Комментарии 94
Все статьи по «хорошим запоминаемым паролям», что я видел, делают вид, что человеку нужно только один пароль запомнить.
Мы получили пароль JeV&ExCP. Теперь задача его запомнить. Придумываем фразу «JeV и его бывшая (Ex) с командного пункта (CP=command post)» — до тех пор пока фораза хранится в голове пароль в безопасности. А даже если она и покинула голову, то надо еще и сообразить по каким правилам она конвертируется в пароль ведь ассоциации могут быть разными (CP = центральный процессор и что-то там про детей =)
С мнемоникой для паролей есть 2 пути:
— сгенерировать рандомную информацию и придумать правило для ее запоминания. Да, есть небольшой риск, что сама фраза забудется или вдруг заклинит, как же ее «свернуть» обратно в пароль. Скорее, всего, с одним таким паролем этот риск минимален. Но если таких паролей 10+, то далеко не каждый пользователь захочет сильно заморачиваться.
— взять мнемоническую фразу и «свернуть» ее в пароль по определенным правилам — в исследовании выше речь как раз об этом. С одной стороны, можно было бы брать сколь угодно личную фразу, которую никто не знает. Но чаще люди берут строчки из песен, цитаты известных людей и пр. Такие мнемоники уже можно взломать.
Например passamaru. Пароли больше не храню.
Domain Name: PASSAMARU.COM
Registrar URL: http://www.reg.ru
Creation Date: 2021-04-27
instruction: Work in progress
habramaru
privacy policy: The developer is not responsible…
microsoft store: USD 9.99
даже как-то неловко. кажется, что ваше решение ещё немножко не готово :)
Что пояснить? Вы предлагаете свой едва вышедший (домен зарегистрирован 1,5 месяца назад), но уже платный продукт, к которому ещё инструкцию не успели написать, в качестве решения проблемы запоминания/хранения паролей.
Это не соответствует критериям надёжности, которые предъявляются к такого рода продуктам.
Сайт не продукт, а информационная поддержка. На данный момент он ещё в стадии наполнения, потому что в одиночку довольно сложно сделать всё и сразу.
Продукт полностью готов, протестирован и находится в цифровых магазинах. В самом продукте есть подробная инструкция по всем функциям, по каждой кнопочке с примерами. Бесплатная версия также будет доступна в ближайшем будущем.
И да я действительно почти отказался от привычного хранения паролей. Все важные пароли только мнемонические. Остальные пароли постепенно также перевожу в мнемонику.
Опечатки в пределах двух раз.
Ну и разумеется запомнить 4 случайных слова вообще-то совсем не просто.
Они не должны быть случайными, они должны быть ассоциативными. У большинства людей не возникает же проблем с фразой «Каждый охотник желает...»
Они не случайные для набирающего. К примеру — "Per aspera ad Astra soon enough!" — очень легко запомнить, но перебрать по словарю — удачи в этом, особенно с учётом того что пунктуация и регистр могут оказаться какими угодно и в любой позиции, для примера из 6 слов это больше 80 бит энтропии — явно за пределами вычислительных возможностей даже для простых хешей.
Тут будут проблема в запоминанием этих самых особенностей пунктуации и регистра. Особенно если таких паролей много. Бывает легче сразу рандомный пароль запомнить, чем вспоминать потом, какие именно ты погрешности внес.
Зная исходную фразу перебрать варианты пунктуации (если вдруг забудете) гораздо проще чем запомнить совершенно случайный пароль, особенно если он 16 или больше символов, а с точки зрения атакующего сложность всё равно непреодолима.
Ну вот возьмем эту фразу "Per aspera ad Astra soon enough!"
Тут 26 букв. Если играться регистром — это, соответственно, дополнительно 26 бит. Или 3 бита семибитного алфавита. Теперь, спрашивается, что легче запомнить — как мы в этой фразе регистром игрались, или эти самые дополнительные 3 буквы. Стоило ли возиться?
А с другой — в подобных осмысленных фразочках бит энтропии точно окажется намного меньше (раза так в 2), если словарь применять на основе слогов.
Для этого ведь нужно заранее знать, что пароль состоит из чего-то осмысленного. В общем случае применение слогового словаря может быть и не оправдано, потому что никогда не известно, состоит ли пароль из символьной каши или из фраз, пусть и известных. И при низкой энтропии в пересчёте на символ, фразы тем не менее выигрывают тем, что могут быть весьма длинными.
Попробуйте на своем компе, а лучше на телефоне, поставить пароль из 28 символов и посмотрите как быстро вас выбесит его набирать
У меня — 36. Нормально. При этом есть спецсимволы и разные регистры (требование политик). Очень редко ошибаюсь и приходится вводить повторно. Но у меня не плохо прокачен скилл слепой печати. Сильно помогает вновь появившаяся мода на «подсмотр» пароля (на win8.1, например)
Ну и разумеется запомнить 4 случайных слова вообще-то совсем не просто. Запишите с вечера на бумаге а с утра попробуйте вспомнить.
А это сильно языко-зависимо. В английском любые существительные подряд (а существительным может быть любое слово без специфического суффикса ) образуют единое понятие (В комиксе — «скрепка для батарейки правильной лошади»), которое легко запомнить. В русском такого нет, ситуация сложнее. Нужен «генератор бредовых фраз», который будет правильно слова согласовывать (ну типа «прыжок сухого крокодила на палец»).
Ну и любой пароль забывается напрочь, если его не вводить ручками регулярно (привет менеджерам паролей!). Физиология.
Нужен «генератор бредовых фраз», который будет правильно слова согласовывать (ну типа «прыжок сухого крокодила на палец»).
Я тоже так считаю, но, увы, все эти товарищи, что на хабре про работу с естественным языком пишут, такой почему-то так и не написали.
Тут проблема в том, что обычный бредогенератор (на нейросетках) не подходит. Надо как-то гарантировать нужное количество энтропии и равномерность генерации, чтобы не облегчать перебор.
Находил корпус слов (1 млн.+) с указанным IPM (частота с которой слово встречается на 1 млн. слов). Прогонял это всё через яндексовский mystem, пихал слово, ipm и все mystem-овские параметры в БД. Потом вводил начальную фразу, разбивал на слова и находил другие слова с такими же параметрами. Т.е. при вводе «идеальный пароль трудно взломать» оно мне выплёвывало «возвышенный корабль нежно перфорировать». Если хотелось более кучерявых слов — ещё фильтровал по ipm.
Тоже относится к регистрам и знакам препинания. По умолчанию, из знаков только пробел, регистр — всегда маленький.
В этом-то и смысл: снизить энтропию для обученной нейронки на миллиарды нейронов, но держать высокой энтропию для прямого перебора.
Словаря из тысячи простых слов — вполне достаточно (даже для описания современного мира).
У меня в паролях символов поменьше, но есть левелап в виде кириллических слов, записанных в английской раскладке теми же клавишами. Навык слепой печати таки полезен. И да, все пароли прекрасно запоминаются, в кириллице моментально, в латинице с некоторого раза.
Возможно, вы хорошо запоминаете изображения, но не текст. А лошадь в этой картинке нарисована, в отличие от остальных слов ("батарейная скрепка" не очень-то из рисунка узнается, тем более объект немного нереальный). А ещё — это же не ваш пароль, и если спустя несколько лет с тех пор, когда вы его увидели, и до сегодняшнего дня, вы хоть что-то вспомнили, это уже неплохо.
А есть научный метод для запоминания не одного хорошего пароля, а произвольного набора несвязных хороших паролей?
Криптостойкая_хеш-функция(«мастер-пароль»+«место_ввода_пароля»).
Достаточно помнить (и держать в секрете) только хэш-функцию и мастер-пароль, считать хэш можно на специальном секьюрном девайсе, который ничего кроме как считать хэш, собственно, и не умеет.
1) Всегда иметь под рукой хэшер
2) Не упереться в длину пароля
3) Придумать политику на случай, если в сгенерированном хэше не будет нужного сервису символа (заглавные? пробел? спец.символ?)
4) Надеяться, что ваш мастер пароль никогда не подберут
Отличный план :)
В любом случае, у любого сгенерированного пароля энтропия получше будет, чем у придуманного, просто в силу более надежного источника энтропии.
А, ну и еще хэш-функцию тоже придется подбирать, ведь можно пользоваться не единственной, а комбинацией хэш-функций. Подбирать SHA(BLAKE(SHA)) по радужным таблицам посложнее будет, чем просто SHA. Правда, простота пользования при этом немного страдает.
Со спецсимволами и длиной пароля, да, согласен. Но, честно говоря, в сервисах, которые требуют определенное количество определенных символов секьюрностью и не пахнет.
Капельку совсем :)
Нет, это плохое решение
Кстати, Энигма — классический вариант подобного устройства. Клавиши с обычной QWERTY-раскладкой и цифровым индикатором, в зависимости от значения числа на индикаторе, меняются реально вводимые символы. Достаточно помнить только мастер-пароль и соответствующее месту ввода пароля индикаторное число.
Безопаснее подобного (и сравнимые по удобству) варианты — вообще без ввода пароля (физические ключи, биометрия т.д.).
Зубрить многократным и целенаправленным повторением. Возможно, интервальным.
Но, запоминать пароль нужно с конца. Т.е. убеждаемся, что помним два последних символа пароля. С этого момента пытаемся запомнить уже три последних символа. И так далее, пока весь пароль не запомнится.
Таким образом получается "начало вспомнили — а дальше мы уже знаем", что убыстряет весь процесс.
Можно например использовать систему по нарастанию сложности составного пароля.
Например простой уровень 0. 8 символов что то типа xxxx0000 или 0х0х0х0х0 и прочие вариации стандарт для мусорных форумов.
Простой уровень 0.1. xxXX0000 00XX00xx
Простой уровень 2. Мнемонический пароль с использованием вариаций памятных цифровых значений типа дат, количественных выражений и т.д. типа даты поступления в первый класс 010995 09959509 010995950901 099501019509 или 3110nokia no3110kia т.д.
Простой уровень 2.1. NO3110kia no3110kiA
Данные варианты паролей являются достаточно надежными для недостаточно важных ресурсов. Имеют хороший порог запоминания плюс всегда можно подобрать свой собственный пароль, если забыл какой именно вариант использовал - главное следовать одному принципу при составлении.
Средний уровень 3. с использованием индивидуальных "искаверканых слов" + раскладка
3110nokLa или gegshrf1488 и т.д.
Защищенный 4 применяем вариации принципов предыдущих увеличивая количество символов используя верхний регистр Gegshrf3110nokLa1488
Защищенный 4.1 все то же самое плюс спецсимвол /-+)*?:%;№ и т.д.
Итого мы имеем, при соблюдении принципа формирования пароля, даже если не помним сам пароль, но понимаем степень важности данных к которым обращаемся, возможность методом подбора вспомнить свой собственный самый сложный пароль из большого количества символов.
Защита плюс.
Все то же самое плюс 2фа плюс смс подтверждение + e-mail подтверждение т.е. используем одновременно аутентификатор с динамическим паролем и подтверждение по смс, при этом важно хранить ключ восстановления доступа 2фа в раздельном виде (разбив на 2-3-4- части, например, если это ключ 2фа для доступа к бирже торговой) на оффлайн носителе типа старого телефона без симки и вафая в разделе черновиков смс :).
Можно хранить ключ к 2фа цельным куском но заменив 1 символ на произвольный или удалив первый или последний, тут главное это хорошечно запомнить этот финт :-D.
Придумываете пароль и запоминаете его, например XyZ1294k и прибавляете к нему тег, в зависимости от сайта/приложения. Я использую 2 или 3 символа из середины названия в зависимости от четности или нечетности количества букв в названии и зеркалю его:
например для
Facebook — XyZ1294k+obe
Habr — XyZ1294k+ba
Gmail — XyZ1294k+iam
2? или 3?
Если злоумышленник знает уже 2 ваших пароля, то это означает, что пора менять пароли на всех аккаунтах.
Поэтому нужно все-таки иметь один мастер-пароль совсем другой, потом уровнем важности ниже — вот такое как вы написали, и самый низкий для мусорных сайтов.
Но тогда эта схема выливается просто к использованию менеджера паролей! И не надо забивать себе голову!
Кстати да — хранение в голове множества паролей приводит к замедлению умственной деятельности!
зы все ИМХО
Есть стойкое ощущение, что этот вектор давно утратил актуальность.
UPD: чаще нам показывают УЖЕ слитые базы с паролями. Какая разница насколько он у тебя сложный, если ломают не твою учетку на сервисе, а сам сервис? Кажется, что безопасники «не туда воюют» :)
К сожалению, далеко не везде думают о безопасности. Если у веб-ресурса нет 2FA, CAPTCHA, ограничений по количеству попыток и т.д. ― то брутфорс-атаки возможны.
Сорок тысяч обезьян...Лукьяненко, Фальшивые зеркала
Менеджер паролей это прекрасная возможность потерять все пароли разом. Такая замечательная точка единого отказа. Кто-то на это уже нарвался, когда менеджер паролей внезапно стал требовать подписку, у кого-то это еще впереди. А вот двухфакторная аутентификация мне нравится. Даже пароль qwerty с двухфакторной аутентификацией много надежнее чем просто «сильный» пароль.
Менеджер паролей это прекрасная возможность потерять все пароли разом
Наверное, речь всё-таки не про все менеджеры паролей, а про облачные сервисы хранения паролей? Сложно представить, как какой-нибудь локальный keepass может начать внезапно требовать подписку.
Если у вас всего одно устройство, то наверное можно использовать локальную версию
Вот бы придумать такой сервис, который позволяет синхронизировать файл (шифрованную базу keepass) между устройствами.
Так наверное даже еще хуже — накрылся хард и всё, амба
Вот бы этот сервис ещё бекапил эту базу.
Вот бы придумать такой сервис, который позволяет синхронизировать файл (шифрованную базу keepass) между устройствами.
Базовая синхронизация в keepass2 уже встроена по базовым протоколам. Так же есть плагины, позволяющие синхронизироваться с разными онлайн сервисами типо гугл диска, onedrive, dropbox и прочими
Давно так использую, проблем нет. Дропбокс клиенты на нескольких устройствах.
Файл бд время от времени бэкаплю.
Файл шифрован. Параноики могут пихнуть в контейнер какой-ндь VeraCrypt и запомнить всего 2 пароля (от контейнера и файла).
это меньшее зло, по сравнению со всеми существующими альтернативами
Поэтому я завёл KeePass на телефоне и ПК, синхронизировал базы через btsync (без облака, с копией на всех девайсах + NAS), и поменял пароли на этих нескольких сотнях ресурсов, аккуратно всё упорядочив.
Чтобы украсть у меня все пароли, нужно физически отнять телефон, разблокировать его и знать отдельный пароль от базы с паролями. Сценарий, конечно, осуществимый, но всё же менее вероятный и более заметный по сравнению с очередным сливом базы у Adobe.
Почти все ресурсы имеют процедуру восстановления пароля (начиная от письма на почту, заканчивая походом с паспортом в отделение) — да, это время, но не фатально.
По моему мнению, одинаковый пароль на N-сайтах опаснее, чем гипотетическая порча файла с БД в облаке.
кстати кипас был проверен независимой компанией которая подтвердила его безопасность. но на кипасе свет клином не сошелся можете выбрать любой из доступных с синхронизацией базы между несколькими устройствами.
Просто все остальные варианты которые вы можете придумать для сохранения паролей хуже чем менеджер паролей.
кстати кипас был проверен независимой компанией которая подтвердила его безопасность.
Они могут лишь подтвердить, что они не нашли уязвимостей.
Или так:
Отдыхает сисадмин (С) в отпуске на пляже. Вдргу звонит телефон:
С: - Да, Иван Петрович, что случилось? ...Да, можно пофиксить батничком, нужно только под админской учёткой зайти. ...Грёбаные уроды, как же вы меня все достали. ...Да, на английской раскладке, большими буквами. ...да, у-р-о-д-ы. ...Да ничего страшного, всего доброго.
Менеджер паролей это прекрасная возможность потерять все пароли разом. Такая замечательная точка единого отказа. Кто-то на это уже нарвался, когда менеджер паролей внезапно стал требовать подписку, у кого-то это еще впереди.
GNU pass + git репозиторий. Подписку не требует, исходники открытые, устройства можно синхронизировать через свой гит, имеет кучу плагинов и расширений, в том числе и автозаполнение в браузерах. Вот только не знаю, есть ли виндовый клиент.
А насчет «единого» пароля для всего, например к пассворд менеджеру… Установил себе очень удобный менеджер паролей с идентификацией по отпечатку пальца. И за месяц его использования попросту забыл мастер пароль, потому что изо дня в день пользовал только сканер пальца. И когда после некоторого обновления ОС и самого менеджера слетела биометрика — был просто в панике. Потому что залил туда все свои креденшиалы.
К счастью, история завершилась успешно. Через день подобрал свой мастер пассворд, но нервов то стоило.
*Подразумевается ситуация «кирпич на голову — попал в больницу».
Варианта надёжных паролей всего два:
1. Менеджер паролей с рандомно-сгенерироваными пароялми
2. Парольные фразы
Всё остальное - либо неудобно, либо небезопасно, либо и то и другое.
Ситуация загадочная: с одной стороны есть очень насущная проблема — запоминание паролей. Проблема актуальна для огромного числа людей. С другой стороны вроде бы есть решение — мнемотехника, которая позволяет запоминать произвольную бессмысленную информацию. Но нет ни одного человека, который бы использовал мнемотехнику для запоминания паролей!
А самый адский пароль на WiFi был у меня в отпуске, какой-то гений не иначе создал пароль из нескольких десятков одинаковых символов. Что-то вроде
1111111111111111111111111111111111111111111111111111333333333333333333333333333333До сих пор считаю это самым неудобным паролем для ввода, так как перепроверить правильность нереально сложно.
… на телефоне корячится и пытаться вписать все эти символы… А самый адский пароль на WiFi был у меня в отпуске
QR-код? Печатаем, показываем, убираем.
Андройд вообще умеет генерировать QR-коды для сохраненных сетей. Приходите к кому-нибудь в гости вместо того чтобы долго и упорно вводить пасс — три тапа и вуаля.
Идеальный пароль по науке: трудно взломать, невозможно забыть