Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 112
И даем возможность интересующимся подобрать весьма сложный пароль за максимум 29 попыток
Так у карточки же номер есть, по которому можно получить ее содержимое.
А автоматический подбор сделать совсем несложно, вариантов откровенно мало.
столбец — 29
строка с любого символа — еще 168.
строка через один символ — еще 120 и т.д.
Если постараться, тысяча-другая вариантов наберется, но 3844 варианта дает даже обычный ДВУХбуквенный пароль [a-zA-Z0-9]!
К тому же, запоминать алгоритм их нахождения будет все сложнее и сложнее: сравните «пароль к почте — от голубого кружочка с точкой сначала 4 символа наверх и вправо, потом вниз и вправо через один» и «Bz»
Уж проще использовать как пароль телефон своей бабушки, чесслово.
А автоматический подбор сделать совсем несложно, вариантов откровенно мало.
столбец — 29
строка с любого символа — еще 168.
строка через один символ — еще 120 и т.д.
Если постараться, тысяча-другая вариантов наберется, но 3844 варианта дает даже обычный ДВУХбуквенный пароль [a-zA-Z0-9]!
К тому же, запоминать алгоритм их нахождения будет все сложнее и сложнее: сравните «пароль к почте — от голубого кружочка с точкой сначала 4 символа наверх и вправо, потом вниз и вправо через один» и «Bz»
Уж проще использовать как пароль телефон своей бабушки, чесслово.
Нет, ну если вы всем подряд карточку будете показывать, то да…
А так на вопрос: Что это такое?
Ответ: Взялся, межгалактический кроссворд разгадывать…
То и желающих подобрать пароль будет минимум.
А так на вопрос: Что это такое?
Ответ: Взялся, межгалактический кроссворд разгадывать…
То и желающих подобрать пароль будет минимум.
Вы не поняли систему. Порядок движения по табличке и длину пароля вы придумываете один раз и запоминаете навсегда, например, «4 символа по диагонали вправо-вниз, 5 влево» дает 9 символьный пароль.
После чего для каждого сайта вам нужно запомнить только цвет и значок (строка и столбец) откуда начинать. С этого места выполняете «магическую последовательность», получаете пароль.
Если злоумышленник найдет вашу карточку, ему надо подобрать не только начальную позицию, но и направление движения. Например для паролей длиной до 8 символов, которые читаются по прямой это даст уже больше 15000 вариантов. Если разрешить делать один «поворот», то будет около 300000 вариантов. Дальше сами можете считать.
После чего для каждого сайта вам нужно запомнить только цвет и значок (строка и столбец) откуда начинать. С этого места выполняете «магическую последовательность», получаете пароль.
Если злоумышленник найдет вашу карточку, ему надо подобрать не только начальную позицию, но и направление движения. Например для паролей длиной до 8 символов, которые читаются по прямой это даст уже больше 15000 вариантов. Если разрешить делать один «поворот», то будет около 300000 вариантов. Дальше сами можете считать.
160 вариантов начальной позиции + умножаем на 8^7 (если считать что возможно любое направление). Итого получаем 335544320 против 218340105584896 у обычного пароля. Это полный фейл.
Во-первых, 240, а не 160. Во-вторых, что лучше: 500 миллионов вариантов сложных паролей или 218340105584896 вариантов, которые вы не можете запомнить, поэтому используете словарный пароль или телефон бабушки?
Очевидно, что 218340105584896 лучше, потому что 500 миллионов это такой же пшик с точки зрения перебора, как и телефон бабушки.
Увеличьте количество символов, будет вам счастье.
я конечно могу увеличить, но тогда возможные маршруты по этой карточке станут проще, что опять же уменьшит стойкость.
Я уверен, что если такие карточки хоть когда-то войдут в широкий обиход, то проведя исследования по наиболее распросраненным конфигурациям маршрутов, поиск станет даже проще чем перебор по словарю.
Я уверен, что если такие карточки хоть когда-то войдут в широкий обиход, то проведя исследования по наиболее распросраненным конфигурациям маршрутов, поиск станет даже проще чем перебор по словарю.
Точно так же как и с обычными паролями, которые в состоянии запомнить нормальный человек. What's your point?
Смысл этой штуки не в том чтобы сделать супер-пупер пароли, которые никто никогда не подберет. Смысл в том что вам надо запоминать не (количество символов)*(количество паролей), а (количество символов)+(количество паролей), в результате вы можете запомнить и использовать более сложные пароли чем без нее.
Смысл этой штуки не в том чтобы сделать супер-пупер пароли, которые никто никогда не подберет. Смысл в том что вам надо запоминать не (количество символов)*(количество паролей), а (количество символов)+(количество паролей), в результате вы можете запомнить и использовать более сложные пароли чем без нее.
… более сложные пароли, которые превращаются в штуки более простые чем перебор по словарю, в случае, если кто-то увидит вашу карту.
8*29
Ну там же может еще меняться и длина пароля, не обязательно все 8 символов.
Такчто получаем что пароль может быть к примеру от 4 до 8 символов, то это 145 вариантов, facepalm.png )
Такчто получаем что пароль может быть к примеру от 4 до 8 символов, то это 145 вариантов, facepalm.png )
а что обязательно по вертикали пароль себе делать? Обазательно с верху в низ? Можно хоть наискось! Итого… 100500 варантов.
а если карточку потерял?
Главное чтобы они не догадались карандашами свои пароли обводить «чтоб не забыть».
Карточка по ходу состоит из букв и цифр, как же спецсимволы @#$%^&?
Сам лично для генерации и хранения пользуюсь кросс платформенным KeePassX
Сам лично для генерации и хранения пользуюсь кросс платформенным KeePassX
supergenpass.com/faq/ — я нашел это пару дней назад и пожалел, что не нашел этого намного раньше.
Идея с мастер-паролем и автоматической генерацией на основе домена — вот это мощьная штука!
Не походит для банков где приходится менять пароль раз в 2 месяца
Я прежде всего имел в виду, что это элегантное решение, т.к. не нужно хранить пароли отдельно в виду автоматической генерации на основе мастер пароля.
Простота алгоритма позволяет легко портировать его под разные браузеры и платформы.
Вот это мне и понравилось. Хотя, наверное, остальным не совсем, судя по оценкам.
Конечно, это решение не обеспечивает повышенную безопасность даже в сравнении с классическими робо-формами, генерирующими уникальные пароли и хранящими их в своей базе данных. Но я это и не утверждал.
Простота алгоритма позволяет легко портировать его под разные браузеры и платформы.
Вот это мне и понравилось. Хотя, наверное, остальным не совсем, судя по оценкам.
Конечно, это решение не обеспечивает повышенную безопасность даже в сравнении с классическими робо-формами, генерирующими уникальные пароли и хранящими их в своей базе данных. Но я это и не утверждал.
Ну опять же идея «мастер-пароля», узнав который злоумышленник получает доступ ко всем паролям. Это всё не секурно.
Да, но тут немного другая концепция подборки значения для ключа, т.к.пароли не нужно нигде хранить — они подбираются автоматически. Очень элегантное решение.
А для полной безопасности пароли ко всем ресурсам должны быть уникальными, соотвествовать параметрам безопасности (знаки алфавита, цифры, специальные символы, минимальная длина), периодично меняться и храниться в голове :)
А для полной безопасности пароли ко всем ресурсам должны быть уникальными, соотвествовать параметрам безопасности (знаки алфавита, цифры, специальные символы, минимальная длина), периодично меняться и храниться в голове :)
Надо к сгенеренным паролям добавлять еще и что-то свое.
Ещё давно на хабре обсуждали разнообразные онлайн и офлайн менеджеры паролей и в итоге я пришел к выводу что supergenpass.com — самый оптимальный. Очень удобно и секурно :)
С одной стороны, и пароль в голове хранится, а с другой — защищён от кейлогеров в общественных местах.
С одной стороны, и пароль в голове хранится, а с другой — защищён от кейлогеров в общественных местах.
у меня не взлетело. Выяснилось, что как раз домен я и не помню как записыва — с ввв или без? хттпс или нет? Слэш на конце есть или нет? mail.google.com или gmail.com?
В итоге пользуюсь lastpass )
В итоге пользуюсь lastpass )
домен приактически никогда не надо вбивать. у меня по крайней мере работа с supergenpass происходит в несколько нажатий, без мышки даже —
— Cmd-2 (вызываю букмарклет)
— ввожу мастер пароль
— Enter — supergenpass генерирует пароль для этого домена, вставляет в форму, переводит фокус на форму
— Enter — отправляю форму.
— Cmd-2 (вызываю букмарклет)
— ввожу мастер пароль
— Enter — supergenpass генерирует пароль для этого домена, вставляет в форму, переводит фокус на форму
— Enter — отправляю форму.
А последние события 4 мая не пугают еще?
я пользуюсь Password Composer — аналогичный скрипт для greasemonkey. Работает в Firefox и Chrome, тоже javascript внутри
все-равно не секьюрно. К слову — недавно читал на хабре про swivelsecure. Но там несколько иной принцип, и оно не существует в таком решении как названное Вами
О том, что это карточка-указка для паролей, ещё нужно догадаться. Я бы, наверное, не сразу понял, что это, если бы случайно заметил такую штуку.
Думаю, эту карточку надо распечатать в небольшом нецветном варианте с простой нумерацией столбцов и строк. Если такой листок бумаги кто-то найдёт случайно, догадаться, кому это принадлежит, тоже может быть весьма непросто.
В принципе, идея интересная.
Думаю, эту карточку надо распечатать в небольшом нецветном варианте с простой нумерацией столбцов и строк. Если такой листок бумаги кто-то найдёт случайно, догадаться, кому это принадлежит, тоже может быть весьма непросто.
В принципе, идея интересная.
Днем в ЖЖ, к вечеру на Хабре?
Тем не менее, Хабр — не место для копипасты.
Только вот на хакер.ру эта новость от 26 апреля. А как только сегодня в жежешечке опубликовали — так и на Хабре появилось. Спасибо за слив — видимо, кому-то правда очень колет глазки…
Тю, да не вопрос. поставил ссылку на жж, если у вас с чсв что-то не то
Весь пост просмотрел еще раз — и по вертикали, и по горизонтали, и по диагонали… Ну не вижу в посте ссылку ни на ЖЖ от 10 мая, ни на хакер.ру от 26 апреля. И даже на ту публикацию, от 23 апреля, откуда взял хакер.ру, с сайта лайфхакер.ру. Видимо, у меня уже с возрастом зрение слабое стало…
Насчет моего ЧСВ не беспокойтесь, как-нибудь попробую пережить. Тем более, что я не являлся автором ни одной из этих заметок. Удачи Вам!
Насчет моего ЧСВ не беспокойтесь, как-нибудь попробую пережить. Тем более, что я не являлся автором ни одной из этих заметок. Удачи Вам!
ппц, пока прочитал уже успели хабраддос сделать… выложите скриншот )
скрины в ЖЖ есть ru-lifehack.livejournal.com/100994.html
Есть специальный термин: Хабраэффект:)
А что, в 2011 где-то еще брутфорсят? Ох…
Всё, положили сайт. Отдыхает.
Никогда не понимал, в чём сложность нагенерить себе кучу нормальных паролей, которые сложно забыть. Выбираем тему, пускай это будет Хабр, и поехали:
Пользуюсь этой схемой давно и пароли пятилетней давности я сейчас вспомнил с лёгкостью.
- ТабыПротивПробелов
- Ализар-ЖелтыеЗаголовки Ализар, прости, просто навязанная коллективом ассоциация
- КармадрочерЭтоПлохо!
- ППА-ПрограммаПоддержкиАвторов
Пользуюсь этой схемой давно и пароли пятилетней давности я сейчас вспомнил с лёгкостью.
Идея хорошая. Можно такое и сделать… Только генерировать исключительно самому, без помощи посторонних программ. И выбирать символы пароля по сложному «маршруту».
Пользуюсь похожей схемой, только таблица у меня своя, созданная в Exel и со спецсимволами. Высматривать комбинации не просто, но зато это стимул запомнить пароли )
так и вижу нашего буха, у которого будет на столе лежать такая карточка с отмеченными ручкой символами, причем в том порядке, в котором их нужно вводить, чтобы не запутаться)))
А в целом идея очень понравилась, здорово придумано!
А в целом идея очень понравилась, здорово придумано!
Все бы хорошо, но у меня более 50 сайтов в 1Password и как мне запомнить к какому из них какая рожица соответствует? :(
Лет 8 назад открывал счет в банке. Там дали такую пустую карточку, записал туда кодовую комбинацию в известном мне порядке и заполнил остальное буквами. В итоге через год нашел на ней комбинацию после того как вспомнил что было.
Картинка крупновата, потому ссылкой.
habreffect.ru/files/f56/7a74721a1/snag_110510_202044.png
habreffect.ru/files/f56/7a74721a1/snag_110510_202044.png
Проще всего придумать правило для генерации пароля с использованием, скажем, имени сайта. Ну, например, строить пароль так:
Ya+hochu+zajti+na+[имя сайта]
То есть для Хабра будет Ya+hochu+zajti+na+habrahabr
Для Гугла Ya+hochu+zajti+na+google
Весьма стойко — пароли получаются длинные, подбором их взять нереально. Запоминается очень легко, не надо записывать. На разных сайтах — разные пароли.
Ya+hochu+zajti+na+[имя сайта]
То есть для Хабра будет Ya+hochu+zajti+na+habrahabr
Для Гугла Ya+hochu+zajti+na+google
Весьма стойко — пароли получаются длинные, подбором их взять нереально. Запоминается очень легко, не надо записывать. На разных сайтах — разные пароли.
Фигня в том, что если произойдёт утечка паролей с разных сайтов на в руки злоумышленника, то систему будет несложно разгадать.
В теории это, конечно, проблема. Но на практике это означает, что:
а) были атакованы сайты, хранящие пароли в открытом виде;
б) пароли с разных сайтов попали в руки одних и тех же злоумышленников;
в) они аггрегировали пароли по имени пользователя;
г) они либо специально рассматривали один аккаунт и изучали пароли к нему, либо прогнали какой-то хитрый скрипт, который выискивает закономерности.
Как мне кажется, это на сегодняшний день маловероятный сценарий.
а) были атакованы сайты, хранящие пароли в открытом виде;
б) пароли с разных сайтов попали в руки одних и тех же злоумышленников;
в) они аггрегировали пароли по имени пользователя;
г) они либо специально рассматривали один аккаунт и изучали пароли к нему, либо прогнали какой-то хитрый скрипт, который выискивает закономерности.
Как мне кажется, это на сегодняшний день маловероятный сценарий.
Это только если в БД хранились пароли в незашифрованном виде.
А если, например, было MD5, да еще и с «солью» — то особой опасности я не вижу.
Хотя с другой стороны — кто его знает, как там хранятся наши данные. Не спросишь же админа каждого ресурса в лоб: «Хэй, чувак, а ты хоть хэш моего пароля хранишь или брезгуешь?»…
А если, например, было MD5, да еще и с «солью» — то особой опасности я не вижу.
Хотя с другой стороны — кто его знает, как там хранятся наши данные. Не спросишь же админа каждого ресурса в лоб: «Хэй, чувак, а ты хоть хэш моего пароля хранишь или брезгуешь?»…
Офигенно! Просто классная идея!
Но на хабре спокойно никак, тут же стервятники. 29 вариантов ла-ла. То, что вариантов может быть гораздо больше, уже сказали. А вот то, что необязательно на этом составлять пароли к каким-либо мега крутым серверам с 10 млн записей кредитных карт вас никто не заставляет.
Но на хабре спокойно никак, тут же стервятники. 29 вариантов ла-ла. То, что вариантов может быть гораздо больше, уже сказали. А вот то, что необязательно на этом составлять пароли к каким-либо мега крутым серверам с 10 млн записей кредитных карт вас никто не заставляет.
Отличная идея. Для ходовых вещей — самое-то. И тем более очень эстетично.
Вот! А в 2004-м мне говорили, что это «костыль»… :)
forum.ixbt.com/topic.cgi?id=40:2337:12#11
forum.ixbt.com/topic.cgi?id=40:2337:12#11
Была подобная идея — выгравировать случайную комбинацию букв, цифр и спецсимволов на внутренней стороне кольца.
И для пароля на какой нибудь сайт надо только первые 2 символа запомнить + его длину. :)
И для пароля на какой нибудь сайт надо только первые 2 символа запомнить + его длину. :)
Лично я использую 1Password и помнить мне приходится только один пароль, я даже не представляю какого труда мы мне стоило помнить какая именно картинка к какому паролю относится (а у меня в данный момент 52 пароля в базе).
У меня товарищь паранок вообще носит флешку с собой, с криптованным разделом на ней, на криптованном разделе разные документы и таблички, в которых соотв. все пароли и другая личная инфа. Таким образом только он обладает своими паролями и помнит в голове один длиннющий пароль чтобы смонтировать криптованный раздел. Вот как-то так. Минусы — утеря флешки или её выход из строя. В остальном вроде круто.
те пароли, которые реально надо запомнить можно составлять из любимых цитат, например так:
Берем первые буквы слов цитаты, причем если слово — глагол, то берем большую букву, цифры пишем цифрами, что-то по вкусу заменяем спец-символами.
Пример:
Берем цитату «Сорок процентов доцентов говорят портфель с карманами», получаем пароль «40%dGpsk» и вспомнить такой легко, и подобрать довольно сложно.
Берем первые буквы слов цитаты, причем если слово — глагол, то берем большую букву, цифры пишем цифрами, что-то по вкусу заменяем спец-символами.
Пример:
Берем цитату «Сорок процентов доцентов говорят портфель с карманами», получаем пароль «40%dGpsk» и вспомнить такой легко, и подобрать довольно сложно.
или так еще
А нет никакого смысла в этой карточке. Если делать «правильно» и на всех ресурсах разные пароли использовать, то карточка сильно неудобна в использовании. И небезопасна.
Я за lastpass + usb-ключ с цифровым сертификатом.
А пару-тройку основных паролей намного проще и надежнее сгенерировать от [песни/текста/контакта в телефоне] по тем алгоритмам, которые знаешь только ты сам.
Я за lastpass + usb-ключ с цифровым сертификатом.
А пару-тройку основных паролей намного проще и надежнее сгенерировать от [песни/текста/контакта в телефоне] по тем алгоритмам, которые знаешь только ты сам.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Оффлайновый способ хранить пароль