, а российские все дружно рехнулись на спаме, видать поколение эффективных маркетолухов в штат забралось. И моргающие баннеры везде, и всплывающие окна, и постоянно лезущие пуши. Но терпение у меня лопнуло до сноса приложений, когда приехал из отпуска и полез глянуть историю операций сколько за что-то заплатил. А там несколько страниц «операций» за все дни, когда я в тайге был. Чуть не поседел. Вчитался — а это не операции, а реклама кредитов и услуг банка, но выполненная полностью в стиле списаний с карты, так что от настоящих операций сходу не отличишь, и забившая весь список. Нельзя же так над клиентами издеваться, даже банк сменил.
+
avatar
0
  • aliex
  • 22 мая 2026, 15:01
Понял, это, конечно, совсем дичь. Такого никогда не видел, а банковское приложение для меня — это ж основной кошелёк. От «займи три копейки» до «скинуть донат на лечение обгоревшего кота». Чаевые — часто тоже переводом. В общем, я бы сказал, что 50 на 50 нормальных оплат картой и переводов.

А отркываться будет не пару секунд, как минимум, потому что сначала захочет пароль, потом 2FA — хорошо, если не СМС, которые тупить умеют и хорошо, если не звонок… Оно мне надо — железяку ждать?
+
avatar
+4
  • SEM
  • 22 мая 2026, 13:53
смысл для интернет-покупок быть привязанным к компу?
Посмотреть товар, отложить ссылку. Выдержать некоторое время, подумать надо ли это. Почитать отзывы. Поискать на других сайтах. И, наконец, купить.
Приложения для того и делают (и навязывают небольшими скидками), чтобы было удобно делать импульсные покупки.
+
avatar
0
  • aliex
  • 22 мая 2026, 14:11
Это всё прекрасно делается и в телефоне, просто за столом сидеть не нужно и можно, скажем, в компании по ходу обсуждения очередных шашлыков на ходу решить, что пора обновить мангал, тут же его найти и заказать.
+
avatar
0
а вот нефиг в компании в телефонах тупить. собрались — общайтесь, бухайте, короч занимайтесь тем ради чего собирались. а в телефоне можно и дома посидеть
+
avatar
0
  • aliex
  • 22 мая 2026, 23:32
Есть разница между «тупить в телефонах» и «договориться, выбрать и купить что нужно» (и заодно остальные сходу купившему свои доли скинули)
+
avatar
-3
  • Harli
  • 21 мая 2026, 12:55
Ага, потребители лапши с ушей обычно недолюбливают потребителей рафа, есть такое.
Надеюсь, что Ваш стационарный комп подключен к интернету исключительно экранированным кабелем и никаких беспроводных интерфейсов не использует. И еще, после выхода из ЛК лучше переустанавливать систему на новый диск, а предыдущий подвергать полному форматированию… а то кто знает, что там остается…
+
avatar
+5
  • SEM
  • 21 мая 2026, 15:08
Надеюсь, что Ваш стационарный комп подключен к интернету исключительно экранированным кабелем и никаких беспроводных интерфейсов не использует.
Естественно. Он же стационарный, зачем ему беспроводное подключение?
Андроидная приставка к телевизору тоже проводом.
Я же не потребитель «лавандовго рафа» в шортах и кроксах.
+
avatar
0
  • jenya
  • 21 мая 2026, 00:22
Поставить chrome beta и в ней установка web приложений…
+
avatar
0
Ярлык на сайт WB сохранился из Edge в виде web-приложения. А ссылка на Озон — сохранилась просто как ссылка. Android
+
avatar
0
  • jenya
  • 21 мая 2026, 19:49
Ozon не умеет в сайты как приложение, там не сложно… главное, то другой браузер и никакого доступа к системе.
+
avatar
0
  • jenya
  • 22 мая 2026, 10:06
Там кажется нужно добавить 1 файл с манифестом… короче зачем то специально не делают
+
avatar
0
  • Harli
  • 21 мая 2026, 08:57
… в все действия совершать только через офлайн отделения/ магазины…
Если уж маразматить, то по полной…
+
avatar
0
И оплата только наличкой. Карты пластиковые разрезать ножницами, потом сжечь, а пепел развеять на большом пространстве.
+
avatar
+1
и вместо госуслуг ходить только ножками в МФЦ…
+
avatar
+1
  • yup2
  • 21 мая 2026, 13:21
Если в МФЦ человеку вместо запрошенного им документа выдают другой (или выдают нужный, но без подписи/печати), он может пойти и пожаловаться руководству заведения.
А когда то же самое делает сайт Госуслуг (а такая ошибка там есть) — куда жаловаться?
+
avatar
+1
  • Harli
  • 21 мая 2026, 16:10
Начальнику интернета, конечно!
+
avatar
+2
  • SEM
  • 21 мая 2026, 15:10
и вместо госуслуг ходить только ножками в МФЦ…
Если «госуслуги» заявят мне что заблокировались и разблокировать можно либо в Макс, либо в МФЦ — я пойду в МФЦ.
+
avatar
0
  • demonk
  • 21 мая 2026, 18:45
Трудно придется. Уже несколько раз встречал отзывы, что пошли в МФЦ разблокировать Госуслуги, а там сотрудник говорит «давайте ваш телефон, сейчас установим Макс и всё получится». А если не хочешь устанавливать — то надо пару часов скандалить и вызывать начальника, тогда сделают без Макса. Похоже сотрудники получили установку и их наказывают, если дают обойти установку чудо-мессенджера.
+
avatar
+4
  • SEM
  • 21 мая 2026, 20:10
А если не хочешь устанавливать — то надо пару часов скандалить и вызывать начальника, тогда сделают без Макса
Чего там скандалить, «пошлите меня письменно», видеозапись отказа с вежливым тихим обещанием пожаловаться в прокуратуру.
Мягкий вариант — достать кнопочник, «ставь». У меня есть пара старых, вполне живых если зарядить. Да там и не нужен живой…
+
avatar
+7
  • Lenprg
  • 21 мая 2026, 23:23
Из кармана извлекается кнопочная Нокиа, отдается, «ставьте». Очень отрезвляет любителей поделия под названием «Макс».
+
avatar
0
  • simsun
  • 25 мая 2026, 15:19
то надо пару часов скандалить и вызывать начальника
да «я тоже читал» :) но там быстро решилось когда юзер запросил письменный отказ…
+
avatar
+2
  • Evger
  • 21 мая 2026, 15:19
Люто плюсую.Для этого есть ББ, или если нет денег — онлайн банк через браузер БЕЗ ЗАПОМИНАНИЯ им пароля.
+
avatar
0
  • SEM
  • 21 мая 2026, 16:13
БЕЗ ЗАПОМИНАНИЯ им пароля.
Мегафон, кстати, для борьбы с такими умными, на своей странице входа ставит пустое место для галочки «Не запоминать меня», т.е. действие галочки ровно наоборот и её нужно ставить…
+
avatar
+3
  • demonk
  • 21 мая 2026, 19:01
Хехе, тоже снес все банковские приложения и пользуюсь веб ЛК.
Потому что приложухи совсем оборзели и каждому по 1.5Гб флеша подавай который не резиновый, плюс спама в каждом по самые помидоры — и в самом приложении и пушами шлют. Поганый сбер даже историю операций по карте спамом набил. А в вебе спама нет, расход памяти — 0 байт.
И веб внезапно безопаснее — пароль + смс на другой телефон это настоящая двухфакторка. А в приложении какая-то идиотина придумала вход через пин из нескольких цифр, видимо для тех кто туда поминутно заглядывает. Зато жулик подсмотрел ввод пина в метро, выдернул телефон из рук — и все деньги его.
+
avatar
-1
  • demonk
  • 21 мая 2026, 19:19
Код тупо подсматривается через плечо. Так что еще неизвестно, что опаснее — приложат палец бессознательного тела или тиснут у него телефон и спокойно введут легко узнаваемый пин.
Хочется двухфакторки, но всё заточили под ускорение траты денег, а не безопасность.
+
avatar
+4
Уверен, что найдется 1000+1 способ зацепиться за любой способ блокировки. Но пин-код гораздо безопаснее отпечатка пальца, если понимать чего стоит его утечка. Просто не вводить пин на виду
+
avatar
+6
  • VladM
  • 20 мая 2026, 20:30
Мне 75 лет, дактилолинии постерлись, срабатывают через 3 (хорошо если) на 4 раз… :-))
+
avatar
+31
а меня устраивает и KeePass =)
+
avatar
-1
Я в принципе в браузере сохраняю, практически то же самое. Только очень важные пароли от госуслуг, налоговой на буняжке записаны.
+
avatar
+35
  • DVANru
  • 20 мая 2026, 14:33
+
avatar
+3
  • navy20
  • 21 мая 2026, 10:09
Использую KeePass для важной инфы, не обязательно паролей, база через syncthing шарится на телефон, ноут и TrueNas, а для автозаполнения в браузерах — Bitwarden настроенный на свой сервер vaultwarden, удобней сохранения в браузере тем что не зависитт от браузера
+
avatar
+35
  • Latte
  • 20 мая 2026, 14:48
Keepass с поддержкой TOTP, который без мастер-пароля или токена никто не вскроет в обозримом будущем, и который можно размножить куда только можно, ибо не жалко и не страшно.
Юбикей, который делается из rp2350 в формате юсб-ключа за 400 рублей или оригинальный за 3000, принцип работы которого вставил и зашел.
Листок бумаги, который просто так не потеряешь.
Вариантов на вкус и цвет, а вот с авторским опусом даже не знаю. Безопасность 0, надежность 0 (ибо sd-карта), компактность 0, удобства тоже 0 — найди коробулину, найди провод, повозись с крутилкой, потом убери все со стола обратно.
Если кому-то захочется повторить, но нужно как-то поприличнее — есть на али вот такая девборда, все никак не доходят руки заказать и сделать себе мини-эмулятор cd-rom.
+
avatar
+4
  • IN19
  • 20 мая 2026, 19:31
keepass — серьезная и удобная прога, позволяет в качестве ключа использовать не только мастер-пароль, но и файл на флешке. Или оба варианта одновременно. И все серьезные пароли никогда не храню в облаке. А для всякой интернет-фигни достаточно менеджера пароля из браузера.
+
avatar
0
сделать себе мини-эмулятор cd-rom
IODD MINI PRO Отличная штука для этого…
+
avatar
+1
  • Latte
  • 21 мая 2026, 18:13
Ценник тоже отличный (нет). А вообще вопрос задач, мне для запуста тухлых платформ вполне достаточно 12мбит/сек.
+
avatar
+8
я уже 20 лет сижу на keepass) завел его после того, как просрал пароль для вебмани и пришлось его восстанавливать с пересылкой скана паспорта. Теперь keepass на телефоне и на компе, базу еще бэкаплю на рабочий комп раз в месяц. Все устраивает, пароли всегда ссобой в телефоне если вдруг что.
+
avatar
+3
  • aliex
  • 20 мая 2026, 23:01
Я бы сказал, что частенько основной риск (то есть вероятность возникновения умноженная на масштаб полученных проблем — probability x severity) — не от хакеров и воров, которые таки редки, а от того, что потеряешь доступ. Особенно если, как благоразумный человек, не дарил свои данные дяде и информации о себе дал минимум, да и та, скажем так, не совсем корректна. Резервные емейлы имеют свойство иногда меняться (ау, aport2000!), ответы на резервные вопросы — забываться, и так далее.

Я бы ещё добавил, что надо не забывать бэкапить настройки 2FA, кстати.
+
avatar
+3
  • Suhoff
  • 21 мая 2026, 00:26
Мой вариант:
Базы keepass лежат на Гугл диске. На ПК и на ноуте Гугл диск настроен хранить все файлы локально (автоматом получаем 2 копии и их синхронизацию). И на ПК и ноуте в keepass добавлен плагин который сохраняет копию базы на сетевой диск (подключен к роутеру) и на отдельный диск в ПК. Плагин хранит 2 последних копии.
По сути имеем базу всегда под рукой и несколько её копий включая облачную.
+
avatar
0
Тоже пользуюсь KeePass-ом, но у него тоже есть минус — человеческая лень — забыл/поленился обновить актуальные пароли и привет — опять танцы.))
+
avatar
+1
А я завёл KeePass и забыл пароль от базы. Зато пароль там длинный установил, надёжный.
+
avatar
+4
Чтобы не забыть случайно домашний адрес и что где дома лежит (особенно ценные вещи) нужно записать на флешку всю эту информацию и повесить на ключ от квартиры.
Просто держите этот ключ у себя и не теряйте и никому не давайте. Потеряли — ваша проблема.
Л — логика!
+
avatar
+2
Кажется Кащей Бессмертный был айтишником :)
+
avatar
0
  • Harli
  • 21 мая 2026, 09:01
Нет, он скорее был DIY-шником, иначе бы точно имел пару бэкапов иглы.
+
avatar
+15
Только очень важные пароли от госуслуг, налоговой на буняжке записаны
… и приклены на монитор )
+
avatar
+15
По-моему, крайне неудобная и бесполезная штука. Если только в качестве игрушки какой-то смысл во всем этом есть.
+
avatar
0
  • aliex
  • 20 мая 2026, 13:42
Вообще был неплохой вариант — всякие расширения для браузера, которые генерируют хэш их пары «шаблон + урл», если мы защищаемся только от взломов сайтов — этого вполне достаточно.

А так… ну, штука имеет место быть, но всякие fido, которые много где подерживаются и не требуют вручную выбирать урл, а просто просят подтверждение — интереснее. И реализуемы самостоятельно, хоть и с морокой — но как проект на будущее, мне кажется, заслуживает внимания.
+
avatar
+5
  • katran
  • 20 мая 2026, 13:45
Софтверные менеджеры паролей работают по одному принципу — мастер-пароль, под которым открываются все остальные пароли.
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость,
что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.
осталось дело за малым ^_^
1. взломать мозг владельца (узнать логин и пароль от хранилища)
2. обойти защиту при смены устройства (которая не даёт вход даже имея мастер пароль
без подтверждения через (емеел\код фраза\флешка)
И это если ещё не включена двухфакторная идентификация к этому всему
И да система не даёт перебирать пароли ставя на блок по таймеру (проверено и не раз)
p/s
все пароли на серверах шифрованы (если и забрать автономно без всего выше их не открыть)
Дополнительная информация
+
avatar
+25
«Софтверные менеджеры паролей работают по одному принципу — мастер-пароль, под которым открываются все остальные пароли.
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли, крякнули мастер — получили доступ вообще ко всему.»
Начнем с того, что непонятно, что такое «крякнули мастер» — в софтовых файл-менеджерах никаких кряков нет — есть
криптоконтейнер, который шифруется мастер паролем. соответственно либо этот пароль как-то подобрать(если он достаточно сложный, то это очень долго), либо (что как раз маловероятно) изобрести способ дешифрации с очень быстрым подбором.
Если не хочеться часто набирать длиннющий мастер — можно использовать связку мастер пароль + файл-ключ = криптостойкость такой связки увеличивается в разы даже с небольшим паролем.
Для пущщей секурности необходимо добавлять OTP коды, либо FIDO crypto ключи.
При таком подходе криптоконтейнер с паролями можно выложить где угодно, хоть в открытом доступе!
Ну а ваше суровое DYI с plain text паролями — это только просто потешить свое самомнение и только…
Потерял эту вашу коробочку — и потерял все свои аккаунты
Извините, высказал свое мнение.
+
avatar
-3
Это автору надо извиняться, что такую глупость выкладывает на всеобщее обозрение.
+
avatar
+14
это не глупость — это прототип! он тоже имеет место быть! коробулька эта конечно немного сырая версия( по крайней мере выглядит в описании) но есть куда стремиться! А уж опыт, который автор получил в процессе создания — он вообще бесценен!
Автор пытается упорядочить одну из своих проблем. По его мнению это удалось и хотя-бы за это его прям совсем нельзя занижать! Даже в том виде как сейчас это решение на порядок лучше обычного гражданина, который использует один и тот-же пароль везде или пишет его на бумажке один раз и навсегда!
+
avatar
0
Не, ну вы сравнили плохое решение и очень плохое решение.
+
avatar
+5
А если в пароле используется запятая? Как ардуинка будет обрабатывать? До запятой пароль, после запятой — коммент?
+
avatar
+1
да, это единственное исключение для паролей. Поэтому когда огнелис предлагает пароль, я разумеется не вставляю его автоматически, а удаляю запятые, если есть. Это не сложно.
+
avatar
0
  • yup2
  • 20 мая 2026, 20:32
Ну и используйте в качестве разделителя.
+
avatar
+4
  • mrBlue
  • 20 мая 2026, 14:02
После недавних огромных утечек паролей убедился что это не работает,
Раскройте мысль. А то может у вас просто шаблоны так себе?
+
avatar
+8
А что делать, если пароль понадобится НЕ дома (учитывая, что у автора ноутбук, есть подозрение, что компьютер иногда покидает родную гавань)?
Короче, непонятно, в чем удобство, кроме того, что «нажал кнопку — и оно само вставилось». Все остальное в данном концепте заменяет флешка + txt-файл.

Ну и логика
мастер-пароль, под которым открываются все остальные пароли… это в корне неправильно… крякнули мастер — получили доступ вообще ко всему
поэтому
Мой подход: пароли хранить без всякого шифрования
выглядит спорно
+
avatar
0
  • SEM
  • 20 мая 2026, 14:19
А что делать, если пароль понадобится НЕ дома
Есть концепция, но «руки не доходят»…
Пароли записываются в многоразовые RFID-метки, «не дома» считыватель который толкает их в USB прикинувшись клавиатурой.
Пароли хранятся дома на бумажке, записываются в метки подобным устройством на «ардуине» или телефоном с NFC.
«Не дома» метки на кольце, на столе не забывать, носить в сумке в экранируемом чехольчике. Помнить что для PlusPda жёлтый брелок, для Пикабу синий, для домена красный, для 1С/ЦФТ/Диасофт зелёный и т.д.
Это позволит легко пользоваться 30-значными паролями.
+
avatar
+3
Пароли записываются в многоразовые RFID-метки
В этом случае у вас их так легко украдут, что вы даже ничего не узнаете)
+
avatar
0
  • SEM
  • 20 мая 2026, 15:14
«Бохподаст»…
+
avatar
+2
да, «нажал кнопку- оно вставилось» это главное достоинство устройства. Вручную вводить (с флешки ли, с бумажки) пароли из случайных знаков и регистров — то еще удовольствие и к тому же велика вероятность ошибки. И скроллить файл с паролями менее удобно, чем крутить колесико и выбирать с экрана названия аккаунтов. Небольшой, но плюс.
Второе преимущество перед флешкой — установка внешнего USB накопителя может быть заблокирована на корпоративных лаптопах, а внешней USB клавиатуры — нет, не бывает.
Вообще, это замена устройствам типо вот этого:
+
avatar
+2
  • aliex
  • 20 мая 2026, 23:08
Если пофантазировать — то следующим шагом могло бы стать какое-то расширение браузера, которое бы могло подхватить URL страницы и выпнуть его в usb чтобы устройство смогло предложить подходящие для него пароли — а то листать, пожалуй, можно и замучиться. Наверняка что-то подобное есть же, там скорее вопрос в адаптации будет
+
avatar
+2
  • Sanja
  • 21 мая 2026, 18:27
Вы заново придумали велосипед Yubikey
+
avatar
0
  • aliex
  • 21 мая 2026, 21:40
Я о нем прекрасно знаю, разумеется. Тут речь о том, чтобы сделать это своими силами, с понятной прошивкой и своими хотелками.
+
avatar
0
Например:
github.com/makerdiary/nrf52-u2f
habr.com/ru/articles/305594/
и аналог юбикей на изиэлектроникс где-то…
+
avatar
0
  • aliex
  • 26 мая 2026, 14:09
Так это не оно. Первое — FIDO, а речь — о тупой хранилке паролей. FIDO надо ещё чтобы сайты поддерживали.
Второе — более похоже, но там что-то накручено в плане интерфейса и сложности в целом. Опять какие-то ненужные (для конкретного случая) шифрования, работа как middleman, кастомная плата, ввод мастер-пароля каждый раз… В общем, оно для других задач.

А вообще — ну да, много есть всяких вариантов. Но наваять свой — тоже не разу не криминал.
+
avatar
+1
  • aliex
  • 20 мая 2026, 23:22
Поболтал немного с гуглом — оно там чуть ли не левой ногой делается. Composite HID (клавиатура + raw) на стороне МК, расширение, использующее WebHID — в браузере. И на той, и на другой стороне полно похожего. Надо сделать, пожалуй, как чуток мозги разгружу…

Но AI прекрасен, конечно. Я бы всё это и без него выгуглил, но заняло бы хотя бы пару часов, а тут в пять минут уложился.
+
avatar
+1
Вручную вводить (с флешки ли, с бумажки) пароли из случайных знаков и регистров
Зачем вручную [с флешки]? Два щелчка ЛКМ — и пароль выделен

И скроллить файл с паролями менее удобно, чем крутить колесико
Ну, технически, колесо мышки — это то же самое колесико, поэтому я не совсем вижу разницы
+
avatar
0
  • SEM
  • 21 мая 2026, 10:54
«нажал кнопку- оно вставилось» это главное достоинство устройства
Но оно омрачено необходимостью крутить ручку и смотреть на мелкий экран.
Для домашнего пользования и небольшого (10-20) количества паролей была бы удобнее доска с подписанными кнопками.
+
avatar
+1
установка внешнего USB накопителя может быть заблокирована на корпоративных лаптопах, а внешней USB клавиатуры — нет, не бывает
Бывает. Пломбой на разъёме.
+
avatar
0
Товарищ майор, не разглашайте секретную информацию в неофициальном информационном пространстве.
+
avatar
+1
  • yup2
  • 21 мая 2026, 14:44
Чего уж тут секретного? Пломба же видна всем желающим.
А вот чего не видно, так это того, что под (за) пломбой из разъёма контакты выкорчеваны.
+
avatar
0
Бывает. Пломбой на разъёме.
Вы из каменного века?
— групповыми политиками
— корпоративным касперским и др. антивирусы
— вагон специализированного софта
+
avatar
+2
так весь смысл хранителей паролей в их мобильности, чтобы была возможность ими пользоваться в разных местах. А просто на одном компе можно каким-нибудь KeePass пользоваться и не забивать голову.
+
avatar
+9
храню пароли с помощью keepass — одна и та-же база на 2-ух ноутбуках, мобильнике и планшете — синхронизация через внешний сервер. Все мобильно. Что я делаю не так?
+
avatar
0
храню пароли с помощью keepass — одна и та-же база на 2-ух ноутбуках, мобильнике и планшете — синхронизация через внешний сервер. Все мобильно. Что я делаю не так?
да всё так, я также делаю )
+
avatar
+2
Что я делаю не так?
Вы не крутите энкодер :)
+
avatar
+2
  • xNIXx
  • 20 мая 2026, 15:32
Весь смысл паролей, чтобы у вас несколько миллионов рублей не увели. Мобильность — это немного для другого, наверное. Никогда в жизни не работал с банком или биржей не из дома.
+
avatar
+5
Смысл хранителей паролей, чтоб не было соблазна использовать один на всех учетках, чтоб при утечке какой-либо базы, не смогли получить доступ ко всем.
+
avatar
0
  • dkim7
  • 20 мая 2026, 14:13
Как альтернатива можно собрать копию flipper zero на мк stm32wb55. Для него есть приложение менеджер паролей которое работает как по usb так и по bluetooth, плюс есть шифрование.
+
avatar
+4
Понимаю, что раз автор это опубликовал и пользуется полгода, его решение устраивает. Но для большинства непредвзятых пользователей основные описываемые преимущества самоделки сомнительны. Файл с кредами — это очень ценный ресурс, доверять его хранение только ардуинке и флешке — опрометчиво, т.к. флешка может легко выйти из строя, да и к надежности ардуины как хранилища тоже есть вопросы. Дополним это вполне ненулевой вероятностью вывести из строя бутерброд со вставленной флешкой от статики тела, и мы тут же понимаем, что, в любом случае, необходимо иметь бэкап, а лучше и в нескольких местах.

Файл с кредами обновляется весьма регулярно — регистрация на новом сайте, смена пароля на старом, всё это требует своевременного обновления хранимых данных. Значит, файл никто далеко убирать не будет. А если так, то значительно проще будет вытаскивать необходимую информацию из файла, а не из устройства, ведь в файле есть Ctrl-F.

Добавим к этому несколько надуманный, но тоже реальный сценарий — к вам зашел знакомый, вдруг вам понадобилось отойти на минуту, за это время знакомый вставил устройство в телефон и «набрал» ваш пароль в заметках, а вы об этом даже и не узнаете. С файлом будет сложнее — нужно как минимум пароль для расшифровки знать.

А вот какое у вашего устройства есть преимущество, так это аппаратная реализация. То есть, им можно набирать пароли там, где недоступно использование буфера обмена, например, при логине в систему. Это позволяет отказаться от запоминания таких паролей на рабочих машинах, где зверствует ИБ, требуя постоянные смены паролей на новые.
+
avatar
+11
Там, где зверствует ИБ подключение внешних неавторизованных USB устройств запрещено…
+
avatar
0
  • Nuts_
  • 20 мая 2026, 14:42
а оно видиться как клавиатура
+
avatar
+6
  • yup2
  • 20 мая 2026, 16:10
Как USB-клавиатура. А доступных для подключения USB-портов у компьютера может не быть (как техническими мерами, так и административными).
+
avatar
+4
  • SEM
  • 20 мая 2026, 16:27
А доступных для подключения USB-портов у компьютера может не быть
А может и быть. Разве автор претендует на абсолютное решение?
+
avatar
+3
  • yup2
  • 20 мая 2026, 17:47
Смотря кого считать автором. В этой ветке речь пошла о ситуации «подключение внешних неавторизованных USB устройств запрещено». Видите — не USB-накопителей, а любых USB-устройств.

Но переходники для втыкания USB-клавиатур в PS/2 существуют, да и в самом устройстве можно такой вариант подключения реализовать. После чего останется уповать, что в нужных местах запрещено будет только подключение USB-устройств, а не любых вообще.
+
avatar
0
  • Harli
  • 21 мая 2026, 09:21
PS/2? Вы бы еще про com-порт вспомнили…
+
avatar
0
  • yup2
  • 21 мая 2026, 12:57
Я и не забывал. У меня в компьютере он есть и даже используется время от времени. Клавиатур, правда, таких никогда не существовало.
А если в какой-то организации решат, что в целях безопасности запрет на втыкание чего-либо в USB должен поддерживаться не административно, а технически, то компьютер будет с клавиатурой PS/2.
+
avatar
0
  • Harli
  • 21 мая 2026, 13:38
Клавиатур, правда, таких никогда не существовало.
А ITT Courier 1700, например?
+
avatar
0
  • yup2
  • 21 мая 2026, 13:51
Ну, к серьёзным компьютерам по RS-232 не только клавиатуры, но и экраны подключались :-)

Но в наших-то реалиях мы вынуждены пользоваться не ими, а IBM PC-совместимыми игрушками, в которых такое ни разу не предусматривалось (за исключением редких спецплат расширения для многопользовательской работы).
+
avatar
+1
  • CuMr
  • 20 мая 2026, 16:15
не поможет, т.к. блокираторы не только по вид/пид ведут белый список, но и по серийнику.
+
avatar
+2
блокираторы не только по вид/пид ведут белый список, но и по серийнику.
А кто вам мешает в самодельном устройстве передать нужный серийник? Ну, и по серийнику фильтровать — это прямо атомная станция должна быть. В таких местах не стоит задумываться об устройстве, вводящим за вас пароли.
+
avatar
0
Zlock, сволочь…
+
avatar
+2
Каспер, например, просит ввести с новой клавиатуры код.
+
avatar
0
  • yup2
  • 20 мая 2026, 17:52
Устройство может быть реализовано как переходник между компьютером и его родной клавиатурой.

Сканеры штрих-кодов с разъёмами DIN и PS/2 именно так и подключались.
+
avatar
0
Плавали, знаем. И, для того, чтобы ввести пароль, надо лезть под стол, выдёргивать клаву, втыкать переходник (т.е.у вас в кармане коробочка должна быть с длинной верёвочкой), втыкать обратно клаву с шансом, что она не заведется… А если клава — усб? Ну это так, чтобы разговор поддержать :)
+
avatar
0
  • yup2
  • 20 мая 2026, 18:12
А если клава — усб?
Так я и написал, что это устройство можно включать между компом и USB-клавиатурой — и проверка системы безопасности, требующей что-то там вводить, будет успешно преодолена.
А про старые сканеры просто напомнил, чтобы понятнее было, о чём речь, и чтобы показать, что решение вполне реализуемое.

Что же до:
надо лезть под стол, выдёргивать клаву, втыкать переходник (т.е.у вас в кармане коробочка должна быть с длинной верёвочкой)
— так ведь и с описанной в статье реализацией в этом случае и под стол лезть придётся, и коробочку иметь с длинным шнуром.
+
avatar
0
Там есть опция, емнип, можно ли вводить символы с других устройств. Если да — просто вводите с вашей клавиатуры. Если нет, можно устройство научить вводить произвольные символы (там вроде просто цифры).
+
avatar
+1
Не думаю, что подключение клавиатуры много где запрещено. А если даже разрешена одна конкретная модель (VID/PID), с большой вероятностью устройство может представиться ею.
+
avatar
0
  • DVANru
  • 20 мая 2026, 14:35
И, каково Ваше решение?
+
avatar
+3
Парольный менеджер с надежным мастер-паролем.
+
avatar
0
  • SEM
  • 20 мая 2026, 15:18
Значит, файл никто далеко убирать не будет. А если так, то значительно проще будет вытаскивать необходимую информацию из файла, а не из устройства, ведь в файле есть Ctrl-F.
Хранить файл на устройстве, не имеющее подключение к сетям. Например старый комп или NAS с домашними фото. Пусть какеры долбятся сколько хотят.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:07
Отличный план. Надежный как Швейцарские часы. Итак вы видите в файле на отдельном устройстве. Пароль для банка
Jvdfhjkigdcbjjf56844dstvbkhcxdfhnkok$&+)&$#bvxssfgbnkjhv-_$&+()97&!;'xxfcjivbnjgfchgfsscvnkkohfe
ваши дальнейшие действия :)?
Заметьте, вам иногда всё-таки надо его набивать. Скажем ежедневно какой-то из таких паролей. Скажем три раза в день.

Вы сможете с какого раза набить верно хотя бы вот тот пароль что сверху :)?
+
avatar
+3
  • SEM
  • 20 мая 2026, 16:24
Отличный план. Надежный как Швейцарские часы.
Дык. А то ж…

Заметьте, вам иногда всё-таки надо его набивать. Скажем ежедневно какой-то из таких паролей. Скажем три раза в день.
«Учу читать. Дорого.»
Сам обзор читали? Там описывается устройство как раз для автоматического ввода паролей.
Разве что у автора в файле разделитель запятая, которая может быть в пароле. А может и не быть, если пароль «придумывает» сам пользователь.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:31
Старый комп или нас как-то обычно не имеет возможности что-то куда-то вводить…
Зачем вы о них?

ЗЫ. Читал, но бегло. У меня на столе лежит самодельная несколько более функциональная железка, не только пароли набирает куда надо, но и ТОТР показывает итд итп. Я как-бы понимаю что это такое и зачем, какова проблематика.
Компом такое заменять бессмысленно
+
avatar
+1
  • SEM
  • 20 мая 2026, 16:41
Читал, но бегло.
Описываемая самоделка вводит пароли (или другие наборы символов) как клавиатура.
Хранятся эти наборы паролей в ней на micro-SD карте в текстовом файле с разделителем запятая.
Нужно где-то этот файл на флешке редактировать и м.б. хранить копию, если лень переписать на листочек и хранить листочек.
Если этот файл редактировать (и хранить) на устройстве без выхода в сети — никакие хакеры до него не доберутся, даже монгольские.
Девайс нужен для дома, чтобы не запоминать пароли, не вбивать их каждый раз пальцами и не копипастить их из файла на том же компе, с которого идёте в Интернет.
+
avatar
0
  • aliex
  • 20 мая 2026, 16:43
Тоже недочитали :-)
Пароли хранятся во встроенной памяти, на карте только приносят обновления
+
avatar
+1
  • SEM
  • 20 мая 2026, 16:53
Пароли хранятся во встроенной памяти, на карте только приносят обновления
Хрен редьки не толще. Суть одна — не набивать пароль каждый раз пальцами и не копипастить его из файлика, который коварные кулхацкеры могут украсть.
Решает задачу? Да.
Удобнее? Да.
Ухудшает компьютерную безопасность? По сравнению с копипастой из файлика — нет.
По сравнению с «легко запоминаемыми паролями в голове» безопасность увеличивает, т.к. позволяет легко пользоваться более длинными и рандомными паролями (не имя в другой раскладке + год рождения).
Не является «абсолютным оружием»? Так автор это и не утверждает вроде.
+
avatar
0
  • aliex
  • 20 мая 2026, 17:05
Речь была исключительно о том, кто что недочитал.

А так — я вполне преставляю ситуации, когда это будет рабочим решением.
+
avatar
0
  • aliex
  • 20 мая 2026, 16:42
Понимаете для своего кейса. А у других требования могут быть другими.
+
avatar
0
Если у вас есть лишний ПК, который будет постоянно включен, да, можно и таким вариантом пользоваться. Но вы быстро придете к решению, что это не очень удобно и станете делить пароли на важные и не очень, чтобы последние хранить в менеджере )
+
avatar
0
  • aliex
  • 20 мая 2026, 23:25
del
+
avatar
0
  • SEM
  • 21 мая 2026, 11:03
Если у вас есть лишний ПК, который будет постоянно включен,
Зачем постоянно? Оно нужно только при изменении в паролях или для записи файла на новую карточку взамен сдохшей.
Есть системник с WinXP, что ему делать в Интернете?
И не обязательно это должен быть ПК. У меня старый планшет в Интернет больше не ходит, т.к. не поддерживает WiFi 5ГГц.
Есть более древние наладонники, вполне рабочие, просто морально устарели.
+
avatar
0
Есть более древние наладонники, вполне рабочие, просто морально устарели.
У меня такой валяется разобранный. При подаче питания экран вспыхивает, гаснет и всё.
+
avatar
0
  • SEM
  • 21 мая 2026, 15:13
У меня такой валяется разобранный. При подаче питания экран вспыхивает, гаснет и всё.
Так надо разобрать и обозреть…
Мои «палмы» просто батарею высаживают в ноль, но после зарядки работают. Там, кстати, и прога стоит по генерации паролей, с кучей настроек.
+
avatar
0
Зачем постоянно?
Ну, а как вы себе представляете, понадобился вам новый пароль — вы идете включать старый системник со старым монитором, генерируете пароль, потом подключаете к нему флешку, пишете пароль туда, потом вставляете флешку в устройство, после чего переносите устройство к основному компу? Очевидно же, что неудобно.
И не обязательно это должен быть ПК. У меня старый планшет
А как вы бэкап паролей с такого планшета делать будете?
не поддерживает WiFi 5ГГц.
А что с 2.4 случилось?
+
avatar
0
  • SEM
  • 22 мая 2026, 08:15
вы идете включать старый системник со старым монитором, генерируете пароль,…
Очевидно же, что неудобно.
А кому сейчас легко?
Да и новые пароли мне бывает нужны не каждый год.

А как вы бэкап паролей с такого планшета делать будете?
Этому способу много тысячелетий.

А что с 2.4 случилось?
Не хочу.
+
avatar
+1
  • Mellty
  • 20 мая 2026, 14:23
По-моему это в корне неправильно, мастер-пароль имеет ту же стойкость, что и хранимые под ним пароли
Если в том же кипасе сделать мастер-пароль сложностью в 150 бит, то ты и за 100 лет его не подберешь. Даже при безостановочном переборе по 1 миллиарду попыток в секунду нужно будет около 2.25*10 в 28 степени лет.

Так что считаю вполне неприступным тот же кипас.
+
avatar
+6
  • Phanex
  • 20 мая 2026, 17:31
Опять-таки, мастер-пароль не обязательно должен быть сложным для запоминания, он должен быть сложным для подбора. Так что рулят в качестве мастер-пароля пасс-фразы.
Отличная иллюстрация была у Лукьяненко в Лабиринте Отражений: «сорок тысяч обезьян в *опу сунули банан».
+
avatar
+2
Там еще другая фраза была, которая описывала некоторые противоестественные деяния и заставляла покраснеть не только юных героев… Но Лукьяненко ее постеснялся в книжке печатать.
+
avatar
+1
  • ktibr
  • 20 мая 2026, 14:46
Идеальное устройство, которое я (может быть) буду делать:
Маленький (не больше флешки) размер, чтобы висел на брелке с ключами
Датчик отпечатка для разблокировки
Мини экран и кнопки для выбора пароля
Использовать, как автор — воткнул в порт, выбрал сайт- он набрал пароль поле ввода дну или заполнил логин-пароль)
+
avatar
0
  • Nuts_
  • 20 мая 2026, 15:06
такие вроде есть. а llylgo есть готовая плата с дисплеем размером с флешку
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 15:53
Она по-моему не умеет быть usb устройством. Ну и маленький экран такое себе, лучше побольше. На нем еще ТОТР показывать, и гораздо удобнее когда он десяток-полтора последних показывает…

Пристойного увы почти нету. Неплохой концепт у mooltipass, но они сломались об железо.
+
avatar
+3
я думал добавить в это устройство датчик отпечатка, даже купил этот датчик, но потом после размышлений вспомнил, что принцип проекта — K.I.S.S. и раздумал. Улучшательства здесь возможны до бесконечности, что показывает даже тутошняя «дискуссия».
+
avatar
+2
Терморектальный криптоанализ решает всё, Так что KISS — это правильно.
+
avatar
+5
Использую текстовый файл с изменённым расширением. Запихнул его в один из каталогов (например Win), с кучей других разных файлов. Теперь он всегда под рукой.
+
avatar
+1
Можно ещё в архив с паролем упаковать.
+
avatar
+2
у меня есть один мастер-пасворд которы хранится… в одном из jpg файлов. Оказалось что если добавить текст пароля ближе к концу файла то на изображение это никак не влияет. Тупо в Far открыл файл по F6 и добавил текст. Я думал в jpg есть какой-нибудь CRC код для валидации, оказалось что нету. «Стеганография для бедных».
+
avatar
+1
  • yup2
  • 21 мая 2026, 09:17
Я думал в jpg есть какой-нибудь CRC код для валидации
Теоретически, там предусмотрено нечто подобное. Но эта возможность необязательна, и на практике ею никто не пользуется (как и в MP3).

Зато в .JPG есть штатная возможность хранить текст (поле Comment) или любую другую информацию (блок EXIF).
+
avatar
+15
  • AVL_2
  • 20 мая 2026, 15:00
+
avatar
+3
  • Nuts_
  • 20 мая 2026, 15:05
у меня в хранилке паролей порядка 500 паролей. не то чтобы я их использовал каждый день и вообще использовал, но они есть и возможно даже действуют. колесиком скролить — нереально.
есть такая штуковина pastilda, она втыкается между компом и клавиатурой, логин по вводу на клавиатуре определяется
+
avatar
+2
  • xNIXx
  • 20 мая 2026, 16:00
В ней неустранимый дефект. Рано или поздно нажмешь криво и скормишь мастер-пароль компу.

Я сделал по-другому, фронтенд в виде вебстраницы где ты только выбираешь пароль, а вводит его железка только после подтверждения на ней клавишей (она показывает на своем экране что конкретно будет вводить).
+
avatar
+4
Текстовой файл в запароленном архиве. Хранится у меня везде- телефон, ноутбук, компьютеры. Сам пароль буквы прописные/строчные, цифры, спецсимволы. Да, приходится помнить пароль, но пока удается. В Firefox тоже просто так не посмотреть…
Это на работе на казенном ПК. «Использовать основной пароль»- при каждом запуске браузера надо будет ввести пароль. Дома немного послабже- включено только «Требовать вход на устройстве для заполнения и управления паролями».
+
avatar
+6
  • xNIXx
  • 20 мая 2026, 15:41
Вижу многие не догоняют зачем всё это нужно. А нужно всё это только тогда, когда у тебя есть пароли не только от муськи и форумов, а от банков, биржи, регистраторов доменных имен, корпоративных файрволлов итд итп. Т.е. пароли эти мягко говоря дорогостоящие.
Тогда, имея огромную такую папку с этими паролями человек задает себе вопрос: как я могу автоматизировать их ввод не потеряв в безопасности.
Как я могу сделать безопасность не хуже чем при хранении их на бумаге при любых эдж кейс?
Что будет, если я буду пользоваться файлами с паролями, кейпассами, и прочей фигней, а мой компьютер будет скомпрометирован? Получат ли злоумышленники доступ сразу ко всем моим ресурсам, или только к тем, в которые я залогинюсь пока они контролируют мой компьютер?
Итд итп.
Пока эти вопросы даже в голову не приходят, вы не доросли до таких железок.

***

Автору могу посоветовать посмотреть mooltipass. Но. Первые версии имеют проблему с колесиком. Последние с батареей…

Сам я пошел почти по тому же пути, но мой вариант позволяет дистанционно выбирать пароль, который надо набрать(esp с веб мордой). После этого пользователь может подтвердить ввод механической кнопкой на устройстве и видит для какого ресурса сейчас будет набран пароль.
Если хочется устройство с собой носить, то нет особых проблем привернуть к нему пин. Даже если потеряете, шансов что его быстро вскроют минимум. Разумеется пароли в этом случае лучше закриптовать посерьезнее, в esp есть все возможности. Я закриптовал несерьезно т к. само устройство лежит в сейфе поверх папки где эти пароли напечатаны на бумаге.
***
Пользуюсь с месяц — довольно удобно оказалось. Ну и бонусом — теперь я могу не по 16 символов использовать, а хоть сколько. Раньше больше 16 было прям напряжно набирать.

ЗЫ. Еще один вариант, который не пробовал — напечатать штрихкоды и вводить их «пистолетом», в целом тоже должно неплохо работать. Но не хотелось их печатать. Это лишний головняк, фиг знает где осядет какая копия заданий для принтера итд итп. Ну и мне нужно было еще и ТОТР, устройство их просто показывает на своем экране, с бумагой так не сделать…
+
avatar
0
Ну я храню от банков в зашифрованном архиве в текстовом файле… Там же и доменные имена и многое другое. Неудобства от использования я думаю не больше чем от сего девайса.
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 15:54
Ну вас устраивает их все сразу потерять, а меня нет. Только и всего.
Потерять == «сообщить злодеям»
+
avatar
+1
Ну вас устраивает их все сразу потерять, а меня нет. Только и всего.
Потерять == «сообщить злодеям»
Ну так их еще расшифровать надо… А в пароле к архиву нефига не только цифры, и совсем не 4 знака. И хранится этот архив в нескольких местах- всё не потерять. Более 20 лет так храню… На телефоне самсунг можно этот архив еще и в защищенную папку кинуть. Но я так не делаю…
А если потерять этот девайс то и корячиться с расшифровкой не надо.
+
avatar
-1
  • SlyBoy
  • 21 мая 2026, 09:24
Сам же и расшифруешь :) когда тебе нужен пароль, твой текстовый файл расшифровывается во временную папку, откуда его очень легко стянуть. Или, если он уже удалён, восстановить удалённый текстовый файл и стянуть все твои драгоценные пароли. Элементарно, Ватсон!
+
avatar
+1
твой текстовый файл расшифровывается во временную папку, откуда его очень легко стянуть. Или, если он уже удалён, восстановить удалённый текстовый файл и стянуть все твои драгоценные пароли
За 20+ лет никаких проблем.
Чтобы стянуть пароли нужен как минимум доступ к моему компьютеру/ноутбуку/телефону. К моим ПК/ноутбуку/телефону есть доступ только у меня. И давайте не будем про то что кто то уже незаметно подключился к моему ПК/ноутбуку/телефону- это безосновательно и так можно до чего угодно договорится.
У меня несколько банковских приложений установлено на телефоне. И что? Меня ограбили, кто то залез и спер мои деньги? Налички не видел уже лет 6. Нет, все норм. Аферисты звонят периодически- посылаю сразу на 3 буквы.
+
avatar
0
  • SlyBoy
  • 21 мая 2026, 09:48
Когда-то я был маленький, лет 20+ тому назад, и тоже хранил пароли в зашифрованном архивет. Но как то раз, обнаружил, что во временной папке валяется много дней незашифрованный текстовый файл. Видимо архиватор был убит некорректно, и не удалил после просмотра временный файл. С тех пор больше не чувствую себя в безопасности.
+
avatar
+1
Сейчас нигде нельзя чувствовать себя в абсолютной безопасности. Но и не надо становится параноиком на почве безопасности.
+
avatar
0
  • SlyBoy
  • 21 мая 2026, 12:28
Совершенно верно. И зачем тогда шифровать любые файлы, если
К моим ПК/ноутбуку/телефону есть доступ только у меня.
?
+
avatar
0
Для повышения секретности.
+
avatar
0
del
+
avatar
+2
  • katran
  • 20 мая 2026, 16:00
Тогда, имея огромную такую папку с этими паролями человек задает себе вопрос: как я могу автоматизировать их ввод не потеряв в безопасности.
Bitwarden
храни где удобно и на сервера и файлах шифрованых
Дополнительная информация
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 16:01
Как помогает защищать пароли при использовании его на взломанном компе :)?
+
avatar
+1
  • katran
  • 20 мая 2026, 16:05
файлы шифрованы если они нужны локально
если через ПО заполнение\авторизация то ничего на пк не сохраняет
также там можно и обычные заметки хранить\передавать с ограничениями и шифрованием
bitwarden.com/help/setup-two-step-login/
p/s
YubiKey -3000р не так дорого если есть что очень ценое чему мало всех способов выше
Дополнительная информация
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:09
Еще раз: вам надо ввести пароль, вы его ввели. Я имею доступ к вашему компьютеру в этот момент. Полный доступ ко всему. К тому что вы набирали, к дискам, к файлам, к всему тому к чему вы имеете доступ «в облаках»

Чем обеспечивается то, что я не смогу взять вашу базу со всеми вашими паролями и использовать только что введенный вами мастер пароль дабы ввести любой из них?
+
avatar
0
  • katran
  • 20 мая 2026, 16:14
как минимум смена устройства \ос для авторизации блокирует доступ
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:21
Так прям с вашего устройства всё и сграббят :).
Лет 20 назад, помнится у кого-то там увели хреналион вебманей. Там тоже была привязка как-бы к железу. Ну вы понимаете, да :)? Эмулировали совершенно всё, все номера матерей, дисков итд итп, всё окружение.
+
avatar
+2
А железка чем лучше в таких обстоятельствах? Она прикидывается клавиатурой. А вы имеете доступ ко всему, что вводилось.
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 16:20
Только к тому, что вводилось.
Разница довольно жирная. Она есть. Ради неё всё и делается.

К тому, что не вводилось доступа нет. Ради этого вся борьба.

То, что вводилось не защитить, если это не ТОТР.

Я ведь прям в первом сообщении написал: надежность не хуже чем у пароля записанного на бумагу…
+
avatar
+5
Ну, положим, перехватить ввод мастер-пароля не так просто. Keepass для его ввода в Windows использует системный механизм на уровне изоляции пользователей (тут надо уточнять). В Макоси есть свои системные ограничения. И в Андроиде. Так что придётся это преодолевать. Это во-первых.
Во-вторых, все чувствительные сервисы (банки, госуслуги и т.д.) должны использовать двухфакторную аутентификацию. А для остальных сервисов использовать такую железку — маразм. У меня, например, в кипассе 400+ записей. И каждый раз при логине нужно будет рыскать по огромному списку колёсиком. Учитывая, что современные сайты имеют дурное свойство быстро разлогинивать, это превратится в кошмар.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:45
Не увидел сразу про YubiKey.
Увы — полу-туфта. У него есть только клавиша, но нет монитора ведь? Таким образом он менее надежен, чем бумажка, вы никогда не сможете быть уверены что он сейчас введет, чтотвы подтверждаете.
Но уже лучше. Тут скорее всего не украсть всех паролей, украсть только столько сколько раз вы нажмете кнопку.

Найдите mooltipass — он то, что нужно :). Но 1. Проблемы с железом. 2. Проблемы с наличием. Поэтому народ рукоблудит
+
avatar
+1
  • Phanex
  • 20 мая 2026, 17:36
Vaultwarden как бэкэнд на самохостинге. У меня крутится на сервере, база бекапится каждый час (только при наличие изменений) и рассылается по нескольким моим облакам зашифрованной. Итого — длинная мастер пассфраза для логина, длинная пассфраза для шифровки архива. В случае чего могу скачать и восстановить.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 18:26
Вы какую-то не ту задачу решаете. Не мою. И не автора топика. Нам условно похрен если пароли пропадут из-за того, что устройство перегорит. В этом нет никакой беды. Есть копии паролей в условно безопасном сейфе. Если этот сейф сломают, пароли уже не помогут.

Лично меня беспокоит тот сценарий при котором я пользуюсь вашим механизмом хранения и при этом мой компьютер скомпрометирован. При использовании вашей системы сможет ли атакующий получить доступ ко всем паролям после того как вы введете, а он получит мастер фразу?
При использовании аппаратного решения не сможетю скомпрометировать можно только набранные после взлома пароли. И на меньшее лично я не согласен. Разница для меня может исчисляться совершенно астрономическими суммами.
+
avatar
0
  • yup2
  • 20 мая 2026, 18:32
А что скажете насчёт варианта, при котором взломщик может украсть весь файл в нешифрованном виде, но в этом файле только пароли, без имён пользователей и адресов сайтов, от которых эти пароли?
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 18:39
Должно быть наоборот. Только адреса сайтов без паролей и логинов.
Подобрать «что-куда» вполне можно. Речь тут о сценарии, когда тебя пасут более или менее целенаправленно. Они будут знать адреса, а логины часто соответствуют мылу или номеру телефона :(.

Вы смотря что закрываете. Логин и пароль к муське у меня запомнен в браузере. Но я не буду загружать в облака пароли к фильтрующим файрволлам крупных организаций. Или скажем к брокеру своему. Я не трус, но я боюсь :)
+
avatar
0
  • yup2
  • 20 мая 2026, 19:03
Только адреса сайтов без паролей и логинов.
А зачем их отдельно писать? Они и так у браузера и в закладках, и в журнале посещений.
Они будут знать адреса, а логины часто соответствуют мылу или номеру телефона :(.
Нередко в таких случаях и подтверждать каждый вход через них требуется (если телефон, то почти всегда).
Но я не буду загружать в облака пароли к фильтрующим файрволлам крупных организаций. Или скажем к брокеру своему.
Насчёт файла со всеми паролями — это такое упрощённое описание ситуации. На самом деле у меня никакого файла нет, а есть своё самописное расширение к браузеру, которое оперирует запомненными наборами с кучей настроек в каждом.

Расширение каждый раз вычисляет пароль к сайту на основе указанного ему вручную набора, URL текущей страницы, каких-то данных с этой страницы (например, имени пользователя) и вводимой в отдельном окошке кодовой фразы.

Можно украсть файл с наборами настроек. Можно украсть имя пользователя, выбор набора настроек и фразу, которые использовались для получения пароля от конкретного сайта. Но и только.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 19:10
Мы тут обсуждаем прибор, который позволяет кодовые фразы относительно безопасно хранить.
Когда есть ключ дальше можно что угодно понавертеть.
Когда он вынужденно короткий или хранится где попало могут быть проблемы.
+
avatar
0
  • yup2
  • 20 мая 2026, 19:17
Мы тут обсуждаем прибор, который позволяет кодовые фразы относительно безопасно хранить.
Но также и возможные чисто программные альтернативы ему.
Когда есть ключ дальше можно что угодно понавертеть.
Какой ключ? В моём варианте нет никакого ключа, единого для всех сайтов и всех паролей.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 19:30
Вы какие-то кодовые фразы вводите. Они и ключ.

Я уже раза три писал. Вся эта суета с железкой нужна в частности для того, чтобы когда ваш комп взломают и вы введете первый пароль атакующие не смогли использовать любой пароль который у вас есть, а могли бы использовать только этот один первый. В ряде случаев это прям ну очень полезно.
Добиться такого же эффекта программно будет затруднительно.
+
avatar
0
  • yup2
  • 20 мая 2026, 19:50
Вы какие-то кодовые фразы вводите. Они и ключ.
Эту фразу я вводил для получения одного конкретного пароля. Вполне может быть, что на том же сайте у меня есть другая учётка и для получения её пароля используется другая фраза.
чтобы когда ваш комп взломают и вы введете первый пароль атакующие не смогли использовать любой пароль который у вас есть, а могли бы использовать только этот один первый.
Вот и я об этом. Обсуждаемая нами сейчас кодовая фраза это не пароль, которым что-то расшифровывается, а всего лишь мелкий кусочек информации, перемешиваемый вычисляющей формулой с кучей других равноправных ему таких же мелких кусочков. Поэтому подсмотреть данную фразу это ровно то же самое, что подсмотреть пароль, который с её помощью получен, — но не более того.
Добиться такого же эффекта программно будет затруднительно.
А в той внешней коробочке, о которой Вы писали, редактирование имеющихся паролей предусмотрено?
+
avatar
0
  • xNIXx
  • 20 мая 2026, 19:55
Если вы дадите мне полный доступ к вашему компьютеру, а потом при мне куда-то залогинитесь, смогу ли я залогиниться куда-то еще? Пользуясь совершенно всем что у вас на компьютере есть совершенно свободно?

Ясно, что туда же я смогу т.к. воспользуюсь только что введённым вами или вашим расширением паролем. Есть что-то, что остановит меня от того, чтобы залогиниться в другие места, где вы при мне не были?
+
avatar
+1
  • yup2
  • 20 мая 2026, 20:09
Есть что-то, что остановит меня от того, чтобы залогиниться в другие места, где вы при мне не были?
Расширение является генератором паролей, но оно их нигде не хранит. Каждый раз, когда пароль нужен, он вычисляется заново. Часть нужной для вычисления информации берётся из файла настроек, часть — с той веб-странички, куда пароль нужно ввести, а часть каждый раз вводится пользователем руками.

Пользователь может так задать настройки в файле, что по ним можно будет догадаться, для каких сайтов они подходят, но может и сделать их полностью безликими.

Пользователь может для всех мест вводить одну и ту же фразу, а может для каждого использовать какую-то уникальную и непредсказуемую.

Так что всё в его руках.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 20:17
Почему пользователь каждый раз не вводит просто пароль? Какой смысл что-то вычислять?
+
avatar
0
  • yup2
  • 20 мая 2026, 20:30
Почему пользователь каждый раз не вводит просто пароль?
Пароль от сайта?

Ещё раз: вводимая фраза это всего лишь часть той информации, которая используется при вычислении пароля. При этом с помощью сколь угодно простой и короткой фразы можно создавать сколь угодно сложный и длинный пароль.
Какой смысл что-то вычислять?
Чтобы не хранить пароли нигде.

Вы в курсе, что в основе идеи CVV/CVC-кодов (пока «для удобства пользователей» их не испоганили вплоть до полного обессмысливания) лежало то же самое: эти коды нигде не должны храниться, даже на серверах банков, и поэтому их невозможно будет украсть при утечках баз данных?
+
avatar
0
  • xNIXx
  • 20 мая 2026, 20:33
Вы доя каждого сайта используете один свой специальный код(вводимую фразу), да?

Как их запоминать и хранить :)?
+
avatar
0
  • yup2
  • 20 мая 2026, 20:38
Вы доя каждого сайта используете один свой специальный код(вводимую фразу), да?
Нет, конечно. Но ведь далеко не для всех сайтов нужна сверхбезопасность.
Как их запоминать и хранить :)?
Особо «нежных» сайтов у человека вряд ли наберётся больше десятка-двух. Придумать для них какую-то систему выбора фразы труда составить не должно. А иначе стоит задуматься о профпригодности.

(В тяжёлых случаях фразы можно хранить на бумажке. Без привязки к расширению и его наборам параметров даже кража этой бумажки ничего не даст.)
+
avatar
0
  • xNIXx
  • 20 мая 2026, 20:48
Я не понимаю чем ваша фраза отличается от пароля то? Вот для критичных случаев.

Для некритичных я в браузере запоминаю, для критичных у меня пароли все разные, длинные и я запоминаю их в внешнем устройстве. Где тут место для какого-то софта?
+
avatar
+1
  • yup2
  • 20 мая 2026, 20:57
Я не понимаю чем ваша фраза отличается от пароля то? Вот для критичных случаев.
Тем, что она легконабираемая. И тем, что от её длины сложность получаемого пароля никак не зависит.
я запоминаю их в внешнем устройстве. Где тут место для какого-то софта?
Удобство поиска нужного пароля на устройстве?
Утеря/кража устройства со всеми паролями сразу?
+
avatar
0
  • xNIXx
  • 20 мая 2026, 22:00
Боюсь вас огорчить, но короткие пароли остаются короткими. Достаточно узнать ваш алгоритм и… Безопасность на основе секретных алгоритмов очень хрупкая штука.

На подобных устройствах обычно пароли не ищут, это автор не доделал слегка. Как правило аддон с компьютера имеет возможность попросить набрать пароль, пользователь проверяет на экране что за пароль и акцептирует кнопкой. У меня подобная поделка имеет на борту вебсервер, заходишь и выбираешь нужный тебе пароль. Можно любое удобство навернуть. Но в целом мне пока минималистичного интерфейса хватает.

Утеря/кража устройства обычно решается пином при включении, 3-4 ошибки и все затирается. Тут человек делать не стал. Я, кстати тоже. Тот кто сможет украсть его из сейфа возьмет в этом сейфе вещи получше. Там есть.
+
avatar
0
  • yup2
  • 20 мая 2026, 22:28
Боюсь вас огорчить, но короткие пароли остаются короткими.
Где Вы прочитали, что пароли короткие? Я же всё время подчёркивал, что длина и сложность кодовой фразы никак не влияет на длину и сложность пароля.
Вся ж затея именно ради того, чтобы с помощью простых фраз получать стойкие пароли.
Достаточно узнать ваш алгоритм и…
Да пожалуйста, я хоть сейчас скажу: MD4, HMAC-MD4, MD5, HMAC-MD5, SHA-1, HMAC-SHA-1, SHA-256, HMAC-SHA-256, RIPEMD-160, HMAC-RIPEMD-160.
Для каждого из сохраняемых наборов параметров пользователь сам решает, что из этого использовать.

Но используемый алгоритм хеширования это только один из десятка задаваемых в наборе (и сохраняемых в файл настроек) параметров, влияющих на получаемый пароль. (И, например, в заданном наборе символов, из которых пароль может состоять, даже порядок этих символов на результат влиять будет.)

А ещё процедура порождения пароля может использовать и произвольное число текстиков, которые берутся не из настроек, а с той веб-страницы, для которой пароль получаем. (Чаще всего это имя пользователя, но кроме него может быть и вообще практически что угодно, лишь бы оно от раза к разу не менялось.)
+
avatar
0
  • aliex
  • 20 мая 2026, 23:34
У вас разные модели угроз У вас — на ремотной стороне (то есть вы хотите, чтобы на всех сайтах были различные надёжные пароли), у xNIXx — на локальной (что хакеры взломают ваш ком и уведут всё скопом или даже посидят и помониторят).
+
avatar
0
  • yup2
  • 20 мая 2026, 23:47
Нет, у нас одинаковая забота. Если бы мне просто нужно было создавать надёжные пароли, то можно было бы обойтись тупым вариантом на основе генератора случайных величин (собственно, такой генератор у меня тоже есть в виде веб-странички на моём сайте), а потом эти пароли запоминать в браузере.

Но хранимые в файле пароли можно украсть. А вот чтобы украсть то, что не хранится вообще нигде, нужно очень хорошо постараться.
+
avatar
0
  • aliex
  • 20 мая 2026, 23:57
А, дошло. Если для малозначимых сайтов держать один и тот же пароль, а для значимых разный — то да, из важного больше того, что увидят кейлоггером (вместе с утаскиванием настроек вашего приложения-хранилки, если надо), не получат, но мозг у вас не закипит. Согласен, рабочий вариант.
+
avatar
+1
  • Phanex
  • 21 мая 2026, 10:03
Ну, иметь пароль типа «Мойпароль.123» (чтобы удовлетворял задалбывающим требованиям на большие буквы, символы и цифры, но при этом было легко запомнить) — это очень частая практика. Условно, мне будет абсолютно пофиг, что уведут аккаунт форума, куда я зарегистрировался только чтобы скачать файлик «только для регистрированных пользователей».
+
avatar
+1
  • aliex
  • 21 мая 2026, 12:23
Да, разумеется. Иначе поди угадай потом, регистрировался ли когда-то в очередной помойке, которая, допустим, фотографии на полную не открывает без регистрации.
+
avatar
0
  • aliex
  • 20 мая 2026, 23:31
Так в таком варианте как раз можно. там пароль получается что-то вроде sha256(фраза + url + seed из конфига). В любом случае уникальное выйдет для каждого сайта.
+
avatar
0
  • yup2
  • 20 мая 2026, 23:54
Да, примерно так оно и работает. Только параметров в скобочках чуток побольше. Но уже из соображений не надёжности, а практического удобства. Например, кроме URL там может быть и вытащенное из странички имя пользователя — на случай, когда у человека на одном сайте несколько разных учёток.
+
avatar
0
  • aliex
  • 20 мая 2026, 23:57
Ну да, то детали уже.
+
avatar
0
  • yup2
  • 20 мая 2026, 22:12
При использовании аппаратного решения не сможетю скомпрометировать можно только набранные после взлома пароли. И на меньшее лично я не согласен.
Я почитал Руководство пользователя Mooltipass. Из написанного в разделе «Credential management» следует, что если пользователь, работая на взломанном компьютере, полезет редактировать хоть один имеющийся пароль, он тем самым даст взломщику доступ ко всем ранее сохранённым паролям.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 22:20
Вы что-то неверно поняли. Насколько я помню там нельзя редактировать пароли. Можно только заменять пароль для выбоанного логина.
База паролей закриптована физической смарт картой, они не попадают внутрь компьютера незакриптованными.
По крайней мере так было в одной из первых версий, которой я владел.
Если они что-то испортили, то это печально. Но в целом был момент когда вся система выглядела совершенно непотопляемой.
При этом для критичных операций она еще и пин спрашивала.

ЗЫ. Для редактирования в целом можно ведь прислать один этот пароль если ты подтвердишь это клавишей. Т.е. по идее проблем с редактированием тоже нету.
+
avatar
0
  • yup2
  • 20 мая 2026, 22:48
Насколько я помню там нельзя редактировать пароли. Можно только заменять пароль для выбоанного логина.
Я дал название раздела, где об этом написано.
Документ вот: raw.githubusercontent.com/limpkin/mooltipass/master/user_manual_mini.pdf — можете сами всё посмотреть.
База паролей закриптована физической смарт картой, они не попадают внутрь компьютера незакриптованными.
В том разделе есть картинка с кусочком окна программы. На этой картинке справа от «зазведившегося» поля пароля есть кнопка с рисунком глаза, а под картинкой написано: «To display the password, click on the eye icon».
Но в целом был момент когда вся система выглядела совершенно непотопляемой.
Дата составления Руководства: 2018/11/13
При этом для критичных операций она еще и пин спрашивала.
Да, для входа в режим редактирования нужно вводить PIN, но именно для входа в режим, а не для редактирования конкретного пароля.
Для редактирования в целом можно ведь прислать один этот пароль если ты подтвердишь это клавишей. Т.е. по идее проблем с редактированием тоже нету.
Судя по Руководству, после входа в режим редактирования получение конкретного пароля для редактирования подтверждения на устройстве уже не требует.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 23:05
Когда вы нажмете эту кнопку устройство скорее всего спросит: сообщить пароль для логина такогото, и он появится в этом окне только если вы ответите «да». И только для этого логина.
Вероятно они не умеют писать мануалы, впрочем можно у них спросить…
Еще раз подчеркну: когда у меня было рабочее устройство я все эти сценарии проходил лично, и подобной дичи там не было(чтобы можно было пароли получать все кучей). Меня вообще удивило как дельно всё сделано.
Пин вы там вводите, чтобы список логинов получить скорее всего.

Эта штука вообще, похоже не умеет делать с паролями ничего кроме того, что присылать их в виде набора на клавиатуре по одному после подтверждения.

Да, вы можете получить бэкап, но он зашифрован довольно криптостойко физической картой и без нее его не расшифровать. Т.е. вы прлучаете просто дамп внутреннего хранилища. Набор бит.

Единственная небольшая дырка: если вы сможете как-то поменять настройки и подтверждать не нажатием а стуком :) ну т.е. по акселерометру там есть режим, то наверное можно стучать перфоратором от соседей для подтверждения нажатия клавиш :).

Она опенсорсная, можете в исходниках глянуть…
+
avatar
0
  • yup2
  • 20 мая 2026, 23:34
del
+
avatar
0
  • xNIXx
  • 20 мая 2026, 23:12
Вы плохо читаете. Обратите внимание на строчки.
Это совершенно то, о чём я говорю. После нажатия на глазик вы должны физическим кликом на колесо устройства подтвердить действие. Для каждого пароля.

To display the password, click on the eye icon (3) and use the wheel on the Mooltipass Mini to confirm the request.

PS. Люди там парились, чтобы корпус был такого размера, чтобы закладки было трудно в нём разместить. Они совершенно отличные специалисты в целом. Глупые ошибки могли быть только в очень ранних версиях. Кстати разобрать его удалось только физически распилив на части. И внутри лишнего места практически нету.
+
avatar
0
  • yup2
  • 20 мая 2026, 23:36
После нажатия на глазик вы должны физическим кликом на колесо устройства подтвердить действие.
Да, пропустил.
+
avatar
0
  • Phanex
  • 21 мая 2026, 10:00
Вообще-то задача именно та. А именно, хранение паролей и их удобное использование. То что вы для этого городите странную конструкцию — это ваши личные проблемы. Ваултварден на самохостинге — я позабочусь о том, чтобы вход на мой хостинг был только у меня.
Для совсем чувствительной инфы у ваултвардена есть настройка «вводить мастер-пароль каждый раз». Даже если я введу (есть параноидальные таймауты, их можно тоже установить — блокировать хранилище после столько-то минут — 1, 5, 30 и т.д. или после закрытия браузера), то злоумышленник получит доступ к условным фишкам. А ещё можно создать нескольких пользователей, к примеру, пользователь а хранит всякую фигню, пользователь б хранит только чувствительную информацию. Есть двухступенчатые логины.

Вы очень гордитесь собственной изобретательностью, хотя ваше (и автора) решение просто кошмарно как с точки зрения безопасности, так и удобства использования. А «пароли на бумажке в сейфе» с подходом «горит сарай, гори и хата!» — от такого аж дыхание перехватывает.
+
avatar
0
  • xNIXx
  • 21 мая 2026, 10:51
Если бы я мог гарантировать, что вход куда-то есть только у меня проблема вообще не стояла бы. Но я не могу. Как это можете вы мне увы неведомо. Безумие и отвага…

Я совершенно не горжусь какой-то изобретательностью, но я владею вопросом. Я пробовал, я пользовался, мне удобно. О каком неудобстве речь я не очень понимаю.

И я живу в реальном мире, тут есть свои ограничения, которые не всегда имеет смысл преодолевать. В рамках этих ограничений я и выбираю решения.
Если перехватывает дыхание, то срочно к кардиологу…
+
avatar
+2
Автору могу посоветовать посмотреть mooltipass.
Вот это?
за $160 и микро-экранчиком это просто издевательство над пользователем.
У меня есть в этом же факторе устройство Ledger, с этим же дисплеем, я даже сам этот копеешный дисплей менял (был сдохшим). Чудовищно неудобный дисплеюшко, хорошо хоть использую раз в пол-года.
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 20:49
Да, я таким пользовался. Совершенно не понимаю зачем ему многострочный экран, видеть на нем надо только одно: что вводишь логин пароль к тому сайту на котором ты сейчас. Выбирает он всё «сам».
Претензия к нему только одна — умирает колесо, оно же кнопка. В целом запредельно удобная штука.
+
avatar
0
Совершенно не понимаю зачем ему многострочный экран, видеть на нем надо только одно: что вводишь логин пароль к тому сайту на котором ты сейчас
зачем: ввести имя пользователя, ввести емейл (часто используют вместо имени), посмотреть комментарий к сайту.
И эти экранчики ОЧЕНЬ маленькие.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 21:52
Ничего этого с этим устройством делать не нужно. На нем нет кнопок, только колесо с кликом.
Я реальный пользователь. Мне экран совершенно не показался неудобным.
+
avatar
0
  • aliex
  • 20 мая 2026, 23:42
О, а вот и донор для десктопной части подъехал, раз уж оно опенсорс… а железную скрестить с PicoFIDO.

Всё, я знаю, чем надо заняться, это будет идеальный вариант.
+
avatar
+1
mooltipass
к сожалению не для всех
+
avatar
-1
  • katran
  • 20 мая 2026, 16:07
дел
+
avatar
+3
  • penzet
  • 20 мая 2026, 16:09
Я все пароли храню в ассоциативном виде. Вот короткий на 4 цифры например (сталин плюс три учеба) это означает сталин умер в 53 +3=56 а учиться начал в 85 итого пароль 5685. Кроме меня в этих ассоциациях никто не разберется.Сложный пароль выглядит как -ночевала тучка золотая только днем.
+
avatar
+5
  • xNIXx
  • 20 мая 2026, 16:13
Вы, конечно молодец.
Но что делать, когда паролей штук 50+ и они по 16+ символов со спецсимволами итп (некоторые сервисы требуют)
Лично я не слон. Столько запомнить не могу :(
Да и не везде их вообще можно менять…
+
avatar
-1
  • penzet
  • 20 мая 2026, 16:16
Значит нужно запомнить 50 ассоциативных фраз, я полагаю это не проблемма для человека с высшим образованием…
+
avatar
+2
  • xNIXx
  • 20 мая 2026, 16:18
А что делать тем, у кого нет корочки о во ;)?
И кому надо запоминать всякое такое
Cvmkpyr57_$-wdvjloy678()'vnmvcseyjGjiBbDghKiyfV644$-+bjddyjv,;:'zmcgjHjfBjutdvji

Вы уже запомнили, да :)?
+
avatar
0
  • penzet
  • 20 мая 2026, 16:29
Мне не нужно. Имхо если эта строка символов и есть пароль(больше похоже на скрипт для взлома чего либо), то я не представляю что под этим запаролено. Может что то сверх совершенно секретное и нужно сжечь до прочтения.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:33
Для вас миллион рублей является существенной суммой? Вот за таким условно миллион. Т.е. если он утечет убытков может быть и на большую сумму.
Если для вас миллион — это ерунда, то я очень вас прошу — переведите его мне :), я не гордый — приму.
+
avatar
+2
  • penzet
  • 20 мая 2026, 16:38
Утечет и взломать вещи разные. Если утечет, то ему помогли утечь. Я по средам не подаю. Более того благотворительностью не занимаюсь.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:40
Сегодня среда.

Кто там чего помогает — вне моего контроля. А вот за пароль 5352 меня не только уволят, но и осудят при случае. В этом разница между вами и мной. Мне есть что терять…
+
avatar
-3
  • penzet
  • 20 мая 2026, 16:41
Исправил…
осудят при случае
Наказаний без вины не бывает, как говорил Жеглов
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:47
Как блеклист то сегодня пополняется. Уххх…
+
avatar
-2
  • penzet
  • 20 мая 2026, 16:48
Всем пофиг!
+
avatar
+1
А вот за пароль 5352 меня не только уволят, но и осудят при случае. В этом разница между вами и мной. Мне есть что терять…
тогда вам не сюда, здесь простая поделка для простых пользователей, без миллиона.
+
avatar
+4
  • Phanex
  • 20 мая 2026, 18:51
Это проблема для человека с любым образованием. Даже с несколькими. Но тут даже другой момент — нахуа? Для чего забивать башку мусором (окей, это важно, но только когда нет другого выбора), а вместо этого использовать менеджер паролей?
Помнить десяток сложных паролей всё равно надо, но это мастер-пароли.
+
avatar
0
  • katran
  • 20 мая 2026, 16:15
такой пароль ещё во времена пентиума минуты подбирались
+
avatar
+4
  • SEM
  • 20 мая 2026, 16:34
такой пароль ещё во времена пентиума минуты подбирались
А сейчас — нет. Потому что банки и многие сайты шлют дополнительно одноразовый пароль в SMS или push.
Сайты без этого после ввода пароля тупят некоторое время, например секунду, только после этого отвечают годен пароль или нет. И после 2-3 неправильных начинают требовать ответ на секретный вопрос и т.д.
Перебором сейчас только запароленные архивы и украденные хэши паролей ломают. Ну или где программисты/админы не догадались сделать паузу при ответах и блок при нескольких неудачных попытках.
+
avatar
+4
  • xNIXx
  • 20 мая 2026, 17:06
При скольких? Скажем попыток 10.
Пароль 4 цифры.
Шанс угадать 0.1%. (10/10000)
Не дохрена ли ;)?

Мне тут звонили люди. Говорят надо срочно счетчик поменять электро, а то за свои деньги. Смс говорят прислали. Я говорю 1322(руки заняты, даже не смотрел что пришло). Минут пятнадцать срутся, не подходит никак. Я потом смотрю, а пришедший смс от Госуслуг был с 1422, хорошо хоть отличался на один знак… Больше я так не делаю, вначале проверяю что пришло…
+
avatar
0
  • SEM
  • 20 мая 2026, 19:09
При скольких? Скажем попыток 10.
Обычно 3. Бывает 5, бывает 2.

Не дохрена ли ;)?
Паролем из 4 цифр не к счетам с миллионами доступ закрывают. Я даже не знаю где система примет такой пароль. Явно что-то не важное, типа доступа к компу от детей дошкольного возраста.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 19:12
Т.е. если я сейчас возьму номер вашей карты в сбере и пять раз введу неверный пароль вам заблокируют все счета?
Как страшно жить…

4 цифры пин в банкомате, но он хотя бы требует карты. Коды подтверждения бывают разной длины, иногда и в 4 знака…
+
avatar
+2
  • katran
  • 20 мая 2026, 21:14
Блокируют карту а не счёт
можешь в любой филиале снять средства
как и перевыпустить карту
+
avatar
0
  • yup2
  • 20 мая 2026, 21:49
Что, таки карту блокируют, а не возможность войти на сайт в течение определённого времени?
+
avatar
+1
  • SEM
  • 20 мая 2026, 16:29
Я все пароли храню в ассоциативном виде. Вот короткий на 4 цифры например
Год канонизации Святого Доминика…
+
avatar
0
Вот короткий на 4 цифры например (сталин плюс три учеба) это означает сталин умер в 53 +3=56 а учиться начал в 85 итого пароль 5685
цепь стальная, din 5685)
+
avatar
+1
Пришёл напихать автору в панамку, а тут уже без меня справились.
+
avatar
-2
  • xNIXx
  • 20 мая 2026, 16:37
Спасибо, что пополнили мой блеклист.
+
avatar
+3
  • aliex
  • 20 мая 2026, 16:41
Как обычно — великий срач из-за того, что задача явно не сформулирована и каждый лепит свои обстоятельства. А случаи «боюсь утечки данных с сервиса», «боюсь, что взломают мой комп из сети», «боюсь, что кто-то получит физический длооступ ко мне» и прочее (всякие условия вроде мобильности подмешать по вкусу) — они разные. И компромиссы, на которые люди готовы пойти ради удобства, тоже разные.

Я, допустим, был бы счастлив, если б можно было гуглу сказать «убери паранойю, мне на нужно ни 2fa, ни подтверждений когда я вошёл с новой машины. Просто логин и пароль, и он же будет использоваться почтовыми клиентами без всяких OAuth». Потому что моя ситуация это позволяет. А кому-то исключительно аппаратный ключ нужен с подписью кровью. И мне нужен — только не для гугла.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 16:54
Дык. Те, кто не имеет доступ ни к чему критичному рассказывают тут тем, кто имеет, что те «зря ссут — прорвемся» :).
Но их гораздо больше, чего уж.
Надо сказать, что и среди тех, кто доступ имеет 9 из 10 просто не хотят задумываться о возможных неприятностях. Ведь стоит по этому пути пойти и «сон потеряешь»
+
avatar
+1
  • aliex
  • 20 мая 2026, 17:06
Так и не надо тащить более безопасные и менее удобные решения туда, где они избыточны
+
avatar
0
  • xNIXx
  • 20 мая 2026, 17:13
Так никто за усы не тянет? Вас заставляют что-ли:)?

Это некоторые пришли в топик для озабоченных безопасностью и пытаются очень наивно внедрить им какое-то говно типа облачных хранилок. Получая ответы в стиле «это не закрывает таких то рисков» начинают немного истерить :).

Не надо вам, и не надо. Зачем вы тут раз вам не надо :)?
+
avatar
+1
  • aliex
  • 20 мая 2026, 17:54
В том-то и дело — топик не для озабоченных безопасностью, а об упрощении себе жизни в простой обывательской ситуации, без миллионов и уголовки, в конкретном сценарии. Пароли в плейнтексте, обычная эмуляция клавы… Это вам не secure element какой-нибудь. А набегают борцы за безопасность везде и во всём, и начинают — а носить неудобно, а где вы будете редактировать, а если запрещены левые USB-устройства…
+
avatar
-1
  • xNIXx
  • 20 мая 2026, 17:59
Вам нужна такая железка? Пользуетесь подобной? Если нет, зачем вы тут?
Если да, то у вас какие-то странные сообщения. Вы пришли в топик, а не наоборот. Просто закройте его, если вам это не надо.

Для некоторых сценариев это вполне секьюрити элемент…
+
avatar
+1
  • aliex
  • 20 мая 2026, 18:16
Да я и говорю, что для некоторых сценариев это вполне годно. Это вы как раз начали про «Те, кто не имеет доступ ни к чему критичному рассказывают тут тем, кто имеет, что те «зря ссут — прорвемся»». В то время как очевидно, что ни о чём критичном здесь речь не идёт и, соответственно, вполне имеющий право на жизнь подход.

Secure element — это термин.

Что до меня — то меня здесь навели на github.com/polhenarejos/pico-fido — уже профит.
+
avatar
0
В том-то и дело — топик не для озабоченных безопасностью, а об упрощении себе жизни в простой обывательской ситуации, без миллионов и уголовки, в конкретном сценарии. Пароли в плейнтексте, обычная эмуляция клавы… Это вам не secure element какой-нибудь. А набегают борцы за безопасность везде и во всём, и начинают — а носить неудобно, а где вы будете редактировать, а если запрещены левые USB-устройства…
приятно видеть, что хоть кто-то понял о чём я. Но. «Узок круг этих людей, страшно далеки они от народа!»
+
avatar
+1
Если карта не вставлена, устройство читает пароли хранящиеся в памяти. Если при включении обнаружена карта — устройство считывает с нее файл с паролями и кладет его в постоянную память как обновление.
А вот по ссылке в коде такой фрагмент:
file = SD.open("data.txt");
  if (!file) {   
    Serial.println("open failed");
   // display.println("Data.txt failed to open");
    while (true);
    }
т.е. если файл не считан — уходим в бесконечный цикл.
А чуть выше, если SD карта не обнаружилась, то CPU_RESTART
+
avatar
+1
Извините, а что вы хотели от автора? Вместо шифрования паролей он предлагает их хранить открытым текстом (который надо создавать на, возможно, взломанном компьютере). И считает это достижением.

Мне кажется обсуждать дальнейшие ляпы, рассматривать картинки, вчитываться в софт — бестолковая затея. Там исходно всё поражено…
+
avatar
0
ну мне было интересно посмотреть, как реализовано «устройство считывает с нее файл с паролями и кладет его в постоянную память как обновление» )
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 19:40
Ну хранил бы он в каком-нибудь кипасе на взломанном компе, былоб лучше? Или в текстовом файле с паролем, как тут половина комментаторов предлагает.

С флешкой действительно костыль. Хотя в целом это не очень большая проблема.
Если он добавляет пароли по мере использования, то они и так и сяк уйдут к взломщикам. А обычно сценарий именно такой. Когда тебе надо залогиниться куда-то заполняешь пароль в устройстве и логинишься проверяя его. Ну получат они его чуть раньше(на минуту), разницы нету.
А то, что они внутри не зашифрованы тоже в целом не проблема, автор устройство из дома не выносит. Я подобное устройство храню в сейфе где есть все пароли напечатанные на бумаге. И не только… Если этот сейф взломают проблемы с паролями будут не самыми большими проблемами. И с этим не так просто что-то сделать.
+
avatar
+2
  • Phanex
  • 20 мая 2026, 20:53
Да, в кипасе лучше, а что?
К примеру, если есть 2fa, даже кейлоггер не поможет. Сама база паролей без мастер-пароля бесполезна, перехвату буфера мешает secure desktop (фича, которая исполняет кипас в изолированном окружении), плюс есть обфускация ввода против перехвата мастер-пароля. Есть аппаратное подтверждение и TOTP, есть способ попасть через пароль, когда ты утерял токен (но тогда для доступа нужно заведомо надёжное окружение, к примеру, некоторые живые дистрибутив линукса). Не потерять поможет синхронизация базы с внешним сервером и серверами, можно сверху «посолить».

Итого, увести пароль очень сложно, хотя и возможно. Но усилия такие, что терморектальный анализ станет наиболее простым выходом.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 20:58
Ну если для вас лучше, значит лучше…
Для меня хуже.
Люди разные.
+
avatar
+1
  • Phanex
  • 20 мая 2026, 23:43
Ох, что значит для меня и для вас лучше? Что значит люди разные.
Есть вполне объективные критерии безопасности для хранения паролей. Их можно придерживаться тем или не придерживаться. Хранить на бумажке в сейфе — возможно ок в плане безопасности (нет), но в остальном ужасно — затруднённый доступ в случае необходимости, если что-то ценное (к примеру сид-фраза вашего криптокошелька) — то вполне себе объект для целевой атаки. Если пароли представляют ценность сами по себе, то вы, помимо украденного из сейфа и получаете паралич ваших доступов.

Я понимаю, изобретение велосипедов — увлекательное занятие, но контрпродуктивное.
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 23:50
Ровно то, что написано это значит. У вас какие-то свои непознаваемые мною установки и вам лучше. Ничего с этим не сделать.

Вы хотите всё таки перейти к анализу угроз и сценариев использования?

В каждой системе хранения и безопасности есть требования. У меня они таковы: пароли ДОЛЖНЫ храниться на бумаге в определенном сейфе. Это не обсуждается. Это ограничение. Про это говорить бессмысленно. Так дОлжно. Это не изменить.

Я не работаю с этими паролями нигде, кроме как в физически закрытом контуре. Я не выношу их копии за пределы помещений.

Какие дополнительные риски вы видите при использовании описанного автором устройства в подобных условиях? Оно тоже не выходит за контуры, хранится там же. Его функция — упростить ввод очень длинных паролей не ухудшая безопасность при любых сценариях.

При каких сценариях безопасность ухудшится?
+
avatar
0
  • Phanex
  • 21 мая 2026, 10:09
Смотрите, вы можете сказать «а для меня ок хранить пароли прилепленными на стикере в мониторе». И что, тоже «люди разные, свои требования? Будет так?
В каждой системе хранения и безопасности есть требования. У меня они таковы: пароли ДОЛЖНЫ храниться на жёлтых стикерах на определённом мониторе. Это не обсуждается. Это ограничение. Про это говорить бессмысленно. Так дОлжно. Это не изменить.
Никто не собирается вас учить как обходиться со своими личными данными, как никто не будет бегать за вами с просьбами не стрелять себе в колено, носить каску на стройке, пристёгиваться в автомобиле и не бить себя молотком по пальцам.
Вы решили сделать сложную, неудобную, небезопасную систему с предельно затруднённым доступом? Да пожалуйста, хех, хоть сто порций.
+
avatar
0
  • xNIXx
  • 21 мая 2026, 11:04
Я могу сказать, что хранить пароли прикрепленные на мониторе — это требование. Да, так тоже бывает. И да это безопаснее в ряде случаев чем хранение их во всяких кейпассах.

Вы вообще читаете что вам пишут? Решение как-то обходиться с паролями принимаю совершенно не я лично. Я лишь существую внутри существующей системы и принимаю инженерные решения в ее рамках. Можно ли иначе? Да. Будет ли это лучше… теоретически да, а вот практически замена некоторого мыла на некоторое шило не всегда разумно. Может стать и хуже. Т.е. обладая знаниями, которых у вас нет я не рискну продвигать другие правила… Люди которые их формировали обладали еще большим количеством знаний, у меня столько нету.

Спасибо что разрешили мне пользоваться удобной и безопасной системой соответствующей имеющимся требованиям.

Давайте на этом закончим. Вы так и не смогли никаких конкретных сценариев родить, а оценочные суждения теоретиков о жизни мне интересны не очень.
+
avatar
0
  • aliex
  • 21 мая 2026, 00:05
Значит то, что у разных людей разные модели угроз. Где-то надо защащаться от ремот доступа, где-то от физической кражи а где-то от терморектального криптоанализа и с охраной ходить.
+
avatar
0
  • aliex
  • 20 мая 2026, 19:57
И что? Выдернешь, вставишь карту, воткнешь обратно — заработает. Страшненько, ну так для себя же, не «продукт».
+
avatar
0
ну просто из описания я так понял что карта на постоянку не нужна, оно само с нее считывает и сохраняет. а тут оказывается карта вставлена должна быть
+
avatar
-4
А вот по ссылке в коде такой фрагмент:

file = SD.open(«data.txt»);
if (!file) {
Serial.println(«open failed»);
// display.println(«Data.txt failed to open»);
while (true);
}

т.е. если файл не считан — уходим в бесконечный цикл.
А чуть выше, если SD карта не обнаружилась, то CPU_RESTART
Старая версия кода. Для вежливого и доброжелательного юзера пытающегося повторить и неспособного исправить — я выслал бы свежую. А тебе — зуськи.
+
avatar
0
7-zip под паролем (12-16 разных символов и букв), который запомнить и хранить в облаке/ящиках/флешках.
Взломать такой возможно при использовании всех серверов НАСА и то не факт.
+
avatar
+1
Автор молодец конечно. Чисто для себя норм, да и для мозг размять. Для информации автору, может полезно будет, был такой проект «пастильда» лет 9-10 назад. Исходный код доступен на git. Правда проект заброшен. Но использовать можно.
У них даже таблица аналогичный решений до сих пор есть. Вот можно ознакомиться. Мало ли, может заинтересует. А так сам пользуюсь KeePassXC. Покрывет все потребности на 1000% Даже импортируются TOTP коды Google Authenticator правда не очевидно, но тем не менее
+
avatar
0
  • Nuts_
  • 20 мая 2026, 19:21
мне хочется видеть сколько комментариев эта статья наберет на хабре. спецы по секурности уже перешлю сюда похоже.
+
avatar
0
мне хочется видеть сколько комментариев эта статья наберет на хабре. спецы по секурности уже перешлю сюда похоже.
А это классический случай bike shed.
The bike shed paradox (also known as the Law of Triviality) is the human tendency to devote a disproportionate amount of time and energy to menial, easy-to-understand issues, while ignoring complex or important ones
+
avatar
0
А я правильно понял, что запятые в паролях у вас не могут использоваться? Или они всё же экранируются?
+
avatar
0
слушайте, ну нафига вам запятые в пароле-то? я реально не догоняю
+
avatar
0
хм. добавить считыватель отпечатков (по отпечатку вводить), как-то шифровать пароли, а не тупо в тексте на карте хранить — и вполне рабочее устройство получится. да даже и так — вполне себе полезно для тех у кого паранойя на низком уровне
+
avatar
0
  • xNIXx
  • 20 мая 2026, 20:35
Пин нужен в первую очередь, отпечаток во вторую. На карте он только новые вроде бы хранит, т.е. там может быть пусто. В уелом девайс не чтобы носить с собой, но да, можно допилить.
+
avatar
0
Пин нужен в первую очередь, отпечаток во вторую. На карте он только новые вроде бы хранит, т.е. там может быть пусто. В уелом девайс не чтобы носить с собой, но да, можно допилить.
Нет, на карте хранится полная копия того, что в памяти.
Допиливать это можно до бесконечности, энтузизистам флаг в руки. Это как «метеостанция на Ардуино». А меня и так полностью устраивает.
+
avatar
0
Нет, на карте хранится полная копия того, что в памяти.
то есть вставил карту, с нее считалось, и можно с карты стирать, правильно? а с ардуины считать потом в программаторе можно? я не параноик, просто спрашиваю чтобы понять насколько это секурно или нет.
ну и считыватель отпечатков я б добавил. но если оно на столе лежит и опять же не сильно параноить — да и пофигу. один чёрт так сильно удобнее чем с клавиатуры каждый раз вбивать
кстати, а если пароль изменился, записываем его на карточку, включаем — оно там в памяти заменит старый на новый?
+
avatar
0
  • SEM
  • 21 мая 2026, 11:11
а с ардуины считать потом в программаторе можно? я не параноик, просто спрашиваю чтобы понять насколько это секурно или нет.
Это устройство для дома.
+
avatar
+3
без бубна и дизассемблера считать из ардуины нельзя.
Ни один из толпы обсуждающих не дочитал чтоэто не про секурность.
Это про хранение и удобство ввода.
Это продвинутая флешкаи только.
+
avatar
0
да понятно что это не про секурность, вопрос — насколько. дизассемблер тут вообще мимо, потому что считывать нам интересно пароли. если там в микроконтроллере есть защита от чтения — это уже что-то, осталось сделать минимальную защиту доступа, типа считывателя отпечатков и всё, уже не страшно потерять
+
avatar
+2
нет там никакой защиты от чтения.
секурность устройства примерно равна секурности незашифрованой флешки.
Почитайте выше — устройство это продвинутая флешка и только.
Почему вы так упорно натягиваете сову на глобус?
+
avatar
0
потому что хотелось бы видеть хотя бы минимальную секурность в таком устройстве, хотя бы чисто символическую, от пионеров. я прекрасно понял назначение устройства с самого начала и ничего не пытаюсь никуда натягивать, и мне в принципе и самому для настольного применения хватит ровно такой же реализации. но даже свои пароли на флэшке при переносе в другую локацию я таки пакую с паролем. просто на всякий случай.
+
avatar
0
… ничего не пытаюсь никуда натягивать просто хотелось бы видеть на этом глобусе хотя бы немного перьев и круглые жёлтые глаза и хотя бы маленькие крылья...
+
avatar
+1
я вот искренне не понимаю: то пароли требуют по 100500 знаков в разном регистре, буквы-цифры-спецсимволы, то для доступа к этому всему пин, блин, из 4-6 цифр. от меня логика ускользает.
+
avatar
0
  • xNIXx
  • 21 мая 2026, 10:53
Ну в общем да, сейф в котором это все хранится тожеж не сто символов ввести просит.
6 вполне консервативный вариант, вероятность подобрать 3/1000000 не такая уж большая.
Карта в банкомате спрашивает 4 значный пин…

А вы хотите тоже самое «закрыть» «паролем», который вы на всех поверхностях оставляете? Так себе идея.
Еще вопрос сколько разных пальчиков видит обычный сенсор. Как бы не оказалось, что тысячи…
+
avatar
+1
Пин нужен для защиты аппаратных устройств. Смысл в нём есть только при блокировке устройства после нескольких неверных попыток.
Если база паролей в виде файла закрыта 4-значным цифровым кодом — толку от такой защиты ноль, только неудобства.
+
avatar
+2
  • UWU
  • 20 мая 2026, 20:44
Самый лучший аппаратный менеджер паролей — это отдельный мелкий смартфон без симки и с отключенным WiFi.
+
avatar
0
Я уже множество лет пользуюсь Sticky Password с облачной синхронизацией. Общая база на компе, ноуте, телефоне.
Имхо в наше время один из основных плюсов, что он проверяет на какой сайт вставляется пароль. Т.е. всякие фишинг истории идут мимо. Программе всё равно насколько дизайн сайта или его адрес похож на настоящий.

Что касается мастер паролей. Там же не самим паролем шифруются файлы, а его хэшем, причем специально ресурсоемким, который требует много памяти и не параллелится, и который считается относительно долго (хэш может считаться секунду на топовом компе), особо не получится подбирать (разве что, угадать, какой-нибудь 1111). Если ещё больше углубляться в шифрование, то там этим хэшем от пароля шифруется не сам файл, а ключ, которым зашифрован файл (а там рандомный бинарный ключ), более того используются рандомные векторы инициализации. Т.е. два файла с одинаковым содержимым в зашифрованном виде будут выглядеть абсолютно по разному.
+
avatar
0
Отличный труд! Хотя бессмысленный и беспощадный, но почему бы нет? Продолжайте!
+
avatar
+1
  • nimoid
  • 20 мая 2026, 21:33
Использую vaultwarden (bitwarden) развернутый в докере на домашнем сервере, ранее пользовался keepass, очень удобно и на мобилке и на компах, есть расширение для браузера, веб-интерфейс, заметки, банковские карты, встроенный генератор паролей, если кому надо.
Кому критически важно от утечки защититься — не используйте прямую запись паролей (тем более на листочке), придумайте алгоритм какой-нить, например, подмешивайте мусор в пароль — последние три символа лишние, второй, третий лишние или количество лишних это предпоследняя цифра в пароле и т.п. тут на что фантазии хватит.
Задумка прикольная для своих целей, я бы шифрование все же добавил и поиск как-нибудь прикрутил)
+
avatar
0
так добавь и прикрути.
А я просто решил свою проблему за неделю, и на этом всё.

Кстати.
Показал устройство нескольким своим знакомым, все в полном восторге и спрашивают где купить, и все советуют организовать производство, хотя бы малой серии.
Но мне производство не интересно.
+
avatar
-1
  • xNIXx
  • 20 мая 2026, 21:55
Нет — это не продать.
Чтобы купить у кого-то такую штуку надо ему очень-очень доверять. После массада с пейджерами только очень дурные люди будут покупать у хренпоймикого, а им не надо.
Тем кого знаешь лично продать можно, но это не окупит разработки.
+
avatar
+1
скажите пожалуйста, какая именно буква в слове «не интересно» вам непонятна?

Я хочу сказать, что обычным пользователям, здесь, в Штатах, устройство сразу же понравилось.
Проблема хранения паролей у очень многих.

Я вообще с ужасом думаю, а что если эти вот квантовые компьютеры сделают расшифровку паролей простой задачей, или если кто-то подломит двойную авторизацию SMS на телефон?
Это будет прямо похуже чем последний день Атлантиды, мир-то рухнет…

И вообще, вместо заботы о потеплении и прочей ерунды, надо бы очень сильно ужесточить наказание за все киберпреступления, даже самые ничтожные. Потому что это преступления против глобальной экономики.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 22:25
Скажите пожалуйста, вы не пробовали читать сообщения, на которые отвечаете :)?
+
avatar
+1
сарказм это не ответ.
Я написал, что мне производство и продажа неинтересны, а вы ответили как будто я написал что хочу организовать производство и продажу и спрашиваю вашего совета.

Разве не так?
+
avatar
0
  • xNIXx
  • 20 мая 2026, 22:47
Да у вас мания величия. Кроме вас тут тысячи подписчиков. Вы не пуп земли, она вращается не вокруг вас.

Интересно вам это производить и продавать или нет, а того факта, что продать это будет очень непросто и с такими тараканами как у вас вообще вряд ли возможно не изменить.
Таков мир.
+
avatar
-2
«ставим диагноз по фотокарточке».
Вроде начинал ты вменяемо, внезапно скатился к хамству.
У тебя месячные, чтоли?
В blacklist.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 23:08
Ставим диагноз по ответам и поведению.
После таких постов купить у вас что-то для безопасности может только совершеннейший безумец.
+
avatar
0
  • yup2
  • 20 мая 2026, 23:11
или если кто-то подломит двойную авторизацию SMS на телефон?
Это будет прямо похуже чем последний день Атлантиды, мир-то рухнет…
Ещё в начале 2000-х я читал техническую статью с разбором процесса авторизации в сети GSM. Там прямо расписывался сценарий, как подключается поставной телефон вместо или вместе с настоящим. Да, это дорого, но технически выполнимо. И мир не рухнул, тем не менее…
+
avatar
0
  • aliex
  • 20 мая 2026, 23:49
Больше того — это происходит довольно регулярно. Гуглим identity sheft — там простыни такого.

А вот когда криптографию поломают и это станет распространённо и дёшево — там да, будет интересно — даже если к тому моменту на quantum secure алгоритмы уже все перейдут — заинтересованные стороны наверняка будут иметь кучу всего старого, что хочется расшифровать.
+
avatar
0
  • Sanja
  • 21 мая 2026, 18:32
SS9 просто писался белыми людьми для белых людей. Которым и в голову не могло придти что через 30 лет GSM-устройств будет несколько миллиардов, операторы будут и в Африке, и они за малую мзду могут изобразить что телефон жертвы приземлился в их роуминг (что позволяет перехватить СМС и звонки).
+
avatar
0
  • aliex
  • 21 мая 2026, 21:52
SS7 знаю, GSM 09 знаю, а что за SS9? Это я гуглить не умею или опечатка?
+
avatar
+1
Можно записать на листок и повесить на монитор ) и это будет очень надёжно! Потому что только я буду знать, что в каждом пароле первый символ надо перенести в конец. Ну или, например, в каждом пароле перед последним символом надо вставить «5». Фактически, секрет хранится в моей голове, как если бы я помнил все эти пароли.
+
avatar
+1
  • xNIXx
  • 20 мая 2026, 22:50
В целом вы правы. Но есть нюансы. Вы так пробовали? Я пробовал.
Когда набиваешь хотя бы 16 значный пароль это как-то совершенно не всегда удается даже со второго раза.
Задолбаешься их вводить.
Такие штуки призваны облегчить эту задачу не привнося особых дополнительных рисков.
Я уже писал выше, есть вариант проще — штрихкоды.
Но если часть ваших паролей ТОТР, т.е. меняются раз в 30с, то штрихкод не вариант, а раз уж использовать устройство, оно может и те и другие хранить.
+
avatar
+1
Пробовал, только процесс «криптования» мною паролей, написанных на бумажке, более изощрённый. Главное, его не забыть )) А 16-символьных паролей у меня нет. Даже приложение Сбер, которое имеет дело с моими личными деньгами, требует всего 5 цифр для входа. Остальное — это их магия проверки, что мой ноут это мой ноут. И несмотря на всего 5 цифр надёжность довольно высока.
+
avatar
0
  • xNIXx
  • 20 мая 2026, 23:26
Хотелось бы лучше, чем «довольно высока». Но это личное пожелание. И имея его в виду бумажки подходят уже не очень :(. А что-то сделать можно и с паролем из железки. Скажем набрать его и удалить предпоследний символ :). Но это в целом и общем защита от дурака.
+
avatar
+1
Хотелось бы лучше, чем «довольно высока»
Это уже не зависит от вас, если вы, конечно, соблюдаете элементарные и очевидные правила безопасности. Безопасность определяется ресурсом, куда вы заходите. А вставили ли вы пароль из железки или из своей головы, онлайн-банку без разницы. Всё некритичное, типа пароль от Муськи, вообще лежит в Огнелисе.
+
avatar
0
  • Asasl
  • 21 мая 2026, 00:16
Пароли никогда не хранятся в открытом виде, только хешированный.
SHA-512, количество вариантов 10 в 154 степени превышает число атомов в обозримой Вселенной. Даже если превратить всю планету Земля в один гигантский суперкомпьютер, энергии Солнца не хватит, чтобы просто дойти до середины перебора. На сегодняшний день нет ни одного известного математического метода, позволяющего взломать SHA-512 «в лоб»
+
avatar
0
Не будьте столь категоричны. Не так давно закрылся один интернет-магазин. По этому случаю они устроили распродажу. И разослали всем клиентам электронные письма, в которых любезно сообщали пароль от личного кабинета, если вдруг клиент позабыл
+
avatar
+1
  • aliex
  • 21 мая 2026, 16:11
Если не сваливаться в Diffie-Hellman и подобное, то есть ровно два варианта — либо пароль в оригинальном виде летит от клиента (понятно, что там TLS и так далее) либо открытым хранится в базе. До повсеместного распространения https второй вариант был вполне распространён (правда, обычно пароли в базе шифровались «солью», которую знало только приложение, так что если увести только базу, то могло и не помочь). И этот первый способ мог совершенно спокойно дожить до наших дней в достаточно старых системах.
+
avatar
0
Asasl
21 мая 2026, 00:16

Пароли никогда не хранятся в открытом виде, только хешированный.
В идеальном мире в вакууме.

Работаю в большой международной фирме, приложение хранит мастер-пароль прямо в коде, в текстовом виде.
Я вякнул, мол, это как-то не совсем правильно, меня запинали под шконку со словами «это наши стандарты, мы их не обсуждаем» а когда я добавил про хэши местный гуру публично порекомендовал мне «погуглить про безопасность приложений». Я сказал «хорошо, я так и сделаю» и с тех пор не вякаю от слова вообще.

«никогда не говори никогда».
+
avatar
+2
Не обманывайте! Это сделано не по тому, что нужно, а потому, что хотелось сделать что-то электронное :)
Сам нередко таким страдаю.
+
avatar
0
Не надо думать о людях плохо, не суди по себе.
Сделано потому что было нужно хранить сотню уникальных паролей после того как недавно утекло 2 млн паролей, в том числе и мои старые-простые.
+
avatar
0
  • serdio
  • 21 мая 2026, 10:21
Ваше хранилище никак не влияет на утечку паролей. Утекли не у вас же. По-любому менять сначала на каждом сайте, затем в хранилище
+
avatar
+1
дело в том, что имея такое хранилище можно для каждого сайта поставить свой пароль, и утечка любого из них приведет только к необходимости замены одного пароля там откуда утекло. проблема-то с утечкой паролей именно в том что невозможно их столько запомнить, чтобы все были уникальные. вот и ставятся везде одинаковые пароли, и утечка=проблема и необходимость замены всего и везде.
+
avatar
+3
serdio
21 мая 2026, 10:21

Ваше хранилище никак не влияет на утечку паролей. Утекли не у вас же. По-любому менять сначала на каждом сайте, затем в хранилище
а мужики-то и не знали.

Утекли из сети. Поменял на каждом сайте. На уникальный. Получилось около сотни радомных паролей.
Раньше у меня был простой алгоритм запоминания. Теперь нет. Где хранить? Сделал замену флешки которая не только хранит, но и сама печатает в поле ввода. Об этом примитивном устройстве написал на муську, поднялся дикий кипеш на 300 каментов.

Так понятнее?
+
avatar
0
вот тоже кстати — везде требуют пароли невдолбенной стойкости, с разными регистрами, спецсимволами и прочим, придумываешь, запоминаешь, потом фигакс! и откуда-то утечка. то есть от пользователя мы требуем дофига сложный пароль, а сами не особо заморачиваемся и храним их в открытом виде. офигеть можно…
кстати, имея уникальные пароли — можно увидеть у какого тридвараза произошла утечка.
себе что ли собрать…
+
avatar
0
  • Frumas
  • 21 мая 2026, 11:16
лучший менеджер паролей — записная книжка в ящике стола
+
avatar
0
  • xNIXx
  • 21 мая 2026, 11:19
Это пока их вводить не надо. Собственно эта штука только тем и отличается, что позволяет автоматически вводить не корячась.
+
avatar
0
  • SEM
  • 21 мая 2026, 12:27
лучший менеджер паролей — записная книжка в ящике стола
От хорошего пароля бумажные листочки коробятся…
+
avatar
0
Хранить пароли в каком-то «облаке» это еще хуже. Типо, отдать ключ от сейфа соседу, он его положит под подушку, так надёжнее.
А с какого вы решили что пароли там хранятся в открытом виде? :)
Если бы облачные хранилища так просто можно было бы скомпрометировать, то об этом сейчас на каждом заборе было бы написано! :) Вот что касается менеджера паролей встроенного в браузер, то тут да, напоминает вот это:

Менеджер пароля в браузере есть, а пароля на открытие самого браузера почему то нет… :)
+
avatar
0
Менеджер пароля в браузере есть, а пароля на открытие самого браузера почему то нет… :)
выше было
Дальше без ввода пароля никак…
+
avatar
0
Да, тоже пользуюсь лисой, но как то давеча пользовался хромом и там тоже был менеджер паролей который был вообще ничем не защищен, может уже что поменялось, но как гриться «ложечки нашлись, а...» ну вы поняли… :)
В любом случае мне Bitwarden удобнее, т.к. пользуюсь не каким то одним конкретным устройством, а целой кучей всего иногда и чужими устройствами, и заморачиваться с синхронизацией этого всего, желания нет! :)
+
avatar
0
  • katran
  • 21 мая 2026, 16:00
он защищён самой ОС
Учетная запись под который заходишь
это по мимо шифрования диска самой ОС если включено
А так верно Bitwarden — намного удобнее и больше возможностей и не только пароли хранить
+
avatar
0
он защищён самой ОС
Учетная запись под который заходишь
это по мимо шифрования диска самой ОС если включено
Ну дык, может оно и так, но тем не менее если у меня браузер открыт, а он открыт почти всегда, это вообще основная программа, то даже если я отошел себе на кухню чайку налить, ни кому не мешает подойти открыть настройки и срисовать мои пароли, меня это вообще даже в свое время удивило, что браузер пароля для открытия не требует, мало ли что там у меня, даже опции такой нет, а открываешь настройки, а там все в открытом виде бери, не хочу, это я про хром, если что… :)
+
avatar
+1
Ну дык, может оно и так, но тем не менее если у меня браузер открыт, а он открыт почти всегда, это вообще основная программа, то даже если я отошел себе на кухню чайку налить, ни кому не мешает подойти открыть настройки и срисовать мои пароли
Win+L ;)
+
avatar
0
Знаем мы про это, но это не таблетка от всех болезней, мне зачастую нужно что бы комп работу делал, а вот браузер был закрыт паролем, ибо нефиг, всяким пялиться в мое исподнее… :)))
+
avatar
0
  • aliex
  • 21 мая 2026, 21:54
Так он и делает при этом работу, это ж не выключение, а блокировка консоли…
+
avatar
0
Ну дык, это он у вас делает работу, музыка там играет или еще чего, а когда у меня идет онлайн отладка программы в среде разработки то оно так не работает, не знаю почему… :) Мне бы что бы что то конкретное закрыть можно было, а не все разом… :)
+
avatar
0
  • aliex
  • 22 мая 2026, 12:09
Ничего не понял. Ну вот вы идёте на кухню за чайком, ткнули кнопки, экран заблокировался, всё остальное — как было открытым/запущенным, так и осталось. У меня, так-то, там тоже отладка с разработкой.
+
avatar
0
Отладка с разработкой бывает разная, моя при блокировке экрана встает, а как у вас я не знаю, грюже мне не нужно все закрывать, что я вам все сценарии перечислять буду, Win + L, это не универсальная таблетка от всех болезней, тем более не от тараканов в моей башке, я хочу блокировать только браузер и ничего больше… :)
+
avatar
+1
  • SEM
  • 21 мая 2026, 20:17
даже если я отошел себе на кухню чайку налить, ни кому не мешает подойти открыть настройки
В одном банке, где я тусил пару раз, у каждого сотрудника пропуск — смарт-карта, она и комп разблокирует, и двери. Т.е. даже чтобы пройти в туалет или кухню — нужно карту из клавиатуры выдернуть, комп при этом блокируется.
Со времён то ли W95, то ли XP, была прога, которая смотрела на пользователя веб-камерой, при пропадании его из вида блокировала комп, при вводе пароля сверяла лицо с запомненным, плюс сохраняла фото тех кто неудачно пытался разблокировать комп.
+
avatar
-1
В одном банке, где я тусил пару раз, у каждого сотрудника пропуск — смарт-карта, она и комп разблокирует, и двери. Т.е. даже чтобы пройти в туалет или кухню — нужно карту из клавиатуры выдернуть, комп при этом блокируется.
Со времён то ли W95, то ли XP, была прога, которая смотрела на пользователя веб-камерой, при пропадании его из вида блокировала комп, при вводе пароля сверяла лицо с запомненным, плюс сохраняла фото тех кто неудачно пытался разблокировать комп.
Фильмов наверное пересмотрели фантастических про хакеров )))) Такого камента тут еще не было, жгите ещё )
+
avatar
0
  • aliex
  • 21 мая 2026, 21:56
В смысле? Ну с дверями так было во всех софтовых компаниях, где я работал, добавить возможность разлочить комп только при наличии карты и проверять совпадение кредов с владельцем карты — тривиальщина. Молодцы на самом деле, что не просто в полиси прописали требование лочить, а удобно и гарантированно реализовали
+
avatar
+1
  • SEM
  • 21 мая 2026, 22:14
Фильмов наверное пересмотрели фантастических про хакеров )))) Такого камента тут еще не было, жгите ещё )
Это про что, про банк или про прогу с камерой?
Если на вашем лесном хуторе этого не было — не значит что это не существует.
+
avatar
0
Тут дело не в самой карте, а то что после каждого считывания информация на ней меняется и если делать дубликат то обе карты после первого же совпадения кода компрометируются и в блок.
+
avatar
+1
  • pleas
  • 21 мая 2026, 22:39
а там все в открытом виде бери, не хочу, это я про хром, если что
Не знаю что у вас за хром, но уже несколько лет ставлю хром людям и тот при попытке посмотреть пароль в хранилище просит пароль от учетки windows.
А вот хранение паролей в firefox наоборот вызывает сомнения — если не ставить мастер-пароль, то два файлика из профиля копируются и открываются в другом firefox и пароли видны.
+
avatar
0
А вот хранение паролей в firefox наоборот вызывает сомнения — если не ставить мастер-пароль, то два файлика из профиля копируются и открываются в другом firefox и пароли видны
Раньше частенько переносил настройки FF на другой ПК.
Если включена вот только эта настройка:
Заходим в раздел паролей- и «Да», раздел открывается. Но при попытке посмотреть сам пароль или его скопировать:
+
avatar
0
  • pleas
  • 23 мая 2026, 00:27
это фигня, если чекнуть этот пункт файл key4.db (в котором ключи шифрования) не меняется, можно спокойно переносить его и файл с паролями на другой пк и смотреть пароли.
Нужно галочку ставить ниже, где мастер-пароль, тогда key4.db сразу меняется и firefox при старте требует мастер-пароль.
+
avatar
0
Нужно галочку ставить ниже, где мастер-пароль, тогда key4.db сразу меняется и firefox при старте требует мастер-пароль.
У меня так сделано на работе на казенном ПК, т.к. у админов удаленное управление.
+
avatar
+2
Traveller
21 мая 2026, 13:06

Хранить пароли в каком-то «облаке» это еще хуже. Типо, отдать ключ от сейфа соседу, он его положит под подушку, так надёжнее.

А с какого вы решили что пароли там хранятся в открытом виде? :)
А мы не знаем как у них хранится, и у них ли вообще. Сосед сказал — «у меня как банке, даже лутше, не сомлевайся, богатенький Буратино, давай скорее сюда свои денешки парольки»

Эти «облачные сервисы» это просто чума какая-то. «Многие верят»©.
+
avatar
0
А мы не знаем как у них хранится, и у них ли вообще. Сосед сказал — «у меня как банке, даже лутше, не сомлевайся, богатенький Буратино, давай скорее сюда свои денешки парольки»
Ну я так и понял, что вы с соседями это обсуждаете как там пароли хранятся. :)))
Здесь не богатенький Буратино, а каждый, сам себе злобный Буратино… :)))
+
avatar
0
Какой только ерундой не занимаются, давно придуман KeyPass, а базу синхроню на телефон и все компы через облако.
+
avatar
0
(что-то я не по теме ответил, удалил)
+
avatar
+3
та ситуация, когда обсуждение в комментариях гораздо интереснее статьи :)
+
avatar
-2
  • Creat
  • 21 мая 2026, 20:15
я один не понял зачем эта приблуда?
по сути это электронная бумажка с паролями.
что на приблуде что на бумажке — пароли в открытом виде.
но бумажку легче спрятать и она не требует питания.
защиты ноль.

с таким же успехом можно использовать обычную усб флешку.

зато у нее внутри неонка ардуинка )))
+
avatar
+2
  • SEM
  • 21 мая 2026, 20:20
Приблуда позволяет использовать для каждой задачи свои уникальные и сложные пароли, которые вы задолбаетесь каждый раз вводить вручную с бумажки и начнёте использовать единый «Creat1234» везде…
+
avatar
-2
  • Creat
  • 21 мая 2026, 21:50
так зачем она нужна, если то же самое можно тупо делать с усб флешки — вставил флешку, октрыл файл, скопировал и вставил пароль, всё.
без всех этих ардуин, программирования, кручения энкодера и разглядывания мелкого экранчика на проводоке)))
ибо по степени защиты оно одинаково никакое, что приблуда что флешка. но флешку легче спрятать хотя бы)

в конце концов, как писали выше, можно прятать файл с паролями на самом компе, и ничуть не хуже (а даже лучше) чем прятать приблуду или флешку от нее по шкафам и прочим нычкам.

короче, мое ИМХО — бестолковая фигня, только усложняющая хранение. но если автору нравится вертеть энкодер и вообще мастерить что-то — то это его право )))
сделал, потому что мог )
+
avatar
0
  • SEM
  • 22 мая 2026, 13:57
так зачем она нужна, если то же самое можно тупо делать с усб флешки — вставил флешку, октрыл файл, скопировал и вставил пароль, всё.
Не всё. Ещё «закрыл файл». Прилёг отдохнуть…
Покрутить энкодер немного менее трудозатратно.
Плюс автор в процессе разработки и изготовления развлёкся и немного прокачал свои умения. Возможно эти факторы были основными.
+
avatar
-1
я один не понял зачем эта приблуда?
ну автор же написал в комментариях:
Показал устройство нескольким своим знакомым, все в полном восторге и спрашивают где купить
Эта приблуда для того, чтобы пьешь пиво с гостями — давайте вам приблуду фотки покажу. Ну и показываешь, сперва гордо подключая к компу нелепый коробок, чего-то там крутишь энкодером, и вуаля — фотки вот ) И пару часов рассказываешь, как удалось с помощью этой приблуды сохранить фотки от хакеров при помощи ардуины.
Особо упоротым рассказываешь, что это только для фоток, а пароли к миллиардам хранятся в сейфе на бумаге ( по два листа А4 одинарным интервалом 14 шрифтом на каждый пароль), сейф открывается по голосовой фразе после набора пин-кода, подключения другой ардуины, сканирования справки на ДНК и экспресс-анализа крови.
+
avatar
0
del
+
avatar
0
сейф открывается по голосовой фразе после набора пин-кода, подключения другой ардуины, сканирования справки на ДНК и экспресс-анализа крови
И проверки 3D скана ануса.
+
avatar
-1
.И где их хранить?

Слишком сложно. Я бы посоветовал NFC метки. Пароли можно в домофонный ключ закинуть, а можно и на транспортную карту. А если записывать на чистую карту и накидать туда своих крипто ключей, то это будет личный непробиваемый сейф. Тут главное ключи не забыть.
+
avatar
0
  • katran
  • 21 мая 2026, 21:52
ресурс флешь памяти в перезаписываемом ключи рандомен
но в целом направление верное… можно же не один ключ записать
хотя надо ещё найти устройство записи…
Но я бы выбрал YubiKey 5 NFC (3-5к руб чтобы не забивать голову.выбрав готовое решение)
+
avatar
0
Пароли переписываются не так часто, а NFC карты хороши ещё и тем что на них можно хранить как текстовую информацию, так и использовать как средства доступа одновременно. А для обслуживания «личного сейфа» инструмент всегда под рукой и это личный смартфон с NFC считывателем.
+
avatar
0
  • SEM
  • 21 мая 2026, 22:17
Слишком сложно. Я бы посоветовал NFC метки.
mysku.club/blog/diy/106795.html#comment4848105
+
avatar
-2
Короче, резюмирую. Считаю это бесполезным устройством. Его надо разобрать и сделать из него метеостанцию.
+
avatar
0
два десятка лет всё храню на рабочем столе в текстовом файле с периодическим бекапом на телефон и ноутбук. проблем еще не возникало.
были разные ластпасы и кипасы, до момента, пока не забыл мастер-пароль :)
+
avatar
0
Почитал статью и комменты. Немного в ужасе от подхода к хранению конфиденциальной инфы. Понимаю что большинству и прятать нечего, и самое дорогое чаще это пароль от какого-нибудь стима с парой игрулек, но так или иначе «инфобезопасность» хорошо бы подтягивать.
+
avatar
0
  • aliex
  • 26 мая 2026, 14:13
«Подтягивание» неплохо бы начать (вам) с понятия модели угроз и конфликта безопасность/удобство. И осознать, что у разных людей модель разная, и мера готовностти менять удобство на безопасность — тоже.
+
avatar
-2
не распинайтесь, действительно, текстовый файлик на рабочем столе это сильно удобнее.
+
avatar
+1
  • aliex
  • 26 мая 2026, 14:45
То есть до вас таки не дошло. Бывает.
Один из примеров: человек живёт дома один (или полностью доверяет домашним), ниоткуда кроме домашней машины *данные конкретные) пароли не вводит, ничего достаточно ценного, чтобы стать мишенью таргетированной атаки, нет. Другими словами, угрозы невелики, ценность защищаемых данных низкая. В основном, как и сказано в посте, защищаемся только от утечки паролей «с той стороны» (ну и избавляемя от проблем с восстановлением забытых паролей). В итоге за исключением неудобства ввода самым надёжным вариантом будет листочек на мониторе. Но неудобным — руками вводить надо. Вот устройство из топика — это аналог того самого листочка, только без проблем со вводом.
+
avatar
-1
не повторяйтесь, уже разжевано, для вас и не вами.
+
avatar
0
  • aliex
  • 26 мая 2026, 16:07
Третья реплика — и всё общими фразами отделываетесь. Хотя, казалось бы, просетили бы народ, раз уж «в ужасе от подхода к хранению конфиденциальной инфы».

Вот что интересно — на призывы поговорить о модели угроз и прочих вводных все «ужасающиеся» всегда отмалчиваются. Хотя без этого вообще говорить о безопасности бессмысленно, так как не определено — безопасность чего и от чего.
+
avatar
-3
+
avatar
0
  • Fumo
  • 24 мая 2026, 12:24
Для разделения нужно было использовать двоеточие (чаще всего его всёрно нельзя использовать в пароле).
+
avatar
0
без генерации TOTP кодов нещитово.
+
avatar
0
  • xNIXx
  • 27 мая 2026, 22:52
Сделал себе похожий дополнительно с генерацией. Собственно с ней особо проблем нету, если разобраться с форматом итп, но тут под гугл косить имеет смысл.
Ну и экранчик лучше побольше и поприличнее, чтобы побольше влезало.
Только для ТОТР даже проще сделать, их достаточно только показывать.
+
avatar
-2
  • gjf
  • 27 мая 2026, 16:36
Автор отстал примерно лет на 15-20.
В эпоху Passkey устройство из обзора бесполезно чуть менее, чем полностью.
Гуглить Bitwarden и KeePass — если хочется кроссплатформенности, открытого кода и целого букета плагинов.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.