Комментарии 78
Не говорите за всех, что пароль это боль. Вопрос лишь в умении их огранизовать в голове.
Я uuid / guid-ы храню /s
В один прекрасный момент можно потерять это знание… а вспомнить через несколько часов \ дней…
Либо просто что то “заклинит” в голове. Либо память пароля перетекает в машинальную память а потом бац и всё…
Пароли можно хранить в менеджере паролей, который будет открываться мастер паролем. Таким образом уменьшаем колличество паролей до 1 (в случае одного менеджера паролей).
На случай потери памяти можно разбить мастер пароль на крестражи так чтобы требовалось например 2/3 частей для восстановления пароля. Раздать эти крестражи тем, кому доверяешь и объяснить как пользоваться.
Один раз создается система сборки пароля на основе определенных входов - и все.Зачем сочинять пароли - когда их можно вычислять на ходу согласно правилам,известным только тебе. Главное что бы правила периодически менялись иначе ломанув пару твоих паролей вычислят систему
Пардон, передумал... del
Когда с предыханием говорят про биометрию, забывают одну её кошмарную особенность: в случае компрометации её невозможно заменить. В отличии от пароля.
И почему-то автор рассматривает пароль исключительно как текстовый ввод. Хотя есть другие систем ввода пароля. В том числе, рассчитанные на безопасный ввод со скомпрометированных компьютеров. Графические, к примеру.
А как скомпрометировать биометрию? Подделать отпечатки пальцев/сетчатку глаза (или еще что)?
Или речь о способе хранения оцифрованной биометрии, что возможно передать в интересующий сервис сразу эти слитые оцифрованные данные, минуя аппаратный блок оцифровки?
Подделать отпечатки пальцев довольно дешево сейчас, стоит несколько долларов. Сетчатку глаза нереально сейчас массово использовать. Радужку глаза, которую вы, скорее всего, имели ввиду, говоря про сетчатку, подделать довольно дорого пока, но есть нюанс. Дешевые сканеры, вроде тех, что ставят в флагманские Гнусмасы, имеют очень низкое разрешение, и качественная подделка для них не нужна. А сканеры высокого разрешения и стоят других денег, и габариты у них совсем другие.
Уже давно ломали системы с помощью сканов, 3д сканов, фото и прочей чепухи вроде резиновых накладок на пальцы
Биометрия дальше сканера не ходит. А возле сканера обычно сидит специальный человек и следит чтобы не было фокусов типа отрезанного пальца.
Так и запишем. Рядом с каждым злоумышленником, который хочет обмануть сканер биометрии, чтобы обмануть сервис в сети интернет, должен сидеть специальный человек, а так как не все злоумышленники состоят в реестре злоумышленников, то для аутентификации к соотвествующим сервисам, всем без исключения пользователям надлежит обратиться для контроля к специальному человеку, сидящему рядом.
В Узбекистане через биометрию (Face-ID) вы можете получить множество банковских услуг, в том числе получить кредит. Около каждого из десятков миллионов смартфонов невозможно посадить специально обученного человека
КМК через face-id вы общаетесь не с банком а с телефоном. Вы можете взять новый телефон (который не обменялся с банком ключами) и просто так взять кредит?
Да. Если я установлю на телефон банковское приложение и единожды пройду идентификацию через биометрию.
На новом телефоне пройдете идентификацию?
Да.
В сторону банка летит фотография (селфи), сделанная стандартной камерой смартфона. Банк или провайдер биометрии делает некоторые проверки + матчит фотографию кандидата с эталоном. БД паспортных фотографий доступна по запросу
Каким образом в этом решении решён парадокс близнецов?
Полагаю, что никаким. Возможно, банки принимают этот риск. Возможно, в случае судебного разбирательства банк предъявит сделанное селфи и потерпевший опознает в фотографии своего близнеца.
Есть ещё крейзи-идея, связанная с местными традициями. В Узбекистане близнецам обычно дают имена Хасан-Хусан и Фатима-Зухра. Может скоринг какого-то банка отказывает в кредите клиентам с такими именами.
С биометрией все вечно путаются. Есть 2 схемы:
сканер собирает сигнатуру отпечатка/радужки/голоса, отправляет как есть на сервер, там происходит сверка с оригиналом;
сканер сверяет биометрию на девайсе же, в случае совпадения достаёт из хранилища ключ и подписывает им сообщение на сервер.
FaceID (если мы говорим про Apple-овский) работает по второй схеме. Биометрия там не покидает устройство. Даже сделав идеальную модель вашего лица, я не смогу со своим смартфоном от вашего имени что-то сделать - ключ есть только на вашем смартфоне, он там оказался при первичной авторизации в сервисе. И наоборот, украв ваш смартфон без вашего лица ловить мне нечего.
Так что в роли специально обученного человека выступает сам владелец.
возле сканера обычно сидит специальный человек и следит чтобы не было фокусов типа отрезанного пальца
В мой телефон почему-то забыли такого человека положить.
Они обещают синхронизацию ключей между устройствами, избавляют от ручного ввода, но замыкают пользователя внутри экосистемы
А использование менеджеров паролей не замыкает пользователя внутри системы?
Пароль один, а ключей в один акк добавить можно множество из разных экосистем
Мы используем пароли лишь, потому что программисты ленятся предоставить хотя бы альтернативу
Юзаю Bitwarden, но не для профдеятельности, а чисто для себя.
Не совсем понимаю в чем сложность, создания сложного пароля и его запоминания ? Например 17МгновенийВесны на английском , используя русскую раскладку клавиатуры . Я понимаю, частотным анализом расшифровать возможно, но сложность увеличивается на порядок.
Сложность в необходимости иметь сотни паролей
Для этого, есть кейпасс а, пароль его или несколько еще жизненно важных паролей , делаем как описано выше. Кстати тов Касперский говорил , что его система запоминания паролей ( и изобретения , полагаю) связано с местом (- географически что -ли )и временем.
У меня как раз наверно сотня паролей) Но я их естественно не помню - просто вычисляю на ходу на основе имени ресурса/определенных дат/имен, который периодически меняю
Вас не пропустит сайт, который требует спецсимволы (доллар, собака, etc)
Один пароль для всех сайтов – плохо.
Кто-ж говорит об одном? См выше . А, " 17Мгновений@-)Весны " Подойдет ? :))
Один пароль для всех сайтов – плохо.
Лично я просто меняю численную часть пароля в зависимости от домена по одному постоянному принципу. В итоге пароли похожие, но всегда (ок, почти всегда) разные. Может не суперсекьюрно, но уже было много ситуаций, когда я благополучно логинился на сайтах, куда не заходил с десяток лет. Лично для меня это достаточно приемлемый компромисс между безопасностью и удобством.
Это работает до тех пор, пока несколько ресурсов не начнут требовать регулярную смену паролей. И требования к паролям разные у всех. А ещё требуется всякие секретные вопросы запоминать. Я пробовал так, отказался в пользу менеджера паролей.
То есть (в контексте выдвигаемых в статье тезисов) мы соглашаемся с тем, что настоящие причины неудобств паролей для грамотных пользователей в неадекватных требованиях со стороны сайтов и сервисов с одной стороны?
Кстати, менеджер паролей — это альтернативный вариант управления паролями для тех, кто не доверяет своей памяти. Что всё так же в большинстве случаев лучше, чем другие рассмотренные в статье факторы.
З.Ы. а секретные вопросы — вообще боль, особенно когда их список задан жёстко сервисом. Кто в здравом уме будет ответом на секретный вопрос «Девичья фамилия матери» указывать реальную девичью фамилию матери?
пока несколько ресурсов не начнут требовать регулярную смену паролей
Практика устарела и хвала богам почти не встречается в публичных сервисах. Во всяком случае, я такого не видел уже много лет.
У меня встречается регулярно. Плюс, есть другие проблемы, я выше написал, прочитирую себя:
Я как раз лет 5 похожей системой пользовался и сдался. Кто-то хочет спецсимволы и разрешает #, кто-то хочет и запрещает #, кто-то совсем запрещает спец символы, где-то максимум 10 символов пароль и мои дефолтные 16 символов не прошли, где-то его заставляют регулярно менять и ты забываешь какой индекс кому ты присобачил и т.д. Долго боролся с системой, но, в итоге, сдался и ушел в менеджер паролей, уже третий использую, пока полёт нормальный. Но идеального тоже нет.
Я пароли делю на четыре категории: простейший для временных регистраций, не критичные (для форума, какой-то игры), критичные (емейлы, банк, хостинг… ) и уникальные. В каждой группе, кроме последней и первой, есть три пароля разной длины. От 8 до 23 символов с общим началом, разным для групп. Длина пароля в группе определяется личной важностью сервиса. Где требуется спецсимвол (обычно это из категории 3), просто дописываем его в задуманном месте. Уникальные пароли ставятся на аппаратные средства, часто с некой физической подсказкой.
добавляете название сайта в начале и спецсимвол в качестве разделителя. Выберите два, потому что есть сайты где ваш разделитель не подойдёт. Например, запятая и восклицательный знак
Например 17МгновенийВесны на английском , используя русскую раскладку клавиатуры .
Наберите это с тач клавиатуры телефона. И паролей нужно обычно несколько десятков, поэтому требуется менеджер паролей. А если использовать его, то паршль может быть абсолютно любым.
...плюс некоторые буковки заменяем на цифры - о на 0 ("ноль"), з или е - на "3" (три).
Смена раскладки увеличивает сложность пароля всего на один бит.
Пароль - это единственный способ подтвердить личность. Всё остальное подтверждает лишь какой-то девайс (предмет) или мясную тушку. Только пароль хранится там-же, где и личность - в голове - а лишь личность имеет ценность и её и надо защищать.
Кстати в статье было бы интересно прочитать как работают pass key и one-time password
Все ругают пароли
Видимо, я какой-то не такой "все". И скорее ругаю, когда для аутентификации выдумывают что-то другое, отличное от тёпло-ламповой связки логина и пароля.
В моём топ "бесячести" следующие финты.
1. Безусловное первое место — требование телефонного номера в качестве логина. Непременно идентифицировать вас по телефонному номеру нынче требуется чуть менее чем всем: от популярных мессенджеров до мусорных сайтов, куда вы заходите в первый и последний раз.
Помимо того неприятного факта, что в очередной раз собирают твои ПД, есть и актуальный момент, связанный с невозможностью зарегистрироваться, если блокируют ваше поделие на уровне страны. Так, например, невозможно зарегистрировать новую учётку Signal в России.
1а. Разновидность-дополнение предыдущего — подтверждение входа через СМС.
2. Хитро-сделанные попытки подменить ввод пароля чем-то похожим. Хороший пример — аутентификация на mail.ru, когда нужно внимательно смотреть и не соглашаться на заботливо подсовываемый тебе способ с VK.ID
3. Попытки подменить ввод с помощью пароля чем-то НЕпохожим. Пример со входом в Госуслуги через Макс в мобильном приложении. Пользуюсь Госуслугами исключительно на десктопе. Там тоже подсовывают Макс, но вход через пароль возможен (пока?)
4. (Не совсем про логин-пароль) Раздражает, когда накладывают ограничения на используемые символы. Пример: на одном из ресурсов когда-то задал пароль с пробелом. Когда через какое-то время решил сменить пароль, то обнаружил, что использовать пробел уже нельзя! Оставил старый. Считаю, что пароли с пробелами более стойкие. Может, ошибаюсь.
4. (Не совсем про логин-пароль) Раздражает, когда накладывают ограничения на используемые символы. Пример: на одном из ресурсов когда-то задал пароль с пробелом. Когда через какое-то время решил сменить пароль, то обнаружил, что использовать пробел уже нельзя! Оставил старый. Считаю, что пароли с пробелами более стойкие. Может, ошибаюсь.
Я вот, где возможно, использую символы из юникода. Какой-нибудь password☢123, как мне кажется, решает для обычного человека проблемы с безопасностью на всю жизнь.
Пример со входом в Госуслуги через Макс в мобильном приложении. Пользуюсь Госуслугами исключительно на десктопе. Там тоже подсовывают Макс, но вход через пароль возможен (пока?)
Смените второй фактор с смс на ТОТП, пепестанут маха подсовывать.
Давно есть простой метод создания и запоминания паролей
например мы на сайте Хабр точка ком
буквы меняем на цифры, получаем что то вроде xa69070m
б = 6
р = 9
точка = 0 или _
c = 7
плюс добавляем ещё своё слово, а ещё лучше целую фразу
после или вместо точки, в общем куча разных вариаций
главное чтобы вам было удобнее самому, даже через несколько лет вспомнить каким именно образом составлялся пароль)
На нашем сайте _ в пароле нельзя! А ещё пароль требуется менять каждые 6 мес . Удачи!
Слишком буквально принимаете советы) Главное подобный подход
Это суровая реальность) Каждый, наверно, через подобные схемы генерации проходил, накапливал десяток-другой-пятый аккаунтов по красивой схеме. А потом налетал на сервис, где она внезапно не годилась.
Придумывал модификацию, жил с ней дальше, путаясь в 2 схемах, пока не налетал на сервис, для которого нужна была уже третья.
К четвёртой обычно сдаются и переходят на менеджер паролей.
Это вы слишком буквально понимаете )) Я как раз лет 5 похожей системой пользовался и сдался. Кто-то хочет спецсимволы и разрешает #, кто-то хочет и запрещает #, кто-то совсем запрещает спец символы, где-то максимум 10 символов пароль и мои дефолтные 16 символов не прошли, где-то его заставляют регулярно менять и ты забываешь какой индекс кому ты присобачил и т.д. Долго боролся с системой, но, в итоге, сдался и ушел в менеджер паролей, уже третий использую, пока полёт нормальный. Но идеального тоже нет.
Шифр моноалфавитной замены плюс постоянная часть? Достаточно утечки паролей с пары сайтов, чтобы похерить секрет всей этой схемы "генерации".
Если уж что-то подобное мутить, то совсем по-другому: сначала добавлять к урлу сайта соль в виде фразы, а потом прогонять всё это дело через шифр полиалфавитной замены, а лучше даже через хэширующий алгоритм. Это массовые боты уже вряд ли сломают даже при серьезных утечках.
Достаточно утечки паролей с пары сайтов, чтобы похерить секрет всей этой схемы "генерации".
Во-первых, сайты всё-таки обычно хранят хэши, а не сами пароли. Во-вторых, кто-то займётся анализом паролей, только если кому-то будет интересен лично этот анон. Что редкость для анонов.
сайты всё-таки обычно хранят хэши, а не сами пароли
Но утекают миллионами почему-то именно пароли.
Во-вторых, кто-то займётся анализом паролей, только если кому-то будет интересен лично этот анон
Вы многое упустили за последние лет этак 10.
Но утекают миллионами почему-то именно пароли.
Близнец божится, что пароли воруют прямо с компьютеров пользователей из менеджеров паролей и броузеров.
Вы многое упустили за последние лет этак 10.
боты теперь в автоматическом режиме пытаются угадать мой парольный алгоритм? Во-первых, зачем. Во-вторых, интересно было бы посмотреть на подтверждение ваших слов.
Близнец божится, что пароли воруют прямо с компьютеров пользователей из менеджеров паролей и броузеров.
Вообще унипениально, откуда именно они утекли. Факт в том, что их утечка в сыром виде накрывает всю эту вашу схему генерации паролей медной звездой.
боты теперь в автоматическом режиме пытаются угадать мой парольный алгоритм?
Нет, боты сделаны не для этого. Боты собирают всю информацию о юзере и аккуратно складывают в досье, это называется профилирование. В это досье, кстати, кто только не вкладывается, начиная от операторов связи и заканчивая рекомендательными алгоритмами.
А потом уже совсем другие программы это анализируют, но тоже в автоматическом режиме. Я провел небольшой эксперимент, и даже могу показать, как примерно это происходит:
Я ввел следующее правило, полностью удовлетворяющее вашей инструкции: буква кодируется своим порядковым номером ('а' я взял за нулевой), взятым по модулю 10, точка кодируется '_', а потом в конце добавляется pineappleappleapplepie. А потом попросил бесплатный чат гопоты проанализировать последовательность, разумеется, не спалившись про то, что это пароли. Результат налицо:
Скрытый текст
Это сделала бесплатная модель за ~10 секунд. Сами понимаете, с какой скоростью щелкают подобные "системы генерации паролей" автоматизированные агентные системы...
Вообще унипениально, откуда именно они утекли
И да и нет. Если сырые пароли утекают из броузеров и парольных менеджеров, а не с сайтов, то надёжнее использовать схему, чем менеджер паролей. Так как броузер или менеджер паролей не могут потерять пароль, если они его не знают.
Я провел небольшой эксперимент, и даже могу показать, как примерно это происходит
Вообще не сомневаюсь что это можно сделать в принципе. Просто не очень верится, что это экономически целесообразно для базы, скажем, с десятью миллионами уникальных пользователей и, скажем, миллиардом паролей. Я, честно говоря, даже не очень представляю, как заработать на такой базе. Угнать учётку и вернуть за выкуп?
Больше бесить когда сайты указывают мне какой должна быть сложность пароля.
Например я не могу просто указать pass123, нужно обязательно Passwooord1@3$5.
Я понимаю когда об этом предупреждает сайт банкинга, но когда это делать сайт по продаже штор для домиков кошек и категорически не приемлет первый вариант(
А ещё есть Stateless Password Managers по типу LessPass, в сути которых генерация разных паролей для разных сайтов и логинов по одному мастер-паролю, т.е. помнить нужно только мастер-пароль, а пароль для сервиса получать на лету по адресу сайта и логину
Относительно недавно спорил с одним человеком на тему бесящих "особенностей" использования паролей. В моём личном топе - обязательная замена пароля раз в N дней, запрет на переиспользование предыдущих паролей и запрет на замену пароля, который похож на старый (инкремент цифры, добавление одного спецсимвола).
И если предыдущие пароли пусть хранятся в виде хэшей, а "похожесть" пароля относительно текущего пусть определяют по расстоянию Левенштейна (введите старый, введите новый - оп, нет, слишком малое расстояние), то абсолютный топ у меня занял один местный банк, который при смене пароля, заявил что новый пароль слишком похож на один из предыдущих. А откуда вы знаете мой предыдущий пароль? А?!
К сожалению, российские реалии зачастую продиктованы приказами ФСТЭК, которые регламентируют и частоту смены, и вариативность символов. Рекомендации NIST SP 800-63B в этом плане, на мой взгляд, куда удачнее и логичнее.
Самый надежный пароль — это тот, который пользователь не знает, не помнит и не может передать фишинговому сайту даже под гипнозом. "Обычные" пароли - это, пожалуй, уже legacy. Будущее за FIDO2. Перестать дрессировать/обучать людей созданию сложных паролей и перевести безопасность на асимметричную криптографию. Да, остается вечный вопрос с восстановлением доступа при потере ключа, но как говорили знакомые консультанты "это неустранимая причина изменчивости в процессе".
Почему мы до сих пор используем пароли, хотя все их ненавидят