Pull to refresh

Comments 74

UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
И первый же троян всё утащит что надо =)
хе-хе

Трояны они такие, да
UFO just landed and posted this here
А ключик в яйце, яйцо в утке, утка – в зайце, заяц – в сундуке, сундук — на дереве.
Ну и к сундуку, конечно, тоже нужен ключик…
Ключик в яйце, яйцо в утке, утка – в зайце, заяц – в шоке.
Поэтому юзается никс. :)
паяльник у них какой то странной формы
Ой, не нравится мне идея с ключиком… Бэды, потерянные флешки… Да мало ли что может случиться с файлом, без которого база не откроется. Хотя, каждый волен поступать по-своему.
UFO just landed and posted this here
А я почему то ставлю на все сложные сервисы пароль такой, который мне прислала icq.com, когда у меня угоняли шестизнак. Почему-то я его запомнил и пользуюсь.

И знаете что, когда набираешь этот пароль на сотке на swype-клаве, цифры в пароле идут как раз за буквами, на которых они находятся. Например ***g6*(нажимаем 1 раз — «g», держим долго — «6» ) ии, черт возьми, это так удобно!

Когда буду придумывать следующие пароли, обязательно предусмотрю, чтобы их было просто набирать на клаве сотового.
Я предпочитаю комбинации паролей. Придумал в своё время несколько паролей, назовём их ключевыми, дальнейшие пароли являются симбиозом 2 или 3 первоначальных паролей. Обычная длина 15-20 символов.
У меня пароль — имя персонажа из книги, имяфамилия, набранное английскими буквами по русской раскладке.

Типа Джеймс Бонд = l;tqvc,jyl
Естественно, имя не самое известное :)
с мобилы весело такие пароли набирать
А во всех русских базах уже таких комбинаций ну прямо хватает. Неужели вы думаете скриптом сложно сгенерировать великий словарь Даля в английской раскладке?
В этом словаре есть такой себе Игар Харрингтон? Это я имя сейчас придумал, но то что я использую не менее оригинальное :)
UFO just landed and posted this here
как забыть про моллюсков? техника абсурда сработала)
Мой основной пароль когда-то давно сгенерировал phpMyAdmin при добавлении нового юзера. Прижился… Тоже часто использую его в комбинации с другими. Кроме того, подразделяю пароли по месту использования. Для всех ресурсов, на которых производятся какие-либо операции с деньгами использую сложный длинный пароль, а для всяких социалок — попроще и покороче.
Интересно, есть ли в словарях для брутфорса математические константы? Ну там — π, e, число Авогадро…
Как таковых, мне кажется, нет. Но в любом случае, брутфорс не видит разницы между константой и простой последовательностью цифр.
«Один из самых надежных способов запомнить пароль – многократно набрать его на клавиатуре.»
Вот это точно.

Жена долго сопротивлялась запоминанию пароля к почте (установил ей пароль вида «drh8E%8a0i»). И постоянно просила «войди» да «набери»…

Надоело.

Заставил набрать под диктовку раз. Второй. Третий. Дальше уже сама почти запомнила, только переспрашивала что там дальше. Ну и раза с 10го уже полностью сама и вот, до сих пор без проблем входит. А она человек далёкий от компьютеров.
Причем запоминают руки. Я заученный таким образом пароль помнится долго вспоминал при входе с мобильного, при том что на qwerty-клавиатуре таких проблем не было.
Одно дело — запомнить один такой пароль. Другое дело — менять этот пароль скажем раз в месяц и запоминать уже его.
А я столкнулся с тем, что сгенерированные пароли очень неудобные для ввода с телефона или планшета…
Использовать специальные версии программы, конечно выход, но не во всех случаях.
Поэтому стараюсь придумывать теперь и удобные для ввода, и более-менее надежные…

А вообще, имхо, если захотят добраться именно до Ваших данных, то все равно какой сложности пароль.
Да и стали чаще сливать целый базы пользователей, где пароль отдельного пользователя вообще роли не играет.
Цифро-буквенный 40-bit hex является вполне пристойным компромиссом между набираемостью вручную и стойкостью.
UFO just landed and posted this here
> «Чтобы понимать всю глубину проблемы, пару строк посвящу методике взлома. Итак, как же злоумышленник может узнать/угадать/подобрать ваш пароль?»

Забыли еще категорию: утюг и др. средства физ. воздействия на обладателя пароля.
<сарказм> Я тебя по IP вычислю и приеду с друзьями </сарказм>
Мне эти тэги напоминают классический закадровый смех. Сарказм не нуждается в явном обозначении, иначе он перестаёт им быть.
«Я не боюсь быть неправильно понятым
И не рассчитываю на дебилов
Хорошая шутка, как я её знаю,
Обязана быть сказанной с убийственно серьёзной миной»

(с) Тараканы! — Восклицания знаки
image

Если вы об этом, то нет, не забыл. Просто в рамках этой заметки нет смысла рассматривать такие радикальные методы и способы защиты.
Я придумываю простые легко запоминающиеся фразы в 20-60 символов.
UFO just landed and posted this here
Марк Бернет — затейник. Во втором рецепте предлагает использовать инъекции.
Поделюсь и я своим методом, может кому пригодится.

Префикс + тело пароля (вседа разное, формируется из моих ассоциаций для каждого конкретного случая). После полученная строка видоизменяется применением заранее придуманных правил. Например: каждый четный символ набирается в другой раскладке и с зажатой клавишей shift, а некоторые буквы и цифры пишутся в leet.
На выходе получается: уникальный для каждого случая пароль, благодаря префиксу он имеет длину не менее какого-то нужного количества символов и состоит из букв в разном регистре, цифр и спец. символов. Плюс такой пароль очень легко вспомнить.
если собрать на хабре все топики про пароли и комментарии к ним можно написать самого мощного в мире брутфорсера) Это я к тому что не совсем понимаю стремление всех поделиться своим способом придумывания пароля при том что такая щедрость уменьшает надежность придуманного способа.
Ничего люди не жалеют ради общего блага.
Note: The examples below are based on 100 password request per second. The result is the approach that is the most effective way to hack that specific password — either being by the use of brute-force, common words or dictionary attacks.
The measure of security must then be «how many password requests can the automated program make — e.g. per second». The actual number varies, but most web applications would not be capable of handling more than 100 sign-in requests per second.
Т.е. речь идет именно о подборе пароля к веб-сервисам, что накладывает ограничения по количеству возможных попыток в единицу времени.
В «ПК для чайников» рекомендуется так:

1.Взять книжку
2.Вслепую открыть на любой странице и ткнуть карандашом. Записать первое слово.
3.Вслепую открыть на любой странице и записать её номер.
4.Вслепую открыть на любой странице и ткнуть карандашом. Записать второе слово.
5.Если два слова склеиваются в словарное составное (foot ball), то повторить со второго шага.
6.Применять «первое слово»«номер»«второе слово»

если полученное записать ещё и на 1337, то получится совсем злостно
UFO just landed and posted this here
Простой метод:
1) берем генератор паролей или онлайн-сервис
2) генерируем 40-50 стойких паролей
3) глазами выбираем более-менее запоминающийся
4) запоминаем его, набираем раз 5-10
5) profit
Полагаю, они собираются в словарик, который через эндцать недель будет лежать на бухте.
forensics.ru/InFuWo.htm

2.7

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?

Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях…

– «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль «Pft,bcm» подойдёт?

– Вряд ли. Он тоже словарный.

– Но как же? Это же…

– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.

– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.
Вот самый простой и надежный пароль — ı̸̸̱̳͚͈͍͛͗̿͆̐ͧ̒̍̔̒̎ͤ͐̊̿̉ʇ̨̧̩̤̜̥͖͙̭̉̃ͧ̐ͤͩ̓̚͢ͅ ̢̙͚̻̤͖͉̥͖̟̲̯̰͕͓̝̌̒̐ͪͩ̇͡s͇̣̲͇͑̿̍̑ͭ̀͞ɥ̴̊̾ͫ̋̎̎́̎ͦ͊̄ͨ͊̀͟͞҉̭͎͔̗̺ǫ̢̱̩̯̮͙͔̟̮͕͚̣̠̭͙̒ͮ͗̄̏͟ņ̢͔͕̠̯̰̤͍̙̙͕̜͒ͯͩ́͘͞͞ͅן̨̢̛̭̼̳̞͔͍̜̯̩͉̰͔̻̬͈̜ͩ̍ͫ̃͒̄͛ͤ̎͛̀ͮͣ͝ͅp̡̲̟̺̹̳̜ͨͭ̃͛͋̆̆̊́̎̅͗ͣ̋̕ ̾̐͐̿͐͒̉͑͗ͪ̎̈̃̂ͯ̌̋҉̸͙̟̬̪͉̕͡͡ɥ̡̗̞̪̱̲͉̞̜̝̭͍̳͈̗̮͚̣̦̀ͣ͌̓̿ͭ̽ͯ͗̒̏̐̊̀ͧ͒͢ɐ̢͌̎́ͣͣ̅̂ͥ͊̍̑ͦ̏̅̒̊ͣ̽҉͙̖̞͚͔̥͇̫̥̯̫͓͎̳̻͚̺̱̦͢͠ʌ̴̡̣͓͈̙̞̮̝̩͙̥̦̝̝̖̃͐͗ͩ͠ǝͥ̒ͣ͆̏ͪͯ̆ͪ͆ͧ̆̾ͥͩ҉͏͍͎͚ ̸̢̹̟̭̹̪̹̳̺̲̯̮̭͕̮̲̱̞̞ͦ͐͗̌ͪͫ̂̅͌ͨ͋̇̀̚̚ͅɯ̵̛̣͓̼̬̦͉͙̹̣̦͈͓ͦ͗͆̆̿͌̅́̍͐̈́̍ͪ̐̓̀̚͜o̧̹͔̣͔͈͎̳̯̹͈̔̐ͮͨ͊͒̉͌̽̀ɹ̧̡̧͎̳̙͚̼͕͉̖̼̮̞͈͍͔̹̒̓ͤ̐ͫ̈́̆ͯͥͧ͆ͨ̓ͩ̀̑͂̕͝ǝ̞͈̞̖̰͔̓͋̾̉ͧ͑̐͗̌ͯ͗́̅ͭ̃͛͜͞ ̓͐̈̂͋ͬ҉͚̫̦̜̖̺̳̹̱͇̝̪̪̟̱̪͎́ʇ̶͎͚͎̲̥̘̘̗̰̟̭̓͒ͤ̋͆̿̃̊̈͆͊͋̿́̀̚͢͠ͅɥ̨̡͖̮͈͔̯̰͇̹̳̗͚̏̓̾ɐ̰͈͓̻̤̩̗̺͔͚̝̌̈́͛̀̅̆͒͌̂ͭ̎̍ͫͥ̀ͬͪ̀ͅu̴̵̧̘̜̹̩̺͚̙ͪ̌̅̓͐̍̇̓͑ͫ̒ͯ͋ͧ̑͂͛ͅͅ ̨̨̭͈̠͇̗͓̹̣̲̳̞̱̠̭̱̮͔̑ͩͭ̊̌̓͆̋̉̍5̵̢̖̝̤̼̮̰̠̻̪̞͍̜͇̖̹̫̋ͣ̐͑ͤͦ̎͆̏̈̂͆̍ͥ͌̇͊ ̟̘̱̘̩͔̖̬̟̥͈̲̗̖̥̯̈̎̍̆͂̑̉̅̒̏ͥ̊ͯ͑ͩͪ̔́̀̕͞ͅɟ̢̢̡̳͕̪̪͇̞͓̺̺̲̞̀̑̇̎ͣ̎ͨ̀̚͞ɹ̐ͭͭ̉͒ͯ͋ͥͦͧͪͣ͏̵̞̤͔͍̗̥͈̲͓̭͓͖͕͝͞ɐ̨̡̿̔ͯ͌̃ͨͪ͂͛̃ͭͫ̚͞҉̹͓̱͓̤̠͚́ɯͧ̌̑ͬ̄ͬ͏̸̵͍͔̪͎̦̟͓̰̗͘͠ͅǝ̶̣̗̫̜̤͇ͧ̈̊͛͌̍͟͢ͅs̸̞̭̤͚͕̤̠̺̆̇ͭ̅ͤ̀͢
ı̸̸̱̳͚͈͍͛͗̿͆̐ͧ̒̍̔̒̎ͤ͐̊̿̉ʇ̨̧̩̤̜̥͖͙̭̉̃ͧ̐ͤͩ̓̚͢ͅ ̢̙͚̻̤͖͉̥͖̟̲̯̰͕͓̝̌̒̐ͪͩ̇͡s͇̣̲͇͑̿̍̑ͭ̀͞ɥ̴̊̾ͫ̋̎̎́̎ͦ͊̄ͨ͊̀͟͞҉̭͎͔̗̺ǫ̢̱̩̯̮͙͔̟̮͕͚̣̠̭͙̒ͮ͗̄̏͟ņ̢͔͕̠̯̰̤͍̙̙͕̜͒ͯͩ́͘͞͞ͅן̨̢̛̭̼̳̞͔͍̜̯̩͉̰͔̻̬͈̜ͩ̍ͫ̃͒̄͛ͤ̎͛̀ͮͣ͝ͅp̡̲̟̺̹̳̜ͨͭ̃͛͋̆̆̊́̎̅͗ͣ̋̕ ̾̐͐̿͐͒̉͑͗ͪ̎̈̃̂ͯ̌̋҉̸͙̟̬̪͉̕͡͡ɥ̡̗̞̪̱̲͉̞̜̝̭͍̳͈̗̮͚̣̦̀ͣ͌̓̿ͭ̽ͯ͗̒̏̐̊̀ͧ͒͢ɐ̢͌̎́ͣͣ̅̂ͥ͊̍̑ͦ̏̅̒̊ͣ̽҉͙̖̞͚͔̥͇̫̥̯̫͓͎̳̻͚̺̱̦͢͠ʌ̴̡̣͓͈̙̞̮̝̩͙̥̦̝̝̖̃͐͗ͩ͠ǝͥ̒ͣ͆̏ͪͯ̆ͪ͆ͧ̆̾ͥͩ҉͏͍͎͚ ̸̢̹̟̭̹̪̹̳̺̲̯̮̭͕̮̲̱̞̞ͦ͐͗̌ͪͫ̂̅͌ͨ͋̇̀̚̚ͅɯ̵̛̣͓̼̬̦͉͙̹̣̦͈͓ͦ͗͆̆̿͌̅́̍͐̈́̍ͪ̐̓̀̚͜o̧̹͔̣͔͈͎̳̯̹͈̔̐ͮͨ͊͒̉͌̽̀ɹ̧̡̧͎̳̙͚̼͕͉̖̼̮̞͈͍͔̹̒̓ͤ̐ͫ̈́̆ͯͥͧ͆ͨ̓ͩ̀̑͂̕͝ǝ̞͈̞̖̰͔̓͋̾̉ͧ͑̐͗̌ͯ͗́̅ͭ̃͛͜͞ ̓͐̈̂͋ͬ҉͚̫̦̜̖̺̳̹̱͇̝̪̪̟̱̪͎́ʇ̶͎͚͎̲̥̘̘̗̰̟̭̓͒ͤ̋͆̿̃̊̈͆͊͋̿́̀̚͢͠ͅɥ̨̡͖̮͈͔̯̰͇̹̳̗͚̏̓̾ɐ̰͈͓̻̤̩̗̺͔͚̝̌̈́͛̀̅̆͒͌̂ͭ̎̍ͫͥ̀ͬͪ̀ͅu̴̵̧̘̜̹̩̺͚̙ͪ̌̅̓͐̍̇̓͑ͫ̒ͯ͋ͧ̑͂͛ͅͅ ̨̨̭͈̠͇̗͓̹̣̲̳̞̱̠̭̱̮͔̑ͩͭ̊̌̓͆̋̉̍5̵̢̖̝̤̼̮̰̠̻̪̞͍̜͇̖̹̫̋ͣ̐͑ͤͦ̎͆̏̈̂͆̍ͥ͌̇͊ ̟̘̱̘̩͔̖̬̟̥͈̲̗̖̥̯̈̎̍̆͂̑̉̅̒̏ͥ̊ͯ͑ͩͪ̔́̀̕͞ͅɟ̢̢̡̳͕̪̪͇̞͓̺̺̲̞̀̑̇̎ͣ̎ͨ̀̚͞ɹ̐ͭͭ̉͒ͯ͋ͥͦͧͪͣ͏̵̞̤͔͍̗̥͈̲͓̭͓͖͕͝͞ɐ̨̡̿̔ͯ͌̃ͨͪ͂͛̃ͭͫ̚͞҉̹͓̱͓̤̠͚́ɯͧ̌̑ͬ̄ͬ͏̸̵͍͔̪͎̦̟͓̰̗͘͠ͅǝ̶̣̗̫̜̤͇ͧ̈̊͛͌̍͟͢ͅs̸̞̭̤͚͕̤̠̺̆̇ͭ̅ͤ̀͢

=)
passwordmaker.org позволяет генерировать уникальные пароли для каждого веб-сервиса на основе введенного «супер-пароля»/
существует в виде расширений для всех основных браузеров + онлайн версия + еще куча шашечек, которыми не пользовался.
именно таким образом решил для себя вопрос генерации пароля
Название песни. Причем того исполнителя, которого не слушаешь и никто никак не сможет привязать его к тебе.
Черт, зря раскрылся
Взламывается за 5 секунд по словарю.
Независимо от количества слов в названии?
Выбирайте любую на ваш вкус:
ru.wikipedia.org/wiki/500_величайших_песен_всех_времён_по_версии_журнала_Rolling_Stone

Поймите, все что вы можете придумать сходу (песня, книга, известный бренд, блюдо, ФИО, животное, страна, марка авто, персонаж, фильм, предмет), может быть в словаре, причем объем словаря практически ничем не ограничен и никто не мешает добавлять в него информацию пачками. Наша с вами задача — избежать этого, а вы про песни.
У меня есть еще задача не забыть пароль в отвественный момент.

И в списке совсем немного песен. Выбор намного шире.

И, если словарь не ограничен, тогда можно перебирать все сочетания символов. Но ведь это работает до определенной длины пароля. И опять же, если речь идет о пароле на интернет-сервисе, то перебор даже сотни паролей не так прост. Ну я надеюсь, на программистов :)
Например, первая буква каждого слова какого-нибудь стихотворения.
к примеру:
«ЖЕПЬ ЕБРИЛО» — это вам не гадости!
Не грязь и не сквернословие…

в итоге получается:
:t'dyuYubyc

или это тоже не гут?
Надо почаще менять о на 0, s на $, а на @, 1 на !, 7 на ?, ж на * и т.д. Например, пароль $0$n@ — это просто sosna. Пароль «соня во сне несла сосну» превращается в "$0ny@v0$nene$l@$0$nu".
Кстати, Хабр сам заменяет пароль пользователя на звёздочки для всех, кроме самого пользователя.
Вот мой, например: ********
У всех он будет выглядеть вот так: ********
Ох я бы рыдал, если бы, по стечению обстоятельств, программисты хабра отключили на время эту опцию
Есть ещё такая замечательная программа как Kaspersky Password Manager, умеет хранить учетные записи не только с сайтов, но и учетные записи ПО. Имеется так же встроенный настраиваемый генератор паролей. Опять же как сказал автор, имеется один минус, необходимо запоминать мастер-пароль, при этом программа платная.
UFO just landed and posted this here
Пользую самописный генератор. И удобно, и всегда под рукой, и в инете пароль не появляется, и восстановить, если будет необходимо — не проблема, и применять можно не ток к сайтам — сплошные плюсы.
www.yaap.info/page/online-password-generator

Sign up to leave a comment.

Articles