Генерация мнемонических сильных паролей

    Эта статья написана хабрапользователем stboris в рамках идеи "Green card".

    В своей жизни я часто сталкиваюсь с необходимостью придумать пароль для своего (а также и не своего) нового аккаунта/логина.

    Пароли должны быть достаточно сложны, иначе они могут быть легко подобраны (привет счастливым обладателям паролей god, sex, love). Также они должны по возможности быть разными, т.к. если вы даже и придумали очень сложный пароль, но пользуетесь им везде, то это легко может привести к компрометации.
    Запомнить несколько десятков паролей, состоящих из случайного набора букв разных регистров, цифр, спецсимволов не такая уж тривиальная задача.

    Моя память работает по какому-то своему особому принципу, что-то вроде «тут помню, тут не помню». С девушкой одного моего друга я знакомился 4 раза, не мог ее запомнить и все тут. Но есть у моей памяти и бонус — она очень хорошо работает с ассоциациями.
    А еще, раньше я весьма много играл в разные игрушки: Кваку, Линягу, ВоВ и много еще чего сетевого и не очень и давно заметил, что для записи ников часто используют не только буквы, но и цифры и специальные символы.

    И вот, однажды, сопоставив это все, я и придумал свой метод генерации паролей (возможно, его кто-то придумал до меня, но я пока не видел). Я уже достаточно давно им пользуюсь, но до сих пор не сделал четких правил для него. Так что решил написать эту статью и с ее помощью довести метод до ума и заодно поделиться им с людьми.


    Задача



    Создать метод, по которому было бы легко придумывать надежные, но легко запоминающиеся пароли.

    Решение



    Допустим, я решил поиграть в онлайн-игру «Овощной магнат» (игра выдумана, все совпадения случайны). Создаю там аккаунт и мне нужен пароль.

    Осмысленность


    Для легкого запоминания пароль должен быть осмысленным, т.е. это должно быть слово или фраза. Много кому известно, что человек хорошо запоминает ассоциации, поэтому в идеале это слово/фраза должны быть ассоциативно привязаны к тому, для чего мы создаем пароль.

    У меня возникла ассоциация «баклажан»

    Латиница


    Во избежание зла (проблемы с кодировкой), пароль должен использовать английскую раскладку. Также слово/фраза в пароле не должно быть записано по-русски (по-украински, по-арабски, по-китайски и т.д.) с использованием английской раскладки иначе можно очень сильно встрять при отсутствии русской (подставить по выбору) клавиатуры. Также нельзя использовать транслит, т.к. нет единого стандарта транслита. Отсюда мораль – самым логичным решением будет перевести слово на язык, использующий только латинский алфавит (никаких диакритических знаков, кириллицы, иероглифов и т.п.). Например, английский или латынь. Кстати, использование латыни в данном случае очень интересно – никто никогда в здравом уме не будет делать словарь для брутфорсера под латынь.

    Поскольку я не знаю латыни — перевожу на английский. Получилось — aubergine

    Регистр


    В пароле должны присутствовать буквы в разных регистрах. Для простоты запоминания мы переводим половину слова в верхний регистр. Тут также есть несколько вариантов: правая — левая половины и, если количество букв нечетное, со средней или без.

    Я беру первую половину со средней буквой и перевожу в верхний регистр. Получилось — AUBERgine

    Спецсимволы


    Также в пароле должны присутствовать цифры и специальные символы. Для этого надо для части букв алфавита придумать замену из зрительно похожих символов и цифр. Пароль после этого останется вполне удобочитаемым. Кстати для кул-хацкеров и про-геймеров в этом нет ничего нового, многие из них свои ники именно так и записывают. Например, a=@, e=3, i=! и т.д. Нюанс — не нужно заменять весь алфавит, достаточно лишь некоторой части, т.к. может получиться, что пароль будет состоять из одних лишь спецсимволов – тоже не очень хорошо.
    Есть вариант использовать спецсимволы только из цифровых клавиш, т.к. если в каком-либо сервисе не будет возможности использовать спецсимволы, вы просто «дауншифтите» их на соответствующие им цифры. Например @=2, !=1 и т.д.

    Применяем замену. Получилось — @UB3Rg!n3
    В случае с сервисом, не позволяющем использовать спецсимволы. Получилось — 2UB3Rg1n3


    Длина пароля


    Для этого вводятся понятия «открывающего» и «закрывающего» символа. Иногда нужно сделать пароль короче (бывает, ставят ограничение на длину) для этого мы можем убрать «символы». Некоторые сервисы криво работают с паролями, начинающимися со спецсимволов. В частности, Aurvote для дистрибутива Arch Linux некорректно обрабатывает пароли, начинающиеся с символа «$». Поэтому может быть логичным «открывающий» символ делать цифрой, а «закрывающий» — спецсимволом.

    Добавляю «открывающую» цифру «1» и «закрывающий» спецсимвол «)». Получилось — 1 @UB3Rg!n3)

    Чтож, помоему не так уж и плохо — одиннадцатисимвольный пароль, содержащий все типы символов и при этом достаточно свободно читается, по большому счету требуется помнить только слово-ассоциацию.

    Итого



    В этой статье я специально не давал готовых решений, т.к. каждый, кто хочет использовать данную систему, должен сам выбрать некоторые моменты в зависимости от того, что ему по душе и что он лучше запомнит.

    Плюсы


    Относительная устойчивость к подбору, легкость запоминания, быстрота генерации пароля (я бывало, по часу раньше сидел, пытаясь придумать хороший пароль), модульность (можно отбросить те правила, которые вам не нравятся или добавить новые).

    Минусы


    Могут быть небольшие проблемы, если вы печатаете на нестандартной клавиатуре, но это решаемо (находите в интернете картинку стандартной раскладки). Данный пароль слабее, чем случайно сгенерированный пароль, т.к. можно составить словарь на основе этих правил, но никто не мешает вам добавить свои правила, о которых никто кроме вас не знает.

    В любом случае – это не панацея, а, как и очень многое в нашей жизни, компромисс между надежностью и удобством.

    Рекомендации



    Регулярная смена паролей повышает безопасность. Смена вариантов правил повышает надежность системы, но усложняет восстановление пароля в памяти через долгое время. Одинаковые пароли в разных местах очень сильно снижают безопасность. Если кто-то знает ответ на ваш контрольный вопрос, никакой пароль не поможет. Есть еще много вариантов, как украсть ваш пароль так, что сильный пароль не панацея и нужно следить еще много за чем, но это выходит за рамки этой статьи.



    Программы для хранения паролей



    В этой статье нет ни слова о программах для хранения паролей в силу того, что статья не о них =) Тем более, что я пока не пользуюсь ни одной из них, т.к. просто не было случая/периодически забываю флешку где-нибудь/не везде можно подрубить флешку, а пароли все равно вводить надо. Да и вообще одно другому не мешает.

    P.S.



    Конструктивная критика приветствуется.

    UPD: Убрано упоминание об эсперанто, т.к., как оказалось, в эсперанто есть диакритические знаки. Извиняюсь перед всеми, кого ввел в заблуждение или обидел.
    Поделиться публикацией

    Комментарии 146

      –5
      pwgen?
        +6
        Красиво… Но запомнить все равно нелегко… А если пользоваться программами-запоминалками — зачем такие сложности — генерируешь хоть 30 символов рандомных и копипаст)))
          +3
          мммм… а потом, например в поездке, судорожно звонишь туда где осталась запоминалка и просишь напомнить?
            0
            Нет. Открываю ноут)))

            ЗЫ: я не говорил, что пользуюсь запоминалками
              +1
              А ноут украден накануне из номера (бывает и такое). В общем — не выход.

              P.S. А я и не утверждал, что Вы запоминалками пользуетесь.
                +2
                можно хранить в сети
                  +2
                  Нужно хранить в сети.
                  Или хотя бы бэкапы делать.
              +2
              флешка с portable софтом;)
                +6
                потеряна, забыта, украдена? Физические носители — не выход. Все должно быть в голове.
                  +3
                  Не так велика важность тех паролей, что хранятся не в голове))) Если б у меня украли ноут — я б в первую очередь расстроился потере некоторых данных и собссно ноута, и только в стопятидесятую — потере паролей ;-)
                    0
                    Чтобы всё запомнить, нужно Бондом быть;)
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +5
                        Терморектальный криптоанализ поможет вспомнить пароли, которыми пользовался еще в детстве :)
                        0
                        Можно хранить закриптованный бэкап в сети.
                      0
                      Такая проблема бывает, но в важных местах (почта, интернет, платежные пароли) я придумываю пароли вручную
                        +2
                        У KeePass есть несколько версий: для PC, Symbian, JavaME, Windows Mobile etc. Достаточно иметь доступ к файлу с паролями в несколько десятков килобайт.
                          0
                          Можно ссылочку на версию Symbian? Мы с гуглем ее не нашли.
                            0
                            На Symbian я использую версию для J2ME, нативной версии для Symbian нет. Извините за неточную информацию.
                              0
                              Ага, J2ME у меня есть, я думал, что речь идет как раз об SYSX. Ну ладно, будем пока юзать Java.
                                  0
                                  И как оно совместимо с KeePass?
                                    0
                                    это развивающаяся альтернатива
                                      0
                                      при наличии мультиплатформенного KeePass, альтернативы уже не конкурентны
                        +1
                        Я не пользуюсь программами-запоминалками, ибо это от лукавого. Отформатирую диск, а бекап файла с паролями забуду сделать — и ага? Вот у меня, например, есть четыре пароля. Один к вконтакту, один к гмаилу, один к вов и один «публичный», который я скармливаю всяким сервисам, которым не доверяю. Такой, чтоб если что — не жалко было.
                          0
                          Отличный вариант — отдать какому-нибудь родственнику на хранение сд-карту на 16 мегов с паролями от критичных вещей ;)
                            0
                            Такую сейчас найти сложнее, чем на 16 Гб)
                            +3
                            Хабр в вашем случае «публичный»? Хабру доверяете меньше чем вконтакту? :)
                            +1
                            Тоже вариант=) Автор там упомянул игры, хочу поделиться своим способом создания паролей, раньше часто играл в файтинги и теперь когда нужен пароль просто набираю любимое «комбо» чередуя шифты. Если нужен пароль посильнее можно Квейк вспомнить (Вперед-Влево-Присесть-Рельса-Вперед-Вправо) и т.п.

                            К тому же визуально запомнить картинку легче.
                            0
                            А я пишу русское слово или фразу, опуская пробелы, в латинской раскладке – например k.ljxrf :)
                              +4
                              И думаешь, что в словари брутфорса это не включено?
                                +5
                                попробуйте сделать словарь брутфорса на различные фразы типа мамамыларамуоченьдолго :)
                                  0
                                  Если добавть к этому паролю пару спецсимволов — просто сказка! Сам использую такие пароли.
                                  Таже можно использовать в этой роли сокращения от нецезурных выражений или бессмысленные фразы. Запоминается по-моему гораздо проще!
                                    0
                                    у этого метода есть два минуса
                                    1. попробуйте набрать на клавиатуре не имеющей кирилических символов. в том числе например на кпк, где нужно переключать туда-сюда для каждого символа (отображается только один язык раскладки и естественно не тот на котором нужно набирать)
                                    2.PuntoSwitcher и иже с ним так и норовят «поправить» пароль
                                      0
                                      Punto Switcher можно установить в ручной режим, отсутствие на клавиатуре кирилицы (было на одном ноуте) способствует изучению раскладки и слепого набора.
                                      С кпк или мобильного пароль ввести можно только копипастом, но я почти всега таскаю ноут за собой.
                                        0
                                        ПунтоСвичер зло в принципе! :)
                                  –2
                                  метод брутфорса, обычно, не предполагает использование словарей…
                                  +4
                                  Я вот тоже использовал метод «набора русских слов в латинской раскладке», паролей у меня было много разных, вспоминались они по ассоциациям легко, стойкость неплохая, особенно если слова не короткие, да еще как-нибудь чуть-чуть исковерканные.
                                  Пока не случилось так, что мне пришлось посетить несколько своих запароленных ресурсов в браузере на телефоне без qwerty клавиатуры. Вот тут засада подкралась незаметно, но конкретно.
                                  На qwerty клавиатуре я любой пароль набирал в слепую за 2 секунды, а тут соответствие русских букв с английскими на клавиатуре в уме ну никак не всплывали. Да еще и наличие букв на телефонной клавиатуре в других местах еще больше сбивало концентрацию.
                                  Пришлось в инете скачивать фото qwerty клавиатуры и по ней сопоставлять буквы :)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      +7
                                      У меня своя (неуникальная) система, для ресурсов, которые мне не сильно важны я использую один и тот же пароль. Для интересных и важных (Хабр, например) — свой, стойкий.
                                        +4
                                        Как вариант вместо флешки: PasswordSafe + DropBox.
                                          0
                                          Я использую Revelation Password Manager, все пароли хранит в 1-м файле, меня устраивает вполне
                                            0
                                            Да кстати, для паролей всеравно НЕ использую генераторы. Чаще ассоциирую пароли, например, с названием серверов в перемешку с цифрами
                                              0
                                              Вопрос не в программе, а в доступе к файлу с разных компьютеров.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +1
                                              Пользуюсь Робоформом (да, даже лицензию купил), пароли все сгенерированы, на каждом сайте разная фигня типа kXJA7HiM293m.
                                              Ни одного пароля не помню, кроме главного, с помощью которого имею доступ к остальным.
                                              Таскаю все это с собой на ноуте. Есть версия для Symbian — юзаю на смартфоне. Зашифровано все RC6, так что я не особо беспокоюсь о том, что пароли украдут.
                                              А основной пароль — один, главный, билиберда, без смысла, но когда-то давно почему-то запомненная :)
                                              НУ да, бэкапы каждый месяц на болванки и флэшки — святое дело.

                                              P.S. нет с собой ноута — и нет желания заходить куда-то из публичных мест. Вот она безопасность :)
                                                +1
                                                P.S. а для тренировки памяти мне хватает пин-кодов от банковских карточек и иже с ними :)
                                                  +4
                                                  сорри за оффтоп, хочу в связи с вышесказаным выразить респект райффайзену за то, что в банкомате можно сменить пин для карты.
                                                    +1
                                                    бывает, когда pin коды карточек уж очень сильно похожи. Мучился месяц, иногда вводя пароль от другой карточки, а потом привык.
                                                    0
                                                    Во, у меня также практически. Файлик с прогой на ноуте и на Гмыле. Главный пароль помню. Да, слишком много паролей помнить надо в жизни, надоело еще и для всяких рессурсов запоминать, вот например — код от сигнализации, домофонОВ, телефона, банковских карточек итд итп…
                                                      +4
                                                      кстати, есть KeePAss — бесплатная альтернатива робоформу :). попробуйте, понравится.
                                                        0
                                                        Использую год. Очень доволен. Есть версия под Win, Linux, и даже Symbain/Java
                                                        База на флешке, плюс копии на домашнем компе и почте.
                                                          0
                                                          Робоформ для меня заполняет все формы одним кликом мыши (или вообще автоматом), а не только хранит пароли :)
                                                            0
                                                            усть еще очень удобный плагин для мозиллы — sxipper
                                                            0
                                                            Полностью поддерживаю, всех паролей все равно не запомнишь, а с генерацией можно и подзапутаться. С робоформом можно ставить на сайтах зверские пароли типа z&E*D1PrYS&4x, а помнить только один главный пароль.
                                                            Да и копия паролей на флэшке очень полезно, когда нужно зайти на сайт с другого компьютера.
                                                            +1
                                                            «Например, @=4, e=3, i=! и т.д.» — вот тут исправьте "@=4" на «a=@», по-моему вы так задумывали :)
                                                              0
                                                              Исправил, спасибо.
                                                              +6
                                                              bash.org.ru/quote/398884
                                                              вполне элегантное решение проблемы :)
                                                                0
                                                                Есть один минус — я после школы не одной более-менее длинной формулы не помню)
                                                                0
                                                                Все пароли храню в Password Agent. Для некоторых сайтов один и тот-же, а для важных, как сказал OLweb — «свой», только не свой, а сгенерированный программой, состоящий из случайных символов, что-то типа cf42icTDG8. (Заметьте, программа тоже использует эту систему, что и автор поста, половина паролья в одном регистре, другая — в другом).

                                                                razetdinov предлогает вместо флешки DropBox, у меня Gmail.

                                                                А вот интересно, кто нибудь смог запомнить все пароли от карточки интернет банка? У кого какая система?
                                                                  +4
                                                                  А у меня есть 4 стандартных пароля, которые я никогда не забуду.
                                                                  Так вот на каждом сервисе я использую связку из 2-х — 3-х паролей в разных комбинациях. Где-то русскими в английской раскладке, где-то просто английскими… Вобщем-то этого хватает. Пароль меньше 18 символов бывает только если есть ограничения на длину пароля.
                                                                  Ваш случай, зная себя, думаю мне не подойдет. Если я даже вспомню какая была в данном месте ассоциация, то вот вряд ли вспомню какие буквы я сделал большими, а какие маленькими… Правда можно для всех своих паролей придумать единственное правило (например как у вас — только первая половина букв). Потом еще надо вспомнить какие буквы заменить на спецсиволы… но тут тоже можно через букву например… Вобщем я думаю что с моей дырявой головой — я благополучно забуду эти правила, когда, например, буду пьян )) А свои 4 пароля я никогда не забуду )
                                                                    +1
                                                                    Использую ключницу и 3 стандартных пароля которые тоже перемешиваю. У ключницы есть backup в сети.
                                                                      +3
                                                                      Я один раз некую Kr1vetK'y на аську поставил, когда у меня ноут сперли.
                                                                      (на самом деле было чуть сложнее «криветка» была ремапом кирилицы на соответсвующие английские, лиит-замены были в соответсвии со звучанием оригинала)
                                                                      Так как пользовался мирандой в то время, пароль не нужно было вводить при загрузке.
                                                                      Когда через месяцок надо было перелогиниться из под другого компа, помнил только что что-то связаное с криветкой.
                                                                      Так и не получилось. Пришлось хак для миранды искать, чтобы выудить пароль :)
                                                                      Так что осторожнее с этим методом, не переусердствуйте.
                                                                      И как минимум раз в месяц а то и в 2 недели посещайте ресурсы, тренируясь в вводе пароля.
                                                                      Человеческий мозг такая штука, что забудет что угодно, если 2-3 месяца этим не пользоваться.
                                                                      0
                                                                      Отлично все расписали. Спасибо. Сам как раз в последнее время подумываю, что пароли надо как-то систематизировать. :)
                                                                        +1
                                                                        есть вариант попроще:
                                                                          +3
                                                                          сорри. случайно отправил.

                                                                          вариант попроще:
                                                                          придумать какой-нибудь один суперпароль, и добавлять к нему в начало или в конец первую букву ресурса, на котором регистрируетесь (или первые три).
                                                                          Но для очень важных аккаунтов, например для почты, так лучше не делать.
                                                                          По-моему так проще, чем придумывать для нового сайта новый «баклажан».
                                                                            0
                                                                            Хорошее выражение «новый «баклажан»» )))
                                                                              0
                                                                              О, это вечное противостояние: простота vs. криптостойкость!
                                                                                0
                                                                                Понравилось, возьму на заметку.
                                                                              0
                                                                              Не знаю, я использую комбинацию из xxxxxXXXXXX, где xxxxx — набор, постоянный, XXXXXX — ассоциации… Неплохо выходит и так XxXxXxxXXxX.
                                                                                +4
                                                                                Также нельзя использовать транслит, т.к. нет единого стандарта транслита.

                                                                                ГОСТ 7.79-2000 однозначно определяют переход от кирилловских букв к латинским для славянских языков :)
                                                                                  +1
                                                                                  ну, кстати, даже если и нет стандарта — вы то, наверняка, в транслит всё единообразно будете переводить.
                                                                                  0
                                                                                  Вариант — использовать KeePass, придумать один хороший пароль, на базу с паролями.
                                                                                  А на всех сайтах ставить сгенерированные пароли, сохраняя их в базу. Я так делаю :).
                                                                                  Нет ниодного сайта с одинаковым или легким паролем. Кипасс же можно на флешке носить, или в архиве на почте.
                                                                                    0
                                                                                    Где-то вспоминали о карте паролей. Так вот я её сделал, вот только не успел ею воспользоваться ))
                                                                                      0
                                                                                      в копилку оригинальных подсмотренных способов:
                                                                                      «1 буква «а» 2 буква «б»»
                                                                                        –1
                                                                                        Я всегда использую сочетание слов и абсолютной бессмыслицы.
                                                                                        WiFi182@stream(k-ots)#30

                                                                                        собственно, тип подключения№ квартирыпусть будет собакаПровайдер: СТРИМ (Комстар-ОТС)№ дома

                                                                                        Получаем: WiFi182@stream(k-ots)#30
                                                                                          +2
                                                                                          от хабра именно это сочетание слов и абсолютной бессмыслицы?
                                                                                            +1
                                                                                            Ага, счаззз! =)
                                                                                              0
                                                                                              не подходит…
                                                                                          +1
                                                                                          не понятно как вспоминать такой «искусственно» созданный пароль. Если я забываю пароль, то отматываю свои шаги назад и вспоминаю пароль, при таких больших шагах можно упустить какой то момент и не вспомнить пароль, особенно при таком нагромождении разных знаков, у которых может разночтение. Мне кажется, что нужно иметь 3-4 надежных пароля и их использовать.
                                                                                            +1
                                                                                            На баше предлагалось составлять пароль по химическим формулам. Продвинутые химики могут запомнить слово «бирюза» и в качестве пароля вводить CuAl6(PO4)4(OH)8Ч4H2O. Или, например, мрамор — CaMg(CO3)2.
                                                                                              +1
                                                                                              Черт, плохо комменты посмотрел, про формулы уже было.
                                                                                              +1
                                                                                              Способ.
                                                                                              Берем название сервиса где регистрируетесь — ХабраХабр
                                                                                              2 буквы HH или например первая и последняя в зависимости от алгоритма вашего HR
                                                                                              Потом в свой пароль уже придуманный вставляете на заданные заранее места. На первое место или на последнее. Тасуете как хотите.
                                                                                              Свой пароль можно придумывать из своего ника. например вторые или третьи буквы ников. В моем случае пароль уже может быть например homsr и плюсуем мои инициалы pd — phomsrd
                                                                                              Тасуем регистр. PHOmsrD
                                                                                              Добавлем какую нить любую последовательность цифр для надежности и вуаля — PHOmsr66D
                                                                                                +1
                                                                                                Придумать пароль не проблема — проблема его запомнить )
                                                                                                  –1
                                                                                                  «Задача
                                                                                                  Создать метод, по которому было бы легко придумывать надежные, но легко запоминающиеся пароли.»

                                                                                                  Я считаю что это хороший способ придумать пароль. Просто гораздо легче придумать алгоритм по которому будут они создаваться а потом вспоминать исходя из алгоритма.
                                                                                                    –1
                                                                                                    Придумать алгоритм?

                                                                                                    1. Взять 5 первых букв латинского алфавита
                                                                                                    2. Как-нибудь «тосуем»
                                                                                                    3. Добавляем ещё 5 букв, и опять тосуем
                                                                                                    … и так 5 раз
                                                                                                    4. Получаем какой-нибудь пароль

                                                                                                    ээм… запоминаем какой-нибудь пароль.

                                                                                                    Вуаля?
                                                                                                      0
                                                                                                      >Вуаля?

                                                                                                      Профит! :)

                                                                                                      Осталось придумать алгоритм, как запомнить такой пароль. )
                                                                                                        0
                                                                                                        Офигеть, злой какой минусатор, даже в карму,
                                                                                                        не поняли сарказма или обиделись?
                                                                                                  +3
                                                                                                  Помоему из вашей идеи с ассоциациями можно сделать хороший сервис.

                                                                                                  На входе — ассоциация («баклажан»)
                                                                                                  На выходе — пароль («1@UB3Rg!n3)»)

                                                                                                  Или на вход ещё подавать свое имя, и в зависимости от имени и от ассоциации будет генерироваться каждый раз один и тот же пароль. В итоге нужно помнить только свое имя и однообразно строить ассоциации.

                                                                                                  Спасибо за интересный подход.
                                                                                                    +1
                                                                                                    и перебирая возможные ассоциации и зная ваше имя получаем ваши пароли на все возможные ассоциации.
                                                                                                      +1
                                                                                                      так же можно сказать и — зная что вы зарегестрированы на гмэйле можно перебором пароля узнать ваш пароль
                                                                                                      +1
                                                                                                      И зная Ваше имя останется только «атака по словарю с баклажанами» плюс парсинг результата через этот сервис, в итоге примерно те же трудозатраты что пароль будет просто «баклажан».
                                                                                                        0
                                                                                                        Дк я и не говорю что пароль станет труднее взломать, я к тому что не надо будет запоминать пароли-кракозябры, а нужно будет помнить только пароль-ассоциацию.
                                                                                                          +1
                                                                                                          А в чем тогда это лучше чем вводить напрямую пароль-ассоциацию?
                                                                                                            0
                                                                                                            потому что пароль-ассоциация не криптостойка как пароль-кракозябра
                                                                                                              +2
                                                                                                              Я понимаю, что кракозябра более криптостойкая. Но в данном случае она является такой же криптостойкой как пароль-ассоциация.
                                                                                                              Например:
                                                                                                              1. Выбрал я пароль «лопата»
                                                                                                              2. Зашифровал его сервисом в «fh37%32@5»
                                                                                                              3. Зарегистрировался на другом сайте с паролем «fh37%32@5»

                                                                                                              Взломщик, зная о существовании сервиса конвертации паролей, имеет словарь:
                                                                                                              1. вася
                                                                                                              2. петя
                                                                                                              3. собака
                                                                                                              4. лопата

                                                                                                              Програв эти пароли через сервис он получил:
                                                                                                              1. ge38G3j%
                                                                                                              2. gkl48G63D#
                                                                                                              3. vj88&4$32
                                                                                                              4. fh37%32@5

                                                                                                              И методам перебора на 4 этапе взломщик уже успешно подобрал пароль.

                                                                                                              Единственная сложность добавляется — узнать взломщику каким сервисом для конвертации пароля пользовался клиент.
                                                                                                                0
                                                                                                                Я _не_ имел ввиду, что используя пароли-ассоциации взломщику будет сложнее взломать ваш пароль, я о том что вам как пользователю не придется помнить кракозябры.

                                                                                                                А ещё взломщику понадобится знать ваше имя, а именем может быть ФИО, или ИФО, или ФИО+дата_рождения, или ФИО+имя+любимой_собаки. Тогда он долго будет подбирать ваш пароль. Но вам как пользователю нужно будет помнить имя и ассоциацию, что куда проще чем кракозябры.

                                                                                                                И как вы уже сказали, взломщику также необходима уверенность что вы запаролили аккаунт именно с помощью данного сервиса.

                                                                                                                В итоге слишком много условий, и тупой перебор выходит на главную.
                                                                                                      0
                                                                                                      Использую несколько стандартных паролей, либо на важных ресурсах — один пароль стандаритный + имя ресурса с учетом кое-какой спцифики (например тут — всторая и третья гласные ресурса — по возможности спецсимволы):
                                                                                                      hereismypasshabr@h@br
                                                                                                        0
                                                                                                        Всё равно люди будут придумывать типа: 12345, qwerty. Им так проще :) Хотелось бы конечно же, что б они поступали разумно, как не как взламывают их личное пространство. Но так уж повелось )
                                                                                                          0
                                                                                                          Еще один все понял [x]
                                                                                                            +1
                                                                                                            Все пароли делятся на 2 части: «префикс» — постоянный, одинаковый элемент всех паролей и «тело» — генерируемое моим мозгом в зависимости от того где используется этот пароль. Ну и запись естественно тоже не простая.
                                                                                                              +1
                                                                                                              миллионы менеджеров всё равно будут использовать слова. поэтому главное — хорошая система восстановления пароля На сайте :]
                                                                                                                0
                                                                                                                Обычно эти системы восстановления пароля и являются самыми простыми дырками. Много пользователей встречал, у которых сложный пароль и контрольный вопрос из ряда «Какого пола ваша мама».
                                                                                                                0
                                                                                                                Меня один раз круто подкололи.
                                                                                                                Во времена стародавние был у меня пароль, который я от товарищей не скрывал. Сложно без этого обойтись было.
                                                                                                                То есть я его говорил когда кому-то было нужно что-то мое запароленное, а потом его благополучно забывали и снова спрашивали при случае.
                                                                                                                Собственно подколка: на очередной ланпати кто-то зашел в старкрафтовский мультиплеер человек на 8 с ником, которым являлся мой пароль :)
                                                                                                                вот ситуация к которой на самом деле подходит фраза «пароль был скомпрометирован» :))))

                                                                                                                  +6
                                                                                                                  Я бы забыл такой пароль уже через пару дней, поэтому пользуюсь KeePass, там надо помнить только мастер пароль :).

                                                                                                                  Для всех предлагаю неплохой способ делать сложные пароли на лету:
                                                                                                                  Берется коротенькое слово или сочетание клавиш, можно не беспокоится о наличии его в «словарях». Для примера возьмем слово «stop». Находим первую букву «s» и выбираем любую из соседних клавиш, например «a». Теперь по или против часовой стрелки нажимаем на все прилегающие к «s» клавиши начиная с «а». Повторяем алгоритм для букв «top». Получается примерно так:
                                                                                                                  s — a w e d x z
                                                                                                                  t — r 5 6 y g f
                                                                                                                  o — i 9 0 p l k
                                                                                                                  p — o 0 — [; l
                                                                                                                  Итак я получаю из пароля stop (обьем 17 bits) пароль sawedxztr56ygfoi90plkpo0-[;l (обьем 140 bits). Причем набирать его очень быстро, что часто является сильным доводом против «сложных» паролей.
                                                                                                                  По сравнению с моим мастер паролем на хранилище, в котором я запоминаю кучу слов и цифр тут надо знать всего три вещи — очень простое слово, какую кнопку при обходе нажимать первой и направление обхода.
                                                                                                                    +1
                                                                                                                    Сам однажды придумал такой способ. Затем где-то наткнулся на его описание (а здесь уже второй раз). Понял, что подбор по словарю это не сильно усложнит. После этого модифицировал свой способ — не просто круги (шестиугольники) вокруг букв, а разные линии и фигуры (иногда рисуя «пунктиром» — нажимая шифт или пропуская буквы). Компромисс между лёгкостью и безопасностью всё же стал ближе к безопасности, лишь незначительно потеряв в лёгкости.
                                                                                                                    –1
                                                                                                                    К большинству пользователей, включая меня, можно сказать: «да кому вы нужны?». Я представить себе не могу чела, который собирается взломать мои интернеты. Поэтому имейте максимум 2 пароля: тот, что набираете дома и тот, что набираете в публичных местах (у нас в вузе вирусы бывают, к примеру).
                                                                                                                      0
                                                                                                                      У подавляющего большинства есть хоть один из таких паролей:
                                                                                                                      На электронные деньги (Вебмани, ПейПал и т.п.), на важную почту, на мессенджеры, на онлайн игры, на что-либо необходимое для работы (доступ в интранет например), онлайн хранилища данных и все остальное что я сходу не вспомню.
                                                                                                                      Естественно хакерам все это надо т.к. все это можно конвертировать в реальные деньги.
                                                                                                                      0
                                                                                                                      При желании могу запомнить пасс и из 15 случайных символов, а вот с тем, чтобы запомнить где какой из 5 ников и какой здесь пасс из пары десятков, сложнее. =)
                                                                                                                        +1
                                                                                                                        Идея интересная.Хотя имхо в идеале хранить пароли надо в *движениях пальцев*. Я вот даже попроси не смогу без клавы сказать свои пароли. А напечатать могу:) Пальцы помнят. Иногда ( прости когда нетрезвым надо набрать ) бывает закрываю глаза чтоб расплывающаяся картина не мешала делу набирания:) Так же кстати и серийник от виндов запомнил. Проще выучить руками ( один раз потратив 10 минут чем париться и вспоминать)
                                                                                                                          0
                                                                                                                          только выйдя с мобилы потом будут проблемы с вводом пароля. один раз на этом обжегся, теперь стараюсь запоминать пароль, что без клавиатуры могу его воспроизвести. благо память на пароли хорошая.
                                                                                                                          0
                                                                                                                          При думываю пароли методом

                                                                                                                          dd if=/dev/urandom bs=1 count=10 | base64

                                                                                                                          ввода после 20ого запоминаются =)
                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            0
                                                                                                                            Как интересно… в коментах выложены подсказки какие у кого пароли...:) и пытать не надо…
                                                                                                                            Будет нужен чей-то пароль всего-то нужно попросить добавить комент к этой заметке и может повести…
                                                                                                                              +1
                                                                                                                              А я бывает для придуманного (тоже ассоциативно!) достаточно простого пароля использую замену букв цифрами, как американцы используют, когда пишут телефонные номера.
                                                                                                                              1 — abc
                                                                                                                              2 — def
                                                                                                                              3 — ghi
                                                                                                                              4 — jkl
                                                                                                                              5 — mno
                                                                                                                              6 — pqrs
                                                                                                                              7 — tuv
                                                                                                                              8 — wxyz

                                                                                                                              Заменяю обычно половину слова (если маленькое) или по паре букв с начала и/или с конца. Взял на вооружение, после того, как начали встречаться требования (!) того, чтобы в пароле были цифры.

                                                                                                                              Т.е., скажем, если пароль «desolation», то он будет выглядеть как «22solati55».

                                                                                                                              А так, согласен со многими выше, что для «не особо важных ресурсов» и пароли свои необязательны. Использую с минимальными изменениями.
                                                                                                                                +1
                                                                                                                                Много здесь уже интересных способов было предложено. Поделюсь своим.
                                                                                                                                Мой мозг по каким-то своим причинам хорошо запоминает тексты песен. Я решил использовать эту особенность при составлении паролей. В качестве примера возьмем часть припева из Abba — Mamma Mia:
                                                                                                                                Mamma mia, here I go again
                                                                                                                                My my, how can I resist you?
                                                                                                                                Выписываем первые буквы каждого слова и предлога — m m h i g a m m h c i r y. Заменяем часть букв на цифрой эквивалент (в данном случае я решил i=1, a=4) и получаем пароль на выходе — mmh1g4mmhc1ry. Ну и по вкусу некоторые символы можно сделать заглавными.
                                                                                                                                Таким образом получается на первый взгляд бессмысленный пароль, а в вашей голове он превращается в песню. :)
                                                                                                                                  +1
                                                                                                                                  Всем спасибо, в новый MegaPassWordBruterForSchoolBoys 2.0 все перечисленные вами алгоритмы будут добавлены))
                                                                                                                                    +4
                                                                                                                                    Автор, спасибо за статью, прочитал с удовольствием.

                                                                                                                                    От себя вот что скажу: все пароли, приведенный здесь как автором, так и комментаторами, являются криптостойкими (в разумных пределах, конечно). И, я больше чем уверен, у всех здесь написавших не было проблем со взломом пароля (именно взломом).

                                                                                                                                    Те же, у кого стояли пароли 123456, так, к сожалению, и будут стоять пароли 123456, причем, если аккаунт (ну или что там еще?) будет угнан, пароль модифицируется в якобы сложновзламываемый qwerty. Если человек баран, то это исправляется одним путем — летальным…

                                                                                                                                    Но это все предисловие, ибо есть еще второе стадо баранов: те, кто создают пароли ;fT4:!8rGc3%f[QE, но вопрос на восстановление звучит примерно так: «Сколько мне лет?», «Любимое блюдо?», «Кличка хомячка?» и т.д.
                                                                                                                                    Не знаю, какое из стада баранов умнее, но, по своим личном наблюдением, после угона аккаунта во втором случае, придумывается новый криптостойкий пароль с вопросом «Как зовут мою маму?».

                                                                                                                                    Как я борюсь со всем этим:
                                                                                                                                    1) Разделю на нужные ресурсы и ненужные ресурсы (нужные — понятно; ненужные — зашел, например, и быстренько зарегистрировался для того, чтобы архив с кистями для Фотошопа скачать). В нужные ставлю мощные пароли, в ненужные — хитро придуманные, но все же взламываемые.
                                                                                                                                    2) При выборе вопроса восстановления пароли, выбираю любой рандомный («Как зовут Вашу собаку?»), и пишу в ответ криптостойкий пароль, но, обязательно, отличный от пароля на данном ресурсе.
                                                                                                                                    3) Стараюсь не пользоваться общественными компами, либо пользоваться с возможностью загрузки со своей флэшки (puppy linux)
                                                                                                                                    4) Для людей, работающих в офис (я в офисе не работаю, но история такая есть): Ваш пароль может был спален начальником (или кто там у вас следит?) по камере слежения. Поверьте, в замедленной съемке любой лох разберется в Вашем «крутом» пароле. Скажете, нафиг ему надо? А вот когда человека увольняют, ему сразу много чего надо…
                                                                                                                                    5) Просто не надо быть дураком.

                                                                                                                                    Спасибо!
                                                                                                                                    Криптостойкие пароли для всех, даром, и пусть никто не уйдет обиженным ;)
                                                                                                                                      +6
                                                                                                                                      язык, использующий только латинский алфавит (никаких умляутов, кириллицы, иероглифов и т.п.). Например, английский, эсперанто или латынь.
                                                                                                                                      ĉu vi ne scias Esperanto?
                                                                                                                                      +1
                                                                                                                                      Убрано упоминание об эсперанто
                                                                                                                                      Да вроде как не убрано, аж в двух местах встречается.
                                                                                                                                        0
                                                                                                                                        fixed
                                                                                                                                        0
                                                                                                                                        Хитрые схемы преобразования имени ресурса в пароль грешат одним недостатком: стоит узнать несколько паролей, и схема как на ладони, и все остальные пароли вычисляются.

                                                                                                                                        Замена букв — вообще не метод, так как популярные программы взлома такие методы уже учитывают. Да и схема преобразования слова в пароль тоже раскрываема, что даёт возможность делать очень хорошую атаку по словарю после узнавания нескольких пар слово=>пароль.

                                                                                                                                        Пока биометрические методы не будут общеприняты — с проблемой паролей, мне кажется, справиться невозможно. Разве что писать в качестве пароля длинные фразы из слов — которые действительно можно подобрать по ассоциации, — но на практике пароль длиннее восьми символов набирать неприемлемо.

                                                                                                                                        В будущем, я думаю, каждая клавиатура будет оснащена считывателем пароля, который будет поступать от клиента с микрокомпьютера с биометрической привязкой к пользователю. Это и сейчас сделать просто на базе USB, достаточно унифицировать алгоритмы запроса паролей для предотвращения передачи пароля в открытом (не хэшированном) виде.
                                                                                                                                          0
                                                                                                                                          Дикари. :) Вот правильное решение: passwordmaker.org/
                                                                                                                                          Запоминаете единственный мастер-пароль в голову и генерируете стойкие пароли (как правило по доменному имени). Как онлайн, так и в виде разных плагинов. Утеря хранилища паролей не становится трагедией.
                                                                                                                                            0
                                                                                                                                            А у меня уже давно есть алгоритм. Я придумываю русское слово, ставлю его в определенный падеж, перевожу первый и последний символ в верхний регистр, и все это печатается в анг. раскладке. Правда если на клаве нет русс. букв то набрать пароль немного сложновато но возможно.
                                                                                                                                              +1
                                                                                                                                              Интуитивно пришел к многократно упомянутой схеме пароля из двух частей — постоянная и изменяемая в зависимости от ресурса. В изменяемую часть беру первые несколько букв названия ресурса или первую букву + доменную зону. Используется только латиница — но для неизменяемой части взято русское слово. Точнее, древнерусское ))

                                                                                                                                              Для повышения криптостойкости определил конечный ряд букв с единым признаком. За основу взял… ну, например, ряд P/T/K. Для меня этот ряд легко запоминается, потому что встретил его в виде имени Пантанкан в старой фантастике, где этим именем назвался шпион инопланетян )) а само имя представляет собой имена базовых букв земного алфавита (в том мире/книге: Майкл Фостер. «Воины Рассвета»). Примерно в то же время читал и Толкина, его эльфийские алфавиты также основаны на этих буквах. Да и ряд земных древних языков выделяли их в качестве основы своей звуковой системы. В общем, принцип не так важен — главное, чтобы он был легко воспроизводим.

                                                                                                                                              Далее, алфавит делится на 4 части: < K T >, этим интервалам присваиваются номера 1...4 (сами буквы 1,2,3), а в пароле заменяются буквы названия ресурса и его доменной зоны (кроме гласных) в соответствии их положению в этих интервалах, в том числе, если они встречаются в неизменяемой части пароля.

                                                                                                                                              В результате получаем такой пароль для Хабра:
                                                                                                                                              «корень»: zhopa
                                                                                                                                              «окончание»: habrru
                                                                                                                                              пароль: z1o2a1a113uXC

                                                                                                                                              Последний штрих – год окончания школы в римской системе. Удобно тем, что всегда помнишь — и писать привычно в верхнем регистре.

                                                                                                                                              P.S. На самом деле у меня другой ряд букв и другой принцип их замены — но это уже неважно )) для Хабра я сделал пароль, вообще не входящий в подобную систему ))

                                                                                                                                                0
                                                                                                                                                Извиняюсь, в ходе печати пропала правильная запись интервалов: < K T >
                                                                                                                                                  0
                                                                                                                                                  Так. По ходу дела, происходит автоматическая замена угловых скобок. Тогда напишу интервалы и буквы так:

                                                                                                                                                  (1) К=1 (2) P=2 (3) T=3 (4)
                                                                                                                                                0
                                                                                                                                                Мой алгоритм:
                                                                                                                                                Для каждого ресурса пароль не подбираю (хотя можно, наверное, добавлять пару букв/цифр от домена, надо попробовать)
                                                                                                                                                Пароли делю на 4 степени важности — сильно финансово значимые (кошельки, сертификаты и т. п.), слабо финансовые значимые (платные аккаунты, включая хостинги и т. п.), лично значимые (мыло, аська, ценные ресурсы и т. п.), «лишь бы отвязались» — всякие регистрации для скачивания, просмотра и т. п.
                                                                                                                                                Каждую из степеней проассоциировал со строчками хорошо знакомых песен, стихов, прозу и даже их детскими «ремиксами», например «Взвейтесь кострами, бочки с бензином! Мы, пионеры — дети грузина!» (только с пунктуацией надо определиться, мне, обычно, гугл помогает :) ).
                                                                                                                                                Берем первые буквы и зннки препинания — из примера получаем Вк, бсб! М, п-дг! (если ресурс не позволяет спец символы — убираем), плюс в конец добавляю количество букв в последнем слове — Вк, бсб! М, п-дг!7
                                                                                                                                                Переводим на латиницу по предпочитаемому алгоритму (я пользуюсь клавиатурой) и вуаля — Dr?,c,!V?g-lu!7 и набирается легко, просто произнося про себя слова песни и нажимая соответствующие клавиши. Сложно только бывает такой пароль по телефону диктовать, по буквам выжимаешь из себя — собесбедник в недоумении :)

                                                                                                                                                Надеюсь кто нибудь модифицирует алгоритм под себя вместо использования «god» и «sex»

                                                                                                                                                  0
                                                                                                                                                  Зачем свой пароль кому-то диктовать по телефону?
                                                                                                                                                    0
                                                                                                                                                    Пароли не только личными бывают, но и служебными :)
                                                                                                                                                  0
                                                                                                                                                  Про степень важности ее связь со сложностью тут уже говорили. В общем мне не проблема запомнить несколько сложных паролей. Если будут проблемы с памятью, то мне нужен будет метод улучшения памяти, а не генерации паролей.
                                                                                                                                                  А для не особо важных паролей применяю чтото вроде такого:
                                                                                                                                                  abudfvfytgfhjkm rfrjqyf[eqgfhjkm mhehehe;thgahokm
                                                                                                                                                  Оно конечно не так стойко к перебору по словарю как могло бы быть. Но зато более стойко к методам терморектального криптоанализа :)
                                                                                                                                                    0
                                                                                                                                                    самым логичным решением будет перевести слово на язык, использующий только латинский алфавит

                                                                                                                                                    или просто переключить раскладку, тогда «баклажан» превратится не в «aubergine» а в ",frkf;fy"

                                                                                                                                                    одним из способов сочинять пароли, которые мне известны — брать известный бренд и разделять его химической формулой типа Mercedes + HN03 = MerHN03cedes
                                                                                                                                                      0
                                                                                                                                                      Способ замечательный, лишь бы «девичья фамилия матери» всё не испортила.
                                                                                                                                                        0
                                                                                                                                                        А проверять пароли можно здесь www.passwordmeter.com/
                                                                                                                                                          0
                                                                                                                                                          Основная проблема при таком способе, что ассоциаций с объектом может быть очень много. В данном случае если вы забудете пароль, придётся перебирать все известные вам овощи :)

                                                                                                                                                          Ещё хорошими паролями являются не отдельные слова, а целые фразы и предожения. Можно брать строчку из стихов, рекламные фразы, длинные названия, например, «Я помню чудное мгновенье». Вместо пробелов можно использовать нижнее подчёркивание.

                                                                                                                                                          А также можно пользоваться богатсвом русского языка, используя не основную форму слова, а например уменьшительно-ласкательную :) Например, «парольчик». Такого в списках для брутофорса точно нет.

                                                                                                                                                          Надеюсь все знают, что пароли должны быть длинными, чтобы их не смогли подобрать банальным перебором всех символов.

                                                                                                                                                          P.S. Вообще невозможно запомнить десятки уникальных паролей, поэтому у большинства есть несколько «стандартных» паролей, которые используются на большинстве сервисов, а уникальные пароли используются только действительно на чём-то важном, типа основной почты или сервисе управление банковским счётом.
                                                                                                                                                            0
                                                                                                                                                            Я уже очень много думал по поводу генерации и хранения паролей к сервисам и для себя выбрал следующее:
                                                                                                                                                            — генерю один длинный ни с чем не связанный пароль через любой нормальный генератор паролей (большие-маленькие буквы, цифры, спецсимволы), выучиваю его наизусть.
                                                                                                                                                            — генерю пароль покороче (6 символов например), тоже запоминаю.
                                                                                                                                                            — для всякого хлама (одноразовая регистрация в форуме, сомнительные сайты, и т.п.) использую короткий пароль (если его админ какого-нибудь форума его пропалит то максимум что он получит — доступ к другому хламу)
                                                                                                                                                            — для хранения других паролей я поставил к себе на хостинг скрипт PasswordChain (http://sourceforge.net/projects/phpchain) — код opensource, требуется обычный php+mysql, все логины, пароли и другие данные шифруются одним мастер-паролем так что даже админ хостинга и автор программы при всём желании не смогут узнать даже логинов и адресов сайтов, которые ты записал в ней. Соответственно мастер-пароль ставлю тот самый первый, который выучил наизусть.
                                                                                                                                                            — для остальных сервисов генерю рандомные пароли и записываю в эту прогу. В зависимости от важности сервиса ставлю галку «сохранить пароль для формы» в Firefox (там тоже все сохраненные пароли шифруются одним мастер-паролем). В итоге получается что пароли для каждого сайта нужно один раз запомнить в браузере и не забыть добавить в PasswordChain. А потом только при загрузке браузера один раз ввести мастер-пароль (заодно и тренировка памяти чтобы его с похмела вдруг не забыть). Если засел за другой комп или переустановил Firefox или просто нужно срочно посмотреть пароль — залажу на первом попавшемся девайсе браузером в свой passwordchain (а браузеры сейчас даже в мобильниках есть) и нахожу чего мне нужно.
                                                                                                                                                            — для защиты от похищения серерва хостинга инопланетянами или маски-шоу обэпа ежедневно делается бекап mysql-базы с паролями на нескольких других хостингов.
                                                                                                                                                            — для синхронизации сохраненных паролей в firefox между домашним и рабочим компом использую extension Weave (можно тоже настроить хранение данных синхронизации на своём личном хостинге (dav-протокол)).
                                                                                                                                                              0
                                                                                                                                                              Жалко только что автор PasswordChain перестал её развивать. Но текущая версия работает стабильно и не имеет дырок для вскрытия паролей не зная мастер-пароля и мне этого достаточно.
                                                                                                                                                              Достойной альтернативы ей не нашёл, хотя много всего перепробовал.
                                                                                                                                                              Минимальные требования такие:
                                                                                                                                                              — веб-интерфейс (желательно простой, чтобы с мобильника было удобно пользоваться)
                                                                                                                                                              — открытость кода (чтобы быть уверенным что мои пароли не пересылаются ещё куда-либо)
                                                                                                                                                              — возможность поднятия у себя на хостинге (не хочу доверять данные третьим лицам, которые могут вдруг обанкротиться и сбежать с данными либо закрыть доступ и вымогать деньги за доступ к данным)
                                                                                                                                                              — стандартные требования к ПО, чтобы завелось на любом хостинге (в идеале просто php+файл с данными)
                                                                                                                                                              — шифрование всех данных одним паролем (чтобы админ сервера хостинга не мог не только пароли мои посмотреть в БД, но и адреса порносайтов, на которых я зарегистрировался :-D)
                                                                                                                                                              Остальное уже не важно, ко всему можно привыкнуть или нарайняк — дописать самому…
                                                                                                                                                              Если кто знает что-либо подобное — сообщите пожалуйста тут или в личку, с удовольствием «пощупаю».
                                                                                                                                                                0
                                                                                                                                                                Если альтернатив PasswordChain всё же нет, то есть предложение к хабрасообществу заняться доработкой текущей программы (либо форкнуть либо присоединиться к проекту), т.к. самое сложное уже сделано, рабочее ядро уже есть и довольно неплохое, осталось только повысить удобство использования и расширить функционал.
                                                                                                                                                                Я сам бы взялся да всё никак время не найду и в одиночку мне как-то скушновато…
                                                                                                                                                                0
                                                                                                                                                                Для синхронизации в FF пользуюсь для этих целей Foxmarks. Посмотрел про Weave — заманчиво, но свободная регистрация закрыта. Не могли бы немного рассказать, что эта штука умеет?
                                                                                                                                                                  0
                                                                                                                                                                  На данный момент версия 0.2.7 умеет синхронизировать:
                                                                                                                                                                  — Закладки (не пользуюсь, т.к. использую delicious.com и отличнейший extension для Firefox)
                                                                                                                                                                  — Историю браузинга
                                                                                                                                                                  — Куки (не пользуюсь, т.к. куки авторизации привязываются к IP и в результате если дома не вышел, то на работе авторизация на сайте слетает и наоборот).
                                                                                                                                                                  — Сохраненные пароли форм
                                                                                                                                                                  — Закладки (на другой машине когда коннектишься — можно выбрать галочками что открыть из того, что осталось открытым на другой машине)
                                                                                                                                                                  — Сохраненные данные форм (подсказки чего раньше набирал)
                                                                                                                                                                  — История ввода (список посещенных страниц в строке адреса)

                                                                                                                                                                  Также планируют в следующих версиях научить синхронизировать:
                                                                                                                                                                  — Extensions
                                                                                                                                                                  — Themes
                                                                                                                                                                  — Search plugins
                                                                                                                                                                  — Microformats (пока не понял что это)
                                                                                                                                                                  — Поддержка плагинов (можно будет свои типы информации синхронизировать)

                                                                                                                                                                  Регистрация на офсайте закрыта, но по-моему прокатывает метод со своим хранилищем (у меня прокатило на версии 0.2.4). Попробуйте следующим образом:
                                                                                                                                                                  — скачиваете и устанавливаете экстеншн
                                                                                                                                                                  — при начальной регистрации нажимаете «отмена»
                                                                                                                                                                  — заходите в настройки и изменяете адрес хранилища (Preferences — Advanced — Server location) — можно использовать любой хостинг или свой сервер, который поддерживает webdav.
                                                                                                                                                                  — нажимаете Sign In и вводите логин-пароль webdav от папки хостинга. Второй пароль используется для шифрования данных — рекомендую задать любой другой посложнее, не совпадающий с хостинговым.
                                                                                                                                                                  И всё, после этого у меня заработало!
                                                                                                                                                              0
                                                                                                                                                              Своя система генерации паролей конешно хороша, но не во всех случаях ты во власти выбирать пароль, иногда тебе его назначает админ или другой человек, поэтому для их хранения потребуется всё-равно какая-то хранилка паролей. Плюс когда ты генеришь пароль которым будут пользоваться несколько человек — эти несколько могут твою систему генерации раскрыть и подобрать пароли от всех твоих остальных сервисов.
                                                                                                                                                              Поэтому для себя я сделал единственное правило: один мастер-пароль, который не знает никто кроме меня и ни при каких условиях я его не скажу, плюс все остальные пароли генерю рандомом и шифрую мастер-паролем.
                                                                                                                                                              От терморектального анализа это всё конешно не спасёт, но и своя система генерации от паяльника тоже долго не утаится :)
                                                                                                                                                                0
                                                                                                                                                                Тут такая штука, что я, как админ, сам и выдаю пароли и некоторыми из этих паролей приходится периодически пользоваться (например под аккаунтом пользователя надо что-то сделать).
                                                                                                                                                                  0
                                                                                                                                                                  Я тоже часто сам генерю и выдаю пароли для пользователей, приходится иногда этими чужими паролями пользоваться, но в базе они хранятся зашифрованные (MD5 например), поэтому уже никак не восстановишь, а менять на другой нецелесообразно для одной проверки. Поэтому остается единственный вариант — записывать их где-то в открытом виде.
                                                                                                                                                                  Соответсвенно, я и сохраняю их в базе данных в категории «пароли юзеров». Но открытым текстом в файле или базе хранить небезопасно, поэтому шифрую их своим мастер-паролем, соответственно доступ к ним остаётся только у меня.

                                                                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                              Самое читаемое