Comments 146
pwgen?
Красиво… Но запомнить все равно нелегко… А если пользоваться программами-запоминалками — зачем такие сложности — генерируешь хоть 30 символов рандомных и копипаст)))
мммм… а потом, например в поездке, судорожно звонишь туда где осталась запоминалка и просишь напомнить?
Нет. Открываю ноут)))
ЗЫ: я не говорил, что пользуюсь запоминалками
ЗЫ: я не говорил, что пользуюсь запоминалками
флешка с portable софтом;)
потеряна, забыта, украдена? Физические носители — не выход. Все должно быть в голове.
Не так велика важность тех паролей, что хранятся не в голове))) Если б у меня украли ноут — я б в первую очередь расстроился потере некоторых данных и собссно ноута, и только в стопятидесятую — потере паролей ;-)
Чтобы всё запомнить, нужно Бондом быть;)
UFO just landed and posted this here
Можно хранить закриптованный бэкап в сети.
Такая проблема бывает, но в важных местах (почта, интернет, платежные пароли) я придумываю пароли вручную
У KeePass есть несколько версий: для PC, Symbian, JavaME, Windows Mobile etc. Достаточно иметь доступ к файлу с паролями в несколько десятков килобайт.
Я не пользуюсь программами-запоминалками, ибо это от лукавого. Отформатирую диск, а бекап файла с паролями забуду сделать — и ага? Вот у меня, например, есть четыре пароля. Один к вконтакту, один к гмаилу, один к вов и один «публичный», который я скармливаю всяким сервисам, которым не доверяю. Такой, чтоб если что — не жалко было.
Тоже вариант=) Автор там упомянул игры, хочу поделиться своим способом создания паролей, раньше часто играл в файтинги и теперь когда нужен пароль просто набираю любимое «комбо» чередуя шифты. Если нужен пароль посильнее можно Квейк вспомнить (Вперед-Влево-Присесть-Рельса-Вперед-Вправо) и т.п.
К тому же визуально запомнить картинку легче.
К тому же визуально запомнить картинку легче.
А я пишу русское слово или фразу, опуская пробелы, в латинской раскладке – например k.ljxrf :)
И думаешь, что в словари брутфорса это не включено?
попробуйте сделать словарь брутфорса на различные фразы типа мамамыларамуоченьдолго :)
Если добавть к этому паролю пару спецсимволов — просто сказка! Сам использую такие пароли.
Таже можно использовать в этой роли сокращения от нецезурных выражений или бессмысленные фразы. Запоминается по-моему гораздо проще!
Таже можно использовать в этой роли сокращения от нецезурных выражений или бессмысленные фразы. Запоминается по-моему гораздо проще!
у этого метода есть два минуса
1. попробуйте набрать на клавиатуре не имеющей кирилических символов. в том числе например на кпк, где нужно переключать туда-сюда для каждого символа (отображается только один язык раскладки и естественно не тот на котором нужно набирать)
2.PuntoSwitcher и иже с ним так и норовят «поправить» пароль
1. попробуйте набрать на клавиатуре не имеющей кирилических символов. в том числе например на кпк, где нужно переключать туда-сюда для каждого символа (отображается только один язык раскладки и естественно не тот на котором нужно набирать)
2.PuntoSwitcher и иже с ним так и норовят «поправить» пароль
метод брутфорса, обычно, не предполагает использование словарей…
Я вот тоже использовал метод «набора русских слов в латинской раскладке», паролей у меня было много разных, вспоминались они по ассоциациям легко, стойкость неплохая, особенно если слова не короткие, да еще как-нибудь чуть-чуть исковерканные.
Пока не случилось так, что мне пришлось посетить несколько своих запароленных ресурсов в браузере на телефоне без qwerty клавиатуры. Вот тут засада подкралась незаметно, но конкретно.
На qwerty клавиатуре я любой пароль набирал в слепую за 2 секунды, а тут соответствие русских букв с английскими на клавиатуре в уме ну никак не всплывали. Да еще и наличие букв на телефонной клавиатуре в других местах еще больше сбивало концентрацию.
Пришлось в инете скачивать фото qwerty клавиатуры и по ней сопоставлять буквы :)
Пока не случилось так, что мне пришлось посетить несколько своих запароленных ресурсов в браузере на телефоне без qwerty клавиатуры. Вот тут засада подкралась незаметно, но конкретно.
На qwerty клавиатуре я любой пароль набирал в слепую за 2 секунды, а тут соответствие русских букв с английскими на клавиатуре в уме ну никак не всплывали. Да еще и наличие букв на телефонной клавиатуре в других местах еще больше сбивало концентрацию.
Пришлось в инете скачивать фото qwerty клавиатуры и по ней сопоставлять буквы :)
UFO just landed and posted this here
UFO just landed and posted this here
У меня своя (неуникальная) система, для ресурсов, которые мне не сильно важны я использую один и тот же пароль. Для интересных и важных (Хабр, например) — свой, стойкий.
Как вариант вместо флешки: PasswordSafe + DropBox.
UFO just landed and posted this here
Пользуюсь Робоформом (да, даже лицензию купил), пароли все сгенерированы, на каждом сайте разная фигня типа kXJA7HiM293m.
Ни одного пароля не помню, кроме главного, с помощью которого имею доступ к остальным.
Таскаю все это с собой на ноуте. Есть версия для Symbian — юзаю на смартфоне. Зашифровано все RC6, так что я не особо беспокоюсь о том, что пароли украдут.
А основной пароль — один, главный, билиберда, без смысла, но когда-то давно почему-то запомненная :)
НУ да, бэкапы каждый месяц на болванки и флэшки — святое дело.
P.S. нет с собой ноута — и нет желания заходить куда-то из публичных мест. Вот она безопасность :)
Ни одного пароля не помню, кроме главного, с помощью которого имею доступ к остальным.
Таскаю все это с собой на ноуте. Есть версия для Symbian — юзаю на смартфоне. Зашифровано все RC6, так что я не особо беспокоюсь о том, что пароли украдут.
А основной пароль — один, главный, билиберда, без смысла, но когда-то давно почему-то запомненная :)
НУ да, бэкапы каждый месяц на болванки и флэшки — святое дело.
P.S. нет с собой ноута — и нет желания заходить куда-то из публичных мест. Вот она безопасность :)
P.S. а для тренировки памяти мне хватает пин-кодов от банковских карточек и иже с ними :)
Во, у меня также практически. Файлик с прогой на ноуте и на Гмыле. Главный пароль помню. Да, слишком много паролей помнить надо в жизни, надоело еще и для всяких рессурсов запоминать, вот например — код от сигнализации, домофонОВ, телефона, банковских карточек итд итп…
кстати, есть KeePAss — бесплатная альтернатива робоформу :). попробуйте, понравится.
Полностью поддерживаю, всех паролей все равно не запомнишь, а с генерацией можно и подзапутаться. С робоформом можно ставить на сайтах зверские пароли типа z&E*D1PrYS&4x, а помнить только один главный пароль.
Да и копия паролей на флэшке очень полезно, когда нужно зайти на сайт с другого компьютера.
Да и копия паролей на флэшке очень полезно, когда нужно зайти на сайт с другого компьютера.
«Например, @=4, e=3, i=! и т.д.» — вот тут исправьте "@=4" на «a=@», по-моему вы так задумывали :)
bash.org.ru/quote/398884
вполне элегантное решение проблемы :)
вполне элегантное решение проблемы :)
Все пароли храню в Password Agent. Для некоторых сайтов один и тот-же, а для важных, как сказал OLweb — «свой», только не свой, а сгенерированный программой, состоящий из случайных символов, что-то типа cf42icTDG8. (Заметьте, программа тоже использует эту систему, что и автор поста, половина паролья в одном регистре, другая — в другом).
razetdinov предлогает вместо флешки DropBox, у меня Gmail.
А вот интересно, кто нибудь смог запомнить все пароли от карточки интернет банка? У кого какая система?
razetdinov предлогает вместо флешки DropBox, у меня Gmail.
А вот интересно, кто нибудь смог запомнить все пароли от карточки интернет банка? У кого какая система?
А у меня есть 4 стандартных пароля, которые я никогда не забуду.
Так вот на каждом сервисе я использую связку из 2-х — 3-х паролей в разных комбинациях. Где-то русскими в английской раскладке, где-то просто английскими… Вобщем-то этого хватает. Пароль меньше 18 символов бывает только если есть ограничения на длину пароля.
Ваш случай, зная себя, думаю мне не подойдет. Если я даже вспомню какая была в данном месте ассоциация, то вот вряд ли вспомню какие буквы я сделал большими, а какие маленькими… Правда можно для всех своих паролей придумать единственное правило (например как у вас — только первая половина букв). Потом еще надо вспомнить какие буквы заменить на спецсиволы… но тут тоже можно через букву например… Вобщем я думаю что с моей дырявой головой — я благополучно забуду эти правила, когда, например, буду пьян )) А свои 4 пароля я никогда не забуду )
Так вот на каждом сервисе я использую связку из 2-х — 3-х паролей в разных комбинациях. Где-то русскими в английской раскладке, где-то просто английскими… Вобщем-то этого хватает. Пароль меньше 18 символов бывает только если есть ограничения на длину пароля.
Ваш случай, зная себя, думаю мне не подойдет. Если я даже вспомню какая была в данном месте ассоциация, то вот вряд ли вспомню какие буквы я сделал большими, а какие маленькими… Правда можно для всех своих паролей придумать единственное правило (например как у вас — только первая половина букв). Потом еще надо вспомнить какие буквы заменить на спецсиволы… но тут тоже можно через букву например… Вобщем я думаю что с моей дырявой головой — я благополучно забуду эти правила, когда, например, буду пьян )) А свои 4 пароля я никогда не забуду )
Использую ключницу и 3 стандартных пароля которые тоже перемешиваю. У ключницы есть backup в сети.
Я один раз некую Kr1vetK'y на аську поставил, когда у меня ноут сперли.
(на самом деле было чуть сложнее «криветка» была ремапом кирилицы на соответсвующие английские, лиит-замены были в соответсвии со звучанием оригинала)
Так как пользовался мирандой в то время, пароль не нужно было вводить при загрузке.
Когда через месяцок надо было перелогиниться из под другого компа, помнил только что что-то связаное с криветкой.
Так и не получилось. Пришлось хак для миранды искать, чтобы выудить пароль :)
Так что осторожнее с этим методом, не переусердствуйте.
И как минимум раз в месяц а то и в 2 недели посещайте ресурсы, тренируясь в вводе пароля.
Человеческий мозг такая штука, что забудет что угодно, если 2-3 месяца этим не пользоваться.
(на самом деле было чуть сложнее «криветка» была ремапом кирилицы на соответсвующие английские, лиит-замены были в соответсвии со звучанием оригинала)
Так как пользовался мирандой в то время, пароль не нужно было вводить при загрузке.
Когда через месяцок надо было перелогиниться из под другого компа, помнил только что что-то связаное с криветкой.
Так и не получилось. Пришлось хак для миранды искать, чтобы выудить пароль :)
Так что осторожнее с этим методом, не переусердствуйте.
И как минимум раз в месяц а то и в 2 недели посещайте ресурсы, тренируясь в вводе пароля.
Человеческий мозг такая штука, что забудет что угодно, если 2-3 месяца этим не пользоваться.
Отлично все расписали. Спасибо. Сам как раз в последнее время подумываю, что пароли надо как-то систематизировать. :)
есть вариант попроще:
сорри. случайно отправил.
вариант попроще:
придумать какой-нибудь один суперпароль, и добавлять к нему в начало или в конец первую букву ресурса, на котором регистрируетесь (или первые три).
Но для очень важных аккаунтов, например для почты, так лучше не делать.
По-моему так проще, чем придумывать для нового сайта новый «баклажан».
вариант попроще:
придумать какой-нибудь один суперпароль, и добавлять к нему в начало или в конец первую букву ресурса, на котором регистрируетесь (или первые три).
Но для очень важных аккаунтов, например для почты, так лучше не делать.
По-моему так проще, чем придумывать для нового сайта новый «баклажан».
Не знаю, я использую комбинацию из xxxxxXXXXXX, где xxxxx — набор, постоянный, XXXXXX — ассоциации… Неплохо выходит и так XxXxXxxXXxX.
Также нельзя использовать транслит, т.к. нет единого стандарта транслита.
ГОСТ 7.79-2000 однозначно определяют переход от кирилловских букв к латинским для славянских языков :)
Вариант — использовать KeePass, придумать один хороший пароль, на базу с паролями.
А на всех сайтах ставить сгенерированные пароли, сохраняя их в базу. Я так делаю :).
Нет ниодного сайта с одинаковым или легким паролем. Кипасс же можно на флешке носить, или в архиве на почте.
А на всех сайтах ставить сгенерированные пароли, сохраняя их в базу. Я так делаю :).
Нет ниодного сайта с одинаковым или легким паролем. Кипасс же можно на флешке носить, или в архиве на почте.
Где-то вспоминали о карте паролей. Так вот я её сделал, вот только не успел ею воспользоваться ))
в копилку оригинальных подсмотренных способов:
«1 буква «а» 2 буква «б»»
«1 буква «а» 2 буква «б»»
Я всегда использую сочетание слов и абсолютной бессмыслицы.
WiFi182@stream(k-ots)#30
собственно, тип подключения№ квартирыпусть будет собакаПровайдер: СТРИМ (Комстар-ОТС)№ дома
Получаем: WiFi182@stream(k-ots)#30
WiFi182@stream(k-ots)#30
собственно, тип подключения№ квартирыпусть будет собакаПровайдер: СТРИМ (Комстар-ОТС)№ дома
Получаем: WiFi182@stream(k-ots)#30
не понятно как вспоминать такой «искусственно» созданный пароль. Если я забываю пароль, то отматываю свои шаги назад и вспоминаю пароль, при таких больших шагах можно упустить какой то момент и не вспомнить пароль, особенно при таком нагромождении разных знаков, у которых может разночтение. Мне кажется, что нужно иметь 3-4 надежных пароля и их использовать.
На баше предлагалось составлять пароль по химическим формулам. Продвинутые химики могут запомнить слово «бирюза» и в качестве пароля вводить CuAl6(PO4)4(OH)8Ч4H2O. Или, например, мрамор — CaMg(CO3)2.
Способ.
Берем название сервиса где регистрируетесь — ХабраХабр
2 буквы HH или например первая и последняя в зависимости от алгоритма вашего HR
Потом в свой пароль уже придуманный вставляете на заданные заранее места. На первое место или на последнее. Тасуете как хотите.
Свой пароль можно придумывать из своего ника. например вторые или третьи буквы ников. В моем случае пароль уже может быть например homsr и плюсуем мои инициалы pd — phomsrd
Тасуем регистр. PHOmsrD
Добавлем какую нить любую последовательность цифр для надежности и вуаля — PHOmsr66D
Берем название сервиса где регистрируетесь — ХабраХабр
2 буквы HH или например первая и последняя в зависимости от алгоритма вашего HR
Потом в свой пароль уже придуманный вставляете на заданные заранее места. На первое место или на последнее. Тасуете как хотите.
Свой пароль можно придумывать из своего ника. например вторые или третьи буквы ников. В моем случае пароль уже может быть например homsr и плюсуем мои инициалы pd — phomsrd
Тасуем регистр. PHOmsrD
Добавлем какую нить любую последовательность цифр для надежности и вуаля — PHOmsr66D
Придумать пароль не проблема — проблема его запомнить )
«Задача
Создать метод, по которому было бы легко придумывать надежные, но легко запоминающиеся пароли.»
Я считаю что это хороший способ придумать пароль. Просто гораздо легче придумать алгоритм по которому будут они создаваться а потом вспоминать исходя из алгоритма.
Создать метод, по которому было бы легко придумывать надежные, но легко запоминающиеся пароли.»
Я считаю что это хороший способ придумать пароль. Просто гораздо легче придумать алгоритм по которому будут они создаваться а потом вспоминать исходя из алгоритма.
Помоему из вашей идеи с ассоциациями можно сделать хороший сервис.
На входе — ассоциация («баклажан»)
На выходе — пароль («1@UB3Rg!n3)»)
Или на вход ещё подавать свое имя, и в зависимости от имени и от ассоциации будет генерироваться каждый раз один и тот же пароль. В итоге нужно помнить только свое имя и однообразно строить ассоциации.
Спасибо за интересный подход.
На входе — ассоциация («баклажан»)
На выходе — пароль («1@UB3Rg!n3)»)
Или на вход ещё подавать свое имя, и в зависимости от имени и от ассоциации будет генерироваться каждый раз один и тот же пароль. В итоге нужно помнить только свое имя и однообразно строить ассоциации.
Спасибо за интересный подход.
и перебирая возможные ассоциации и зная ваше имя получаем ваши пароли на все возможные ассоциации.
И зная Ваше имя останется только «атака по словарю с баклажанами» плюс парсинг результата через этот сервис, в итоге примерно те же трудозатраты что пароль будет просто «баклажан».
Дк я и не говорю что пароль станет труднее взломать, я к тому что не надо будет запоминать пароли-кракозябры, а нужно будет помнить только пароль-ассоциацию.
А в чем тогда это лучше чем вводить напрямую пароль-ассоциацию?
потому что пароль-ассоциация не криптостойка как пароль-кракозябра
Я понимаю, что кракозябра более криптостойкая. Но в данном случае она является такой же криптостойкой как пароль-ассоциация.
Например:
1. Выбрал я пароль «лопата»
2. Зашифровал его сервисом в «fh37%32@5»
3. Зарегистрировался на другом сайте с паролем «fh37%32@5»
Взломщик, зная о существовании сервиса конвертации паролей, имеет словарь:
1. вася
2. петя
3. собака
4. лопата
Програв эти пароли через сервис он получил:
1. ge38G3j%
2. gkl48G63D#
3. vj88&4$32
4. fh37%32@5
И методам перебора на 4 этапе взломщик уже успешно подобрал пароль.
Единственная сложность добавляется — узнать взломщику каким сервисом для конвертации пароля пользовался клиент.
Например:
1. Выбрал я пароль «лопата»
2. Зашифровал его сервисом в «fh37%32@5»
3. Зарегистрировался на другом сайте с паролем «fh37%32@5»
Взломщик, зная о существовании сервиса конвертации паролей, имеет словарь:
1. вася
2. петя
3. собака
4. лопата
Програв эти пароли через сервис он получил:
1. ge38G3j%
2. gkl48G63D#
3. vj88&4$32
4. fh37%32@5
И методам перебора на 4 этапе взломщик уже успешно подобрал пароль.
Единственная сложность добавляется — узнать взломщику каким сервисом для конвертации пароля пользовался клиент.
Я _не_ имел ввиду, что используя пароли-ассоциации взломщику будет сложнее взломать ваш пароль, я о том что вам как пользователю не придется помнить кракозябры.
А ещё взломщику понадобится знать ваше имя, а именем может быть ФИО, или ИФО, или ФИО+дата_рождения, или ФИО+имя+любимой_собаки. Тогда он долго будет подбирать ваш пароль. Но вам как пользователю нужно будет помнить имя и ассоциацию, что куда проще чем кракозябры.
И как вы уже сказали, взломщику также необходима уверенность что вы запаролили аккаунт именно с помощью данного сервиса.
В итоге слишком много условий, и тупой перебор выходит на главную.
А ещё взломщику понадобится знать ваше имя, а именем может быть ФИО, или ИФО, или ФИО+дата_рождения, или ФИО+имя+любимой_собаки. Тогда он долго будет подбирать ваш пароль. Но вам как пользователю нужно будет помнить имя и ассоциацию, что куда проще чем кракозябры.
И как вы уже сказали, взломщику также необходима уверенность что вы запаролили аккаунт именно с помощью данного сервиса.
В итоге слишком много условий, и тупой перебор выходит на главную.
Использую несколько стандартных паролей, либо на важных ресурсах — один пароль стандаритный + имя ресурса с учетом кое-какой спцифики (например тут — всторая и третья гласные ресурса — по возможности спецсимволы):
hereismypasshabr@h@br
hereismypasshabr@h@br
Всё равно люди будут придумывать типа: 12345, qwerty. Им так проще :) Хотелось бы конечно же, что б они поступали разумно, как не как взламывают их личное пространство. Но так уж повелось )
Еще один все понял [x]
Все пароли делятся на 2 части: «префикс» — постоянный, одинаковый элемент всех паролей и «тело» — генерируемое моим мозгом в зависимости от того где используется этот пароль. Ну и запись естественно тоже не простая.
миллионы менеджеров всё равно будут использовать слова. поэтому главное — хорошая система восстановления пароля На сайте :]
Меня один раз круто подкололи.
Во времена стародавние был у меня пароль, который я от товарищей не скрывал. Сложно без этого обойтись было.
То есть я его говорил когда кому-то было нужно что-то мое запароленное, а потом его благополучно забывали и снова спрашивали при случае.
Собственно подколка: на очередной ланпати кто-то зашел в старкрафтовский мультиплеер человек на 8 с ником, которым являлся мой пароль :)
вот ситуация к которой на самом деле подходит фраза «пароль был скомпрометирован» :))))
Во времена стародавние был у меня пароль, который я от товарищей не скрывал. Сложно без этого обойтись было.
То есть я его говорил когда кому-то было нужно что-то мое запароленное, а потом его благополучно забывали и снова спрашивали при случае.
Собственно подколка: на очередной ланпати кто-то зашел в старкрафтовский мультиплеер человек на 8 с ником, которым являлся мой пароль :)
вот ситуация к которой на самом деле подходит фраза «пароль был скомпрометирован» :))))
Я бы забыл такой пароль уже через пару дней, поэтому пользуюсь KeePass, там надо помнить только мастер пароль :).
Для всех предлагаю неплохой способ делать сложные пароли на лету:
Берется коротенькое слово или сочетание клавиш, можно не беспокоится о наличии его в «словарях». Для примера возьмем слово «stop». Находим первую букву «s» и выбираем любую из соседних клавиш, например «a». Теперь по или против часовой стрелки нажимаем на все прилегающие к «s» клавиши начиная с «а». Повторяем алгоритм для букв «top». Получается примерно так:
s — a w e d x z
t — r 5 6 y g f
o — i 9 0 p l k
p — o 0 — [; l
Итак я получаю из пароля stop (обьем 17 bits) пароль sawedxztr56ygfoi90plkpo0-[;l (обьем 140 bits). Причем набирать его очень быстро, что часто является сильным доводом против «сложных» паролей.
По сравнению с моим мастер паролем на хранилище, в котором я запоминаю кучу слов и цифр тут надо знать всего три вещи — очень простое слово, какую кнопку при обходе нажимать первой и направление обхода.
Для всех предлагаю неплохой способ делать сложные пароли на лету:
Берется коротенькое слово или сочетание клавиш, можно не беспокоится о наличии его в «словарях». Для примера возьмем слово «stop». Находим первую букву «s» и выбираем любую из соседних клавиш, например «a». Теперь по или против часовой стрелки нажимаем на все прилегающие к «s» клавиши начиная с «а». Повторяем алгоритм для букв «top». Получается примерно так:
s — a w e d x z
t — r 5 6 y g f
o — i 9 0 p l k
p — o 0 — [; l
Итак я получаю из пароля stop (обьем 17 bits) пароль sawedxztr56ygfoi90plkpo0-[;l (обьем 140 bits). Причем набирать его очень быстро, что часто является сильным доводом против «сложных» паролей.
По сравнению с моим мастер паролем на хранилище, в котором я запоминаю кучу слов и цифр тут надо знать всего три вещи — очень простое слово, какую кнопку при обходе нажимать первой и направление обхода.
Сам однажды придумал такой способ. Затем где-то наткнулся на его описание (а здесь уже второй раз). Понял, что подбор по словарю это не сильно усложнит. После этого модифицировал свой способ — не просто круги (шестиугольники) вокруг букв, а разные линии и фигуры (иногда рисуя «пунктиром» — нажимая шифт или пропуская буквы). Компромисс между лёгкостью и безопасностью всё же стал ближе к безопасности, лишь незначительно потеряв в лёгкости.
UFO just landed and posted this here
У подавляющего большинства есть хоть один из таких паролей:
На электронные деньги (Вебмани, ПейПал и т.п.), на важную почту, на мессенджеры, на онлайн игры, на что-либо необходимое для работы (доступ в интранет например), онлайн хранилища данных и все остальное что я сходу не вспомню.
Естественно хакерам все это надо т.к. все это можно конвертировать в реальные деньги.
На электронные деньги (Вебмани, ПейПал и т.п.), на важную почту, на мессенджеры, на онлайн игры, на что-либо необходимое для работы (доступ в интранет например), онлайн хранилища данных и все остальное что я сходу не вспомню.
Естественно хакерам все это надо т.к. все это можно конвертировать в реальные деньги.
При желании могу запомнить пасс и из 15 случайных символов, а вот с тем, чтобы запомнить где какой из 5 ников и какой здесь пасс из пары десятков, сложнее. =)
Идея интересная.Хотя имхо в идеале хранить пароли надо в *движениях пальцев*. Я вот даже попроси не смогу без клавы сказать свои пароли. А напечатать могу:) Пальцы помнят. Иногда ( прости когда нетрезвым надо набрать ) бывает закрываю глаза чтоб расплывающаяся картина не мешала делу набирания:) Так же кстати и серийник от виндов запомнил. Проще выучить руками ( один раз потратив 10 минут чем париться и вспоминать)
При думываю пароли методом
dd if=/dev/urandom bs=1 count=10 | base64
ввода после 20ого запоминаются =)
dd if=/dev/urandom bs=1 count=10 | base64
ввода после 20ого запоминаются =)
Как интересно… в коментах выложены подсказки какие у кого пароли...:) и пытать не надо…
Будет нужен чей-то пароль всего-то нужно попросить добавить комент к этой заметке и может повести…
Будет нужен чей-то пароль всего-то нужно попросить добавить комент к этой заметке и может повести…
А я бывает для придуманного (тоже ассоциативно!) достаточно простого пароля использую замену букв цифрами, как американцы используют, когда пишут телефонные номера.
1 — abc
2 — def
3 — ghi
4 — jkl
5 — mno
6 — pqrs
7 — tuv
8 — wxyz
Заменяю обычно половину слова (если маленькое) или по паре букв с начала и/или с конца. Взял на вооружение, после того, как начали встречаться требования (!) того, чтобы в пароле были цифры.
Т.е., скажем, если пароль «desolation», то он будет выглядеть как «22solati55».
А так, согласен со многими выше, что для «не особо важных ресурсов» и пароли свои необязательны. Использую с минимальными изменениями.
1 — abc
2 — def
3 — ghi
4 — jkl
5 — mno
6 — pqrs
7 — tuv
8 — wxyz
Заменяю обычно половину слова (если маленькое) или по паре букв с начала и/или с конца. Взял на вооружение, после того, как начали встречаться требования (!) того, чтобы в пароле были цифры.
Т.е., скажем, если пароль «desolation», то он будет выглядеть как «22solati55».
А так, согласен со многими выше, что для «не особо важных ресурсов» и пароли свои необязательны. Использую с минимальными изменениями.
Много здесь уже интересных способов было предложено. Поделюсь своим.
Мой мозг по каким-то своим причинам хорошо запоминает тексты песен. Я решил использовать эту особенность при составлении паролей. В качестве примера возьмем часть припева из Abba — Mamma Mia:
Mamma mia, here I go again
My my, how can I resist you?
Выписываем первые буквы каждого слова и предлога — m m h i g a m m h c i r y. Заменяем часть букв на цифрой эквивалент (в данном случае я решил i=1, a=4) и получаем пароль на выходе — mmh1g4mmhc1ry. Ну и по вкусу некоторые символы можно сделать заглавными.
Таким образом получается на первый взгляд бессмысленный пароль, а в вашей голове он превращается в песню. :)
Мой мозг по каким-то своим причинам хорошо запоминает тексты песен. Я решил использовать эту особенность при составлении паролей. В качестве примера возьмем часть припева из Abba — Mamma Mia:
Mamma mia, here I go again
My my, how can I resist you?
Выписываем первые буквы каждого слова и предлога — m m h i g a m m h c i r y. Заменяем часть букв на цифрой эквивалент (в данном случае я решил i=1, a=4) и получаем пароль на выходе — mmh1g4mmhc1ry. Ну и по вкусу некоторые символы можно сделать заглавными.
Таким образом получается на первый взгляд бессмысленный пароль, а в вашей голове он превращается в песню. :)
Всем спасибо, в новый MegaPassWordBruterForSchoolBoys 2.0 все перечисленные вами алгоритмы будут добавлены))
Автор, спасибо за статью, прочитал с удовольствием.
От себя вот что скажу: все пароли, приведенный здесь как автором, так и комментаторами, являются криптостойкими (в разумных пределах, конечно). И, я больше чем уверен, у всех здесь написавших не было проблем со взломом пароля (именно взломом).
Те же, у кого стояли пароли 123456, так, к сожалению, и будут стоять пароли 123456, причем, если аккаунт (ну или что там еще?) будет угнан, пароль модифицируется в якобы сложновзламываемый qwerty. Если человек баран, то это исправляется одним путем — летальным…
Но это все предисловие, ибо есть еще второе стадо баранов: те, кто создают пароли ;fT4:!8rGc3%f[QE, но вопрос на восстановление звучит примерно так: «Сколько мне лет?», «Любимое блюдо?», «Кличка хомячка?» и т.д.
Не знаю, какое из стада баранов умнее, но, по своим личном наблюдением, после угона аккаунта во втором случае, придумывается новый криптостойкий пароль с вопросом «Как зовут мою маму?».
Как я борюсь со всем этим:
1) Разделю на нужные ресурсы и ненужные ресурсы (нужные — понятно; ненужные — зашел, например, и быстренько зарегистрировался для того, чтобы архив с кистями для Фотошопа скачать). В нужные ставлю мощные пароли, в ненужные — хитро придуманные, но все же взламываемые.
2) При выборе вопроса восстановления пароли, выбираю любой рандомный («Как зовут Вашу собаку?»), и пишу в ответ криптостойкий пароль, но, обязательно, отличный от пароля на данном ресурсе.
3) Стараюсь не пользоваться общественными компами, либо пользоваться с возможностью загрузки со своей флэшки (puppy linux)
4) Для людей, работающих в офис (я в офисе не работаю, но история такая есть): Ваш пароль может был спален начальником (или кто там у вас следит?) по камере слежения. Поверьте, в замедленной съемке любой лох разберется в Вашем «крутом» пароле. Скажете, нафиг ему надо? А вот когда человека увольняют, ему сразу много чего надо…
5) Просто не надо быть дураком.
Спасибо!
Криптостойкие пароли для всех, даром, и пусть никто не уйдет обиженным ;)
От себя вот что скажу: все пароли, приведенный здесь как автором, так и комментаторами, являются криптостойкими (в разумных пределах, конечно). И, я больше чем уверен, у всех здесь написавших не было проблем со взломом пароля (именно взломом).
Те же, у кого стояли пароли 123456, так, к сожалению, и будут стоять пароли 123456, причем, если аккаунт (ну или что там еще?) будет угнан, пароль модифицируется в якобы сложновзламываемый qwerty. Если человек баран, то это исправляется одним путем — летальным…
Но это все предисловие, ибо есть еще второе стадо баранов: те, кто создают пароли ;fT4:!8rGc3%f[QE, но вопрос на восстановление звучит примерно так: «Сколько мне лет?», «Любимое блюдо?», «Кличка хомячка?» и т.д.
Не знаю, какое из стада баранов умнее, но, по своим личном наблюдением, после угона аккаунта во втором случае, придумывается новый криптостойкий пароль с вопросом «Как зовут мою маму?».
Как я борюсь со всем этим:
1) Разделю на нужные ресурсы и ненужные ресурсы (нужные — понятно; ненужные — зашел, например, и быстренько зарегистрировался для того, чтобы архив с кистями для Фотошопа скачать). В нужные ставлю мощные пароли, в ненужные — хитро придуманные, но все же взламываемые.
2) При выборе вопроса восстановления пароли, выбираю любой рандомный («Как зовут Вашу собаку?»), и пишу в ответ криптостойкий пароль, но, обязательно, отличный от пароля на данном ресурсе.
3) Стараюсь не пользоваться общественными компами, либо пользоваться с возможностью загрузки со своей флэшки (puppy linux)
4) Для людей, работающих в офис (я в офисе не работаю, но история такая есть): Ваш пароль может был спален начальником (или кто там у вас следит?) по камере слежения. Поверьте, в замедленной съемке любой лох разберется в Вашем «крутом» пароле. Скажете, нафиг ему надо? А вот когда человека увольняют, ему сразу много чего надо…
5) Просто не надо быть дураком.
Спасибо!
Криптостойкие пароли для всех, даром, и пусть никто не уйдет обиженным ;)
язык, использующий только латинский алфавит (никаких умляутов, кириллицы, иероглифов и т.п.). Например, английский, эсперанто или латынь.
ĉu vi ne scias Esperanto?
ĉu vi ne scias Esperanto?
Извините, мой косяк. С эсперанто знаком был лишь по наслышке и думал что там используется только латинское письмо.
К счастью, есть способы это обойти. Аж два: en.wikipedia.org/wiki/Esperanto_orthography#The_h-system
и en.wikipedia.org/wiki/X-convention
и en.wikipedia.org/wiki/X-convention
Убрано упоминание об эсперантоДа вроде как не убрано, аж в двух местах встречается.
Хитрые схемы преобразования имени ресурса в пароль грешат одним недостатком: стоит узнать несколько паролей, и схема как на ладони, и все остальные пароли вычисляются.
Замена букв — вообще не метод, так как популярные программы взлома такие методы уже учитывают. Да и схема преобразования слова в пароль тоже раскрываема, что даёт возможность делать очень хорошую атаку по словарю после узнавания нескольких пар слово=>пароль.
Пока биометрические методы не будут общеприняты — с проблемой паролей, мне кажется, справиться невозможно. Разве что писать в качестве пароля длинные фразы из слов — которые действительно можно подобрать по ассоциации, — но на практике пароль длиннее восьми символов набирать неприемлемо.
В будущем, я думаю, каждая клавиатура будет оснащена считывателем пароля, который будет поступать от клиента с микрокомпьютера с биометрической привязкой к пользователю. Это и сейчас сделать просто на базе USB, достаточно унифицировать алгоритмы запроса паролей для предотвращения передачи пароля в открытом (не хэшированном) виде.
Замена букв — вообще не метод, так как популярные программы взлома такие методы уже учитывают. Да и схема преобразования слова в пароль тоже раскрываема, что даёт возможность делать очень хорошую атаку по словарю после узнавания нескольких пар слово=>пароль.
Пока биометрические методы не будут общеприняты — с проблемой паролей, мне кажется, справиться невозможно. Разве что писать в качестве пароля длинные фразы из слов — которые действительно можно подобрать по ассоциации, — но на практике пароль длиннее восьми символов набирать неприемлемо.
В будущем, я думаю, каждая клавиатура будет оснащена считывателем пароля, который будет поступать от клиента с микрокомпьютера с биометрической привязкой к пользователю. Это и сейчас сделать просто на базе USB, достаточно унифицировать алгоритмы запроса паролей для предотвращения передачи пароля в открытом (не хэшированном) виде.
Дикари. :) Вот правильное решение: passwordmaker.org/
Запоминаете единственный мастер-пароль в голову и генерируете стойкие пароли (как правило по доменному имени). Как онлайн, так и в виде разных плагинов. Утеря хранилища паролей не становится трагедией.
Запоминаете единственный мастер-пароль в голову и генерируете стойкие пароли (как правило по доменному имени). Как онлайн, так и в виде разных плагинов. Утеря хранилища паролей не становится трагедией.
А у меня уже давно есть алгоритм. Я придумываю русское слово, ставлю его в определенный падеж, перевожу первый и последний символ в верхний регистр, и все это печатается в анг. раскладке. Правда если на клаве нет русс. букв то набрать пароль немного сложновато но возможно.
Интуитивно пришел к многократно упомянутой схеме пароля из двух частей — постоянная и изменяемая в зависимости от ресурса. В изменяемую часть беру первые несколько букв названия ресурса или первую букву + доменную зону. Используется только латиница — но для неизменяемой части взято русское слово. Точнее, древнерусское ))
Для повышения криптостойкости определил конечный ряд букв с единым признаком. За основу взял… ну, например, ряд P/T/K. Для меня этот ряд легко запоминается, потому что встретил его в виде имени Пантанкан в старой фантастике, где этим именем назвался шпион инопланетян )) а само имя представляет собой имена базовых букв земного алфавита (в том мире/книге: Майкл Фостер. «Воины Рассвета»). Примерно в то же время читал и Толкина, его эльфийские алфавиты также основаны на этих буквах. Да и ряд земных древних языков выделяли их в качестве основы своей звуковой системы. В общем, принцип не так важен — главное, чтобы он был легко воспроизводим.
Далее, алфавит делится на 4 части: < K T >, этим интервалам присваиваются номера 1...4 (сами буквы 1,2,3), а в пароле заменяются буквы названия ресурса и его доменной зоны (кроме гласных) в соответствии их положению в этих интервалах, в том числе, если они встречаются в неизменяемой части пароля.
В результате получаем такой пароль для Хабра:
«корень»: zhopa
«окончание»: habrru
пароль: z1o2a1a113uXC
Последний штрих – год окончания школы в римской системе. Удобно тем, что всегда помнишь — и писать привычно в верхнем регистре.
P.S. На самом деле у меня другой ряд букв и другой принцип их замены — но это уже неважно )) для Хабра я сделал пароль, вообще не входящий в подобную систему ))
Для повышения криптостойкости определил конечный ряд букв с единым признаком. За основу взял… ну, например, ряд P/T/K. Для меня этот ряд легко запоминается, потому что встретил его в виде имени Пантанкан в старой фантастике, где этим именем назвался шпион инопланетян )) а само имя представляет собой имена базовых букв земного алфавита (в том мире/книге: Майкл Фостер. «Воины Рассвета»). Примерно в то же время читал и Толкина, его эльфийские алфавиты также основаны на этих буквах. Да и ряд земных древних языков выделяли их в качестве основы своей звуковой системы. В общем, принцип не так важен — главное, чтобы он был легко воспроизводим.
Далее, алфавит делится на 4 части: < K T >, этим интервалам присваиваются номера 1...4 (сами буквы 1,2,3), а в пароле заменяются буквы названия ресурса и его доменной зоны (кроме гласных) в соответствии их положению в этих интервалах, в том числе, если они встречаются в неизменяемой части пароля.
В результате получаем такой пароль для Хабра:
«корень»: zhopa
«окончание»: habrru
пароль: z1o2a1a113uXC
Последний штрих – год окончания школы в римской системе. Удобно тем, что всегда помнишь — и писать привычно в верхнем регистре.
P.S. На самом деле у меня другой ряд букв и другой принцип их замены — но это уже неважно )) для Хабра я сделал пароль, вообще не входящий в подобную систему ))
Мой алгоритм:
Для каждого ресурса пароль не подбираю (хотя можно, наверное, добавлять пару букв/цифр от домена, надо попробовать)
Пароли делю на 4 степени важности — сильно финансово значимые (кошельки, сертификаты и т. п.), слабо финансовые значимые (платные аккаунты, включая хостинги и т. п.), лично значимые (мыло, аська, ценные ресурсы и т. п.), «лишь бы отвязались» — всякие регистрации для скачивания, просмотра и т. п.
Каждую из степеней проассоциировал со строчками хорошо знакомых песен, стихов, прозу и даже их детскими «ремиксами», например «Взвейтесь кострами, бочки с бензином! Мы, пионеры — дети грузина!» (только с пунктуацией надо определиться, мне, обычно, гугл помогает :) ).
Берем первые буквы и зннки препинания — из примера получаем Вк, бсб! М, п-дг! (если ресурс не позволяет спец символы — убираем), плюс в конец добавляю количество букв в последнем слове — Вк, бсб! М, п-дг!7
Переводим на латиницу по предпочитаемому алгоритму (я пользуюсь клавиатурой) и вуаля — Dr?,c,!V?g-lu!7 и набирается легко, просто произнося про себя слова песни и нажимая соответствующие клавиши. Сложно только бывает такой пароль по телефону диктовать, по буквам выжимаешь из себя — собесбедник в недоумении :)
Надеюсь кто нибудь модифицирует алгоритм под себя вместо использования «god» и «sex»
Для каждого ресурса пароль не подбираю (хотя можно, наверное, добавлять пару букв/цифр от домена, надо попробовать)
Пароли делю на 4 степени важности — сильно финансово значимые (кошельки, сертификаты и т. п.), слабо финансовые значимые (платные аккаунты, включая хостинги и т. п.), лично значимые (мыло, аська, ценные ресурсы и т. п.), «лишь бы отвязались» — всякие регистрации для скачивания, просмотра и т. п.
Каждую из степеней проассоциировал со строчками хорошо знакомых песен, стихов, прозу и даже их детскими «ремиксами», например «Взвейтесь кострами, бочки с бензином! Мы, пионеры — дети грузина!» (только с пунктуацией надо определиться, мне, обычно, гугл помогает :) ).
Берем первые буквы и зннки препинания — из примера получаем Вк, бсб! М, п-дг! (если ресурс не позволяет спец символы — убираем), плюс в конец добавляю количество букв в последнем слове — Вк, бсб! М, п-дг!7
Переводим на латиницу по предпочитаемому алгоритму (я пользуюсь клавиатурой) и вуаля — Dr?,c,!V?g-lu!7 и набирается легко, просто произнося про себя слова песни и нажимая соответствующие клавиши. Сложно только бывает такой пароль по телефону диктовать, по буквам выжимаешь из себя — собесбедник в недоумении :)
Надеюсь кто нибудь модифицирует алгоритм под себя вместо использования «god» и «sex»
Про степень важности ее связь со сложностью тут уже говорили. В общем мне не проблема запомнить несколько сложных паролей. Если будут проблемы с памятью, то мне нужен будет метод улучшения памяти, а не генерации паролей.
А для не особо важных паролей применяю чтото вроде такого:
abudfvfytgfhjkm rfrjqyf[eqgfhjkm mhehehe;thgahokm
Оно конечно не так стойко к перебору по словарю как могло бы быть. Но зато более стойко к методам терморектального криптоанализа :)
А для не особо важных паролей применяю чтото вроде такого:
abudfvfytgfhjkm rfrjqyf[eqgfhjkm mhehehe;thgahokm
Оно конечно не так стойко к перебору по словарю как могло бы быть. Но зато более стойко к методам терморектального криптоанализа :)
самым логичным решением будет перевести слово на язык, использующий только латинский алфавит
или просто переключить раскладку, тогда «баклажан» превратится не в «aubergine» а в ",frkf;fy"
одним из способов сочинять пароли, которые мне известны — брать известный бренд и разделять его химической формулой типа Mercedes + HN03 = MerHN03cedes
Способ замечательный, лишь бы «девичья фамилия матери» всё не испортила.
А проверять пароли можно здесь www.passwordmeter.com/
Основная проблема при таком способе, что ассоциаций с объектом может быть очень много. В данном случае если вы забудете пароль, придётся перебирать все известные вам овощи :)
Ещё хорошими паролями являются не отдельные слова, а целые фразы и предожения. Можно брать строчку из стихов, рекламные фразы, длинные названия, например, «Я помню чудное мгновенье». Вместо пробелов можно использовать нижнее подчёркивание.
А также можно пользоваться богатсвом русского языка, используя не основную форму слова, а например уменьшительно-ласкательную :) Например, «парольчик». Такого в списках для брутофорса точно нет.
Надеюсь все знают, что пароли должны быть длинными, чтобы их не смогли подобрать банальным перебором всех символов.
P.S. Вообще невозможно запомнить десятки уникальных паролей, поэтому у большинства есть несколько «стандартных» паролей, которые используются на большинстве сервисов, а уникальные пароли используются только действительно на чём-то важном, типа основной почты или сервисе управление банковским счётом.
Ещё хорошими паролями являются не отдельные слова, а целые фразы и предожения. Можно брать строчку из стихов, рекламные фразы, длинные названия, например, «Я помню чудное мгновенье». Вместо пробелов можно использовать нижнее подчёркивание.
А также можно пользоваться богатсвом русского языка, используя не основную форму слова, а например уменьшительно-ласкательную :) Например, «парольчик». Такого в списках для брутофорса точно нет.
Надеюсь все знают, что пароли должны быть длинными, чтобы их не смогли подобрать банальным перебором всех символов.
P.S. Вообще невозможно запомнить десятки уникальных паролей, поэтому у большинства есть несколько «стандартных» паролей, которые используются на большинстве сервисов, а уникальные пароли используются только действительно на чём-то важном, типа основной почты или сервисе управление банковским счётом.
Я уже очень много думал по поводу генерации и хранения паролей к сервисам и для себя выбрал следующее:
— генерю один длинный ни с чем не связанный пароль через любой нормальный генератор паролей (большие-маленькие буквы, цифры, спецсимволы), выучиваю его наизусть.
— генерю пароль покороче (6 символов например), тоже запоминаю.
— для всякого хлама (одноразовая регистрация в форуме, сомнительные сайты, и т.п.) использую короткий пароль (если его админ какого-нибудь форума его пропалит то максимум что он получит — доступ к другому хламу)
— для хранения других паролей я поставил к себе на хостинг скрипт PasswordChain (http://sourceforge.net/projects/phpchain) — код opensource, требуется обычный php+mysql, все логины, пароли и другие данные шифруются одним мастер-паролем так что даже админ хостинга и автор программы при всём желании не смогут узнать даже логинов и адресов сайтов, которые ты записал в ней. Соответственно мастер-пароль ставлю тот самый первый, который выучил наизусть.
— для остальных сервисов генерю рандомные пароли и записываю в эту прогу. В зависимости от важности сервиса ставлю галку «сохранить пароль для формы» в Firefox (там тоже все сохраненные пароли шифруются одним мастер-паролем). В итоге получается что пароли для каждого сайта нужно один раз запомнить в браузере и не забыть добавить в PasswordChain. А потом только при загрузке браузера один раз ввести мастер-пароль (заодно и тренировка памяти чтобы его с похмела вдруг не забыть). Если засел за другой комп или переустановил Firefox или просто нужно срочно посмотреть пароль — залажу на первом попавшемся девайсе браузером в свой passwordchain (а браузеры сейчас даже в мобильниках есть) и нахожу чего мне нужно.
— для защиты от похищения серерва хостинга инопланетянами или маски-шоу обэпа ежедневно делается бекап mysql-базы с паролями на нескольких других хостингов.
— для синхронизации сохраненных паролей в firefox между домашним и рабочим компом использую extension Weave (можно тоже настроить хранение данных синхронизации на своём личном хостинге (dav-протокол)).
— генерю один длинный ни с чем не связанный пароль через любой нормальный генератор паролей (большие-маленькие буквы, цифры, спецсимволы), выучиваю его наизусть.
— генерю пароль покороче (6 символов например), тоже запоминаю.
— для всякого хлама (одноразовая регистрация в форуме, сомнительные сайты, и т.п.) использую короткий пароль (если его админ какого-нибудь форума его пропалит то максимум что он получит — доступ к другому хламу)
— для хранения других паролей я поставил к себе на хостинг скрипт PasswordChain (http://sourceforge.net/projects/phpchain) — код opensource, требуется обычный php+mysql, все логины, пароли и другие данные шифруются одним мастер-паролем так что даже админ хостинга и автор программы при всём желании не смогут узнать даже логинов и адресов сайтов, которые ты записал в ней. Соответственно мастер-пароль ставлю тот самый первый, который выучил наизусть.
— для остальных сервисов генерю рандомные пароли и записываю в эту прогу. В зависимости от важности сервиса ставлю галку «сохранить пароль для формы» в Firefox (там тоже все сохраненные пароли шифруются одним мастер-паролем). В итоге получается что пароли для каждого сайта нужно один раз запомнить в браузере и не забыть добавить в PasswordChain. А потом только при загрузке браузера один раз ввести мастер-пароль (заодно и тренировка памяти чтобы его с похмела вдруг не забыть). Если засел за другой комп или переустановил Firefox или просто нужно срочно посмотреть пароль — залажу на первом попавшемся девайсе браузером в свой passwordchain (а браузеры сейчас даже в мобильниках есть) и нахожу чего мне нужно.
— для защиты от похищения серерва хостинга инопланетянами или маски-шоу обэпа ежедневно делается бекап mysql-базы с паролями на нескольких других хостингов.
— для синхронизации сохраненных паролей в firefox между домашним и рабочим компом использую extension Weave (можно тоже настроить хранение данных синхронизации на своём личном хостинге (dav-протокол)).
Жалко только что автор PasswordChain перестал её развивать. Но текущая версия работает стабильно и не имеет дырок для вскрытия паролей не зная мастер-пароля и мне этого достаточно.
Достойной альтернативы ей не нашёл, хотя много всего перепробовал.
Минимальные требования такие:
— веб-интерфейс (желательно простой, чтобы с мобильника было удобно пользоваться)
— открытость кода (чтобы быть уверенным что мои пароли не пересылаются ещё куда-либо)
— возможность поднятия у себя на хостинге (не хочу доверять данные третьим лицам, которые могут вдруг обанкротиться и сбежать с данными либо закрыть доступ и вымогать деньги за доступ к данным)
— стандартные требования к ПО, чтобы завелось на любом хостинге (в идеале просто php+файл с данными)
— шифрование всех данных одним паролем (чтобы админ сервера хостинга не мог не только пароли мои посмотреть в БД, но и адреса порносайтов, на которых я зарегистрировался :-D)
Остальное уже не важно, ко всему можно привыкнуть или нарайняк — дописать самому…
Если кто знает что-либо подобное — сообщите пожалуйста тут или в личку, с удовольствием «пощупаю».
Достойной альтернативы ей не нашёл, хотя много всего перепробовал.
Минимальные требования такие:
— веб-интерфейс (желательно простой, чтобы с мобильника было удобно пользоваться)
— открытость кода (чтобы быть уверенным что мои пароли не пересылаются ещё куда-либо)
— возможность поднятия у себя на хостинге (не хочу доверять данные третьим лицам, которые могут вдруг обанкротиться и сбежать с данными либо закрыть доступ и вымогать деньги за доступ к данным)
— стандартные требования к ПО, чтобы завелось на любом хостинге (в идеале просто php+файл с данными)
— шифрование всех данных одним паролем (чтобы админ сервера хостинга не мог не только пароли мои посмотреть в БД, но и адреса порносайтов, на которых я зарегистрировался :-D)
Остальное уже не важно, ко всему можно привыкнуть или нарайняк — дописать самому…
Если кто знает что-либо подобное — сообщите пожалуйста тут или в личку, с удовольствием «пощупаю».
Если альтернатив PasswordChain всё же нет, то есть предложение к хабрасообществу заняться доработкой текущей программы (либо форкнуть либо присоединиться к проекту), т.к. самое сложное уже сделано, рабочее ядро уже есть и довольно неплохое, осталось только повысить удобство использования и расширить функционал.
Я сам бы взялся да всё никак время не найду и в одиночку мне как-то скушновато…
Я сам бы взялся да всё никак время не найду и в одиночку мне как-то скушновато…
Для синхронизации в FF пользуюсь для этих целей Foxmarks. Посмотрел про Weave — заманчиво, но свободная регистрация закрыта. Не могли бы немного рассказать, что эта штука умеет?
На данный момент версия 0.2.7 умеет синхронизировать:
— Закладки (не пользуюсь, т.к. использую delicious.com и отличнейший extension для Firefox)
— Историю браузинга
— Куки (не пользуюсь, т.к. куки авторизации привязываются к IP и в результате если дома не вышел, то на работе авторизация на сайте слетает и наоборот).
— Сохраненные пароли форм
— Закладки (на другой машине когда коннектишься — можно выбрать галочками что открыть из того, что осталось открытым на другой машине)
— Сохраненные данные форм (подсказки чего раньше набирал)
— История ввода (список посещенных страниц в строке адреса)
Также планируют в следующих версиях научить синхронизировать:
— Extensions
— Themes
— Search plugins
— Microformats (пока не понял что это)
— Поддержка плагинов (можно будет свои типы информации синхронизировать)
Регистрация на офсайте закрыта, но по-моему прокатывает метод со своим хранилищем (у меня прокатило на версии 0.2.4). Попробуйте следующим образом:
— скачиваете и устанавливаете экстеншн
— при начальной регистрации нажимаете «отмена»
— заходите в настройки и изменяете адрес хранилища (Preferences — Advanced — Server location) — можно использовать любой хостинг или свой сервер, который поддерживает webdav.
— нажимаете Sign In и вводите логин-пароль webdav от папки хостинга. Второй пароль используется для шифрования данных — рекомендую задать любой другой посложнее, не совпадающий с хостинговым.
И всё, после этого у меня заработало!
— Закладки (не пользуюсь, т.к. использую delicious.com и отличнейший extension для Firefox)
— Историю браузинга
— Куки (не пользуюсь, т.к. куки авторизации привязываются к IP и в результате если дома не вышел, то на работе авторизация на сайте слетает и наоборот).
— Сохраненные пароли форм
— Закладки (на другой машине когда коннектишься — можно выбрать галочками что открыть из того, что осталось открытым на другой машине)
— Сохраненные данные форм (подсказки чего раньше набирал)
— История ввода (список посещенных страниц в строке адреса)
Также планируют в следующих версиях научить синхронизировать:
— Extensions
— Themes
— Search plugins
— Microformats (пока не понял что это)
— Поддержка плагинов (можно будет свои типы информации синхронизировать)
Регистрация на офсайте закрыта, но по-моему прокатывает метод со своим хранилищем (у меня прокатило на версии 0.2.4). Попробуйте следующим образом:
— скачиваете и устанавливаете экстеншн
— при начальной регистрации нажимаете «отмена»
— заходите в настройки и изменяете адрес хранилища (Preferences — Advanced — Server location) — можно использовать любой хостинг или свой сервер, который поддерживает webdav.
— нажимаете Sign In и вводите логин-пароль webdav от папки хостинга. Второй пароль используется для шифрования данных — рекомендую задать любой другой посложнее, не совпадающий с хостинговым.
И всё, после этого у меня заработало!
Нашёл статейку где предлагают использовать сервис https://mydisk.se/ для Weave:
scognito.wordpress.com/2008/08/30/using-different-server-for-mozilla-weave/
scognito.wordpress.com/2008/08/30/using-different-server-for-mozilla-weave/
Своя система генерации паролей конешно хороша, но не во всех случаях ты во власти выбирать пароль, иногда тебе его назначает админ или другой человек, поэтому для их хранения потребуется всё-равно какая-то хранилка паролей. Плюс когда ты генеришь пароль которым будут пользоваться несколько человек — эти несколько могут твою систему генерации раскрыть и подобрать пароли от всех твоих остальных сервисов.
Поэтому для себя я сделал единственное правило: один мастер-пароль, который не знает никто кроме меня и ни при каких условиях я его не скажу, плюс все остальные пароли генерю рандомом и шифрую мастер-паролем.
От терморектального анализа это всё конешно не спасёт, но и своя система генерации от паяльника тоже долго не утаится :)
Поэтому для себя я сделал единственное правило: один мастер-пароль, который не знает никто кроме меня и ни при каких условиях я его не скажу, плюс все остальные пароли генерю рандомом и шифрую мастер-паролем.
От терморектального анализа это всё конешно не спасёт, но и своя система генерации от паяльника тоже долго не утаится :)
Тут такая штука, что я, как админ, сам и выдаю пароли и некоторыми из этих паролей приходится периодически пользоваться (например под аккаунтом пользователя надо что-то сделать).
Я тоже часто сам генерю и выдаю пароли для пользователей, приходится иногда этими чужими паролями пользоваться, но в базе они хранятся зашифрованные (MD5 например), поэтому уже никак не восстановишь, а менять на другой нецелесообразно для одной проверки. Поэтому остается единственный вариант — записывать их где-то в открытом виде.
Соответсвенно, я и сохраняю их в базе данных в категории «пароли юзеров». Но открытым текстом в файле или базе хранить небезопасно, поэтому шифрую их своим мастер-паролем, соответственно доступ к ним остаётся только у меня.
Соответсвенно, я и сохраняю их в базе данных в категории «пароли юзеров». Но открытым текстом в файле или базе хранить небезопасно, поэтому шифрую их своим мастер-паролем, соответственно доступ к ним остаётся только у меня.
Sign up to leave a comment.
Генерация мнемонических сильных паролей