Как стать автором
Обновить

Комментарии 94

А есть научный метод для запоминания не одного хорошего пароля, а произвольного набора несвязных хороших паролей? (Без использования менеджеров паролей.)
Все статьи по «хорошим запоминаемым паролям», что я видел, делают вид, что человеку нужно только один пароль запомнить.
Такие исследования мы тоже искали, но пока не нашли )
Такие исследования всегда заканчиваются рекомендацией запомнить один хороший пароль от хорошего менеджера хороших паролей.
Да, так и есть, как и здесь. А еще использовать второй фактор.
Самое глупое решение — хранить все яйца в одной корзине
В целом да, но выбор мнемонических техник все равно остается на совести человека. Часто пользователи следуют рекомендациям и все равно начинают воспроизводить довольно предсказуемые паттерны: cups.cs.cmu.edu/soups/2006/proceedings/p67_kuo.pdf
не очень понял как соотносится практика запоминания рандомной информации с «предсказуемыми паттернами»?
Мы получили пароль JeV&ExCP. Теперь задача его запомнить. Придумываем фразу «JeV и его бывшая (Ex) с командного пункта (CP=command post)» — до тех пор пока фораза хранится в голове пароль в безопасности. А даже если она и покинула голову, то надо еще и сообразить по каким правилам она конвертируется в пароль ведь ассоциации могут быть разными (CP = центральный процессор и что-то там про детей =)
Обновили ссылку сразу на PDF с исследованием.
С мнемоникой для паролей есть 2 пути:
— сгенерировать рандомную информацию и придумать правило для ее запоминания. Да, есть небольшой риск, что сама фраза забудется или вдруг заклинит, как же ее «свернуть» обратно в пароль. Скорее, всего, с одним таким паролем этот риск минимален. Но если таких паролей 10+, то далеко не каждый пользователь захочет сильно заморачиваться.
— взять мнемоническую фразу и «свернуть» ее в пароль по определенным правилам — в исследовании выше речь как раз об этом. С одной стороны, можно было бы брать сколь угодно личную фразу, которую никто не знает. Но чаще люди берут строчки из песен, цитаты известных людей и пр. Такие мнемоники уже можно взломать.
Единое правило для всех паролей? Хорошо ли это?
Это правило основано на некоторой энтропии — ассоциациях. Они, во-первых, у каждого свои, во-вторых, меняются от ситуации\объекта запоминания.

Какой-то пароль проще запомнить «графическим» способом — 741596312369874 (ИО — на нампаде), какие-то фразой — WNt10MEM — «Windows Nt имела 10 MEMов»

Например passamaru. Пароли больше не храню.

Domain Name: PASSAMARU.COM
Registrar URL: http://www.reg.ru
Creation Date: 2021-04-27


instruction: Work in progress
habramaru
privacy policy: The developer is not responsible…
microsoft store: USD 9.99

даже как-то неловко. кажется, что ваше решение ещё немножко не готово :)

Что именно? Можете пояснить?

Что пояснить? Вы предлагаете свой едва вышедший (домен зарегистрирован 1,5 месяца назад), но уже платный продукт, к которому ещё инструкцию не успели написать, в качестве решения проблемы запоминания/хранения паролей.


Это не соответствует критериям надёжности, которые предъявляются к такого рода продуктам.

Да, я являюсь разработчиком.
Сайт не продукт, а информационная поддержка. На данный момент он ещё в стадии наполнения, потому что в одиночку довольно сложно сделать всё и сразу.
Продукт полностью готов, протестирован и находится в цифровых магазинах. В самом продукте есть подробная инструкция по всем функциям, по каждой кнопочке с примерами. Бесплатная версия также будет доступна в ближайшем будущем.
И да я действительно почти отказался от привычного хранения паролей. Все важные пароли только мнемонические. Остальные пароли постепенно также перевожу в мнемонику.
Канешн!

image

Дурацкий пример. Попробуйте на своем компе, а лучше на телефоне, поставить пароль из 28 символов и посмотрите как быстро вас выбесит его набирать. Опечатки никто не отменял. Блокирование учетки после N неправильных попыток тоже встречается часто. Ну и разумеется запомнить 4 случайных слова вообще-то совсем не просто. Запишите с вечера на бумаге а с утра попробуйте вспомнить.
27 знаков набираю каждый раз когда подхожу к своему рабочему месту, а это около десяти раз в день, плюс-минус — чувствую себя великолепно. :)
Опечатки в пределах двух раз.
ну так у вас ник как бы намекает. удивлен что всего 27
и ты ему поверил с таким ником?

И, полагаю, политика смены паролей раз в месяц тоже присутствует. Это действительно непросто, восхищаюсь.

Ну и разумеется запомнить 4 случайных слова вообще-то совсем не просто.

Они не должны быть случайными, они должны быть ассоциативными. У большинства людей не возникает же проблем с фразой «Каждый охотник желает...»
Так если они не случайные, это сразу на много порядков уменьшает энтропию.

Они не случайные для набирающего. К примеру — "Per aspera ad Astra soon enough!" — очень легко запомнить, но перебрать по словарю — удачи в этом, особенно с учётом того что пунктуация и регистр могут оказаться какими угодно и в любой позиции, для примера из 6 слов это больше 80 бит энтропии — явно за пределами вычислительных возможностей даже для простых хешей.

Тут будут проблема в запоминанием этих самых особенностей пунктуации и регистра. Особенно если таких паролей много. Бывает легче сразу рандомный пароль запомнить, чем вспоминать потом, какие именно ты погрешности внес.

Зная исходную фразу перебрать варианты пунктуации (если вдруг забудете) гораздо проще чем запомнить совершенно случайный пароль, особенно если он 16 или больше символов, а с точки зрения атакующего сложность всё равно непреодолима.

Ну вот возьмем эту фразу "Per aspera ad Astra soon enough!"
Тут 26 букв. Если играться регистром — это, соответственно, дополнительно 26 бит. Или 3 бита семибитного алфавита. Теперь, спрашивается, что легче запомнить — как мы в этой фразе регистром игрались, или эти самые дополнительные 3 буквы. Стоило ли возиться?

Ну с 1 стороны надежно достаточно для большинства случаев. А с другой — в подобных осмысленных фразочках бит энтропии точно окажется намного меньше (раза так в 2), если словарь применять на основе слогов. Регистр и пунктуация тоже не будут слишком непредсказуемы (если они хаотические, будет сложно запоминать снова же, так что скорее будут по какому-то алгоритму). + у этих фразочек возможна еще уязвимость перед угадыванием (зависит от уровня известности фразочки и количества доступной информации о человеке придумавшем пароль).

Все-таки идеально — это случайный набор символов.
Который таки очень плохо запоминается и надо б придумать что-то для его автоматического ввода)
А с другой — в подобных осмысленных фразочках бит энтропии точно окажется намного меньше (раза так в 2), если словарь применять на основе слогов.

Для этого ведь нужно заранее знать, что пароль состоит из чего-то осмысленного. В общем случае применение слогового словаря может быть и не оправдано, потому что никогда не известно, состоит ли пароль из символьной каши или из фраз, пусть и известных. И при низкой энтропии в пересчёте на символ, фразы тем не менее выигрывают тем, что могут быть весьма длинными.

Попробуйте на своем компе, а лучше на телефоне, поставить пароль из 28 символов и посмотрите как быстро вас выбесит его набирать


У меня — 36. Нормально. При этом есть спецсимволы и разные регистры (требование политик). Очень редко ошибаюсь и приходится вводить повторно. Но у меня не плохо прокачен скилл слепой печати. Сильно помогает вновь появившаяся мода на «подсмотр» пароля (на win8.1, например)

Ну и разумеется запомнить 4 случайных слова вообще-то совсем не просто. Запишите с вечера на бумаге а с утра попробуйте вспомнить.

А это сильно языко-зависимо. В английском любые существительные подряд (а существительным может быть любое слово без специфического суффикса ) образуют единое понятие (В комиксе — «скрепка для батарейки правильной лошади»), которое легко запомнить. В русском такого нет, ситуация сложнее. Нужен «генератор бредовых фраз», который будет правильно слова согласовывать (ну типа «прыжок сухого крокодила на палец»).

Ну и любой пароль забывается напрочь, если его не вводить ручками регулярно (привет менеджерам паролей!). Физиология.
Нужен «генератор бредовых фраз», который будет правильно слова согласовывать (ну типа «прыжок сухого крокодила на палец»).

Я тоже так считаю, но, увы, все эти товарищи, что на хабре про работу с естественным языком пишут, такой почему-то так и не написали.


Тут проблема в том, что обычный бредогенератор (на нейросетках) не подходит. Надо как-то гарантировать нужное количество энтропии и равномерность генерации, чтобы не облегчать перебор.

Я себе делал такой, но всё утрачено :)
Находил корпус слов (1 млн.+) с указанным IPM (частота с которой слово встречается на 1 млн. слов). Прогонял это всё через яндексовский mystem, пихал слово, ipm и все mystem-овские параметры в БД. Потом вводил начальную фразу, разбивал на слова и находил другие слова с такими же параметрами. Т.е. при вводе «идеальный пароль трудно взломать» оно мне выплёвывало «возвышенный корабль нежно перфорировать». Если хотелось более кучерявых слов — ещё фильтровал по ipm.
«Кучерявые» слова со сложной орфографией лучше как раз не использовать (то же «возвышенный» — сколько там «н» — писать? Я, будучи безграмотным, так сразу не скажу). Обычных слов хватает за глаза. Не хватает? — Увеличьте длину фразы!

Тоже относится к регистрам и знакам препинания. По умолчанию, из знаков только пробел, регистр — всегда маленький.

В этом-то и смысл: снизить энтропию для обученной нейронки на миллиарды нейронов, но держать высокой энтропию для прямого перебора.
Словаря из тысячи простых слов — вполне достаточно (даже для описания современного мира).
Достаточно фильтровать по ipm в другую сторону

У меня в паролях символов поменьше, но есть левелап в виде кириллических слов, записанных в английской раскладке теми же клавишами. Навык слепой печати таки полезен. И да, все пароли прекрасно запоминаются, в кириллице моментально, в латинице с некоторого раза.

Для открытия зашифрованного диска у меня парольная фраза под 120 символов, а для PGP ключей под 100. Набираю каждый день и не один раз. Около 40 символов для SSH ключей. Даже не задавался вопросом удобно ли это, ибо без проблем набирается шустро.
Да-да. Этот мем я конечно видел раньше, но вот запомнилось из него почему-то только одно слово horse. Так что про «легко запомнить» мимо.

Возможно, вы хорошо запоминаете изображения, но не текст. А лошадь в этой картинке нарисована, в отличие от остальных слов ("батарейная скрепка" не очень-то из рисунка узнается, тем более объект немного нереальный). А ещё — это же не ваш пароль, и если спустя несколько лет с тех пор, когда вы его увидели, и до сегодняшнего дня, вы хоть что-то вспомнили, это уже неплохо.

А есть научный метод для запоминания не одного хорошего пароля, а произвольного набора несвязных хороших паролей?

Криптостойкая_хеш-функция(«мастер-пароль»+«место_ввода_пароля»).

Достаточно помнить (и держать в секрете) только хэш-функцию и мастер-пароль, считать хэш можно на специальном секьюрном девайсе, который ничего кроме как считать хэш, собственно, и не умеет.
Всего-то нужно:
1) Всегда иметь под рукой хэшер
2) Не упереться в длину пароля
3) Придумать политику на случай, если в сгенерированном хэше не будет нужного сервису символа (заглавные? пробел? спец.символ?)
4) Надеяться, что ваш мастер пароль никогда не подберут

Отличный план :)
А менеджеры паролей, в принципе, все то же самое делают при генерации криптостойких паролей, разве что соль посекьюрнее.
В любом случае, у любого сгенерированного пароля энтропия получше будет, чем у придуманного, просто в силу более надежного источника энтропии.
А, ну и еще хэш-функцию тоже придется подбирать, ведь можно пользоваться не единственной, а комбинацией хэш-функций. Подбирать SHA(BLAKE(SHA)) по радужным таблицам посложнее будет, чем просто SHA. Правда, простота пользования при этом немного страдает.
Со спецсимволами и длиной пароля, да, согласен. Но, честно говоря, в сервисах, которые требуют определенное количество определенных символов секьюрностью и не пахнет.
> Правда, простота пользования при этом немного страдает

Капельку совсем :)
Нет, это плохое решение
Легко запоминаемый пароль — низкая энтропия, трудно подбираемый — высокая. В любом случае, без какого-то транслятора «легко запоминаемый» в «трудно подбираемый» не обойтись, не важно что выполняет роль этого транслятора — менеджер паролей, хэш-функция или банальный ввод пароля в другой раскладке на клавиатуре в духе Энигмы. Мозг априори не способен к подобной функции транслирования, так как экономит энергию при помощи абстракций (собственно, «легко запоминаемый» пароль подобной абстракцией и является).
Кстати, Энигма — классический вариант подобного устройства. Клавиши с обычной QWERTY-раскладкой и цифровым индикатором, в зависимости от значения числа на индикаторе, меняются реально вводимые символы. Достаточно помнить только мастер-пароль и соответствующее месту ввода пароля индикаторное число.
Безопаснее подобного (и сравнимые по удобству) варианты — вообще без ввода пароля (физические ключи, биометрия т.д.).
Все описываемые вами решения проигрывают менеджеру паролей в удобстве, создают новые проблемы, при этом ничего не дают взамен.
Изначально вопрос стоял:
А есть научный метод для запоминания не одного хорошего пароля, а произвольного набора несвязных хороших паролей? (Без использования менеджеров паролей.)

Если человек не хочет пользоваться менеджером паролей и желает альтернатив — его право.

Зубрить многократным и целенаправленным повторением. Возможно, интервальным.


Но, запоминать пароль нужно с конца. Т.е. убеждаемся, что помним два последних символа пароля. С этого момента пытаемся запомнить уже три последних символа. И так далее, пока весь пароль не запомнится.


Таким образом получается "начало вспомнили — а дальше мы уже знаем", что убыстряет весь процесс.

Можно например использовать систему по нарастанию сложности составного пароля.

Например простой уровень 0. 8 символов что то типа xxxx0000 или 0х0х0х0х0 и прочие вариации стандарт для мусорных форумов.

Простой уровень 0.1. xxXX0000 00XX00xx

Простой уровень 2. Мнемонический пароль с использованием вариаций памятных цифровых значений типа дат, количественных выражений и т.д. типа даты поступления в первый класс 010995 09959509 010995950901 099501019509 или 3110nokia no3110kia т.д.

Простой уровень 2.1. NO3110kia no3110kiA

Данные варианты паролей являются достаточно надежными для недостаточно важных ресурсов. Имеют хороший порог запоминания плюс всегда можно подобрать свой собственный пароль, если забыл какой именно вариант использовал - главное следовать одному принципу при составлении.

Средний уровень 3. с использованием индивидуальных "искаверканых слов" + раскладка

3110nokLa или gegshrf1488 и т.д.

Защищенный 4 применяем вариации принципов предыдущих увеличивая количество символов используя верхний регистр Gegshrf3110nokLa1488

Защищенный 4.1 все то же самое плюс спецсимвол /-+)*?:%;№ и т.д.

Итого мы имеем, при соблюдении принципа формирования пароля, даже если не помним сам пароль, но понимаем степень важности данных к которым обращаемся, возможность методом подбора вспомнить свой собственный самый сложный пароль из большого количества символов.

Защита плюс.

Все то же самое плюс 2фа плюс смс подтверждение + e-mail подтверждение т.е. используем одновременно аутентификатор с динамическим паролем и подтверждение по смс, при этом важно хранить ключ восстановления доступа 2фа в раздельном виде (разбив на 2-3-4- части, например, если это ключ 2фа для доступа к бирже торговой) на оффлайн носителе типа старого телефона без симки и вафая в разделе черновиков смс :).

Можно хранить ключ к 2фа цельным куском но заменив 1 символ на произвольный или удалив первый или последний, тут главное это хорошечно запомнить этот финт :-D.

Я давно пользуюсь следующим методом:
Придумываете пароль и запоминаете его, например XyZ1294k и прибавляете к нему тег, в зависимости от сайта/приложения. Я использую 2 или 3 символа из середины названия в зависимости от четности или нечетности количества букв в названии и зеркалю его:
например для
Facebook — XyZ1294k+obe
Habr — XyZ1294k+ba
Gmail — XyZ1294k+iam
Сколько нужно знать ваших паролей, чтобы выяснить алгоритм?
2? или 3?
Смысл в том, чтобы нигде не записывать пароль, что должно уберечь от утечки сразу двух паролей.
Если злоумышленник знает уже 2 ваших пароля, то это означает, что пора менять пароли на всех аккаунтах.
Так в том то и дело, что утечка пароля с течением времени равно 1. ЛЮБОГО! Как показывает жизнь: не у вас, так на стороне провайдера услуг!
Поэтому нужно все-таки иметь один мастер-пароль совсем другой, потом уровнем важности ниже — вот такое как вы написали, и самый низкий для мусорных сайтов.
Но тогда эта схема выливается просто к использованию менеджера паролей! И не надо забивать себе голову!
Кстати да — хранение в голове множества паролей приводит к замедлению умственной деятельности!
зы все ИМХО
Кстати да — хранение в голове множества паролей приводит к замедлению умственной деятельности!

Холмс, ваш антинаучный подход безнадёжно устарел!
Скажите пожалуйста, брутфорс-атаки с перебором пароля всё ещё актуальны?
Есть стойкое ощущение, что этот вектор давно утратил актуальность.
UPD: чаще нам показывают УЖЕ слитые базы с паролями. Какая разница насколько он у тебя сложный, если ломают не твою учетку на сервисе, а сам сервис? Кажется, что безопасники «не туда воюют» :)
Да, такие атаки случаются, и мы уже рассказывали, как боремся с ними здесь и здесь. Чаще всего мы строим комплексные ИБ-решения, именно потому что защищать нужно и то, и другое.

К сожалению, далеко не везде думают о безопасности. Если у веб-ресурса нет 2FA, CAPTCHA, ограничений по количеству попыток и т.д. ― то брутфорс-атаки возможны.
Было бы интереснее узнать насколько повышается защищенность пароля при наборе в местной раскладке. Есть ли статистика по языкам?
Думаю, в основном брутят на Eng+спец.символы. А если пароль будет содержать кириллицу и иврит (ну или там иероглиф какой)?
Классика:
Сорок тысяч обезьян...
Лукьяненко, Фальшивые зеркала
если грепнуть эту фразу в слитых базах с паролями думаю можно удивится количеству умников использовавших этот пароль
Да, но суть в идее таких паролей.
Можно просто придумать любой подобный бред, набрать его кириллицей в английской раскладке и получить близкий к идеалу пароль.
Меня бесит когда за меня пытаются решать ценность ресурса, защищенного паролем. У меня есть старый, давно утекший пароль, который я использую и буду продолжать использовать на «мусорных» сайтах. Если меня принуждают использовать сильный пароль, то я буду входить по «забыл пароль, сбросить». Естественно это не касается почты, банка.

Менеджер паролей это прекрасная возможность потерять все пароли разом. Такая замечательная точка единого отказа. Кто-то на это уже нарвался, когда менеджер паролей внезапно стал требовать подписку, у кого-то это еще впереди. А вот двухфакторная аутентификация мне нравится. Даже пароль qwerty с двухфакторной аутентификацией много надежнее чем просто «сильный» пароль.
Менеджер паролей это прекрасная возможность потерять все пароли разом


Наверное, речь всё-таки не про все менеджеры паролей, а про облачные сервисы хранения паролей? Сложно представить, как какой-нибудь локальный keepass может начать внезапно требовать подписку.
Если у вас всего одно устройство, то наверное можно использовать локальную версию. Но что-то я плохо представляю такой сценарий. В случае локальной версии может быть еще хуже — накрылся хард и всё, амба.
Если у вас всего одно устройство, то наверное можно использовать локальную версию


Вот бы придумать такой сервис, который позволяет синхронизировать файл (шифрованную базу keepass) между устройствами.

Так наверное даже еще хуже — накрылся хард и всё, амба


Вот бы этот сервис ещё бекапил эту базу.
Вот бы придумать такой сервис, который позволяет синхронизировать файл (шифрованную базу keepass) между устройствами.

Базовая синхронизация в keepass2 уже встроена по базовым протоколам. Так же есть плагины, позволяющие синхронизироваться с разными онлайн сервисами типо гугл диска, onedrive, dropbox и прочими

KeePass+DropBox?
Давно так использую, проблем нет. Дропбокс клиенты на нескольких устройствах.
Файл бд время от времени бэкаплю.
Keepass + хранения файла с БД в облаке?
Файл шифрован. Параноики могут пихнуть в контейнер какой-ндь VeraCrypt и запомнить всего 2 пароля (от контейнера и файла).
Я понимаю ваши аргументы. Они разумны. Но сам я использовать менеджер паролей не буду. Потому что между мной и ценными для меня ресурсами появляется звено которое я не контролирую. Чем длиннее цепочка, тем выше вероятность отказа. Цена отказа конкретно этого звена для меня слишком высока чтобы я мог просто довериться.
можно бэкапить раз N времени (руками, или автоматически — как угодно), зная, что в худшем случае потеряете только пароли за N.
это меньшее зло, по сравнению со всеми существующими альтернативами
Я тоже много лет сопротивлялся менеджерам паролей, «единая точка отказа», «лишнее звено», «неважные ресурсы» и прочее. А потом начал чистить свою цифровую историю выгрузкой всех сохранённых в Хроме паролей — почти тысяча учёток. Куча повторяющихся простых паролей, накопленных за многие годы. Десятки из них утекли по разным базам. Довольно легко представить вектор атаки, когда одновременно захватывают мои учётки на десятке второстепенных сервисов и через них пытаются добраться до более чувствительных данных через социнженерию — была же статья, где пароль от Амазона сбросили просто зная имейл, спасибо заботливой техподдержке.

Поэтому я завёл KeePass на телефоне и ПК, синхронизировал базы через btsync (без облака, с копией на всех девайсах + NAS), и поменял пароли на этих нескольких сотнях ресурсов, аккуратно всё упорядочив.

Чтобы украсть у меня все пароли, нужно физически отнять телефон, разблокировать его и знать отдельный пароль от базы с паролями. Сценарий, конечно, осуществимый, но всё же менее вероятный и более заметный по сравнению с очередным сливом базы у Adobe.
Так ли высока?
Почти все ресурсы имеют процедуру восстановления пароля (начиная от письма на почту, заканчивая походом с паспортом в отделение) — да, это время, но не фатально.
По моему мнению, одинаковый пароль на N-сайтах опаснее, чем гипотетическая порча файла с БД в облаке.
Аргументы разумны а вы нет. Если вы так трясетесь над своими учетными данными значит они для вас ценны -> значит вы используете длинные сложные пароли уникальные для каждой учетки -> значит вам надо их хранить как-то потому что очевидно что запомнить эти все комбинации нереально -> менеджер паролей выглядит очевидным решением.

кстати кипас был проверен независимой компанией которая подтвердила его безопасность. но на кипасе свет клином не сошелся можете выбрать любой из доступных с синхронизацией базы между несколькими устройствами.

Просто все остальные варианты которые вы можете придумать для сохранения паролей хуже чем менеджер паролей.
Идеальный пароль помимо устойчивости к вариантам атаки полным перебором, должен быть известен только сторонам, участвующим в процессе аутентификации. Если пароль известен любой третьей стороне (был хоть где-то записан), то он перестает быть идеальным.

кстати кипас был проверен независимой компанией которая подтвердила его безопасность.

Они могут лишь подтвердить, что они не нашли уязвимостей.
Ну так вы ж работаете на какой-то ОС, на каком-то железе — вы всё лично аудировали? А если аудировали, что, если вы не нашли уязвимостей, которые есть? С таким подходом вообще ничем кроме ручки с бумагой пользоваться нельзя.
Суть не в том, кто именно аудит проводил, а в том, что ни один аудит, даже выполненный лучшими специалистами, не может гарантировать отсутствие уязвимостей. Так что в целом вы правы. Но риски, которые вносят ОС и железо, являются величиной более-менее постоянной — они будут присутствовать независимо от того используете вы менеджер паролей или нет.
Меня бесит когда за меня пытаются решать ценность ресурса, защищенного паролем.

.
Этот баян просто должен быть здесь
— Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— розы
— извините, слишком мало символов в пароле!
— розовые розы
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза
— Извините, необходимо использовать как минимум 10 различных символов в пароле!
— 1грёбанаярозоваяроза
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза
— Извините, не допускается использование нескольких заглавных букв, следующих подряд!
— 1ГрёбанаяРозоваяРоза
— Извините, пароль должен состоять более чем из 20 символов!
—1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!
— Извините, этот пароль уже занят!
Или так

image

Или так:

Отдыхает сисадмин (С) в отпуске на пляже. Вдргу звонит телефон:

С: - Да, Иван Петрович, что случилось? ...Да, можно пофиксить батничком, нужно только под админской учёткой зайти. ...Грёбаные уроды, как же вы меня все достали. ...Да, на английской раскладке, большими буквами. ...да, у-р-о-д-ы. ...Да ничего страшного, всего доброго.

Менеджер паролей это прекрасная возможность потерять все пароли разом. Такая замечательная точка единого отказа. Кто-то на это уже нарвался, когда менеджер паролей внезапно стал требовать подписку, у кого-то это еще впереди.

GNU pass + git репозиторий. Подписку не требует, исходники открытые, устройства можно синхронизировать через свой гит, имеет кучу плагинов и расширений, в том числе и автозаполнение в браузерах. Вот только не знаю, есть ли виндовый клиент.

Как ввести пароль на смартфоне?

Для Андроида есть клиент, так же поддерживающий git. А поскольку проект опен-сорсный, подозреваю, что и у iOS есть такой же. Нужно только секурно скинуть приватные ключи на смартфон.
Очень приятно при создании пароля в форме регистрации на новых сайтах видеть работающий в реальном времени «Паролеметр». Становится не только интересно придумать хороший пароль, но и доверие к сайту подсознательно повышается. Последнее время все чаще внедряют тот или иной вид индикации сложности пароля на формах, что не может не радовать.

А насчет «единого» пароля для всего, например к пассворд менеджеру… Установил себе очень удобный менеджер паролей с идентификацией по отпечатку пальца. И за месяц его использования попросту забыл мастер пароль, потому что изо дня в день пользовал только сканер пальца. И когда после некоторого обновления ОС и самого менеджера слетела биометрика — был просто в панике. Потому что залил туда все свои креденшиалы.

К счастью, история завершилась успешно. Через день подобрал свой мастер пассворд, но нервов то стоило.
Мне очень нехватает опции в KeePass на мобильном, чтобы раз в N часов заставлял использовать пароль вместо биометрии. Вводить длинный пароль по многу раз за день неудобно, а авторизация по пальцу может разблокировать телефон даже с бесчувственного тела.
раз в N часов заставлял использовать пароль вместо биометрии

Кажется, в моём телефоне уже такая функция сделана, просто она умело замаскирована под "у вас грязный палец, попробуйте снова".

В чем проблема написать мастер-пароль на бумаге и положить в сейф (условно). Насколько я помню, в некоторых организациях так делали — пароль администратора клался в конверт и прятался в сейф ген.дира. На случай если с администратором, что-то случится*, есть возможность получить доступ к системе.

*Подразумевается ситуация «кирпич на голову — попал в больницу».

Варианта надёжных паролей всего два:


1. Менеджер паролей с рандомно-сгенерироваными пароялми
2. Парольные фразы

Всё остальное - либо неудобно, либо небезопасно, либо и то и другое.

Паролеметр показал, что дихлордифенилтрихлорметилметан, набранный в английской раскладке — хороший пароль. Полиэтилентерефталат — тоже. Штандартенфюрер СС Штирлиц — аналогично.
Полностью согласен.
Использую названия горных объектов окрестностей столицы (сам я с Узбекистана), иногда добавляя высоту вершин. Например: «гора Аукашка высотой 3099 метров» даёт хороший пароль «Ferfirf-3099»
Как-то заинтересовался темой мнемотехники. Нашёл один из курсов, называется Система Джордано от В. Козаренко. Спросил у автора можно ли с помощью этой системы запоминать пароли — тот ответил утвердительно. Спросил, есть ли сторонние рекомендации или обзоры — автор не смог дать никаких ссылок. В итоге я так и не решился потратить время и деньги на освоение этой системы.

Ситуация загадочная: с одной стороны есть очень насущная проблема — запоминание паролей. Проблема актуальна для огромного числа людей. С другой стороны вроде бы есть решение — мнемотехника, которая позволяет запоминать произвольную бессмысленную информацию. Но нет ни одного человека, который бы использовал мнемотехнику для запоминания паролей!
Нам безопасники сложные пароли длинные даже для wi-fi ставят и новые ребята испытывают боль при вводе, также у нас у нас надо обязательно каждое устройство добавить в сеть, так как очень много безопасности при работе с большими компаниями.
По-моему сложные пароли на WiFi это вообще создание проблемы на ровном месте. Ну просто приняли бы все что WiFi не может быть безопасной внутренней сетью, так нет приходится на телефоне корячится и пытаться вписать все эти символы.
А самый адский пароль на WiFi был у меня в отпуске, какой-то гений не иначе создал пароль из нескольких десятков одинаковых символов. Что-то вроде
1111111111111111111111111111111111111111111111111111333333333333333333333333333333
До сих пор считаю это самым неудобным паролем для ввода, так как перепроверить правильность нереально сложно.
Потому что безопасность wi-fi прямо-пропорциональна сложности пароля (ну до какого-то момента).
… на телефоне корячится и пытаться вписать все эти символы… А самый адский пароль на WiFi был у меня в отпуске

QR-код? Печатаем, показываем, убираем.
Андройд вообще умеет генерировать QR-коды для сохраненных сетей. Приходите к кому-нибудь в гости вместо того чтобы долго и упорно вводить пасс — три тапа и вуаля.
походу пора отходить от паролей на английском языке — ориентир на слабо распространенные иностранные языки — татарский, бурятский, болгарский и т.д.
Татарские слова в амхарской раскладке.
«Сорок тысяч обезьян в ухо сунули банан»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.