Какими должны быть пароли и как их запоминать
Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.
Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.
Поэтому давайте в данной статье и поговорим о том, какими должны быть пароли, как их безопасно хранить и как научиться придумывать, а главное - запоминать устойчивые пароли.
Что такое устойчивый пароль
Устойчивость пароля характеризуется временем, которое нужно будет затратить злоумышленнику, чтобы тем или иным способом подобрать его. Пароль, для взлома которого требуется несколько секунд, минут или часов, является неустойчивым. Пароль, для взлома которого потребуется несколько месяцев или лет, является устойчивым.
Как повысить устойчивость пароля
Есть несколько стандартных рекомендаций по повышению устойчивости пароля.
1. В пароле не должны содержаться в неискаженном виде обычные слова, потому что средства взлома паролей прежде всего перебирают слова по словарю. И, кстати, фокус с написанием русских слов в английской раскладке запросто может не сработать: утилиты для взлома такие варианты тоже умеют перебирать.
2. Очень важную роль играет длина пароля. Она должна быть не менее 8 символов, а намного лучше, если их будет 12.
3. Пароли всегда регистрозависимые (оговорюсь, кроме "Сбербанка" с его идиотами-разработчиками), и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре.
4. Рекомендуется в пароле также использовать спецсимволы, это тоже очень сильно повышает его устойчивость.
5. Ну и добавление к паролю нескольких цифр также сильно влияет на повышение устойчивости.
Что нам может в этом помочь
В принципе нет никакой необходимости придумывать и запоминать устойчивые пароли, потому что есть специальные программы, называемые менеджерами паролей, и они это могут делать за вас. Конечно же, не следует пользоваться менеджером паролей, взятым неизвестно где и написанным неизвестно кем, но существуют десятки известных, проверенных и безопасных менеджеров паролей, которые используют миллионы людей.
Суть менеджера паролей очень проста. Вам нужно придумать и запомнить только один устойчивый пароль - для этого менеджера. А дальше менеджер будет сам генерировать и запоминать надежный пароль для каждого из сервисов, где вы регистрируетесь, ведь одно из важных требований безопасности - не использовать одинаковые пароли для разных сервисов.
Рассказ о менеджерах паролей и о том, что они вообще умеют делать, - тема отдельных статей, так что в данном случае я приведу только три наиболее характерных примера таких программ.
LastPass - очень известный менеджер паролей, который стал очень популярным прежде всего из-за того, что его бесплатная версия не содержит никаких ограничений на количество сохраненных паролей.
RoboForm - продвинутый менеджер паролей со многими возможностями, включая безопасное хранение конфиденциальной информации для заполнения форм (например, данных банковских карт, адресов и так далее). Сейчас в его бесплатной версии тоже нет ограничений на количество запомненных логинов (раньше такие ограничения были).
Dashlane - по мнению многих экспертов, это сейчас один из лучших менеджеров паролей, но его бесплатная версия ограничена только 50 логинами и одним устройством.
Как придумать устойчивый пароль и запомнить его
Конечно, наиболее устойчивым будет пароль, составленный из случайного набора букв в различном регистре, цифр и спецсимволов, - например, вот такой: UB^hRh%GDrSTUso8. Генераторы паролей, обязательно входящие в состав любого менеджера паролей, всегда предоставляют возможность пользователю регулировать параметры создаваемого пароля.
Однако что делать, если вы не используете менеджер паролей? Как придумать, а главное - как запомнить устойчивый пароль? Потому что совершенно бессмысленный пароль, типа как указанный выше, запомнить невозможно.
Тем не менее способ есть. Достаточно несложных ухищрений, чтобы фраза, которая вам о многом говорит и которую вы совершенно точно не забудете, стала хорошим надежным паролем.
Мы говорили о том, что крайне нежелательно использовать обычные слова. Однако если буквы обычных слов вы напишете в разном регистре и будете перемежать эти буквы спецсимволами по определенному алгоритму, то пароль сразу станет вполне устойчивым.
Как зовут вашу первую учительницу в школе, имя которой вы никогда не забудете? Вера Ивановна Фролова?
Напишите ее имя и фамилию латинскими буквами в одно слово - verafrolova. Давайте проверим этот пароль в специальном сервисе от "Касперского" (это в любом случае безопасно, потому что мы проверяем сам принцип, а не конкретный пароль, который будем использовать).
Теперь сделаем очень простую вещь - имя и фамилию напишем с заглавных букв и проверим.
Уже веселее, но до устойчивости еще далеко. Давайте теперь просто заменим все буквы "о" символом "@". (Тут важно использовать спецсимвол, а не, например, цифру ноль, потому что с нулями пароль останется неустойчивым, а с этим спецсимволом - уже другое дело.)
Давайте еще усложним. Снова берем VeraFrolova и после каждой буквы ставим спецсимвол с клавиш с цифрами, двигаясь, например, от цифры 1 (можно и наоборот - вниз от "0", тут главное - чтобы вы для себя придумали и запомнили алгоритм). Не нужно брать все словосочетание, достаточно поставить спецсимволы только в имени (после каждой из первых четырех букв, например):
Уже хорошо. Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной, в состоянии? После каждой из первых четырех букв поставить спецсимволы, которые стоят над цифрами от 1 до 4 (или любых других, которые нужно будет запомнить раз и навсегда), в состоянии? Конечно.
Ну и чтобы увеличить надежность до совершенно фантастических величин, возьмите за правило добавлять еще несколько цифр. Немного, не надо писать длинный телефонный номер. Три цифры, но только те, которые вы отлично помните. Например, первые или последние три цифры вашего почтового индекса.
Как видите, ничего сложного. Вам просто нужно будет придумать и запомнить ваш собственный алгоритм. Например, после каждой из пяти первых букв символами над цифрами от 4 до 8. И в конце дописываем несколько цифр (например, ваш код от чемодана - там обычно 3-4 цифры).
Более того, напоминалку о таком коде можно записать в открытом виде - например, "УчиЛка 4-8 чемодан", и враг ни за что не догадается.
Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто.
Только для сложных для транслитерации имен-фамилий обязательно нужно использовать четкие правила, чтобы потом не гадать, как вы написали "щ", "ю" или "ц". Лучше всего делать транслитерацию прямо в этом сервисе, тогда уж точно никаких ошибок не будет.
Также есть масса других способов конструировать запоминающиеся пароли, один из них - составление пароля из первых букв начала какого-нибудь хорошо известного вам стихотворения.
Например, "Союз нерушимый республик свободных сплотила навеки великая Русь" - берем первые буквы: "снрсснвр", конвертируем в "snrssnvr", делаем первую и последнюю буквы заглавными, вбиваем четыре спецсимвола, добавляем код чемодана:
Пишем подсказку: "ГимН 1-4 чемодан".
И, кстати, текст какой-нибудь известной песни может стать вам своеобразным генератором паролей. Для одного пароля используете первые буквы первой строчки, для второго - второй строчки и так далее.
Вот и все! Видите, как просто создать очень устойчивый пароль, причем так, чтобы вы его и не забыли, и могли безопасно записать подсказку. Вам просто для себя один раз нужно придумать алгоритм по указанной выше методике и далее ему следовать.
Всякие полезности
1. Если вы используете менеджер паролей, то для него в качестве мастер-пароля должен быть придуман уникальный устойчивый пароль, который вы больше нигде не используете. При этом если менеджер пароля умеет разблокироваться по отпечатку пальца (Roboform такое умеет), то возьмите за правило хотя бы раз в день разблокировать менеджер паролем, а не отпечатком (чтобы вы себе об этом пароле постоянно напоминали).
2. Ваш почтовый ящик, на который завязаны подтверждения различных важных сервисов, должен иметь устойчивый и также уникальный пароль, который вы больше нигде не используете. Кроме того, крайне желательно, чтобы этот почтовый ящик не являлся вашим обычным ящиком для переписки и чтобы он нигде не светился, а использовался только для подтверждений.
3. Никогда не записывайте пароли в явном виде, но используйте подсказки, которые многое могут сказать вам, но ничего не могут сказать другим людям.
VjqLzlzCfvs[Xtcnys[Ghfdbk
На телефонах, правда, неудобно вводить
Нужно разделять сайты, на которых чувствительная информация, типа банков, каких-нибудь социальных сетей, форумах вам дорогих, и остальные.
На остальных я использую один очень простой пароль, нефиг париться.
Мало того что всякая Web-сволота требует регистрации для одноразовых действий.
Так эти удоды еще и почту проверяют, слава богу есть сервисы одноразовой почты.
Вообще как меня задрали требования к паролям, типа не менее 8 символов и должна быть заглавная буква, цифра и спецсимвол. Я сам знаю какой сложности должен быть пароль.
касперыч на мой регулярный пароль дал 98 лет на расшифровку
ощущение, что они тупо перекладывают на юзеров все риски, ибо иначе как записано на бумажке, лежит под клавиатурой, оно уже нереально (на рабочие компы же нельзя ставить "менеджеры паролей")...
Купил новый планшет, сижу, изучаю. Новая для меня функция - разблокировка по лицу. Пробую, вначале предлагают ввести мин-код или пароль. Ввожу пароль. Длинный, с цифрами. Пробую разблокировать - получилось, второй тоже, на третий раз не распознал... Три раза не распознал, сбросил разблокировка по лицу и предлагает ввести пароль. Ввожу - неправильный. Второй раз - та же фигня. После третьего раза предлагает зайти через минуту. Потом через 10 минут и тд... Я уже к тому времени понял свою грубейшую ошибку, но планшет пришлось откатывать к заводским настройкам (благо я ещё толком ничего на него не поставил).
А вся проблема была в том, что я ввёл пароль Русскими буквами а Русской раскладке... Самое неприятное, что планшет принял его без проблем, а вот во время разблокировки на клавиатуре уже не было русской раскладки! Только латиница. Такая вот история вчера со мною приключилась...
недавно на хабре попалась ссылка на вот такую штуку: аналоговый генератор паролей для ленивых за 5 евро
карту тебе генерируют случайным образом, первая часть (кракозябра) и вторая часть (твой пароль по их решетке) получится общая для всех паролей, уникальность обеспечивается названием сайта или сервиса. в конце его набирать, в средине или в начале - вопрос фантазии пользователя. набирать такое конечно не айс, копи-паста нету, но можно сгенерить один пароль для менеджера паролей. в плюсах - можно отксерить и хранить в трех разных местах, и к интернету не подключена, значит хацкерам только через паяльник доступна
- А давай ты меня трахнешь, а я за это три любых твоих желания исполню.
Ну она, конечно, старая и страшная, но желания-то хочется. Короче, зажмурился геолог, ну и трахнул.
- Так, говорит. Первое желание - 10 миллинов долларов в счёте на ...
- Погоди, милок, а годков-то тебе сколько?
- Ну 30
- Надо же, такой большой, а в сказки веришь.
На самом деле менеджеры паролей можно испльзовать только в двух случаях:
1. Они ОБЯЗАНЫ быть с открытым исходным кодом. И даже в этом случае, их надо компилировать самому!
2. Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА. Любой вызов сетевой функции (socket, connect и т.д.) - немедленно на помойку. Любая попытка обфустрации кода - немедленно на помойку. Любой подозрение - немедленно на помойку.
Может быть, если есть end-to-end encryption и ключи генерите вы сами, то можно и пользоваться чем-то сетевым. Но это требует обязательного открытия сетевого кода и очень внимательной инспекции сорцов. Короче, я бы не рисковал.
Ключевое слово - вы сами. А не авторы менеджера паролей, которые начнут что-то мутить "для вашего удобства и безопасности"...
все равно же надо хранить список логинов и паролей и у себя на флешке и на "облаке" (облако тоже может исчезнуть или быть недоступным за условным китайским файерволом)
- Спасибо, теперь находится.
C:\Wapg>wapg -n 12 -m 12
Dammofpomnaw
Vid6Shocweyg
UsDowaucheuf
sconDeyrepyo
Default algorithm is pronounceable password generation algorithm designed by Morrie Gasser and described in A Random Word Generator For Pronounceable Passwords National Technical Information Service (NTIS) AD-A-017676.
При поиске информации по ремонту разного оборудования очень весело бывает зарегистрироваться на паре-тройке форумов, чтоб узнать что спрятанная ими информация совершенно бесполезна в конкретном случае.
не нравится мне, если мои пароли хранятся где-то в облаке.
• Password Store - продвинутый клиент pass для Андроида.
• KeePassDroid - форк KeePass для Андроида, раньше им пользовался.
Только если включить параною, то насколько это нормально, что пароль в открытом виде лежит в буфере обмена и любая программа на компе может его прочитать и отослать?
По крайней мере TicToc именно в этом многие обвиняют...
Во первый, это единственный менеджер паролей с открытым исходным кодом, во вторых он так же может генерировать ОТП пароли (для вторичного фактора). Отлично интегрируется и в большинство браузеров и операционных систем на телефонах
1. одна или несколько копий программы в зависимости от введённого пароля.
2. Разблокировка по опечатку только в течение 1-2 мин после разблокировки по паролю
Один в качестве паролей использует химические формулы. Что-то типо такого HO2C-CH(NH2)CH2OH.
Другой табулатуры.
Третий вообще умудряется запоминать каталожные партномера различных запчастей.
Для человека, который не разбирается жуткая тарабарщина.
У меня на универском сайте надо придумывать новье каждый месяц. Я придумал один типа сложный один раз, а потом каждый месяц прибавляю по единице. Сейчас на 22. Прокатывает, так как захешировано, они не распознают, что особо не отличается. Только если идентичны. И можно примерно прикинуть, какой пароль был 10 мес назад
У нас Оффис365, будь он неладен. Так что по идее это майкрософт-хуесофт.
Как будем проверять?
"все уже украдено до нас"
"Все уже украдено до нас"
"Всё уже украдено до нас"
"всё уже украдено до нас"
А ещё восклицательный знак в конце!
Вряд ли кто-то будет в здравом уме ломать пароль из 5 словарных слов.
Робоформ если купить будет продление ключа каждый год или разовая покупка?
Типа такого
Эти символы очень вредят когда пароль придется вводить руками глядя куда-то.
serg@mylinux:~$ pwgen
Coofoom3 wogh8Eem eNgix6ii Oobee8na aiz2ieHi eiY4boht Chaeng4u woog5noR
Это так по умолчанию, там можно задать и длину, и алфавит, и все такие. Но я обычно беру 2-3 сгенеренных пароля, объединяю их и натыкиваю разные символы по пути. Типа такого:
wo!gh8$Eem&eiY4b5oht!@
Выглядит устрашающе, но надежно. Конечно, такие пароли не для запоминания, а, вот, в качестве PSK для VPN туннеля - так и не плохо, но там я и 64 символа делаю иногда.
А для запоминания - да, слова из песни плюс символы плюс цифры. Капитализация символов у меня вообще произвольная.
Ну, и lastPass. Вот, мне как раз Roboform совсем не "зашёл". Я его как-то даже на год купил,- но нет. Вернулся в лоно Ластпаса.
А поскольку я знаю сотни песен наизусть (только Высоцкого могу песен 100 напеть сходу, а еще Шандриков, Раменский, а если это в исполнении Северного, который по бухарю слова путал,- а я так и запомнил,- то фиг кто подберет), то проблем никаких. Цифры - индексы транзисторов, например, или ламп, или из СМовской номенклатуры. Подсказка (если нужна), например, "4 Брата Бриг Летовод". Мне все понятно, например. 😄
Про хэширование паролей, если вам любопытно, можно почитать, например, тут.
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Допустим пароль у меня в почте vadimpetrov1993. В принципе - не сложный и методом перебора через, условно говоря, 4 часа и перебора 2300 вариантов он подбирается.
Но ведь , чтобы дойти до того момента, когда сработает нужный вариант (после взлома), нужно ведь предыдущие 2299 вариантов попытаться использовать, чтоб понять, какой пароль подходит. А как это допускает, почтовый (как в примере) ресурс? Почему он не блокирует попытки введения пароля через ошибочные 100 (условно) попыток ввести пароль?
Или это всё работает не так?
У меня банк после трех попыток блок ставит (на сколько по времени не знаю, не доходил до этого).
И уж тем более у Касперского.
Дуремар52
Lehtvfh52
получится
Клавиатура для паролей
И кстати, при тесте на взлом вводил сопоставимые символы, но не сами пароли, все-таки не верится мне в них...
когда даю кому то говорю
пароль следующий
один два три четыре пять шесть
человек вводит 123456
-не подходит!
я повторяю
опять не подходит
я тогда один-два три-четыре пять-шесть
надо вводить так
244466666
- как вы меня з@ебали. Слитно. На английской раскладке. С маленькой буквы." (с)
Diflon746
взломали сцуки...
Вкратце - воруются (или продаются) базы данных у мелких и дырявых сайтов. А уж если вы везде ставили один и тот же пароль - и на форумах, и на почте, и в контакте - ССЗБ.
online.ee
По поводу запоминания паролей... Например, у меня полтора десятка логинов только в финансовых и других важных организациях. Как можно запомнить столько стойких паролей, особенно, если некоторыми из них пользуешься раз в месяц или реже? Да никакая эвристика не поможет. Поэтому я даже не пытаюсь: генерю пароли программно и храню их в менеджере паролей.
Чтобы база паролей не потерялась, делаю бэкапы в облако, на домашний сервер. Копии есть на компьютере, в телефоне. Без секретного файла и пароля взломать её всё равно невозможно, поэтому можно хоть на флешку записать и в сумочке носить. А вот секретный файл храню только на доверенных устройствах - телефоне, персональном компьютере, бэкапе на зашифрованном диске. В итоге, мне надо помнить только пароль от базы паролей и постараться не продолбать секретный файл.
Ушёл с LastPass на него.
Замечание: не использовать в паролях похоже выглядящие символы: l и 1, o и 0, и т.д.
В хороших генераторах паролей есть такая опция.
А с пользователями я устал бороться. Все равно все пишут на бумажках, левой ногой, не делая разницы между похожими символами, прописными и строчными буквами, а потом либо бумажки теряются, либо ты играешь в игру "угадай пароль".
Ну и нормальный сервис, конечно, должен ограничивать число попыток перебора и удлинять паузы между ними. Разумеется там, где есть важные данные, а не в очередном инетмагазине, в котором мне глубоко пофиг уведут эккаунт или нет. И не выедать пользователю мозг, мол, добавьте в пароль разный регистр, еще пару спецсимволов и не пишите этот пароль, который использовали 6 лет, 5 месяцев и 3 дня назад. А потом додумываясь эти пароли на сайте в открытом виде хранить, а не в хэшах.
Поддерживает кучу шаблонов генерации паролей, что бывает полезно, т.к. некоторые сайты почему-то ставят максимальную длину в 15-20 символов, а спецсимволы либо не принимают, либо считают за два.
Полностью бесплатна, уже около 300 записей с паролями, пока никаких намеков на ограничения.
Удивился, когда узнал, что в довольно крупной нефтедобывающей компании для администрирования всех паролей используют KeePass.
Как я генерю случайные пароли: openssl rand -base64 12
Я на этой проверке сгенерировал пароль из chrome - время на вскрытие 3261 век. По моему неплохо.
И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Меня наоборот бесят требования сделать одну заглавную букву, спецсимвол и цифру. Мой пароль из 30 символов и так никто не подберет, что изменится от заглавной буквы?
Там есть ссылка на доклад, где они рассказывают техническую реализацию
это помимо смс-пароля, разумеется.
Леонид Каганов, Удивительная история с паролями
по сути, если кто-то блокирует тебе кредитки, где и какие бы ты не открыл, тут впору задуматься о жизни, смене фио как минимум, а не такое мелкое неудобство как полгода без кредитки пожить. заплатить и спать спокойно (хи-хи) тут может только в последнюю очередь в голову прийти.
но забывать про то, какую задачу решает система безопасности тоже не надо. в который раз повторюсь, что потеря абсолютного большинства эккаунтов во всяких там системах не стоит даже шевеления пальцем, чтобы вернуть доступ. во всех важных для меня областях она двухфакторная. и даже при этом, как правило, причиненный ущерб (типа внезапного списания денег с кредитки на деревню дедушке) достаточно легко восстановим в офлайне. при таком положении дел я не понимаю на кой сношать себе мозг неудобоваримыми паролями.
по факту я без кредитки спокойно проживу может и не неограниченно долго, но полгода выдержу с наликом спокойно. а ведь вымогатель должен отслеживать все мои потенциальные карты, разных систем, разных банков. в разных странах, если уж на то пошло. с такими возможностями он у меня хочет тыщонку-другую вытянуть и ради этого старается?! фантастика на каком этаже?
по факту не слышал я про такие способы вымогательств - только у школоло (не по возрасту, а по мозгу) со всякими навороченными эккаунтами в играх.
Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов! А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
В онлайн сервисе подбор может осуществляться по всем клиентам сразу, если утекла база. А если вводить ограничения, то очень легко сервис дидосить, просто загоняя всех пользователей в ограничение.
для тех банковских карт пользую давно уже один и тот же пин, запомнить даже пять штук и время от времени с заменой карт их обновлять в памяти - по-моему, бессмысленное и беспощадное занятие. а записывать и держать в близком доступе такое куда вреднее.
Правда эта статья - скорее пожелание разработчикам, но тем не менее ознакомиться с ней стоит. Основные тезисы:
1. Пароль, состоящий из нескольких слов, тематически не связанных между собой дают вполне достаточную энтропию, чтобы быть устойчивым ко взлому, при этом прост для запоминания.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
3. В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу. Некоторые сервисы ставят ограничение на использование не-латинских символов, но сейчас такие встречаются все реже.
При этом КАЖДОЕ такое слово придётся внести в словарь.
А энтропия - не безразмерна.
Ну и плюс если в "хлеб" сделать всего лишь четыре ошибки - получится "пиво". Или "вино". Или "квас".
Потому что все эти ухищрения будут бесполезны.
не бежит, а сгорбленно идет, катЯ баллон с жидким гелием на колесиках 😄
Самый офигенный изо всех, что я перебирал - это bitwarden. Опенсорсный, можно при желании развернуть на своём сервере, ставится расширением в браузеры, ставится приложением в смартфон и работает агентом автозаполнения. Бесплатные функции - омфг насколько полноценны.
Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому. Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
Вот, нашёл: gizmodo.com
В общем, рекомендации в твоей статье неактуальны. Лучше Вере Фроловой делать пароль типа:
moykotikigraetvfutbolsgranatoy - безо всяких прописных, спецсимволов и прочего труднозапоминаемого шлака, который для взлома препятствием не является.
Проверка касперского говорит, что этот пароль (который запомнить изумительно просто) обычный домашний комп будет ломать "10000+ centuries"
Есть и другие способы, но уже не столь массовые и требующие наличия приличных уязвимостей, который, как правило, овердофига.
рассказывают о том, как сделать пароль одновременно и хорошо запоминаемым и очень криптостойким.
И ведь все по инструкции же. 😉
В конце концов, подпереть дверь в банковское хранилище стулом - тоже усиление безопасности. Но если в банке дверь в хранилище подперта стулом - это явное свидетельство, что с безопасностью в банке что-то не так.
А какая прелесть после такого "сменить пароль", мммм
-- Сорок тысяч обезьян в жопу сунули банан."
(c) Лукьяненко "Фальшивые зеркала" 1999 г.
В статье есть отдельная глава «менеджер паролей». И не упомянуть в ней менеджер паролей, встроенный по умолчанию у 2/3 пользователей (и умеющий их генерировать в полном соответствии со всеми перечисляемыми требованиями), — это несколько странно. 😄
- Не взламываемый
- Это как так?
- По-буквам: нэ е пробел вэ зэ лэ.....
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
Ибо да, тоже заколебали. 😄
"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
берем какое нибудь количество символов из домена сайта первый и последний символ в верхнем регистре, например: ExlE
набираем простых символов, например: 1234qwer
в конце ставим любой символ, например: !
итого:
S$@ExlE1234qwer!, S$@RedD1234qwer!, S$@PikA1234qwer!. на подбор 19 лет
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
Как же облегчилась жизнь с навигаторами, эх 😄
— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…
Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:
— Карре аb! {255}
Швейк продолжал вполне серьёзно:
— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» {256} Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.
Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.
Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:
— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.
Фельдфебель опять закрыл глаза." (с)
К примеру, можете попробовать подобрать мой пароль от mail.ru
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзедун"
3. На 74357181-й попытке- сервер согласился, что у него пароль "Мао Цзедун"
anekdotov.net
"Устойчивость" таких паролей существенно ниже того, что пишут оценщики.
То, что у вашего тестя звучное советское имя интересного происхождения на букву "В", ваша двоюродная сестра преподавала там же и то же, что раньше по вашим словам ваша мама, а у сиблинга вашей жены (не будем уточнять, брата или сестры) дофига научных публикаций - находится просто в гугле.
Без заранее скачанных баз, каких-либо знаний заранее о вашей семье, без социальной инженерии, да мне даже не пришлось включать впн в браузере. Только запросы в гугл и по найденным сайтам может еще пара переходов.
Если включить впн и пойти на какой-нибудь nomer-org.website, то это ещё быстрее. Есть базы разные предварительно скачанные есть под рукой, а у злоумышленников они наверняка есть, то вообще раз плюнуть. А если привлекать социнженерию через ваших родственников, то тут всё совсем плохо.
Найти можно всё, конечно слишком сильно параноить вредно, но эта вот самоуверенность с "попробуй найди" - тоже неправильно. Захотят - найдут. Остальное напишу отдельным комментарием, чтобы проще было удалить, не удаляя этот.
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций? Вот, навскидку:
docs.microsoft.com
www.ncsc.gov.uk
Я, например, визуальную информацию запоминаю аналитически. Т.е. составляю себе описание. Игра мемори - мой персональный ад.
(для примера, когда Экслер выложил рецензию на "Вратаря галактики", первая моя мысль о "щеночке" была - это же вылитый персонаж из шнуровского клипа "Цой". Можете оценить уровень визуальной памяти)
У меня бы "сильмарион" запомнилось 😄
Торгану прохладной былиной. Когда-то в обсуждении препаратов для печени зашла речь о карсиле. И кто-то сказал, что можно любой препарат, где действующее вещество - силимарин. Была реплика, что такое не запомнить. И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами.
В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
"мы их и в сортире замочим"
Ага, конечно.... 😄
"Сбер@sberbank·
7 сент.
Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно." twitter.com
вот только в сентябре шумиха была по поводу того, что в сбер.онлайн паролю пофик на регистр. и сбер отмазался тем, что это для удобства пользователей.
ссылка на твиттер
по идее могли бы намекнуть что стоит базу как-то конвертировать. но нет, работает по старому
(Это был ответ на сообщение "Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc")
Наверное легкая паранойка, но я сталкивался с с желанием ментов полазить в моем компе. Сейчас у меня при включении вылазит окошко со вводом пароля на криптодиск, без него комп практически чистейший....
Ага. Lastpass, например, который месяц хочет, чтоб я поменял мастер-пароль. Еще и старый в качестве замены не принимает.
Еще можно в пароль по известному одному тебе принципу включать имя сайта или сервиса, где он применяется.
TuheeSxhu6ephoTe3lu - вот вариант для exler.ru по подобному алгоритму к один раз нормально выученному генеренному паролю, а если Вы как нормальный извращенец будете не вставлять части названия сайта, а делать сдвиг алвафита, то надо чтобы утечка была глобальной на 6-10 паролей.
P.S. все сервисы для проверки защиты от перебора считают что они знают мощность алфавита - явно ошибочное утверждение
Это с какой это версии Windows начала, вдруг, как вы выражаетесь "сигнатуры" использовать? И сразу вопрос номер два: как же мне бедному теперь в блокноте открыть текстовый файл с первыми символами MZ?
Ах да, я понял, у вас линукс и прав на исполнение у сохраненного в песочницу файла нет.
Если человек способен словить трояна, то зачем красть пароли?????
Другое дело если нам заказан конкретный вася пупкин. Тут уже много работы, установить все ники, емайлы, сервисы, посмотреть в каких базах он засвечен, попробовать понять логику на примере 2-3-5 паролей от разных сервисов. Это уже дорогая творческая работа. Ну вот скажем стало ясно, используется менеджер паролей. Пишем трояна и вытягиваем его базу + кейлогом мастер пароль.
Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.