Адрес для входа в РФ: exler.wiki
Бесполезные пароли
XXI век на дворе. Но сколько ни объясняй людям, что использование пароля "password123" или "123456" - это все равно что не использовать никакой пароль, тем не менее у массы пользователей пароли взламываются менее чем за секунду.
Компания Nordpass опубликовала наглядную табличку с самыми бесполезными паролями этого года, которые тем не менее активно используются, и показала, сколько времени потребуется на взлом каждого из них.
Авторы исследования проанализировали список паролей, составленный из слитых в сеть баз данных и других источников. По итогам изучения датасета объёмом 4,3 ТБ самым распространённым простым паролем была признана комбинация «123456» — более 4,52 миллиона обнаружений. Любопытно, что она сместила с верхней строчки печально известный пароль «password», который по состоянию на конец октября 2023-го занял лишь седьмое место.
Вторым по частоте обнаружения стал стандартный пароль «admin» — им воспользовались чуть более 4 миллионов «опрошенных» аккаунтов. Далее по списку следуют комбинации, состоящие из возрастающего набора цифр: 12345678 (1,3 млн), 123456789 (1,2 млн) и 1234 (0,96 млн).
Отметились в «антирейтинге» и такие пароли, как «admin123», «UNKNOWN», «111111» и «000000». Специалисты NordPass также сообщили «рецепт» создания самого безопасного пароля: он должен включать как минимум 20-знаковое сочетание заглавных и строчных букв, а также нескольких специальных символов и цифр. Вдобавок комбинация не должна быть широко известной, ведь в 86% хакерских атак используются базы паролей, ранее слитые в сеть. (Отсюда.)
Граждане! Товарищи! Не используйте неустойчивые пароли! Для создания и хранения паролей используйте надежный менеджер паролей, и создавайте пароли с помощью соответствующего генератора (они всегда есть встроенные в менеджеры паролей).
С менеджером паролей вам нужно будет запомнить один-единственный устойчивый пароль - к этому вашему менеджеру. Все остальные пароли менеджер и создаст сам, и запомнит сам. И у вас все будет надежно защищено!
Очень просто. Я придумал себе алгоритм создания пароля, который зависит от ресурса, на котором я использую этот пароль. Пароль каждый раз разный и уникальный. И ни от какого менеджера паролей независю. Помню только алгоритм.
Например (не мой алгоритм, а для примера): для сайте Exler алгоритм создания пароля такой:
1я буква пароля - последняя буква ресурса (r)
2я буква пароля - третья буква, заглавная(L)
3-4я буква пароля - квадрат количества букв ресурса минус 2 (23)
5-6я буква пароля - фиксированная "соль", всегда такая, со спецсимволом - (G%)
7-8я буква пароля - первые две буквы, набранные на клавиатуре строкой ниже, или выше, если это нижняя (dd)
Итого, пароль - rL23G%dd
Для другого ресурса - будет совершенно другой. И я его легко наберу, и помнить его необязательно. Только помнить алгоритм
"Я купил компьютер-Гитлер,
Ад пришел ко мне.
Не успел подумать я, он -
"Три шестерки где?"
Три шестерки, три девятки -
Это мой пароль
Я тебя заставлю вздрогнуть -
Ты узнаешь боль!"
Открываю жуткий файл.
Мозг сканирует объекты
На пути в подземный рай
Шесть компьютерных компаний,
Продав душу Сатане
К Рождеству подарок адский
Подарили мне.
Я залезу к тебе в душу,
Мой экран - твои глаза
Три шестерки, три девятки,
А мой мозг - процессор зла!
В школе семь убитых трупов
По системе Интернет -
Я готов на все убийства -
Даже мне пощады нет!
Очень рад директор школы,
Что убил я с**ных м***ков!
Так и надо этим тварям -
Бей студентов, бей врагов!
Люди-роботы, как звери
Ищут мышью в норах зла.
Три шестерки, три девятки -
Мой пароль, я - Сатана!
P S. Между прочим, этот текст говорит о важности высшего образования: обратите внимание, что у пиита в строчке "бей студентов, бей врагов" между двумя тезисами находится запятая, означающая, что студенты для Паука врагами не являются, а выделяются в отдельную страту, к которой он предлагает также производить меры физического принуждения. Спросим себя: к чему необходимо подталкивать студентов? Правильно - к успешной учёбе. Поэтому сделаем вывод: Паук осознаёт наиважнейшее значение Высшего Образования и предлагает относиться к нему предельно серьёзно.
Существуют они исключительно по той причине, что в программах, которые они открывают, не предусмотрена опция открытого доступа.
Некоторые программы, впрочем, такие пароли не допускают, а некоторые даже требуют периодического обновления. В таких случаях логин и пароль пишутся на бумажке, которая приклеивается к монитору или клавиатуре. Все жду, когда кто нибудь по требованию поменяет пароль и забудет записать новый...
Сцуко, ты - уличный температурный датчик, живущий в моей домашней wifi сети! Нахрен ты требуешь 8ми-значный пароль в разных регистрах и со спецсимволами?! Кто тебя взламывать будет? Кому ты нахрен сдался?
И еще поразил один случай, человек выбрал себе пароль латинскими буквами в одно слово "azorizdestikhie"
В фильмах и не такое бывает
1. В 80% случаев хватит и простых паролей, ибо сайты и сервисы, где они используются не представляют особой ценности. Пускай ломают. Пофиг вообще, чтобы заморачиваться ради них менеджером паролей
2. Важные пароли все же нужно делать такими, чтобы самому хотя бы был шанс вспомнить их в случае факапа, а не генерировать бессмысленный набор символов. Правило простое - если ты не в состоянии запомнить свой собственный пароль, то ты в первую очередь сам себе злобный буратино.
P. S. Зачем на порнхабе аккаунт? Для друга интересуюсь. Он говорит, и так всё видно.
P.S. Ты имел в виду "перевести"?
Народ, вы правда не видите?
Во всем списке на скрине нет ни одного, который бы полностью попадал в правила из набора "сильный пароль". Почти все нарушают два. Некоторые - три.
Откуда их "слили", с форума грибников?
А остальное - ноу сикретс - и простой ЙЦУКЕН подойдёт.
И что за замок, язычок которого можно втолкнуть? Просто защёлка?
Упор в противоположную стену, труба, домкрат в железный косяк - через 20 секунд дверь вместе с коробкой в квартире Шпака.
Наводили на адрес установщики, естественно.
Пользуйтесь менеджерами паролей!
Тоже заняло минут 20-30.
За 20-30 минут пожар в квартире тухнет сам собой. Гореть начинают соседние, а в исходной тушить уже нечего.
зы. А, это вселенная с непределившимися радарами и спутниками в атмосфере. Тогда всё возможно, конечно.
Собственно я почему в курсе, они как раз сначала секции перепутали и хотели к нам в квартиру ломиться. Я тогда с ними сходил, показал какая именно квартира горит. Заодно и увидел как ломали. Но не до конца, врать не буду, пришли еще ребята и прогнали зевак.
Ну может не 30 минут, может 15, я как бы не засекал. Но вот как бетон неплохо крошился возле косяка двери - запомнил.
Главную роль, однако, играет остающийся с нами теперь уже навсегда неопределяющий направление радар, спутником быстрым в плотных слоях атмосферы летящий. Вот он моя муза.
Получается очень точный портрет.
Не как на радаре, направление неопределяющем. Лучше.
Кстати, мы отклоняемся от темы.
Очень интересно было бы узнать, чем кончилось оперативное вмешательство не самых сообразительных пожарных в неспешный получасовой процесс горения квартиры?
Так что с квартирой-то? "Штыри" у "рамы двери" вообще-то ещё в пол и потолок уходят обычно. Сделал ли пожарный подкоп? Проломил ли окно в зияющие небеса?
Наблюдал двери в бункерах в Швейцарии -- там все по тяжелой -- штыри во все стороны, дверь 500 мм толщиной. Это не расковырялось бы.
А можно и динамит вставить, наверное. Извини, не проверял (с).
С тех пор он приходит часто, хочет разговор. Отказать ему в общении было бы невежливо.
Полметра?!
Не, они есть, конечно. Ну ок, этой квартире повезло, остальные 99% уязвимы, ворам чего жадничать-то...
P.S. Я сначала прочёл предложение
manager12345^
А в реальности базы менеджеров паролей переодически утекают в сеть, а простые пароли никто не взламывает.
Если она про подбор, то почему UNKNOWN так отличается? Подбор только от длины пароля зависит
Но чистый подбор никто не делает. Тем более все пароли из слитых баз прямым текстом уже числятся и перебираются в первую очередь и из этой статьи туда пароли уже добавят
Я давно, в век пиратских сайтов, когда музыку надо было качать в запароленных архивах, просто добавлял в текстовый файлик все пароли, которые на этих сайтах встречал. Файлики потом качались ночью и не вспомнишь у кого какой пароль. Просто по этому файлику все автоматом вкрывалось. И даже на одной из работ, когда только появился спутниковый интернет и мы занимались "рыбалкой", то этим файликом вскрывалось очень много архивов без всякого перебора
Они с сайтов типа одиншапкаушигретьмужчина.cn и лучшийСайтДляИзученияDEAR.indus.specialist.best.org.
Так никто и не будет туда генерить надёжные пароли или использовать "свой надёжный" как раз из-за высокого риска слива. Для таких даже отдельные почтовые ящики заводят, ибо сразу после регистрации твои данные продают спамерам.
Таким образом это "исследование" - классическая ошибка патологоанатома.
Очень много людей имеют один пароль везде и на одного супер-надежного приходится 1000 вот таких, а там и к почте/соцсети/банку доступ и получишь. Можно социнжиниринг дальше подключать
Ребята обнаружили, что там где нет ничего ценного - замки не сложные, если вообще есть. Breaking news.
Все рекомендации очень условны на самом деле. Для банковской карты считается безопасным и 4 цифры. До сих пор есть сайты хранящие пароли в txt, и там хоть 256 символов пароль...
Ну по крайней мере на моих сервисах ))
Это все повелось от юниксов, где файл хешированных паролей доступен на чтение всем желающим.
в любом случае, БД слить несравнимо легче и не надо потом ничего иметь общего с этим сервисом
Другой разговор, что тогда попытки брутфорса могут превратиться уже в DoS атаку.
Потом всё это идёт в "статистику" , а потом кто-то, на основании этой "статистики" пишет "гевалт-публикации" и ликбезы. Ну и ладно, надо же людям о чём-то писать.
Печатать на бумаге/пластике показалось скучным, поэтому алюминий( Д16Т ), травление медным купоросом с солью.
Идея была подсмотрена в недрах Хабра и показалась интересной
Делал похожую историю, когда при себе постоянно блокнот носил. Там одна страничка была рандомными буквами просто забита)
это побочка PCB плат DIY, хобби у меня такое. В данном случае Photoresist for PCB Dupont Riston MM540 с ebay но и китайская пленка, думаю, вполне справится. Пленка для маски от энтузиастов печати на футболках. Печать на самом дешовом Epson 3100 c водорастворимыми чернилами ( черные у него пигментные, если не ошибаюсь, приходится либо печатать из фотошопа либо цвет чуть чуть от черного уводить ). Засветка UV светодиодами 405nm.
В общем ничего хитрого, но если бы у меня не было всего оборудования и материалов то просто бы заказал "банковскую карточку с фотографией"
(С) ктото из Фидо
допустим пользователи дебилы ...
но ведь создатели сервисов могут запретить использование "простых" паролей
заставить использовать сложные ... да еще и таргетную рекламу менеджеров паролей вставлять 😄
или ино в погоне за аудиторией предпочитают не заморачиваться ? 😉
qWerty123$
qwertY1@
хотя для таких мега-сервисов и qwerty достаточно
есть минимальные требования
как минимум что бы не был из списка
ну и длина
вряд ли это идет в разрез с "вашим виденьем"
а дальше сами можете включать свою параною
Если я задал пароль 123456 я ССЗБ и мои данные это моя отвественность. На 99.9% сервисов с такими паролями нет вообще ничего ценного кроме одного заказа в истории заказов.
совсем никаой проблемы
но в большенстве случаев dummeruser забудут пароль
система запомнит его на месяц- два , а вследуший раз через опцыю "забыл пароль" опять востановит доступ
двойная выгода
и пароль сложный и частвая смена 😉 (тоже кстати одно и обычных полиси в корпоративной среде)
У меня есть пароли 123456 на сервисы, которые мне нахрен не нужны.
У меня есть пароли 123456 на сервисы, которые мне нахрен не нужны.
Сколько этих историй про намайненые 30 биткоинов тридцать лет назад утраченные безвоздмездно из-за пароля 12345
a minimum of 1 lower case letter [a-z] and
a minimum of 1 upper case letter [A-Z] and
a minimum of 1 numeric character [0-9] and
a minimum of 1 special character: ~`!@#$%^&*()-_+={}[]|\;:"<>,./?
Набивается почти на автомате, "O" и "0" находятся совсем рядом.
Опустим на митинг, что часть мусорных сервисов с тех времён, когда никаких менеджеров паролей не существовало.
И да 30 лет назад биткоинов и прочих блокчейнов не существовало
С себя и начну - admin123. Есть в вышеприведённом списке и довольно сложный - 11 секунд time to crack.
Все думаю, что WZIMX как-то слишком легкая часть для взлома, надо будет заменить чем-нибудь вроде #$!>?
Был случай, когда через полгода после того, как окончательно отдал сайт в использование, понадобилось что-то подправить, и я спросил у хозяина, какой пароль. Услышав ответ, долго матерился.
А в какой-то день у меня полностью повисли Иксы (X11, старая графическая система открытых юниксоидных систем, в последние десятилетия появились альтернативы), в консоль выйти тоже не удавалось, я сказал об этом чуваку, который учился там уже два года, а он мне говорит через несколько секунд "я к тебе по SSH зашёл, подойди и введи пароль, убьёшь процесс Иксов..". И из внешнего интернета тоже был наверняка доступ, так как кое-то иногда подключался из дома к рабочему компу. А у меня возможность вызова полноценных админских прав для доступа к куче всего в рабочей сети, настроен (с сохранённым паролем/ключом доступа) удалённый доступ на сервера очень серьёзных клиентов, для которых делал регулярный оффсайт-бекап... В полном шоке в тот день с работы ушёл, новый пароль уже не стал нигде записывать.
Раз в месяц часть паролей требуется обновить. Разумеется, не в такт: сначала устаревает пароль к одному SSO и везде надо перевходить (что и фиг бы с ним, там сессия всё равно живёт два часа, чем отдельно жутко бесит), через неделю - другой.
Я хз кто думает, что я буду хотя бы пытаться запомнить эти все пароли. Пусть скажут спасибо, что использую генератор и пассворд-менеджер, потому что ну а какая альтернатива-то? Помнить наизусть? Я имел в виду. Листочек с паролями? Везде одинаковый пароль? Офигеть безопасность улучшили-то как...
Кстати, а зачем в гугол каждый раз входить? Вы разлогиниваетесь в конце каждого рабочего дня чтоль?
SoundEx на серваке где они хранятся?
В таких условиях требовать менять пароль раз в месяц это что-то типа очень прочной калитки посреди чистого поля. Даже больше - чем подробнее такая статистика по вашим паролям, тем проще подобрать текущий.
Про разлогинивание в гугле раз в неделю ещё хотел спросить. Управлением кукисов на своих машинах разработчики софта тоже не занимаются?
Сдаюсь.
Пафнутий, я не знаю, Вы так пытаетесь самоутвердиться, или чтобы что зачем всё это?
Причём самое непонятное, что я даже на свой счёт принять не могу, потому что я не имею отношения к секопсам и вообще пострадавшая и продолжающая страдать сторона... Не, ну я не против, конечно, ваше право...
Треплюсь я просто от нефиг делать, вот неожиданность. То дженкинс апгрейдят, то джиру, то вообще утку.
Не спрашивайте зачем, но вот такие там креативные люди сидят.
Но судя по последним слухам это все еще цветочки. "Ягодки" с 2024 года обещают. Я верю в их креативность.
вот их и использую (в латинском регистре, разбавив через 3 буквы верхним регистром, разделителем в виде $ между слов и разными полезными символами в начале и в конце.
пока еще (за лет 20) ни одного взлома не было...
Брутфорс обычно работает только на локальных программах.
admin и password не искажают статистику как фабричные пароли роутеров?
admin как логин - да, а пароль - то самое "20 знаков, с заглавными и спецсимволами".
Сейчас в скитаниях приходится бодаться с роутерами на съемных квартирах, обычно Хуавеи стоят, и там тоже что-то вполне разумное по умолчанию.
Ну охренеть вывод!
Граждане! Не носите кошелёк в сумке или в кармане штанов, его могут украсть. Застёгивающийся карман тоже не панацея. Лучше отдавайте свои кошельки мне - у меня они будут в полной сохранности. Ну честное слово, мамой клянусь.
Но опять-таки, тот же Кипас умеет свою базу через плагин закидывать в облако (понятно, в супердупер зашифрованном виде, плюс есть способы посолить) - так что даже пролюбив ноут без базы не останешься.
Пока единственная аппликация, которую я нашёл и которая удовлетворяет этим требованиям - OI Safe от OpenIntents
play.google.com
Возможность посмотреть, что там под капотом, никак не гарантирует того, что хоть кто-то туда заглянул хотя бы один раз. 😉
и как их скрыть от остальных
кто в том же месяце родился
того же года и числа
Пример такой фразы был у Пейсателя в "Лабиринте отражений": "сорок тысяч обезьян в жопу сунули банан".
Это как раз отличны пример как можно легко не угадать свой же пароль. 😉
Хотя бы потому, что приводит к складыванию всех яиц в одну корзину, причем для большинства решений - корзина не твоя, а дяди. Который мамой клянется, что ему-то доверять можно.
Соответственно, в случае нечестности/взлома/техниических проблем/банкротства дяди - приплыли, твои аккаунты больше не твои.
Опыт недавнего выпинывания на мороз из нескольких платежных систем по причине паспорта с неправильным гербом тоже не добавляет энтузиазма к подобным решениям.
Базирующиеся на своих серверах варианты позволяют избавиться от зависимости от дяди, но требуют технической экспертизы, и постоянной поддержки.
Так что для важных вещей - только 2FA, как бы надоедлива она не была.
Например, когда весь проект падает потому, что в ходе обновления минорной версии WebGL оно подтянуло обновление одной из библиотек, которое внезапно делало всю библиотеку неработоспособной при наличии русской локали на компьютере разработчика - это неприятно. И таких зависимостей ступеней 6. Новые добавляются по желанию авторов любой из вложенных ступеней.
Запоминается просто.
Если использовать разное количество знаков - за счет округления последней цифры слегка изменяется.
Можно вводить в шестнадцатеричном или в восьмиричном виде, если нужно.
Мечта, а не пароль.
Даже если забыл - легко вспомнить,
А вот натуральный логарифм от года рождения...
23-53-60 - мой рабочий телефон в начале карьеры.
Очень бесят сайты, на которые ты попадаешь пару раз, чтобы потом забыть, которые вываливают список требований паролей размером с телефонный справочник. И что самое мерзкое, частенько эти требования узнаёшь только когда свой пароль введёшь и повторишь. Типа "Ваш пароль не подходит, потому что вы не использовали три разных цифры, знак препинания, большие и маленькие буквы, трижды не обернулись сначала по часовой, потом против часовой стрелки и не сплясали джигу".
У меня в браузере стоит аддон, плюс установлен битварден на телефоне. И все эти "обновить пароль" вызывают лишь пожимание плечами и пару щелчков мыши.
Единственное, отказался от практики "для ввода мастер-пароля смотришь на русскую клавиатуру, но печатаешь латиницей" - ввод на мобиле просто ппц. Длинная пасс-фраза и всё. Благо, дальше можно переложить на биометрию.
И это я считаю, что немецкая клавиатура ещё ничего, ведь есть французская.
В Юникоде должна быть разница, если использовать знаки старого типографического шрифта (известный как Frakturschrift, тот самый "старый немецкий"). Но не далеко не все дают использовать любые знаки Юникода в паролях 😉
а для всяких веб-сайтов, которые требуют авторизации по большей части для "идентияикации рекламопотребителя" - можно и пароль "123" использовать
В тот же гугл не зайдешь если не сделал специальные файлики с кодам, которые я то сделал, но уже не помню куда дел )
Ну и для общего развития не хватает данных о времени кряка 20-знакового сочетания заглавных и строчных букв, а также нескольких специальных символов и цифр...
Ну не в рот же грязный смартфон засовывать? 😁
Удачи, йопт!
Анал-лизатор?
Кремлёвской.