Comments 123
UFO just landed and posted this here
А гденить на депозитфайлсе "я люблю качать порно" - zk.rfgjh =)))
1) пароль, основанный на человеческой лексике неустойчив. НЕзавимио от раскладки. a UDC (http://the-udc.com/rus/) это великолепно подтверждает.
2) если пароль будет получен как минимум с одного из ресурсов этого уровня, простым поиском по нику хацкир получит доступ к остальным.
3) ICQ ограничивает пароль 8 символами. Разные сервисы тоже так делают. От этого или разрушится ваша трехуровневая система за необходимостью введения новых паролей, или сильно пострадает их устойчивость. Тем более, взломанный более короткий пароль сузит пространство поиска при взломе для более длинного.
зы В первую очередь пост направлен на читателя.
2) если пароль будет получен как минимум с одного из ресурсов этого уровня, простым поиском по нику хацкир получит доступ к остальным.
3) ICQ ограничивает пароль 8 символами. Разные сервисы тоже так делают. От этого или разрушится ваша трехуровневая система за необходимостью введения новых паролей, или сильно пострадает их устойчивость. Тем более, взломанный более короткий пароль сузит пространство поиска при взломе для более длинного.
зы В первую очередь пост направлен на читателя.
да, пароль первого уровня вводится полностью в аську, но та ограничивает первыми 8-мью символами, но nF$H*34g тоже довольно сильный пароль имхо
Ко всему этому можно просто использовать адекватный и кроссплатформенный менеджер паролей ;) Типа Keepass тогда не будет проблем ни с запоминанием ни с потерей паролей.
главное не потерять пароль от менеджера паролей %)
А КееПасс кроссплатформенный?
Понравилось.
У меня тоже пароли зависят от ресурса. Основная часть более-менее постоянна + что-то жёстко ассоциируещееся с конкретным ресурсом.
Как раз думаю пересмотреть свои пароли.
У меня тоже пароли зависят от ресурса. Основная часть более-менее постоянна + что-то жёстко ассоциируещееся с конкретным ресурсом.
Как раз думаю пересмотреть свои пароли.
Щас Хабраадмины посмотрят Ваш пароль на Хабре и сообразят, какие пароли у Вас на других сервисах ;)!
Не распространяйте слухи, пожалуйста )
Все пароли хранятся в виде хешей. Восстановить из хеша пароль (за неэкспоненциальное от его сложности) время нельзя. И посмотреть просто так они не смогут.
зы здесь админы не такие как на каких-нибудь одноклассниках. я верю.
Все пароли хранятся в виде хешей. Восстановить из хеша пароль (за неэкспоненциальное от его сложности) время нельзя. И посмотреть просто так они не смогут.
зы здесь админы не такие как на каких-нибудь одноклассниках. я верю.
Что такое хэши - спасибо, я знаю. Однако я не вполне уверен, что у Хабры пароли захэшированы :).
Или что их нельзя посмотреть на этапе авторизации в запросе? :)
я хотел это сказать, но собственно пост был бы бессмысленным, хотя сейчас именно так и есть. даешь панику и анархию )
кстати, легко проверить хешируются пассы или нет. посмотрите кто-нить в восстановление пароля плз ) если высылаются сами пароли, то о хешировании нет и речи. иначе - неизвестно, ибо это не критерий и достаточного условия здесь нет.
хотя все же... я сомневаюсь что наши уважаемые авторы позволили бы себе сказать о неуязвимости сайта еще при его создании и беспечно хранить незахешированные пароли. я уверен, там и соль есть.
кстати, легко проверить хешируются пассы или нет. посмотрите кто-нить в восстановление пароля плз ) если высылаются сами пароли, то о хешировании нет и речи. иначе - неизвестно, ибо это не критерий и достаточного условия здесь нет.
хотя все же... я сомневаюсь что наши уважаемые авторы позволили бы себе сказать о неуязвимости сайта еще при его создании и беспечно хранить незахешированные пароли. я уверен, там и соль есть.
А кто сказал, что пароль "берут" из хеша? Его легко, по-моему, выловить при авторизации нужного пользователся... дописав в скриптик несколько "нужных" строчек >:о)
Или не такие, как на "ВКонтакте". Зная пароль от мыла, на которое зарегистрирована учетная запись, можно спокойно выслать на это мыло пароль ВКонтакта. При этом письмо после этого удаляется и хозяин ничего не узнает.
учитывая распространенность баз с уже просчитанными хэшами, восстановить пароль из хэша становится зачастую делом одной минуты. Так что здесь защита не такая уж и большая, как хотелось бы.
А как быть тем, у кого либо нет русской гравировки на клавиатуре, либо есть какой-нибудь девайс, КПК или телефон?
о да.
Будучи как то в англии знакомая столкнулась с проблемой набора пароля, набранноко не в той раскладке. (по принципу - пишем по-английски, читаем по-русски). Спасла только мышечная память.
Будучи как то в англии знакомая столкнулась с проблемой набора пароля, набранноко не в той раскладке. (по принципу - пишем по-английски, читаем по-русски). Спасла только мышечная память.
страдать
Насчёт КПК - не знаю, а насчёт русской гравировки - учить слепой десятипальцевый метод. Это ещё и для глаз полезно, не говоря уже о прямых преимуществах :)
да-да... Приехал я как-то на выставку в ... non-RU короче, и опс, а клава-то без шпаргалки, первый испуг и... феерический успех - мышечное мышление идеально помнит "где сидит фазан". День-два, прихожу на третий и бац, вы будете смеяться, но почты я своей больше не увидел. Смотрю на пальцы, смотрю на клаву и... ничего! ноль совместимости, как отрезало, не попадаю и все!!! Вчера попадал, сегодня ну никак, не знаю плакать или смеяться, а пароль как раз по этой методике - верхнего уровня. Два дня мучился, чувствовал себя полным идиотом. С тех пор пароли только транслитные, с ошибками конечно. :)
если пароль придется набирать на клавиатуре без букв кириллицы?
идея интересная :) приблизительно по такому же принципу стараюсь ставить пароли, но надо будет мне действительно усовершенствовать эту систему
UFO just landed and posted this here
Не сочтите за рекламу но вот тут keepass.info есть бесплатная и мультиплатформенная.
Полтора года пользуюсь такой программой - PasswordBoss. Пока ничего удобней не встречал. Таскаю на флешке :)
Я бы ещё порекомендовал PassPack, отличный и довольно надёжный онлайн менеджер паролей.
AI Roboform - и генератор паролей и хранилище и заполнялка форм.
главное чтоб не пришлось набирать пароль с чужого компа или покета :)
я бычно набираю измененные русские слова в английской раскладке, 1-2 слова, достаточно сильные пароли, уже тут обсуждалось
Можно использовать последовательность Фибоначи в разных вариациях. Очень продуктивно получается и запомнить легко.
roboform + единственная политика: везде разные, сгенерированные им же, пароли
UFO just landed and posted this here
репка1->дедка2->бабка3->внучка4…
И что, вы упомните пароль NF$H*34gr7d341gT ?
UFO just landed and posted this here
UFO just landed and posted this here
Везде пользуюсь 2 уровнем :)
UFO just landed and posted this here
Заметил что в 90 процентах использую 3 уровень... в 5 - второй (вебмани, аська, почта), и в 5 - первый (20-40 символов, на доступ к своим сайтам и БД)
UFO just landed and posted this here
На несущественных сайтах я обычно использую простые, но уникальные пароли по схеме "общая часть + аббревиатура сайта".
Например (не буквально),
dirty.ru = pwd4dirty
thedailywtf.com = pwd4wtf
А вообще - побольше бы сайтов поддерживало OpenID.
Например (не буквально),
dirty.ru = pwd4dirty
thedailywtf.com = pwd4wtf
А вообще - побольше бы сайтов поддерживало OpenID.
хорошая идея - спасибо за наводку
Я тоже пользуюсь этой системой, только у меня вторая часть пароля генерируется путём искажения первых букв названия / аббревиатуры названия сайта по заранее разработанной мною схеме. Так что злоумышленнику, кроме основного пароля, ещё и её узнать придётся. =) Да и сбрутить таким образом собственный пароль легче, если что (ну мало ли, вдруг забыл =).
Предлогаю усовершенствовать схему "общая часть + аббревиатура сайта", подсчитав Hash от нее...
Месяца четыре назад читал любопытную статью на тему исследования "прочности" паролей. Общий смысл сводился к тому, что вовсе не обязательно корячиться и генерировать пароль, отвечающий всем общепринятым критериям прочности, запоминая комбинации вроде baLh#245zRCv или =L$G$QnK-lNm, а достаточно использовать длинные пароли в 16-18 символов, меняя их с периодичностью в несколько месяцев. Даже при использовании в таком пароле всего одного набора символов, например строчных латинских букв, на его подбор уйдет очень значительное количество времени.
менять все пароли на всех сайтах - довольно утомительное занятие :-(
А если добавить еще пару цифорок и спецсимволов (не особо корячившись) - стойкость пароля возрастает на порядок.
А вообще уже давным давно самый надежный способ получит идентификационную информацию - социальная инженерия. От нее спасет только мозг, а не стойкий пароль.
А вообще уже давным давно самый надежный способ получит идентификационную информацию - социальная инженерия. От нее спасет только мозг, а не стойкий пароль.
Для себя использую следующую систему.
1.Берем фразу на анлийском, которую хорошо помним: the sun is shining
2.Произносим ее по русски (с акцентом ;) : зе сан из шайнинг -> ЗеСанИзШайнинг
3.И пишем в английской раскладке PtCfyBpIfqybyu
добавляем пару цифр, пароль готов.
Если в фразе встречаются буквы б,ю,ж,э,х,ё, то пароль содержит еще и символы :"{}~, что очень даже замечательно.
1.Берем фразу на анлийском, которую хорошо помним: the sun is shining
2.Произносим ее по русски (с акцентом ;) : зе сан из шайнинг -> ЗеСанИзШайнинг
3.И пишем в английской раскладке PtCfyBpIfqybyu
добавляем пару цифр, пароль готов.
Если в фразе встречаются буквы б,ю,ж,э,х,ё, то пароль содержит еще и символы :"{}~, что очень даже замечательно.
Все так, да.
пассы, содержащие русские слова, набранные в английской раскладке не всегда удобны.попробуйте такой пароль на кпк или телефоне ввести.сам использую метод "на*би брутфорсера" - пасс="слово""цифра""слово" цифры и слова побраются абсолютно рандомно.
я так понял в Великобритании основной пароль - utro.ru
у меня следующая трехуровневая система:
сильный пароль - в качестве пароля на системы.
средний пароль - для почт.
слабый пароль - для всяких сайтов.
сильный пароль - в качестве пароля на системы.
средний пароль - для почт.
слабый пароль - для всяких сайтов.
недавно задумывался о смене всех своих паролей и вот что нашёл
http://www.codinghorror.com/blog/archive…
эффективнее будет увеличить длину пароля, нежели составлять мега-сложный, состоящий из строчных/заглавных букв, цифр и символов.
сколько времени потребуется для перебора брутфорсом при скорости 200 тыс комбинаций в сек?
математика простая:
8-символьный пароль: большие+маленькие буквы+цифры
62^8 / 200,000,000 pps / 60 / 60 / 24 = 13 days
8-символьный пароль: большие+маленькие буквы+цифры+спецсимволы
72^8 / 200,000,000 pps / 60 / 60 / 24 = 42 days
10-символьный пароль: только буквы одного регистра
26^10 / 200,000,000 pps / 60 / 60 / 24 = 8 days
12-символьный пароль: только буквы одного регистра
26^12 / 200,000,000 pps / 60 / 60 / 24 = 15 years
14-символьный пароль: только буквы одного регистра
26^14 / 200,000,000 pps / 60 / 60 / 24 = 10,228 years
http://www.codinghorror.com/blog/archive…
эффективнее будет увеличить длину пароля, нежели составлять мега-сложный, состоящий из строчных/заглавных букв, цифр и символов.
сколько времени потребуется для перебора брутфорсом при скорости 200 тыс комбинаций в сек?
математика простая:
8-символьный пароль: большие+маленькие буквы+цифры
62^8 / 200,000,000 pps / 60 / 60 / 24 = 13 days
8-символьный пароль: большие+маленькие буквы+цифры+спецсимволы
72^8 / 200,000,000 pps / 60 / 60 / 24 = 42 days
10-символьный пароль: только буквы одного регистра
26^10 / 200,000,000 pps / 60 / 60 / 24 = 8 days
12-символьный пароль: только буквы одного регистра
26^12 / 200,000,000 pps / 60 / 60 / 24 = 15 years
14-символьный пароль: только буквы одного регистра
26^14 / 200,000,000 pps / 60 / 60 / 24 = 10,228 years
если распределить на несколько компов то уже будет быстрее. надо вводить 32-х значный md5 hash от своего пароля :)
само собой, распределённый брутфорс будет куда эффективнее :)
даешь Rainbow Tables (http://www.antsight.com/zsl/rainbowcrack/)! используя предвычисление таблиц (для некотрого диапазона) вы избавляетесь от необходимости тратить время на брутфорс. просто юзоешь маленькую программку и таблицу. за несколько секунд/минут происходит процесс, почти равный соответстующему брутфорсу по тому же диапазону. так вот, к чему бы это я... короче говоря, брутфорс сильно устарел. скоро выложу свою подробную статью. если у меня конечно хватит кармы чтоб опубликовать ее хотя бы в своем блоге...
зы да простят меня за весьма грубые допущения в этом объяснении. самое грубое - наличие salt.
ззы попробуйте запомнить 14ти символьный пароль, не имеющий для человека смысла. Имеющий уже не будет обладать такой устойчивостью, ибо будет существовать некоторая функция для повышения релевантности поиска.
зззы ipshaiteg наверное имел ввиду 200 млн паролей в секунду, а не тысяч...
зы да простят меня за весьма грубые допущения в этом объяснении. самое грубое - наличие salt.
ззы попробуйте запомнить 14ти символьный пароль, не имеющий для человека смысла. Имеющий уже не будет обладать такой устойчивостью, ибо будет существовать некоторая функция для повышения релевантности поиска.
зззы ipshaiteg наверное имел ввиду 200 млн паролей в секунду, а не тысяч...
"сколько времени потребуется для перебора брутфорсом при скорости 200 тыс комбинаций в сек?"
хм... это на чём такая производительность выходит? на моём c2d e6300 для rar скорость подбора по словарю составляет около 40 в секунду
+ вы не учитываете время отклика системы, которое на много порядков увеличит время перебора
хм... это на чём такая производительность выходит? на моём c2d e6300 для rar скорость подбора по словарю составляет около 40 в секунду
+ вы не учитываете время отклика системы, которое на много порядков увеличит время перебора
Думаю стоит сделать поправку, что приведенные данные это предельные значения.
З.Ы.: задумался и написал текст "для пользователя" о том, почему сложные и разные нужны пароли, но не могу написать в свой блог. сделайте мне карму чуть выше нуля пожалуйста.
З.Ы.: задумался и написал текст "для пользователя" о том, почему сложные и разные нужны пароли, но не могу написать в свой блог. сделайте мне карму чуть выше нуля пожалуйста.
В комментариях предлагаю оставить свои пароли))
ну еще можно пользоваться добавлением имени ресурса в конец пароля. например для гмэйла добавлять gmail и т.д. этот способ конечно в таком варианте использовать не надо, но после пары несложных модификаций получится хороший алгоритм. фишка эта известная.
ну еще можно пользоваться добавлением имени ресурса в конец пароля. например для гмэйла добавлять gmail и т.д. этот способ конечно в таком варианте использовать не надо, но после пары несложных модификаций получится хороший алгоритм. фишка эта известная.
я бы не стал приравнивать пароль к почте по требуемой степени защищённости к паролю платёжной системы. хотя, смотря что там в почте...
сейчас все выложат свои пароли и методики и кто-то сможет сделать бота для перебора и словари пополнить для брутфорса :)
Примерно так и поступаю, только на первом уровне у меня свой пароль на каждый сервис. Плюс для первого уровня нигде стараюсь не ставить "сохранить пароль"
так же и юзаю, только надо не лениться раз в полгода менять пароли 1 уровня :)
Давно уже использую такую систему.
UFO just landed and posted this here
Я для всех паролей использую одну и ту же методику.
Я кодирю фразы. Например.
"Однажды вечером я шел по улице и встетил 3 лабрадоров."
овяшпуив3л - уже неплохо, не правда ли?
переведем в английскую раскладку:
jdzigebd3k - пойди подбери... А я тем не менее отлично помню этот пароль, его даже записывать не надо.
Я кодирю фразы. Например.
"Однажды вечером я шел по улице и встетил 3 лабрадоров."
овяшпуив3л - уже неплохо, не правда ли?
переведем в английскую раскладку:
jdzigebd3k - пойди подбери... А я тем не менее отлично помню этот пароль, его даже записывать не надо.
Давно использую "Keepass Password Safe" для хранения паролей. Соответственно всё они сгенерированы средствами этой тулзы и имеют большую длину, что исключает брутфорс. Мастер-пароль - это фраза на русском языке с английской раскладкой, причём некоторые буквы заменены на цифры по известной только мне системе + разный регистр символов =)
системы с паролями придумали трусы!
Оффтоп.
Помню, когда только подключился к интернету, завел почту на яндексе. Так вот, логин у меня был "anylogin", а пароль "anypassword". Года три такая история продолжалась. Никто не покушался на мою переписку.
А что касается сложности пароля. В том, что люди используют один пароль на все-все-все изначально нет ничего плохого. При должной длине и сложности пароля (а так же при должной осторожности) опасность грозит крайне незначительная. ИМХО.
Помню, когда только подключился к интернету, завел почту на яндексе. Так вот, логин у меня был "anylogin", а пароль "anypassword". Года три такая история продолжалась. Никто не покушался на мою переписку.
А что касается сложности пароля. В том, что люди используют один пароль на все-все-все изначально нет ничего плохого. При должной длине и сложности пароля (а так же при должной осторожности) опасность грозит крайне незначительная. ИМХО.
Использую примерно такую же систему, только "суперсложный" пароль у меня не случайный :)
Беру фразу на русском - два/три слова (каждое слово далеко не словарное). Подбираю такие слова, чтобы встречались буквы Х,Ъ,Ж,Э,Ю,Б, набираю все в английской раскладке с некоторыми заглавными буквами и добавляю несколько цифр. Такой пароль даже длиной 12 символов сломать брутфорсом нереально (из-за тех самых букв - смотрите на клавиатуру) и забыть такой пароль тоже очень сложно :)
А вообще уже хочется прикрутить биометрический сканер к компу (плагин для FF уже есть) и переписать немного либу, чтобы пароль получался, грубо говоря, как результат односторонней функции от биометрических характеристик со сканера. То есть пароли реально нигде не будут хранится, будет хранится только информация, которая бесполезна без оригинальных биометрических характеристик. В данном случае всегда можно делать сколь угодно сложные пароли и делать их много с помощью "соли" (которую и хранить).
Не защиты ради, а удобства :) Ткнул пальцем в сканер и авторизовался на сайте :)
Беру фразу на русском - два/три слова (каждое слово далеко не словарное). Подбираю такие слова, чтобы встречались буквы Х,Ъ,Ж,Э,Ю,Б, набираю все в английской раскладке с некоторыми заглавными буквами и добавляю несколько цифр. Такой пароль даже длиной 12 символов сломать брутфорсом нереально (из-за тех самых букв - смотрите на клавиатуру) и забыть такой пароль тоже очень сложно :)
А вообще уже хочется прикрутить биометрический сканер к компу (плагин для FF уже есть) и переписать немного либу, чтобы пароль получался, грубо говоря, как результат односторонней функции от биометрических характеристик со сканера. То есть пароли реально нигде не будут хранится, будет хранится только информация, которая бесполезна без оригинальных биометрических характеристик. В данном случае всегда можно делать сколь угодно сложные пароли и делать их много с помощью "соли" (которую и хранить).
Не защиты ради, а удобства :) Ткнул пальцем в сканер и авторизовался на сайте :)
1) а если включить только эти дополнительные символы в брутфорс? вы предполагаете об устойчивости этих паролей, так как думаете что взломщики используют весь знакодиапазон (32 символа). в то же время, практика использования этих самых символов для брутфорса широкоизвестна и верить в нереальность взлома не стоит.
2) не боитесь, что вам ночью отрежут палец? )) я боюсь...
делая первый шаг на пути к интересному обсуждению, выкладываю хеш своего пароля не от хабра, который я по глупости неоднократно юзол: 59A8621067F38AC32ECDC0628AFE27F4. (Не хочу стать qweqwe) Чтобы помочь интересующимся, скажу, что я тогда занимался разработкой маленькой игры.
2) не боитесь, что вам ночью отрежут палец? )) я боюсь...
делая первый шаг на пути к интересному обсуждению, выкладываю хеш своего пароля не от хабра, который я по глупости неоднократно юзол: 59A8621067F38AC32ECDC0628AFE27F4. (Не хочу стать qweqwe) Чтобы помочь интересующимся, скажу, что я тогда занимался разработкой маленькой игры.
1) Мой алфавит получается 26+26+10+6=68 символов. Например, взломщик уже априори знает мой алфавит. Допустим, он даже знает что мой пароль 12 символов. Еще облегчим задачу - взломщик получил хеш моего пароля (понятно, что брутфорсить страницу авторизации он будет до второго пришествия). SAMInside ... пускай даже будет 50 млн паролей в секунду (а это очень много)... Если я не ошибаюсь то через 3 млн. лет он доберется до середины :) Для сравнения, для 8-ми символьного пароля и все то же самое - 50 дней.
2) Не боюсь :) Во-первых, старые сканеры покупать не стоит. А, во-вторых, посмотреть как они палец будут нагревать до 36C и гонять по нему кровь мне было бы интересно :)
2) Не боюсь :) Во-первых, старые сканеры покупать не стоит. А, во-вторых, посмотреть как они палец будут нагревать до 36C и гонять по нему кровь мне было бы интересно :)
1) я очень сомневаюсь, что вы запомните 12 совершенно неосмысленных символов надолго ) хотя, возможно, стоит попробовать. кстати, алфавит на самом деле 33+33+10=76 символов длины.
2) найдут методы. всегда существует промежуток от взлома предыдущего метода до появления нового устойчивого к некоторому взлому. именно в эти 2 недели каждые 3 месяца (сократить оба периода с учетом скорости роста компьютерной индустрии) будут отрезать пальцы, изымать глаза и записывать на мегадиктофон голос. возможно, некоторые подумают, что я боюсь будущего. они правы.
2) найдут методы. всегда существует промежуток от взлома предыдущего метода до появления нового устойчивого к некоторому взлому. именно в эти 2 недели каждые 3 месяца (сократить оба периода с учетом скорости роста компьютерной индустрии) будут отрезать пальцы, изымать глаза и записывать на мегадиктофон голос. возможно, некоторые подумают, что я боюсь будущего. они правы.
Кстати о логинах-паролях.
Мне очень понравилась идея с народным паролем (проскакивала пару недель назад).
4 уровень паролей - народный пароль. Нужен специально для тех сервисов, на которые вы вряд ли когда-нибудь снова зайдете, но для того, чтобы добыть нужный контент придется зарегистрироваться...
В этом случае можно просто указать в качестве логопаса qweqwe.
Так тебе не придется запоминать еще один пароль и ты облегчишь жизнь следующему зашедшему. :)
Мне очень понравилась идея с народным паролем (проскакивала пару недель назад).
4 уровень паролей - народный пароль. Нужен специально для тех сервисов, на которые вы вряд ли когда-нибудь снова зайдете, но для того, чтобы добыть нужный контент придется зарегистрироваться...
В этом случае можно просто указать в качестве логопаса qweqwe.
Так тебе не придется запоминать еще один пароль и ты облегчишь жизнь следующему зашедшему. :)
Кстати, коллекцию таких общественных аккуантов предоставляет ресурс http://bugmenot.com
для системы критического уровня я использую условнорефлекторный пароль.
это значит, что в моей голове хранится не сам пароль, а последовательность нажатия клавиш на клавиатуре, как при печати слепым методом. то есть задавая сложный незапоминающийся пароль из букв разного регистра и служебных символов нужно моторически запомнить последовательность нажатия клавиш. дело сложное, но это так кажется, здесь стоит вопрос исключительно практики.
и теперь, даже если меня начнут пытать четвертованием, свой пароль я даже при всём моём желании не смогу сказать, потому что он хранится в моторной памяти.
правда, здесь есть одно неудобство, на нестандартных клавиатурах условнорефлекторный пароль невозможно набрать, но главное это безопасность!
это значит, что в моей голове хранится не сам пароль, а последовательность нажатия клавиш на клавиатуре, как при печати слепым методом. то есть задавая сложный незапоминающийся пароль из букв разного регистра и служебных символов нужно моторически запомнить последовательность нажатия клавиш. дело сложное, но это так кажется, здесь стоит вопрос исключительно практики.
и теперь, даже если меня начнут пытать четвертованием, свой пароль я даже при всём моём желании не смогу сказать, потому что он хранится в моторной памяти.
правда, здесь есть одно неудобство, на нестандартных клавиатурах условнорефлекторный пароль невозможно набрать, но главное это безопасность!
+1. благодоря такой памяти я помню пароль от архива который снес больше года назад. из-за того что в какойто момент забыл этот пароль. не мог вспомнить. потом сел за ком и он всплыл в моей памяти...
я да левых сайтов использую пароли типо _asdfgh123 - он просто запоминаеться, в нем есть цифры и буквы и спец символ. для остольного пароли сложные..
я да левых сайтов использую пароли типо _asdfgh123 - он просто запоминаеться, в нем есть цифры и буквы и спец символ. для остольного пароли сложные..
Пусть лучше пароли запоминает и генерирует железный моск такой как KeePass. Программа есть и для PC и для КПК.
Как вариант реализации и относительно простого запоминания - берете 2 или 3 блока (по 5 символов каждый) от своего серийника на вынь (можно подсмотреть на ноуте, если лень учить), добавляете в начало префикс (для удлинения) к примеру "MyPwd1 ", постфиксом можно добавить любой набар запоминающихся букв. В промежутки между блоками добавить спец. символы и готово. Со временем, пароль можно дополнять "вкусняшками" не меняя, к прмеру основу из блоков.
При таком подходе генерации мастер-пароля он может быть очень стойким и уверенно находиться в памяти.
Э
При таком подходе генерации мастер-пароля он может быть очень стойким и уверенно находиться в памяти.
Э
А я пользуюсь одноуровневой системой паролей.
Точнее просто следую инструкции. Если написано введите пароль - я ввожу "пароль". В 9 случаях из 10 срабатывает. Может это какой универсальный пароль "по умолчанию", я не знаю.
После того, как увидел, что вытащить шифрованные пароли из оперы занимает меньше 10 секунд, а про стандартное хранение паролей в лисе даже не стоит упоминать, я пришел к выводу, что если кто-то захочет получить Ваш пароль, он его получит. Для себя определил выбор - FlexWallet. Программа и для бб и для коммуникатора. Вполне хватает. Криптование 128 бит. Правда есть один минус - пароль на вход. Если узнали его - упс :)
Точнее просто следую инструкции. Если написано введите пароль - я ввожу "пароль". В 9 случаях из 10 срабатывает. Может это какой универсальный пароль "по умолчанию", я не знаю.
После того, как увидел, что вытащить шифрованные пароли из оперы занимает меньше 10 секунд, а про стандартное хранение паролей в лисе даже не стоит упоминать, я пришел к выводу, что если кто-то захочет получить Ваш пароль, он его получит. Для себя определил выбор - FlexWallet. Программа и для бб и для коммуникатора. Вполне хватает. Криптование 128 бит. Правда есть один минус - пароль на вход. Если узнали его - упс :)
У меня более сотни паролей, но помню я только один. Остальное хранится в зашифрованном виде программой KeePass, шифрование 256-битное, есть программы под Windows, Linux, Mac, Pocket PC (что особенно удобно).
Практически все мои пароли содержат более 20 случайных знаков, а ввод пароля из программы-хранителя занимает секунды две-три.
Вот такая вот система ;-) Кстати, программа открытая, бесплатная, легальная и юзабельная.
Практически все мои пароли содержат более 20 случайных знаков, а ввод пароля из программы-хранителя занимает секунды две-три.
Вот такая вот система ;-) Кстати, программа открытая, бесплатная, легальная и юзабельная.
А я вот для "ничего не значащих сервисов" ввожу "геометрические" пароли. Т.е. на клавиатуре представляю себе геом. фигуру и по ее периметру жму на кнопки. А клавиатура у меня эргономическая с разломом посеририне, поэтому фантазии есть за что зацепиться, например 6tgfde45.
Я использую в качестве пароля третьего уровня (для не особо важных сайтов) пароль только из цифр - это уменьшает проблему клавиатурной раскладки.
Похоже эта статья повлияла админов Хабра дописать до хешей сальт.
Sign up to leave a comment.
Трехуровневая система паролей