Comments 60
Я не сказал бы что добавлять "соль" на пароль в виде October2025 => October_2025 плохо.
С одной стороны добавление одного символа увеличивает число комбинаций для брутфорса.
С другой стороны вручную пароли, мне кажется, сейчас никто не подбирает, стараются скомпроментировать уже готовый пароль. И у потенциального хакера нет желания узнав October2025 подбирать вручную October_2025 _October2025 и пр. Тем более что от перебора стоят защиты на большинстве сайтов.
Мастер пароль и менеджер в браузере, или кастомное ПО для этого. А Вы уверены что оно не может утечь? Вполне вероятно.
Самое надежное это все таки держать пароль в голове.
Из полезного только то, что упомянут менеджер паролей, да и тот — браузерный — это худшее возможное решение для безопасности. Вы не только не можете его использовать для других приложений на пк, а только в этом браузере, так и теперь вы все пароли храните в интернете. Поверхность атаки гораздо выше, чем при использовании локальной программы.
После первого же взлома все пароли будут в сети. Плюс доступны по запросам.
А также расширения, которые ставите в браузер часто имеют доступ к буферу обмена, а если оно злонамеренное, оно также получает доступ к менеджеру паролей, вы сами его даёте, когда разблокируете менеджер (если ввобще додумались поставить на него мастер пароль).
И если брать тот же Яндекс Браузер, то уже были случаи, когда из-за сбоев пользователи не могли несколько часов получить доступ к своим паролям.
Менеджер паролей должен быть локальным, без выхода к сети, с надежной защитой оперативной памяти, очисткой буфера обмена и желательно своим драйвером, чтобы не позволять кейлоггерам и спец программам (например Elcomsoft Forensic Disk Decryptor, AccesData FTK Imager, Dumplit) для чтения оперативной памяти считывать данные.
Microsoft Authenticator — серьёзно? Куча локальных, опенсорсных решений для OTP, тот же FreeOTP+, также многие менежеры паролей их поддерживают. Майкрософт эта не та компания, что беспокоится о конфиденциальности, она наоборот хочет у пользователя украсть максимум данных. Доверять ей 2FA не стоит.
Псевдоспрятанные пароли — поиск по содержимому прекрасно работает, так что найти эти пароли не составит труда, плюс если вы их копируете, они хранятся прямо в оперативной памяти, откуда их кто угодно может прочесть. Даже без таких сложностей — доступ к буферу обмена имеют многие приложения, а все пароли там останутся. Зачем эта стеганография, если можно использовать либо менеджеры паролей либо keyfiles.
возможно в излишне резкой форме ответил, но пользователь, следующий этим рекомендациям, создает для себя лишь иллюзию безопасности.
очисткой буфера обмена и желательно своим драйвером, чтобы не позволять кейлоггерам и спец программам
Драйвером чего? Как выглядит "не позволение кейлоггерам"? Ну, допустим, оперативную память свою ты не дашь читать сторонним программам, если ты типа драйвер, установленный в "нулевое кольцо" или куда там, а они - нет. Но пароль же надо вводить. Это значит, либо копипаст через системный буфер обмена, либо симуляция нажатий клавиатуры, или как? Как "драйвер" запретит доступ к буферу обмена всем программам, кроме той, куда в данный момент копипастится пароль? Как он "как бы введёт с клавиатуры" этот пароль, но так, что кейлоггеры не заметят?
Спасибо за комментарий. Мне понравилось дополнение про то, что менеджер должен быть локальным и иметь те усложнения, что вы назвали. Я поизучаю это и, если что, обновлю информацию. Однако целью моей статьи всё-таки не было называть конкретные инструменты. И тот же яндекс браузер я привёл скорее в качестве примера и не говорил, что это что-то хорошее. Тут важна была концепция, что есть такая вещь как менеджеры паролей и что этот инструмент можно взять себе на вооружение. Человек которому эта идея понравится уже сам сможет найти в интернете нужный ему менеджер.
Ещё у меня к вам вопрос: вы упомянули поиск по содержимому, но как будет работать поиск по картинкам? У меня в статье был простой пример когда текст сохранен в виде картинке с расширением .jpg. Это был просто пример того, что так можно сделать. На практике же, что текст, что картинки будут более сложными, и не будет "тупо в лоб" написаны логин - это то-то, а пароль - это то-то. Например у меня это просто какие-то красивые картинки природы где схожим по цвету с фоном шрифтом написаны пароли. Я просто слабо представляю как это можно найти.
Расшифровывать текст с картинок алгоритмы машинного зрения лет 50 как умеют.
Куча софта OCR, вам за минуты или часы найдёт весь текст на всех картинках на пк.
И это даже рукописный текст, с печатным вообще никаких проблем.
Некоторые проводники при поиске, ищут в том числе содержимое картинок, он распознанного текста до тегов.
Можно даже пайтон скрипт запустить, используя, к примеру, tesseract
" вы все пароли храните в интернете", "микрософт хочет украсть максимум данных". 🙃
Понравился подход с псевдо уникальными паролями удобно и не слишком сложно запомнить
Первые 10 процентов текста я честно прочитал, не понял зачем я это сделал, потом читал по диагонали, потом фрагментарно. Текст ни о чём. У меня, например, несколько тысяч паролей, никакая мнемотехника не поможет, странные добавки к паролям не пропустит половина сайтов, у какого то процента сайтов сверхдлинные пароли вызовут глюки и т.д. Проблема паролей неразрешима, это вообще технология времён когда в мире был десяток серверов. Либо появится устройство запоминания однозначно связанное с человеком, либо биометрия. До тех пор только менеджеры паролей и пара-тройка мастер-паролей с призрачной надеждой на безопасность, так как подсматривание никто не отменял.
а биометрия — это менее нажежный пароль, который ещё и сменить трудно, если во многих случаях невозможно.
Биометрии пока не существует на практике. И зачем менять пароль, если надо идентифицировать себя. Вообще все сводится, даже сейчас, к компьютеру, который может выполнить уникальные вычисления и принадлежит монопольно пользователю. Например, технология одноразовых паролей/токенов OTP
Биометрии пока не существует на практике
В смысле? Разблокировка мобилы отпечатком пальца - не биометрия? Вход в Windows показом лица в камеру - не биометрия?
Ну называется биометрия. А две мои непохожие дочери были довольно долго одинаковыми с точки зрения телефона У кого ещё нет личика в сберовском сервисе может попробовать поторговать лицом - вероятность вполне ненулевая, особенно с типовыми лицами. С отпечатками ещё хуже. Он у меня после рабочего дня с напильником почему то не работает. И это то что сейчас называется биометрией.
Не согласен насчёт мнемотехник. Существуют отдельные техники и советы, которые предназначены именно для запоминания случайной символьной информации, а не текстовой. Для нескольких тысяч да, действительно, будет проблемой запомнить всё, но даже тут основную проблему вызовёт скорее запоминание за раз такого количества информации. Если же запоминать пароли планомерно вместе с их созданием, то будет куда легче и по моему опыту мнемотехники это более чем позволяют сделать, хотя признаю, что всё ещё может быть трудно. К тому же это всё таки один из способов. Не обязательно использовать только его. Целью статьи было показать, что такие способы есть, а уже при необходимости это всё развивается и подстраивается. Те же мастер-пароли можно запомнить мнемотехниками. По крайней мере у меня этот способ работает.
Что вы подразумеваете под "странными добавками к паролю"? Вроде бы кроме обычных специальных символов я не использовал. Или такие не на всех сайтах поддерживаются? И какая приемлемая на ваш взгляд длина пароля? Какая длина вызовет глюки?
Существуют отдельные техники и советы, которые предназначены именно для запоминания случайной символьной информации, а не текстовой.
И потом долго не пользоваться, ударится неудачно головой или инсульт получить. Забыть что угодно - очень просто, увы. Голова - чрезвычайно плохое место хранения информации, не допускающей искажения.
Странные добавки - это то что описано в "Псевдо уникальный пароль (или же алгоритм)" . Искусственное удлинение пароля добавлением псевдошума. Вот только если пароль 8 символов сайт примет, то 18 уже может принять, может сразу отвергнуть, может потихоньку обрезать.
Относительно мнемотехники. Наверняка это у кого то работает, я даже знаю людей которые просто способны запоминать пароли. Но какое до этого дело массовому пользователю? Пароли это в принципе тупиковый путь , если есть возможность на каком то конце получить дополнительную информацию типа хэша, или перехватить пару паролей созданных по единой схеме, или просто подсмотреть пароль через камеру которые везде.
Пароли это в принципе тупиковый путь , если есть возможность на каком то конце получить дополнительную информацию типа хэша, или перехватить пару паролей созданных по единой схеме, или просто подсмотреть пароль через камеру которые везде.
Более чем согласен. Но исключать мнемотехники всё равно не стоит. Это вещь полезная. Никто же не заставляет запоминать вообще всё через них, однако раз-на-раз использовать разные вещи на мой взгляд куда более грамотный подход. Приводил в статье на этот счёт аналогию с мастерское
Мнемотехники помогают для единиц текстовой информации. Для десятков, если вы гений. Ну, до сотни, если вы реально тот самый "мальчик с феноменальной памятью". Дальше они не то что не помогают, а, скорее, мешают и запутывают. Вы там пишете:
Кроме того, я до сих пор помню некоторые ассоциации и вещи, которые учил ещё лет 5 назад при помощи мнемотехник.
Я до сих пор помню некоторые ассоциации и вещи, которые учил ещё лет 30 назад при помощи мнемотехник. Ключевое слово - некоторые.
Десятки - это точно ещё самый базовый уровень. Говорю как человек, которые достиг только базового уровня в этой дисциплине и может спокойно запоминать такое количество
Ключевое слово - некоторые.
Тут это было сказано скорее к тому, что как раз 5 лет назад я их и начал изучать и эти "некоторые" - это те вещи, которые я учил просто так, без какой-либо цели. Условно самый простой дворец памяти из книги "Эйнштейн гуляет по луне". Вещи которые я учил уже для себя, а не просто, чтобы понять как это работает я помню прекрасно до сих пор. Не стоит откидывать этот метод. Тем более, как я уже говорил, никто не заставляет учить вообще всю информацию чисто через них. Это просто очередной инструмент, который на мой взгляд полезно уметь использовать и применять по необходимости
На самом деле статья чистейшая профанация, и происходит это из непонимания целей и причин. Да технически основная идея верна - мы пытаемся просто сделать пароль достаточно сложным что бы его невозможно или очень трудно было "Взломать"
А как взломать? Очивидно перебором. От технических способов взлома пароля его сложность не поможет, от психологических способов тоже.
Как происходит перебор? Злоумышленник перебирает слова, символы или фразы пока не поймет что подобранный пароль - верный. Как он их перебирает? Мы не знаем. Может от А до Я, может от Я до А, может откуда то с центру в разные стороны. Значит разницы насколько наш пароль "перемешан" роли не играет.
Что может помешать злоумышленнику подобрать пароль? В чём основная сложность? Основная сложность подбора пароля - его длинна. Так относительно простой пароль длинной 64 символа технически невозможно подобрать никому.
Суммируя, нам нельзя использовать только простые слова и фразы, а так же нам стоит избегать большого количества одинаковых символов в народе. 10%+
Основная проблема паролей для пользователя какая? То что они забываются и используются зачастую одинаковые пароли.
Суммируя все выше сказанное идеальным вариантом пароля будет длинная, необычная для нас фраза, не содержащая большого количества количества одинаковых букв подряд и с некоторым колличеством шума.
Пример: Hel10_M&M#WhatAre//Y0u\\want
Колличество символов - 28, запомнить легко, с пользователем связи не имеет никакой, подобрать почти нереально.
Я молчу про то что в жизни спокойно можно использовать половину от этого пароля, и ещё упростить себе жизнь.
И таких фраз-паролей надо помнить тысячи... И вспоминать через годы. И материться при наборе на клавиатуре телефона.
Немного не понял к чему было использовано слово "профанация", если был изложен практически тот же способ, что описал я. Что вы под этим подразумевали?
К тому же я вроде бы даже предложил сервис для проверки надёжности пароля. А пароли вроде "Hel10_M&M#WhatAre//Y0u\\want" как высказался @KonstantinTokar всё равно будет тяжело вспоминать спустя годы. Мне кажется куда легче использовать детерминированный алгоритм для какого-то базового пароля. А раз в время этот алгоритм менять вместе со всеми паролями. Если есть менеджер то будет довольно просто. Тем более нет проблемы с тем, чтобы запомнить пароль после изменения алгоритма, ведь базовый мы и так знаем и достаточно просто запомнить алгоритм
Весь неимоверно длинный текст можно свести к единственному полезному утверждению: пользуйтесь менеджером паролей (рекомендую KeePassXC) и не пользуйтесь никакими онлайн сервисами для проверки и генерации.
Если надо проверить пароль в утечках (https://github.com/edyatl/passchek) - маленький скрипт, лёгкий для аудита, который проверяет пароль в базе Троя Ханта передавая по сети только первые 5 символов 40 символьного хэша.
password.hyoo.ru - запомнил один пароль и детерминированно генеришь уникальный пароль для каждого сайта без компромиссов с безопасностью.
И как это запустить офлайн? И вообще, где код? Где сорс то? Не нашел в вашем github-e. README куцее какое-то. Правда я не настоящий сварщик, но создавать пароли где-то на левонезнакомом сайте, в интернете, увольте.
И как это запустить офлайн?
По той же ссылке.
И вообще, где код? Где сорс то?
Там не так много ссылок, потыкайте все.
создавать пароли где-то на
левонезнакомом сайте, в интернете, увольте.
Форкайте на здоровье.
Форкайте на здоровье.
А я не умею. Я ж говорю, не сварщик я.
По той же ссылке.
В смысле? Как мне этот генератор на своем домашнем сервере завести?
Там не так много ссылок, потыкайте все.
Вот делать мне нечего, искать то не знаю что. Это элементарное неуважение к пользователю. Если делаете не на от'ебись, извольте нормальное описание.
Прикольный сайт, но мне кажется куда лучше будет написать такое самому как я уже описал в статье выше. Потому что, если достаточное количество людей начнут использовать одинаковые алгоритмы, то их можно будет учитывать при подборе
Безопасность через неясность - такая себе стратегия защиты. PBKDF2 - куда лучше.
Спасибо. Но всё равно мне кажется стоит написать такое самому локально. Или хотя бы скачать алгоритм и на компьютер. Простая причина - это сайт ляжет или перестанет поддерживаться и всем, кто им пользовался, прийдется менять пароли, либо использовать другой сайт
Это PWA, а не сайт. И поддерживать там нечего.
куда лучше будет написать такое самому
Потому что, если достаточное количество людей начнут использовать одинаковые алгоритмы, то их можно будет учитывать при подборе
Эти алгоритмы, на которых это софт основан, и придуманы, чтобы их знание особо не помогало. Ну да, в голове их уже не выполнишь, ну и пускай.
Каждого из нас окружают вещи, места, события во времени. Есть вещи, что рядом с нами, на нас в буквальном смысле или связаны с нашими родными, близкими, школой, учителями. Конечно же надо быть дебилом, чтобы использовать (напрямую, без трансформации) название монитора перед собой или имя собачки либо цифры на её ошейнике или номер школы в их простых/явных составляющих. Но имя вашей любимой кошки, умершей 20 лет назад, поверьте, не знает и не подберет никто, как никто не подберет название предмета, что вы выбрали для создания пароля именно для этого сайта. К примеру для сайта знакомств название фирмы телевизора, что не должен ломаться, но у вас сломался как первая любовь. Остается лишь подвергнуть пароль небольшой трансформации, причем такой, что будет вам стандартна при создании пароля, добавляя дополнительные знаки туда, и такие, где их добавляете именно вы, не забывая использовать заглавные буквы вместо строчных и цифры по одному и тому же, но лишь вам ведомому принципу. К примеру, " toshib1_Lusya8a_D1ma9b". Люся это ваша любовь из 8а, Дима это козел из 9б, в которого она влюбилась, а тошиба это телевизор, который вы тогда купили на ВДНХ бабушке, выбирая вместе с Люсей, но который сломался ( что очень странно) через неделю. В неодушевленном предмете замените первую букву алфавита на 1, в одушевленном ( хотя гада давно следовало пристрелить) замените i на 1. Запомнить подобный вид замены букв цифрами это, пожалуй самое сложное, что вам придется сделать лучше сделать один раз, хотя и то не обязательно, при ошибке можно повторить ввод с другим вариантом. Знать о сломавшемся телевизоре бабушки в год ее смерти и вашей несостоявшейся любви не может никакой искусственный интеллект, это нигде не написано, а догадаться почему вы пишите, например, имена с заглавной последней буквой(у меня иначе, у кого-то все заглавные), на сможет никто. Подобно составленные( кстати, можно и короче, если сайт позволяет, но позаковырестей, однако с запоминающейся только вами логикой сути и трансформации) пароли не надо записывать и даже запоминать, для каждого сайта они будут разные, хотя с внутренней одинаковой трансформацией, и они будут доступны всегда без блокнота до комы или деменции, в зависимости что наступит раньше.
Нет смысла от одного такого пароля на всех сайтах. Паролей надо много . вы все не запомните. поэтому или генерите сложные паролди и каждый раз когда надо зайти на сайт востанавливаете его или пользуйтесь менеджерами паролей и не парьте себе и другим мозг
Мне кажется это очень схоже с идеей использовать уточняющие вопросы для входа в менеджер паролей. То есть то, что я описывал - создать базу из 50+ вопросов, на случайные из которых нужно ещё и отвечать при вводе мастер-пароля
Но имя вашей любимой кошки, умершей 20 лет назад, поверьте, не знает и не подберет никто
Например, вот список имён кошек. Я не считал сколько их там, но вполне обозримое количество, так что в 99.999% случаев (условно) вполне подбираемо, особенно если отсортировать по частоте.
99% людей (условно) как пароль используют дату рождения.
" toshib1_Lusya8a_D1ma9b". - а теперь сделайте сотню таких паролей и попробуйте вспомнить от чего они :) Я, например, после отпуска забываю половину паролей вообще.
Русскими буквами, раскладка английская.
Не надо ничего запоминать, есть bitwarden и все
В целом интересно, и, возможно, даже полезно, но...
Менеджер паролей в браузере. Пользовался в Firefox. Потом до меня дошло, что при синхронизации (учётка где-то в интернете) вполне возможна утечка. Удалил все пароли из браузера.
Неимоверно длинные сгенерированные пароли. Замечательно. Только как их запомнить? Если через менеджер паролей, то см. п.1.
Выше уже обозначили, что на некоторых сайтах есть ограничения на длину пароля. Посему генерацию выкидываем.
Почему-то мне кажется, что здесь вопрос больше в социальной инженерии, чем в длине пароля. То есть, если у кого-то появится доступ к личным данным, то взлом пароля будет лишь делом времени\техники (I.M.H.O.).
Уже несколько десятков лет использую пароли из ключевого слова с двойным ассоциативным суффиксом. Во-первых, легко запомнить, во-вторых, подобрать также возможно, но здесь см. п.4.
Я бы добавил что:
1. Важные пароли нужно менять не реже 1-го раза в год.
2. Используйте в паролях символ пробела, если сайт/приложение позволяют (большинство позволяют, включая wifi). А вот многие брутфорсеры этот символ не включают в список символов.
Лично я, в начале года создаю несколько мастер паролей для разного уровня важности и запоминаю их. На базе этих паролей при помощи собственного кейгена я генерирую пароли для сайтов/приложений. И тоже меняю их каждый год. Логика кейгена тоже меняется каждый год. Кейген лежит в виде скрипта локально и в виде ТГ бота. В скрипте ничего не указывает на то что это кейген. Даже переменные названы произвольно. ТГ бот тоже никак не выдает своего смысла. Он отвечает только мне, при этом не дает даже мне никаких подсказок или тому подобного. Бот просто получает строку. И переделывает ее по своему алгоритму. Даже если узнать полностью код бота/скрипта, знать мастер пароль, все равно не выйдет сгенерировать мой пароль. Потому что остается еще формат строки, передаваемой боту/скрипту. Его знаю только я, а боту/скрипту не важно какую строку кромсать, он в любом случае даст ответ. История переписки с ботом очищается автоматически. Все это достаточно безопасно для рядового пользователя. И при этом не слишком сложно. От кейлоггера естественно, это не спасет. Но если есть критичные данные, возможно использовать отдельный ноутбук на мак/линукс на котором не будет никакого софта кроме ос и пользователя с минимальными правами и возможностью вводить пароли только вручную без сохранения где-то. Если этого будет недостаточно, то пора задуматься о личной безопасности, так как проще через пользователя будет получить доступ, чем через устройство/пароль
Начать надо с того, зачем вообще нужны пароли. Для того, чтобы писать комментарии на habr, пароль по идее вообще не нужен. Зато habr нужен идентифицированный комментатор с реальным адресом электронной почты. И таких сервисов в сети 80% - они бесплатные и не содержат никакой чувствительной информации. Потому не мудрствуем и пишем пароль типа hb123456, который забыть практически не возможно.
Для остальных 20% используем секретные алгоритмы и способы запоминания. При этом самое главное не держим ничего в телефоне. Остальное все, описанное автором, допустимо. Например, на платных сервисах регистрируемся с отдельных почтовых аккаунтов, на которых не ведём переписку, и с хитрыми паролями, которые сохраняются в менеджерах.
Все люди разные. Не может быть единого подхода для запоминания паролей. Единственное, что можно тут взять как полезный совет - менеджеры паролей. И то - слепо им верить не стоит. Ну и лучше, действительно, не генерить автоматически. Если что - остается шанс вспомнить. А вообще, есть сайты, где я даже не пытаюсь (куда захожу редко). Если браузер не помнит - сразу жму "забыл пароль"
Как придумывать и запоминать пароли для разных сервисов