Re: Новый менеджер паролей

To: debian-russian@lists.debian.org
Subject: Re: Новый менеджер паролей
From: Artem Chuprina <ran@ran.pp.ru>
Date: Sun, 06 Nov 2011 10:45:02 +0400
Message-id: <[🔎] 87pqh5iwb5.wl%ran@ran.pp.ru>
In-reply-to: <[🔎] 4EB5C919.1000706@gmail.com>
References: <[🔎] 20111102093248.GR4292@belkar.wrar.name> <[🔎] 4EB123C5.2000301@gmail.com> <[🔎] 20111102124228.GT4292@belkar.wrar.name> <[🔎] 4EB24E2D.1020807@gmail.com> <[🔎] 20111103115555.GB25677@nano.ioffe.rssi.ru> <[🔎] 86ty6l8lf6.fsf@gray.siamics.net> <[🔎] 4EB285BF.7080104@gmail.com> <[🔎] 86pqh98k5d.fsf@gray.siamics.net> <[🔎] 877h3hjqh4.wl%ran@ran.pp.ru> <[🔎] 4EB2A684.4010609@gmail.com> <[🔎] 20111103144037.GH4292@belkar.wrar.name> <[🔎] 4EB2E9D9.4030203@gmail.com> <[🔎] 8739e4jea6.wl%ran@ran.pp.ru> <[🔎] 4EB4F68A.6020305@gmail.com> <[🔎] 87zkgaiyli.wl%ran@ran.pp.ru> <[🔎] 4EB539C4.8010707@gmail.com> <[🔎] CAM-UEKTmmxL8___vbK7cSP2Vt=gAwOgjNbzseES-aDESM7eSHg@mail.gmail.com> <[🔎] 4EB54D12.5080302@gmail.com> <[🔎] CAM-UEKS_XAchw2pFdhEnppexKa_40p-R0Q9QPLa2sxALBykvgg@mail.gmail.com> <[🔎] 4EB5AA14.3020108@gmail.com> <[🔎] 87sjm2i6ws.wl%ran@ran.pp.ru> <[🔎] 4EB5C919.1000706@gmail.com>

> > Нет, возможность работать без лишних вопросов к юзеру - великая сила.  Но
> > ключевое слово здесь - не "вопросов", а "лишних".  Ты бы сперва постоял на
> > плечах гигантов, в смысле, поучился бы тому, как это делают те, кто это
> > делает давно и успешно.  Тот же ssh поизучай как следует.  Не с точки
> > зрения кодера, а с точки зрения юзера.  Вот уж кто действительно умеет
> > работать без лишних вопросов, причем как раз с обеспечением безопасности.
> >
> я и учусь когда сюда пишу, только почемуто все более язвительные ответы 
> получаю.
> идея текстового хранения как раз от ssh и идет. (как легко удалить 
> строку с ключем который сменился)
> помню раньше было видно ip-адреса в строчках, а сейчас нет - не палятся 
> управляемые сервера.

А ты обратил внимание, что это отключаемо?  Потому что так да, безопаснее, но
менее удобно.  Например, тем, что чтобы удалить ставшие лишними строки, нужно
знать имена хостов, а чтобы войти на уже известный хост, нужно делать это
строго по тому из его многочисленных имен, которое туда уже записано.  Либо
заново проверять ключ хоста оффлайновыми методами.

То есть тут, особенно во втором случае, мы видим довольно типичный для
применений криптографии случай, когда мера, с виду повышающая безопасность,
будучи применена не по делу, может ее, напротив, снизить.  Это к вопросу о
твоей идее о втором пароле.

(Лирическое отступление: в безопасности хорошая двухкомпонентая авторизация -
там, где она действительно нужна - состоит из двух компонент разной природы:
то, что ты знаешь (пароль) и то, что ты имеешь (материальный предмет -
e-token, мобильный телефон, на который придет SMS).  Наиболее яркий пример
такого рода - это банковские карты в сочетании со съемом денег из банкомата.
Необходимо предъявить саму карту и пин-код.  Да, даже такая схема здесь
выполнена не вполне удачно и обходится - существуют устройства, которые
позволяют считать информацию с карты и снять пин-код с клавиатуры банкомата,
но они хотя бы есть, в отличие от взгляда через плечо, не у каждого второго, и
вообще сам факт их наличия или попытки приобрести - уже повод для подключения
полиции.)

> только я не пойму что я должен изучить еще с точки зрения юзера?

Но я больше хотел обратить твое внимание на богатство возможностей ssh по
авторизации без лишних (но строго лишних) вопросов - авторизация по ключу и
ssh-agent в различных сочетаниях.  Причем именно на богатство вариантов -
когда можно подобрать сочетание ровно под свою комбинацию
безопасности-работоспособности.  Где-то это будет незапароленный ключ, но
право выполнить ровно одну конкретную команду, где-то запароленный, ssh-agent
при логине, и право выполнить любую команду, а где-то - отдельный ключ,
загружаемый в агент (тоже в норме отдельный) ровно на сеанс бэкапа _и_ право
выполнить ровно одну команду по этому ключу.

> вот не знаю можно ли с одного компа на другой копировать строчки из 
> known_hosts,
> хотя смысла в этом не вижу

Странно, что не видишь.  Совершенно типичная ситуация.  Я, однажды проверив
ключ хоста, на который я хожу, копирую его на все машины, с которых я туда
хожу.  Опять же, по уже проверенному каналу.  В результате мне нужно только
один раз позвонить голосом хозяину хоста и сравнить увиденный fingerprint с
тем, что на самом деле.

> убунта видимо сильно спасает дебиан со своими ppa, а то бы невидать ему 
> такой популярности

А по-моему, наоборот.  Это убунта катается на дебиане - когда тебе чего-то не
хватает в убунте, ты ставишь это себе из дебиана.

> ... трудно представить мотивы человека желающего стать разработчиком дебиана
> вроде как любые желающие могут помочь развитию дистрибутива, но с другой 
> стороны им надо столько преодолеть,

Этот порог вхождения обеспечивает некоторое качество результата.  Тот факт,
что дебианом можно пользоваться без особого страха, что половиной программ
пользоваться вообще нельзя, причем которой - заранее непонятно.

Ибо "помочь" - это сделать не то, что кажется помощью тому, кто помогает, а
то, что считает помощью тот, кому помогают.  Куда ведет дорога, вымощенная
благими намерениями, все вроде знают, ан все равно...

-- 
User Guide:
Тыц "ПЫЩЬ" button!

Reply to:

Follow-Ups:
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>

References:
- Re: Новый менеджер паролей
  - From: Andrey Rahmatullin <wrar@wrar.name>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Andrey Rahmatullin <wrar@wrar.name>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Иван Лох <loh@1917.com>
- Re: Новый менеджер паролей
  - From: Ivan Shmakov <ivan@gray.siamics.net>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Ivan Shmakov <ivan@gray.siamics.net>
- Re: Новый менеджер паролей
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Andrey Rahmatullin <wrar@wrar.name>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Alex Shulgin <alex.shulgin@gmail.com>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Alex Shulgin <alex.shulgin@gmail.com>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>
- Re: Новый менеджер паролей
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Новый менеджер паролей
  - From: Sergey Stremidlo <serega386@gmail.com>

Prev by Date: Re: Internet news
Next by Date: Re: Новый менеджер паролей
Previous by thread: Re: Новый менеджер паролей
Next by thread: Re: Новый менеджер паролей
Index(es):
- Date
- Thread