Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 33
Да, то! Чего-то я эту статью просмотрел когда по хабру искал.
Ещё ниже в комментариях есть про MasterPassword
Ещё ниже в комментариях есть про MasterPassword
Больше всего бесят сайты, у которых стоит ограничение на максимальную длину пароля. Придумаешь небольшой стишок на английском в качестве пароля, а он слишком длинный.
В частности стишки и какие-либо длинные названия хорошо запоминаются и трудно подбираются. Каждое слово начинать с большой буквы, а некоторые буквы заменять на похожие символы: i — 1 или !, O — 0, b — 8 или % или &, t — +, a — @ и так далее.
Например Laser — L1ghtAmpl1ficat1on8ySt1mulatedEm1ss1onOfRad1ation! — 50 символов, которые вы никогда не забудите.
Или для хабра — HabrahabrIsNotPearlHarbour! — 27 символов.
В частности стишки и какие-либо длинные названия хорошо запоминаются и трудно подбираются. Каждое слово начинать с большой буквы, а некоторые буквы заменять на похожие символы: i — 1 или !, O — 0, b — 8 или % или &, t — +, a — @ и так далее.
Например Laser — L1ghtAmpl1ficat1on8ySt1mulatedEm1ss1onOfRad1ation! — 50 символов, которые вы никогда не забудите.
Или для хабра — HabrahabrIsNotPearlHarbour! — 27 символов.
(крик души)
О да! Я недавно был просто взбешен нашим сбербанком! У них в сбербанк онлайн (да да, это клиент банк — основная фигня, где юзеры могут потратить свои денежки, попивая коктейль в другой стране), стоит максимальная длина пароля в 10 символов (минимум 6)!
У меня есть некоторое разделение по паролям, так вот на пароли, связанные с моими финансами, стоит пароль в 15 символов. Обычное русское слово, которое содержит большие буквы, а также цифры и спец символы. Но нет, сбербанк сказал мне, что нечего тебе 15 символов использовать, используй максимум 10, а то у насложки место пропадает. Ну или 6. Ведь 6 символов это так безопасно.
Я также пользуюсь клиент банком авангарда. Там можно устанавливать пароль от 8 до 30 символов. В итоге получается, если я захочу реализовать пароль, который будет только в моей голове и не будет зависеть от каких-то программ, то мне надо придумать пароль от 8 до 10 символов.
Я написал в сбербанк о проблеме с паролем, подробно разъяснив ситуацию, в итоге получил
Спасибо за КЭПизм, уважаемый сбербанк. Уйду ка я лучше от вас, надоели окончательно.
О да! Я недавно был просто взбешен нашим сбербанком! У них в сбербанк онлайн (да да, это клиент банк — основная фигня, где юзеры могут потратить свои денежки, попивая коктейль в другой стране), стоит максимальная длина пароля в 10 символов (минимум 6)!
У меня есть некоторое разделение по паролям, так вот на пароли, связанные с моими финансами, стоит пароль в 15 символов. Обычное русское слово, которое содержит большие буквы, а также цифры и спец символы. Но нет, сбербанк сказал мне, что нечего тебе 15 символов использовать, используй максимум 10, а то у нас
Я также пользуюсь клиент банком авангарда. Там можно устанавливать пароль от 8 до 30 символов. В итоге получается, если я захочу реализовать пароль, который будет только в моей голове и не будет зависеть от каких-то программ, то мне надо придумать пароль от 8 до 10 символов.
Я написал в сбербанк о проблеме с паролем, подробно разъяснив ситуацию, в итоге получил
В настоящее время система «Сбербанк ОнЛ@йн» реализована именно таким
образом и возможность ввода пароля, состоящего более чем из 10 символов, не предусмотрена.
Благодарим Вас за проявленный интерес к услугам Сбербанка России. Все предложения учитываются и принимаются во внимание. Надеемся на дальнейшее сотрудничество.
Спасибо за КЭПизм, уважаемый сбербанк. Уйду ка я лучше от вас, надоели окончательно.
А ещё бесят сайты (точнее сайт, я всего один раз с таким идиотизмом встречался), которые запрещают вставлять пароль из буфера обмена.
А еще сайт onlime.ru при вставке из менеджера паролей хрома пароля длиннее чем их максимальное значение, не может залогиниться, так как введено неверное значение пароля.
Я вообще подозреваю что можно сменить пароль просто GET или POST запросом и обойти это ограничение, но и забыть о ручном логине через форму на сайте
Я вообще подозреваю что можно сменить пароль просто GET или POST запросом и обойти это ограничение, но и забыть о ручном логине через форму на сайте
Встречаются сайты которые не «кричат» что пароль длиннее чем надо при регистрации и просто обрезают его при передаче на сервер, ну или там обрезается… Зато при логине — он неверен и угадать сколько символов надо «отрезать» от пароля затея не из простых, особенно если стоит ограничение на количество неудачных попыток.
Я как то написал такое года 2-3 назад под андроид MasterPassword
Когда под виндой — написал себе на c# + wpf программку
Под линуксом скрипт на python или ruby
Когда под виндой — написал себе на c# + wpf программку
Под линуксом скрипт на python или ruby
Забыл картинку в спойлер кинуть, простите, редактировать уже поздно.
Подскажите, а в вашей программе есть связь сайт-логин? В смысле, если я вобью «Domain», она мне покажет использовавшийся в связке логин? Или его придётся вспоминать отдельно?
Отдельно. Идея как раз была в том, чтобы не хранить вообще никаких состояний или данных. Я сейчас не помню и не знаю ни одного своего пароля. Если хранить привязку домена и логина — то это уже зачатки менеджера паролей(
Спасибо.
P.S. Хотя, вообще говоря, некие совсем уж зачатки уже есть — имеется отдельно база логинов, и отдельно база сайтов…
P.S. Хотя, вообще говоря, некие совсем уж зачатки уже есть — имеется отдельно база логинов, и отдельно база сайтов…
Если вы про мобильную версию, то там пользователи попросили чтобы было автодополнение доменов и сохранялись username — так как на мобильнике печатать не очень удобно и долго. Но домены и логины там никак не связаны между собой. В десктоп и скриптах что использую, ничего не сохраняется.
Вместо логина, если он у вас не постоянный можете использовать email их явно меньше чем псевдонимов)
Это в принципе частное решение, я писал для себя, потом оказалось что около 20к установок и на данный момент активных 500+ установок.
Интересная ситуация случается когда, устанавливаешь новую систему, а паролей ни одного не знаешь, даже в допбокс не зайти за скриптами или на битбакет. Приходится или с мобильника присылать пароль или садится и писать быстренько скрипт — благо алгоритм помнишь.
Вместо логина, если он у вас не постоянный можете использовать email их явно меньше чем псевдонимов)
Это в принципе частное решение, я писал для себя, потом оказалось что около 20к установок и на данный момент активных 500+ установок.
Интересная ситуация случается когда, устанавливаешь новую систему, а паролей ни одного не знаешь, даже в допбокс не зайти за скриптами или на битбакет. Приходится или с мобильника присылать пароль или садится и писать быстренько скрипт — благо алгоритм помнишь.
А где можно собственно алгоритм посмотреть?
Пока нигде, да и там всё примитивно, используется обычное хеширование. Хешируется каждый параметр, потом конкатенация в один длинный хеш, потом ещё хеширование. В целом хеширование используется около 3000 раз в том или ином виде на один пароль. (мне тогда это казалось оправданным, как раз была шумиха с радужными таблицами).
Если бы сейчас писал, я бы по извращался с перемешиванием букв в домене, логине и даже в самом мастерпасворде и потом опять таки хешировал бы всё вокруг)) Вообщем тут фантазия не ограничена. Главное не забыть алгоритм и как минимум проверить что выдаёт один и тот же результат. реализацию на нескольких языках.
Если бы сейчас писал, я бы по извращался с перемешиванием букв в домене, логине и даже в самом мастерпасворде и потом опять таки хешировал бы всё вокруг)) Вообщем тут фантазия не ограничена. Главное не забыть алгоритм и как минимум проверить что выдаёт один и тот же результат. реализацию на нескольких языках.
А зачем извращаться с перемешиванием букв? Хэши это делают достаточно хорошо. Просто если перемешивания обратимы, то толку от них не много (на сколько я понимаю). А если необратимы, то может выйти так, что они будут вести к потере информации (энтропия выходного пароля будет уменьшаться). Создатели хэш-функций много работали что бы этих крайностей не было, надо пользоваться ;-)
А алгоритм интересно знать, т.к. если пользоваться андроид приложением, то хочется ту же программу иметь и на компе.
А алгоритм интересно знать, т.к. если пользоваться андроид приложением, то хочется ту же программу иметь и на компе.
Логин помнить все равно придется/где то записывать и хранить. Не всегда удается зарегистрироваться на сервисах со своим логином первым.
Автору респект – именно на такую схему паролей перешёл полтора года назад (только беру другие порядковые номера, и ставлю их не только в конец).
Если бы кто меня спрашивал, какую схему выбрать, то посоветовал бы подобрать и выучить 12–значный пароль, например v8@Kq0rm!M (чтобы удобно было набирать двумя руками, чётные и нечётные символы берутся из разных половин клавиатуры), затем предпоследняя буква URL ресурса (только второй доменный уровень) вставляется третьей в верхнем регистре, а первая – в конец в нижнем регистре. Т.е. для id.tmtm.ru пароль будет v8T@Kq0rm!Mt
Ну и потренироваться надо первое время…
Если бы кто меня спрашивал, какую схему выбрать, то посоветовал бы подобрать и выучить 12–значный пароль, например v8@Kq0rm!M (чтобы удобно было набирать двумя руками, чётные и нечётные символы берутся из разных половин клавиатуры), затем предпоследняя буква URL ресурса (только второй доменный уровень) вставляется третьей в верхнем регистре, а первая – в конец в нижнем регистре. Т.е. для id.tmtm.ru пароль будет v8T@Kq0rm!Mt
Ну и потренироваться надо первое время…
pwdhash.com
Серьезный плюс — есть плагины под различные браузеры.
Серьезный плюс — есть плагины под различные браузеры.
Откройте для себя LastPass.
Пользуюсь уже много лет. Есть плагины под все браузеры, имеющие поддержку плагинов. Есть десктопные и мобильные приложения, в том числе в виде клавиатуры.
Есть бесплатная и платная версии. Платная стоит один доллар в месяц.
Пользуюсь уже много лет. Есть плагины под все браузеры, имеющие поддержку плагинов. Есть десктопные и мобильные приложения, в том числе в виде клавиатуры.
Есть бесплатная и платная версии. Платная стоит один доллар в месяц.
Уж сколько раз твердили… KeePass Password Safe
Плюсы такого алгоритма по сравнению с «запоминалками» паролей:
Не нужно иметь под рукой базу паролей. Понадобилось на другом компьютере получить пароль — просто скачал с гитхаба программу, вбил свой мастер-пароль — и вся база паролей с собой.
Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.
Отсутствует файл, который злоумышленник может украсть и попытаться расшифровать. Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.
Да, так и есть, и? :)
Даже в случае получения полного доступа к вашему компьютеру (с чтением всех файлов и установкой кейлогеров) злоумышленнику ещё придётся отгадывать данные ваших аккаунтов
В случае получения такого доступа пароли это уже последнее о чем стоит беспокоиться — если у вас в доме нет одной стены, никому не нужны ключи от вашей двери.
(особенно тех, в которые с этого компьютера не заходят)
Перечитал три раза, представил себя злоумышленником и попытался угадать данные вашего аккаунта со своего компьютера — понял, что зада в лоб не решается :)
Гарантирует использование разных и случайных паролей. И придумывать пароль каждый раз не надо.
В запоминалке есть встроенный генератор случайных паролей и придумывать каждый раз не надо.
В сухом остатке плюсов не увидел.
Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.
Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.
В случае получения такого доступа пароли это уже последнее о чем стоит беспокоиться — если у вас в доме нет одной стены, никому не нужны ключи от вашей двери.Если у вас всё ценное лежит только на рабочем компьютере, то видимо да. В противном случае пароли и ключи от других аккаунтов (в широком смысле) — это первое, о чём стоит беспокоиться.
Перечитал три раза, представил себя злоумышленником и попытался угадать данные вашего аккаунта со своего компьютера — понял, что зада в лоб не решается :)Честно, тоже перечитал несколько раз и не понял. Как связано то, с какого компьютера пытаться угадать данные аккаунта? Если в базе паролей хранить пароли от всего, то злоумышленник сразу может выбрать из них то, что ему интересно. Если базы нет — о некоторых ваших аккаунтах он просто не будет знать, и не получит к ним доступ (по крайней мере у вас будет запас времени на смену пароля)
P.S. Сорри, случайно отправил недописанный комментарий.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.
Обратите внимание сюда. Даже Keepass рекомендует при использовании дропбокса иметь локальную копию для синхронизации и именно она никуда не денется с вашего устройства, если дропбокс нашалит.
Как правило хорошего тона стоит использовать хороший мастер пароль + ключевой файл к нему, который хранится только на устройствах с которых разрешен вход и этот файл не нужно синхронизировать где-либо, или просто выкладывать в интернет.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.Но как вы сами ранее сказали:
Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.Поэтому, он у меня даже есть в публичном доступе на gdrive. Да что уж там, вот прикрепляю к этому сообщению — будет еще одно место где хранить.
Если у вас всё ценное лежит только на рабочем компьютере, то видимо да. В противном случае пароли и ключи от других аккаунтов (в широком смысле) — это первое, о чём стоит беспокоиться.Все ценное и пароли, ИМХО, немного разные понятия, пароли это просто ключ к ценному. Причем этот ключ не должен быть единственным — сюда добавляется двухфакторная авторизация, ограничения по IP и т.п.
Честно, тоже перечитал несколько раз и не понял. Как связано то, с какого компьютера пытаться угадать данные аккаунта? Если в базе паролей хранить пароли от всего, то злоумышленник сразу может выбрать из них то, что ему интересно. Если базы нет — о некоторых ваших аккаунтах он просто не будет знать, и не получит к ним доступ (по крайней мере у вас будет запас времени на смену пароля)Это относилось к
злоумышленнику ещё придётся отгадывать данные ваших аккаунтов (особенно тех, в которые с этого компьютера не заходят)Здорово когда под отдельный аккаунт можно иметь отдельный компьютер :) Однако в большинстве случаев кейлоггера достаточно чтобы собрать все ваши учетные данные, пусть даже за достаточно длительный срок. При наличии трояна пароли уже не особо интересуют, т.к. злоумышленник получит доступ к интересующей информации после того как вы собственноручно пройдете все этапы аутентификации и авторизации в защищенной системе.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Идея на тему генерации и запоминания надёжных паролей