Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 74
Ой, не нравится мне идея с ключиком… Бэды, потерянные флешки… Да мало ли что может случиться с файлом, без которого база не откроется. Хотя, каждый волен поступать по-своему.
А я почему то ставлю на все сложные сервисы пароль такой, который мне прислала icq.com, когда у меня угоняли шестизнак. Почему-то я его запомнил и пользуюсь.
И знаете что, когда набираешь этот пароль на сотке на swype-клаве, цифры в пароле идут как раз за буквами, на которых они находятся. Например ***g6*(нажимаем 1 раз — «g», держим долго — «6» ) ии, черт возьми, это так удобно!
Когда буду придумывать следующие пароли, обязательно предусмотрю, чтобы их было просто набирать на клаве сотового.
И знаете что, когда набираешь этот пароль на сотке на swype-клаве, цифры в пароле идут как раз за буквами, на которых они находятся. Например ***g6*(нажимаем 1 раз — «g», держим долго — «6» ) ии, черт возьми, это так удобно!
Когда буду придумывать следующие пароли, обязательно предусмотрю, чтобы их было просто набирать на клаве сотового.
Я предпочитаю комбинации паролей. Придумал в своё время несколько паролей, назовём их ключевыми, дальнейшие пароли являются симбиозом 2 или 3 первоначальных паролей. Обычная длина 15-20 символов.
У меня пароль — имя персонажа из книги, имяфамилия, набранное английскими буквами по русской раскладке.
Типа Джеймс Бонд = l;tqvc,jyl
Типа Джеймс Бонд = l;tqvc,jyl
как забыть про моллюсков? техника абсурда сработала)
Мой основной пароль когда-то давно сгенерировал phpMyAdmin при добавлении нового юзера. Прижился… Тоже часто использую его в комбинации с другими. Кроме того, подразделяю пароли по месту использования. Для всех ресурсов, на которых производятся какие-либо операции с деньгами использую сложный длинный пароль, а для всяких социалок — попроще и покороче.
Интересно, есть ли в словарях для брутфорса математические константы? Ну там — π, e, число Авогадро…
«Один из самых надежных способов запомнить пароль – многократно набрать его на клавиатуре.»
Вот это точно.
Жена долго сопротивлялась запоминанию пароля к почте (установил ей пароль вида «drh8E%8a0i»). И постоянно просила «войди» да «набери»…
Надоело.
Заставил набрать под диктовку раз. Второй. Третий. Дальше уже сама почти запомнила, только переспрашивала что там дальше. Ну и раза с 10го уже полностью сама и вот, до сих пор без проблем входит. А она человек далёкий от компьютеров.
Вот это точно.
Жена долго сопротивлялась запоминанию пароля к почте (установил ей пароль вида «drh8E%8a0i»). И постоянно просила «войди» да «набери»…
Надоело.
Заставил набрать под диктовку раз. Второй. Третий. Дальше уже сама почти запомнила, только переспрашивала что там дальше. Ну и раза с 10го уже полностью сама и вот, до сих пор без проблем входит. А она человек далёкий от компьютеров.
А я столкнулся с тем, что сгенерированные пароли очень неудобные для ввода с телефона или планшета…
Использовать специальные версии программы, конечно выход, но не во всех случаях.
Поэтому стараюсь придумывать теперь и удобные для ввода, и более-менее надежные…
А вообще, имхо, если захотят добраться именно до Ваших данных, то все равно какой сложности пароль.
Да и стали чаще сливать целый базы пользователей, где пароль отдельного пользователя вообще роли не играет.
Использовать специальные версии программы, конечно выход, но не во всех случаях.
Поэтому стараюсь придумывать теперь и удобные для ввода, и более-менее надежные…
А вообще, имхо, если захотят добраться именно до Ваших данных, то все равно какой сложности пароль.
Да и стали чаще сливать целый базы пользователей, где пароль отдельного пользователя вообще роли не играет.
> «Чтобы понимать всю глубину проблемы, пару строк посвящу методике взлома. Итак, как же злоумышленник может узнать/угадать/подобрать ваш пароль?»
Забыли еще категорию: утюг и др. средства физ. воздействия на обладателя пароля.
Забыли еще категорию: утюг и др. средства физ. воздействия на обладателя пароля.
<сарказм> Я тебя по IP вычислю и приеду с друзьями </сарказм>
Если вы об этом, то нет, не забыл. Просто в рамках этой заметки нет смысла рассматривать такие радикальные методы и способы защиты.
Я придумываю простые легко запоминающиеся фразы в 20-60 символов.
Марк Бернет — затейник. Во втором рецепте предлагает использовать инъекции.
Поделюсь и я своим методом, может кому пригодится.
Префикс + тело пароля (вседа разное, формируется из моих ассоциаций для каждого конкретного случая). После полученная строка видоизменяется применением заранее придуманных правил. Например: каждый четный символ набирается в другой раскладке и с зажатой клавишей shift, а некоторые буквы и цифры пишутся в leet.
На выходе получается: уникальный для каждого случая пароль, благодаря префиксу он имеет длину не менее какого-то нужного количества символов и состоит из букв в разном регистре, цифр и спец. символов. Плюс такой пароль очень легко вспомнить.
Префикс + тело пароля (вседа разное, формируется из моих ассоциаций для каждого конкретного случая). После полученная строка видоизменяется применением заранее придуманных правил. Например: каждый четный символ набирается в другой раскладке и с зажатой клавишей shift, а некоторые буквы и цифры пишутся в leet.
На выходе получается: уникальный для каждого случая пароль, благодаря префиксу он имеет длину не менее какого-то нужного количества символов и состоит из букв в разном регистре, цифр и спец. символов. Плюс такой пароль очень легко вспомнить.
если собрать на хабре все топики про пароли и комментарии к ним можно написать самого мощного в мире брутфорсера) Это я к тому что не совсем понимаю стремление всех поделиться своим способом придумывания пароля при том что такая щедрость уменьшает надежность придуманного способа.
Note: The examples below are based on 100 password request per second. The result is the approach that is the most effective way to hack that specific password — either being by the use of brute-force, common words or dictionary attacks.
The measure of security must then be «how many password requests can the automated program make — e.g. per second». The actual number varies, but most web applications would not be capable of handling more than 100 sign-in requests per second.Т.е. речь идет именно о подборе пароля к веб-сервисам, что накладывает ограничения по количеству возможных попыток в единицу времени.
В «ПК для чайников» рекомендуется так:
1.Взять книжку
2.Вслепую открыть на любой странице и ткнуть карандашом. Записать первое слово.
3.Вслепую открыть на любой странице и записать её номер.
4.Вслепую открыть на любой странице и ткнуть карандашом. Записать второе слово.
5.Если два слова склеиваются в словарное составное (foot ball), то повторить со второго шага.
6.Применять «первое слово»«номер»«второе слово»
если полученное записать ещё и на 1337, то получится совсем злостно
1.Взять книжку
2.Вслепую открыть на любой странице и ткнуть карандашом. Записать первое слово.
3.Вслепую открыть на любой странице и записать её номер.
4.Вслепую открыть на любой странице и ткнуть карандашом. Записать второе слово.
5.Если два слова склеиваются в словарное составное (foot ball), то повторить со второго шага.
6.Применять «первое слово»«номер»«второе слово»
если полученное записать ещё и на 1337, то получится совсем злостно
Простой метод:
1) берем генератор паролей или онлайн-сервис
2) генерируем 40-50 стойких паролей
3) глазами выбираем более-менее запоминающийся
4) запоминаем его, набираем раз 5-10
5) profit
1) берем генератор паролей или онлайн-сервис
2) генерируем 40-50 стойких паролей
3) глазами выбираем более-менее запоминающийся
4) запоминаем его, набираем раз 5-10
5) profit
Полагаю, они собираются в словарик, который через эндцать недель будет лежать на бухте.
Кто и кем собираются?
forensics.ru/InFuWo.htm
2.7
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях…
– «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль «Pft,bcm» подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
2.7
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях…
– «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль «Pft,bcm» подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Вот самый простой и надежный пароль — ı̸̸̱̳͚͈͍͛͗̿͆̐ͧ̒̍̔̒̎ͤ͐̊̿̉ʇ̨̧̩̤̜̥͖͙̭̉̃ͧ̐ͤͩ̓̚͢ͅ ̢̙͚̻̤͖͉̥͖̟̲̯̰͕͓̝̌̒̐ͪͩ̇͡s͇̣̲͇͑̿̍̑ͭ̀͞ɥ̴̊̾ͫ̋̎̎́̎ͦ͊̄ͨ͊̀͟͞҉̭͎͔̗̺ǫ̢̱̩̯̮͙͔̟̮͕͚̣̠̭͙̒ͮ͗̄̏͟ņ̢͔͕̠̯̰̤͍̙̙͕̜͒ͯͩ́͘͞͞ͅן̨̢̛̭̼̳̞͔͍̜̯̩͉̰͔̻̬͈̜ͩ̍ͫ̃͒̄͛ͤ̎͛̀ͮͣ͝ͅp̡̲̟̺̹̳̜ͨͭ̃͛͋̆̆̊́̎̅͗ͣ̋̕ ̾̐͐̿͐͒̉͑͗ͪ̎̈̃̂ͯ̌̋҉̸͙̟̬̪͉̕͡͡ɥ̡̗̞̪̱̲͉̞̜̝̭͍̳͈̗̮͚̣̦̀ͣ͌̓̿ͭ̽ͯ͗̒̏̐̊̀ͧ͒͢ɐ̢͌̎́ͣͣ̅̂ͥ͊̍̑ͦ̏̅̒̊ͣ̽҉͙̖̞͚͔̥͇̫̥̯̫͓͎̳̻͚̺̱̦͢͠ʌ̴̡̣͓͈̙̞̮̝̩͙̥̦̝̝̖̃͐͗ͩ͠ǝͥ̒ͣ͆̏ͪͯ̆ͪ͆ͧ̆̾ͥͩ҉͏͍͎͚ ̸̢̹̟̭̹̪̹̳̺̲̯̮̭͕̮̲̱̞̞ͦ͐͗̌ͪͫ̂̅͌ͨ͋̇̀̚̚ͅɯ̵̛̣͓̼̬̦͉͙̹̣̦͈͓ͦ͗͆̆̿͌̅́̍͐̈́̍ͪ̐̓̀̚͜o̧̹͔̣͔͈͎̳̯̹͈̔̐ͮͨ͊͒̉͌̽̀ɹ̧̡̧͎̳̙͚̼͕͉̖̼̮̞͈͍͔̹̒̓ͤ̐ͫ̈́̆ͯͥͧ͆ͨ̓ͩ̀̑͂̕͝ǝ̞͈̞̖̰͔̓͋̾̉ͧ͑̐͗̌ͯ͗́̅ͭ̃͛͜͞ ̓͐̈̂͋ͬ҉͚̫̦̜̖̺̳̹̱͇̝̪̪̟̱̪͎́ʇ̶͎͚͎̲̥̘̘̗̰̟̭̓͒ͤ̋͆̿̃̊̈͆͊͋̿́̀̚͢͠ͅɥ̨̡͖̮͈͔̯̰͇̹̳̗͚̏̓̾ɐ̰͈͓̻̤̩̗̺͔͚̝̌̈́͛̀̅̆͒͌̂ͭ̎̍ͫͥ̀ͬͪ̀ͅu̴̵̧̘̜̹̩̺͚̙ͪ̌̅̓͐̍̇̓͑ͫ̒ͯ͋ͧ̑͂͛ͅͅ ̨̨̭͈̠͇̗͓̹̣̲̳̞̱̠̭̱̮͔̑ͩͭ̊̌̓͆̋̉̍5̵̢̖̝̤̼̮̰̠̻̪̞͍̜͇̖̹̫̋ͣ̐͑ͤͦ̎͆̏̈̂͆̍ͥ͌̇͊ ̟̘̱̘̩͔̖̬̟̥͈̲̗̖̥̯̈̎̍̆͂̑̉̅̒̏ͥ̊ͯ͑ͩͪ̔́̀̕͞ͅɟ̢̢̡̳͕̪̪͇̞͓̺̺̲̞̀̑̇̎ͣ̎ͨ̀̚͞ɹ̐ͭͭ̉͒ͯ͋ͥͦͧͪͣ͏̵̞̤͔͍̗̥͈̲͓̭͓͖͕͝͞ɐ̨̡̿̔ͯ͌̃ͨͪ͂͛̃ͭͫ̚͞҉̹͓̱͓̤̠͚́ɯͧ̌̑ͬ̄ͬ͏̸̵͍͔̪͎̦̟͓̰̗͘͠ͅǝ̶̣̗̫̜̤͇ͧ̈̊͛͌̍͟͢ͅs̸̞̭̤͚͕̤̠̺̆̇ͭ̅ͤ̀͢
а что вы это здесь нарисовали? :)
ı̸̸̱̳͚͈͍͛͗̿͆̐ͧ̒̍̔̒̎ͤ͐̊̿̉ʇ̨̧̩̤̜̥͖͙̭̉̃ͧ̐ͤͩ̓̚͢ͅ ̢̙͚̻̤͖͉̥͖̟̲̯̰͕͓̝̌̒̐ͪͩ̇͡s͇̣̲͇͑̿̍̑ͭ̀͞ɥ̴̊̾ͫ̋̎̎́̎ͦ͊̄ͨ͊̀͟͞҉̭͎͔̗̺ǫ̢̱̩̯̮͙͔̟̮͕͚̣̠̭͙̒ͮ͗̄̏͟ņ̢͔͕̠̯̰̤͍̙̙͕̜͒ͯͩ́͘͞͞ͅן̨̢̛̭̼̳̞͔͍̜̯̩͉̰͔̻̬͈̜ͩ̍ͫ̃͒̄͛ͤ̎͛̀ͮͣ͝ͅp̡̲̟̺̹̳̜ͨͭ̃͛͋̆̆̊́̎̅͗ͣ̋̕ ̾̐͐̿͐͒̉͑͗ͪ̎̈̃̂ͯ̌̋҉̸͙̟̬̪͉̕͡͡ɥ̡̗̞̪̱̲͉̞̜̝̭͍̳͈̗̮͚̣̦̀ͣ͌̓̿ͭ̽ͯ͗̒̏̐̊̀ͧ͒͢ɐ̢͌̎́ͣͣ̅̂ͥ͊̍̑ͦ̏̅̒̊ͣ̽҉͙̖̞͚͔̥͇̫̥̯̫͓͎̳̻͚̺̱̦͢͠ʌ̴̡̣͓͈̙̞̮̝̩͙̥̦̝̝̖̃͐͗ͩ͠ǝͥ̒ͣ͆̏ͪͯ̆ͪ͆ͧ̆̾ͥͩ҉͏͍͎͚ ̸̢̹̟̭̹̪̹̳̺̲̯̮̭͕̮̲̱̞̞ͦ͐͗̌ͪͫ̂̅͌ͨ͋̇̀̚̚ͅɯ̵̛̣͓̼̬̦͉͙̹̣̦͈͓ͦ͗͆̆̿͌̅́̍͐̈́̍ͪ̐̓̀̚͜o̧̹͔̣͔͈͎̳̯̹͈̔̐ͮͨ͊͒̉͌̽̀ɹ̧̡̧͎̳̙͚̼͕͉̖̼̮̞͈͍͔̹̒̓ͤ̐ͫ̈́̆ͯͥͧ͆ͨ̓ͩ̀̑͂̕͝ǝ̞͈̞̖̰͔̓͋̾̉ͧ͑̐͗̌ͯ͗́̅ͭ̃͛͜͞ ̓͐̈̂͋ͬ҉͚̫̦̜̖̺̳̹̱͇̝̪̪̟̱̪͎́ʇ̶͎͚͎̲̥̘̘̗̰̟̭̓͒ͤ̋͆̿̃̊̈͆͊͋̿́̀̚͢͠ͅɥ̨̡͖̮͈͔̯̰͇̹̳̗͚̏̓̾ɐ̰͈͓̻̤̩̗̺͔͚̝̌̈́͛̀̅̆͒͌̂ͭ̎̍ͫͥ̀ͬͪ̀ͅu̴̵̧̘̜̹̩̺͚̙ͪ̌̅̓͐̍̇̓͑ͫ̒ͯ͋ͧ̑͂͛ͅͅ ̨̨̭͈̠͇̗͓̹̣̲̳̞̱̠̭̱̮͔̑ͩͭ̊̌̓͆̋̉̍5̵̢̖̝̤̼̮̰̠̻̪̞͍̜͇̖̹̫̋ͣ̐͑ͤͦ̎͆̏̈̂͆̍ͥ͌̇͊ ̟̘̱̘̩͔̖̬̟̥͈̲̗̖̥̯̈̎̍̆͂̑̉̅̒̏ͥ̊ͯ͑ͩͪ̔́̀̕͞ͅɟ̢̢̡̳͕̪̪͇̞͓̺̺̲̞̀̑̇̎ͣ̎ͨ̀̚͞ɹ̐ͭͭ̉͒ͯ͋ͥͦͧͪͣ͏̵̞̤͔͍̗̥͈̲͓̭͓͖͕͝͞ɐ̨̡̿̔ͯ͌̃ͨͪ͂͛̃ͭͫ̚͞҉̹͓̱͓̤̠͚́ɯͧ̌̑ͬ̄ͬ͏̸̵͍͔̪͎̦̟͓̰̗͘͠ͅǝ̶̣̗̫̜̤͇ͧ̈̊͛͌̍͟͢ͅs̸̞̭̤͚͕̤̠̺̆̇ͭ̅ͤ̀͢
=)
=)
Уже нет.
passwordmaker.org позволяет генерировать уникальные пароли для каждого веб-сервиса на основе введенного «супер-пароля»/
существует в виде расширений для всех основных браузеров + онлайн версия + еще куча шашечек, которыми не пользовался.
именно таким образом решил для себя вопрос генерации пароля
существует в виде расширений для всех основных браузеров + онлайн версия + еще куча шашечек, которыми не пользовался.
именно таким образом решил для себя вопрос генерации пароля
Название песни. Причем того исполнителя, которого не слушаешь и никто никак не сможет привязать его к тебе.
Черт, зря раскрылся
Черт, зря раскрылся
Взламывается за 5 секунд по словарю.
Независимо от количества слов в названии?
Выбирайте любую на ваш вкус:
ru.wikipedia.org/wiki/500_величайших_песен_всех_времён_по_версии_журнала_Rolling_Stone
Поймите, все что вы можете придумать сходу (песня, книга, известный бренд, блюдо, ФИО, животное, страна, марка авто, персонаж, фильм, предмет), может быть в словаре, причем объем словаря практически ничем не ограничен и никто не мешает добавлять в него информацию пачками. Наша с вами задача — избежать этого, а вы про песни.
ru.wikipedia.org/wiki/500_величайших_песен_всех_времён_по_версии_журнала_Rolling_Stone
Поймите, все что вы можете придумать сходу (песня, книга, известный бренд, блюдо, ФИО, животное, страна, марка авто, персонаж, фильм, предмет), может быть в словаре, причем объем словаря практически ничем не ограничен и никто не мешает добавлять в него информацию пачками. Наша с вами задача — избежать этого, а вы про песни.
У меня есть еще задача не забыть пароль в отвественный момент.
И в списке совсем немного песен. Выбор намного шире.
И, если словарь не ограничен, тогда можно перебирать все сочетания символов. Но ведь это работает до определенной длины пароля. И опять же, если речь идет о пароле на интернет-сервисе, то перебор даже сотни паролей не так прост. Ну я надеюсь, на программистов :)
И в списке совсем немного песен. Выбор намного шире.
И, если словарь не ограничен, тогда можно перебирать все сочетания символов. Но ведь это работает до определенной длины пароля. И опять же, если речь идет о пароле на интернет-сервисе, то перебор даже сотни паролей не так прост. Ну я надеюсь, на программистов :)
Например, первая буква каждого слова какого-нибудь стихотворения.
к примеру:
«ЖЕПЬ ЕБРИЛО» — это вам не гадости!
Не грязь и не сквернословие…
в итоге получается:
:t'dyuYubyc
или это тоже не гут?
к примеру:
«ЖЕПЬ ЕБРИЛО» — это вам не гадости!
Не грязь и не сквернословие…
в итоге получается:
:t'dyuYubyc
или это тоже не гут?
Надо почаще менять о на 0, s на $, а на @, 1 на !, 7 на ?, ж на * и т.д. Например, пароль $0$n@ — это просто sosna. Пароль «соня во сне несла сосну» превращается в "$0ny@v0$nene$l@$0$nu".
Кстати, Хабр сам заменяет пароль пользователя на звёздочки для всех, кроме самого пользователя.
Вот мой, например: ********
У всех он будет выглядеть вот так: ********
Вот мой, например: ********
У всех он будет выглядеть вот так: ********
Есть ещё такая замечательная программа как Kaspersky Password Manager, умеет хранить учетные записи не только с сайтов, но и учетные записи ПО. Имеется так же встроенный настраиваемый генератор паролей. Опять же как сказал автор, имеется один минус, необходимо запоминать мастер-пароль, при этом программа платная.
Пользую самописный генератор. И удобно, и всегда под рукой, и в инете пароль не появляется, и восстановить, если будет необходимо — не проблема, и применять можно не ток к сайтам — сплошные плюсы.
www.yaap.info/page/online-password-generator
www.yaap.info/page/online-password-generator
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Простой и надежный пароль – коллективное творчество