Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 54
Только вот если большая часть людей будет использовать такие пароли, то подобрать их будет очень легко: по словарю.
Хотя с нашим «Великим и Могучим» меняем падеж, склонение, род (и чего-нибудь еще) и уже будет сложнее.
Хотя с нашим «Великим и Могучим» меняем падеж, склонение, род (и чего-нибудь еще) и уже будет сложнее.
Я бы не был настолько оптимистичным в оценке.
Я думаю не сильно ошибусь, если предположу, что для подобных паролей ~80% пользователей использовало бы < 1k слов. Оценки совершенно с потолка, только что бы сказать что 10к слов в словаре подбора это излишне много, меньший словарь будет более результативным.
Ну и редко когда целью злоумышлеников является конкретный человек, чаще ломают сразу всех, что увеличивает вероятность подобрать пароль хоть к какому-то хэшу (помните парадокс дней рождений?).
Не скажу что система с обязательными заглавными/цифрами и прочим эффективней, но для подбора, как мне кажется, сложнее.
Я думаю не сильно ошибусь, если предположу, что для подобных паролей ~80% пользователей использовало бы < 1k слов. Оценки совершенно с потолка, только что бы сказать что 10к слов в словаре подбора это излишне много, меньший словарь будет более результативным.
Ну и редко когда целью злоумышлеников является конкретный человек, чаще ломают сразу всех, что увеличивает вероятность подобрать пароль хоть к какому-то хэшу (помните парадокс дней рождений?).
Не скажу что система с обязательными заглавными/цифрами и прочим эффективней, но для подбора, как мне кажется, сложнее.
в тему
runs забыли
«Бежался, бежалась, бежались, бежалось...» — что-то новенькое?
Ну и явно продолжение списка тоже имело место быть — предлогов использовано очень мало хотя бы.
Ну и явно продолжение списка тоже имело место быть — предлогов использовано очень мало хотя бы.
С длинными паролями из нескольких обычных слов есть 2 основные проблемы:
1. (маленькая) если вдруг вы начали вводить пароль в поле не для пароля (без звёздочек), то человек позади вас легко поймёт и запомнит его. С буквенно-символьными сложнее — ошибка даже в одном символе сделает перебор возможных вариантов гораздо более трудоёмким.
2. (большая) многие сайты тупо не принимают пароли без цифр и спецсимволов. Причём подобрать такие спецсиволы, которые бы удовлетворяли условиям всех сайтов, надо ещё постараться.
1. (маленькая) если вдруг вы начали вводить пароль в поле не для пароля (без звёздочек), то человек позади вас легко поймёт и запомнит его. С буквенно-символьными сложнее — ошибка даже в одном символе сделает перебор возможных вариантов гораздо более трудоёмким.
2. (большая) многие сайты тупо не принимают пароли без цифр и спецсимволов. Причём подобрать такие спецсиволы, которые бы удовлетворяли условиям всех сайтов, надо ещё постараться.
1. Ну так люди (американцы, во всяком случае) боятся в первую очередь того, что их данные украдут с сервера. Так было не раз.
А человека за спиной вроде особо не боятся.
2. Так об этом и речь, что сайты требуют не того, чего надо. Вот эта фраза «Мы научили людей...» — она же как раз об этом.
А человека за спиной вроде особо не боятся.
2. Так об этом и речь, что сайты требуют не того, чего надо. Вот эта фраза «Мы научили людей...» — она же как раз об этом.
Ещё стоит учитывать максимальную разрешённую длину, а то решите использовать свой красивый пароль а-ля «beleaguered Three! 15 red-bound tailored pants», а он окажется слишком длинным.
мне всегда было очень интересно, что заставляет разработчиков делать ограничения на длину пароля. если хранится хэш (а именно он и должен храниться), то можно хоть мегабайтную длину разрешать.
Меня больше убивали подсказки вида «Мы установили ограничение пароля в 10 символов, чтобы вам было удобно его запомнить». Офигеть как неудобно придумывать специально для них 10-символьный пароль, когда обычные пароли в среднем из 13+ букв + 3+ цифр состоят. Еще приятнее, когда при авторизации нигде нету упоминания что было ограничение пароля в 10 символов и начинаешь вспоминать, какой же пароль и почему не подходят стандартные пароли для всякой фигни.
самая большая практическая проблема — это ввод такого пароля не на qwerty-клавиатуре, например на смартфоне (это если пароль вводить русскими словами, но в англ. раскладке. Ибо русские символы не принимают поголовное количество ресурсов)
Например, у яндекса на ЯД платежный пароль не разрешает использовать спецсимволы. При установке такого пароля — он говорит, что пароль содержит недопустимые символы, а вот когда ты его вводишь — никаких предупреждение не возникает. Иногда я ввожу не тот пароль, поскольку пришлось делать специальный вариант пароля без таких символов.
Не давать подсказки при вводе — это как раз правильно. Мой банк при вводе пароля на сайте подсвечивает поле красным, как только я нажимаю невалидный спец символ — отличный повод дать понять человеку, сидящему рядом, что на этой позиции у меня в пароле обычно один из нескольких запрещённых символов. Это, конечно, несмертельно, но всё равно нарушает идею звёздочек в пароле.
Не давать подсказки при вводе — это как раз правильно.
На каждый символ реагировать конечно неправильно (вспомнился один биос в 90-х — писал wrong password как только неправильній символ был введен :), но сообщать, что пароль имеет недопустимый формат нужно. Злоумышленник почти наверняка изучит формат паролей (хотя бы чтобы снизить количество вариантов перебора), а вот простым пользователям может уйму неприятностей приносить. Я уже задолбал один из своих банков постоянно сбрасывая пароли — какое-тупое ограничение, но при вводе не даёт подсказки о неправильном формате, а после трех попыток блокирует доступ.
Так достаточно одного пароля.
Для програмы хранения паролей ;)
Для програмы хранения паролей ;)
Причём подобрать такие спецсиволы, которые бы удовлетворяли условиям всех сайтов, надо ещё постараться.
Это невозможно. Одни сайты требуют присутствие не альфанум символов, а другие их запрещают.
Моя прекрасная система паролей, где имеется два условно десятисимвольных слова, понятных только мне, плюс обязательное окончание, длинной в несколько символов, выбираемое из моего списка окончаний на все случаи жизни (где нужны спецсимволы, верхний регистр, или цифры) — уже дважды разбивалась о реальность. На одном сайте было ограничение по длине пароля — типа не более 15 символов, на другом — «обязательно начинайте с цифры». Был очень огорчен.
В детстве, читая журнал «Юный техник» я наткнулся на некое слово — химический термин, состоящее из 33 букв.
Не помню уже зачем, может быть ради проверить себя, взял и заучил его наизусть… Слово состоит из нескольких частей, каждая из кторых может быть самостоятельным словом.
Когда настало время интернетов и паролей, стал использовать различные сочетания этих слов-частей, набиваемых русским языком по английской раскладке.
Для простых случаев использую сочетание имени фамилии родственников, набиваемых опять же по английской раскладке, например YfnfkmzCbljhjdf47 в конце ставлю номер квартиры в которой родственник проживает.
Не помню уже зачем, может быть ради проверить себя, взял и заучил его наизусть… Слово состоит из нескольких частей, каждая из кторых может быть самостоятельным словом.
Когда настало время интернетов и паролей, стал использовать различные сочетания этих слов-частей, набиваемых русским языком по английской раскладке.
Для простых случаев использую сочетание имени фамилии родственников, набиваемых опять же по английской раскладке, например YfnfkmzCbljhjdf47 в конце ставлю номер квартиры в которой родственник проживает.
33 буквы это мало, вот вам 55:
Тетрагидропиранилциклопентилтетрагидропиридопиридиновые.
Тетрагидропиранилциклопентилтетрагидропиридопиридиновые.
моё слово красивое, и в нем нет повторяющихся секций.
Я собственно к тому что — думаю любой может придумать свою фразу и свои несложные правила, в результате получит большой набор стойких паролей, которые даже запоминать не надо. Если их очень много то можно вести запись хоть в текстовом файле, все равно никто базы не знает.
Например запись напоминание для входа на mail-ru с логином = petya и паролем — YfnfkmzCbljhjdf47 (по русски это НатальяСидорова47)
mailru petya нскв (т.е. наталья сидорова квартира)
напрмиер вот реальное напоминание моего пароля в альфабанке — alfa c1
Я собственно к тому что — думаю любой может придумать свою фразу и свои несложные правила, в результате получит большой набор стойких паролей, которые даже запоминать не надо. Если их очень много то можно вести запись хоть в текстовом файле, все равно никто базы не знает.
Например запись напоминание для входа на mail-ru с логином = petya и паролем — YfnfkmzCbljhjdf47 (по русски это НатальяСидорова47)
mailru petya нскв (т.е. наталья сидорова квартира)
напрмиер вот реальное напоминание моего пароля в альфабанке — alfa c1
Был уже на хабре этот комикс habrahabr.ru/post/130602/
И там даже попытались сделать топик хоть как-то на статью похожим, хотя тоже плохо получилось.
И там даже попытались сделать топик хоть как-то на статью похожим, хотя тоже плохо получилось.
Лет 9 назад, когда админом еще работал, у меня рутовый был пароль: «да ну его нахер такой пароль», только в английской раскладке
Моя система паролей: легко запоминаемая кодовая фраза любого состава + случайное число в пределах тысячи + MD5.
У меня некоторые знакомые в словах делали еще сознательные орфографические ошибки. Так получалось, что даже если кто то и услышит пароль или увидит часть его, то все равно не сможет им воспользоваться, так как не будет знать где есть ошибка.
… или наоборот :-)
У меня обычно один пароль «для всякой фигни» — легкозапоминаемая фраза из буквоцифр, а все остальное — сгенеренные keepass и там же хранятся. Учитывая наличие клиента под вин, лин и андроид то это самый удобный способ, имхо
Вот все пишут как они составляют пароли, а завтра «более 1000 паролей на хабре было скомпрометировано»
Объясните старику, далекому от криптографии, откуда в 11-символьном пароле «Tr0ub4dor&3» примерно «28 бит» энтропии? Как считалось?
На самом деле еще больше. Ведь помимо порядка символов, каждый символ слова имеет не единичную энтропию. Например, на число 3 — выделено 3 бита, а на символы выделено почему-то только 16. Хотя должно быть как-минимум. 6*11. Но тут скорее всего перебор берется по популярным словам общее число которых составляет якобы 2^16.
Хорошо, 16 бит общие слова. 3 типовые подмены по 9 бит на каждую (6 символ + 3 его позиция) + 3 бита на число в суффиксе + 6 бит на разделитель для суффикса + 1 бит на их позицию. Итого 52 бита. Это как бы в два раза больше заявленных 28. Как так получается?
Я в целом понимаю, что для статей по криптографии разница в два раза по битам это мелкие детали — 3 дня или сто тысячь лет разница действительно невелика. Что я не понимаю — это как они получили цифру именно 28. Что складывали, что вычитали. Какой логарифм брали :).
Я в целом понимаю, что для статей по криптографии разница в два раза по битам это мелкие детали — 3 дня или сто тысячь лет разница действительно невелика. Что я не понимаю — это как они получили цифру именно 28. Что складывали, что вычитали. Какой логарифм брали :).
А я просто использую Lastpass + пароли в районе 30 символов.
Это-же классика — «сороктысячобезьянвжопусунулибанан»
Напомнило старый текст. Кажется из FIDO.
…
— Молодой человек, я имею в виду ваш почтовый адрес!
— А… Записывайте: Слоник-в-домене-завелся-собачка-маил-ру.
— Как-как?
— Пишется по-русски, но латинскими буквами. Вместо пробелов — символы нижнего подчеркивания…
…
— Так… Попробуем… Минуточку… Да, такой ящик обнаружен. Скажите, пожалуйста, ваш пароль.
— Пароль у меня такой: мама сшила мне штаны из березовой коры
— Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
— Хакер один знакомый… Да, также… Только вместо символов нижнего подчеркивания ничего не ставьте.
— Вы ошибаетесь — пробелов в пароле быть не может.
— А пробелы и не надо — все слитно пишется.
…
…
— Молодой человек, я имею в виду ваш почтовый адрес!
— А… Записывайте: Слоник-в-домене-завелся-собачка-маил-ру.
— Как-как?
— Пишется по-русски, но латинскими буквами. Вместо пробелов — символы нижнего подчеркивания…
…
— Так… Попробуем… Минуточку… Да, такой ящик обнаружен. Скажите, пожалуйста, ваш пароль.
— Пароль у меня такой: мама сшила мне штаны из березовой коры
— Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
— Хакер один знакомый… Да, также… Только вместо символов нижнего подчеркивания ничего не ставьте.
— Вы ошибаетесь — пробелов в пароле быть не может.
— А пробелы и не надо — все слитно пишется.
…
Спасибо за статью, 3 часть комикса особенно улыбнула.
Буквально пол года назад стал использовать софтину для хранения паролей. Дико удобно и совсем не напрягает «а какой пароль на этом ресурсе я использовал». С такой штукой можно легко использовать генераторы паролей (использую свой, поэтому о 3 стороне не парюсь).
З.Ы. есть ли смысл выкладывать генератор паролей с открытым кодом? Может уже есть хорошие?
Буквально пол года назад стал использовать софтину для хранения паролей. Дико удобно и совсем не напрягает «а какой пароль на этом ресурсе я использовал». С такой штукой можно легко использовать генераторы паролей (использую свой, поэтому о 3 стороне не парюсь).
З.Ы. есть ли смысл выкладывать генератор паролей с открытым кодом? Может уже есть хорошие?
Не доверяю я этим софтинам/сервисам для генерации и хранения паролей…
Для критичных аккаунтов, например — почты, сделал кучу длинных строк из случайных символов. Пароль подбирается из нужной строки по определенной системе. Текстовый файлик со строками лежит в запароленном архиве на ненужной карте памяти в столе. Когда надо ввести пароль — вставил карту памяти, посмотрел строку, подобрал по системе пароль, ввел. Извращение, зато надежно. Кстати, через какое-то время пароли, которые чаще всего вводил, запомнились сами собой (а это каждый больше 10 случайных символов в разных регистрах).
Для критичных аккаунтов, например — почты, сделал кучу длинных строк из случайных символов. Пароль подбирается из нужной строки по определенной системе. Текстовый файлик со строками лежит в запароленном архиве на ненужной карте памяти в столе. Когда надо ввести пароль — вставил карту памяти, посмотрел строку, подобрал по системе пароль, ввел. Извращение, зато надежно. Кстати, через какое-то время пароли, которые чаще всего вводил, запомнились сами собой (а это каждый больше 10 случайных символов в разных регистрах).
deleted, камень в сторону лукьяненко уже был=(
Comic Sans, смешение нового шрифта с оригинальным, надписи, вылезающие за края… Зачем?!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Верно лошадь батарея скрепка», или что такое надёжный пароль