Comments 31
Как узнать, есть ли твой пароль в интернете? Надо его загуглить.
Ответ
Теперь есть
<...>
— Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
— Я ввёл его в Гугле, — продолжал Сисадмин, — и убедился, что в Сети такого сочетания нет.
— Теперь есть.
Федотов Николай Николаевич "Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками"
Разрабатывая агрегатор по продаже запчастей для спецтехники я внедрил систему генерации паролей в формате таких вот предложений понятных человеку. Я написал простейший генератор где берётся четыре псевдослучайных числа и используя их как индекс смещения ищутся соответствующие слова в четырёх массивах. Слова я подобрал соответствующие тематике сайта - запчасти. Примером паролей было что-то типа "скоба лопнула куплю в скиллпартс" или "ремень взорвался найду в скиллпартс". Я очень гордился своим "внедрением новых технологий", только вот мой начальство кринжануло и сказало мне сделать привычный всем генератор кракозябр, что я и сделал по итогу.
Запомнить легко вам, запомнить легко проходившему мимо и прочитавшему письмо от рассылки паролей. Но метод такой хорош, многие и вводят слова...если не устанут столько слов вводить, так как многие не обладают скоростным набором.
на самом деле более-менее знакомому с с компьютером проще набирать слова, чем «кракозябры».
но вот с мнемоничностью, во всяком случае для меня, не работает. 1-2 таких пароля ещё можно запомнить, если часто пользоваться — немного больше; но при любом реальном использовании так или иначе приходим к менеджеру паролей, а там уже неважно «кракозябры» это, или фразы.
Телега только позиционирует себя как супер безопасная, по факту доверять мессенджеру такие вещи нельзя.
С точки зрения энтропии каждое слово представляет собой число в два или три байта, причем с нелинейным распределением. Мало того, в данном случае слова выбираются из ограниченного словаря. Принципиально это не увеличивает надежность
4 слова из словаря...ну, пусть будет в 3000 слов, а это 3000^4 = 81 000 000 000 000 вариантов, что соответствует примерно паролю из алфавита в 33 символа длиной log33(81 000 000 000 000) = 10 (всего 1531 578 985 264 449 вариантов, что даже больше в 18 раз ) То есть по сути эти 4 слова заменяют тупой пароль в нижнем регистре только русские символы и их 10. Если же сравнить с паролем в разном регистре, англ. 26+26+10 цифр = 62 знака, то длина такого пароля будет всего 8 символов или 62^8 = 218 340 105 584 896 Так что надежность из 4 слов примерно как пароль «уже обычный» из 8 символов. Просто для амеров увидеть пароль вида «vjqjxtymghjcnjqgfhjkm», то он им ничего не скажет, а для русского «мойоченьпростойпароль» будет понятен. Методов усложнения придумано много, а упрощение тоже давно есть, а то от этих паролей голова пухнет. Я тоже использую программу для паролей, доверяю гуглЦРУ свои пароли и т.д., так как кому из спецслужб надо, то взломать нас не сложно.
Сдается мне, что в этих расчетах закралось маленькое такое допущение - злоумышленнику заранее известно, что в подбираемом пароле 4 именно осмысленных слова.
Делаем простейшую замену букв на спецсимволы по какому-нибудь легко запоминаемому конкретным человеком алгоритму (скажем в первом слове первая и последняя буква, во втором вторая и предпоследняя и тд), и все эти расчеты сразу можно выкинуть.
Казалось бы, такая простая мысль, но почему-то я использую рандомные 8 символов, вместо комбтнаций слов
Простите наболело
Когда я учился в школе, а это было очень давно. Я обожал писать программки которые по любому поводу запрашивали пароль.
Мой доступ к компьютеру родители ограничивали паролем на BIOS, так как пароль в Win 3.11 и Win 95 особо не работал.
Когда я устроился на работу мой доступ к компьютеру был неограничен но раз в месяц я должен был придумать пароль из 8 символов в разном регистре с использованием букв и цифр и не повторяющий 20 предыдущих.
Сейчас я использую сотни сервисов каждый из которых требует от меня придумать пару логин и пароль.
А еще у меня появились дети и мне нужно ограничивать их доступ к компьютерам и телефонам придумывая пароли которые они очень эффективно подсматривают и взламывают.
После смены пароля на одном устройстве, и заходе с другого приходится использовать сервис восстановления пароля для того чтобы пароль скинуть. И уже следующий пароль должен придумать оригинальный не повторявшийся... А еще некоторые умники требуют пароль только из цифр или нельзя использовать символ % или нельзя использовать буквы из своего имени или только буквы алфавита или вообще последовательность движений. А в некоторых менеджерах паролей не удается увидеть сам пароль, но его можно использовать для входа.
Я ненавижу пароли.
Парольный менеджер это достаточно хорошее решение, кроме того факта что оно централизует всю информацию о сотнях логин парольных пар и выкладывает все это в интернет, а смс коды раздражают, дороги и недоступны если телефон остался дома.
В менеджер отпечатков пальцев и faceid дети эффективно подкидывают свои отпечатки и изображения.
Они легко скидывают пароль с помощью процедуры восстановления.
Когда я прихожу в банк с меня просят паспорт и сверяют физиономию на паспорте с моей, но стоит мне тоже самое проделать через веб интерфейс и с паролем кого угодно я могу делать все что заблагорассудится.
Вся система авторизации во всех приложениях и устройствах дефективна и не может адекватно разграничить доступ. Нужно придумывать не более эффективный способ генерации паролей, а радикально другой подход к разграничению доступа.
а радикально другой подход к разграничению доступа.
Авторизация через сервис который вас уже опознал, давно использует большинство сайтов получая информацию с социальных сетей. Если вам надо отдельный доступ к приложению, то как оно будет знать, что за компьютером вы? Есть системы, что отслеживают нажатия клавиш, движения по экрану более типичные вам и др.
Когда я устроился на работу мой доступ к компьютеру был неограничен но раз в месяц я должен был придумать пароль из 8 символов в разном регистре с использованием букв и цифр и не повторяющий 20 предыдущих.
В своей программе я реализовал глобальный пароль, это может быть год или год и номер месяца. Пароли на каждое приложение очень простые — это сам адрес сайта или какое-то ключевое слово которое никогда не меняется. Меняем глобальный пароль и меняем раз в месяц или год все пароли у приложений и живем дальше. Так что если мне система сама высылает пароль, то я его не запоминаю даже, все на почте для спецслужб хранится :), если я создаю пароль сам, то его ключевое слово никогда не меняется, а меняется глобальный пароль. Так что имея уникальную и недоступную другим программу, то и алгоритм с нее подобрать не смогут. Как быть обычным людям? Да просто, придумываете общее ключевое слово, допустим «пароль», ключевое слово «хабр», добавляете допустим год и получаете строку «парольхабр2023» и идете на онлайн, допустим md5 первый же нашедший дал по этой строке e00437a366ad9b7ec9d79a64d36c0e41, так что беру это все или всегда какую-то часть и использую как пароль. Так как глобальное слово вы никогда не будете менять, то его забыть сложно, но лучше записать. Второе слово просто название сайта, приложение, и др, что перед глазами и вводите. Год это уже по желанию, если требуется менять часто. И все, забыть невозможно, требования от безопасности вы мол выполнили.
Авторизация через сервис который вас уже опознал это хороший вариант. Не всегда применим, опять таки все яйца складываются в общую корзину, да еще и глобально распространенную и только и ждущую очередного слива и он тоже требует своей авторизации. И еще он связывает ваши предпочтения в единое целое.
Разновидность сервиса authenticator который просто генерирует ключ для входа даже не знает от чего пожалуй самая надежная, но рушится как только вы забыли телефон или села батарейка или кто то получил доступ к вашему девайсу...
Хранение в почте - это разновидность менеджера паролей.
Менеджер пароля обладает большим неприятным набором особенностей - связывает ваши сервисы между собой, весь доступ хранится в одном месте с указанием какой пароль от чего, возможно кто то посторонний имеет доступ или может его легко получить.
Система запоминания с датой рушится когда ваш пароль компрометируется чаще одного раза в год / месяц.
Система записывания на бумаге легко компрометируется подсматриванием.
Хорошая система у банка, если вы вводите номер своей карты, вас перекидывают на сайт вашего банка и вы ему свою идентичность подтверждаете. Вот пожалуй это идеально. Вы выбираете свой собственный надежный сервис ( Может быть разворачиваете свой), и говорите ВСЕМ, а моим доступом к вашим услугам занимаются тут. И вот тогда у вас будет не 101 отдельный пароль для каждого сайта, а один, который можно поменять сразу везде и делать это очень легко или даже не пароль.
Да еще система с указанием имени сайта тоже имеет неприятные особенности в виде изменившегося имени домена или альтернативных имен вроде google.eu и google.com ...
вроде google.eu и google.com
Это просто google. Бывало сайт менял название, это да, но и вы меняете пароль намного чаще.
Хорошая система у банка
Хорошая система у нас только в дублировании, просто не достаточно самого входа, еще подтверждение, что вы ответите на sms. По сути вас могут насильно заставить все это сделать, но у банка должна быть система двойного пароля, где второй на случай вашего захвата и тогда вход по нему уходит особо в службу безопасности. Увы, здесь ни в одном банке я это не вижу.
Авторизация через сервис который вас уже опознал это хороший вариант.
Ну так все за всеми следят. Одна почта у меня для ЦРУ, другая для КГБ — и все накормлены. Но если ты не публичная личность и всем до тебя никакого дела, то нормально все работает. Так что большинство не имеет ваших проблем.
Система запоминания с датой рушится когда ваш пароль компрометируется чаще одного раза в год / месяц.
А через что он у вас так часто утекает? Ну введите ввод даты, но вы не задолбаетесь менять пароли?
весь доступ хранится в одном месте с указанием какой пароль от чего
Ни чего не хранится, это прошлый век, тут и на сайтах ваши пароли не хранятся, а только хеш от них. И в программе своей я ничего не храню, все очень просто до безобразия и я описал выше. Ваше дело только чтобы не утекла программа или алгоритм получения, у кого-то это смещение в клавишах выше или ниже, у других еще что-то хитрое :)
Хранение в почте - это разновидность менеджера паролей.
Ну да, но делаем сейчас и проще, доверяем гуглу и все почти храним в браузере. Это же удобно, что все пароли у ЦРУ :) ну почти все.
Это просто google. Бывало сайт менял название, это да, но и вы меняете пароль намного чаще.
Да, нерешаемых проблем нет. Просто выбираете для себя удобный вариант наименования. Не в этом суть, а скорее в том что могут появляться альтернативы и сайт может одновременно работать под разными именами и порой и не вспомнишь какой применил. ( А задача ведь вспомнить потом, через пару лет)
Увы, здесь ни в одном банке я это не вижу.
Говорят пин код наоборот действует в таком ключе. В случае интернет платежа по карте это все не сильно актуально. И служба безопасности банка не сильно вам поможет и платеж либо пройдет либо нет по данным получателя. (Опять таки СБ вам тут не поможет)
Но я привел банк не как действующую сейчас систему авторизации а как удачный алгоритм. Когда в форме любого оператора принимающего платеж ( требующего авторизации ) вы переходите на сайт некоего вашего собственного агента ( В указанном случае вашего банка ) И там совершаете процедуру авторизации. ( Не всегда смс, порой это звонок или даже контрольный вопрос с датой вашего рождения и проч.. И получаете одобрение. При этом программист оператора не предусматривал переход исключительно на сайт вашего банка, но любого который укажете вы введя номер карты.
На данный момент бывают варианты openid, facebook, vk, mail.ru .microsoft но что мешает сделать такого агента полностью на ваше усмотрение. ( Не из вариантов, а вообще в виде ссылки на сервис со стандартным интерфейсом) И тогда вы поставите свою собственную программу для вашей собственной авторизации.
А через что он у вас так часто утекает? Ну введите ввод даты, но вы не задолбаетесь менять пароли?
Я же пишу, что уже задолбался. ( Пароли дети подсматривают, заставляют придумать новые. ) И да, это решаемо, но в случае стандартной привычной системы. Утечь она должна один раз.
Посему я и ратую за стандартизацию и унификацию. 1 Человек много сервисов 1 пароль. Но сервис 1 не может пароль от сервиса 2... Утечка адреса вашего авторизатора ничего не дает. Компроментирование на стороне авторизационного сервиса может не укажет на логин и еще много возможных плюшек.
Так что большинство не имеет ваших проблем.
Все имеют мои проблемы. Именно поэтому в 2023 году все еще актуальны темы о генерации сложных паролей. При этом очевидно что сложность должна быть обусловлена только математической сложностью перебора а не широтой человеческой фантазии в придумывании, запоминании и 100 раз напечатывании бестолковой последовательностей.
Ни чего не хранится, это прошлый век,
Если не хранится и я не могу посмотреть, то такой менеджер паролей не удобен, сменится апи ввода пароля и пароль автоматом забыт. (Хеш хранится в браузере для осуществления доступа, генерируется при условии вввода правильного пароля.
В общем и целом, как мне кажется мне не удалось объяснить понятным языком что современная система авторизации крайне неудобна. На мой взгляд удобно когда вам нужно помнить максимум 1 пароль а может и не пароль вовсе.
Даже изобретать ничего не нужно.
Публикуете открытый ключик. Например в DNS. Заходите на сайт с токеном который генерируется с использованием закрытого ключика. И вуаля вы авторизованы. Сложность любая. Можно хоть эллиптические кривые, хоть ГОСТ хоть что.
Решили сменить пароль, опубликовали новый открытый ключик и все старая авторизация протухла.
Хотите разные авторизации для разных сайтов опубликовали два ключика.
Хотите ничего не публиковать, прямо открытый ключик сообщили сервису...
Хотите чтобы браузер не мог авторизоваться генерируете токен самостоятельно....
Хотите чтобы никто не мог авторизоваться, опубликовали пустую запись.
Хотите отслеживать использование записываете кто когда откуда запрашивал ваш открытый ключик. ( С ДНС не будет работать, но монжо ведь и не в ДНС публиковать)
Прощай менеджер паролей.
Остается только риск подмены открытого ключа. ( Вам может приходить смс о том что открытый ключ сменился )
Возможна двухфакторная аутентификация.
Все просто понятно и только математика ограничивает доступ к вашим ресурсам, а не фантазия.
Telegram-бота
для генерации сложных паролей
Такие рацпредложения нужно или 1 апреля или 20 декабря выкладывать.
+много. Мне вот прямо сложно представить, что такое непонятное должно случиться, чтобы человек захотел генерировать свой пароль в онлайн утилите и добавлять бесплатно получать риски по компрометации самой утилиты или среды передачи. При том что оффлайн-генерилок паролей целая куча, и есть уже встроенные в менеджеры паролей и в браузеры.
А чем таким опасным грозит генерация пароля в сети? Сервис узнает, что какой-то 127.0.0.1 сделал себе пароль вида sjcbtovhwg1
Это не даёт вообще никакой информации о том, куда он его поставил и поставил ли. Да, пароль может попасть в базы для подбора, но это настолько раздует ее, что она станет бессмысленной.
С такой погоней за приватностью можно захотеть какой-нибудь аналоговый генератор паролей с выводом информации на бумажную ленту, ведь оффлайн программа выводит информацию на монитор, а ее тоже можно перехватить.
4 слова подбираются по словарю, а не брутфорсом. И это будет на порядки быстрее, где-то 2*10^6
Я выше уже написал про допущение, что при подборе известно, что там конкретно 4 осмысленных и безошибочных слова.
Заменяем пробелы и буквы на спецсимволы, не случайные для конкретного человека, но которые ему очень легко запомнить и готово - привет старый добрый брутфорс с миллионами лет.
Например:
"ехал грека через реку" -> "@[!k1uh@r!2x@h@p3h@r%"
Пароль легко запомнить, принцип замены также простой - пробелы заменены цифрой с инкрементом, гласные заменены спецсимволом по порядку.
Почему не на Selectel serverless? )
Как разработать Telegram-бота для генерации сложных паролей