Как стать автором
Обновить

Решение вопроса с паролями — раз и навсегда

Информационная безопасность *


Эта статья выросла из одного обстоятельного комментария. За идеи, описанные там, меня поблагодарили несколько человек в реале — поэтому было решено оформить их в топик.

Итак, как же легко и ненапряжно создавать и использовать уникальные и криптостойкие пароли для каждого сайта, на котором довелось заводить аккаунт? Как сделать так, чтобы через 3 года забвения, обнаружив свой покрытый мхом аккаунт, вы не задумываясь залогинились, введя уникальный для этого сайта 15-символьный пароль, состоящий из не поддающегося анализу набора букв и цифр?

Я пользуюсь этой системой уже почти год, придумав ее после взлома моего аккаунта в соц. сети — и с удовольствием поделюсь с заинтересовавшимися . А также — что не менее важно — хотелось бы получить фидбэк в комментариях, побольше здоровой критики — и узнать ваши варианты решения этого вопроса.

Ход конем


В какой-то момент, в очередной раз намаявшись с восстановлением пароля от какого-то сервиса, я принял решение решить данную проблему и больше к ней не возвращаться. Немного поломав голову, я решил что лучше всего для генерации паролей подойдет какая-нибудь хитроумная и неочевидная окружающим система, исключающая напряжение вспоминательной мышцы при вводе пароля совсем. Все новые аккаунты нужно создавать, руководствуясь этой системой, а уже созданные — переделывать, меняя пароль, чтобы алгоритм его ввода постепенно стал идентичен для всех сайтов. Для реализации нужно совсем немножко самодисциплины.

«Десять тысяч обезьян в **** сунули банан». Лукьяненко С.


За основу будущего пароля берем кусок незабываемого или легкогуглящегося английского текста. В качестве примера я возьму первые три строчки из песни Celine Dion к «Титанику»:

Every night in my dreams
I see you, I feel you
That is how I know you go on


Берем первые буквы каждого слова, сохраняя регистр. Тут всего 3 строчки. Запомнить, с какого слова начинается каждая — легче, чем напечатать это предложение. Результат:

EnimdIsyifyTihikygo

заменяем i на 1, o на 0 — или любую другую пару букв на цифры, по вашему выбору. Мой выбор обусловлен визуальным сходством между «I» и «1», «o» и «0» — облегчает замену «на лету», делает ввод пароля более механическим, не требующим лишний раз задумываться. Результат:

En1md1sy1fyT1h1kyg0

Время для главного финта ушами, который обеспечит уникальность пароля на каждом интернет-ресурсе. «Привязываем» получившийся пароль к имени сайта. К примеру, добавляем 1-м и последним символом пароля третий и предпоследний символ из адреса сайта, а точнее — из имени домена второго уровня. Например:

для mail.ru пароль iEn1md1sy1fyT1h1kyg0i
для google.com пароль oEn1md1sy1fyT1h1kyg0l

Что, у вас уже давно есть аккаунт в фейсбуке? Почему бы не поменять пароль и в нем:
cEn1md1sy1fyT1h1kyg0o

Привязка к доменам может быть любой другой — можно считать символы в имени домена, можно считать отдельно гласные и согласные буквы, главное — ввод пароля должен быть слитным от начала и до конца. Нельзя допускать способ, в котором сначала пишется сам пароль, а потом в него добавляются в нужные места символы, привязанные к имени сайта.

Вспомнить все!


Да не нужно ничего вспоминать…
Алгоритм ввода пароля:

1) смотрим на адресную строку, отсчитываем 3й символ с начала, жмем кнопочку
2) мысленно напевая песенку, печатаем пароль, делая буквы начала строчек большими и заменяя на лету нули и единицы
3) еще раз смотрим на адрес, находим предпоследнюю букву, дописываем

Подведем итоги


плюсы:
  • Высокая для web криптостойкость
  • Потрясающая меметичность — невозможно забыть
  • Уникальность пароля для каждого веб-ресурса — при утечке пароля от одного, угроза остальным минимальна
  • Отсутствие необходимости что-либо запоминать*
  • Визуально при вводе пароля ничем себя не выдаешь — со стороны кажется, что ты просто помнишь все наизусть
  • Быстро вырабатывается моторная память — весь этот бредовый набор символов вскоре набирается на полном автомате
  • Если вы случайно вбили пароль в открытом виде при свидетеле, он ничего не поймет и скорее всего не запомнит, а на вас станет посматривать с уважением
  • Это забавно — напевать про себя My heart will go on при каждом вводе пароля)

минусы:
  • утечка паролей от двух и более ресурсов в одни руки создает серьезную угрозу всем аккаунтам
  • Если слишком увлечься, можно вместо чтения текста «про себя» произнести его вслух
  • При потере пароля от ресурса, придется создать новый — который уже не получится вспомнить, пользуясь системой. В дальнейшем может возникнуть путаница.


Буду рад, если в комментариях кто-нибудь поделится, как избавить подобную систему от присущих ей минусов, сохранив плюсы. И теги какие проставить — не соображу, глаза уже слипаются — буду рад если кто подскажет парочку.



* необходимость запомнить 2-3 строчки стиха или песни (пусть и на английском), равно как необходимость помнить какая песня вообще взята за основу и то, сколько символов нужно отсчитывать с начала и конца имени домена — дело одной минуты. С первой частью справляются дети в детских садах.

**** Фраза про обезьян — это классический пароль из «Лабиринта отражений». В оригинале писалась в английской раскладке, без пробелов и с чередованием регистра.

upd: В комментах поправили — не десять тысяч, а сорок тысяч обезьян (очевидно, криптостойкость в 4 раза выше), пробелы значимы и в конце еще точка.
Теги:
Хабы:
Всего голосов 170: ↑124 и ↓46 +78
Просмотры 15K
Комментарии Комментарии 207