Какими должны быть пароли и как их запоминать
20.10.2020 87701
Комментарии (324)
Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.
Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.
Поэтому давайте в данной статье и поговорим о том, какими должны быть пароли, как их безопасно хранить и как научиться придумывать, а главное - запоминать устойчивые пароли.
Что такое устойчивый пароль
Устойчивость пароля характеризуется временем, которое нужно будет затратить злоумышленнику, чтобы тем или иным способом подобрать его. Пароль, для взлома которого требуется несколько секунд, минут или часов, является неустойчивым. Пароль, для взлома которого потребуется несколько месяцев или лет, является устойчивым.
Как повысить устойчивость пароля
Есть несколько стандартных рекомендаций по повышению устойчивости пароля.
1. В пароле не должны содержаться в неискаженном виде обычные слова, потому что средства взлома паролей прежде всего перебирают слова по словарю. И, кстати, фокус с написанием русских слов в английской раскладке запросто может не сработать: утилиты для взлома такие варианты тоже умеют перебирать.
2. Очень важную роль играет длина пароля. Она должна быть не менее 8 символов, а намного лучше, если их будет 12.
3. Пароли всегда регистрозависимые (оговорюсь, кроме "Сбербанка" с его идиотами-разработчиками), и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре.
4. Рекомендуется в пароле также использовать спецсимволы, это тоже очень сильно повышает его устойчивость.
5. Ну и добавление к паролю нескольких цифр также сильно влияет на повышение устойчивости.
Что нам может в этом помочь
В принципе нет никакой необходимости придумывать и запоминать устойчивые пароли, потому что есть специальные программы, называемые менеджерами паролей, и они это могут делать за вас. Конечно же, не следует пользоваться менеджером паролей, взятым неизвестно где и написанным неизвестно кем, но существуют десятки известных, проверенных и безопасных менеджеров паролей, которые используют миллионы людей.
Суть менеджера паролей очень проста. Вам нужно придумать и запомнить только один устойчивый пароль - для этого менеджера. А дальше менеджер будет сам генерировать и запоминать надежный пароль для каждого из сервисов, где вы регистрируетесь, ведь одно из важных требований безопасности - не использовать одинаковые пароли для разных сервисов.
Рассказ о менеджерах паролей и о том, что они вообще умеют делать, - тема отдельных статей, так что в данном случае я приведу только три наиболее характерных примера таких программ.
LastPass - очень известный менеджер паролей, который стал очень популярным прежде всего из-за того, что его бесплатная версия не содержит никаких ограничений на количество сохраненных паролей.
RoboForm - продвинутый менеджер паролей со многими возможностями, включая безопасное хранение конфиденциальной информации для заполнения форм (например, данных банковских карт, адресов и так далее). Сейчас в его бесплатной версии тоже нет ограничений на количество запомненных логинов (раньше такие ограничения были).
Dashlane - по мнению многих экспертов, это сейчас один из лучших менеджеров паролей, но его бесплатная версия ограничена только 50 логинами и одним устройством.
Как придумать устойчивый пароль и запомнить его
Конечно, наиболее устойчивым будет пароль, составленный из случайного набора букв в различном регистре, цифр и спецсимволов, - например, вот такой: UB^hRh%GDrSTUso8. Генераторы паролей, обязательно входящие в состав любого менеджера паролей, всегда предоставляют возможность пользователю регулировать параметры создаваемого пароля.
Однако что делать, если вы не используете менеджер паролей? Как придумать, а главное - как запомнить устойчивый пароль? Потому что совершенно бессмысленный пароль, типа как указанный выше, запомнить невозможно.
Тем не менее способ есть. Достаточно несложных ухищрений, чтобы фраза, которая вам о многом говорит и которую вы совершенно точно не забудете, стала хорошим надежным паролем.
Мы говорили о том, что крайне нежелательно использовать обычные слова. Однако если буквы обычных слов вы напишете в разном регистре и будете перемежать эти буквы спецсимволами по определенному алгоритму, то пароль сразу станет вполне устойчивым.
Как зовут вашу первую учительницу в школе, имя которой вы никогда не забудете? Вера Ивановна Фролова?
Напишите ее имя и фамилию латинскими буквами в одно слово - verafrolova. Давайте проверим этот пароль в специальном сервисе от "Касперского" (это в любом случае безопасно, потому что мы проверяем сам принцип, а не конкретный пароль, который будем использовать).
Теперь сделаем очень простую вещь - имя и фамилию напишем с заглавных букв и проверим.
Уже веселее, но до устойчивости еще далеко. Давайте теперь просто заменим все буквы "о" символом "@". (Тут важно использовать спецсимвол, а не, например, цифру ноль, потому что с нулями пароль останется неустойчивым, а с этим спецсимволом - уже другое дело.)
Давайте еще усложним. Снова берем VeraFrolova и после каждой буквы ставим спецсимвол с клавиш с цифрами, двигаясь, например, от цифры 1 (можно и наоборот - вниз от "0", тут главное - чтобы вы для себя придумали и запомнили алгоритм). Не нужно брать все словосочетание, достаточно поставить спецсимволы только в имени (после каждой из первых четырех букв, например):
Уже хорошо. Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной, в состоянии? После каждой из первых четырех букв поставить спецсимволы, которые стоят над цифрами от 1 до 4 (или любых других, которые нужно будет запомнить раз и навсегда), в состоянии? Конечно.
Ну и чтобы увеличить надежность до совершенно фантастических величин, возьмите за правило добавлять еще несколько цифр. Немного, не надо писать длинный телефонный номер. Три цифры, но только те, которые вы отлично помните. Например, первые или последние три цифры вашего почтового индекса.
Как видите, ничего сложного. Вам просто нужно будет придумать и запомнить ваш собственный алгоритм. Например, после каждой из пяти первых букв символами над цифрами от 4 до 8. И в конце дописываем несколько цифр (например, ваш код от чемодана - там обычно 3-4 цифры).
Более того, напоминалку о таком коде можно записать в открытом виде - например, "УчиЛка 4-8 чемодан", и враг ни за что не догадается.
Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто.
Только для сложных для транслитерации имен-фамилий обязательно нужно использовать четкие правила, чтобы потом не гадать, как вы написали "щ", "ю" или "ц". Лучше всего делать транслитерацию прямо в этом сервисе, тогда уж точно никаких ошибок не будет.
Также есть масса других способов конструировать запоминающиеся пароли, один из них - составление пароля из первых букв начала какого-нибудь хорошо известного вам стихотворения.
Например, "Союз нерушимый республик свободных сплотила навеки великая Русь" - берем первые буквы: "снрсснвр", конвертируем в "snrssnvr", делаем первую и последнюю буквы заглавными, вбиваем четыре спецсимвола, добавляем код чемодана:
Пишем подсказку: "ГимН 1-4 чемодан".
И, кстати, текст какой-нибудь известной песни может стать вам своеобразным генератором паролей. Для одного пароля используете первые буквы первой строчки, для второго - второй строчки и так далее.
Вот и все! Видите, как просто создать очень устойчивый пароль, причем так, чтобы вы его и не забыли, и могли безопасно записать подсказку. Вам просто для себя один раз нужно придумать алгоритм по указанной выше методике и далее ему следовать.
Всякие полезности
1. Если вы используете менеджер паролей, то для него в качестве мастер-пароля должен быть придуман уникальный устойчивый пароль, который вы больше нигде не используете. При этом если менеджер пароля умеет разблокироваться по отпечатку пальца (Roboform такое умеет), то возьмите за правило хотя бы раз в день разблокировать менеджер паролем, а не отпечатком (чтобы вы себе об этом пароле постоянно напоминали).
2. Ваш почтовый ящик, на который завязаны подтверждения различных важных сервисов, должен иметь устойчивый и также уникальный пароль, который вы больше нигде не используете. Кроме того, крайне желательно, чтобы этот почтовый ящик не являлся вашим обычным ящиком для переписки и чтобы он нигде не светился, а использовался только для подтверждений.
3. Никогда не записывайте пароли в явном виде, но используйте подсказки, которые многое могут сказать вам, но ничего не могут сказать другим людям.
© 1998–2024 Alex Exler
20.10.2020
Войдите, чтобы оставить комментарий.
А безопасно ли сохранять пароль в браузере? Например, в гуглхром?
Сохранить пароль даже в шифрованном сервисе по "учету" паролей уже не безопасно )
А какую сложность добавляет спецсимвол? Если мы просто добавим одну букву? Ведь вариантов букв больше, чем вариантов спецсимволов? (есть конечно суперспецсимволы, но речь про те, что на клаве)
устойчивыйпароль --> Ваш пароль не встречается в базах утекших паролей. Для подбора вашего пароля потребуется...10000+ веков
Хе-хе, включаете англицкую раскладку и набираете что-нить из Пушкина, к примеру
VjqLzlzCfvs[Xtcnys[Ghfdbk
На телефонах, правда, неудобно вводить
VjqLzlzCfvs[Xtcnys[Ghfdbk
На телефонах, правда, неудобно вводить
RoboForm хорош, пользуюсь уже даже и не помню сколько лет. Все ок.
Менеджеры паролей в топку, в случае всего утягиваются вообще все пароли.
Нужно разделять сайты, на которых чувствительная информация, типа банков, каких-нибудь социальных сетей, форумах вам дорогих, и остальные.
На остальных я использую один очень простой пароль, нефиг париться.
Мало того что всякая Web-сволота требует регистрации для одноразовых действий.
Так эти удоды еще и почту проверяют, слава богу есть сервисы одноразовой почты.
Вообще как меня задрали требования к паролям, типа не менее 8 символов и должна быть заглавная буква, цифра и спецсимвол. Я сам знаю какой сложности должен быть пароль.
Нужно разделять сайты, на которых чувствительная информация, типа банков, каких-нибудь социальных сетей, форумах вам дорогих, и остальные.
На остальных я использую один очень простой пароль, нефиг париться.
Мало того что всякая Web-сволота требует регистрации для одноразовых действий.
Так эти удоды еще и почту проверяют, слава богу есть сервисы одноразовой почты.
Вообще как меня задрали требования к паролям, типа не менее 8 символов и должна быть заглавная буква, цифра и спецсимвол. Я сам знаю какой сложности должен быть пароль.
Keepass не упомянут? Хм...
Много чего не упомянуто. Статья-то о другом!
я уже много лет пользуюсь паролями или предлагаю сотрудникам: не очень короткое слово и в середине год рождения или телефон.
касперыч на мой регулярный пароль дал 98 лет на расшифровку
касперыч на мой регулярный пароль дал 98 лет на расшифровку
а вот интересно: "Сорок тысяч обезьян в жопу сунули банан" - считается сильным паролем? ))
а вот интересно: "Сорок тысяч обезьян в жопу сунули банан" - считается сильным паролем? ))
+ спецсимвол жопы и банана. И тогда окей.
главнаоя проблма у меня лично не в том, чтобы сделать такой вот пароль, но, что каждые 45 дней корпоративное ИТ требует менять пароли, и 36 месяцев истории неповторяемой должно быть ((
ощущение, что они тупо перекладывают на юзеров все риски, ибо иначе как записано на бумажке, лежит под клавиатурой, оно уже нереально (на рабочие компы же нельзя ставить "менеджеры паролей")...
ощущение, что они тупо перекладывают на юзеров все риски, ибо иначе как записано на бумажке, лежит под клавиатурой, оно уже нереально (на рабочие компы же нельзя ставить "менеджеры паролей")...
Я, конечно, полный лох, лохом и буду сейчас выглядеть...
Купил новый планшет, сижу, изучаю. Новая для меня функция - разблокировка по лицу. Пробую, вначале предлагают ввести мин-код или пароль. Ввожу пароль. Длинный, с цифрами. Пробую разблокировать - получилось, второй тоже, на третий раз не распознал... Три раза не распознал, сбросил разблокировка по лицу и предлагает ввести пароль. Ввожу - неправильный. Второй раз - та же фигня. После третьего раза предлагает зайти через минуту. Потом через 10 минут и тд... Я уже к тому времени понял свою грубейшую ошибку, но планшет пришлось откатывать к заводским настройкам (благо я ещё толком ничего на него не поставил).
А вся проблема была в том, что я ввёл пароль Русскими буквами а Русской раскладке... Самое неприятное, что планшет принял его без проблем, а вот во время разблокировки на клавиатуре уже не было русской раскладки! Только латиница. Такая вот история вчера со мною приключилась...
Купил новый планшет, сижу, изучаю. Новая для меня функция - разблокировка по лицу. Пробую, вначале предлагают ввести мин-код или пароль. Ввожу пароль. Длинный, с цифрами. Пробую разблокировать - получилось, второй тоже, на третий раз не распознал... Три раза не распознал, сбросил разблокировка по лицу и предлагает ввести пароль. Ввожу - неправильный. Второй раз - та же фигня. После третьего раза предлагает зайти через минуту. Потом через 10 минут и тд... Я уже к тому времени понял свою грубейшую ошибку, но планшет пришлось откатывать к заводским настройкам (благо я ещё толком ничего на него не поставил).
А вся проблема была в том, что я ввёл пароль Русскими буквами а Русской раскладке... Самое неприятное, что планшет принял его без проблем, а вот во время разблокировки на клавиатуре уже не было русской раскладки! Только латиница. Такая вот история вчера со мною приключилась...
мин-код
Это меня автоисправление подкорректировало ? Не разобрался ещё как отключить...
Не разобрался ещё как отключить...
Сорок тысяч обезьян ..... сунули банан. )
я вот последний год стал пользоваться KeePass, открытый код, бесплатный, легкий. есть немного гемора с андроид версией и синхронизацией между девайсами через облака, но все решилось.
недавно на хабре попалась ссылка на вот такую штуку: аналоговый генератор паролей для ленивых за 5 евро
карту тебе генерируют случайным образом, первая часть (кракозябра) и вторая часть (твой пароль по их решетке) получится общая для всех паролей, уникальность обеспечивается названием сайта или сервиса. в конце его набирать, в средине или в начале - вопрос фантазии пользователя. набирать такое конечно не айс, копи-паста нету, но можно сгенерить один пароль для менеджера паролей. в плюсах - можно отксерить и хранить в трех разных местах, и к интернету не подключена, значит хацкерам только через паяльник доступна
недавно на хабре попалась ссылка на вот такую штуку: аналоговый генератор паролей для ленивых за 5 евро
карту тебе генерируют случайным образом, первая часть (кракозябра) и вторая часть (твой пароль по их решетке) получится общая для всех паролей, уникальность обеспечивается названием сайта или сервиса. в конце его набирать, в средине или в начале - вопрос фантазии пользователя. набирать такое конечно не айс, копи-паста нету, но можно сгенерить один пароль для менеджера паролей. в плюсах - можно отксерить и хранить в трех разных местах, и к интернету не подключена, значит хацкерам только через паяльник доступна
Наверное, стоило упомянуть, что в iOS/macOS/Safari встроен родной менеджер паролей от ОС, и пароли там синхронизируются с iCloud - это часть сервиса iCloud Keychain. Сафари сам генерирует сложные пароли. Если нужно хранить только пароли, то ничего стороннего и не нужно ставить.
Идёт геолог по тайге, а навстречу баба-Яга. И говорит:
- А давай ты меня трахнешь, а я за это три любых твоих желания исполню.
Ну она, конечно, старая и страшная, но желания-то хочется. Короче, зажмурился геолог, ну и трахнул.
- Так, говорит. Первое желание - 10 миллинов долларов в счёте на ...
- Погоди, милок, а годков-то тебе сколько?
- Ну 30
- Надо же, такой большой, а в сказки веришь.
- А давай ты меня трахнешь, а я за это три любых твоих желания исполню.
Ну она, конечно, старая и страшная, но желания-то хочется. Короче, зажмурился геолог, ну и трахнул.
- Так, говорит. Первое желание - 10 миллинов долларов в счёте на ...
- Погоди, милок, а годков-то тебе сколько?
- Ну 30
- Надо же, такой большой, а в сказки веришь.
А где про рут?
А вот интересно как кодируется отпечаток пальца? Насколько сложный пароль там получается?
В зависимости от реализации, от 128 до десятков тысяч бит.
параминтетрохлорфинилсульфатнатрия - на чешском 😄
Используйте менеджеры паролей! Обязательно. Тогда авторы менеджера смогут украсть сразу все ваши пароли и не размениваться по мелочам!
На самом деле менеджеры паролей можно испльзовать только в двух случаях:
1. Они ОБЯЗАНЫ быть с открытым исходным кодом. И даже в этом случае, их надо компилировать самому!
2. Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА. Любой вызов сетевой функции (socket, connect и т.д.) - немедленно на помойку. Любая попытка обфустрации кода - немедленно на помойку. Любой подозрение - немедленно на помойку.
Может быть, если есть end-to-end encryption и ключи генерите вы сами, то можно и пользоваться чем-то сетевым. Но это требует обязательного открытия сетевого кода и очень внимательной инспекции сорцов. Короче, я бы не рисковал.
На самом деле менеджеры паролей можно испльзовать только в двух случаях:
1. Они ОБЯЗАНЫ быть с открытым исходным кодом. И даже в этом случае, их надо компилировать самому!
2. Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА. Любой вызов сетевой функции (socket, connect и т.д.) - немедленно на помойку. Любая попытка обфустрации кода - немедленно на помойку. Любой подозрение - немедленно на помойку.
Может быть, если есть end-to-end encryption и ключи генерите вы сами, то можно и пользоваться чем-то сетевым. Но это требует обязательного открытия сетевого кода и очень внимательной инспекции сорцов. Короче, я бы не рисковал.
Одно слово - KeePass
Или Keepassx.
Да, да, а главное проверяйте устойчивость своих паролей в различных в специальных интернет сервисах от Касперского и прочих замечательных людей, они ведь создали и содержат эти сервисы абсолютно БЕЗД-ВОЗД-МЕЗД-НО (то есть даром), т.к. у них в заднем проходе аж припекает от заботы о людях и желании помочь, а вовсе не потому чтобы собирать статистику и формировать словарные базы для брутфорсинга в своих темных делишках, как утверждают злые языки...
Я использую OI Safe от OpenIntents
Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА
все равно же надо хранить список логинов и паролей и у себя на флешке и на "облаке" (облако тоже может исчезнуть или быть недоступным за условным китайским файерволом)
Он может экспортировать пароли в файл. А потом ВЫ САМИ решите, что с этим файлом сделать, либо на флешку и в сейф, либо в облако, но тогда не жалуйтесь...
Ключевое слово - вы сами. А не авторы менеджера паролей, которые начнут что-то мутить "для вашего удобства и безопасности"...
Ключевое слово - вы сами. А не авторы менеджера паролей, которые начнут что-то мутить "для вашего удобства и безопасности"...
Могли бы вы дать ссылку на дистрибутив KeePassX для Андроида? Нигде не нашёл официального сайта.
Я перешёл с SafeInCloud на LastPass уже не помню почему. Что-то мешало.
- Введите ваш номер номер кредитной карточки и CCV код, чтобы удебится, что ваша карта не находится в базе данных украденных карт.
- Спасибо, теперь находится.
- Спасибо, теперь находится.
- Введите ваш номер номер кредитной карточки и CCV код, чтобы удебится, что ваша карта не находится в базе данных украденных карт.- Спасибо, теперь находится.
удебится
Спасибо. Похоже. что коммент, на который уже ответили редактировать нельзя. Что IMHO и правильно.
Я для генерации паролей использую программку wapg, она для военных вроде бы писалась, выдает условно "читаемые" пароли, которые можно по рации передать.
C:\Wapg>wapg -n 12 -m 12
Dammofpomnaw
Vid6Shocweyg
UsDowaucheuf
sconDeyrepyo
C:\Wapg>wapg -n 12 -m 12
Dammofpomnaw
Vid6Shocweyg
UsDowaucheuf
sconDeyrepyo
И сразу передаёт их на сайт армии?
Бредятина
В описании так написано:
Default algorithm is pronounceable password generation algorithm designed by Morrie Gasser and described in A Random Word Generator For Pronounceable Passwords National Technical Information Service (NTIS) AD-A-017676.
Default algorithm is pronounceable password generation algorithm designed by Morrie Gasser and described in A Random Word Generator For Pronounceable Passwords National Technical Information Service (NTIS) AD-A-017676.
Причем казахской. Автор - казах.
На этом фоне хочется послать отдельный луч поноса создателям форумов, которые требуют регистрации для просмотра тем.
При поиске информации по ремонту разного оборудования очень весело бывает зарегистрироваться на паре-тройке форумов, чтоб узнать что спрятанная ими информация совершенно бесполезна в конкретном случае.
При поиске информации по ремонту разного оборудования очень весело бывает зарегистрироваться на паре-тройке форумов, чтоб узнать что спрятанная ими информация совершенно бесполезна в конкретном случае.
а я, как начал когда-то keepass пользовать, так и продолжаю. только теперь не Win keepass, а keepasX, которые есть для всех платформ.
не нравится мне, если мои пароли хранятся где-то в облаке.
не нравится мне, если мои пароли хранятся где-то в облаке.
Тоже раньше пользовался KeePassX, но после того, как в Windows появился WSL, перешёл на pass. На Линуксе использую его в связке с Synapse, что позволяет нажать Ctrl+пробел, ввести часть имени записи (например, адрес сайта), нажать Enter, ввести мастер-пароль, и нужный пароль сразу будет в буфере обмена. Очень быстро! Записи - простые текстовые файлы, которые шифруются вашим ключом PGP, есть встроенный контроль версий с использованием GIT. В общем, если вы продвинутый пользователь, имеющий дело в основном с *nix-системами, рекомендую.
Могли бы вы дать ссылку на дистрибутив pass для Андроида и KeePassX и для Андроида? Нигде не нашёл официального сайта.
И то, и то есть в маркете:
• Password Store - продвинутый клиент pass для Андроида.
• KeePassDroid - форк KeePass для Андроида, раньше им пользовался.
• Password Store - продвинутый клиент pass для Андроида.
• KeePassDroid - форк KeePass для Андроида, раньше им пользовался.
Хорошая статья, спасибо!
Только если включить параною, то насколько это нормально, что пароль в открытом виде лежит в буфере обмена и любая программа на компе может его прочитать и отослать?
По крайней мере TicToc именно в этом многие обвиняют...
Только если включить параною, то насколько это нормально, что пароль в открытом виде лежит в буфере обмена и любая программа на компе может его прочитать и отослать?
По крайней мере TicToc именно в этом многие обвиняют...
А вы не копируйте пароль в буфер обмена 😄
любая программа на компе может его прочитать и отослать?
KeePass который здесь много упоминают, хранит скопированный пасс в буфере 12 секунд по-моему, причем это время настраиваемо.
Очень рекоммендую BitWarden - https://bitwarden.com/
Во первый, это единственный менеджер паролей с открытым исходным кодом, во вторых он так же может генерировать ОТП пароли (для вторичного фактора). Отлично интегрируется и в большинство браузеров и операционных систем на телефонах
Во первый, это единственный менеджер паролей с открытым исходным кодом, во вторых он так же может генерировать ОТП пароли (для вторичного фактора). Отлично интегрируется и в большинство браузеров и операционных систем на телефонах
На мой взгляд, в менеджере паролей должен быть такой функционал
1. одна или несколько копий программы в зависимости от введённого пароля.
2. Разблокировка по опечатку только в течение 1-2 мин после разблокировки по паролю
1. одна или несколько копий программы в зависимости от введённого пароля.
2. Разблокировка по опечатку только в течение 1-2 мин после разблокировки по паролю
опечатку
Есть у меня несколько друзей повернутых на секурности с увлечениями.
Один в качестве паролей использует химические формулы. Что-то типо такого HO2C-CH(NH2)CH2OH.
Другой табулатуры.
Третий вообще умудряется запоминать каталожные партномера различных запчастей.
Для человека, который не разбирается жуткая тарабарщина.
Один в качестве паролей использует химические формулы. Что-то типо такого HO2C-CH(NH2)CH2OH.
Другой табулатуры.
Третий вообще умудряется запоминать каталожные партномера различных запчастей.
Для человека, который не разбирается жуткая тарабарщина.
вопрос: а как они меняя ,в соответствии с корпоративными ИТ политиками ежемесячно пароли, не забывают, какой именно на данный момент актуален? ) или имеют календарь химсоединений на 36 месяцев? ))
А так можно?
У меня на универском сайте надо придумывать новье каждый месяц. Я придумал один типа сложный один раз, а потом каждый месяц прибавляю по единице. Сейчас на 22. Прокатывает, так как захешировано, они не распознают, что особо не отличается. Только если идентичны. И можно примерно прикинуть, какой пароль был 10 мес назад
У меня на универском сайте надо придумывать новье каждый месяц. Я придумал один типа сложный один раз, а потом каждый месяц прибавляю по единице. Сейчас на 22. Прокатывает, так как захешировано, они не распознают, что особо не отличается. Только если идентичны. И можно примерно прикинуть, какой пароль был 10 мес назад
У меня в домене не прокатит. У нас политика ограничивает использование шаблона 5 символов и больше от 5и последних паролей (при мин. длине пароля 9 символов). Менять пароли можно не чаще 1 раза в сутки (но менять нужно не реже одного раза в 3 месяца).
У нас политика ограничивает использование шаблона 5 символо
У нас Оффис365, будь он неладен. Так что по идее это майкрософт-хуесофт.
Очень многие так делают, если доменная политика требует регулярной замены. Более того, эту историю все знают и т.н. радужные таблицы для перебора составляются именно с учётом таких переменных.
А пень его знает. Но работает железно еще с 2000го домена (NT4 просто не помню, у нас тогда другая политика была). Чем бесит пользователей уже многие годы. 😄
и т.н. радужные таблицы для перебора составляются именно с учётом таких переменных.
Пароль "все уже украдено до нас", по Касперскому, будет взламываться 10000+ веков. Ерунда.
И чем этот пароль плох?
Вряд ли кто-то будет в здравом уме ломать пароль из 5 словарных слов.
Вряд ли кто-то будет в здравом уме ломать пароль из 5 словарных слов.
словарных слов.
И чем этот пароль плох?
О, ну да - помимо словаря ещё и цитатники проверять. Причём цитатники регистрозависимые, с запятыми, из середины текста... ммм, сказка!
Как будем проверять?
"все уже украдено до нас"
"Все уже украдено до нас"
"Всё уже украдено до нас"
"всё уже украдено до нас"
А ещё восклицательный знак в конце!
Как будем проверять?
"все уже украдено до нас"
"Все уже украдено до нас"
"Всё уже украдено до нас"
"всё уже украдено до нас"
А ещё восклицательный знак в конце!
Всем добра!
Робоформ если купить будет продление ключа каждый год или разовая покупка?
Робоформ если купить будет продление ключа каждый год или разовая покупка?
проблема не в том, чтобы сделать сложный пароль, а в том, что его все равно надо менять везде. Если в какое-то место не ходишь год, а потом понадобится, через год уже не помнишь, какой пароль там был использован. А если это банк, то с третьей попытки тебя выкинут
Менеджер паролей должен быть аппаратным.
Типа такого
Типа такого
И если он потеряется или сломается, то паролям хана.
если он потеряется то паролям хана
При генерации сложных случайных паролей советую в настройках генерации выставлять запрет использования знаков | L (в нижнем регистре) и иногда может быть 0 и О.
Эти символы очень вредят когда пароль придется вводить руками глядя куда-то.
Эти символы очень вредят когда пароль придется вводить руками глядя куда-то.
Когда использую генереные сложные пароли, то не вижу смысла их делать 8-12 символов. Всё равно как правило копи-пастой вставляется. Поэтому делаю и 20 и больше символов.
Я иногда использую pwgen из Linux:
serg@mylinux:~$ pwgen
Coofoom3 wogh8Eem eNgix6ii Oobee8na aiz2ieHi eiY4boht Chaeng4u woog5noR
Это так по умолчанию, там можно задать и длину, и алфавит, и все такие. Но я обычно беру 2-3 сгенеренных пароля, объединяю их и натыкиваю разные символы по пути. Типа такого:
wo!gh8$Eem&eiY4b5oht!@
Выглядит устрашающе, но надежно. Конечно, такие пароли не для запоминания, а, вот, в качестве PSK для VPN туннеля - так и не плохо, но там я и 64 символа делаю иногда.
А для запоминания - да, слова из песни плюс символы плюс цифры. Капитализация символов у меня вообще произвольная.
Ну, и lastPass. Вот, мне как раз Roboform совсем не "зашёл". Я его как-то даже на год купил,- но нет. Вернулся в лоно Ластпаса.
serg@mylinux:~$ pwgen
Coofoom3 wogh8Eem eNgix6ii Oobee8na aiz2ieHi eiY4boht Chaeng4u woog5noR
Это так по умолчанию, там можно задать и длину, и алфавит, и все такие. Но я обычно беру 2-3 сгенеренных пароля, объединяю их и натыкиваю разные символы по пути. Типа такого:
wo!gh8$Eem&eiY4b5oht!@
Выглядит устрашающе, но надежно. Конечно, такие пароли не для запоминания, а, вот, в качестве PSK для VPN туннеля - так и не плохо, но там я и 64 символа делаю иногда.
А для запоминания - да, слова из песни плюс символы плюс цифры. Капитализация символов у меня вообще произвольная.
Ну, и lastPass. Вот, мне как раз Roboform совсем не "зашёл". Я его как-то даже на год купил,- но нет. Вернулся в лоно Ластпаса.
слова из песни
Я имел ввиду первые буквы слов, из которых и составляется пароль. Не слова и не фразы, конечно,- неудачно сформулировал.
А поскольку я знаю сотни песен наизусть (только Высоцкого могу песен 100 напеть сходу, а еще Шандриков, Раменский, а если это в исполнении Северного, который по бухарю слова путал,- а я так и запомнил,- то фиг кто подберет), то проблем никаких. Цифры - индексы транзисторов, например, или ламп, или из СМовской номенклатуры. Подсказка (если нужна), например, "4 Брата Бриг Летовод". Мне все понятно, например. 😄
А поскольку я знаю сотни песен наизусть (только Высоцкого могу песен 100 напеть сходу, а еще Шандриков, Раменский, а если это в исполнении Северного, который по бухарю слова путал,- а я так и запомнил,- то фиг кто подберет), то проблем никаких. Цифры - индексы транзисторов, например, или ламп, или из СМовской номенклатуры. Подсказка (если нужна), например, "4 Брата Бриг Летовод". Мне все понятно, например. 😄
предполагается возможность взлома в "стерильных" условиях - т.е. например при взломе утёкшей базы хэшей
Базу с хэшами паролей, к сожалению, уводят иногда даже у очень высокотехнологичных и респектабельных контор. Соответственно, пароль должен быть стойким ко взлому даже в условиях перебора в оффлайне, когда никто не ограничивает количество попыток.
Про хэширование паролей, если вам любопытно, можно почитать, например, тут.
Про хэширование паролей, если вам любопытно, можно почитать, например, тут.
Как тут не вспомнить Николая Николаевича Федотова и его Суждения о безопасности:
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
А для меня загадкой остается такой вопрос.
Допустим пароль у меня в почте vadimpetrov1993. В принципе - не сложный и методом перебора через, условно говоря, 4 часа и перебора 2300 вариантов он подбирается.
Но ведь , чтобы дойти до того момента, когда сработает нужный вариант (после взлома), нужно ведь предыдущие 2299 вариантов попытаться использовать, чтоб понять, какой пароль подходит. А как это допускает, почтовый (как в примере) ресурс? Почему он не блокирует попытки введения пароля через ошибочные 100 (условно) попыток ввести пароль?
Или это всё работает не так?
Допустим пароль у меня в почте vadimpetrov1993. В принципе - не сложный и методом перебора через, условно говоря, 4 часа и перебора 2300 вариантов он подбирается.
Но ведь , чтобы дойти до того момента, когда сработает нужный вариант (после взлома), нужно ведь предыдущие 2299 вариантов попытаться использовать, чтоб понять, какой пароль подходит. А как это допускает, почтовый (как в примере) ресурс? Почему он не блокирует попытки введения пароля через ошибочные 100 (условно) попыток ввести пароль?
Или это всё работает не так?
Там довольно условно меряется время взлома, но явно предполагается возможность взлома в "стерильных" условиях - т.е. например при взломе утёкшей базы хэшей. В онлайне-то понятно, что время взлома падает на порядки из-за ограничения количества попыток логина.
Вот и мне непонятно. Почему все сайты не могут после, допустим, 5 неудачных попыток закрывать возможность нового подбора хотя бы на час. Тогда любой подбор растягиваться на годы будет.
У меня банк после трех попыток блок ставит (на сколько по времени не знаю, не доходил до этого).
У меня банк после трех попыток блок ставит (на сколько по времени не знаю, не доходил до этого).
Почему все сайты не могут после, допустим, 5 неудачных попыток закрывать возможность нового подбора хотя бы на час.
Добавлю: ни в коем случае не проделывайте описанную процедуру проверки стойкости вашего РЕАЛЬНОГО пароля.
И уж тем более у Касперского.
И уж тем более у Касперского.
Отличная статья, благодарю!
можно набирать русское слово про латинской раскладке
Дуремар52
Lehtvfh52
получится
Дуремар52
Lehtvfh52
получится
когда пароль на клавиатуре ПК набираешь - потом автоматом уже на телефоне получается.
В вашем пароле есть все классические паттерны, которые уже включены в утилиты перебора: первая заглавная буква, русское слово латиницей, цифры и спецсимволы в конце.
Я для этих целей на телефоне специальную клавиатуру использую.
Клавиатура для паролей
Клавиатура для паролей
"Увожаемый клеент, на ваш счёт зачислена задолженость в 30 000 р. Ваша карта заблокированна. Для розблокеровки отправьте сумму равную коду каторый вам прийдёт. Код некому не сообщяйте. Добровольная служба внесудебных приставов." (с)
Уже несколько лет пользуюсь Roboform по наводке Алекса Экслера, кстати. Любимый пароль: первые буквы довольно длинного названия фильма и в конце - год его выхода на экран. Так как в названии встречаются имена собственные, то некоторые буквы в пароле - прописные.
12lheptqJeityf?
"Загнанных лошадей пристреливают, не правда ли?" 1969 ?
Неужели Лошадь - имя собственное? 😄
Упс... Был невнимателен, спасибо за то, что указали мне на мою ошибку! ?
Я убил жену-лесбиянку, повесил ее на мясной крюк, и теперь у меня контракт с Диснеем на три фильма (1993)
Я придумал себе схему, пароли с вековыми взломами, судя по касперскому и запоминаю без доп.приложений.
И кстати, при тесте на взлом вводил сопоставимые символы, но не сами пароли, все-таки не верится мне в них...
И кстати, при тесте на взлом вводил сопоставимые символы, но не сами пароли, все-таки не верится мне в них...
кстати у меня параоль на раздатке телефона стоит
когда даю кому то говорю
пароль следующий
один два три четыре пять шесть
человек вводит 123456
-не подходит!
я повторяю
опять не подходит
я тогда один-два три-четыре пять-шесть
надо вводить так
244466666
когда даю кому то говорю
пароль следующий
один два три четыре пять шесть
человек вводит 123456
-не подходит!
я повторяю
опять не подходит
я тогда один-два три-четыре пять-шесть
надо вводить так
244466666
Зачем так над людьми издеваться? Тем более, что пароль получился так себе...
"- Сергей Иванович, нам срочно нужен пароль учетки администратора сервера!
- как вы меня з@ебали. Слитно. На английской раскладке. С маленькой буквы." (с)
- как вы меня з@ебали. Слитно. На английской раскладке. С маленькой буквы." (с)
у меня был пароль
Diflon746
взломали сцуки...
Diflon746
взломали сцуки...
не знаю как это точно , но зашли и поменяли на свой
online.ee
online.ee
Нечасто службы поддержки занимаются проблемой юзерских паролей, особенно если сервис бесплатный. Несколько раз такое встречал.
Нет понятия "взломали". Есть понятие "про...ал".
Вкратце - воруются (или продаются) базы данных у мелких и дырявых сайтов. А уж если вы везде ставили один и тот же пароль - и на форумах, и на почте, и в контакте - ССЗБ.
Вкратце - воруются (или продаются) базы данных у мелких и дырявых сайтов. А уж если вы везде ставили один и тот же пароль - и на форумах, и на почте, и в контакте - ССЗБ.
В ластпасе прикольный генератор паролей, есть опция - легко произносить
В копилку программ добавлю KeepassXC. Open source. Есть для всех платформ. Есть плагины для популярных браузеров. Поддерживает двухфакторную авторизацию (пароль + секретный файл).
По поводу запоминания паролей... Например, у меня полтора десятка логинов только в финансовых и других важных организациях. Как можно запомнить столько стойких паролей, особенно, если некоторыми из них пользуешься раз в месяц или реже? Да никакая эвристика не поможет. Поэтому я даже не пытаюсь: генерю пароли программно и храню их в менеджере паролей.
Чтобы база паролей не потерялась, делаю бэкапы в облако, на домашний сервер. Копии есть на компьютере, в телефоне. Без секретного файла и пароля взломать её всё равно невозможно, поэтому можно хоть на флешку записать и в сумочке носить. А вот секретный файл храню только на доверенных устройствах - телефоне, персональном компьютере, бэкапе на зашифрованном диске. В итоге, мне надо помнить только пароль от базы паролей и постараться не продолбать секретный файл.
По поводу запоминания паролей... Например, у меня полтора десятка логинов только в финансовых и других важных организациях. Как можно запомнить столько стойких паролей, особенно, если некоторыми из них пользуешься раз в месяц или реже? Да никакая эвристика не поможет. Поэтому я даже не пытаюсь: генерю пароли программно и храню их в менеджере паролей.
Чтобы база паролей не потерялась, делаю бэкапы в облако, на домашний сервер. Копии есть на компьютере, в телефоне. Без секретного файла и пароля взломать её всё равно невозможно, поэтому можно хоть на флешку записать и в сумочке носить. А вот секретный файл храню только на доверенных устройствах - телефоне, персональном компьютере, бэкапе на зашифрованном диске. В итоге, мне надо помнить только пароль от базы паролей и постараться не продолбать секретный файл.
В копилку программ добавлю KeepassXC.
В копилку программ добавлю KeepassXC.это форк упомянутого здесь KeePass. Он использует тот же формат базы данных. Т.е. файл с паролями можно открывать в любой программе.
Bitwarden как менеджер паролей очень неплох.
Ушёл с LastPass на него.
Замечание: не использовать в паролях похоже выглядящие символы: l и 1, o и 0, и т.д.
В хороших генераторах паролей есть такая опция.
А с пользователями я устал бороться. Все равно все пишут на бумажках, левой ногой, не делая разницы между похожими символами, прописными и строчными буквами, а потом либо бумажки теряются, либо ты играешь в игру "угадай пароль".
Ушёл с LastPass на него.
Замечание: не использовать в паролях похоже выглядящие символы: l и 1, o и 0, и т.д.
В хороших генераторах паролей есть такая опция.
А с пользователями я устал бороться. Все равно все пишут на бумажках, левой ногой, не делая разницы между похожими символами, прописными и строчными буквами, а потом либо бумажки теряются, либо ты играешь в игру "угадай пароль".
"Но вы же делали мне пароль, вы должны его помнить!"
Интересно сколько через Сбер денег ушло из-за его хреновой паролезащиты, а сколько из-за всяких "специалистов по безопасности". Что-то мне кажется, что второе будет лидировать с огромным отрывом.
Ну и нормальный сервис, конечно, должен ограничивать число попыток перебора и удлинять паузы между ними. Разумеется там, где есть важные данные, а не в очередном инетмагазине, в котором мне глубоко пофиг уведут эккаунт или нет. И не выедать пользователю мозг, мол, добавьте в пароль разный регистр, еще пару спецсимволов и не пишите этот пароль, который использовали 6 лет, 5 месяцев и 3 дня назад. А потом додумываясь эти пароли на сайте в открытом виде хранить, а не в хэшах.
Ну и нормальный сервис, конечно, должен ограничивать число попыток перебора и удлинять паузы между ними. Разумеется там, где есть важные данные, а не в очередном инетмагазине, в котором мне глубоко пофиг уведут эккаунт или нет. И не выедать пользователю мозг, мол, добавьте в пароль разный регистр, еще пару спецсимволов и не пишите этот пароль, который использовали 6 лет, 5 месяцев и 3 дня назад. А потом додумываясь эти пароли на сайте в открытом виде хранить, а не в хэшах.
Несколько лет использую KeePass. Мастер-пароль в нем полная тарабарщина из 20 символов, но отработал до рефлекторного ввода на всех устройствах.
Поддерживает кучу шаблонов генерации паролей, что бывает полезно, т.к. некоторые сайты почему-то ставят максимальную длину в 15-20 символов, а спецсимволы либо не принимают, либо считают за два.
Полностью бесплатна, уже около 300 записей с паролями, пока никаких намеков на ограничения.
Удивился, когда узнал, что в довольно крупной нефтедобывающей компании для администрирования всех паролей используют KeePass.
Поддерживает кучу шаблонов генерации паролей, что бывает полезно, т.к. некоторые сайты почему-то ставят максимальную длину в 15-20 символов, а спецсимволы либо не принимают, либо считают за два.
Полностью бесплатна, уже около 300 записей с паролями, пока никаких намеков на ограничения.
Удивился, когда узнал, что в довольно крупной нефтедобывающей компании для администрирования всех паролей используют KeePass.
Ну keepass бесплатный, со своим сервером, потому и используют его в компаниях. Но интерфейсы клиентов там, как будто под вин95 писанные.
KeePass -хорошая вещь. Особенно если на деривацию ключа поставить Argon2 алгоритм.
А с чего бы там быть намёкам на ограничения? Это официально бесплатный софт.
Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами. Не удивлюсь если половина этих сайтов логгирует что нагенерили и привязывают их к вашему IP или google акку
Как я генерю случайные пароли: openssl rand -base64 12
Как я генерю случайные пароли: openssl rand -base64 12
Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами.
Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами. Интересно, кто вообще в здравом уме будет использовать пароль, сгенерированный всякими сайтами?
(офигев) А кто здесь проверяет свой реальный пароль на стойкость на каком-то сайте?
(офигев) А кто здесь проверяет свой реальный пароль на стойкость на каком-то сайте?
Я на этой проверке сгенерировал пароль из chrome - время на вскрытие 3261 век. По моему неплохо.
половина этих сайтов логгирует что нагенерили и привязывают их к вашему IP или google
Ну так вы все равно уменьшаете количество возможных утечек
По поводу менеджеров паролей - миграция между ними - ручками? То есть, если я вдруг решу например с ластпаса перейти на робоформ то это большая копипаста?
Практически все менеджеры паролей умеют импортировать базы других менеджеров.
Я помню, что в Lastpass с Roboform успешно мигрировал - чисто для теста. Но мне LastPass конкретно не понравился.
Внимание вопрос, так ли во всех популярных троянах?
Рекомендовать на первом месте дырявый LastPass и не рекомендовать отличный (и тоже бесплатный) Bitwarden как-то странно.
И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Меня наоборот бесят требования сделать одну заглавную букву, спецсимвол и цифру. Мой пароль из 30 символов и так никто не подберет, что изменится от заглавной буквы?
И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Меня наоборот бесят требования сделать одну заглавную букву, спецсимвол и цифру. Мой пароль из 30 символов и так никто не подберет, что изменится от заглавной буквы?
Рекомендовать на первом месте дырявый LastPass
и не рекомендовать отличный (и тоже бесплатный) Bitwarden как-то странно.
И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Прочитал. Это реально очень тупая отмазка. И за отмазку, конечно же, не канает совершенно. Могу аргументировать, но лень на такую дешевку тратить время.
у меня сбер после где-то десятка неудачных попыток грохается минут на 10 и вообще не пускает логиниться с компа. типа висит. если это не баги, а фича, не думаю там так уж просто брутфорсить получится пусть хоть там и кириллицу запретят.
это помимо смс-пароля, разумеется.
это помимо смс-пароля, разумеется.
Очевидно, что убирание регистрозависимости пароля заметно влияет на его устойчивость.
Вот тут про Сбер без истерии:t.me
Внезапно оказалось, что Facebook и Amazon тоже допускают _слегка неправильные пароли_, то есть делают примерно то же самое, что и Сбер.
Ну почитайте вот тут security.stackexchange.com
Там есть ссылка на доклад, где они рассказывают техническую реализацию
Там есть ссылка на доклад, где они рассказывают техническую реализацию
Вот ссылка на доклад, если лень искать
Вот тут целый научный труд по теме www.ieee-security.org
Ну почитайте вот тутsecurity.stackexchange.comТам есть ссылка на доклад, где они рассказывают техническую реализацию
Лучше и проще подключить 2FA в таком случае
прогоняют ряд пермутаций [...]подход более взвешенный, чем у Сбера, который тупо приводит пароль к нижнему регистру
"... пароль вовсе не должен быть длинным, кудрявым, содержать обязательно цифры, буквы разных регистров и обязательно хотя бы один знак препинания. Это всё — бред перепуганных дилетантов. Подобрать пароль невозможно. Вообще никак, если система нормально спроектирована. Даже если пароль из четырех цифр. Кто так не считает — пройдите нахуй к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед."
Леонид Каганов, Удивительная история с паролями
Леонид Каганов, Удивительная история с паролями
Вообще суть этой истории - совершенно в другом. А именно - о том, откуда именно слили Лёнин пароль. (И мой тоже оттуда же слили.) Насчет того, что "невозможно подобрать" - это, конечно, у Леонида просто кипит разум возмущенный. И даже перекипает. Никто же не говорит о том, что это какой-то человек у банкомата будет подбирать четыре цифры. Современные средства брутфорса 4-значный пароль из цифр ломает ровно за 2 (прописью - две) минуты. Так что это с его стороны как минимум совершенно безответственное заявление. Но я надеюсь, что его читатели сделают скидку на то, что Леонид - поэт и писатель, поэтому может нести всякую романтическую заведомую херню.
Леонид бредит хотя бы потому что в мире очень мало правильно спроектированных и сконфигурированных систем
Бред. И пример бредовый. Почти нигде на веб ресурсах нет хард лимита на количество попыток. Очень редко есть значительная задержка между попытками. Часто нету и такого. Тут можно сказать, ну вот - значит система плохо спроектирована. Ну, типа, да, только кому от этого легче то 😄)) А потом у большинства ещё и 1-2 пароля на всё, вот тут утечки баз и вступают в дело. И ксати, если базу увели, но сервис такая душка, что держит пароли зашифрованые, то, о, Боги, если раньше пароль утекал хоть где-то в открытом виде, то его хэш тоже будет лежать где-то в интернете на каком-то сайте. И вот при утечке хэша из банка, например, как бы банк не заботился о безопасности, всё пароль уже в кармане у злоумышленика. Так что вот эти все мечтания об идеальном мире лучше в идеальном мире и оставались бы.
Нет, в чем-то он прав, конечно, но тут есть тонкая грань между удобством использования сервиса и параноидальной безопасностью. Если вы забудете свой "пин" от сервиса и у вас будет только три попытки ввода пароля, а после этого придется идти, допустим, в офис с паспортом... Подозреваю, вы пошлете такой сервис лесом. Если, конечно, это не сервис, где вы храните деньги. В последнем случае паранойя оправдана.
вот поэтому пользователю и надо четко отличать где у него важное и придумывать для этого важного собственный уникальный пароль, который он способен запомнить (мнемонически, конечно). А для всякой ерунды, где глубоко похрен что оно куда-то уйдет и потом придется чутка повисеть на проводе/попереписываться, чтобы вернуть, смело использовать не самый сложный универсальный пароль, который удобно набивать на клаве. а не заниматься секасами с этими менеджерами паролей или другой хренотой, потому как безопасность же - превыше всего, никого не жалко.
для тех банковских карт пользую давно уже один и тот же пин, запомнить даже пять штук и время от времени с заменой карт их обновлять в памяти - по-моему, бессмысленное и беспощадное занятие. а записывать и держать в близком доступе такое куда вреднее.
для тех банковских карт пользую давно уже один и тот же пин, запомнить даже пять штук и время от времени с заменой карт их обновлять в памяти - по-моему, бессмысленное и беспощадное занятие. а записывать и держать в близком доступе такое куда вреднее.
Самое интересное, что нет смысла делать паузы и ограничения. Это в банкомате пароль может вводить один человек... хотя? сколько там у сбера банкоматов? к каждому послать по дропу и не факт что пинкод устоит.
В онлайн сервисе подбор может осуществляться по всем клиентам сразу, если утекла база. А если вводить ограничения, то очень легко сервис дидосить, просто загоняя всех пользователей в ограничение.
В онлайн сервисе подбор может осуществляться по всем клиентам сразу, если утекла база. А если вводить ограничения, то очень легко сервис дидосить, просто загоняя всех пользователей в ограничение.
Это всё — бред перепуганных дилетантов.
Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов! А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов!
А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
А вот все и увести. Пишут тебе к примеру, дай биткоинчик. И никуда ты не можешь войти, везде или капча или таймаут или обратитесь к администратору. Можно конечно не платить, а все поменять - ники, емайлы, карты. Поработать над собой - стиль письма и опечатки, темы и контакты - ну чтоб не вычислили. Или таки заплатить, как считаете?
А вот все и увести. Пишут тебе к примеру, дай биткоинчик. И никуда ты не можешь войти, везде или капча или таймаут или обратитесь к администратору. Можно конечно не платить, а все поменять - ники, емайлы, карты. Поработать над собой - стиль письма и опечатки, темы и контакты - ну чтоб не вычислили. Или таки заплатить, как считаете?
по факту не слышал я про такие способы вымогательств - только у школоло (не по возрасту, а по мозгу) со всякими навороченными эккаунтами в играх.
заблокировать операции и перейти в офлайн к выяснению чего там произошло
с оговоркой, что это на 10 символах с известной длиной пароля. и в реальном мире никто не даст перебирать без физического носителя
Именно так, даже если потрачен не день, а час. Время работы ботнета очень дешевое.
Представь - заблокировали тебе таким манером кредитку. Ты потратил день на ее разблокировку. Через 1 секунду после разблокировки ее снова заблокировали. Ты снова потратил день на ее разблокировку. Через 1 секунду... На какой итерации ты сдашься?
по факту я без кредитки спокойно проживу может и не неограниченно долго, но полгода выдержу с наликом спокойно. а ведь вымогатель должен отслеживать все мои потенциальные карты, разных систем, разных банков. в разных странах, если уж на то пошло. с такими возможностями он у меня хочет тыщонку-другую вытянуть и ради этого старается?! фантастика на каком этаже?
Именно так, даже если потрачен не день, а час. Время работы ботнета очень дешевое.
Вы нетипичный кейс, по полгода с заблоченой кредиткой, легко смените ники и емайлы, много крат разных систем в разных странах и на счетах тыщенка-другая.
Вот потому Лео и дилетант, что не понимает разницу между двухфакторной авторизацией (физический токен, которым является чип на кредитке, плюс короткий ПИН) и однофакторной (пароль к интернет-сервису). И почему их нельзя сравнивать напрямую.
но забывать про то, какую задачу решает система безопасности тоже не надо. в который раз повторюсь, что потеря абсолютного большинства эккаунтов во всяких там системах не стоит даже шевеления пальцем, чтобы вернуть доступ. во всех важных для меня областях она двухфакторная. и даже при этом, как правило, причиненный ущерб (типа внезапного списания денег с кредитки на деревню дедушке) достаточно легко восстановим в офлайне. при таком положении дел я не понимаю на кой сношать себе мозг неудобоваримыми паролями.
Вы нетипичный кейс, по полгода с заблоченой кредиткой, легко смените ники и емайлы, много крат разных систем в разных странах и на счетах тыщенка-другая.
по сути, если кто-то блокирует тебе кредитки, где и какие бы ты не открыл, тут впору задуматься о жизни, смене фио как минимум, а не такое мелкое неудобство как полгода без кредитки пожить. заплатить и спать спокойно (хи-хи) тут может только в последнюю очередь в голову прийти.
bitwarden - тоже ничего
Да, его хвалят.
Буквально недавно была хорошая статья на Хабре относительно паролей: habr.com
Правда эта статья - скорее пожелание разработчикам, но тем не менее ознакомиться с ней стоит. Основные тезисы:
1. Пароль, состоящий из нескольких слов, тематически не связанных между собой дают вполне достаточную энтропию, чтобы быть устойчивым ко взлому, при этом прост для запоминания.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
3. В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу. Некоторые сервисы ставят ограничение на использование не-латинских символов, но сейчас такие встречаются все реже.
Правда эта статья - скорее пожелание разработчикам, но тем не менее ознакомиться с ней стоит. Основные тезисы:
1. Пароль, состоящий из нескольких слов, тематически не связанных между собой дают вполне достаточную энтропию, чтобы быть устойчивым ко взлому, при этом прост для запоминания.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
3. В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу. Некоторые сервисы ставят ограничение на использование не-латинских символов, но сейчас такие встречаются все реже.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу.
Более того, в паролях можно использовать emoji, которые сильно подпортят жизнь атакующим
включая кириллицу
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
в паролях можно (и желательно) использовать не только латиницу и печатаемые символы
А в чем проблема вставить в словарь слово "машына"?
При этом КАЖДОЕ такое слово придётся внести в словарь.
А энтропия - не безразмерна.
Ну и плюс если в "хлеб" сделать всего лишь четыре ошибки - получится "пиво". Или "вино". Или "квас".
При этом КАЖДОЕ такое слово придётся внести в словарь.
Я могу придумать штук 10 вариаций слова "машина", написанное с ошибками. А теперь попробуем внести в словарь все варианты написания этого слова. А потом вспомним, что слов в пароле больше чем одно и давайте попробуем учесть все ошибки возможные ошибки словах. Вам не кажется, что стоимость составления самого такого словаря уже больше чем стоимость обыкновенного буртфорса?
Без 2-fa, НЕ привязанного к номеру телефона, это всё баловство. Так что сложность пароля особенно и не важна, если подключён нормальный 2-fa (обычно его называют "google auth", хотя точнее это TOTP, описанный в RFC 6238). А держать все 2-fa лучше всего в Authy.
Без 2-fa, НЕ привязанного к номеру телефона, это всё баловство. Так что сложность пароля особенно и не важна, если подключён нормальный 2-fa (обычно его называют "google auth"
У меня одно время в банке проверочное слово было "забыл"
Говорят, дальнейшее развитие квантовых компьютеров изменит смысл и понятие "пароля".
Потому что все эти ухищрения будут бесполезны.
Потому что все эти ухищрения будут бесполезны.
(бежит менять свой Пентиум 4 на квантовый компьютер) ?
Практически действущих квантовых компьютеров еще нет. А вот практически действующие каналы связи с квантовым шифрованием - уже есть. Хотя пока очень дорогие.
>>(бежит менять свой Пентиум 4 на квантовый компьютер) ?
не бежит, а сгорбленно идет, катЯ баллон с жидким гелием на колесиках 😄
не бежит, а сгорбленно идет, катЯ баллон с жидким гелием на колесиках 😄
Точняк! ?
Пользуюсь 1password. Вполне, но платный.
Касаемо менеджеров паролей.
Самый офигенный изо всех, что я перебирал - это bitwarden. Опенсорсный, можно при желании развернуть на своём сервере, ставится расширением в браузеры, ставится приложением в смартфон и работает агентом автозаполнения. Бесплатные функции - омфг насколько полноценны.
Самый офигенный изо всех, что я перебирал - это bitwarden. Опенсорсный, можно при желании развернуть на своём сервере, ставится расширением в браузеры, ставится приложением в смартфон и работает агентом автозаполнения. Бесплатные функции - омфг насколько полноценны.
У него есть один небольшой недостаток: он криво работает в приватном режиме. А в целях разработки без него не обойтись. Ну или запускать браузер с отдельным профилем, что в общем, тоже так себе удовольствие.
Была недавно статья чувака, который принимал участие в разработке гайдлайнов по созданию паролей. Он извинился из-за того, что всем приходится сталкиваться с таким леденящим ппц. И что эти гайдлайны дурные по самое небалуйся.
Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому. Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
Вот, нашёл: gizmodo.com
В общем, рекомендации в твоей статье неактуальны. Лучше Вере Фроловой делать пароль типа:
moykotikigraetvfutbolsgranatoy - безо всяких прописных, спецсимволов и прочего труднозапоминаемого шлака, который для взлома препятствием не является.
Проверка касперского говорит, что этот пароль (который запомнить изумительно просто) обычный домашний комп будет ломать "10000+ centuries"
Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому. Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
Вот, нашёл: gizmodo.com
В общем, рекомендации в твоей статье неактуальны. Лучше Вере Фроловой делать пароль типа:
moykotikigraetvfutbolsgranatoy - безо всяких прописных, спецсимволов и прочего труднозапоминаемого шлака, который для взлома препятствием не является.
Проверка касперского говорит, что этот пароль (который запомнить изумительно просто) обычный домашний комп будет ломать "10000+ centuries"
Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому.
Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
-- Сорок тысяч обезьян в жопу сунули банан."
(c) Лукьяненко "Фальшивые зеркала" 1999 г.
Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем, при этом добавляющие к сложности взлома не так уж и много.
А какая прелесть после такого "сменить пароль", мммм
А какая прелесть после такого "сменить пароль", мммм
Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем
Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем, при этом добавляющие к сложности взлома не так уж и много.
Смешно.
Смешно.
У меня в статье написано о важности длинного пароля. По-моему очень глупо спорить с тем, что регистрозависимость повышает устойчивость. А что пароль должен быть длинным - с этим вроде никто не спорит.
Для двузначного пароля взломщику придётся работать вчетверо дольше, для трёхзначного — в 8 раз, для 10-значного мы усложняем работу брутфорса в 1000 с лишним раз, и т.д.
А что пароль должен быть длинным - с этим вроде никто не спорит.
В конце концов, подпереть дверь в банковское хранилище стулом - тоже усиление безопасности. Но если в банке дверь в хранилище подперта стулом - это явное свидетельство, что с безопасностью в банке что-то не так.
Я все сделал по инструкции, у меня все секьюрно!".
И ведь все по инструкции же. 😉
Что интересно, 111qqq111 очень плохой пароль, в 21 базе есть. 333eee333 уже получше, всего в одной базе, а 444rrr444 - бинго! безопасный пароль!
444rrr444 - бинго! безопасный пароль!
Ясно, вопросов больше нет.
рассказывают о том, как сделать пароль одновременно и хорошо запоминаемым и очень криптостойким.
Объясните, как применяется брутфорс, если между двумя последовательными вводами пароля на сайте предусмотрена пауза?
Объясните, как применяется брутфорс
Есть и другие способы, но уже не столь массовые и требующие наличия приличных уязвимостей, который, как правило, овердофига.
Я сам не в теме, но имею вопрос. Допустим, есть пароль, построенный на основе подряд записанных слов какой-нибудь фразы с добавлением между словами спецсимволов и чисел. Допустим также, что имеется база хэшей паролей и словарь всех известных слов. Но какую бы комбинацию слов вы не взяли, спецсимволы не позволят угадать пароль по критерию совпадения с каким-либо хэшем из базы.. Для достижения цели тогда надо делать перебор и по спецсимволам и цифрам, не говоря уже о том, что слова могут иметь, например, специфические падежные окончания а длина пароля неизвестна. Как же действует программа-взломщик при таких трудностях?
А почему не рассмотрена возможность хранения паролей в аккаунте Гугла? Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его, и в следующий раз при посещении сайта подставит. По моему, удобно и никаких дополнительных ухищрений не требуется. Только по безопасности некоторые сомнения. А ещё на многих сайтах существует возможность авторизации с помощью сторонних сервисов (Фейсбук, Яндекс, Гугл, госуслуги и т.д.) Тоже ничего запоминать не нужно, если доверяешь посреднику.
А почему не рассмотрена возможность хранения паролей в аккаунте Гугла?
Только по безопасности некоторые сомнения.
Хранение паролей в браузере не считается безопасным.
у меня тоже. 15 или 17
Как известно, именно на третий месяц Chrome выпускает отравленную стрелу в тех пользователей, у которых более 10 раскрытых паролей.
Хранение паролей в браузере не считается безопасным.
Открою страшную тайну. Далеко не все пользуются Chrome.
Поэтому в большой статье обойти встроенный по умолчанию у 2/3 пользователей менеджер паролей (пусть даже просто поругав его, дескать, не пользуйтесь им, потому что то-то и то-то) — это несколько странно.
Тоже ничего запоминать не нужно, если доверяешь посреднику.
А ничего что статья - не о менеджерах паролей?
В статье есть отдельная глава «менеджер паролей». И не упомянуть в ней менеджер паролей, встроенный по умолчанию у 2/3 пользователей (и умеющий их генерировать в полном соответствии со всеми перечисляемыми требованиями), — это несколько странно. 😄
А почему не рассмотрена возможность хранения паролей в аккаунте Гугла? Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его
Хром пароли не шифрует
Так вот мне бы и хотелось узнать причины почему не стоит так делать. Те более как ниже уже написали эта возможность есть по умолчанию у очень существенного процента пользователей.
"Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его, и в следующий раз при посещении сайта подставит"... и сам потом с ним зайдет куда надо, и уведет оттуда деньги 😄
Да можно так делать, конечно. Это уж точно лучше и надежнее, чем использовать какой-нибудь password123 для всех сайтов.
Хром пароли не шифруе
Да можно так делать, конечно. Это уж точно лучше и надежнее, чем использовать какой-нибудь password123 для всех сайтов.
Хром пароли не шифруеВ смысле?! Все браузерные пароли защифрованы и подписаны пользовательским сертификатом. Другое дело, что они автоматически расшифровываются, как только пользователь входит в систему. Но утверждение, что пароли там не шифрованные в корне не верное.
Хром ведь не только пароли на сайтах может подставлять, но и рквизиты по картам из Google Pay.
Хранение паролей в браузере концептуально ничем не отличается от хранения их в менеджере паролей.
Встречал сведения о том, что их ломают. Вот именно менеджеры паролей браузеров.
Все ломают. Если зловред уже на компе то уже не важно, где пароли лежали.
Ну нафиг. Сложно всё. У меня пара-тройка паролей на все случаи жизни, записанные в вордовском файле)
Тут главное - распечатать это дело и на монитор прилепить, а то вдруг файл потеряется.
Под клавиатуру положить, Алекс! На монитор только ламеры лепят 😄
А-а-а-а-а, об этом я не подумал 😄
- Какой у тебя пароль?
- Не взламываемый
- Это как так?
- По-буквам: нэ е пробел вэ зэ лэ.....
- Не взламываемый
- Это как так?
- По-буквам: нэ е пробел вэ зэ лэ.....
Тут уже запостили соответствующий xkcd, добавлю лишь, что тезис про (не)использование словарных слов верен в случае обычных паролей, но неприменим к ключевым фразам. Пароль Чингиза "Сорок тысяч обезьян в жопу сунули банан." - отличный пароль, который взломать за разумное время невозможно (до момента публикации книги, конечно).
И еще, знаменитое:
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
я как-то похожим образом подбирал юзер нейм на мейл.ру в 90х, и когда я от злости написал написал "zakolebali" мне радостоно написали "занято, но можно так: "zakolebali24"
я как-то похожим образом подбирал юзер нейм на мейл.ру в 90х, и когда я от злости написал написал "zakolebali" мне радостоно написали "занято, но можно так: "zakolebali24"
Ибо да, тоже заколебали. 😄
В СБербанке - нет!
"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
запоминаем уникальные 3 символа, например: S$@
берем какое нибудь количество символов из домена сайта первый и последний символ в верхнем регистре, например: ExlE
набираем простых символов, например: 1234qwer
в конце ставим любой символ, например: !
итого:
S$@ExlE1234qwer!, S$@RedD1234qwer!, S$@PikA1234qwer!. на подбор 19 лет
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
берем какое нибудь количество символов из домена сайта первый и последний символ в верхнем регистре, например: ExlE
набираем простых символов, например: 1234qwer
в конце ставим любой символ, например: !
итого:
S$@ExlE1234qwer!, S$@RedD1234qwer!, S$@PikA1234qwer!. на подбор 19 лет
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
Способов много, но вот 1234qwer - совершенно точно не рекомендуется использовать.
Этот вариант отличный ровно до того момента, пока с одного из сайтов не уведут базу паролей в открытом виде. После этого ваш замечательный алгоритм начинает работать против вас.
Если у Алекса уведут базы паролей и потом уведут мою учётку на nag.ru я только посочувствую этому человеку, это же на сколько надо быть убогим, чтобы заниматься такой х__нёй.
Это нужно найти базу в открытом виде, потом ее вычитать и сходу понять зависимость, я не уверен что вот так сходу будет видно как образован пароль rE3lxE58
К примеру, можете попробовать подобрать мой пароль от mail.ru
К примеру, можете попробовать подобрать мой пароль от mail.ru
Если у Алекса уведут базы паролей и потом уведут мою учётку на nag.ru я только посочувствую этому человеку, это же на сколько надо быть убогим, чтобы заниматься такой х__нёй.
Сходу - может, и нет. А посидеть подумать поперебирать - и все получится. Понятно, что это не на каждый день подход.
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…
Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:
— Карре аb! {255}
Швейк продолжал вполне серьёзно:
— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» {256} Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.
Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.
Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:
— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.
Фельдфебель опять закрыл глаза." (с)
Мой отец путь куда-то постоянно описывал как что-то в больших подробностях (вывески, здания, где какие стоят мусорные баки), а потом "иди не туда, а на улицу слева/справа/напротив." И так с каждым поворотом.
Как же облегчилась жизнь с навигаторами, эх 😄
Как же облегчилась жизнь с навигаторами, эх 😄
Это слишком простые пароли. Надо ставить более сложные и хитроумные. Например паролем можно поставить год Канонизации Святого Доминика Григорием IX, - не взломает ни один хакер! А вот имя своего кота как пароль лучше не ставить, оно слишком простое и легко взламывается. %3^&! RrgTt_fх32!b, кыс-кыс-кыс, пойдём, Вискаса дам...
Китайцы взломали сервер Пентагона,
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзедун"
3. На 74357181-й попытке- сервер согласился, что у него пароль "Мао Цзедун"
anekdotov.net
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзедун"
3. На 74357181-й попытке- сервер согласился, что у него пароль "Мао Цзедун"
anekdotov.net
Заглавная первая буква? Несколько цифр в конце? Замена 0 на О, I на 1? Эти паттерны давно известны взломщикам, и атака по словарю их учитывает.
"Устойчивость" таких паролей существенно ниже того, что пишут оценщики.
"Устойчивость" таких паролей существенно ниже того, что пишут оценщики.
Заглавная первая буква? Несколько цифр в конце? Замена 0 на О, I на 1? Эти паттерны давно известны взломщикам, и атака по словарю их учитывает.
Читал.
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций? Вот, навскидку:
docs.microsoft.com
www.ncsc.gov.uk
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций? Вот, навскидку:
docs.microsoft.com
www.ncsc.gov.uk
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций?
Очень смешно.
Дайте-ка отгадаю целевую аудиторию этой статьи.
Обычно человек, у которого можно отгадать не предложит отгадывать. А тот кто предложит, уверен, что этой инфы нет.
Молодец, хорошо отшутился, садись - пять.
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?Ну, найди имена моих тестя-тещи, вперед. А ведь я - человек очень публичный. "Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.В статье написано, что вы должны создать собственные паттерны. Делай заглавными вторую и четвертую буквы, вот и все. Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций?Читал. И что?
Вы, уважаемый, идиот, потому что полностью переврали, то о чем говорил Алекс.
Алекс, я прошу прощения, если вас заденет этот комментарий, но для человека, который в интернете дольше, чем прожили большинство тех, кто без проблем найдет что угодно в интернете, вы потрясающе наивны.
Найти можно всё, конечно слишком сильно параноить вредно, но эта вот самоуверенность с "попробуй найди" - тоже неправильно. Захотят - найдут. Остальное напишу отдельным комментарием, чтобы проще было удалить, не удаляя этот.
Найти можно всё, конечно слишком сильно параноить вредно, но эта вот самоуверенность с "попробуй найди" - тоже неправильно. Захотят - найдут. Остальное напишу отдельным комментарием, чтобы проще было удалить, не удаляя этот.
Я давно вас читаю и ещё раз: надеюсь, что вы не обидетесь на этот коммент.
То, что у вашего тестя звучное советское имя интересного происхождения на букву "В", ваша двоюродная сестра преподавала там же и то же, что раньше по вашим словам ваша мама, а у сиблинга вашей жены (не будем уточнять, брата или сестры) дофига научных публикаций - находится просто в гугле.
Без заранее скачанных баз, каких-либо знаний заранее о вашей семье, без социальной инженерии, да мне даже не пришлось включать впн в браузере. Только запросы в гугл и по найденным сайтам может еще пара переходов.
Если включить впн и пойти на какой-нибудь nomer-org.website, то это ещё быстрее. Есть базы разные предварительно скачанные есть под рукой, а у злоумышленников они наверняка есть, то вообще раз плюнуть. А если привлекать социнженерию через ваших родственников, то тут всё совсем плохо.
То, что у вашего тестя звучное советское имя интересного происхождения на букву "В", ваша двоюродная сестра преподавала там же и то же, что раньше по вашим словам ваша мама, а у сиблинга вашей жены (не будем уточнять, брата или сестры) дофига научных публикаций - находится просто в гугле.
Без заранее скачанных баз, каких-либо знаний заранее о вашей семье, без социальной инженерии, да мне даже не пришлось включать впн в браузере. Только запросы в гугл и по найденным сайтам может еще пара переходов.
Если включить впн и пойти на какой-нибудь nomer-org.website, то это ещё быстрее. Есть базы разные предварительно скачанные есть под рукой, а у злоумышленников они наверняка есть, то вообще раз плюнуть. А если привлекать социнженерию через ваших родственников, то тут всё совсем плохо.
Чем дебильнее фраза - тем легче запомнить
>>>Чем дебильнее фраза - тем легче запомнить
"мы их и в сортире замочим"
"мы их и в сортире замочим"
да любая фраза из кинофильмов. вряд ли вики-цитатник кто-то к генератору паролей прикрутит)
это запомнить легко, но если такие штуки нужно придумывать раз в месяц, и время от времени ретроспективно вспоминать обратно, херня выходит.
это запомнить легко, но если такие штуки нужно придумывать раз в месяц, и время от времени ретроспективно вспоминать обратно, херня выходит.
Торгану прохладной былиной. Когда-то в обсуждении препаратов для печени зашла речь о карсиле. И кто-то сказал, что можно любой препарат, где действующее вещество - силимарин. Была реплика, что такое не запомнить. И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами.
В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
У меня бы "сильмарион" запомнилось 😄
И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами. В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
Я, например, визуальную информацию запоминаю аналитически. Т.е. составляю себе описание. Игра мемори - мой персональный ад.
(для примера, когда Экслер выложил рецензию на "Вратаря галактики", первая моя мысль о "щеночке" была - это же вылитый персонаж из шнуровского клипа "Цой". Можете оценить уровень визуальной памяти)
Неужели у популярных сервисов нет защиты от брутфорса? Ведь достаточно сделать минимальную паузу в несколько секунд между последовательными вводами пароля и та же «верафролова» превратится в неприступную крепость.
У популярных сервисов иногда утекают базы данных. Иногда, у популярных сервисов пароль хранится в открытом виде. Если у вас используется один пароль (или один алгоритм) на разных сервисах, то могут возникнуть проблемы.
Взламать могут и непопулярный сервис. Многие пользователя используют плохозапоминающиеся пароли, составленные по рекомендациям, подобным приведенным здесь (слово с буквами в разном регистре + спецсимволы, цифры и т.д.), и памяти им хватает всего на один такой пароль, поэтому он одинаковый на всех сервисах.
"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
Ага, конечно.... 😄
"Сбер@sberbank·
7 сент.
Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно." twitter.com
Ага, конечно.... 😄
"Сбер@sberbank·
7 сент.
Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно." twitter.com
по поводу п.3 - всегда регистрозависимого пароля.
вот только в сентябре шумиха была по поводу того, что в сбер.онлайн паролю пофик на регистр. и сбер отмазался тем, что это для удобства пользователей.
ссылка на твиттер
вот только в сентябре шумиха была по поводу того, что в сбер.онлайн паролю пофик на регистр. и сбер отмазался тем, что это для удобства пользователей.
ссылка на твиттер
Это Греф дал, конечно.
Слышал об этой истории, да, совершенно поразительные феномены 😄
Это все равно сделано специально. А не ошибка в коде.
Именно поэтому они - законченные кретины. А не просто ошиблись.
пароли у сбера регистро независые уже 15 лет а вы только сейчас узнали?) лучше поздно чем никогда...
Это само собой. Я к тому, что справедливости ради сказать это безобразие придумали управленцы. И никак не айтишники. Так что сбер не отмазался. Но это не отменяет их дебилизм.
Я думаю, они просто воспользовались библиотекой, в данном конкретном программном продукте, который не видит разницы в размере букв. А переделать - долго и дорого.
Я думаю, они просто воспользовались библиотекой, в данном конкретном программном продукте, который не видит разницы в размере букв. А переделать - долго и дорого.
А вы знаете какую нагрузку создают люди которые забыли переключить клавиатуру? Где то читал совет даже не учитывать раскладку, то есть все равно в рус или лат была клавиатура, то есть генерить сразу два валидных хеша.
И какую интересно? Ну скажем по сравнению с прохождением авторизации?
Вероятно, большую. Я даже не имел ввиду сервера авторизации, хотя и на них то же. Я имею ввиду техподдержку "ааа... не могу войти меня взломали злые хакеры..."
Обычно проблемы начинаются, когда необходима регулярная смена паролей. Парочку раз можно создать супернадежный, суперзащищенный пароль, а вот когда подобным заниматься приходится раз в пару месяцев. в голове образуется удивительная каша и тут уж чем пароль проще, тем меньше шансов его перепутать с сотней предыдущих паролей.
Обычно проблемы начинаются, когда необходима регулярная смена паролей.
[QUOTEВ этом случае используйте менеджер паролей, вот и все.[/QUOTE]
Ага. Lastpass, например, который месяц хочет, чтоб я поменял мастер-пароль. Еще и старый в качестве замены не принимает.
Ага. Lastpass, например, который месяц хочет, чтоб я поменял мастер-пароль. Еще и старый в качестве замены не принимает.
Мне не нравится Lastpass, я последние лет 15 использую платный Roboform. Он такой фигней не страдает.
Обычно проблемы начинаются, когда необходима регулярная смена паролей. Парочку раз можно создать супернадежный, суперзащищенный пароль, а вот когда подобным заниматься приходится раз в пару месяцев. в голове образуется удивительная каша и тут уж чем пароль проще, тем меньше шансов его перепутать с сотней предыдущих паролей.
Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc
Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc
Мне не нравится Lastpass, я последние лет 15 использую платный Roboform. Он такой фигней не страдает.
В каком смысле "в открытом виде хранятся"?
или с обновлением ждать и мне требование заменить мастер-пароль?
В каком смысле "в открытом виде хранятся"?
Наверное легкая паранойка, но я сталкивался с с желанием ментов полазить в моем компе. Сейчас у меня при включении вылазит окошко со вводом пароля на криптодиск, без него комп практически чистейший....
может быть, если хранить в облаке. я локально все держу. у меня эта папка годов с нулевых наверное, растет по версиям. и все новые версии ее подхватывают и работают с ней.
Если сделать это с паролем много раз, то легко забыть, какой вариант актуальный. Тогда уж лучше вставлять в начало пароля "месяц-год", типа '1020yourpass'.
(Это был ответ на сообщение "Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc")
(Это был ответ на сообщение "Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc")
В начало сложного пароля ставьте цифру.
Такой метод хранения использовался до 8-й версии: на каждый пароль свой отдельный файл. 8-я версия перешла на хранение в одном файле.
Такой метод хранения использовался до 8-й версии: на каждый пароль свой отдельный файл. 8-я версия перешла на хранение в одном файле.
по идее могли бы намекнуть что стоит базу как-то конвертировать. но нет, работает по старому
Это зависит от схемы. Например названия нот в вашем любимом муз. произведении если нотной грамотой владеете
Спасибо! Познавательно.
Еще можно в пароль по известному одному тебе принципу включать имя сайта или сервиса, где он применяется.
Еще можно в пароль по известному одному тебе принципу включать имя сайта или сервиса, где он применяется.
Вариант, да.
Что понятно тебе, будет понятно и взломщикам. Это - немногим лучше, чем использование одного пароля на всех сервисах.
Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
Пока что это лучший вариант, на мой взгляд.
Собственно есть два вида взломов. Одно дело если нам нужны просто деньги или аккаунты для спама. Мы берем базы и прогоняем через словарь - опа, сразу есть с чем работать.
Другое дело если нам заказан конкретный вася пупкин. Тут уже много работы, установить все ники, емайлы, сервисы, посмотреть в каких базах он засвечен, попробовать понять логику на примере 2-3-5 паролей от разных сервисов. Это уже дорогая творческая работа. Ну вот скажем стало ясно, используется менеджер паролей. Пишем трояна и вытягиваем его базу + кейлогом мастер пароль.
Другое дело если нам заказан конкретный вася пупкин. Тут уже много работы, установить все ники, емайлы, сервисы, посмотреть в каких базах он засвечен, попробовать понять логику на примере 2-3-5 паролей от разных сервисов. Это уже дорогая творческая работа. Ну вот скажем стало ясно, используется менеджер паролей. Пишем трояна и вытягиваем его базу + кейлогом мастер пароль.
Пишем трояна и вытягиваем его базу
Если человек способен словить трояна, то зачем красть пароли?????
Очень мало людей не способны словить трояна. Особенно не словить специально написанного трояна, которого не детектят антивирусы и которого специально засылают, в том числе со взломанных доверенных аккаунтов.
Очень мало людей не способны словить трояна
docx файл прислать с емайла дедушки. Или к примеру не так давно почти всех налогоплательщиков украины сломали внедрив троян в апдейт местной фискальной утилиты. Сколько у вас софта стоит который самообновляется?
И? Открываю в ворде, ворде не дает его редактировать. Ну ок, разрешаю редактировать. Ворд пишет, что отключил скрипты. Дальнейшие мои действия?
При попытке открыть docx троян уже запустился. Или ты его сначала открываешь в hex редакторе?
С чего бы ему запускаться? Тем более, если файл из браузера сохранен. Или у вас до сих пор Office 97 стоит? Так в нём .docx не открывается.
Потому что запускает операционка, и запускает она не по расширению давно уже, а по сигнатуре. А по сигнатуре файл может быть исполняемым бинарником.
Ах да, я понял, у вас линукс и прав на исполнение у сохраненного в песочницу файла нет.
Ах да, я понял, у вас линукс и прав на исполнение у сохраненного в песочницу файла нет.
???Вот вы щас прямо новые горизонты открываете!
Это с какой это версии Windows начала, вдруг, как вы выражаетесь "сигнатуры" использовать? И сразу вопрос номер два: как же мне бедному теперь в блокноте открыть текстовый файл с первыми символами MZ?
Это с какой это версии Windows начала, вдруг, как вы выражаетесь "сигнатуры" использовать? И сразу вопрос номер два: как же мне бедному теперь в блокноте открыть текстовый файл с первыми символами MZ?
налогоплательщиков украины сломали внедрив троян в апдейт местной фискальной утилиты.
Что понятно тебе, будет понятно и взломщикам. Это - немногим лучше, чем использование одного пароля на всех сервисах.Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
TuheeSxhu6ephoTe3lu - вот вариант для exler.ru по подобному алгоритму к один раз нормально выученному генеренному паролю, а если Вы как нормальный извращенец будете не вставлять части названия сайта, а делать сдвиг алвафита, то надо чтобы утечка была глобальной на 6-10 паролей.
P.S. все сервисы для проверки защиты от перебора считают что они знают мощность алфавита - явно ошибочное утверждение
А если вы как еще более извращенец будете вводить словами HEX значение каждой буквы URL - так и вовсе криптостойко получается.
Пользуюсь Bitwarden. У него в бесплатной версии лучше интеграция на Android. В ПК-версии стоит расширение для Хрома и Оперы. Раньше ластпассом пользовался, но потестил битварден - в него отлично сохраненные пароли перенеслись с ластпасса.
SafeInCloud ещё хороший менеджер паролей. Российский разработчик. Вот сайт. Перешёл на него с RoboForm, перепробовав несколько других программ
Напрасно. Реально классный проект. Пароли хранятся в шифрованном файле, синхронизация через гуглодиск. Своего отдельно облака как у робоформа нет. Пару раз обращался в поддержку - автор отвечает быстро и адекватно
Согласен. Мне иногда кажется что такие проекты специально создают чтобы побольше простачков туда заманить
Исходники открытые?
российский разработчик? 😄))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
А что вам это даст, кроме как чувство ложной уверенности в том, что что кто то уж точно их прочитал, осознал, скомпилил и вдобавок еще и всем о дыре рассказал?
Этого недостаточно?
я тоже использую SafeInCloud, много лет уже. никаких проблем, очень доволен
Что ещё почитать
Падение империи
10.06.2024
150
Меч короля
13.06.2024
66
Реальные обереги прикольных воробьев
30.08.2024
43
