Pull to refresh

Comments 23

Уязвимость этих словарных генераторов в том, что словарь может быть ограниченный. Что в итоге получается? Вместо
(a-zA-Z0-9-)^16 = 6*10^28
(500 слов х 4) ^4 = 1*10^13
500 слов — для примера. Возможно словари там сильно лучше.

Не используйте "эти" генераторы. Каконичными считаются словари из 2048 слов и из 7776 слов английского. Энтропия считается соответственно. Импользуйте те генераторы, где уверены в длине словаря.

Никакие генераторы использовать нельзя, разве что только тот который вы сами написали. Человек не способен отличить случайную и псевдослучайную последовательность.

p.s. Я бы использовал для генерации пароля книгу. Достаточно запомнить страницу и принцип выбора букв или слов. Выбор конечно не очень случаен, и словарь не самый большой. Зато легко восстанавливается в случае чего.
Русский язык рулит. Что-нибудь типа :tktpytymrbqrkjgbr (Железненькийклопик) фиг по словарю подберешь.
Прям никто не догадается взять словарь русского, перевести его за 5 мин в другую раскладку и с его помощью уже брутить?
Со всеми суффиксами? Получится очень немаленький словарь. Плюс сочетание двух-трех слов.
так тоже могут расшифровать уже есть способы
С телефона такой пароль весело набирать :)
Да, приходится переключаться и считать положение кнопок. Как-то в больнице лежал, за неделю выучил.

Я как-то в так попал в ситуацию когда ахтунг как нужен был мой гуглоакк, из компов — что-то чахлое на ресепшн чужого мотеля дешевейшего, из времени буквально 5 минут, а пароль как раз что-то типа )(ренВамАНеПар0льП0д0брать в английской раскладке.

Сам бывал в таких ситуациях, выручала эта прога под андроид:
"конвертилка"

Программа для упрощения ввода паролей типа
"ОченьСложныйПароль" (JxtymCkj;ysqGfhjkm).
Набираете русскими буквами текст, нажимаете на кнопку и программа сконвертирует его в набор латинских символов (с учетом регистра, цифр и знаков препинания) в соответствии с раскладкой стандартной клавиатуры.

Каверкайте на свой лад русские фразы и пишите их в латинской раскладке, делов то.

А метод двух ключей (двух частей пароля) знаком нам еще с глубокого детства после просмотра фильмов о том, что в сверхсекретное место можно попасть только, когда у тебя есть оба ключа которые нужно повернуть одновременно.
Каверкайте на свой лад русские фразы

падонки адабряют

На NeuraLink поставить запрет на вывод данных после слова пароль или password, чтобы не произошёл моментальный снос части слоёв вашей безопасности

Хм. А как насчёт того, чтобы просто вставлять название сайта в постоянную комбинацию символов?


Допустим:
Qwerty_12345678-HABR


Или:


Qwerty_HABR-12345678

В статье же указывается уязвимость данной стратегии.
Если мошеннику попадет в руки один пароль вида Qwerty_HABR-12345678 очень легко догадаться о шаблоне и подставлять вместо HABR другие популярные сайты и взломать их все.
Пароль Qwerty_skz\-12345678 становится уже не так очевиден, это всего лишь строковый сдвиг по клавиатуре имени домена на его длину. Возможна большая вариабельность такой вот соли ядра.
ваш менеджер паролей был запущен, и его содержимое можно было посмотреть

Если там действительно случайные пароли по 16 символов, при этом на них можно только посмотреть — то удачи тому кто их увидит — без фотографической памяти (или фотоаппарата) они практически бесполезны. Хотя да, несколько штук можно успеть записать на бумажке (если будет под рукой).


Честно говоря вообще непонятно зачем генерировать пароли из слов при использовании менеджера паролей, один пень запоминать их не надо.


Для случаев когда пароль всё же хочется запомнить (тот же мастер-пароль, или что-то часто нужное) хорошо подойдёт легко запоминаемая но слегка модифицированная фраза, словарным перебором её уже не взять.

то удачи тому кто их увидит — без фотографической памяти (или фотоаппарата) они практически бесполезны. Хотя да, несколько штук можно успеть записать на бумажке (если будет под рукой).
Сейчас у большинства всегда под рукой смартфон, которым можно за пару секунд сфотографировать интересующее.

Адекватный пароль-менеджер не показывает все пароли в открытом виде списком, в лучшем случае можно посмотреть за раз только один — а речь шла про "посмотреть" — я это понял как "без рук", типа из-за спины — а в этом случае уже не так незаметно воспользоваться смартфоном. Можно конечно всё это слямзить длиннофокусником даже из окна соседнего здания, хотя это уже другой случай.


Но если кто-то смог сесть за клавиатуру, со смартфоном да ещё и на ощутимое время — ясный пень что "всё пропало".

Это как с паролями. Есть «соль», а есть еще и «перец».
Но вот конкретно биометрию я бы всё же не советовал так однозначно.

Заменить пароль, или аппаратный (либо программный) ключ — как два байта, а вот сменить отпечаток пальца или рисунок радужки — это уже нетривиально.
Sign up to leave a comment.