Comments 35
Простите, но все эти правила — это компромисс. Сейчас полно программ даже для сотовых, чтобы безопасно хранить пароли. Забивать голову запоминанием паролей совершенно ни к чему.
тем кто был в школьниками ещё в советском союзе проблемы придумывания и запоминания длинных паролей не знакомы — «скажи ка, дядя, ведь не даром», «мой дядя самых честных правил» и т.д. Можно до кучи подобрать «фирменный стиль» подмены букв знаками и цифрами, что драматически усилит пароль.
хотя может и сейчас стишки в школах заставляют учить
хотя может и сейчас стишки в школах заставляют учить
Да, верно. Но подите-ка вспомните какой пароль вы ввели при регистрации год назад. Будете перебирать все строфы из школьной программы?
Я ведь не предлагаю всем все резко бросить и переходить на «масочно-ассоциативный» метод. Просто этот метод выдерживает компромисс безопасности и удобства на премлемом для меня уровне. Может быть, кому-нибудь этот метод тоже подойдет.
Я ведь не предлагаю всем все резко бросить и переходить на «масочно-ассоциативный» метод. Просто этот метод выдерживает компромисс безопасности и удобства на премлемом для меня уровне. Может быть, кому-нибудь этот метод тоже подойдет.
Хороший метод, кто-то уже писал на хабре (быть может и вы).
Чтобы упростить, думаю, можно секретный ключ добавлять или в начало, или в конец: MySecrEt+*_83######, по-моему безопасность не пострадала бы.
Чтобы упростить, думаю, можно секретный ключ добавлять или в начало, или в конец: MySecrEt+*_83######, по-моему безопасность не пострадала бы.
удивляюсь людям, которые парятся по этому поводу.
у меня всего три пароля — все в моей памяти — от почты, от важных ресурсов и от неважных ресурсов. На почте регулярно меняю (раза три в год), на важны тоже иногда меняю, но такое случается ещё реже — их же много =).
В конторе где работаю система заставляет менять пароли раз в пару месяцев, причём запоминает десяток последних — приходится всегда придумывать заново =(
пароли везде однотипные: в нерусской раскладке пишу русские слова, иногда букву «а» меняю на "@", первый или последний символ — цифра, между словами — фигурные скобки =):
3{Dhlheo/{Jthfxp@
1{Hqyfm{Jbducfo'{Qytheyp
Kh'{Nhk{Fhkyd{37
Kh;{Bykiydub.du{40
Nh{Wubu'jpu{pxthkybdhe{30
Hbeyb{f@{Gtuefo'{Ehidhj{42
ну и так далее…
Есть ещё один нюанс который позволяет повысить секьюрность этого способа, но я умолчу (вы и сами догадаетесь, если попытаетесь «вскрыть» мои пароли =) )
у меня всего три пароля — все в моей памяти — от почты, от важных ресурсов и от неважных ресурсов. На почте регулярно меняю (раза три в год), на важны тоже иногда меняю, но такое случается ещё реже — их же много =).
В конторе где работаю система заставляет менять пароли раз в пару месяцев, причём запоминает десяток последних — приходится всегда придумывать заново =(
пароли везде однотипные: в нерусской раскладке пишу русские слова, иногда букву «а» меняю на "@", первый или последний символ — цифра, между словами — фигурные скобки =):
3{Dhlheo/{Jthfxp@
1{Hqyfm{Jbducfo'{Qytheyp
Kh'{Nhk{Fhkyd{37
Kh;{Bykiydub.du{40
Nh{Wubu'jpu{pxthkybdhe{30
Hbeyb{f@{Gtuefo'{Ehidhj{42
ну и так далее…
Есть ещё один нюанс который позволяет повысить секьюрность этого способа, но я умолчу (вы и сами догадаетесь, если попытаетесь «вскрыть» мои пароли =) )
Не буду настаивать, но использование одного пароля на нескольких ресурсах — это верх информационной безответственности :) А если вы администрируете 50 серверов?
я так не считаю.
Если вскроют мою почту — могут и всё остальное увести, воспользовавшись напоминалками, поэтому к почту отношусь особенно бережно.
Если уведут, допустим Хабр, то как это отразится на остальных ресурсах (учитывая, что нормальные ресурсы при смене почты отправляют запрос на подтверждение на старую)?
Это я к тому, что допустим кто-то овладел моим хабром или Дёртей, или вконтактом, или Скайпом…. Поменял пароль. Я захожу, жмякаю «Забыл пароль» — и Он вновь мой. Быстренько меняю пароли на остальных ресурсах.
Благо, такой ответственностью я обделён, но не спорю — в таких случаях — каждому свой пароль.
Если вскроют мою почту — могут и всё остальное увести, воспользовавшись напоминалками, поэтому к почту отношусь особенно бережно.
Если уведут, допустим Хабр, то как это отразится на остальных ресурсах (учитывая, что нормальные ресурсы при смене почты отправляют запрос на подтверждение на старую)?
Это я к тому, что допустим кто-то овладел моим хабром или Дёртей, или вконтактом, или Скайпом…. Поменял пароль. Я захожу, жмякаю «Забыл пароль» — и Он вновь мой. Быстренько меняю пароли на остальных ресурсах.
А если вы администрируете 50 серверов?
Благо, такой ответственностью я обделён, но не спорю — в таких случаях — каждому свой пароль.
Как только злоумышленнику попадают в руки два ваших пароля от разных ресурсов, он видит в них совпадающую часть и отличающуюся часть в виде словарной конструкции. После этого он делает предположение, что остальные ваши пароли сформированы по аналогичному правилу и простым перебором по словарю подбирает все остальные пароли от всех ресурсов.
Ключевая фраза, отделенная спецсимволами, плюс название ресурса, Ctrl+A, Ctrl+C, Ctrl+V, Ctrl+V, Ctrl+V.
Вроде не подводило…
Вроде не подводило…
На что только люди не пойдут чтобы не использовать prononceable алгоритм генерации.
Берем в руки APG/WAPG (например вот тут www.adel.nursat.kz/apg/download.shtml), вызываем команду примерно такого вида
wapg.exe -a 0 -M Nl -n 30 -m 21 -t > generated_passwords.txt
и получаем отлично запоминаемые пароли вида
Поверьте они запоминаются на раз-два. особенно легко если брать не генеренные а комбинировать свой пароль из разных кусков сгенеренных паролей. Я при помощи такого метода уже лет пять держу в уме десяток 18-20-символьных паролей непохожих друг на друга. Они запоминаются просто как фразы…
Вот, например, что из свежесгенеренного выше можно собрать (если добавить 2-3 правила типа слова — с заглавной буквы, после 2х слов — цифра и каждая пара слов разделяется точкой):
Mizz6Fly.Kich4Knab.Frib9 — звучит как музыка — мизз-сикс-флай-дот-кич-фо-кнаб-дот-фриб-найн
И такой пароль в случае чего — очень легко продиктовать по телефону или мнемонически вспомнить по ассоциациям — например — «шестая мисс летела на кухню за печеньем ( такая ассоциация =) ), бесплатным для девятки». А эту ассоциацию можно легко вписать в password hint или Secret Question — никто не догадается.
Да, я все-таки пользуюсь утилитой хранения KeePass но больше для бэкапа основной памяти, а не как основной источник хранения =).
Берем в руки APG/WAPG (например вот тут www.adel.nursat.kz/apg/download.shtml), вызываем команду примерно такого вида
wapg.exe -a 0 -M Nl -n 30 -m 21 -t > generated_passwords.txt
и получаем отлично запоминаемые пароли вида
muowlyedaddyijyosyud4 (mu-owl-yed-add-yij-yos-yud-FOUR)
tescircadkichechhelj0 (te-scirc-ad-kich-ech-helj-ZERO)
mis7kliabowpevweshoc2 (mis-SEVEN-kliab-owp-ev-wes-hoc-TWO)
cuedvockwiuknabnanun9 (cued-vock-wi-u-knab-nan-un-NINE)
gethyacoycsor6fribdaf (geth-yac-oycs-or-SIX-frib-daf)
fliehiwatphungiffops2 (flie-hi-watph-ung-iff-ops-TWO)
phefweacwaujnihejfak0 (phef-weac-wauj-ni-hej-fak-ZERO)
Поверьте они запоминаются на раз-два. особенно легко если брать не генеренные а комбинировать свой пароль из разных кусков сгенеренных паролей. Я при помощи такого метода уже лет пять держу в уме десяток 18-20-символьных паролей непохожих друг на друга. Они запоминаются просто как фразы…
Вот, например, что из свежесгенеренного выше можно собрать (если добавить 2-3 правила типа слова — с заглавной буквы, после 2х слов — цифра и каждая пара слов разделяется точкой):
Mizz6Fly.Kich4Knab.Frib9 — звучит как музыка — мизз-сикс-флай-дот-кич-фо-кнаб-дот-фриб-найн
И такой пароль в случае чего — очень легко продиктовать по телефону или мнемонически вспомнить по ассоциациям — например — «шестая мисс летела на кухню за печеньем ( такая ассоциация =) ), бесплатным для девятки». А эту ассоциацию можно легко вписать в password hint или Secret Question — никто не догадается.
Да, я все-таки пользуюсь утилитой хранения KeePass но больше для бэкапа основной памяти, а не как основной источник хранения =).
Это отличная вещь. Сам давно пользуюсь APG Online.
Что вы делаете, если ресурс сделан дебилами и пароль ограничен по длине и допускает только буквы и цифры?
[offtop]
А почему бы для хабра не использовать MySecrEt+*habrahabr_83?
[/offtop]
А почему бы для хабра не использовать MySecrEt+*habrahabr_83?
[/offtop]
Меня ругают, конечно, некоторые товарищи, но я использую:
echo MySecrET+$domain | md5sum
RE: Что вы делаете, если ресурс сделан дебилами и пароль ограничен по длине и допускает только буквы и цифры?
А зачем ресурсы, сделанные дебилами?
Если очень нужны — мылить в соппорт.
Метод не достаточно надёжен простив соц инженерии. Тем более что в качестве «соли» Вы предлагаете использовать не настоящую «соль», а ассоциацию с ресурсом.
По поводу недоверия к менеджерам паролей — параноики напишут свой.
А зачем ресурсы, сделанные дебилами?
Если очень нужны — мылить в соппорт.
Метод не достаточно надёжен простив соц инженерии. Тем более что в качестве «соли» Вы предлагаете использовать не настоящую «соль», а ассоциацию с ресурсом.
По поводу недоверия к менеджерам паролей — параноики напишут свой.
Что значит недостаточно надежен против социнженерии? Насколько я знаю, социнженерия использует человеческий фактор и недостаточно надежным можете быть вы, но не метод. И что такое «настоящая соль» не совсем понятно.
А по поводу «своего» — Шнайер писал: «Если вы решили написать свой алгоритм шифрования, то вы либо гений, либо идиот. С учетом отношения гениев и идиотов в наше время шансов у вас не так уж много».
А по поводу «своего» — Шнайер писал: «Если вы решили написать свой алгоритм шифрования, то вы либо гений, либо идиот. С учетом отношения гениев и идиотов в наше время шансов у вас не так уж много».
А метод в который заложен чел фактор, не становится не надёжным?
Это значит что «Первая пришедшая в голову. » может быть угадана/подобрана, а что бы мне быть достаточно надёжным, пользуюсь Вашим методом, следует использовать не первую пришедшую ассоциацию, но при этом теряется удобство использования.
«Настоящая» соль, почитайте про md5+salt, можно здесь ru.wikipedia.org/wiki/Salt:
«Перед хешированием к паролю добавляются случайные символы — «salt» (соль, от англ. add salt to sth. — сделать что-л. более интересным, в русскоязычных источниках иногда используется термин «затравка»).», где ключевые слова «случайные символы», поэтому «ассоциация с ресурсом» по моему не настоящая соль.
А по поводу «своего» — Шнайер писал именно про алгоритм, а если Вы не заметили, я писал о менеджерах паролей.
Это значит что «Первая пришедшая в голову. » может быть угадана/подобрана, а что бы мне быть достаточно надёжным, пользуюсь Вашим методом, следует использовать не первую пришедшую ассоциацию, но при этом теряется удобство использования.
«Настоящая» соль, почитайте про md5+salt, можно здесь ru.wikipedia.org/wiki/Salt:
«Перед хешированием к паролю добавляются случайные символы — «salt» (соль, от англ. add salt to sth. — сделать что-л. более интересным, в русскоязычных источниках иногда используется термин «затравка»).», где ключевые слова «случайные символы», поэтому «ассоциация с ресурсом» по моему не настоящая соль.
А по поводу «своего» — Шнайер писал именно про алгоритм, а если Вы не заметили, я писал о менеджерах паролей.
Ну если смотреть под таким углом, то в любом случае человеческий фактор пристуствует, ведь компьютером пользуется человек.
«Соль» здесь — не в смысле случайной соли, а в смысле куска пароля. Не нравится термин? Ну придумайте другой.
А менеджер паролей вы на чем напишете? Где пароли будут лежать? Будет ли менеджер паролей постоянно доступен? Как будет регулироваться доступ к паролям? Как пароли будут зашифрованы? Какой длины ключ, сколько в нем реальной энтропии? Вопросов слишком много, и вряд ли у вас получится написать что-то безопасное. К тому же вы вряд ли решите главную проблему менеджеров паролей — «хранение всех яиц в одной корзине».
«Соль» здесь — не в смысле случайной соли, а в смысле куска пароля. Не нравится термин? Ну придумайте другой.
А менеджер паролей вы на чем напишете? Где пароли будут лежать? Будет ли менеджер паролей постоянно доступен? Как будет регулироваться доступ к паролям? Как пароли будут зашифрованы? Какой длины ключ, сколько в нем реальной энтропии? Вопросов слишком много, и вряд ли у вас получится написать что-то безопасное. К тому же вы вряд ли решите главную проблему менеджеров паролей — «хранение всех яиц в одной корзине».
а можно придумать слово, сделать его md5 и использовать как пароль…
Скажу одно, добгое время пытался супругу приучить к человеческим поролям, вместо от простого «1» до по её мнению ужасно сложного «zxc12345654321». А вот тут получилось. Респект.
Также дошел до подобного, только писал часть (не полностью) домена сайта+маску, которая одинакова для всех.
Конечно, имея алгоритм и маску можно возвратить пароль для других сайтов, но это сделать автоматизированно не получится. Да и подобные пароли применять стоит только для сайтов, вызывающих опасение.
Конечно, имея алгоритм и маску можно возвратить пароль для других сайтов, но это сделать автоматизированно не получится. Да и подобные пароли применять стоит только для сайтов, вызывающих опасение.
Использую для генерации пароля статистические и динамические тэги. Тестирую уже этот способ 8 месяцев довольный =)
Суть проста статистические тэги — это теги, которые не забыть: цвет глаз, дата рождения, имя и т.п., а динамические — это тэги, которые вы выбираете в качестве алгоритма для генерации везде уникального пароля, это может быть адрес сайта, название, цвет и д.р.
Сам скрипт — psw.wirtel.ru/
…боюсь хабра-эффекта, но пост старый думаю не умру; )
Суть проста статистические тэги — это теги, которые не забыть: цвет глаз, дата рождения, имя и т.п., а динамические — это тэги, которые вы выбираете в качестве алгоритма для генерации везде уникального пароля, это может быть адрес сайта, название, цвет и д.р.
Сам скрипт — psw.wirtel.ru/
…боюсь хабра-эффекта, но пост старый думаю не умру; )
Sign up to leave a comment.
Придумываем сложные и легко запоминаемые пароли