Как стать автором
Обновить

Комментарии 33

Да, то! Чего-то я эту статью просмотрел когда по хабру искал.
Ещё ниже в комментариях есть про MasterPassword
Больше всего бесят сайты, у которых стоит ограничение на максимальную длину пароля. Придумаешь небольшой стишок на английском в качестве пароля, а он слишком длинный.
В частности стишки и какие-либо длинные названия хорошо запоминаются и трудно подбираются. Каждое слово начинать с большой буквы, а некоторые буквы заменять на похожие символы: i — 1 или !, O — 0, b — 8 или % или &, t — +, a — @ и так далее.
Например Laser — L1ghtAmpl1ficat1on8ySt1mulatedEm1ss1onOfRad1ation! — 50 символов, которые вы никогда не забудите.
Или для хабра — HabrahabrIsNotPearlHarbour! — 27 символов.
(крик души)
О да! Я недавно был просто взбешен нашим сбербанком! У них в сбербанк онлайн (да да, это клиент банк — основная фигня, где юзеры могут потратить свои денежки, попивая коктейль в другой стране), стоит максимальная длина пароля в 10 символов (минимум 6)!
У меня есть некоторое разделение по паролям, так вот на пароли, связанные с моими финансами, стоит пароль в 15 символов. Обычное русское слово, которое содержит большие буквы, а также цифры и спец символы. Но нет, сбербанк сказал мне, что нечего тебе 15 символов использовать, используй максимум 10, а то у нас ложки место пропадает. Ну или 6. Ведь 6 символов это так безопасно.
Я также пользуюсь клиент банком авангарда. Там можно устанавливать пароль от 8 до 30 символов. В итоге получается, если я захочу реализовать пароль, который будет только в моей голове и не будет зависеть от каких-то программ, то мне надо придумать пароль от 8 до 10 символов.
Я написал в сбербанк о проблеме с паролем, подробно разъяснив ситуацию, в итоге получил
В настоящее время система «Сбербанк ОнЛ@йн» реализована именно таким
образом и возможность ввода пароля, состоящего более чем из 10 символов, не предусмотрена.
Благодарим Вас за проявленный интерес к услугам Сбербанка России. Все предложения учитываются и принимаются во внимание. Надеемся на дальнейшее сотрудничество.

Спасибо за КЭПизм, уважаемый сбербанк. Уйду ка я лучше от вас, надоели окончательно.
Капец, мне интересно как родилось такое ограничение. Чтобы специально было легче подбирать или потомучто тестовый пароль был 0123456789.
у альфабанка та же проблема, хотя верхний лимит побольше. Но менее 17 символов… Я тоже не влез :(
А ещё бесят сайты (точнее сайт, я всего один раз с таким идиотизмом встречался), которые запрещают вставлять пароль из буфера обмена.
А еще сайт onlime.ru при вставке из менеджера паролей хрома пароля длиннее чем их максимальное значение, не может залогиниться, так как введено неверное значение пароля.

Я вообще подозреваю что можно сменить пароль просто GET или POST запросом и обойти это ограничение, но и забыть о ручном логине через форму на сайте
Встречаются сайты которые не «кричат» что пароль длиннее чем надо при регистрации и просто обрезают его при передаче на сервер, ну или там обрезается… Зато при логине — он неверен и угадать сколько символов надо «отрезать» от пароля затея не из простых, особенно если стоит ограничение на количество неудачных попыток.
Я как то написал такое года 2-3 назад под андроид MasterPassword

Когда под виндой — написал себе на c# + wpf программку

image

Под линуксом скрипт на python или ruby
Забыл картинку в спойлер кинуть, простите, редактировать уже поздно.
Подскажите, а в вашей программе есть связь сайт-логин? В смысле, если я вобью «Domain», она мне покажет использовавшийся в связке логин? Или его придётся вспоминать отдельно?
Отдельно. Идея как раз была в том, чтобы не хранить вообще никаких состояний или данных. Я сейчас не помню и не знаю ни одного своего пароля. Если хранить привязку домена и логина — то это уже зачатки менеджера паролей(
Спасибо.

P.S. Хотя, вообще говоря, некие совсем уж зачатки уже есть — имеется отдельно база логинов, и отдельно база сайтов…
Если вы про мобильную версию, то там пользователи попросили чтобы было автодополнение доменов и сохранялись username — так как на мобильнике печатать не очень удобно и долго. Но домены и логины там никак не связаны между собой. В десктоп и скриптах что использую, ничего не сохраняется.

Вместо логина, если он у вас не постоянный можете использовать email их явно меньше чем псевдонимов)

Это в принципе частное решение, я писал для себя, потом оказалось что около 20к установок и на данный момент активных 500+ установок.

Интересная ситуация случается когда, устанавливаешь новую систему, а паролей ни одного не знаешь, даже в допбокс не зайти за скриптами или на битбакет. Приходится или с мобильника присылать пароль или садится и писать быстренько скрипт — благо алгоритм помнишь.
А где можно собственно алгоритм посмотреть?
Пока нигде, да и там всё примитивно, используется обычное хеширование. Хешируется каждый параметр, потом конкатенация в один длинный хеш, потом ещё хеширование. В целом хеширование используется около 3000 раз в том или ином виде на один пароль. (мне тогда это казалось оправданным, как раз была шумиха с радужными таблицами).
Если бы сейчас писал, я бы по извращался с перемешиванием букв в домене, логине и даже в самом мастерпасворде и потом опять таки хешировал бы всё вокруг)) Вообщем тут фантазия не ограничена. Главное не забыть алгоритм и как минимум проверить что выдаёт один и тот же результат. реализацию на нескольких языках.
А зачем извращаться с перемешиванием букв? Хэши это делают достаточно хорошо. Просто если перемешивания обратимы, то толку от них не много (на сколько я понимаю). А если необратимы, то может выйти так, что они будут вести к потере информации (энтропия выходного пароля будет уменьшаться). Создатели хэш-функций много работали что бы этих крайностей не было, надо пользоваться ;-)

А алгоритм интересно знать, т.к. если пользоваться андроид приложением, то хочется ту же программу иметь и на компе.
Логин помнить все равно придется/где то записывать и хранить. Не всегда удается зарегистрироваться на сервисах со своим логином первым.
На многие сайты можно заходить по адресу е-мэила, а при генерации пароля поле логин можно заполнять, например, своим стандартным логином или просто оставлять пустым. Главное делать это однообразно для всех таких сайтов — чтобы не забыть.
Автору респект – именно на такую схему паролей перешёл полтора года назад (только беру другие порядковые номера, и ставлю их не только в конец).

Если бы кто меня спрашивал, какую схему выбрать, то посоветовал бы подобрать и выучить 12–значный пароль, например v8@Kq0rm!M (чтобы удобно было набирать двумя руками, чётные и нечётные символы берутся из разных половин клавиатуры), затем предпоследняя буква URL ресурса (только второй доменный уровень) вставляется третьей в верхнем регистре, а первая – в конец в нижнем регистре. Т.е. для id.tmtm.ru пароль будет v8T@Kq0rm!Mt

Ну и потренироваться надо первое время…
П.С. Минус такой схемы – это когда через какое–то время пароль надо (заставляют) менять, и оказывается, что приходится ломать схему (ибо для одного домена возможен только один пароль), и запоминать, что именно на это ресурсе используется другая схема, и что это за схема…
Ничто не мешает к уже криптостойкому паролю добавить в конце (или не в конце) целлочисленный номер. Он стойкости не помешает. А вот этот номер уже можно хранить даже в общедоступном месте — толку злоумышленникам от него — абсолютно никакого.
pwdhash.com
Серьезный плюс — есть плагины под различные браузеры.
Похоже что хорошая штука. Раньше не видел.
Причём после хэширования они ещё допиливают пароль так, чтобы он проходил проверку пароля на сложность.
Откройте для себя LastPass.

Пользуюсь уже много лет. Есть плагины под все браузеры, имеющие поддержку плагинов. Есть десктопные и мобильные приложения, в том числе в виде клавиатуры.

Есть бесплатная и платная версии. Платная стоит один доллар в месяц.
НЛО прилетело и опубликовало эту надпись здесь
Плюсы такого алгоритма по сравнению с «запоминалками» паролей:

Не нужно иметь под рукой базу паролей. Понадобилось на другом компьютере получить пароль — просто скачал с гитхаба программу, вбил свой мастер-пароль — и вся база паролей с собой.

Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.
Отсутствует файл, который злоумышленник может украсть и попытаться расшифровать. Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.

Да, так и есть, и? :)
Даже в случае получения полного доступа к вашему компьютеру (с чтением всех файлов и установкой кейлогеров) злоумышленнику ещё придётся отгадывать данные ваших аккаунтов

В случае получения такого доступа пароли это уже последнее о чем стоит беспокоиться — если у вас в доме нет одной стены, никому не нужны ключи от вашей двери.
(особенно тех, в которые с этого компьютера не заходят)

Перечитал три раза, представил себя злоумышленником и попытался угадать данные вашего аккаунта со своего компьютера — понял, что зада в лоб не решается :)
Гарантирует использование разных и случайных паролей. И придумывать пароль каждый раз не надо.

В запоминалке есть встроенный генератор случайных паролей и придумывать каждый раз не надо.
В сухом остатке плюсов не увидел.
Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.

Прикрутил к KeePass плагин автосохранения — актуальная база всегда может быть скачана с дропбокса, например.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.
В случае получения такого доступа пароли это уже последнее о чем стоит беспокоиться — если у вас в доме нет одной стены, никому не нужны ключи от вашей двери.
Если у вас всё ценное лежит только на рабочем компьютере, то видимо да. В противном случае пароли и ключи от других аккаунтов (в широком смысле) — это первое, о чём стоит беспокоиться.
Перечитал три раза, представил себя злоумышленником и попытался угадать данные вашего аккаунта со своего компьютера — понял, что зада в лоб не решается :)
Честно, тоже перечитал несколько раз и не понял. Как связано то, с какого компьютера пытаться угадать данные аккаунта? Если в базе паролей хранить пароли от всего, то злоумышленник сразу может выбрать из них то, что ему интересно. Если базы нет — о некоторых ваших аккаунтах он просто не будет знать, и не получит к ним доступ (по крайней мере у вас будет запас времени на смену пароля)
P.S. Сорри, случайно отправил недописанный комментарий.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.

Обратите внимание сюда. Даже Keepass рекомендует при использовании дропбокса иметь локальную копию для синхронизации и именно она никуда не денется с вашего устройства, если дропбокс нашалит.
Как правило хорошего тона стоит использовать хороший мастер пароль + ключевой файл к нему, который хранится только на устройствах с которых разрешен вход и этот файл не нужно синхронизировать где-либо, или просто выкладывать в интернет.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.
Но как вы сами ранее сказали:
Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.
Поэтому, он у меня даже есть в публичном доступе на gdrive. Да что уж там, вот прикрепляю к этому сообщению — будет еще одно место где хранить.
Если у вас всё ценное лежит только на рабочем компьютере, то видимо да. В противном случае пароли и ключи от других аккаунтов (в широком смысле) — это первое, о чём стоит беспокоиться.
Все ценное и пароли, ИМХО, немного разные понятия, пароли это просто ключ к ценному. Причем этот ключ не должен быть единственным — сюда добавляется двухфакторная авторизация, ограничения по IP и т.п.
Честно, тоже перечитал несколько раз и не понял. Как связано то, с какого компьютера пытаться угадать данные аккаунта? Если в базе паролей хранить пароли от всего, то злоумышленник сразу может выбрать из них то, что ему интересно. Если базы нет — о некоторых ваших аккаунтах он просто не будет знать, и не получит к ним доступ (по крайней мере у вас будет запас времени на смену пароля)
Это относилось к
злоумышленнику ещё придётся отгадывать данные ваших аккаунтов (особенно тех, в которые с этого компьютера не заходят)
Здорово когда под отдельный аккаунт можно иметь отдельный компьютер :) Однако в большинстве случаев кейлоггера достаточно чтобы собрать все ваши учетные данные, пусть даже за достаточно длительный срок. При наличии трояна пароли уже не особо интересуют, т.к. злоумышленник получит доступ к интересующей информации после того как вы собственноручно пройдете все этапы аутентификации и авторизации в защищенной системе.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории