Comments 79
Я так примерно и делаю, только из словаря в голове + одна-две произвольных опечатки/искажения, например «террористическийэмульгаторик» :)
генератор: www.artlebedev.ru/tools/matrix/
тыловая булка (nskjdfz,ekrf)и так далее…
ромбовидная дырка (hjv,jdblyfzlshrf)
еловая рвота (tkjdfzhdjnf)
+ подмена некоторых букв на цифры и слова с нескольких языков
А что если сделать модульную структуру, т.е. пароль будет состоять из трех основных модулей:
1 — название сервиса
2 — указание службы/протокола
3 — сложная константа(8-12 символов), которую мы будем добовлять ко всем паролям
к 1 и 2 модулю придумать и запомнить свои определенные правила: подмена букв, разный регистр и т.п. — в общем кто на что горазд.
вот например, мы регистрируемся на форуме «abvgd.ru»:
пароль: @B5Gd_frm_d:er)y9VB5uW
или на хабре:
пароль: h@bR@H@Br_wb_d:er)y9VB5uW
Таким спообом можно один раз придумать правила, заучить их и каждый раз гененрировать новый с виду сложный пароль.
1 — название сервиса
2 — указание службы/протокола
3 — сложная константа(8-12 символов), которую мы будем добовлять ко всем паролям
к 1 и 2 модулю придумать и запомнить свои определенные правила: подмена букв, разный регистр и т.п. — в общем кто на что горазд.
вот например, мы регистрируемся на форуме «abvgd.ru»:
пароль: @B5Gd_frm_d:er)y9VB5uW
или на хабре:
пароль: h@bR@H@Br_wb_d:er)y9VB5uW
Таким спообом можно один раз придумать правила, заучить их и каждый раз гененрировать новый с виду сложный пароль.
Пусть скажем mail.ru, fuckupstartup.ru или odnoklassniki.ru при создании эккаунта или сбросе пароля создают его по описанной мной схеме, чтобы пользователю, который пользуется интернетом второй месяц, не приходилось:
а) запоминать дурацкий плохозапоминаемый пароль, который для него ничего не значит;
б) тем более придумывать какие-то «схемы» (ему детей кормить надо, а не гиковской херью заниматься).
Я не проблему гиков решаю, «как им не тратить час на придумывание нового пароля» (см. в статье по ссылке выше), а проблему рядового массового пользователя.
а) запоминать дурацкий плохозапоминаемый пароль, который для него ничего не значит;
б) тем более придумывать какие-то «схемы» (ему детей кормить надо, а не гиковской херью заниматься).
Я не проблему гиков решаю, «как им не тратить час на придумывание нового пароля» (см. в статье по ссылке выше), а проблему рядового массового пользователя.
Вспомнил мотороловский иТап. Если на нем произвольно нажимать клавиши такие ней выдает, например, 9 нажатий на 5ку выдаст «монопопон». Можно таскать с собой какой-нибудь С100 для генерации паролей. Плюс можно привязаться и набираемым цифрам.
UFO just landed and posted this here
UFO just landed and posted this here
полет навигатора в стратосферу
yt,skjybtlbyjujhfphsdf
:)
:)
UFO just landed and posted this here
уж не знаю, кто его автор
Впервые эту идею я встретил у Лукьяненко в Фальшивых зеркалах.
«Сорок тысяч обезьян в ж*** сунули банан» — пассфраза Чингиза.
Лично меня бесят сервисы. которые после ввода пасса пишут что-то типа «пароль должен состоять только из букв англ алфавита, цифр и знака подчеркивания». Они что, в изначальном виде хранят и боятся SQL-инъекции или на будущее, чтобы в случае чего было проще расшифровать?
Вообще меня устраивает пасс из 8 символов, где несколько маленьких английских букв, несколько больших, пара цифр и спец символы, брутом его точно не взять, ибо комбинаций примерно 96^8 :) На всех ресурсах, которым доверяю — использую один пароль, на других — другой, самый простой. Проблем еще не возникало (а-ля используется на каждом ресурсе уникальный пароль — так я потом вообще никуда не зайду. Привык хранить такую информацию исключительно в памяти).
Вообще надеюсь что в ближайшем будущем OpenID будет внедрен повсеместно.
Вообще меня устраивает пасс из 8 символов, где несколько маленьких английских букв, несколько больших, пара цифр и спец символы, брутом его точно не взять, ибо комбинаций примерно 96^8 :) На всех ресурсах, которым доверяю — использую один пароль, на других — другой, самый простой. Проблем еще не возникало (а-ля используется на каждом ресурсе уникальный пароль — так я потом вообще никуда не зайду. Привык хранить такую информацию исключительно в памяти).
Вообще надеюсь что в ближайшем будущем OpenID будет внедрен повсеместно.
многогранное красное воскресенье
главное пунтосвичер приспособить, чтоб не мешал в анг. раскладке писать
главное пунтосвичер приспособить, чтоб не мешал в анг. раскладке писать
Как это сделать, дуружище, не свеча пароль в исключениях? Меня этот пунтосвичтер уже заколебал с переключением в паролях.
Вообще-то комбинаций не триллион а побольше.
Во-первых подбиратели паролей, написанные русскими хакерами которые давно знают о том, что русские слова можно напирать в английской раскладке уже давно перебирают по словарям в том числе и по такой раскладке.
Во вторых, из первого следует что вариантов ровно <число русских слов>^<число слов в пароле>. (в степени)
Слова «неистовый», «волшебный» и «катализатор» входят в словарь БСЭ (125 тысяч слов)
125 000 в кубе, для нашего случая: это 1 953 125 000 000 000
Но это всё равно маловато для сегодняшних терафлопов (это триллион операций в секунду)
Во-первых подбиратели паролей, написанные русскими хакерами которые давно знают о том, что русские слова можно напирать в английской раскладке уже давно перебирают по словарям в том числе и по такой раскладке.
Во вторых, из первого следует что вариантов ровно <число русских слов>^<число слов в пароле>. (в степени)
Слова «неистовый», «волшебный» и «катализатор» входят в словарь БСЭ (125 тысяч слов)
125 000 в кубе, для нашего случая: это 1 953 125 000 000 000
Но это всё равно маловато для сегодняшних терафлопов (это триллион операций в секунду)
любая промышленная система сегодня не даёт проверять новый пароль чаще, чем раз в секунду, а после n ошибочных попыток может увеличивать время задержки логарифмически )
Это наше счастье, но бывает что могут похитить базу с зашифрованными паролями и тихо брутфорсить у себя в гараже на двадцати приставках PS3.
я в посте писал, что идеальных решений не бывает и они не нужны
если кто-то готов пойти на такое преступление, значит, защищать эти данные надо более надёжными способами (на уровне доступа к базе)
вообще, «украли базу» это уже разговор из серии «а что если фсб наедет»? случаи бывают разные, в том числе и пц приходит
если кто-то готов пойти на такое преступление, значит, защищать эти данные надо более надёжными способами (на уровне доступа к базе)
вообще, «украли базу» это уже разговор из серии «а что если фсб наедет»? случаи бывают разные, в том числе и пц приходит
UFO just landed and posted this here
Такой алгоритм перестаёт работать, когда:
а) стоит ограничение на длину пароля (как в аське — всего 8 символов)
б) когда запрещают вводить символы, не входящие в оговоренный алфавит (например, допускаются только символы [A-Za-z0-9])
в) когда требуют ввести дополнительные цифры или другие спец.символы (тогда приходится отходить от этого алгоритма и добавлять какое-то число, а потом вспоминать, нужно ли вводить число на этом сайте и если да, то какое...)
а) стоит ограничение на длину пароля (как в аське — всего 8 символов)
б) когда запрещают вводить символы, не входящие в оговоренный алфавит (например, допускаются только символы [A-Za-z0-9])
в) когда требуют ввести дополнительные цифры или другие спец.символы (тогда приходится отходить от этого алгоритма и добавлять какое-то число, а потом вспоминать, нужно ли вводить число на этом сайте и если да, то какое...)
1. Ты уверен, что это не будет легко подбираться с помощью словаря?
2. На самом деле русский пароль в латинской раскладке чудесно набирать на айфоне или компьютере без гравировки на клавиатуре. Одного опыта обычно хватает )
2. На самом деле русский пароль в латинской раскладке чудесно набирать на айфоне или компьютере без гравировки на клавиатуре. Одного опыта обычно хватает )
1. а почему я могу быть не уверен? см. выше ответ геваре
2. мантра: думай про массового пользователя )
2. мантра: думай про массового пользователя )
1. ну да, ограничение на количество попыток в единицу времени — это первое требование к системе
2. у тебя есть статистика по массовым пользователям? или ты учитываешь увеличивающуюся долю мобильных пользователей, которым с их DTFM-кейпадом как-то по барабану.)) Короче, qwerty с гравировкой (или на худой конец экранная клавиатура) — второе допущение.
Вариант: не проще ли придумать одно короткое слово на английском и сделать из него что-то вроде L33t, с прописными буквами и цифрами?
2. у тебя есть статистика по массовым пользователям? или ты учитываешь увеличивающуюся долю мобильных пользователей, которым с их DTFM-кейпадом как-то по барабану.)) Короче, qwerty с гравировкой (или на худой конец экранная клавиатура) — второе допущение.
Вариант: не проще ли придумать одно короткое слово на английском и сделать из него что-то вроде L33t, с прописными буквами и цифрами?
2. ты знаешь, я пока живу в миру десктопов/ноутов и есть ощущение, что российские домашние и офисные пользователи будут некоторое время тоже
проверь L33t на своей бабушке, потом расскажешь, ага?
проверь L33t на своей бабушке, потом расскажешь, ага?
2. думаю, тут не учтен контекст: пользователю может серьезно понадобиться в какой-то мент залогиться, и без подходящей клавиатуры не получится. нет правда.
кстати, тут вот альтернативную мантру предлагают: эмпатия-эмпатия-эмпатия :-)
sorry, бабушка не является пользователем интернета, но даже если станет — то мобильного
кстати, тут вот альтернативную мантру предлагают: эмпатия-эмпатия-эмпатия :-)
sorry, бабушка не является пользователем интернета, но даже если станет — то мобильного
Я пытался набирать на мобильнике такой пароль из 35 букв. Я набрал его без ошибки, но ужаснулся и сменил на короткий (но больше 10 символов), бессмысленный, с символами, цифрами и разным регистром.
После того как стал пользоваться KeePassX, которая хранит все мои 20-значные уникальные пароли, такого рода статьи всё меньше и меньше меня привлекают.
А вот мне не нравится устанавливать сторонние программы, которые хранят все мои пароли.
Во-первых, потому что в таком случае всегда придётся таскать с собой эту программу.
Это неудобство останавливает меня от подобного рода программ. Однажды по молодости я доверил пароли одной такой программе, а потом у меня полетел винчестер и пришлось расстаться с почтой, аськой, доступом к разным аккаунтам…
Во-вторых, все эти пароли защищены всего одним паролем, взломав который, получишь доступ ко всему хранилищу.
Во-первых, потому что в таком случае всегда придётся таскать с собой эту программу.
Это неудобство останавливает меня от подобного рода программ. Однажды по молодости я доверил пароли одной такой программе, а потом у меня полетел винчестер и пришлось расстаться с почтой, аськой, доступом к разным аккаунтам…
Во-вторых, все эти пароли защищены всего одним паролем, взломав который, получишь доступ ко всему хранилищу.
Программа есть на флэшке, которая всегда с собой, есть на телефоне, есть на десктопе…
Мне кажется, что проще запомнить один надёжный пароль, чем много ненадёжных. Ну и да, на любителя… Где-то на хабре есть статья о этой программе, там есть мои критические замечания на этот счёт. Потом я поменял своё мнение на этот счёт.
Мне кажется, что проще запомнить один надёжный пароль, чем много ненадёжных. Ну и да, на любителя… Где-то на хабре есть статья о этой программе, там есть мои критические замечания на этот счёт. Потом я поменял своё мнение на этот счёт.
на счёт «трудно запомнить подглядевшему» — подглядывают же не за звёздочками на экране, а за клавиатурой. Так что пункт не засчитан.
На работе, кстати, проводил эксперимент: вслепую длинные слова/фразы рядовым пользователям очень сложно набрать — постоянно делали опечатки. В итоге «технократические» пароли победили :-)
На работе, кстати, проводил эксперимент: вслепую длинные слова/фразы рядовым пользователям очень сложно набрать — постоянно делали опечатки. В итоге «технократические» пароли победили :-)
случайно подглядеть можно в момент, когда система присылает письмо с генерируемым паролем
неслучайное (преднамеренное) подглядывание это уже совсем другой случай
а вы не заставляйте пользователей вводить пароль на каждый чих
на работе вообще можно хардовые решения использовать — с флешками и дактилоскопией
неслучайное (преднамеренное) подглядывание это уже совсем другой случай
а вы не заставляйте пользователей вводить пароль на каждый чих
на работе вообще можно хардовые решения использовать — с флешками и дактилоскопией
Я комбинирую этот способ с упомянутым winter_solstice. Беру строку или две из стихотоврения или песни и первые буквы слов набираю в английской раскладке.
Одна проблема… если нужно ввести свой пароль, а у тебя под рукой только английская клавиатура, без русской (например, находясь зарубежом) ;)
Тогда не умея печатать слепым методом свой пароль такого вида «rkfccyfznhfdf» не ввести ;)
Тогда не умея печатать слепым методом свой пароль такого вида «rkfccyfznhfdf» не ввести ;)
Вобще написать подобный генератор не представляется сложным.
Пример: quasar.pwu.com
Однако возникает сразу несколько проблем:
— необходимы словари частей речи,
— необходимы проверки на окончания.
Как вариант, возможно действительно хорошим способом может стать выдергивание 2-3 слов из какой-нибудь книги, например из «Войны и мира» (как вариант), тогда большинство проблем отпадают.
Пример: quasar.pwu.com
Однако возникает сразу несколько проблем:
— необходимы словари частей речи,
— необходимы проверки на окончания.
Как вариант, возможно действительно хорошим способом может стать выдергивание 2-3 слов из какой-нибудь книги, например из «Войны и мира» (как вариант), тогда большинство проблем отпадают.
как бы под винду есть ViPNet Password Roulette
фриварный, генерирующий пароли по подобному алгоритму
программе уже более 2-х лет точно =)
фриварный, генерирующий пароли по подобному алгоритму
программе уже более 2-х лет точно =)
Совершенно верно! И уже два года у меня не болит голова при назначении паролей:
после смены оного на всех точках входа, парольная фраза на русском языке, отправляется SMS-сообщением на телефон пользователя.
Можете оценить здесь (программа бесплатна): www.infotecs.ru/Soft/pass.htm
после смены оного на всех точках входа, парольная фраза на русском языке, отправляется SMS-сообщением на телефон пользователя.
Можете оценить здесь (программа бесплатна): www.infotecs.ru/Soft/pass.htm
Есть ещё одна проблема — этот пароль слишком длинный, тем, кто не умеет быстро печатать будет влом его набирать.
«неистовый волшебный катализатор».
А потом долбиться пытаясь войти с «возбужденным магическим ускорителем». Ассоциативное мышление не дремлет :)
Утрирую конечно, но все же старые добрые 'jfTe2$h_#w' как-то роднее и привычнее.
А потом долбиться пытаясь войти с «возбужденным магическим ускорителем». Ассоциативное мышление не дремлет :)
Утрирую конечно, но все же старые добрые 'jfTe2$h_#w' как-то роднее и привычнее.
UFO just landed and posted this here
Извините, но это не «гуманистический», а абсолютно безграмотный подход.
Взлом паролей «перебором» — это последний вариант, от которого нет защиты кроме увеличения длины пароля.
К Вашей схеме прекрасно подходит атака по словарю, а замена русских букв английскими практически ничего не прибавляет к стойкости пароля.
И вообще, если у паролей есть какая-то логичная схема генерации — это резко увеличивает шансы на взлом.
Взлом паролей «перебором» — это последний вариант, от которого нет защиты кроме увеличения длины пароля.
К Вашей схеме прекрасно подходит атака по словарю, а замена русских букв английскими практически ничего не прибавляет к стойкости пароля.
И вообще, если у паролей есть какая-то логичная схема генерации — это резко увеличивает шансы на взлом.
какая атака по словарю? вы инженер или поэт?
см. ответ геваре:
habrahabr.ru/blogs/ui_design_and_usability/49829/#comment_1304991
см. ответ геваре:
habrahabr.ru/blogs/ui_design_and_usability/49829/#comment_1304991
Я точно не поэт.
en.wikipedia.org/wiki/Dictionary_attack
en.wikipedia.org/wiki/Dictionary_attack
Клизьма доброго пути О_О
Для вас этот метод прост и изящен лишь потому, что вы играли в «руссефецированную» Диаблу, или в русское издание MtG, или еще что-то подобное. Вы знаете, как звучит фраза на английском и звучит она там нормально, а при подстрочном переводе получаются такие перлы весьма нас всех забавляющие.
Только вот одна проблемка — девочке секретарше или тетеньке бухгалтеру такие пароли с большой вероятностью вынесут мозг, т.к. они вряд ли играли в такие игры и ничего забавного в этом не видят. Правда тут все зависит от чувства юмора каждого конкретного человека.
Хотя идейка хорошая, мне понравилась. Мы, когда играли в Карты Магии, сами переводили карточки — тупо поржать, до сих пор некоторые перлы помню.
Только вот одна проблемка — девочке секретарше или тетеньке бухгалтеру такие пароли с большой вероятностью вынесут мозг, т.к. они вряд ли играли в такие игры и ничего забавного в этом не видят. Правда тут все зависит от чувства юмора каждого конкретного человека.
Хотя идейка хорошая, мне понравилась. Мы, когда играли в Карты Магии, сами переводили карточки — тупо поржать, до сих пор некоторые перлы помню.
2 morav:
такое решение хорошо подходит для разных вебсервисов
а что делать в корпоративной сетке когда пароль приходится менять раз в два месяца
да и еще помнят 20 последних паролей…
фантазии уже не хватает…
такое решение хорошо подходит для разных вебсервисов
а что делать в корпоративной сетке когда пароль приходится менять раз в два месяца
да и еще помнят 20 последних паролей…
фантазии уже не хватает…
2 morav:
такое решение хорошо подходит для разных вебсервисов
а что делать в корпоративной сетке когда пароль приходится менять раз в два месяца
да и еще помнят 20 последних паролей…
фантазии уже не хватает…
такое решение хорошо подходит для разных вебсервисов
а что делать в корпоративной сетке когда пароль приходится менять раз в два месяца
да и еще помнят 20 последних паролей…
фантазии уже не хватает…
а я делаю так:
берем слово/фразу
мамамылараму
изменяю
мамамолорому
а потом вмексто положенных букв пишу те что слева\справа etc.
можно и по очереди (лево право низ низ лево право низ низ лево право низ низ ......)
свсвилдлолик
вот такое получается слово
а если еще использовать сложноподчиненное предложение с 30 символами (как у меня на root) то…
зы. орфографические ошибки тоже не помешают
берем слово/фразу
мамамылараму
изменяю
мамамолорому
а потом вмексто положенных букв пишу те что слева\справа etc.
можно и по очереди (лево право низ низ лево право низ низ лево право низ низ ......)
свсвилдлолик
вот такое получается слово
а если еще использовать сложноподчиненное предложение с 30 символами (как у меня на root) то…
зы. орфографические ошибки тоже не помешают
Я считаю, что полное и окончательное решение проблемы паролей в интернете это SuperGenPass (или его аналоги).
Похоже, дистрибутивы убунту по такому принципу и именуются…
Sign up to leave a comment.
Пароли: Гуманистический подход против Технократического