Comments 25
недавно придумали ещё один интересный метод генерации и запоминания стойких паролей — в виде мелодии.
Давно.
https://ru.m.wikipedia.org/wiki/Властелины_вселенной
емнип в этом фильме ключ от чего то супер важного издавал мелодию. Антигерой его уничтожил, но ГГ подобрал аккорды на своем синтезаторе.
Господи, что за дичь я сейчас прочитал.
Во-первых, Ваша оценка в 4017^n - полный бред. Вы же не будете утверждать что для естественного языка оценка 33^n вариантов пароля из n букв?
Как и в лингвистике, в музыке есть законы, по которым ноты и аккорды сменяются в произведении, большинство комбинаций будут звучать совершенно невыносимо. Если взять поп-музыку, то там будут какие-то сотни-тысячи вариантов, если какую-нибудь супер-экспериментальную дичь - побольше, но всё ещё не ваша оценка. А уж если брать вариант "аккорды любимой песни" - коллизии паролей будут массовыми, перебрав пять популярных песен на тысяче юзеров - шанс хакнуть кого-нибудь очень высок.
Во-вторых,
Другими словами, запомнить сложнейший «пароль» способен даже неграмотный человек. Он просто не сможет его записать самостоятельно в современной музыкальной нотации, но сама информация по сути не потеряна, лишь требует расшифровки.
Это просто пять! Далеко не каждый сможет подобрать аккорды к песне, даже с гитарой в руках и записью в наушниках. А уж по памяти и без инструмента, человеку без музыкального опыта - ну удачи, лол.
Итого - вы пропагандируете способ:
заведомо плохой по безопасности, который взломают очень и очень скоро
неудобный, если не теории разводить, а на практике использовать
Плюс. Подтверждаю, в музыке очень маленькая энтропия. Четырех аккордов явно не достаточно, для пароля нужно хотя бы 16 разных, но это даже я не могу запомнить.
У трезвучий три обращения, а у септов четыре обращения. Аккорды могут быть с задержанием. Можно делать цепочки аккордов с отклонениями/модуляцией. Можно жить в модальной гармонии и игнорировать правило T-S-D-T. Вот уже глядишь и не банальный Am-Dm-E-Am в качестве пароля появился. Цепочка из 12 аккордов играется за 10-12 секунд. А это уже пара оборотов и каданс. Мини музыкальное произведение с нетривиальными ходами - вполне себе пароль который не так то просто подобрать. Как минимум это не хуже пароля cNDneNdBKW28
Интересно, какой будет стойкость пароля с динамически корректируемым вводом - вводим Слово, отправляем серверу ( или в буфер добавляем) , стираем произвольные символы, отправляем в буфер, меняем символы и добавляем их , и снова отправляем. Типа как человек печатал, опечатался, исправил ошибку и отправил пароль, но при этом отправляется лог его действий со строкой, а не итоговая строка.
Например, пароль CorrectHorse
Вводим сcorectHorsse
Вводим corectHorsse, correctHorse, CorrectHorse
Интересно, какой будет стойкость пароля с динамически корректируемым вводом
Такая же, как у простого ввода с таким же количеством нажатий кнопок. Поэтому смысла так делать не очень много - легче сразу длинный пароль взять.
Можно ещё через Pig Latin провернуть.
Криптографически - слабый подход. Но вот практически, можно даже просто на уровне правильный пароль для SSH должен быть введен третьей попыткой - это уже очень хорошо защищает от перебора!
Да, secrurity through obscurity, но это как посмотреть...
Например, пароль - задает некоторые "рамки игры", пространство допустимых паролей, нужно угадать символы, но мы знаем, что надо символы угадывать, а не напевать мелодию, не притопывать ногой, не печатать пароль левой рукой. Сложность пароля - один из этого пространства.
А вот если мы пространство не ограничиваем, то скорее всего доп.паролем будет что-то простое, типа вот "два раза надо ввести BS" или "угадать правильный пароль с третьего раза" или "авторизация доступна только с 2 до 3 часов ночи" или "пауза между 2 и 3 символами пароля должна быть с 4+ раза меньше, чем между 3 и 4" или "войти на веб-сервер зоомагазина через SSH можно только если в последние 5 минут положили в заказ 123 пачки собачьего корма и 18 ошейников".
Да, узнав этот трюк - легко взломать, но этот трюк и есть наш секрет, столь же ценный как и знание, что первая буква пароля "q", а второй символ - "%".
Фактически, мы делаем out of the box пароли и взломщик их не сможет ввести так как он находится в плену своих стереотипов, что пароль должен быть просто набором символов.
Можно даже в веб-форме делать требование на синтаксис пароля (например, не разрешать одинарные кавычки - ведь мы же не хотим SQL Injection?). Однако, правильный пароль как раз с одинарной кавычкой, но вводить надо не через вебморду, а через curl/httpie, и потом сессионный токен/куку установить в браузере.
Жаль мне не подойдет - мне медведь на ухо наступил :)
Я использую в качестве пароля фразы из стихов или песен - легко запоминаются и плохо взламываются
У меня тоже был музыкальный пароль, я серийный номер от бас-гитары использовал. Одно плохо, носить её с собой неудобно.
О! Можно использовать онлайн-магазин как справочник паролей! Помнишь только пароль от онлайн-магазина, заходишь, ну и там примерно по ассоциациям. Пароль в банк - номер заказа зажима для денег. Пароль на хабр - номер заказа клавиатуры.
Пароль в банк - номер заказа зажима для денег. Пароль на хабр - номер заказа клавиатуры.
... а потом эти к... редиски закрывают магазин (кто-нибудь помнит googlegear.com?).
Эх, давно есть идея, чтобы все данные юзера он (юзер) мог хранить как-то у себя. Ну например в S3 или на Dropbox. Все в духе GDPRов - все что я даю магазину - храните еще и на моем сетевом хранилище (для этого вот вам доступ). Магазин закроется - данные останутся, они же мои, мне интересно, что за конкретная модель ноута у меня и когда я ее покупал. Ну и если захочу чтоб магазин про меня забыл - это будет надежно, удалил и все.
А что, русский рэп вполне себе достойный кандидат на роль невзламываего шифра. А если ещё вместе с солью...
Довольно вычурный метод генерации паролей, не говоря уже о запоминании. Человек без музыкального бекграунда едва ли сумеет различить что-то кроме простых трезвучий. Про сильно завышеную оценку энтропии таких паролей уже писали.
Из собственного опыта вывел следующее: действительно важные (не подлежащие восстановлению / сбрасыванию) пароли только записывать (в неизменном виде, без всяких тут пишу X, но помню что надо вводить Y); записаное хранить минимум в двух разных местах в запечатанном виде. Всё прочее — в менеджере паролей.
... а потом придут правообладатели и потребуют роялти за использование их музыкальных шедевров в своей деятельности.
главное чтобы люди не стали это массово использовать, иначе точно по словарю потом будут взламывать за секунду.
Где-то видел статью о том, что реально сложный пароль - что-то типа игры в Guitar Hero - человек пару сотен раз играет одну и ту же песню лишь с ему свойственными ошибками. Крипторектально устойчив тоже - даже если захочет, не сможет его рассказать никому, только сесть и наиграть сам - иначе никак
Пароль как мелодия. Генерация стойких паролей в музыкальных аккордах