Пароль для гиков — смешать, но не взбалтывать

    Если вы боитесь кейлоггеров и способны не задумываясь сказать, какая буква в вашем пароле стоит на N-м месте, для вас есть оригинальный способ ввода паролей, который поможет немного увеличить их безопасность.

    Если автор сайта сделал для ввода пароля обычное текстовое поле (конечно типа «password», чтобы никто не подсмотрел), то вы можете вводить пароль побуквенно вразнобой (не по порядку), разумеется, переставляя курсор мышкой, чтобы нельзя было отследить порядок ввода по нажатиям курсорных клавиш.

    Однако для удобства пользователей предлагаю для ввода пароля автоматизировать процесс перемешивания, установив вместо простого текстового поля набор односимвольных ячеек:



    После ввода каждого символа курсор автоматически переносится в одну из случайно выбранных незаполненных ячеек, которая для лучшей видимости подсвечивается фоном. Разумеется, никто не мешает переставить курсор вручную. При отправке формы пароль собирается в одну строку, при этом пустые ячейки пропускаются (не все пароли одинаково длинные).

    Плюсы данного решения:
    • защита от кейлоггеров, хотя все символы пароля по-прежнему можно отловить, придется перебрать до N! (факториал) вариантов, чтобы найти правильный порядок.
    • отдельные клеточки стимулируют пользователя выбирать более длинные пароли (а как вы думали, при регистрации пароль можно вводить аналогичным способом) и показывают, сколько еще свободного места осталось.
    • пароль нельзя скопипастить, а значит его придется запоминать, а не хранить в потенциально небезопасном месте на компьютере.
    • ввод пароля превращается в увлекательную игру :)

    Очевидные минусы:
    • ввод пароля занимает больше времени
    • ввести пароль «чисто механически» уже не получится, его нужно будет помнить и разбить в уме на отдельные буквы, что требует серьезных умственных усилий.

    Предупреждение: идея была придумана и опубликована just for fun. Думаю, всем очевидно, что этот способ нельзя делать единственным вариантом, но если кто-нибудь реализует его на своем сайта в качестве альтернативного пути ввода пароля и это привлечет еще парочку гиков в его аудиторию — это будет хорошо.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 113

      +4
      Для пароля из 10 символов
      10! = 3628800
      Не так и много, если не стоит задержка не дающая быстро перебирать пароли
        +2
        Лучше, чтобы задержка была. В некоторых вариантах после второй-третьей неправильной попытки начинают капчу показывать и делать другие проверки на человечность
          +3
          ненавижу :)
          забудешь пароль на какой-нибудь редко посещаемый сайт, потом перебираешь свои стандартные пароли для таких сайтов, а он тебе каждый раз ещё и капчу суёт
            0
            У меня процедура логина на такие выглядит так:
            1. Восстановить пароль на почту
            2. Открыть в почте письмо
            3. Если в письме ссылка на смену пароля, ругнуть авторов и сменить пароль на такой же, который никогда не вспомню
            3А. Если в письме указан пароль, его можно потом будет отыскать через поиск
            –3
            Капчу нужно давать после первой неправильной попытки.
              +3
              А вот и нет! По уму, капчу надо подсовывать после 10-й попытки как минимум. Человек уже устанет и плюнет, или поймет что его проверяют и раздражаться не будет — а робот будет только в самом начале перебора.
                +1
                Надо продать идею юзабилистам…
            –11
            Согласен. Алгоритмы перебора, которые работают быстрее чем n*ln(n) я лично не видел, и даже не слышал о них. Вот если бы перебор был не быстрее чем n^n (что больше чем n! ), это уже интереснее.
              +8
              Не путайте перебор и сортировку. В случае перебора нет понятия «быстрота алгоритма», есть понятие «число вариантов»
              0
              Мне кажется там не факториал 10 будет… А n^m, где n — количество возможных символоф, m — длина пароля…
                +1
                Если все символы известны (логгер их словил) и они все разные, то получается m!
                  0
                  А, понял, спасибо!
                    0
                    Вы забыли про повторяющиеся символы.
                    0
                    Там будет факториал, при учете что используются все 10 символов из набора. Те пароль состоит из всех введеных 10 символов. А вот если на основе капчи ввести туда еще случайные символы(что-то вроде в этом поле нужно написать A, etc) — то будет как-то так n!/(n-k)!.. Если я правильно понимаю. Плюс ввод этого подобия salt, может так выступать в роли теста Тьюринга.
                  +7
                  Ввод пароля превращается не в увлекательную игру, а в пытку для пользователя — надо постоянно считать, какой символ в пароле когда встречается. Если надо быстро попасть на сайт — этого сделать не получится.
                    +3
                    Не спорю, способ не для всех, о чем и предупреждалось в самом первом предложении
                      –1
                      а для кого? и как провести разделение между пользователями — кому какое поле предлагать?

                      Мне сложно представить себе человека, который так хорошо помнит свой пароль и которому это поле не надоест со второго раза.

                      Чтобы вводить такое поле удобнее всего себе куда-нибудь написать или впечатать пароль, чтобы посимвольно проще было его сопоставлять. В некоторой степени, это принуждение для пользователя лишний раз продублировать где-то пароль.
                        +1
                        Делать такой вариант единственным и обязательным — издевательство, а вот как дополнительный способ, может кто-то и воспользуется… пару раз…
                          +1
                          с чужого компьютера например
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Можно даже без мышки, сделать два поля рядышком, одно для пароля другое для мусора, после нажатия клавиши с некоторой вероятностью случайно перекидывать между ними…
                          +2
                          Ага и пол часа вводить свой пароль из 14 символов.
                          То опечатка, то еще что-то.
                          +1
                          А keylogger не отслеживает события «клик мышки».
                          Если в логе будет что-то типа
                          mysecretpa$$(left_button_pressed)alksdlkasjdlkasjdlsakjd(left_button_pressed)w0rd

                          То пароль явно видно.
                          0
                          Это если число попыток неограниченно и каждая из них занимает очень мало времени
                            +2
                            Обычно кейлоггеры используют массово получая большие объемы данных от пользователей, и обрабатывают их тоже автоматически. Поэтому переставлять местами буковки никто не будет.

                            Единственный вариант если кому то понадобился конкретно ваш пароль, и этот кто то знает что вы используете при вводе пароля такой сервис. Тогда мб и попробуют перебирать.

                            В тоже время люди которые заботятся о безопасности и знают свой пароль не только тактильно (а я его знаю только так, а N-ую букву только высчитать могу) могут позаботиться о защите от кейлоггеров более эффективными способами.
                            –2
                            Или пользуйтесь *nix операционными системами.
                              +4
                              Как альтернативный вариант рядом с таким вводом пароля можно иметь кнопку «Установи Генту прямо сейчас! Have a fun!»
                              +7
                              «На каждую хитрую задницу найдется болт с резьбой»
                                +3
                                С левой резьбой, прошу заметить.
                                  +1
                                  уже нашёлся? :)
                                  +3
                                  пароль: -на каждую хитрую задницу найдётся свой болт с резьбой на 18
                                  отзыв: -на каждый болт с резьбой на 18 найдётся своя хитрая задница с лабиринтом ;)
                                    +1
                                    Ответ: а на каждую задницу с лабиринтом — болт с путеводителем.
                                  +1
                                  Пожалуй, имеет смысл пронумеровать ячейки. Потому что даже если пользователь точно помнит 9-ый символ своего пароля — ему придётся ещё поискать нужное поле.
                                    +10
                                    Виртуальная клавиатура удобнее.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +1
                                        По-м всплывающая клава на экране при входе в клиент-банк ситибанка удобнее…
                                          +1
                                          многие кейлоггеры умеют делать скриншот области экрана в момент клика мышью.
                                            0
                                            умеют но делать после каждого клика скриншот не эффективно. сколько раз ты час делаешь кликов мышкой? подозреваю что около 2-3 тыс…
                                          +5
                                          Сегодня человек 5 сели за написание маускликлогеров :)
                                            +2
                                            Что, не я один?
                                              0
                                              блин… про вас забыл. :) значит не 5 челововек, а 6 :)
                                            0
                                            хорошая альтернатива той же самой виртуальной клавиатуре для использования в публичных местах типа интернет-кафе.
                                              0
                                              Ой да ну ладно альтернатива…
                                              ВиртКлава позволяет вообще не дотрагиваться до клавиатуры… и следовательно кейлогер не спалит.
                                              А этот способ чем хорош? Это классно если пароль Sjhj3pcS@
                                              А если у человека пароль: apple? или microsoft? хакер получит lpape, tisrocofm, поберебирал пару вариантов и нашел нужное слово и вперед
                                                +1
                                                большинство людей прочитав microsoft, micorsoft, misorcoft даже не заметят разницу :))
                                                  0
                                                  Эта новость уже баян лет так 5 как минимум
                                                  +1
                                                  Клавиатура при этом должна быть со случайно сгенерированной раскладной, а то клики мыши запишут =)
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Да, технически реализацию представляю… Не думал, что всё уже настолько плохо.
                                                +1
                                                у меня например пароли хранятся в keepass и на сайт вставляются горячей клавишей…
                                                И тут получается что я должен буду свой пароль в 12 символов вручную вбивать 5 минут…
                                                Проще найти другой ресурс :)
                                                  +1
                                                  однако masterpassword у вас-таки есть наверняка) и вот его закейложить тоже могут.
                                                    0
                                                    тоже верно :)
                                                      0
                                                      KeePass позволяет не вводить пароль, а использовать файлы-ключи.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Недостатки многократно перекрывают достоинства. Уж лучше автозаполнением по комбинации клавиш\кнопке.
                                                        0
                                                        «При отправке формы пароль собирается в одну строку»
                                                        Вот тут то его и словят :) Не одними кейлоггерами достаются пароли.
                                                          –1
                                                          От дырки в браузере (а как еще вытащить пароль из Javascript-переменных?) спасет разве что смена браузера.
                                                          Это и к вопросу о доступе к критиным данным из интернет-кафе, кто знает как там браузеры пропатчены…
                                                            0
                                                            Почему обязательно дырка в браузере? Перехват частей движка javascript или инжект своего javascript кода в нужную страницу. Это не какие-то запредельные вражеские технологии, такое есть и уже давно.
                                                              0
                                                              Перехват движка == дырка

                                                              Инжект — это возможно. По этой причине нельзя ставить сторонние JS на критичные страницы (особенно на страницу входа/смены пароля). Это касается, в частности, многочисленных скриптов рекламы и иже с ними.
                                                                0
                                                                От перехвата %100 защиты быть не может. Опять таки про сторонний JS — его скорее всего заинжектят локально, с помощью механизмов браузера или при передачи/получении контента из сети.
                                                          0
                                                          отпугнет среднего пользователя от ресурса.
                                                            +1
                                                            qreywt
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                0
                                                                ни какие хитрые средства не помогут пока у 70 % прользователей будут пороли типа: sex, god, qwerty, 123, (день.месяй.год моего рождения). Тем более таике бредовые :)
                                                                  0
                                                                  В банковских системах просят ввести не весь пароль, а X, Y, Z-ные буквы пароля. При неправильном вводе X,Y и Z не меняются, т.е. перебор невозможен. Если кейлогер получил эти буквы, то для его сессии X, Y и Z будут свои и перехваченные буквы бесполезны.
                                                                    0
                                                                    меняются, наверное вы хотели сказать?
                                                                    А как интересно это происходит. Ведь по-хорошему у банка должен быть хеш пароля.
                                                                    А получается, что там пароль в открытом виде, раз они могут сравнивать посимвольно…
                                                                      0
                                                                      хотя им видимо и в открытом виде нормально хранится. Все равно если база утечет, то звездец.
                                                                        0
                                                                        безопасное хранение такой информации (с учетом алгоритма проверки) — весьма интересная задача ;-)
                                                                        может кто поделится соображениями / знаниями? самому интересно.
                                                                          0
                                                                          что мешает хранить хеш каждого символа?
                                                                            0
                                                                            То, что это ничем не лучше хранения пароля в открытом виде.
                                                                              0
                                                                              то что перебрать 256 вариантов — раз плюнуть.
                                                                          0
                                                                          Обычно банки сами выдают пароли, поэтому дата рождения и прочие легко подбираемые варианты не прокатит. А вдобавок еще часто используется таблица переменных кодов, с ней вообще нет шансов взломать вход…
                                                                            0
                                                                            Естественно, но крупный банк ВТБ24 выдает пароль в виде 6 ЦИФР!!! (Который, конечно, сменить можно, причем как на сложный символьный, так и на дату рождения)

                                                                            а просто войти в систему и посмотреть на состояние счетов и выписки по карте можно без кода со скретч карты. Если опять-таки не сменить дефолтный вход по одному логину на ввод кода с карты.
                                                                              0
                                                                              По умолчанию код со скретча спрашивается при входе. Его надо _отключать_, чтобы войти без него.
                                                                                0
                                                                                являюсь пользователем телебанка. код со скретча при входе не требовался.
                                                                                  0
                                                                                  являюсь пользователем телебанка. код со скретча при входе требуется.
                                                                                    0


                                                                                    Я точно не помню, но при заключении договора, по-моему, по-дефолту не было галки напротив пункта спрашивать код со скретча. Вы, возможно, ставили ее.
                                                                            0
                                                                            нет, именно не меняются. Если бы менялись, то при конечном количестве переборов можно было получить весь пароль.
                                                                              0
                                                                              а, я подумал, что даже при новой сессии не меняются номера символов.
                                                                              0
                                                                              он у них даже в бумажном виде есть :) я его в договоре в клеточки вписывал. Так что я думаю ничего не мешает им хранить его в открытом виде. К тому же системы информационной защиты в банках серьезные, а пока до базы паролей не добрались злые руки всем без разницы что там хэш или сам пароль
                                                                                0
                                                                                Хранят хеши всех символов пароля по отдельности? ;-)
                                                                                  +1
                                                                                  Обычно хранение пароля «в открытом виде» на сервере (возможно, на отдельном kerberos-сервере) позволяет сделать более безопасную аутентификацию.

                                                                                  И это нормально.
                                                                                  0
                                                                                  хм. хорошая штука. возьму ка на вооружение, авось пригодится=))
                                                                                    0
                                                                                    Одноразовые пароли — более хорошее решение для банковских систем.
                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                      +1
                                                                                      Уже сделали на ноутбуках. Только защиту быстро взломали, показав фотографию владельца при авторизации.
                                                                                        –1
                                                                                        Или отрезанное ебло
                                                                                        +1
                                                                                        Если вас вечером попросят подкурить на улице, а потом Ваше ебло средство идентификации разукрасят так, что мама не узнает — как логиниться будете? :)
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                            0
                                                                                            кликать на кнопках и ссылках будете морганием? тогда не накликайте лишнего) ибо специально моргнуть просто, а несознательне моргание не замечается) прогуляетесь на отличьненько по баннерам когда дым от сигареты или солнечный зайчик в глаза попадет.
                                                                                              0
                                                                                              кстати, если курсор будет управляться взглядом, то он (курсор) будет постоянно мешать, ибо будет находиться как раз в том месте, которое вы читаете)
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  0
                                                                                                  Да компы надо тупо научить мысли читать, зачем вообще руками да глазами елозить…
                                                                                          0
                                                                                          На гора ещё анти-кейлог идея:
                                                                                          По хоткею расширение в браузере рандомно ремапит клаву.
                                                                                            0
                                                                                            вот только как при этом пароль ввести?
                                                                                            0
                                                                                            N! фигня. При правильном подходе любой человек с головой предложит оптимизацию слепого перебора.
                                                                                            Например букв, которые как бэ стоят рядом чаще всего (Т и Ь, Ъ и Е) опять же отсекать слова, где подряд больше 3х согласных или двух гласных. При этом количество попыток перебора сокращается в разы. Конечно и процент правильного подбора из стопроцентного превращается в 80% процентный, но в крупных масштабах это мелочи :)
                                                                                            Я конечно грубо сказал, к примеру, но думаю суть ясна.
                                                                                              +1
                                                                                              Кто сказал, что пароль это осмысленное слово. да ещё и на русском? :) Тогда уж и по словарю можно перебрать, зная длинну. А для более сложных паролей — ни словарь, ни оптимизация слепого перебора — не помогут особо.
                                                                                                0
                                                                                                Ну само собой что логики в пароле ADYw7sgcg7679 не проследишь :)
                                                                                                Просто случай был. Писал знакомый переборщик паролей
                                                                                                Пароли были такого типа:
                                                                                                ab0eacd8
                                                                                                18fe0aad

                                                                                                Не вооруженным глазом видно что для их генерации используются только входящие в 16чную систему символы. Он же написал чтоб перебиралось по всему алфавиту. С моей подсказки сократили время перебора с 17 лет до 6 месяцев.
                                                                                                  0
                                                                                                  В таких случаях сократить время перебора можно, но надо знать условия/примеры паролей :) А если известна только длинна, да и то минимальная, то…
                                                                                                    +1
                                                                                                    Я к чему веду всё. Слава алгоритмам, закономерностям и людям с головой. Они спасут мир. Или уничтожат :) Одно из двух.
                                                                                                      0
                                                                                                      Согласен. Надо помнить, что эти люди с головой есть по обе стороны баррикад :) И их борьба является одним из пинков для прогресса, но и усложнения всего и вся. Финала бы видеть не хотелось :)
                                                                                              0
                                                                                              Метод хороший, но его можно улучшить: по ходу ввода пароля дополнительно вводите ненужные символы. Потом просто удалите эти символы из поля пароля. Как результат — кейлогер перехватит много лишних символов, это сильно усложнит процесс перебора пароля злоумышленником.
                                                                                                –2
                                                                                                обожаю параноиков )))
                                                                                                  0
                                                                                                  В KeePass есть автоматическая функцая Auto-Type для вставки паролей. Вызывается горячей клавишей, то же запутывает кейлоггеры.
                                                                                                    0
                                                                                                    мне больше понравилась Passord Commander — удобная штука ) смарт автофил + к нему там есть экранная клавиатура и сканер отпечатков. Только что-то новой версии пары лет нету (((
                                                                                                    0
                                                                                                    Я что-то подобное давно применяю ) ввел 5-6 символов, курсором мышки переместил фокус, ненужное стер, ввел парочку знаков из пароля… вторую букву выделил мышей и нажал еще что-то, чтобы заменить… еще пару раз так перевел мышкой фокус и готово ) кейлоггеры отдыхают
                                                                                                      0
                                                                                                      кстатии желающим так воводить пароль штатная замена :)
                                                                                                      а кому особо всёравно — по старинке
                                                                                                      +1
                                                                                                      >> ввод пароля превращается в увлекательную игру :)

                                                                                                      на этом месте больше всего доставило
                                                                                                        0
                                                                                                        как вариант: после случайного n-символа пароля, попросить ввести случайную x-символьную последовательнось, потом продолжить пароль
                                                                                                          0
                                                                                                          Если данные, защищенные этим паролем действительно настолько ценны, что приходится вот так вот извращаться, то гораздо разумней на мой взгляд организовать аутентификацию не по знанию, а по владению (сертификат, смс на телефон, ОТР, итп).
                                                                                                          А так, — да, прикольно =). Но не более. В реальной жизни — неприменимо имхо.
                                                                                                            +1
                                                                                                            Показывать нормальное поле и кнопку «Я параноик!» — после неё поле рассыпается на такие вот кусочки.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                0
                                                                                                                У меня есть авторизация на одном извратном сайте — там прилагается карточка с двумерной таблицей а-ля шахматная доска с символами латинского алфавита в клетках, сайт выдаёт набор полей с подписями типа E2, E4, F5, G3 — надо смотреть по таблице, какие символы в соответствующих клетках и вводить их туда. А уж насколько это всё секьюрно — х. з.
                                                                                                                P. S.: сайт не мой!

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое