Comments 100
Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома
Такой пароль даже не пытается тебя ни от чего спасти. Чем это — лучше просто взять какой стих и пароль составить по первым буквам слов, четверостиший или еще чего, и то надежнее будет, заметно менее предсказуемо
Сомневаюсь, что среднестатистический юзер ПК будет использовать наборы букв лесенкой с цифрами и символами в перемешку. Пусть это и усилит их безопасность. А такой вариант — компромисс.
Пожалуй изложенный тут метод отличается от большинства уже опубликованных лишь тем, что я советую в свои пароли вставлять частичку названия сайта где ты регистрируешься.
Об этом способе я узнал лет 5-6 назад, уверен, что он намного старше. Проблема в том, что практически любая формула пароля известна взломщикам и криптоустойчивости они добавляют чуть больше, чем нисколько
Формула-то известна, но если она достаточно сложна, а вводные достаточно нетривиальны, то фиг кто что взломает.
Фактически, что требуется хорошему паролю:
- Длина, чтоб простым перебором не взломали. Ну меньше 8 символов сейчас обычно и не разрешают делать. А лучше 10 и больше.
- Несловарность и нетривиальность, чтоб не взломали по словарю.
- Лёгкость запоминания — случайный набор символов не подойдёт.
- Разные пароли на разные сайты, чтобы взлом одного не помог автоматически взломать все остальные разом.
Исходя из этого думаем:
- Базовое слово должно быть нетривиальным. Например (латиницей): XpeHBaMAHe. Вряд ли словари для брутфорса знают что-то подобное :)
- Цифры и спецсимволы можно добавить с любой стороны, это чисто техническое и для балласта.
- Ну и название сайта в пароле, делающее его разным и не позволяющее автопарсить.
Итого, например: 6739_XpeHBaMAHeGoogle Конечно, по итогам взлома вручную можно догадаться, какой будет пароль от Яндекса, но 1) сначала его надо взломать, а это отнюдь не тривиально, разве что базу данных сольют, 2) без ручного осмотра и догадки, то есть автоматом, не взломаешь и посторонние сервисы, а при сливах баз данных это невозможно, их там тысячи.
А если ключ представлен в виде 24 слов, то количество комбинаций превышает количество атомов во вселенной. То есть, буквально, каждому атому во вселенной можно присвоить личную подпись и еще неиспользованный пул вариантов останется. Вдумайтесь.
Всего 24 слова, ограниченных всего 2048 вариантами каждое…
А теперь plot twist: берём sha256 от пароля сгенерированного по схеме автора и его первые 30 байт вводим начиная с # и заглавной. Утёк пароль - ну и пофиг, получить из него остальные невозможно
Наверное, для большей ясности стоит уточнить, что использовать одинаковые пароли на нескольких сервисах не безопасно, хотя и удобно. А уже из такого утверждения вывести на необходимость создания уникальных паролей, рассказав как это сделать не теряя удобства и сохраняя относительную безопасность.
И да, а почему слон?
Слон — потому что он сильный, большой и умный.
и непонятно «Увидев один такой пароль — немедленно взломают все» — как ОНИ поймут, что все остальные с такой формулой? На что им может намекнуть пароль SOBAKAYAN2020? Может у меня имя Ян ) Это надо сильно заморочиться, провести аналитику и явно задаться целью взломать конкретного человека, чтобы вычислить что в таком пароле YAN — это первые три символа сайта.
На что им может намекнуть пароль SOBAKAYAN2020?
логика взломщика будет примерно такая:
— Так, это или армянская собака 2020 года рождения, или YAN как-то связано с тем, что это пароль от яндекс почты. Мне, конечно же, ОЧЕЕЕЕЕНЬ нужен доступ к всем остальным аккаунтам данного гражданина. Так, что тут у нас, тумблр, первый пост от 2018 года.
Password: SOBAKATMB2018
Access is allowed
В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов. против такого конечно формула никакая не поможет.
ну вот у меня другая логика, извини, не подобрал
О боже, теперь у нас аж ДВА варианта пароля.
SOBAKATUM2020
Стоп, ты пароль каждый год собрался менять? Это только все упрощает.
В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов.
Так от массового подбора спасет вообще любое рандомное слово с нулем на конце
А пароль на Хабр у Вас Elephanthab2019? И взломщик тут подумает, что зовут Вас Habib, думается мне.
А то что пароль продолжает лежать в буфере не проблема? Я попадал в ситуацию когда в буфере лежало не то что я ожидал.
Правильный менеджер паролей подчищает буфер обмена за собой через некоторое (весьма небольшое) время.
Иногда это даже раздражает (замешкался немного, и в поле ввода пароля вставляется пустая строка), но что поделаешь.
Я отошёл от этой практики, когда мне для перебронирования гостиницы в тае очень срочно был нужен интернет и моя почта на гмейле, а из всего интернета был безумно дохлый и медленный комп на ресепшн какого-то делового хостела, в котором я упросил дать мне на 5 минут им воспользоваться. Русской раскладки нет, само собой, и даже английская не такая как у нас, а сайты где можно было переконвертировать откладывались грузиться (тай, острова, дешёвый хостел).
Я поменял пароль как только добрался до нормального интернета.
Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами через syncthing, потому что тут мы точно знаем, что наши пароли зашифрованы нормальным AES, а не хранятся непонятно где в открытом виде или со слабым хешированием, так что даже утащив базу взломщику придется подбирать хороший пароль, что очень сложно, естественно этот пароль не должен использоваться нигде, кроме как для этой базы. Кому не нужна такая надежность и если кто доверяет например гуглу, то мне кажется и то более надежным создавать для сторонних сайтов случайные пароли (это даже уже браузеры умеют нативно некоторые) и сохранять их в аккаунте того же гугла (или в сервисе, которому доверяем) для автоподстановки. При таком способе практически единственным способом получить все пароли остается только "терморектальный" анализ, но от него не помогут и остальные методы. Даже в крайнем случае утери базы с паролями почти везде есть восстановление доступа, и там более важно защищать даже не хранилище паролей а почту или телефон на который код восстановления будет приходить.
но как вариант — хорош. одобряю, частично сам подобным пользуюсь, но с осторожностью.
В этом плане лично я доверяю в первую очередь своей памяти, ну и тренировать ее тоже надо) а то так совсем разучимся.
Насчет этих правил вы страдаете фигней.
использщуйте проверенные рещения. Насчет кипаса вам сказали уже. у меня база хранится в телефоне в гугл диске и на компе. мастер пароль на ней сложный и длинный. Упростил себе задачу запоминания слзданием пароля с l33t. Украсть базу можно. расшифровать нет. И не приходится страдать от того что внезапно вылетело из головы правило создания пароля.
А мастер пароль от базы запоминается за пару дней потомучто вводить его придется постоянно пока будете туда забивать все данные
Воистину.
В наше время, когда у каждого по три тысячи аккаунтов, все эти «как придумать пароль» — зло и только вредят. При росте количества паролей, люди неизбежно начнут их упрощать, ибо наша память не безлимитна.
Единственное верное решение — хранилища паролей. Их много. Есть коммерческие в облаке. Для параноиков есть опен сорс с локальной базой. Придумывай и помни только один пароль, все остальные — через генератор того самого хранилища паролей.
Все.
Проблемы начинаются если пароль на сервисе утёк и его нужно поменять, или если сервис просит раз в какой-то промежуток времени менять пароль
Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO
Взлянул на очень старый список весом около гигабайта (примерно 2012 год), который когда-то скачал с файлообменника. Список вида «сайт — логин — пароль.» Уже в то время эта идея была не новой. Сочетаний «goo» и «mai» в паролях предостаточно.
Все же лучше когда «1 пароль» — «1 сайт». А дабы не париться с запоминаниями — есть KeePass и иже с ним.
Ведь если завладеют одним паролем, составленным по вами указанному методу — то догадаться, что значит «yan» в составе пароля — нетрудно, следовательно можно и для гугля пароль подобрать.
И совсем «ой» — если у человека несколько аккаунтов в почте, например. А это не редкость совсем. И все с одинаковым паролем…
А что будет если завладеют кипасом?
Практически это означает, что человек получил доступ к компьютеру, если конечно не лить её в облаки или таскать на флешке, а это уже приход пушного промыслового зверя. Если дошло дело до того некто сумел спереть базу, да ещё и вскрыть её, то не поможет уже ничего.
Даже хранение паролей в башке небезопасно, и оттуда вытрясти можно не только пароли.
Возьми число твоего рождения или счастливое число, чтобы легче запоминать.
Вот этого делать точно не надо.
Если уж придерживаться такой тактики составления паролей, нужно взять число, которое с тобой никто никогда не будет ассоциировать, поскольку даже не догадывается. Но оно, несомненно, должно быть памятным.
Например, некоторым подойдет сумма, на которую нагрел особо циничным образом когда-то банк, магазин или сотовый оператор. Можно использовать год неприятного, но не связанного с тобой очевидным образом, события.
Кроме того, имеет смысл проводить неявное преобразование слова по какому либо принципу. Например, по клавиатуре обычного телефона (буковки на цифровых клавишах) можно преобразовать слово в число, число в слово, а слово в другое слово. Некоторое разнообразие раскладок букв по цифрам в разных телефонах немного усложняет возможность определить такое преобразование. Со временем преобразование запоминается и не требует постоянно смотреть на кнопочный телефон при наборе пароля.
Также можно использовать фиксированный сдвиг на QWERTY клавиатуре на строку вниз, на колонку вправо или влево.
Преобразование раскладок менее удобно, поскольку на сенсорных клавиатурах смартфонов, как уже было замечено в комментариях, могут возникнуть проблемы.
А так, когда-то баловался подобным способом. Но формула была не одна, чтобы пароли были реально уникальными.
Завязал, когда количество формул превысило разумные пределы.
Из преимуществ:
— легко «вспомнить» пароль к сервису, о существовании которого ты давно забыл
— независимость от сторонних сервисов, программ, баз данных
При этом можно функцию выбрать достаточно нетривиальную, чтоб визуально не была видна шаблонность паролей (как в предложенной в статье схеме), даже если злоумышленник узнает несколько паролей от нескольких сервисов, но при этом достаточно лёгкую в практическом использовании.
Из недостатков:
— разные сервисы выставляют разные ограничения на вид пароля, иногда эти ограничения взаимно исключают друг друга. Например, один сервис требует, чтобы в пароле была хотя бы одна цифра и
— иногда сервисы или соображения безопасности требуют поменять пароль. Тогда номер пароля или дата смены выступает в качестве скрытого параметра, что тоже очень неудобно. Впрочем, из соображений безопасности лучше использовать специализированное ПО.
— иногда сервисы меняют название, домен или другие параметры, которые считались статичными при создании пароля. Тогда надо вспомнить старые значения этих параметров и, по возможности, поменять пароль. Неудобно.
ПОдобные статьи появляются чуть ли не чаще чем статьи о методах массива в яваскрипте или о возможностях console.log
Вот авторское пианино:
Pianino
5K8eLYHXVTjFib16u3So — это гугл
5KF3jTHEuaFEwMazvTQ — это яндекс
лишние последующие символы убрал, чтоб не пугать длиной пароля.
В основе банальный закрытый ключ SHA256. Парольная фраза + адрес сайта. Все пароли уникальны.
www.bitaddress.org
вкладка «умный кошелек»
Такой способ хорош на случай если сайт хранит пароли открыто или попался фишинговый сайт. В таком случае они получат пароль только от одного сайта но не узнают образец по которому формируется данные для генерации пароля.
Для некоторых сайтов нужно кодировать в base64 чтобы были буквы цифры и символы пунктуации.
Но вот вопрос как сделать фишинг не возможным впринципе?
Но вот вопрос как сделать фишинг не возможным впринципе?
Никак. На то он и фишинг.
Фишинг — эксплуатация невнимательности. Решение — патчить пользователя.
Всякие криптобиржи, например, борясь с этой заразой, вешают на входе привлекающие внимание плашки, где пишут, что нужно проверять адресную строку. Один раз юзер увидит ее, второй, третий, и эта мысль, быть может, укоренится. И, быть может, повысится вероятность, что в нужный момент юзер посмотрит туда и убережет себя от слива данных злоумышленникам.
Ваш менеджер паролей всегда при себе? Что будет если он перестанет работать или просто будет удалён из системы?
Да, всегда с со мной на телефоне.
Я пользуюсь коммерческим приложением, но оно работает и без интернета. Интернет нужен только для синхронизации и проверки лицензии. Как часто нужна проверка лицензия — не знаю, я проверял его работу без интернета только пару дней. Если же на сервера этого менеджера упадёт метеорит, то у меня все равно есть копия базы на нескольких устройствах и ничего не мешает сделать экспорт из неё хоть в текстовый файл.
Это всяко удобнее и безопаснее чем придумывать пароли для десятки сайтов. Ведь метод данной статьи предлагает использовать паттерн. А там, где есть паттерн — там есть и возможность его подобрать. Потому длинный, уникальный рандом — наше все.
Ну вот выше предложили хешировать патерн тем самым скрыв его и хеш использовать как пароль. Так нет зависимости от менеджера паролей.
Да, это тоже вариант.
Только тут два нюанса:
- Дополнительное действие для получения пароля. Это нужно сначала в локальную консоль ввести пароль а потом получить из него хеш. Не будете же вы пользоваться левым веб сайтом, передавать туда пароль и получать из него хеш? Это надо делать на локали. Каждый раз, когда нужно ввести пароль. А человек — существо ленивое и рано или поздно это надоест.
- Все равно придётся полагаться на свою память и помнить пароли и свои патерны и как мы их применили для конкретного сайта. Что так же не особо удобно.
Серьезно, во всех этих фичах «как легко запомнить сложную информацию» у меня больше проблем вызывает именно вспоминать этот легкий подходит и декодировать им сложную информацию. Мне проще изначально запомнить сложную инфа в ее изначально виде, чем помнить методы ее воспроизведения.
Пример — проще зазубрить цвета радуги, чем воспоминать где сидит фазан.
В наше время павербанков и наличия по три зарядных устройства у каждого, довольно странно внезапно оказаться с разряженный телефоном. Заряжать телефон это как почистить зубы утром. Часть ежедневной гигиены.
Тяжело запомнить мастер пароль? Ну, воспользуйтесь методом из статьи. Раз вам сложно запомнить всего лишь один пароль.
Не можете зайти в менеджер? Воспользуйтесь другим. Нормальные менеджеры работаю и без интернета.
От украденного телефона спасает другое устройство или облако, где есть копия базы паролей.
Рано или поздно ваш мозг сломается, и вы забудете новый пароль, который вы вчера сменили, но прекрасно будете помнить неактуальные пароли, которые меняли пять итераций назад.
Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами
Несколько лет пользуюсь таким подходом и ни разу не подводил. У меня 3 хороших пароля: на KeePass, вход на 2 ноутбука (немного измененные друг от друга) и на Nextcloud потому-что туда мне надо ходить каждый день. База синхронизируется с ноутбуков на телефоны, а на базе ничего не придумываю — только сгенерированные пароли.
Подводит и память, и устройства, но подход не подводил.
На интуитивном уровне оно, может быть, и кажется, достаточно надежным. Но есть проблема. Интуитивное восприятие некоторых областей информатики и математики, в которые входит, в том числе, и криптография, как правило почти всегда ошибочно.
Более того, я ни слова не сказал про то, что такие пароли невзламываемые или какие то супер криптографически защищенные. Не знаю с чего такие выводы?
Не нравится — не пользуемся, благородные хабровчане, как это водится, предложилил уйму альтернативных вариантов в комментариях.
Тут так же не надо быть гением, чтобы понять, что пароль по такой формуле в разы секьюрней чем VASYA123.
Именно это я и имел ввиду, говоря про некорректность интуитивного восприятия таких вещей. Окей.
Вам говорят про то, что алгоритмически составленные пароли слабы, а вы отвечаете про «там же есть спецсимвол».
Кроме символьной сложности, которая одинаковая у, например, «Vasya123» и «k7Ao4q3g», есть еще сложность семантическая. И не нужно быть гением, чтобы понять, что она у этих паролей не одинаковая.
И вот алгоритмичность, увы, является ударом по семантической сложности пароля. Где алгоритмы, там паттерны, где паттерны, там оптимизации механизмов подбора. И именно такого рода пароли первыми подпадают под удар.
И, в этом плане они не сильно выигрывают у «Vasya123».
Мне моя компетентность действительно не позволяет предоставить доводы в пользу такого материала. Что у меня есть — личный опыт, опыт коллег девелоперов, опыт домочадцев и родственников, что привело к мысли дать обывателям простой, понятный способ генерации уникальных паролей, подходящих под самые задротские требования без дополнительного ПО. Цель усилить безопасность вторична.
Пример из жизни: за 10 лет угоняли пароли по маске Aaaaaaa999, но ни разу не стырили пароли по маске Aaaaa#9. Возможно совпадение.
в статье все четко — формула как придумать и не забыть. ну бонусом включить туда все что можно включить и сделать пароль уникальным для каждого сайта. всё. Все остальное ваши ожидания не имеющие ничего общего с действительностью )
В комментариях много советов про менеджеры паролей, хэши и прочее подобное. Но никто не ответил на вопрос: как создать такой пароль, чтобы он был элементарно ясен автору, но трудновзламываем. Автор статьи — почти дал.
На интуитивном уровне это (набор слов) воспринимается как очень слабое решение. Таким вещам разве что криптовалютчики доверяют, если даже не подкованы технически, то хотя бы просто потому что регулярно имеют дело с мнемоническими ключами и знают, что это работает.
Вообще спецификация того же BIP39 строго запрещает генерацию мнемонических ключей человеком или в осмысленном виде. В идеале — черпаем n бит из пула энтропии, конвертируем в мнемонику. А мозг наш устроен так, что даже из набора 12 не связанных смыслом существительных способен составить для себя достаточно осмысленную картину, чтобы их запомнить без проблем.
Придумать пароль к «KeePass» по такой схеме:
1. Выбрать от 2 слов и более (например фраза какая-та).
2. В пароле использовать только первые буквы слов (выбрать свое количество от 2 до 8).
3. И между словами поставить цифры.
Все, надежный пароль создан.
Дальше пользуемся KeePass, где генерируется рандомные и длинные пароли.
И голова не забита кучей паролей.
Придумать надежный пароль и запомнить его | Интернет без бед