Cloud4Y Feb 12 2021 at 09:09

Пароль как крестраж: ещё один способ защитить свои учётные данные

5 min

11K

Cloud4Y corporate blogInformation Security*Cryptography*Data storage*

Translation

+19

Comments 23

remzalp Feb 12 2021 at 09:17

Уязвимость этих словарных генераторов в том, что словарь может быть ограниченный. Что в итоге получается? Вместо
(a-zA-Z0-9-)^16 = 6*10^28
(500 слов х 4) ^4 = 1*10^13
500 слов — для примера. Возможно словари там сильно лучше.

EndUser Feb 12 2021 at 10:17

Не используйте "эти" генераторы. Каконичными считаются словари из 2048 слов и из 7776 слов английского. Энтропия считается соответственно. Импользуйте те генераторы, где уверены в длине словаря.

DGN Feb 15 2021 at 04:37

Никакие генераторы использовать нельзя, разве что только тот который вы сами написали. Человек не способен отличить случайную и псевдослучайную последовательность.

p.s. Я бы использовал для генерации пароля книгу. Достаточно запомнить страницу и принцип выбора букв или слов. Выбор конечно не очень случаен, и словарь не самый большой. Зато легко восстанавливается в случае чего.

keleg Feb 12 2021 at 11:45

Русский язык рулит. Что-нибудь типа :tktpytymrbqrkjgbr (Железненькийклопик) фиг по словарю подберешь.

qyix7z Feb 12 2021 at 15:03

Прям никто не догадается взять словарь русского, перевести его за 5 мин в другую раскладку и с его помощью уже брутить?

keleg Feb 12 2021 at 16:24

Со всеми суффиксами? Получится очень немаленький словарь. Плюс сочетание двух-трех слов.

ponfry Feb 12 2021 at 15:29

так тоже могут расшифровать уже есть способы

Bringoff Feb 12 2021 at 16:33

С телефона такой пароль весело набирать :)

keleg Feb 12 2021 at 16:36

Да, приходится переключаться и считать положение кнопок. Как-то в больнице лежал, за неделю выучил.

vmkazakoff Feb 12 2021 at 21:33

Я как-то в так попал в ситуацию когда ахтунг как нужен был мой гуглоакк, из компов — что-то чахлое на ресепшн чужого мотеля дешевейшего, из времени буквально 5 минут, а пароль как раз что-то типа )(ренВамАНеПар0льП0д0брать в английской раскладке.

leshakk Oct 8 2021 at 11:45

Сам бывал в таких ситуациях, выручала эта прога под андроид:
"конвертилка"

Программа для упрощения ввода паролей типа
"ОченьСложныйПароль" (JxtymCkj;ysqGfhjkm).
Набираете русскими буквами текст, нажимаете на кнопку и программа сконвертирует его в набор латинских символов (с учетом регистра, цифр и знаков препинания) в соответствии с раскладкой стандартной клавиатуры.

Sergey-S-Kovalev Feb 12 2021 at 11:02

Каверкайте на свой лад русские фразы и пишите их в латинской раскладке, делов то.

А метод двух ключей (двух частей пароля) знаком нам еще с глубокого детства после просмотра фильмов о том, что в сверхсекретное место можно попасть только, когда у тебя есть оба ключа которые нужно повернуть одновременно.

questor Feb 12 2021 at 16:05

Каверкайте на свой лад русские фразы

падонки адабряют

Nibelought Feb 12 2021 at 12:28

На NeuraLink поставить запрет на вывод данных после слова пароль или password, чтобы не произошёл моментальный снос части слоёв вашей безопасности

romanvasilev1447 Feb 12 2021 at 16:26

Хм. А как насчёт того, чтобы просто вставлять название сайта в постоянную комбинацию символов?

Допустим:
Qwerty_12345678-HABR

Или:

Qwerty_HABR-12345678

DaneSoul Feb 12 2021 at 16:50

В статье же указывается уязвимость данной стратегии.
Если мошеннику попадет в руки один пароль вида Qwerty_HABR-12345678 очень легко догадаться о шаблоне и подставлять вместо HABR другие популярные сайты и взломать их все.

DGN Feb 15 2021 at 04:44

Пароль Qwerty_skz\-12345678 становится уже не так очевиден, это всего лишь строковый сдвиг по клавиатуре имени домена на его длину. Возможна большая вариабельность такой вот соли ядра.

Tangeman Feb 12 2021 at 17:15

ваш менеджер паролей был запущен, и его содержимое можно было посмотреть

Если там действительно случайные пароли по 16 символов, при этом на них можно только посмотреть — то удачи тому кто их увидит — без фотографической памяти (или фотоаппарата) они практически бесполезны. Хотя да, несколько штук можно успеть записать на бумажке (если будет под рукой).

Честно говоря вообще непонятно зачем генерировать пароли из слов при использовании менеджера паролей, один пень запоминать их не надо.

Для случаев когда пароль всё же хочется запомнить (тот же мастер-пароль, или что-то часто нужное) хорошо подойдёт легко запоминаемая но слегка модифицированная фраза, словарным перебором её уже не взять.

DaneSoul Feb 12 2021 at 17:42

то удачи тому кто их увидит — без фотографической памяти (или фотоаппарата) они практически бесполезны. Хотя да, несколько штук можно успеть записать на бумажке (если будет под рукой).

Сейчас у большинства всегда под рукой смартфон, которым можно за пару секунд сфотографировать интересующее.

Tangeman Feb 12 2021 at 17:53

Адекватный пароль-менеджер не показывает все пароли в открытом виде списком, в лучшем случае можно посмотреть за раз только один — а речь шла про "посмотреть" — я это понял как "без рук", типа из-за спины — а в этом случае уже не так незаметно воспользоваться смартфоном. Можно конечно всё это слямзить длиннофокусником даже из окна соседнего здания, хотя это уже другой случай.

Но если кто-то смог сесть за клавиатуру, со смартфоном да ещё и на ощутимое время — ясный пень что "всё пропало".

dso Feb 13 2021 at 09:43

Это как с паролями. Есть «соль», а есть еще и «перец».

EminH Feb 13 2021 at 20:05

Это не всё везде работает :)
https://yandex.ru/company/press_releases/2021/2021-02-12

Temmokan Feb 15 2021 at 08:48

Но вот конкретно биометрию я бы всё же не советовал так однозначно.

Заменить пароль, или аппаратный (либо программный) ключ — как два байта, а вот сменить отпечаток пальца или рисунок радужки — это уже нетривиально.