Как стать автором
Обновить

Комментарии 40

НЛО прилетело и опубликовало эту надпись здесь
Да ладно, даже такие бесполезные вещи как навоз, пепел и сажу используют в качестве удобрений. Так что и эта статья по этой теме будет кому-нибудь полезной.
Такой алгоритм уже давно используется. В частности, я его встретил в ПО для сдачи налоговой отчетности 5 лет назад. А это уже много говорит о его новизне.
Кстати, гораздо более интересным мне показался способ, который озвучил один из старожилов линуксфорума. В нем берется не какая-то неизвестная или бессмысленная фраза, а строка из любимой пользователем песни. Ну а потом уже ее содержимое переводится в латиницу, и начинаются всяческие замены типа S->$, смены регистров и т.п.
Конечно, этот способ не проканает для промышленного применения, но для личных целей хватит :)
Хех, а я до такого сам додумался :)
на хабре видел статью, где хабраюзер предлагал для каждого сайта/сервиса примерно такой алгоритм:

1. берем стишок или песню
2. выдираем первые буквы слов, заменяя при этом i на 1, s на $, например
3. в начале ставим первую букву доменного имени, в конце — предпоследнюю

таким образом у нас получается для каждого сервиса свой пароль+простота запоминания
Не всегда пароли подобные 12345678 являются признаком неосторожности. Есть сайты, которые человеку совершенно не важны, но чтобы добраться до заветной страницы от него требуют зарегистрироваться. Вот и используют для таких сайтов какой-то очень простой пароль. Сам так делаю (хотя мой пароль для таких ситуаций все-таки сложнее :) ).
Я работаю над проектом государственной важности, больше 100 тысяч пользователей. В один прекрасный день, когда руки дошли и до этого, оказалось, что более 5 тысяч используют пароли «12345678», «qwertyui» и им подобные. Пришлось делать проверку, чтобы в пароле были цифры, строчные/прописные буквы, спец. символы. Так что пока пользователей не заставишь, они будут ставить простые пароли.
А на будущее вам еще такой сценарий ;)

Пользователю надо что-то сделать, но он не может (причину додумаем сами). Он сообщает логин и пароль от системы государственной/коммерческой важности своему коллеге посредством личной электронной почты на бесплатном домене а-ля mail.ru. Коллега выполняет задание. После этого:
а) второй пользователь знает данные авторизации первого пользователя;
б) в двух ящиках электронной почты хранятся данные авторизации первого пользователя (по заведенному обычаю письма не удаляются вообще).
Очень часто у одного из этих пользователей паролем к личному ящику или ответом на секретный вопрос являются цифровые данные (дата рождения/номер паспорта/длина волос и т.п.), которые можно получить даже не из специализированных баз, а из профилей этого пользователя в социальных сетях.

Так что помните, что кроме простых паролей в информационной безопасности есть еще много-много узких мест :)
Ага. ИБ это все таки система, а не только логин-пароль. Ну и как тут не вспомнить социальные технологии. С нынешним ростом количества юзеров и возможностей спалить конфиденциальные данные это еще отдельной работы требует.
Спасбо за сценарий ;) Я могу вам еще много таких написать.

Авторизация на сайте производится с помощью RSA сертификатов. Так они сертификаты передают друг-другу, а не только логины/пароли.

Наших пользователей может быть спасут биометрические датчики )
Наших пользователей может быть спасут биометрические датчики )

Скорее ваши данные от ваших пользователей эти датчики спасут :)
А для чего, у вас в «сайте государственной важности» пароли пользователей хранятся в таком виде, что их можно посмотреть?
Пароли хранятся в md5. Сделать md5('12345678') и поискать по хэшу никто не запрещает
Так в том и дело, что наличие простого хэша с md5 ненамного лучшее решение, чем хранить пароли открыто.
Я знаю. Но это я знаю СЕЙЧАС, а не 3 года назад. Москва не сразу строилась, и не все сразу специалистами становились.
Хранятся хеши паролей
FROM sys_users WHERE password = SHA1( '12345678' )

Другой вопрос: почему без соли?
FROM sys_users WHERE password = SHA1(xxx+ '12345678' )
тоже можно проверить быстро
Пережитки прошлого. Сейчас переделывать уже никто не будет
Большая гора родила мышь.
Каспийское море поглощает волгу ;)
Вариант 2 противоречит базовым принципам ИБ.
Если робот случайным образом сгенерирует пароли и никому их не скажет кроме пользователя, то не противоречит
Статье я поставил плюс, т.к. это все же собственный контент, а не копипаста очередной новости с реддита.
Но повторюсь, выдача пользователю пароля противоречит основным принципам ИБ. Пароль не должен передаваться по открытым каналам связи (http, почта), никогда не должен появляться в открытом виде другими способами — на экране, бумажке и т.п. Пароль — это то, что пользователь знает. Но не знает никто, кроме него, даже робот. Если есть алгоритм, то сила пароля остается лишь в ГСЧ, а найти настоящий ГСЧ, особенно для сайта, совсем непросто.
А я дал инвайт за эту статью.
Парни, прежде чем минусовать, подумайте:
1. Статья, очевидно, результат личных поисков автора
2. система реально действующая и прошла, очевидно, не одну защиту от дурака. В данном случае это еще тонкая область совместимости психологии среднего юзверя с девелопером (традиций в различных мало похожих областях)
3. все можно сделать намного лучше, чем это сделано и работает сейчас
4. Ну велосипед, возможно. Ну и чо? :) Мой велосипед, чем хочу тем и мажу…
5. Сам привык отвечать за серьезные проекты и понимаю, что когда на первое место выходит реальная промышленная эксплуатация то многие вопросы просто нельзя даже пытаться реализовать
6. Тема интересная, и пока я не видел системы, которую захотел бы предложить своим юзерам (геологам). Реально пока в серьезных системах с паролями жуткий бардак. Безопасники не знают на чьей ж… волосы рвать — на своей или юзверской. У самих такие же бумажечки в тайничках расклеены.
7. От умного человека ждут что он придет и сделает чтобы работало. Что мы и имеем.
Вот. Так что лучше меня поминусуйте, а парню первую публикацию не валите!
А вот светило криптографии Брюс Шнайер сказал, что если человек не может запомнить сложный пароль, то его следует записать на листике и хранить в бумажнике :) Это по поводу бумажек в тайниках.
А по поводу безопасников и ж..: следует помнить, что обеспечение информационной безопасности — не только составление хороших паролей и слежение за тем, чтобы их не разбрасывали. Обеспечение информационной безопасности — комплекс мер, включающий в себя как технические, так и административные и инженерные способы защиты информации. Забываете пароли — пишите на бумажках. Но бумажки храните в сейфе. Разбалтывают сотрудники пароли — накажите их рублем, и они станут намного осмотрительнее. Люди недовольны сложностью системы — проанализируйте ее и, возможно, вы найдете способ упростить систему защиты, пользователи скажут вам спасибо, вы потрогаете какие-то дополнительные технологии: все в плюсе :)

Автору хочу сказать, что информация подана грамотно, интересно. Так держать :)
Сгенерируйте вашим способом штук 10-20 паролей, а мы проверим их на сложность.
термоядерное городище покашляет мечтание

nthujhgjrvtx
NTH@ujhgjrVTX
ntH!ujH@gjR#vtX$
Nth1@Ujh2#Gjr3$Vtx4%
вихриснежныекрутя и запелкакпулемет
Из этого что получится, интересно :)
насколько фантазии хватит )

db[cytrhepfggek (и и как я не учитываю)
DB{cytRHEpfgGEK
Db[!Cyt@Rre#Pfg$Gek
Пароль               | Сложность            | Эффективная длина
                     | (passwordmeter.com)  | (KeePass)
---------------------+----------------------+--------------------
nthujhgjrvtx         | Very Weak (13%)      | 46 bits
NTH@ujhgjrVTX        | Strong (77%)         | 72 bits
ntH!ujH@gjR#vtX$     | Very Strong (100%)   | 93 bits
Nth1@Ujh2#Gjr3$Vtx4% | Very Strong (100%)   | 111 bits

Очень внимательно следует отнестись к формулировкам правил. Если есть два варианта трактовки, по закону подлости пользователь выберет неправильный :) Например:
Вводить первые три буквы каждого слова на английской раскладке

Может быть понято как «ввести первые три буквы транслитерации» или как «ввести три русские буквы, переключив раскладку на английскую».
Мы не формализуем правила, мы оставляем это пользователю. Пусть он сам для себя придумает, что он будет менять во фразе и на что. Может он будет сдвиг использовать и пароль запомнить и так. А фраза нужна всего лишь для подсказки
Ничего не понял. Получается, система генерирует фразу и говорит юзеру: «а теперь-ка, дружок, придумай к этой фразе правила, получи по ним пароль и введи сюда». А как проверяется, что пользователь не забил на все премудрости и не ввел «12345»?
Генерируется фраза и дается самый просто вариант, что первые три буквы каждого слова вводятся в английской раскладке. Кто не хочет думать, берет этот пароль и все. А кто хочет, придумывает свои правила и так далее.

Тем более это рекомендации, мы не можем прям заставить пользователя пользоваться этими правилами, но с другой стороны, их наказывают за простые пароли, и тем более, за записанные на бумажке.
Хм, вы действительно считаете, что «покашляет мечтание» или «настрогает антиглобализм» хорошо запоминаются? Это прочитать-то сложно с первого раза. И к тому же, что-то мне подсказывает, что «настрогает» будет постоянно писаться с ошибками. Этот принцип может и более стойкий, но менее запоминающийся. Вы еще туда словарные слова добавьте, типа «винегрет», вот шоу-то будет. Может хоть людей писать правильно научите.
вихриснежныекрутя
> вводить первые три буквы каждого слова на английской раскладке;

Я пользуюсь раскладкой Дворака. При логине мне придётся перенастраивать раскладку.
К сожалению, про Дворак я только слышал и ни разу в глаза не видел. Так что про Дворак ничего сказать не могу, видимо, метод работать не будет.

Единственное, что рядовые сотрудники, наверное, даже и не слышали про Дворак.
Вы же для государственных целей делаете проект. Поэтому accessibility это одна из первых задач.

Ладно я, ведь я в принципе могу поменять раскладку, пусть это неудобно и долго. А вот люди, которые пользуются айтрекнгом через Dasher? Они вообще раскладку не знают, ни русскую, ни английскую. (Вводить могут любые символы) Перекодировка рус -> qwerty для них будет просто камнем преткновения.
Тут в комментариях произошло маленькое недоразумение: пример с гос. проектом я просто привел к тому, что и на таком важном проекте люди ставят пароли вида «12345678». На этом гос. проекте эта система не используется, там просто стоит проверка на сложность пароля и периодическая смена.

А эту систему мы вводили на моей предыдущей работе в компании на 150 человек, на нас троих админов-эникейщиков. Там люди таких страшных слов как Дворак и Дашер даже не слышали, впрочем как и я тогда :)

Для Дашера эта система не подходит. Для таких людей надо придумывать что-то другое. Что именно, мне в голову не приходит, потому что я ни разу не видел этой системы. Посмотрел сейчас что такое на википедии и все.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории