Комментарии 71
Диктовать пароль коллеге — лютый кошмар любого специалиста по информационной безопасности. Если вы с этим столкнулись, значит где-то что-то работает не так как должно.
Тем более, если речь идёт о своём личном пароле. Я свой пароль вообще никому не говорю. Даже своей девушке. Если что-то нужно расширить, есть нормальные способы.
Менеджеры паролей уже во все браузеры завезли.
Только одна проблема — таким способом мы сдаём все наши доступы Гуглу/Яббл/MS, хотя у них доступы и так есть, и без паролей ) но с менеджерами паролей — наверняка есть
Зачем вообще менеджеру паролей сервер?
P2P синхронизация данных между различными девайсами работает часто так себе, особенно если ни у одного из них нет постоянного белого IP, а если есть...
Стандартные браузерные менеджеры паролей слишком небезопасны. Если у человека есть пароль от учётной записи в системе, получает доступ вообще ко всем вашим паролям. А если учётка не запаролена, то пароли остаются вообще без какой-либо защиты.
Вот только работают они часто так себе, особенно если сайт им активно противодействует. Ну и кроме сайтов есть ещё много мест, куда пароли нужно вводить.
При этом, если паранойя не отпускает, хранилке заблокировать доступ в инет (и не обновлять версии, пока не станет известно о её компрометации), а файл паролей назвать как-нибудь невинно.
На бытовом уровне — сгодится. А предложенный способ пригоден только умозрительно, без практики. На практике же оказывается, что всяких мелких мест, куда надо всё же заходить с паролем, 100500, и на всех делать пароли по предложенным рецептам, мягко говоря, утомительно.
Для некритичных паролей вполне хватает браузера — я Вивальди пользуюсь — там и генератор и запоминалка, у меня везде все пароли разные.
В Германии бундесминистерство рекомендует вот такой путь:
делается вот такая полоска:
и запоминается ключевое слово (Schaukel — это качели по-немецки), которое трансформируется в пароль вот так:
Ключевых слов может быть и несколько, либо имя сайта использовать — тут уж по вкусу.
Четыре стартовых символа нужны, чтобы в пароле были все виды символов.
Недостатки ограниченного набора с точки зрения подбора понятны, но всяко лучше, чем «12345».
А на работе у меня злобный админ заставляет менять пароль раз в квартал, причём символы в новом пароле не должны стоять на тех же местах, что и в старом, последние сколько-то паролей не должны повторяться, ну и куча других правил до кучи.
В качестве противоядия я запомнил удобную компактную комбинацию на клавиатуре и раз в квартал сдвигаюсь на одну клавишу вправо. Ну то есть, скажем начальный пароль «ESQ13cxa»2", затем будет «RDW24vc§3», потом «TFE35bv$4» и так далее. Набирается одной левой рукой с периодическим зажатием шифта. После достижения правой границы клавиатуры всё сначала. Пользуюсь уже лет десять, наверное. При этом если вы попросите меня его написать, я это так запросто и не сделаю, поскольку тут просто моторика — рука сама помнит комбинацию, а в голове этих символов нет — мне нужно помнить только первую букву, которую в случае прогрессирующего склероза вполне можно повесить на липучке перед глазами. Плюс и в том, что я набираю эту комбинацию очень быстро, так что могу делать на виду у кого угодно. Единственная проблема — после долгого отпуска (ну или с бодуна) руки могут вспомнить движения с трудом.
Не факт. Можно в новом пароле пробрутфорсить 1000 вариантов при создании (займет доли секунды) и сравнить хэши со старым хешом (или старыми хешами, если за несколько периодов).
Что, впрочем, ни разу не извиняет дикие требования — я б трехнулся так пароль менять. Уверен что у пол компании пароли записаны на бумажке под клавой, у второй половины в заметке в телефоне, и ещё часть постоянно теребит саппорт с просьбой сбросить им пароль на дефолтный (и есть гипотеза что социнженерия на такой сброс может весьма недурно сработать).
Вообще работа в большой корпорации — это поле чудес. Скажем, у меня корпоративный ноут никак не цеплялся к одной из точек доступа в одной из переговорок — всегда отлуп в доступе отказано. Я пошёл к местному эникейщику, что б он логи глянул, но он сказал, что у него вообще ни к чему доступа нет, так что я должен открыть тикет, чтобы админ из одной очень жаркой страны залогинился удалённо и настроил (и он это таки сделал, только заняло это почти две недели).
Я тоже из больших компаний, так что немного знакомо. Хотя до такого зашквара у нас не доходит — это прям ну совсем пипец. Удивительно ещё что тот админ всего за две недели решил вопрос, если уж так получилось что все на него завязаны то он по идее вообще должен быть на год вперёд завален работой...
Админ просто настроил политику паролей в домене, ничего в открытом виде он не хранит.
Такая самодеятельность поехавшего сисадмина сделает только хуже. Люди начнут хранить пароли на листочках под клавиатурой.
И брутфорсом некоторые тоже балуются. Однажды (лет 10 назад) в одной крупной компании за 2 недели забрутфорсили мой довольно слабый пароль и попросили поменять.
сиандартная доменая политика винды.
У нормального админа в политиках стоит "Минимальный срок действия пароля" установленный, например, в 1 день или больше, так что смена 15 паролей равна по длительности 15 х (значение этого поля)
Т.е. если я установил новый пароль и скомпрометировал его, мне надо ждать день, чтобы его поменять?
У нормального админа в политиках стоит "Порог блокировки учетной записи" — Неудачных попыток входа: X и "Время до сброса счетчика блокировки". По PCI DSS — X=5, а время — бесконечности. По умолчанию — не помню. Вы же говорите про домен и Active Directory? Так наберите неправильный пароль X раз в Вашем случае, эккаунт заблокируется и будет время для связи с сисадмином
У нас политика такая же дикая. И сравнительно недавно сделали авторазблокировку через полчаса. А так три раза ошибся и иди на поклон своему руководителю на согласование сброса пароля.
А метод смены у меня аналогично по мышечной памяти и смене двух произвольных знаков. Меньше не хочет. Это наверное мелкософты сделали такую политику.
Легче строчку-две из любимой песни запомнить, чем набирать тарабарщину, которую при необходимости без таблицы не вспомнишь
Но есть и менее очевидные способы: использовать номера своих прошлых автомобилей (автомобилисты почему-то их хорошо помнят), трек-код зафиксированного заказа в инет-магазине (удобно тем, что всегда можно зайти браузером и скопировать) и так далее.
Номер автомобиля мало того, что просто короткий, абсолютно шаблонный, имеет очень ограниченный набор символов, так ещё и через базы пробивается, хуже не придумаешь.
Трек-код, в целом, такой же. И откуда вы его хотите копировать-вставить на экране входа в систему?
Чем подобные варианты лучше 20-30 символов которым грозит лишь утечка, да прямой перебор? Конечно это уступает случайному набору символов в надёжности, но на голову проще в запоминании и использовании
очень ограниченный набор символов, так ещё и через базы пробивается, хуже не придумаешь.Я не зря написал и подчеркнул слово «прошлых». У многих автомобилистов в истории несколько автомобилей, номера которых — помнятся, не вытравишь. Из двух номеров уже получается достаточно длинный пароль и с буквами, и с цифрами. То, что это именно номера — нужно ещё догадаться, а по базе пробивать автомобиль, проданный 15 лет назад — ха :-)
Чем подобные варианты лучшеТем, что ничего дополнительного запоминать не нужно.
Но, замечу — это всё плохо, на самом деле. Действительно удобный на бытовом уровне способ другой, я описал его в комменте выше.
Потерял таблицу — потерял доступ
Сказано же ведь как лучше хранить.
Достаточно один раз запомнить или записать число, и по этому числу можно будет восстановить и заново распечатать парольную карточку.
Теперь когда алгоритм всем известен — ваши пароли легко сбрутфорсить
Сложно… Стихотворений много, использоваться может не первая строфа. Тут социнженерия нужна типа какое стихотворение твоё любимое. А может там и песня… А может не любимое используется, а ассоциируемое с компьютерами и/или безопасностью. Или вообще специально выученный отрывок
А ещё, я всегда с собой ношу «шар №8» и цитирую Кафку.
Прием любопытный, но только если использовать для входа в комп или смарт, мастер-пароль. А не на все подряд сервисы. Типа этого я использую цифровую клаву + на буквенной — для каждой свой шаблон.
меняю переодически, когда выхожу с др.компа, редко, но тогда восстанавливаю пароль, создаю новый, куда-то записываю и потом снова не могу найти, а оно и не надо, т.к. страницы везде открытые. Вот, самый реально работающий способ и надежный. Уже больше год практикую. Меняю пароль раз в пару месяцев +- 1-2 месяца. И все ок:) Но, у Вас в таблице harder символы, чем у меня и это скорее сработает на 1000 и 1 процент;) Сспасибо за статью, было интересно и полезно.
Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их