Комментарии 85
Гениально!
Я вобью где-нибудь в произвольном месте Московской области в землю колышек и сохраню его координаты при помощи GPS. Потом дождусь, пока его не сфотографирует google, и установлю в качестве пароля. И найти несложно, и не знает никто, что я там был))
Люди, имевшие пароли «Коля», «футбол», «завтрак» и прочие, сменят пароли на
«Улица Вернадского, д.3», «Стадион Динамо», «кафе у Коли».
«Улица Вернадского, д.3», «Стадион Динамо», «кафе у Коли».
Супер. Кстати, если добавлять джиттеринг на карту (т.е. сдвигать чуть-чуть карту на рандомную величину, то клик будет каждый раз по новому месту).
Однако, не 10 в 20… никто не будет загадывать точку посреди океана (он её не найдёт). Значит, площадь крупнозаселённых районов и «простые пароли» в виде эфелевой башни, думы, памятников и т.д.
Однако, не 10 в 20… никто не будет загадывать точку посреди океана (он её не найдёт). Значит, площадь крупнозаселённых районов и «простые пароли» в виде эфелевой башни, думы, памятников и т.д.
«В таком случае даже клавиатурный сниффер не сможет перехватить информацию. „
А мышиный сниффер — легко, если в логе присутствует имя текущего окна.
“взять его координаты с Google Maps»
http трафик перехватить тоже не трудно, правда он не 100% даст интересующее место, если искать Москву, а кликать на Васильевском спуске.
А мышиный сниффер — легко, если в логе присутствует имя текущего окна.
“взять его координаты с Google Maps»
http трафик перехватить тоже не трудно, правда он не 100% даст интересующее место, если искать Москву, а кликать на Васильевском спуске.
Насколько я слышал, карты не дают такую точность и при обновлении объекты могут быть сдвинуты на доли градусов. А уже изменение одной цифры испортит всю идею «сложного пароля который легко запомнить»
Не надежный метод имхо
Не надежный метод имхо
Я тоже над этим думал. Даже из-за тектонических процессов координаты могут измениться. Может, есть какие-то неизменные координаты в космосе?
Можно использовать в связке с менеджеров паролей KeePass — если карта окажется сдвинута и перестанет работать, то по базе паролей KeePass можно будет восстановить пароль (и изменить его на обновленный), а если с базой KeePass что-то случится, то ее по карте можно будет восстановить.
В таком случае и авторизацию надо делать по карте. Смещение ± 1 км на карте мира думаю не будет критичным.
Например указывать при регистрации и авторизации не конкретную точку, а окружность определенного радиуса. Если окружность имеет пересечение с ранее указанной — все супер.
Правда при таком подходе понижается степень защиты…
Например указывать при регистрации и авторизации не конкретную точку, а окружность определенного радиуса. Если окружность имеет пересечение с ранее указанной — все супер.
Правда при таком подходе понижается степень защиты…
Так уж легко запомнить 20 цифр? Сомнительное утверждение. Кто может их запомнить, у того хватит мозгов сложный пароль придумать и без подобных «гениальных» идей.
Суть не в том, чтобы запомнить пароль, а в том, чтобы запомнить точку на карте. И каждый раз, когда понадобиться ввести пароль, тыкать в нее.
ИМХО, способ забавный, но неудобный и не факт, что надежный.
ИМХО, способ забавный, но неудобный и не факт, что надежный.
Суть в том, что есть разные виды памяти, некоторые могут запомнить 20 цифр, а другим проще ткнуть пальцем в карту, а кому-то проще ноты вспомнить.
«Летающий автомобиль в Петре» — можно мышкой ткнуть и получить 20 цифр, а можно текстом набрать (примерный эквивалентны в битах).
«Летающий автомобиль в Петре» — можно мышкой ткнуть и получить 20 цифр, а можно текстом набрать (примерный эквивалентны в битах).
Это нужно будет тыкать на карту с точностью до пикселя что ли?
Видимо, необходимо быть американским ученым, чтобы прочувствовать всю гениальность подхода.
1. 20 цифр запоминаются хуже, чем 11 символов [a-z A-Z 0-9] или 8 симвлов [a-z A-Z 0-9 спецсимволы], а вводится (или, тем более, выбирается на карте) дольше.
2. Как уже было сказано, очень вряд ли будут выбраны точки в океане, или места без явных ориентиров, а это существенно сокращает диапазон возможных паролей. Лень исследовать насколько же существенно, но речь здесь идет о порядках.
3. Выбрать точное место даже на зуммированной карте — довольно сложно. Ведь «10-значная точность по долготе и широте» по сути определяет место точнее (до миллиметров), чем его изображение на мониторе в максимальном приближении (я говорю про гугл мапс). Таким образом, и здесь потери значащих цифр на несколько порядков.
1. 20 цифр запоминаются хуже, чем 11 символов [a-z A-Z 0-9] или 8 симвлов [a-z A-Z 0-9 спецсимволы], а вводится (или, тем более, выбирается на карте) дольше.
2. Как уже было сказано, очень вряд ли будут выбраны точки в океане, или места без явных ориентиров, а это существенно сокращает диапазон возможных паролей. Лень исследовать насколько же существенно, но речь здесь идет о порядках.
3. Выбрать точное место даже на зуммированной карте — довольно сложно. Ведь «10-значная точность по долготе и широте» по сути определяет место точнее (до миллиметров), чем его изображение на мониторе в максимальном приближении (я говорю про гугл мапс). Таким образом, и здесь потери значащих цифр на несколько порядков.
Вот это называется креативный подход к проблеме генерации паролей. Веселый дядька.
Только вот надежность способа меня тоже смущает. Все-таки наверное достаточно большой процент людей будет выбирать в качестве точки на карте какое-то полулярное место или свой дом. И получается что опять придем к тем самым 30% пользователей которые используют пароли из словаря 1000 самых популярных паролей, только теперь словарь для брут-форса можно будет заменить энциклопедией для детей «1000 самых популярных мест на земле».
Только вот надежность способа меня тоже смущает. Все-таки наверное достаточно большой процент людей будет выбирать в качестве точки на карте какое-то полулярное место или свой дом. И получается что опять придем к тем самым 30% пользователей которые используют пароли из словаря 1000 самых популярных паролей, только теперь словарь для брут-форса можно будет заменить энциклопедией для детей «1000 самых популярных мест на земле».
То есть номер мобильного + серия/номер паспорта+дата рождения это эпически крутой пароль?
Это же простая аналогия пароля по фразе.
Этот метод мало чем отличается от пароля «ЭйфелеваБашняВПариже».
Как раз 20 символов :)
Этот метод мало чем отличается от пароля «ЭйфелеваБашняВПариже».
Как раз 20 символов :)
Как раз хотел написать что у 90% девочек будет Париж :)
у Парижа, кучу координат, где гарантия, что все девочки возьмут одинаковые координаты?
Опрос девочек показал, что кроме Эйфелевой башни и МонМарта, где жила Амели, других мест в Париже не существует.
начнём с того, что координаты будут браться не строгие, а с некоторой погрешностью. Иначе при следующем захоче человек просто не сможет точно указать точку, которую указывал в прошлый раз
Ну есть какие-то «установленые» координаты парижа, википедия вот говорит 48°52′00″ с. ш. 2°19′59″ в. д.
«Ночью наши ученые чуть-чуть изменят гравитационное поле Земли…» © :)
Автор, Вы себе представляете, что такое 10 десятичных разрядов? 10^-10 от длины земного экватора — это 4 мм! Кто с такой точностью сможет что-то выбрать?
Такой пароль легко подсмотреть, тут звездочками не скроешь, да и скорость ввода такого пароля намного меньше скорости набора привычных паролей с клавиатуры.
Господа! Этот метод ввода пароля (а метод предлагает заменить ввод пароля с клавиатуры кликом мышкой по карте) сплошная дырка: Когда мы вводим пароль — мы видим '*', чтобы злоумышленник не подсмотрел из-за спины, а тут нам предлагают показывать злоумышленнику свой пароль и выдают это за великое достижение! :)
Звёздочки — тоже штука сомнительная. Например, я в 95% случаев пароли ввожу дома или на работе, где их никто подсмотреть не может. И был бы рад возможности отключить звездочки в полях пароля.
с тем же успехом можно просто продублировать пароль несколько раз. число занимаемых бит увеличивается, но число вариантов паролей остаётся прежним.
Большинство современных программных кейлоггеров делают скриншот по клику. Так что фейл.
Есть подозрение что словарь для брута со всеми возможными координатами реально сделать в отличие от словаря со всеми словами/фразами.
Думаю что технология не супер, так как в открытах источниках можно нарыть все возможные места жертвы(а иногда и просто спросить наводящим вопросом), составить словари с координатами этих городов и брутить…
Люди, используйте маски! Я еще не забыл ни одного из своих {16,22}-символьных паролей, а они разные на каждом ресурсе.
Расскажи подробнее про маски.
Уже рассказывал, но тоже в комментариях :)
Кратко:
1. Придумываем секретную маску пароля, например, malahov+_*URiNe500.
2. Когда регистрируемся на каком-либо ресурсе, например, на ozon.ru, вместо звездочки мысленно вписываем первую свою ассоциацию с ресурсом. Тут важно именно то, что ассоциация — первая, чтобы потом можно было вспомнить пароль без затруднений. Допустим, для озона ассоциация может быть books, eshop, oxygen3, да что в голову придет. Допустим, пароль получился 'malahov+_oxygen3URiNe500' — 24 символа, включая специальные.
3. Пароль запоминать не надо — когда система спросит у вас пароль, вы сами вспомните недостающее звено в маске. Самый сложный случай у меня — вспомнил пароль с третьей попытки.
…
5. SECURITY!
Из недостатков: нельзя светить свою маску ни при каком случае, это может поставить ваши пароли под угрозу. С другой стороны, кроме вас ваши ассоциации предсказать вряд ли кто сможет.
Кратко:
1. Придумываем секретную маску пароля, например, malahov+_*URiNe500.
2. Когда регистрируемся на каком-либо ресурсе, например, на ozon.ru, вместо звездочки мысленно вписываем первую свою ассоциацию с ресурсом. Тут важно именно то, что ассоциация — первая, чтобы потом можно было вспомнить пароль без затруднений. Допустим, для озона ассоциация может быть books, eshop, oxygen3, да что в голову придет. Допустим, пароль получился 'malahov+_oxygen3URiNe500' — 24 символа, включая специальные.
3. Пароль запоминать не надо — когда система спросит у вас пароль, вы сами вспомните недостающее звено в маске. Самый сложный случай у меня — вспомнил пароль с третьей попытки.
…
5. SECURITY!
Из недостатков: нельзя светить свою маску ни при каком случае, это может поставить ваши пароли под угрозу. С другой стороны, кроме вас ваши ассоциации предсказать вряд ли кто сможет.
Думаете, восьмисимвольных было бы недостаточно?
Тут два варианта: либо кликать будет невозможно сложно, либо брутфорс станет неимоверно легким.
О да! Можно вешать пароль на кошелек вэбмани и «Карты сокровищ» вновь обретут новую жизнь!
Публикация этого поста как-бы серьезно подрывает профит этой конепции.
«не могу зайти в почту, ты не помнишь, как вчера называлась эта чертова гора?» :)
ну в свое время пользовался простым методом для формирования длинного пароля
берется тотал командер или виндоз эксплорер и копируется путь до месторасположения какого либо файла (на усмотрение пользователя) вот вам и пароль минимум в 20 знаков
берется тотал командер или виндоз эксплорер и копируется путь до месторасположения какого либо файла (на усмотрение пользователя) вот вам и пароль минимум в 20 знаков
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Карта мира как генератор надёжных паролей