Комментарии 46
Кусок моего диплома 2011 года, 1 в 1 :) Криптоустойчивость таких паролей очень низкая, а при раскрытии матрицы дает очень плачевный доступ к быстрому брутфорсу. Но преимуществом является машинонезависимость при наличии схемы(матрицы) и понимания алгоритма, и «генерация» паролей с заданной сложностью(наличие спецсимволов/цифр/букв, длина, уникальность)
Ох, сколько уж этих методик и алгоритмов было придумано… Бестолку всё это.
Частые пароли запомнятся, для редких алгоритм забудется, для всех учёток надо менять пароли (часть забудешь поменять, потом надо всё равно искать/вспоминать старый), есть масса конфиденциальных данных, не являющихся паролями (номер кредитки), есть масса паролей, которые нельзя поменять (выданы администратором например, криво, но существует такая практика), есть сервисы, используемые совместно с другими людьми, есть доступ по сертификатам или файлам-ключам.
Пока решение только одно: менеджер паролей. При базовых знаниях о безопасности минусы этого решения ничтожно малы по сравнению с плюсами.
Частые пароли запомнятся, для редких алгоритм забудется, для всех учёток надо менять пароли (часть забудешь поменять, потом надо всё равно искать/вспоминать старый), есть масса конфиденциальных данных, не являющихся паролями (номер кредитки), есть масса паролей, которые нельзя поменять (выданы администратором например, криво, но существует такая практика), есть сервисы, используемые совместно с другими людьми, есть доступ по сертификатам или файлам-ключам.
Пока решение только одно: менеджер паролей. При базовых знаниях о безопасности минусы этого решения ничтожно малы по сравнению с плюсами.
Мой диплом как раз заключался в проектировании библиотек/приложении(инженерная специальность), которое я написал для десктопа и андроида. Оно копировало пароль в буфер обмена(заведомо предполагая, что к буферу обмена система просто так доступ не дает) и после чего например в браузере вы можете вставить его в поле ввода паролей. В случае с менеджером паролей злоумышленнику надо знать только пароль от самого менеджера. Со схемой которая описана выше, ему надо знать методику по которой вы «именуете» ресурсы на которых планируете вводить пароль.
Генерирую пароли с помощью md5. Сомневаюсь, что кто-то сможет забрутфорсить соль, которая добавляется к логину и имени сайта.
Есть недостаток, да, — нужна консоль под рукой и уверенность, что нет логгера.
Есть недостаток, да, — нужна консоль под рукой и уверенность, что нет логгера.
у md5 есть недостаток — отсутствие, например, спецсимволов и верхнего регистра, которые зачастую являются обязательным условием для регистрации в ресурсе.
Ну, тут всегда возможны вариации, типа добавлять спецсимвол в конце, и свои инициалы большими буквами в начале.
А к самому md5 ещё base64 навесить…
Криптостойкость получившегося пароля (128 бит) это не ухудшит.
А к самому md5 ещё base64 навесить…
Криптостойкость получившегося пароля (128 бит) это не ухудшит.
Не понимаю причем тут 128 бит, если это на деле 32 ASCII символа -> 256 бит или вы запихиваете сайту бинарные данные?:) Только вот если при брутфорсе знать про md5 то словарь сокращается до 16 слов, что далеко не прибавляет ему криптостойкости. Впрочем как и при раскрытии матрицы в методе описанном в статье.
md5 можно записать в base64, а не в банальном хексе, тогда все будет. Наверное =)
Скажем, md5 хэш от строки «habrahabr», записанный в base64 выглядит так: «j/2scFKMvaCZ0aFMb+iplw==». Два знака равенства на конце будут всегда.
Скажем, md5 хэш от строки «habrahabr», записанный в base64 выглядит так: «j/2scFKMvaCZ0aFMb+iplw==». Два знака равенства на конце будут всегда.
НЛО прилетело и опубликовало эту надпись здесь
Если только «посол» паролей будет везде одинаковый.
Верно. А при каких условиях его спалить проще, чем взломать остальные схемы с генерацией паролей или менеджером оных?
Не скажу что схема идеальна, но для меня она проста, md5 обычно под рукой, и уж всяко лучше использования одного и того же пароля на разных сайтах.
P.S. на самом деле, для особо важных сайтов используются просто уникальные секретные фразы.
Не скажу что схема идеальна, но для меня она проста, md5 обычно под рукой, и уж всяко лучше использования одного и того же пароля на разных сайтах.
P.S. на самом деле, для особо важных сайтов используются просто уникальные секретные фразы.
Что делаете, когда сайт ограничивает максимальную длину пароля?
Ничего оригинального — использую первые N символов, сколько разрешается.
А как вы вспоминаете, сколько символов надо вводить?
Каюсь — вместо меня помнит (и вводит) браузер. Не критические пароли (которые генерируются по этой схеме) я разрешаю ему запоминать.
То есть password manager. Ну и о чём тогда разговор? Я половину своих паролей в жизни в глаза не видел. gen, copy, paste. Плюс синк файла паролей между устройствами.
А чем пользуетесь, если не секрет? 1Password, или что-то другое?
Разница все же есть.
Пароли не хранятся в файле, только в браузере. Хотя и из браузера их тоже можно своровать, но все же сложнее…
Если мне понадобится, то я смогу восстановить нужный пароль по схеме, а Вы без файла паролей — не сможете.
Пароли не хранятся в файле, только в браузере. Хотя и из браузера их тоже можно своровать, но все же сложнее…
Если мне понадобится, то я смогу восстановить нужный пароль по схеме, а Вы без файла паролей — не сможете.
А браузер не файле хранит пароли?
… именнно потому у меня этот файл относится к тщательно бэкаплимуемым. Вместе с ssh и gpg-ключами.
… именнно потому у меня этот файл относится к тщательно бэкаплимуемым. Вместе с ssh и gpg-ключами.
Из браузера стырить пароль гораздо проще, чем из менеджера паролей. Файл менеджера паролей надо еще найти и расшифровать, а где лежит файл с паролями любого популярного браузера всем, кому надо, известно. ну и мастер-пароль мало кто ставит в браузере. Пробовал ставить — оказалось слишком уж неудобная штука.
Вот только возникает проблема — у многих сайтов есть требования к сложности пароля — обязательная большая буква, служебный символ, цифра. Что, если название сайта, по нашей табличке, не дает такой последовательности? Создавать новую табличку? Придумывать для сайта «соль»-«отступ», чтоб попали и большая буква и цифра и символ?
Боюсь, это несколько ограничивает применение… и снова приходится использоваться кучу разных не вычисляемых человеком паролей :)
Боюсь, это несколько ограничивает применение… и снова приходится использоваться кучу разных не вычисляемых человеком паролей :)
Указанный в статье алгоритм предполагает, что у одного сайта может быть только один пароль, так как пароль генерируется из имени домена. А что, если сайт подвергся взлому, и вам приходит официальное письмо от администрации: «пожалуйста, поменяйте пароль». И что делать?
Пришел написать похожий комментарий, а вы уже написали. Да, на ряде сайтов, в пароле либо запрещено использовать, некоторые символы (сайт налоговой службы — нельзя использовать "=", например), либо наоборот, сайт считает пароль простым если ты эти символы не добавишь… У меня тоже есь некий алгоритм генерации пароля, и он благополучно обламывается вот от такого креатива разработчика.
В общем мы предполагаем, а владелец сайта располагает.
В общем мы предполагаем, а владелец сайта располагает.
Схема(матрица) не обязательно должна содержать заглавные буквы. Это основное и главное преимущество такого подхода.
Сейчас браузеры запоминают мой пароль так, что не мне приходится его каждый раз вручную вводить. На каждый сайт keepass мне придумал сложнейший пароль. Запоминать мне его не надо, вводить вручную почти никогда не надо, пароль гарантированно отвечает признакам сложности(а некоторые сайты отказываются принимать такие длинные пароли). Если надо где-то ввести пароль, он всегда доступен со смартфона(синхронизация базы паролей через облачный диск + защита базы паролей при помощи ключа).
А данный метод мне напоминает Security through obscurity. Если алгоритм станет известным и часто используемым, ничего не стоит его ввести в алгоритмы перебора паролей.
А данный метод мне напоминает Security through obscurity. Если алгоритм станет известным и часто используемым, ничего не стоит его ввести в алгоритмы перебора паролей.
«Сейчас браузеры запоминают мой пароль так, что не мне приходится его каждый раз вручную вводить.» компрометация устройства/браузера приводит к доступу ко всем вашим учетным записям. Просто подумайте сколько времени после обнаружения компрометации вам понадобится чтобы поменять все пароли? С данным подходом компрометация приложения/устройства максимум дает выигрыш в переборе. Но перебор не происходит моментально и с учетом защиты самих сайтов времязатратен — больше времени на смену паролей.
Открытость алгоритма тут не дает никакого выигрыша вообще. Открытость схемы(матрицы) же дает колоссальный выигрыш при переборе, но схему еще надо получить, например из зашифрованного ключом хранилища.
ЗЫ: А уж автозаполнение форм паролями полученными таким путем сделать не проблема в эпоху браузеров с плагинами.
Открытость алгоритма тут не дает никакого выигрыша вообще. Открытость схемы(матрицы) же дает колоссальный выигрыш при переборе, но схему еще надо получить, например из зашифрованного ключом хранилища.
ЗЫ: А уж автозаполнение форм паролями полученными таким путем сделать не проблема в эпоху браузеров с плагинами.
del
Извините, навеяло:
Швейк между тем разглядывал номер винтовки и вдруг воскликнул:
— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…
Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:
— Карре аb!
Швейк продолжал вполне серьёзно:
— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.
Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.
Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:
— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.
— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…
Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:
— Карре аb!
Швейк продолжал вполне серьёзно:
— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.
Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.
Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:
— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.
Думаю до описываемого метода любой, кто знает слово «криптография» уже самостоятельно догадался.
Я правильно понял, что вместо десятка паролей предлагается запомнить матрицу 6х6, хаотично заполненную буквами и цифрами?
А не проще ли смотреть на квертиклавиатуру? там тоже вполне себе неплохая матрица 4х10…
А если пароль требует, разные регистры, цифры, спецсимволы?
Присоединяюсь у товарищу выше про кверти-клавиатуру. У меня это получилось практически случайно. Вот моя история.
Когда-то давно, в несознательном возрасте, у меня был один пароль для всего, состоящий из примерно 10 цифр. Цифры эти, кстати, соответствовали кнопкам на телефоне, которые надо нажимать, чтобы набрать в Т9 одно особое слово. Потом я стал пользоваться ноутбуком без цифрового блока, елозить рукой по цифровому ряду мне не понравилось, и я стал использовать пароли из букв, расположенных по тому же паттерну (т.е. взаимному расположению кнопок), что и мои цифры на цифровом блоке — благо цифры за несколько лет научился вводить вслепую за секунду. Таким образом, теперь я использую довольно сложные несловарные пароли, легко вспоминаемые по адресу сайта и определенному правилу, связанному с рядами клавиатуры.
Когда-то давно, в несознательном возрасте, у меня был один пароль для всего, состоящий из примерно 10 цифр. Цифры эти, кстати, соответствовали кнопкам на телефоне, которые надо нажимать, чтобы набрать в Т9 одно особое слово. Потом я стал пользоваться ноутбуком без цифрового блока, елозить рукой по цифровому ряду мне не понравилось, и я стал использовать пароли из букв, расположенных по тому же паттерну (т.е. взаимному расположению кнопок), что и мои цифры на цифровом блоке — благо цифры за несколько лет научился вводить вслепую за секунду. Таким образом, теперь я использую довольно сложные несловарные пароли, легко вспоминаемые по адресу сайта и определенному правилу, связанному с рядами клавиатуры.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Метод, благодаря которому можно больше не запоминать пароли