Комментарии 22
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях…
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Мне интересно, как Picture1 смог оказаться настолько популярным паролем. Вроде бы не самый очевидный выбор.
А мой супер секретный пароль 123654789 в топ 200 не попал))
У меня есть простенький пароль, который я использую на незнакомых сайтах, где требуют регистрации, но данные там свои не оставляю. Гугол менеджер паролей говорит все время, что он скомпрамитирован, но в топах его нету.
Интересно, скомпрамитирован, то есть была утечка с одного таких сайтов или то, что он в базе?
ИБ-исследователи советуют менять пароли не реже одного раза в 90 дней
А ещё они рекомендуют иметь разные пароли на разных сервисах. В итоге получаем с десяток смен паролей раз в три месяца, при этом совершенно ничего не выигрывая.
Если пароль зубодробительный, 16+ символов и хорошо хранится (как сервисом так и владельцем) — то менять его каждые N дней нет смысла, ибо перебор его вряд-ли возьмёт, а если он хранится в открытом виде или там такой слабый хэш что и 16 символов быстро перебираются (что само по себе маловероятно, там 64 бита энтропии) — то его частая смена тоже не поможет.
Это защита от случайной утечки. Типа злоумышленник как-то получил пароль и незаметно им пользуется. Подсмотрел, например. Тогда при смене пароля он обломается. Но этот сценарий не всегда актуален.
— Какой тут у вас пароль?
— Без пароля.
— Что то не получается войти, пароль ввести требует.
— Слово "Без" с большой буквы.
Еще был такой анекдот про человека, которого админ отругал за то, что он использовал кличку своей собаки в качестве пароля. А собаку звали
d43#5Flg8Ra$xr9%5vvz.
?(ISH~"!VKkq]ed]3d'M
Не благодарите)
NordPass опубликовала рейтинг самых слабых паролей из утечек этого года