alumnibmstu Nov 21 2023 at 18:03

Как придумать самый надежный пароль?

Easy

2 min

Центр выпускников МГТУ им. Н.Э. Баумана corporate blogInformation Security*System administration*Studying in ITSocial networks and communities

Comments 18

iddi Nov 21 2023 at 18:39

набирать русский текст в латинской раскладке очень неудобно на телефонах и на клавиатурах без русской раскладки. наслушавшись подобных вашему советов потом звонят и просят продиктовать их такой весь безопасный и легкозапоминаемый латинскими буквами, сообщая его открытым текстом по телефону

pavel_raskin Nov 21 2023 at 21:03

Отсутствие в нужный момент под рукой физической клавиатуры решается банально - можно заранее сделать фото раскладки, или кого-то попросить сделать (и не придётся ничего открыто диктовать) . Но это далеко не единственный, и уж точно не самый серьёзный недостаток паролей, сгенерированных сменой расклалки.

iddi Nov 21 2023 at 21:08

о да! в кошелек фото раскладки положить.

а в чем более серьезные недостатки длинной парольной фразы в другой раскладке? кроме неудобства?

pavel_raskin Nov 21 2023 at 21:26

Можно распечатать и в кошелёк, рядом с фото любимой тёщи, но логичнее в память того же устройства, на котором набирается пароль.

Недостаток же в том, что приём со сменой раскладки не делает пароль более устойчивым при прочих равных, но вселяет ложную уверенность в этом для его владельца.

Алгоритмы подбора и таблицы давно учитывают как замену раскладки, так и замену отдельных знаков.

alumnibmstu Nov 22 2023 at 13:04

Добрый день! Спасибо за замечание о замене раскладки, считаем его справедливым. Можете дать несколько рекомендаций, как лучше использовать парольную фразу? Или может быть эффективней использовать другой метод?

pavel_raskin Nov 22 2023 at 13:45

Если отвечать на вопрос, вынесенный в заголовок публикации "Как придумать самый надежный пароль?", то применение парольной фразы, равно как и хоть какого-то алгоритма составления пароля из осмысленных (или не очень осмысленных) фрагментов неизбежно снизит надёжность пароля, т.к. сделает его более предсказуемым (вычисляемым, подбираемым, восстанавливаемым). Информационная защита не должна строиться на секретности принципов её работы. Т.е. в идеале нельзя надеяться на тайну алгоритма составления пароля. Нужно всегда считать алгоритм потенциально известным злоумышленнику.

Если оставить только задачу генерации пароля, опустив условия его применения, то лучшим вариантом будет генерация на основе случайных (именно случайных, а не псевдослучайных) значений.

belch84 Nov 22 2023 at 18:26

Сам когда-то лично использовал - необходимо было кое-что поправить в базе без всякого веб-интерфейса, база находилась в другой стране на расстоянии несколько тысяч километров от меня, единственным доступным устройством был iPad, а доступ в Сеть был только через бесплатный WiFi публичной библиотеки (сама библиотека, кстати, была закрыта, но WiFi дотягивался до лавочки на улице). Предвидя нечто подобное, заранее распечатал избражение клавиатуры, оно прекрасно помешалось под чехол iPad'а

Изображение клавиатуры

ajijiadduh Nov 21 2023 at 19:11

материал о граммотном

заметно

ultrinfaern Nov 21 2023 at 19:23

Самый надежный пароль - это его отсутствие (WebAuthn)! ;)

K0styan Nov 21 2023 at 19:34

Ну это уже не от вас зависит, а от поддержки сервисом

SanSYS Nov 21 2023 at 21:14

В случае отсутствия биометрии, вам нужно будет воспользоваться паролем (но локальным); И проблема выбора пароля всё равно присутствует, хотя уже не так остро

В некоторых кейсах биометрия будет лишь доп опцией (в маках, телефонах, менеджерах паролей в том числе), которая анлочится на некоторое время после ввода того самого пароля

Но да, суть посыла понятна – утечки паролей на сторонних ресурсах будут и они опаснее утечки публичных куличей ?

Тогда ещё нужно в середине пароля добавлять точку с запятой, кавычки, табуляцию, пробел и �, чтобы csv подпортить ?

Kahelman Nov 22 2023 at 02:41

Да, уровень Бауманского падает….

Как создать надежный пароль -воспользуйтесь менеджером паролей….

И это один из ведущих технических ВУЗов :(

alumnibmstu Nov 22 2023 at 11:37

Добрый день! Согласен с тем, что менеджеры паролей и правда часто подвергаются взломам, но именно поэтому мы порекомендовали те, в которых уверены исходя из своего личного опыта. Будем рады услышать Ваше мнение на предмет того, какой метод хранения большого количества паролей более удобный и безопасный.

micronull Nov 22 2023 at 07:13

С детства в памяти лежит ряд бесполезных цифр, например номера телефонов друзей детства, адреса и даты, коды от игр денди. Их можно использовать для добавления к паролям.

alumnibmstu Nov 22 2023 at 12:10

Отличный пример для наполнения парольной фразы!

xtov0 Nov 22 2023 at 10:30

Я хочу иметь, не один, но сложный, а дюжину разных паролей для дюжины разных сервисов.
Как мне это сделать?

alumnibmstu Nov 22 2023 at 12:04

Добрый день! Мы как раз предлагаем запомнить всего 1 сложный пароль, а все остальные генерировать с помощью менеджера пароля, который будет создавать и запоминать для каждого сервиса уникальный 16-тизначный пароль. Наш сложный пароль как раз потребуется для доступа к менеджеру паролей

eyeDM Nov 23 2023 at 12:57

Часто бывают ситуации, когда нет возможности использовать Ctrl+V для вставки в форму 16-ти символьного пароля, включающего спец. символы. Например, это может быть подключение google-аккаунта на новом телефоне или "умном TV". Парольная фраза, т.е. набор из нескольких рандомных слов, была бы удобней. Её даже можно запомнить.

К слову, в ванильном KeePass нет встроенного генератора фраз, но его можно добавить плагином. Правда, мне попадались только плагины, берущие слова их какого-нибудь словаря. А вот KeePassXC сам умеет придумывать фразы, при чём из несуществующих слов фиксированной длины (а-ля lorem ipsum).