Apple выпустила расширение «Пароли iCloud» для Chrome Статьи редакции
Пароли будут синхронизироваться между браузерами Safari и Chrome.
Пользователи могут получить в Chrome доступ к паролям из Safari, которые были созданы на iPhone, iPad или Mac, пишет The Verge. Пароли, созданные в Chrome, сохраняются в связке ключей iCloud и будут доступны на устройствах Apple.
Расширение называется «Пароли iCloud» и доступно в интернет-магазине Chrome.
В сентябре 2020 года в бета-версии на iOS 14 появился первый браузер для выбора по умолчанию: в настройках системы помимо Safari можно выбрать Chrome.
1
показ
12K
открытий
Господи! УРА!
можно наконец отказаться от всех левых типа 1password.
ээээ. ну флаг в руки. если вы не используетe 2FA то тогда конечно пофиг, но если вам небезразличен доступ к вашим данным, то советую включить эту штуку и вы поймете, что связке до 1password пока далеко даже на маках.
прикол в том что 2fa не нужен при использовании парольного менеджера. Даже против фишинга парольный менеджер защищает эквивалентно. А от вирусов не защитит ничто и так.
2fa не дает тому, кто узнал каким-то образом ваш логин и пароль ими воспользоваться. Во в чем прикол 2fa.
Расскажите как кто-то может узнать мой логин и пароль (i3j8fh37gfh сгенерированный менеджером) если мой менеджер вставляет его только на site.com и фишинг не прокатит?
Вы потроллить или вам правда интересен механизм? А антивирус по результату рассказа поставите если еще не стоит? Если не поставите, то и знать вам незачем. Спите спокойно.
В чем тролинг, я задал обычный вопрос?
Антивирус на макос? Антивирусы это вообще snake oil, а на макосе он и подавно не нужен.
ну поэтому пользуйте связку и спите спокойно. у меня на макос он есть. возможно потому что я в IT уже больше 25 лет и слишком хорошо знаю, что макос в этом смысле ничем не лучше виндовса и линукса, что заражение каждой из этих ос это вопрос случая (вирусы и эксплоиты существуют под все из них). а дальше кейлогер или снифер и ваш прекрасный пароль уже у них. в случае с 2FA они его использовать не смогут.
Опустим что антивирус бесполезен, не панацея и легко обходится, но
в случае с 2FA они его использовать не смогут.легко могут, закрепившись в системе вирус дождется ввода 2фа и перешлет его атакующему. Как следствие никакой разницы между менеджером и менеджером +2фа нет в модели безопасности. Юзер просто тратит время на ввод кода впустую.
Естественно антивирус не панацея. Это защита от пылесосов по известным вирусам непатченных компонентов. Включая атаки через зеродей дыры уже детектируемыми вирусами.
В случае с вашим сценарием атаки это возможное развитие векторов атаки. Но пока они так еще не додумались делать. Кроме того, 1password при использовании плагина не использует буфер обмена для передачи логина и пароля браузеру. Соответственно перехватить из буфера получится только токен.
Ну и иж если на то пошло. То и эппловский кейчейн они поимеют ровно по той же схеме. Это не повод отказываться от 2fa
откуда инфа что не додумались? Все что требуется это залить свой экстеншен в браузер и им копировать из <input name=password/2fa> даже буфер обмена смотреть не нужно
Это не повод отказываться от 2faЭто повод с ним не связываться вообще. Любой дополнительный фрикшен только отпугивает пользователей, поэтому то у 2фа юзеров почти нет. Вместо этого надо ставить на технологию которая проще и поможет всем и сразу от password reuse - это менеджер паролей. Улучшения которые дают 2фа поверх менеджера это из разряда позолоченных кабелей которые покупают аудиофилы чтобы "улучшить звук", хотя разницы нет.
вы похоже совсем не читаете о чем я пишу. я пишу, что надо использовать менеджер паролей с поддержкой 2FA. угадать/своровать три слова сложнее чем два.
теперь насчет что требуется.
требуется взломать компьютер или засоциалить, чтобы залить экстеншен. Если это не индивидуальная атака, то тут с вероятностью 80% спасет антивирус.
Потом, после того, как своруете токен нужно в течении в среднем 10 секунд его утилизировать. иначе он прокиснет и будет недействительным. пока о подобных сервисах со стороны массхакинга мне неизвестно. Если у вас есть информация, с удовольствием ознакомлюсь.
Пока единственный известный мне способ получить доступ к сайту с такого рода 2FA это брутфорс атака на плохо сделанную серверную часть. Такие атаки были и они задокументированы. но тут уже ничем не поможешь себе.
насчет кабелей с вами спорить не буду. я в этом вопросе центрист. и война там только из-за того, что одни в школе плохо учили физику, а вторые верят всякой лапше. кто из них кто выбирайте сами.
мало того, 2fa решает не ту проблему на которую вы пытаетесь его подрядить.
Он не дает человеку, который тем или иным способом узнал ваши логин и пароль (подглядел например). воспользоваться вашими учетными данными.