Комментарии 37
Для одноразовых регистраций и прочего шлака, уже есть же bugmenot, вообще не надо заморачиваться с придумыванием пароля. Но, это так, к слову
Сейчас вроде как тенденция на замену паролей смсками. Мне лично не нравится эта тема, т. к. мне проще сгенерить пароль и сохранить в LastPass или на крайняк в браузере. Пароль к тому же проще восстановить по эл. почте, если забыл. А если номер сменишь или потеряешь симку, пойди потом докажи, что это был ты. Да и вообще сообщать каким-то непонятными чувакам номер телефона не хочется. Но маркетологам плевать, им лишь бы больше людей зарегалось (к примеру, Озон).
Проблема в том, что уже с десяток лет как сайты перестали делиться на важные и не важные (для тебя самого). Т. е. раньше можно было зарегистрироваться в каком-нибудь "блоге Васи Пушкина" с паролем 1234 и ничего страшного бы не произошло бы.
Однако, сегодня твой емейл/логин/телефон и куча других данных гарантированно есть в базах зловредов. Это приводит к тому, что любой аккаунт с простым паролем будет мгновенно взломан - причём автоматически, роботами.
И вы скажете что и фиг с ним, там де ничего важного... Только вот такой аккаунт начинает генерировать тонны спама. В особо тяжёлых случаях - может даже использоваться для регистрации на других сайтах. Вишенкой на торте будет ещё и если емейл вы использовали такой же "не нужный" и даже не смотрите что туда пишут.
В итоге мало того, что спамят вам - все это ещё и засирает спамом и сами сайты, влияет на их позицию в поиске, жрёт трафик/процессор и деньги - в итоге просто вынуждает владельца как-то с этим бороться.
Т. е. в конечном итоге требования к паролю - они не для защиты вас. Они больше для защиты ОТ вас.
Менеджеры паролей удобны - я давно привык к Keepass2, генерит пароль какой хочешь и сохраняет, плюс можно использовать даде как записную книжку. Сам файл пароля шифруется, и хранить его можно как локально, так и в облачном диске. Ну и что добавляет удобства - поддерживаеь отпечатки пальцев в мобильном клиенте и быстрый пинкод, который дает только одну попытку - быстро открывается, копируется-вставляется пароль и закрывается. Вещь, в общем, незаменимая.
А касаемо состава пароля - меня жестко выбешивает обязательное требование спецсимволов. Человек, знакомый с вышматом (видимо, многие разрабы вместо матана гоняли пивас в парадных в юности) знает, что число вариантов перебора пароля - равна длине алфавита в степени, равной доине пароля. Рост числа степени гораздо быстрее усложняет пароль, чем рост основания. То есть лучше удлинить пароль на пару знаков, чем применять спецсимволы. И при этом пароль с нестандартными буквоцифрами еще и запомнить сложнее будет) Проще знакомые понятия и слова комбинировать в длинные пароли, чем запоминать горку поменьше, но с полной кашей. И бесполезно объяснять людям, что это безопасно - люди не хотят возиться с этим геморроем. Пытаясь победить нежелание сервисы сами себе создают кучу проблем.
То есть лучше удлинить пароль на пару знаков, чем применять спецсимволы
Ну вообще в идеальном мире будет измеряться энтропия пароля. Но, видимо, это задача слишком сложная для большинства сервисов, проще стандартное "Минимум одна буква в другом регистре, цифра и спецсимвол" сунуть.
Его форк KeePassXC показался мне более удобным. Тем более там есть плагины для браузера - упрощает вводи и запоминание паролей
Hidden text
- Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
- Розы.
- Извините, в вашем новом пароле слишком мало символов!
- Розовые розы.
- Извините, пароль должен содержать хотя бы одну цифру!
- 1 розовая роза.
- Извините, не допускается использование пробелов в пароле!
- 1розоваяроза.
- Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
- 1гребанаярозоваяроза.
- Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
- 1ГРЕБАНАЯрозоваяроза.
- Извините, не допускается использовать несколько заглавных букв, следующих подряд!
- 1ГребанаяРозоваяРоза.
- Извините, пароль должен состоять более чем из 20 символов!
- 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
- Извините, но этот пароль уже занят!
Мне кажется, что вставка какого-нибудь ASCII-символа в пароль типа такого: "░" решает проблемы с безопасностью практически наверняка.
Не секрет, что чем сложнее пароль, тем легче его забыть.
почти все сервисы просят невероятно сложный пароль:
- Не менее 6-8 символов
- Маленькие и заглавные буквы
- Числа и специальные символы
Со всем этим я столкнулся первый раз, когда более тридцати лет назад внедряли Unix SCO. Там тоже SCO требовала пароль по этим правилам. Всё это было впервые, в диковинку. Фантазии не хватало, но здесь на помощь приходила сама система, предлагая сгенерировать пароль. Вот и для меня Unix SCO сделал пароль. По-началу это было невозможно запомнить и периодически его приходилось создавать заново. Но потом каким-то образом я запомнил один из паролей до автоматизма и вот уже более 30 лет пользуюсь им. Если его произнести вслух для кого-то, то любой скажет что это за бред. но он у меня сейчас и в голове и в пальцах. Ни на одной бумажке он у меня не записан. За все эти годы использования этого пароля никаких неприятностей я не испытал. И Unix SCO всегда вспоминаю добрым словом.
Проверьте его на утечки. Я почти уверен что все не так хорошо, как вы думаете. Что-то типа: https://haveibeenpwned.com/Passwords
Кому интересны дополнительные мысли, можете прочитать их в статье, которые писал для корп.сайта: https://social.efko.ru/social/group/6929e6d5-0b08-485e-a459-16eddf175ad2/posts
Сенсей, я проверил свой новый пароль в гугли он ничего не нашёл.
Ссылка выше на общий тренд. Сама статья вот:
https://social.efko.ru/social/post/8b9111f9-7fc8-4091-a6f7-41eabfde8321
Для множества разных сайтов вы все равно не удержите в голове простые пароли.
Использовать один для простых сайтов - нелепо какие бы простые они не были.
Значит нужен пассворд менеджер или хотябы блокнот. А если заглядывать в блокнот, то какая разница что из него копировать - "мойпароль" или "LKSJD@#$*ISJHFD" ?
Так зачем же заставлять пользователя сразу придумывать сложный пароль?
Можно не заставлять, предлагать пользователю автоматически сгенерированный пароль, который он копирует и вставляет себе в пассворд менеджер.
А когда этот пароль ещё требуют менять каждые 2 месяца.
При этом для работы в рамках одного (логически) сервиса надо несколько аккаунтов, менять надо везде.
При этом еще и нужно прописывать пароль в переменные окружения(!).
Ведь не может же получится что люди в таких случаях используют одинаковые пароли вида Aadogov$2023$<порядковый_номер_пароля_меняется_при_требовании_очередной_смены_каждые_2_месяца> ?
Passkeys? По сути отказ от использования пароля (с заменой на подтверждение по e-mail например для первоначальных авторизаций + добавление авторизации устройствами пользователя, в некоторых случаях с синхронизацией (через iCloud и тот же) + fallback'и для случаев вида — Linux+старый браузер а у пользователя все на iCloud завязано(тогда пойдет все через QR коды)).
Если использовать KeePassXC и ему подобные, то можно забыть о проблемах с паролями, включая второй фактор, например TOTP.
Синхронизация осуществляется через облако (приватный ключ только ручками копируйте между устройствами).
Клиенты есть для браузеров и Android.
Есть встроенный плагин для проверки паролей на утечку через HIBP (запускается вручную).
Классическая ситуация перекладывания проблемы с больной головы (утечки хэшей) на здоровую (пользователя). Pbkdf с солью практически гарантированно делает пароли невосстанавливаемыми. Но нет, будем продолжать дальше хэшировать каким-нибудь древним MD5 и мучать пользователя чтобы придумывал всякие !@#.
Как этот "Pbkdf с солью" поможет от подбора пароля 123456 и прочих, давно наполняющих словари?
Ну, на все случаи не претендую и уж тем более, например, на локальные шифрованные файлы, но какой хоть сколько нибудь нормальный сайт или система позволит вам брутфорсить пароль? Да даже словарная атака не поможет, если стоит условие "5 попыток, потом блок" и использовать пароль не из верха списка, с минимумом стойкости
Никак. Но, наверно, проще всё-таки подцепить этот словарь, а не перекладывать проблему на пользователя? freeexec например гарантированно не брутится. Нравится когда в нагрузку требуют !@#?
зачем вообще пароли если можно спрашивать только почту а по ней уже получать открытый pgp ключ с сервера ключей
Для меня самый удобный вариант - bitwarden. Одно сочетание клавиш генерирует пароль, другое вставляет, клик мышкой сохраняет в базе. Лучше пока ничего не придумали, кажется
Хотя слышал про попытку разработать систему авторизации с помощью телефона. Наверное, было бы ещё лучше - он всегда с собой. Приложил палец к сканеру и вошел на сайт. Ну и доп способ, если телефона при себе нет (эпопея "телефон умер, или как я гугл аккаунт восстанавливал")
Чем поможет вам ваш кейпасер если подключиться нужно не со своего мегакомпа? Как вы собрались вводить kdsgj*0983#$09{ONF)#N{O@ с телефона или в системе где не работает буфер обмена? А если пас нужно ввести раз 12 подряд? Я сталкивался с такими вот приколами вживую и на выходе пароль 123456йцукен кажется куда более защищённым чем предыдущий, но сохранённый на рабочем столе в текстовом файлике или распечатанный на бумажке и лежащий на клавиатуре сверху...
В телефонах буфер обмена обычно работает - по крайней мере я пользуюсь с 4 версии и ни разу не видел устройства без него
А на каких системах его нет? Мне казалось, это давно базовая функция
Для подключения издалека есть обычно синхронизация файла в облако или менеджер с собственными серверами (доверие к владельцу - вопрос третий и нас сейчас не касается). И за что топите именно вы - за использование везде одного простого пароля из памяти?
Есть древняя мудрость: не умножай сущности сверх необходимого. С паролями надо стремиться в ту же степь.
Бывают сайты, где принимают аккаунты от более продвинутых сородичей: VK, YA, FB, Google...
Может, этим путём пойдёт развитие, либу напишут общую для парольных админов, да обяжут указывать хоть какого-то "гранда" при логине, как альтернативу ?
https://chriszarate.github.io/supergenpass/mobile/
Давно обсуждалось уже
Размышляю о паролях