Комментарии 21
Как бороться с тем, что юзер вместо рисования картинки-подсказки напишет там буквами свой пароль?
Как изобразить на такой картине 40 тысяч приматов с бананами?
Один из паролей которые я обычно использую это cnjd;c, ( «стовжсб» в английской раскладке). Оказывается у этого есть математическое объяснение.
Очень познавательно, пока читал и просматривал все отсылки(например, про фильм) успел на десятках других сайтов побывать!
А есть ссылки на эти программы?
А есть ссылки на эти программы?
А как насчет идеи «хранить неверный пароль на бумажке»? Например «8LnrK7aO», которая всегда на видном месте, но при этом только ты знаешь какой символ (или несколько символов) в этом пароле надо изменить, чтоб получить правильный?
Техник модификации не так и много.
Так что вы даете атакующему довольно много информации.
Берем модификацию перестановка — тут вы дали атакующему сильно урезанный словарь символов перебор вариантов которых — не так и сложен.
Берем модификацию замена символа на похожую по начертанию цифру (например — о-0, b-8) и там вообще вариантов минимум.
Допустим замена — это следующий (или через несколько) символ в алфавите — элементарно проверить все варианты таких смещений.
Ну и так далее…
Так что вы даете атакующему довольно много информации.
Берем модификацию перестановка — тут вы дали атакующему сильно урезанный словарь символов перебор вариантов которых — не так и сложен.
Берем модификацию замена символа на похожую по начертанию цифру (например — о-0, b-8) и там вообще вариантов минимум.
Допустим замена — это следующий (или через несколько) символ в алфавите — элементарно проверить все варианты таких смещений.
Ну и так далее…
А всего лишь надо иметь простенький генератор сложного кода на основе легкого пароля и названия сайта.
Типа первая и большая последняя буква домена (системы), число символов в логине (юзере) текстом и цифрой, блоки разделить подчеркиванием. Должно укладываться во все стандарты безопасности (число символов, прописные и строчные + цифры + символы), ну кроме как «прошло 30 дней и ваш пароль устарел».
Должен быть один базовый пароль, который выучен, а к базовому паролю добавлять некоторое количество символов по простому правилу. Именно простому, т.к. в вашем случае правило слишком сложное. Алгоритм должен быть в голове и быть интуитивно понятным, а не работать через программу или мнемонические техники запоминания.
Тогда можно взять комбинацию из нескольких слов — это базовый пароль. Меняем, например, вторую букву в пароле на заглавную. А в конце пароля добавляем, например, один из символов домена в нижнем регистре, скажем первый. Все, этого достаточно.
Такой пароль технически подвержен перебору по словарю, но нужно знать алгоритм генерации и серию аккаунтов, к которым этот пароль применяется. Что снижает риск почти до нуля.
Но вообще проблема не в паролях, а в том, что надо пресекать их перебор изначально. Вот на сайтах, например, где с этим борются? Введешь несколько раз неверно и тебе включат каптчу или заставят подождать минут 10, такая себе защита. А вот если бы время ожидания росло в прогрессии, то пароль подобрать было бы уже невозможно, но количество попыток будет достаточным для владельца, если он вдруг частично забудет его.
Тогда можно взять комбинацию из нескольких слов — это базовый пароль. Меняем, например, вторую букву в пароле на заглавную. А в конце пароля добавляем, например, один из символов домена в нижнем регистре, скажем первый. Все, этого достаточно.
Такой пароль технически подвержен перебору по словарю, но нужно знать алгоритм генерации и серию аккаунтов, к которым этот пароль применяется. Что снижает риск почти до нуля.
Но вообще проблема не в паролях, а в том, что надо пресекать их перебор изначально. Вот на сайтах, например, где с этим борются? Введешь несколько раз неверно и тебе включат каптчу или заставят подождать минут 10, такая себе защита. А вот если бы время ожидания росло в прогрессии, то пароль подобрать было бы уже невозможно, но количество попыток будет достаточным для владельца, если он вдруг частично забудет его.
Если я себе правильно понимаю современные технологии, то подбором пароля с сети никто не занимается, ломают скачанный хеш паролей. С сети максимум можно ботнетом для типичных логинов ввести типичный топ паролей, в надежде что из 10000 один да совпадет.
Если же ломают лично вас, то простой алгоритм увидят вручную, он очевиден. Так что такой подход не сильно лучше единого пароля на всех сайтах.
Если же ломают лично вас, то простой алгоритм увидят вручную, он очевиден. Так что такой подход не сильно лучше единого пароля на всех сайтах.
Нет, придумывание схемы, которую может запомнить человек, создаст только ощущение безопасности. Нужно криптографически обработать домен+соль (не вводимую постоянно)+пароль. С этим отлично справляется такое расширение, например:
addons.mozilla.org/firefox/addon/art-password
addons.mozilla.org/firefox/addon/art-password
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Необычный дуэт — фразы-пароли и мнемонические изображения