Comments 38
Сразу же хотел бы отметить, что я не пользуюсь смартфоном, поэтому всяческие менеджеры паролей на кнопочном телефоне для меня недоступны.
Я взял за основу md5, т.к генератор md5 есть как онлайн, так и в виде приложения для мобильного.
Эм? На кнопочных телефонах есть приложение — генератор md5?
Итого пароль или его значительная часть становится виден этому сайту с калькулятором. С тем же успехом можно онлайновым Password-manager-ом пользоваться.
К сожалению, человек очень плох в придумывании и запоминании костомных правил. Вот даже если на глаз посмотреть — сколько бит энтропии все это правило добавляет? И я не удивлюсь, если подбиральщиках паролей переборы вариантов "взять MD5 от сайта и слега его изменить" — уже давным-давно предусмотрены.
Я предпочитаю пароли хранить в голове
«А голова предмет темный и исследованию не подлежит»
Мой хороший знакомый отличался безупречной памятью и все пароли помнил наизусть, аж с 2000 года начиная. Снисходительно смотрел на мои KeePass и KeePass2Android. А 2 года назад начал путаться. Чем дальше — тем больше. Возраст виной, диабет или сотрясение мозга, после попытки перехода проезжей части в положенном месте и на зелёный… Неизвестно.
Никто из нас не застрахован. 2 или 3 места для хранения паролей всяко лучше одного.
Часть паролей я ему восстановил — остался файл kdbx, с того времени, когда я пытался ему КиПасс втюхать насильственно. Часть восстановили штатно — телефон, почта резервная и т. д. Но часть аккаунтов так и осталась недоступна.
Выглядит бредово.
Пароли куда нужны? Правильно, на онлайн-сервисы.
А там же всегда есть альтернативный вариант восстановления. На тот же email.
Нафига пароли вообще помнить либо записывать.
Сбросят сессию, восстановишь в пару кликов, проблему нашли.
>А 2 года назад начал путаться. Чем дальше — тем больше
Я имел привычку использовать пароли на основе алгоритма, вычисляемого в уме (в основном для throwaway-регистрации), но последнее время стали происходить странные вещи - вроде всё правильно сделал, а не подходит :)
На каких кнопочных телефонах?
В очередной раз напомню про CryptoPass, а то этот велосипед изобретается приблизительно постоянно. И да, понятно, что его нет на кнопочном телефоне, но кому хочется, можно оформить на личном сайте.
Можно детские стишки использовать, набирать на английской раскладке, например: "вышел зайчик на крыльцо почесать свое яйцо" и какие-нибудь циферки в конце или в начале, криптостойкость запоедельная из-за длины получится
Лучше апостроф вбить ещё
И ничего ты с этим не поделаешь, а ещё они могут до сохранения сказать: у нас ограничения на длину 32 символа, ты что псих?
В такие моменты должен возникнуть вполне справдливый вопрос, а нужен ли тебе этот сайт, и если да, то на сколько. Если не больше, чем на одну сессию, то можно и пароль не запоминать)
Кстати, на сколько мне известно, брутфорс уже на 8 символе пароля улетает на недели, так что 32 символа на форме это нормально
Потому что это можно считать сливом вашей информации, рано или поздно пароль всплывет в отчётах haveibeenpwned
Самый очевидный способ - вернуться из прошлого в 21 век и начать использовать менеджер паролей. В некоторых броузерах он встроенный.
Я как-то столкнулся с проблемой: сайт не позволял при создании аккаунта ввести в поле пароля спец. символы. Они просто удалялись, и условная строка "abc*#123" на самом деле превращалась в "abc123". А вот в поле для ввода пароля во время авторизации такого не было, он принимал все символы, и я долго потом не мог залогиниться, ибо менеджер паролей браузера честно подсовывал то, что нагенерировал.
iPhone имеет неплохой встроенный менеджер паролей, в котором есть функция автоматического создания сложных паролей. Который к тому же сообщает, если какой-нибудь пароль был замечен в утечке данных с паролями со сторонних сервисов.
Взять адрес сайта, получить хэш из него и подставить в качестве пароля - это предлагает каждый второй, кто "прозрел" и понял, что один пароль на всё - это не хорошо. Что здесь нового? Отличаются способы только видом хэша. В любом случае, следующий шаг - менеджер паролей
Хотя честно не знаю что надёжнее — крутых 11 символов (C25284b3af#) или простых 80 (А-Z0-9). Для банка и прочего где логинюсь не чаще раза в день вполне подходит, но после каждого sudo такое набирать естественно перебор.
Тут нужен софт, помогающий зубрить и генерировать такие пароли.
Генерируем несколько таких, на каком-нибудь оффлайновом устройстве выучиваем и пользуемся.
Но я до сих пор не могу найти программы хотя бы для генерации. Нет, просто набор случайных слов — это сколько угодно. А вот грамматически верную случайную фразу с гарантированной энтропией — этого нет.
Для англоязычных фраз есть плагин для Keepass, а вот с герерацией русскоязычных парольных фраз все плохо.
Также некоторые сайты требуют периодической смены пароля (например банковские сайты или google)
У меня несколько лет пароль от гугла не менялся. Я этого не говорил
Сложный пароль для каждого сайта, который легко запомнить