Комментарии 49
Получившуюся комбинацию — ERTnmm@#dkf901Pushistik777 — устанавливаете в качестве пароля для ВКонтакте в самой соц. сети.
А потом окажется, что на ресурсе от пароля проверяются только первые N символов, а остальные можно вообще не вводить.
Пара сервисов сливает ваши пароли в открытом виде и вот уже все знаю, что суффикс вашего пароля всегда Pushistik777
Именно поэтому я отказался от использования повторяющихся паттернов генерации паролей, да.
Реально если нет 2FA, то подхода два:
либо максимально возможный рандом (можно не букв, а слов), продублированный записью в надёжном месте, на случай забывчивости;
либо - универсальный пароль для малозначимых сервисов (и то только тех, которые не удосужились OAuth завести).
Второй, разумеется, имеет массу минусов и применять его надо взвесив все возможные последствия утечки.
Как хранить пароли если ты ПАРАНОИК?
Keepass (пароль + файл-ключ)=надежный мистер пасс.
Кейлогер ворует все куки, тащит все из реестра, ОЗУ (ключи LUKS/Veracrypt), другое вредоносное ПО публикует сообщения от имени хозяина тачки и его позже арестовывают и тд...
Если у пользователя скомпрометированная машина о какой-либо защите по существу предполагать не приходится.
Тоесть комент выше - бредовый.
Если человек заботится о безопасности, то обычно по умолчанию подразумевается что элементарные правила цифровой гигиены, такие как наличие антивируса и не открывание подозрительных ссылок в письмах, он уже соблюдает.
1) Malware перед каждым распространением криптуют, чтобы избежать обнаружениия антивирусами. Антивирусы сейчас все облачные, поэтому довольно быстро обнаруживают волну заражений, но даже так, зловредное ПО может распространяться незамеченным от нескольких часов до нескольких дней.
2) Подозрительные ссылки в письмах — это технология прошлого века (хотя и она работает, судя по всему). Malware может поджидать вас на вполне нормальных сайтах компаний, в github-репозиториях, на торрент-трекерах, в интранете у вас на работе, и т.п.
А что они там взламывали на GPU?
Если я правильно понимаю, чтоб взломать перебором Вконтакте, нужно обращаться через API/GUI и пытаться залогиниться. Думаю где-то на 10й попытке заблочат или замедлят.
Т.е. параноить нужно над паролями всяких архивов, дисков, кошельков и т.д., которые могут увести и действительно спокойненько брутфорсить на GPU.
Я для себя решил проблему путем использования файлика с длинными рандомными уникальными паролями, зашифрованными длинным мастер-паролем. Неудобства конечно имеются, за несколько лет использования образовался список хотелок, которым скорее всего удовлетворяет какой-нибудь менеджер паролей, но не хотелось бы цепочку доверия добавлять еще один "черный ящик", особенно когда дело касается денег, и нет защиты 2фа.
Можно использовать русское написание в сочетании с английской раскладкой.
Не рекомендую, сейчас полно мест, типа мобильников, где нет доступа к обоим раскладкам одновременно. Плюс это плохо работает, когда надо вводить пароль на клавиатуре другой страны/раскладки.
Если знаете ещё какие-либо методы защиты паролей
Для параноика? Пароли точно должны быть уникальными, каждый. Чтобы компрометация одного или нескольких не приводила к возможности что-либо переиспользовать, части или целиком. Во многих сервисах до сих пор пароли хранят в открытую, это надо учитывать и считать, что любой пароль в любой момент станет известен.
Там где необходимо, надо помимо пароля использовать ключи (например для контейнеров).
В менеджере паролей надо хранить не сами пароли, а подсказки или части, чтобы компрометация (а менеджер паролей это очень лакомый кусок!) не привела к катастрофе.
Двух-факторка через ключи (не через смс по возможности) обязательна для критических сервисов, типа банков, работы, ВПН и т.п.
Да вообще про это статью можно писать…
Сейчас каждый суслик в поле агроном. То требуют цифры-буквы. то добавить символы. То минимум 6 знаков, то минимум 8 знаков в разных регистрах.
Плюс еще логин - то телефон, то почта, то еще что. И это только на МОЭСК, МОЭК, Госуслуги, Мос.ру, водоканал, провайдер, УК в доме.
С паролями вроде на память не особо жалуюсь, а вот логины приходится сохранять.
спецсимвол+домен+ник+парольная_фраза
(порядок можно же менять!)
Пользуйтесь :)
P.S.
Сейчас пытался вспомнить свою парольную фразу и не смог. Она полностью перешла в мышечную память :(
Тоже, ведь, нюанс, однако.
Мышечная память это хорошо, пока не придется вводить на незнакомой клавиатуре. Например, память выработалась на компе, а вводить приходится на телефоне.
Так писали выше. Пара утечек полных баз - ваша схема и парольная фраза становятся общим достоянием...
Если сначала человек сопоставил Вашу доп фразу по утечкам баз, а потом пошел и вскрыл Ваш менеджер паролей, то скорее всего это таргетированная атака лично на Вас и тут как бы вообще мало что спасет, потому что хакает не Вася Script Kiddie и не случайный китайский хакер получивший случайно доступ к Вашему ПК...
Опять же ничего не мешает сделать первую часть пароля длинной в 20-30 символов, а вместо Пушистик или чего-то осознанного использовать 12-20 значный рандомный пароль. В этом случае ок доп фразу узнали это - 12-20 символов, остаются остальные 20-30+ символов которые мы сгенерили рандомно. Прибавляем к этому двуфакторку.
Метод №2 в целом предназначен для попытки защиты именно от факта компрометации менеджера паролей. Опять же повторюсь: от таргетированной атаки на конкретного человека вообще мало какие методы помогут.
По поводу публичных сервисов я в целом согласен. Но полагаю в корп сегменте все еще валидный метод для защиты паролей от серверов и учеток. Мы же не храним в 1й базе и личные и рабочие пароли. На работе свой KeePass со своей базой. И в корп сегменте утечка парольной базы в открытом виде не частое явление.
Чаще вектором атаки становится компрометация компа админа и вскрытие базы KeePass или поиск текстовика с паролями, либо Brute Force по спискам утечек и патернам генерации УЗ в домене (например - Фамилия.Первая буква имени).
автоматизировать поиск домена в паролях не сложно
а потом попробовать начальный кусок на сайтах где есть ограничение на длину пароля
не видно особых приемуществ такого подхода по сравнению с менеджером паролей + уникальный случайный пароль на каждый сайт
пароль длиной 30 - 50 символов вводить крайне неудобно и с длинной растет вероятность где то ошибиться. А на части сайтов все равно будет использоваться только небольшая начальная часть пароля, что сильно снижает его стойкость.
из бонусов только то, что его можно ввести без менеджера паролей, но с такими длинными паролями это редко делается.
Компрометация менеджера паролей это уже целевая атака на конкретного человека.
У меня тоже самое с кодом на машине. С ужасом думаю, что не смогу завести если оторвёт палец.
Можно использовать русское написание в сочетании с английской раскладкой.
Да-да, поставил на ПК (где можно сменить раскладку, но печатать, глядя на нанесенные на клавиатуре буквы), а потом на мобильном устройстве, которе услужливо перерисовывает клавиатуру при смене раскладки - "ой, я сейчас войду, только вспомню, как буквы относительно друг друга находились!"
Ну и да, ладно бы хотя бы пароли требовали букв-цифр-знаков_препинания, а то самый никому не нужный сайт и самая ненужная инфосистема требует и большие, и маленькие буквы, и цифры, и знаки препинания, и чтобы логин (и его части) не содержались, и чтобы символов было не менее 8... ах да, и менять это все раз в месяц, притом на прошлый вариант нельзя!
Для себя 100% решения не нашел. Вопрос надёжности и сохранности паролей для большинства нормальных людей с каждым днём стоит всё острее (параноиков вообще жаль), а его важность увеличивается с каждым новым сервисом и "госуслугой".
Хоть я и не очень параноик, но доверять свои пароли даже "кем-то проверенным" менеджерам и ресурсам в сети мало-мало стесняюсь.
Мышечная память пальцев (клавиатуры) ломается об виртуальные клавиатуры, особенно в смартфонах, а с них вводить пароли приходится всё чаще.
Слова в другой раскладке ломаются там же (п.2), как собственно уже заметили выше.
Менеджеры паролей почти панацея, но:
см. п1
кроссплатформенность вкупе с несколькими, ежедневно используемыми, девайсами добавляют неудобств.
Как я вижу менеджер паролей:
Кроссплатформенный - желательно полный набор от Андроидов/АйОСов до Винды
Возможность хранения своей БД "где попало", например в своем облаке или на сайте разрабов (для совсем непараноиков) и подключением к этой БД с разных устройств используя мастер-пароль.
Естественно супер надежный, совсем не взламываемый и конечно же бесплатный :)
Исходя из вышеизложенного можно вывести идеальный менеджер паролей: разобраться в вопросе и методах шифрования и написать такой менеджер самому, попутно научившись писать под разные платформы. Причем одним их рецептов надежности тут будет то, что о его существовании никто не знает :). Минусов у такого решения чуть больше чем много, так что это утопия.
Ну и упомянутый выше зоопарк устройств всё портит - то на компе нет NFC, то в смартфон флешку с ключами не воткнешь и т.п.
Как я вижу менеджер паролей:
Bitwarden/Vaultwarden?
А чем плох KeePass в одной из его вариаций?
база шифруется по ключу и паролю, после чего ее хранить/синхронизировать можно через что угодно. Есть клиенты под все платформы. Локальный.
Никаких минусов. Я себе написал и пользуюсь.
Как я вижу менеджер паролей:
KeePass подходит под все эти хотелки, и даже больше - это нормальная оффлайн локальная программа с опенсорс форками под все ОС, а не гнилой облачный сервис.
Как вариант -- HID устройство, которое втыкается в USB и эмулирует клавиатуру. В самом простом случае - одна..три программируемые кнопки, которые выдают префиксы для паролей для разных случаев. Получается эффект, как будто сам напечатал.
В более продвинутом случае пока не придумал, вариантов много.
Почему до сих пор не было ссылки на xkcd про то, как людей научили придумывать труднозапоминаемые легкоперебираемые пароли?
Самое ужасное что в некоторых сервисах ограничивают максимальную длину пароля (сам ругался с коллегами с соседнего проекта, которые не думая внедрили эту "фичу" в личном кабинете одной компании, предоставляющий услуги ЖКХ: аналитики написали ограничения, т.к. привыкли писать их для всех полей, программисты молча повторили, обнаружил случайно, когда попросили посмотреть какую-то фичу), типа 20 символов - и всё.
Другой прикол - ВТБ24 5-7 лет назад со своим онлайн-банком, в котором в пароле можно использовать только определённые символы (цифры и буквы в одном регистре, а логин у них вообще чисто цифровой был), при чём, когда задаёшь пароль, он не ругался на лишние символы, а молча регистрировал, только потом войти не получалось, приходилось повторно в банк идти.
Меня удивляет то, что нет общепризнанного распространённого стандарта на то, как следует работать с паролями (в т.ч. валидация и т.п.), чтобы подобные странные сервисы можно было тыкать носом что у них работа с паролями не соответствует RFCxxxx.
Есть у меня один лайвхак, не везде подходит но иногда отлично работает.
Я делаю сложным не/нетолько пароль а/нои логин. К примеру есть у знакомого сайтик деланный мной на вордпрессе, визитка его конторы и витрина магазина. В логах 100500 записей о том как все кому не лень пытаются подобрать пароль к учётке admin, только вот админская учётка там из двух десятков рандомных цифробукв. Пароль из того же ляду только длинна сильно больше.
Даже если бы пароль был 000 и написан на главной странице всё равно не понятно куда его применять.
Звучит глупо но в целом дополнительный слой паранойи который работает
перебор по словарю даже фраз в другой раскладке не сильно сложнее перебора коротких символьных паролей
очень длинные фразы очень часто упираются в ограничение на длину, ну и они должны быть ну очень длинными, чтобы перебор по словарю был сложным. Еще необходимо иметь уникальный пароль на каждом сайте, иначе утечка с одного откроет доступ ко всему.
Так что альтернатив использованию менеджеров паролей со сгенерированными паролями особо нет
Про фразы из книг и из кино забудьте, перебрать все книги и фильмы мира на GPU тоже несложно.
Пароли, конечно, надо правильно хранить (или не хранить вообще). Но на данный момент любой пароль уже не может рассматриваться как надежный фактор авторизации. То есть, в своей линии защиты нужно предполагать, что ВСЕ ваши пароли рано или поздно утекут.
Пароли могут быть уникальны — но, например, утечка пароля к почте поставит под угрозу много других аккаунтов.
Основные каналы утечки сложных уникальных паролей — фишинг и malware. От фишинга более или менее понятно, как защититься.
Malware не нужно недооценивать. Например, автор пишет, что вскрытие менеджера паролей — это, скорее всего, таргетированная атака, и автору это не грозит. Не совсем так. Malware-стилеры, распространяемые в ходе массовых атак, нацелены в том числе и на менеджеры паролей, и ваш мастер-пароль они просто запишут, когда вы будете его вводить.
Исходя из этого, сами методы защиты паролей не так важны, как способы минимизации ущерба в случае их утечки.
Параноиком быть плохо
Ну почему же… Хотя, согласно Википедии, паранойя это редкий вид психоза, при нем (цитата от туда же): "… в отличие от шизофрении, с отсутствием прогрессирования негативных симптомов и изменений личности (то есть отсутствует нарастание апатии, абулии, снижения энергетического потенциала и исхода в эмоционально-волевой дефект) и с отсутствием нарушений восприятия (иллюзий или галлюцинаций)[4][5]. Параноиков от других больных психозом также отличает целенаправленное, упорядоченное, последовательное и в какой-то степени предсказуемое поведение[6]"
Так что
А что если в качестве паролей (для online-сервисов) использовать генератор пароля в виде ..... публичного web-сайта, доступного с любого гаджета ?
Который, ничего не сохраняя всегда генерирует пароль для юзера по введенной им пары ключей, скажем "для какого сайта" и "какая-то общая соль", с помощью одного из внутренних своих алгоритмов, тоже выбираемого в зависимости от ключа "для какого сайта".
Т.е. чтобы куда-то залогинится - ты:
не запоминаешь ничего, кроме "общей соли" ("Пушистик777")
обязательно должен зайти на этот сайт-генератор (uptime 146%)
получить там пароль (всегда один и тот же для каждого домена)
ну и наконец-то залогинится
Сайтик такой может быть и в сети разбросан по разным адресам, и на своем хостинге до кучи - там же статичный алгоритм.
Тогда люди будут взламывать не вашу почту, а подбирать соль к вашему сайту, тем более что он в публичном доступе. По-моему это даже менее надежно.
Если сделать нормальную реализацию, требуемое время подбора превысит время жизни Вселенной
А вот тут https://habr.com/ru/company/selectel/blog/567250/ доказано, что сгенерированные псевдослучайно пароли (как сейчас браузеры предлагают) достаточной длины - вполне себе надежны от брутфорса.
Так вот моя идея и есть - вынести такой генератор в общий публичный доступ с фиксированным многовариантным алгоритмом генерации под каждый сайт (ключ).
Не проблема сейчас не с генерацией паролей, а проблема с запоминанием множества надежных паролей. И получается, что статичный публичный алгоритм поможет НЕ запоминать их, но обеспечить хорошую уникальность.
Вот только надо подумать как менять первый ключ "для какого сайта", если надо сменить пароль этого сайта...
Такое уже давно есть, например: https://chriszarate.github.io/supergenpass/
Есть плагины под браузеры, с ними поле пароля само будет заполняться, а в гостях можно использовать форму по ссылке выше (кнопка Mobile), данные из неё никуда не отправляются, пароль формируется в браузере открытым JS кодом, можно его и на свой хостинг скопировать.
Спасибо! Это ж вточности моя идея реализована ! Надо будет практически попробовать, себе на хостинг установил.
Можно аналогично делать без спец. сайтов. Например брать текст состоящий из:
название сайта + пароль (соль)
Считать от этого текста хэш, с помощью MD5. Использовать результат хэша в качестве пароля. Но ещё добавить статичную комбинацию больших букв и спец. символов, чтобы подходить для всех масок по сложности пароля. Считаем, что статичная часть всем известна. Тогда сложность определяется только символьной длинной MD5. Что обладает достаточной криптостойкостью. Но тут сразу можно решить вопрос с публичностью алгоритма для MD5. Он и так везде есть. Даже для мобильного телефона отдельные приложения, которые не лезут в сеть. Можно хоть самому написать за пару часиков (что кстати и сделал).
название сайта + пароль (соль)
Название сайта, бывает, меняется. Причем не всегда это заметно — могут слова переставить или Большие Буквы заменить на строчные. Хэш поменяется — и ой.
Адрес сайта тоже может меняться без предупреждения. Как минимум — могут какой-нибудь поддомен вкрячить типа «members.site.com».
Считать от этого текста хэш, с помощью MD5. Использовать результат хэша в качестве пароля.
Хэш даже в виде base64 получается длинноват. А 32 символа hex'ов, да еще с добавлением «статичной комбинации» уже не во все формы влезут.
Но ещё добавить статичную комбинацию больших букв и спец. символов, чтобы подходить для всех масок по сложности пароля.
Для всех точно не получится. Список допустимых спецсимволов бывает сильно разный: где-то можно вписать в пароль вообще все, что угодно, а где-то, например, запрещены любые спецсимволы кроме небольшого набора.
Считаем, что статичная часть всем известна. Тогда сложность определяется только символьной длинной MD5.
ну почему же. Считаем, что известен и алгоритм работы — а значит, что хэшируем мы «название сайта + пароль». Сложность в этом случае определяется как раз этим скрытым паролем.
ну, можете как Сафронов
"От первого лица" - книга о Путине или любой из мемуаров Ельцина. Лучше на англ языке. На других языках тоже можно, но шанс стать иностранным шпионом повыситься.
Выбираете страницу. абзац.
вуаля.
Как хранить пароли если ты ПАРАНОИК?