Придумываем сложные и легко запоминаемые пароли

    Относительно часто на хабре попадаются статьи так или иначе касающиеся паролей. Например, эта, или эта или эта. Тема интересная, и я решил внести свою лепту.


    Я уже пять лет использую свой метод, и за это время не забыл ни одного из своих паролей. Средняя длина пароля — 18 символов. Цифры, спецсимволы в комплекте. Я называю этот метод «методом маски», и уже неоднократно описывал его в комментариях к статьям о паролях. Итак, небольшое пошаговое HowTo:
    1. Как и следует из названия, нужно выбрать себе маску пароля. Эта строка должна быть сложной, содержать в себе цифры, символы алфавита во всех возможных регистрах, спецсимволы и т.п. Запомнить всю эту билиберду придется один раз. Допустим, я выбрал себе маску «MySecrEt+*######_83». Здесь символы решеток — не часть маски, вместо них мы будем вписывать…
    2.… свою ассоциацию с ресурсом, на котором пароль используется. Например, для Хабра итоговый пароль может быть «MySecrEt+*itcommunity_83». Очень важно то, что в качестве «соли» в маску вписывается именно ваша ассоциация с ресурсом. Первая пришедшая в голову. Для рутового аккаунта можно использовать пароль «MySecrEt+*dangerous_83». Можно не стесняться использовать цельные слова: если ваша маска достаточно сложна, перебор по словарю не поможет вскрыть пароль.
    3. Теперь, когда вы заходите на какой-либо ресурс, можно не морщить лоб — пишите свою секретную маску и первую ассоциацию. Если не поможет — вторую ассоциацию. Третью. По моему опыту самый тяжелый случай — три попытки. Был какой-то неведомый ресурс, ассоциация с которым была не совсем очевидна. Если совсем ничего не помогает — ну, сбросить пароль и установить новую ассоциацию очень часто несложно.

    После всех этих манипуляций мы получаем пароль, который невозможно сломать перебором (пароль для хабра в примере имеет длину 24 символа), который с трудом поддается перебору по словарю (это возможно только при условии раскрытия вашей маски злоумышленнику) и который очень просто запомнить.

    Для того, чтобы как-то разграничить зоны безопасности, можно использовать разные маски для разных категорий ресурсов. Например, пароли к рутовым аккаунтам серверов — одна категория, пароли к соцсетям, твиттерам и прочим вещам — другая категория, пятиминутный треш — третья. Так можно будет минимизировать риски раскрытия маски пароля.

    P.S. Если есть еще какие-нибудь предложения по усовершенствованию — пишите в комментариях.
    P.P.S. Я не претендую на авторство этой методики. Вполне возможно, что кто-то и до меня предлагал такой метод.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 35

      0
      Простите, но все эти правила — это компромисс. Сейчас полно программ даже для сотовых, чтобы безопасно хранить пароли. Забивать голову запоминанием паролей совершенно ни к чему.
        +5
        Сотовый не всегда может быть под рукой. Да и потом, я не знаю какой уровень безопасности обеспечивает программа. Не говоря уже о возможной потере/краже телефона.
          0
          Положить бумажку с паролем под клавиатуру. Никто не догадается!
        +2
        тем кто был в школьниками ещё в советском союзе проблемы придумывания и запоминания длинных паролей не знакомы — «скажи ка, дядя, ведь не даром», «мой дядя самых честных правил» и т.д. Можно до кучи подобрать «фирменный стиль» подмены букв знаками и цифрами, что драматически усилит пароль.

        хотя может и сейчас стишки в школах заставляют учить
          0
          Да, верно. Но подите-ка вспомните какой пароль вы ввели при регистрации год назад. Будете перебирать все строфы из школьной программы?
          Я ведь не предлагаю всем все резко бросить и переходить на «масочно-ассоциативный» метод. Просто этот метод выдерживает компромисс безопасности и удобства на премлемом для меня уровне. Может быть, кому-нибудь этот метод тоже подойдет.
          0
          Хороший метод, кто-то уже писал на хабре (быть может и вы).

          Чтобы упростить, думаю, можно секретный ключ добавлять или в начало, или в конец: MySecrEt+*_83######, по-моему безопасность не пострадала бы.
            +1
            Как антоним упрощению — чередовать символы: M#y#S#e#c#r#E#t#+#*#_#8#3#, безопасность ни сколечки не увеличится, а мозги при введении сломаются :)
              0
              Можно вообще «плейсхолдеров» в маске сделать несколько. Если вы сможете потом без проблем вспоминать нужные пароли — это отлично.
                0
                Я как раз не вижу выгоды от этого.
                  0
                  Да, действительно, их нет :)
              +1
              удивляюсь людям, которые парятся по этому поводу.
              у меня всего три пароля — все в моей памяти — от почты, от важных ресурсов и от неважных ресурсов. На почте регулярно меняю (раза три в год), на важны тоже иногда меняю, но такое случается ещё реже — их же много =).
              В конторе где работаю система заставляет менять пароли раз в пару месяцев, причём запоминает десяток последних — приходится всегда придумывать заново =(
              пароли везде однотипные: в нерусской раскладке пишу русские слова, иногда букву «а» меняю на "@", первый или последний символ — цифра, между словами — фигурные скобки =):
              3{Dhlheo/{Jthfxp@
              1{Hqyfm{Jbducfo'{Qytheyp
              Kh'{Nhk{Fhkyd{37
              Kh;{Bykiydub.du{40
              Nh{Wubu'jpu{pxthkybdhe{30
              Hbeyb{f@{Gtuefo'{Ehidhj{42
              ну и так далее…
              Есть ещё один нюанс который позволяет повысить секьюрность этого способа, но я умолчу (вы и сами догадаетесь, если попытаетесь «вскрыть» мои пароли =) )
                0
                Не буду настаивать, но использование одного пароля на нескольких ресурсах — это верх информационной безответственности :) А если вы администрируете 50 серверов?
                  +2
                  я так не считаю.
                  Если вскроют мою почту — могут и всё остальное увести, воспользовавшись напоминалками, поэтому к почту отношусь особенно бережно.
                  Если уведут, допустим Хабр, то как это отразится на остальных ресурсах (учитывая, что нормальные ресурсы при смене почты отправляют запрос на подтверждение на старую)?
                  Это я к тому, что допустим кто-то овладел моим хабром или Дёртей, или вконтактом, или Скайпом…. Поменял пароль. Я захожу, жмякаю «Забыл пароль» — и Он вновь мой. Быстренько меняю пароли на остальных ресурсах.
                  А если вы администрируете 50 серверов?

                  Благо, такой ответственностью я обделён, но не спорю — в таких случаях — каждому свой пароль.
                +4
                Как только злоумышленнику попадают в руки два ваших пароля от разных ресурсов, он видит в них совпадающую часть и отличающуюся часть в виде словарной конструкции. После этого он делает предположение, что остальные ваши пароли сформированы по аналогичному правилу и простым перебором по словарю подбирает все остальные пароли от всех ресурсов.
                  +1
                  Это да, но вероятность такого «как только» мала.
                    +1
                    после того как вы автор рассказал об этом на хабре она значительно увеличилась. фактически хакеру остается найти все места где он зарегистрирован, взломать одно из них (а где то пароли хранятся вообще в открытом виде) и дело в шляпе.
                  0
                  Ключевая фраза, отделенная спецсимволами, плюс название ресурса, Ctrl+A, Ctrl+C, Ctrl+V, Ctrl+V, Ctrl+V.
                  Вроде не подводило…
                  +6
                  На что только люди не пойдут чтобы не использовать prononceable алгоритм генерации.
                  Берем в руки APG/WAPG (например вот тут www.adel.nursat.kz/apg/download.shtml), вызываем команду примерно такого вида
                  wapg.exe -a 0 -M Nl -n 30 -m 21 -t > generated_passwords.txt
                  и получаем отлично запоминаемые пароли вида

                  muowlyedaddyijyosyud4 (mu-owl-yed-add-yij-yos-yud-FOUR)
                  tescircadkichechhelj0 (te-scirc-ad-kich-ech-helj-ZERO)
                  mis7kliabowpevweshoc2 (mis-SEVEN-kliab-owp-ev-wes-hoc-TWO)
                  cuedvockwiuknabnanun9 (cued-vock-wi-u-knab-nan-un-NINE)
                  gethyacoycsor6fribdaf (geth-yac-oycs-or-SIX-frib-daf)
                  fliehiwatphungiffops2 (flie-hi-watph-ung-iff-ops-TWO)
                  phefweacwaujnihejfak0 (phef-weac-wauj-ni-hej-fak-ZERO)


                  Поверьте они запоминаются на раз-два. особенно легко если брать не генеренные а комбинировать свой пароль из разных кусков сгенеренных паролей. Я при помощи такого метода уже лет пять держу в уме десяток 18-20-символьных паролей непохожих друг на друга. Они запоминаются просто как фразы…

                  Вот, например, что из свежесгенеренного выше можно собрать (если добавить 2-3 правила типа слова — с заглавной буквы, после 2х слов — цифра и каждая пара слов разделяется точкой):
                  Mizz6Fly.Kich4Knab.Frib9 — звучит как музыка — мизз-сикс-флай-дот-кич-фо-кнаб-дот-фриб-найн

                  И такой пароль в случае чего — очень легко продиктовать по телефону или мнемонически вспомнить по ассоциациям — например — «шестая мисс летела на кухню за печеньем ( такая ассоциация =) ), бесплатным для девятки». А эту ассоциацию можно легко вписать в password hint или Secret Question — никто не догадается.

                  Да, я все-таки пользуюсь утилитой хранения KeePass но больше для бэкапа основной памяти, а не как основной источник хранения =).
                    0
                    Это отличная вещь. Сам давно пользуюсь APG Online.
                    +3
                    Что вы делаете, если ресурс сделан дебилами и пароль ограничен по длине и допускает только буквы и цифры?
                      +1
                      Для таких ресурсов как раз и придумывается наипростейшая маска наименьшей защищенности.
                      Ex: passHA6p
                      0
                      [offtop]
                      А почему бы для хабра не использовать MySecrEt+*habrahabr_83?
                      [/offtop]
                        0
                        Потому что тогда при раскрытии маски сразу же раскрываются все ваши пароли. Это все равно, что для хабра использовать пароль «habrahabr».
                        0
                        Меня ругают, конечно, некоторые товарищи, но я использую:
                        echo MySecrET+$domain | md5sum
                          –2
                          RE: Что вы делаете, если ресурс сделан дебилами и пароль ограничен по длине и допускает только буквы и цифры?
                          А зачем ресурсы, сделанные дебилами?
                          Если очень нужны — мылить в соппорт.

                          Метод не достаточно надёжен простив соц инженерии. Тем более что в качестве «соли» Вы предлагаете использовать не настоящую «соль», а ассоциацию с ресурсом.

                          По поводу недоверия к менеджерам паролей — параноики напишут свой.
                            0
                            Что значит недостаточно надежен против социнженерии? Насколько я знаю, социнженерия использует человеческий фактор и недостаточно надежным можете быть вы, но не метод. И что такое «настоящая соль» не совсем понятно.

                            А по поводу «своего» — Шнайер писал: «Если вы решили написать свой алгоритм шифрования, то вы либо гений, либо идиот. С учетом отношения гениев и идиотов в наше время шансов у вас не так уж много».
                              0
                              А метод в который заложен чел фактор, не становится не надёжным?

                              Это значит что «Первая пришедшая в голову. » может быть угадана/подобрана, а что бы мне быть достаточно надёжным, пользуюсь Вашим методом, следует использовать не первую пришедшую ассоциацию, но при этом теряется удобство использования.

                              «Настоящая» соль, почитайте про md5+salt, можно здесь ru.wikipedia.org/wiki/Salt:
                              «Перед хешированием к паролю добавляются случайные символы — «salt» (соль, от англ. add salt to sth. — сделать что-л. более интересным, в русскоязычных источниках иногда используется термин «затравка»).», где ключевые слова «случайные символы», поэтому «ассоциация с ресурсом» по моему не настоящая соль.

                              А по поводу «своего» — Шнайер писал именно про алгоритм, а если Вы не заметили, я писал о менеджерах паролей.
                                0
                                Ну если смотреть под таким углом, то в любом случае человеческий фактор пристуствует, ведь компьютером пользуется человек.
                                «Соль» здесь — не в смысле случайной соли, а в смысле куска пароля. Не нравится термин? Ну придумайте другой.
                                А менеджер паролей вы на чем напишете? Где пароли будут лежать? Будет ли менеджер паролей постоянно доступен? Как будет регулироваться доступ к паролям? Как пароли будут зашифрованы? Какой длины ключ, сколько в нем реальной энтропии? Вопросов слишком много, и вряд ли у вас получится написать что-то безопасное. К тому же вы вряд ли решите главную проблему менеджеров паролей — «хранение всех яиц в одной корзине».
                            0
                            а можно придумать слово, сделать его md5 и использовать как пароль…
                              +1
                              Ctrl-V не всегда удобен/секьюрен при авторизации.
                                0
                                в таком случае sha1 я думаю тебе легче будет запомнить
                                0
                                Скажу одно, добгое время пытался супругу приучить к человеческим поролям, вместо от простого «1» до по её мнению ужасно сложного «zxc12345654321». А вот тут получилось. Респект.
                                  0
                                  Также дошел до подобного, только писал часть (не полностью) домена сайта+маску, которая одинакова для всех.
                                  Конечно, имея алгоритм и маску можно возвратить пароль для других сайтов, но это сделать автоматизированно не получится. Да и подобные пароли применять стоит только для сайтов, вызывающих опасение.
                                    0
                                    Использую для генерации пароля статистические и динамические тэги. Тестирую уже этот способ 8 месяцев довольный =)
                                    Суть проста статистические тэги — это теги, которые не забыть: цвет глаз, дата рождения, имя и т.п., а динамические — это тэги, которые вы выбираете в качестве алгоритма для генерации везде уникального пароля, это может быть адрес сайта, название, цвет и д.р.

                                    Сам скрипт — psw.wirtel.ru/
                                    …боюсь хабра-эффекта, но пост старый думаю не умру; )

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое