Как не обломать мозг об пароли вроде eLkdC,lk#jB
Комментарии 21
-
30.08.17 в 11:45
0
Если есть еще варианты интересных генераторов — пишите)-
30.08.17 в 11:530
Натыкался на вот такую забавную штуку:<1n255s4 Lisa's first newt zooms Fife's fifth shrewd four.
t6pnjsnv Tony's sixth padlock nags John's spectacular number vainly.
fqyumdc8 Fiona's quadrilateral yucca understands Murray's dormant calculating eight.
ee6pk3cm Eve's egocentric six ponders Ken's third cagey magazine.
q1giwn?n Quentin's first galaxy improves Wyn's nondescript question mark nastily.
Aberystwyth University разрабатывал. Но кажется прикрыл. А мнемоника реально адская получалась.
-
-
30.08.17 в 11:530
Большую часть паролей кодирую по 5 основаниям (код, набор цифр, текст1, текст2, спецсимволы) так хотя бы, даже если забыл (есть сервисы, на которые раз в квартал захожу), то быстро можно перебрать по степени нужности сервиса
-
30.08.17 в 11:56
0
Некоторое время назад пошёл скучным путём — стал пользоваться 1Password.
До этого — у меня было 3 относительно коротких рандомных пароля (до 10 символов каждый) в нескольких вариациях каждый, которые я помнил наизусть и использовал уже несколько лет.И вообще, «Сорок тысяч обезьян…»
-
30.08.17 в 12:000
Лукьяненко прекрасен, да)-
30.08.17 в 12:07+3
К сожалению, только в контексте его книг. Да и то, лишь более-менее ранних…
-
30.08.17 в 12:23+1
Сам он довольно мерзкий, да. И насчет позднего творчества согласен.
-
-
-
30.08.17 в 12:06+1
Чтобы не было как в анекдоте про Сережу, все же процитирую оригинал)Фальшивые зеркалаЯ молчу. Это мой общий ключ. Теперь придется переупаковывать все базы данных. Темный Дайвер подносит трубку к Чингизу. Тот почему-то смотрит на меня почти с таким же негодованием, как и на Темного Дайвера. Но голос сохраняет спокойным:
— Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой… ламерский…
Вот оно в чем дело!
— Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
Чего он тянет…
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.
Темный Дайвер сгибается от беззвучного хохота. Трубка в его руке пляшет у лица Чингиза. Падла издает хрюкающий звук, пытается скосить глаза на Чингиза, потом смотрит на меня.
Я держусь. С трудом, но держусь.
— Что? — Чингиза вдруг покидает самообладание. — Какой еще «абезьян»? Ты в зоопарк ходишь на «абезьян» посмотреть?
Я не выдерживаю. Мы проиграли. Мы капитулировали перед Темным Дайвером. И неясно еще, оставит ли он нас в живых, получив файл. Но сейчас я валяюсь, парализованный, одновременно и в глубине, и в своей квартире. И веселюсь даже не столько от выбранного Чингизом пароля, сколько от нагоняя, который он сейчас устраивает.
— Да! Банан!
— Один на всех? — спрашивает Падла и заходится мелким, хихикающим смехом.
— Все… теперь Тоха свой ключ скажет. Двоечник…
-
-
30.08.17 в 11:59
0
Нашёл половину своих паролей в статье. Похоже, они словарные.Ну, а если серьёзно, то даже оффлайновые программы генерации мнемонических паролей не подойдут — размеры словарей у них ограничены, а значит подвержены атаке перебором для конкретно этого генератора паролей. А что мешает злоумышленникам брутфорсить пароли, предполагая, что атакуемый пользовался генератором?
Так что только своим умом и эрудицией стоит генерировать.
-
30.08.17 в 12:040
Все эти утилиты позволяют использовать любые словари. При добавлении пары цифр можно уже только застрелиться со словарным перебором, имхо. То есть последовательность слово-слово-слово-слово брутится легко, если есть предположение, что генерировалось по методу коней со скрепками. Но уже слово-слово-!;$-слово-слово тупо никак не брутится. Опять же генераторы в духе WruAdNevav1 (Wru-Ad-Nev-av-ONE) тоже должны давать хорошую энтропию. Тут нет словаря, только отбрасываются неблагозвучные варианты.
-
-
30.08.17 в 12:43
0
Интересный, но бессмысленный обзор — главная проблема сейчас не в низкой энтропии, а в уникальности.И тут спасёт только хранилка паролей с генератором этих ужасных последовательностей, чтобы каждый раз не менять шаблон под сайт вебмастера-параноика, забывшего включить вход через соц. сети.
-
30.08.17 в 13:050
Ключи созданные на основе триграмм или других вариантов благозвучных будут уникальны. Кажется, вероятность совпадения на 10+ символах стремится к нулю.
-
-
30.08.17 в 12:45+1
«Более компромиссный вариант eastrightcloudexplore куда более криптостойкий при легкости запоминания: 21×4.7004 = 99 бит энтропии.» — не согласен. Энтропии тут гораздо меньше чем 21×4.7, если перебирать распространеные слова, помноженные на их количество. Такой подсчет энтропии не учитывает зависимость между символами. В любом мнемоническом пароле она существенно снижается.-
30.08.17 в 13:020
Как оценить это? В целом согласен. Но тут нужно ещё оценить атакующего. Он не сможет применить знания о возможной взаимосвязи между символами. Он даже длины ключа не знает. Какова может быть тактика?
-
-
30.08.17 в 13:300
Забыли бесплатный VipNet Password Generator. Вполне себе независимый продукт от всей остальной инфраструктуры.
скриншот
-
30.08.17 в 13:41
+1
Спасибо большое за статью! Однако же, боюсь, все это не поможет вспомнить пароль, который был установлен, скажем, год назад. Еще лет 9 назад я написал для себя генератор паролей, где на входе надо подать какую-нибудь набившую оскомину фразу, а на выходе можно получить хэш из первых/последних/средних n символов каждого слова. Мне казалось это достаточно надежным для запоминания, но однажды, доверив такой пароль браузеру, я, спустя два или три года, как ни старался, фразу вспомнить не смог. Все-таки фраз много, и через года три все это будет в голове перемешано, забыто, дополнено чем-то фантомным и пр.Даже не могу вспомнить, когда я впервые столкнулся с необходимостью научить людей, далеких от IT, составлять сложные в подборе, но легко запоминающиеся пароли. Я пытался по-разному, удалось не все и не со всеми, но кое-что реально получилось. По началу держал этот способ исключительно для родителей, девушек, друзей/знакомых/клиентов/и т.д., но теперь вовсю грешу им и сам. Так, на службу уникальности и стойкости пароля был поставлен великий могучий, а именно всеобщая любоффь каверкадь слова (особая заслуга в этом принадлежит уже сильно сдавшему свои позиции «падонкаффскому языку»). Удивительно, но мои родители (и не только они) до сих пор помнят все свои пароли, а подобрать их, не зная логики построения и гарантированно присутствующих элементов, за разумное время не выйдет. Кроме того, такие пароли легко вводить, в т.ч. человеку без особых навыков быстрой печати, а быстрый ввод всегда сильно снижает вероятность того, что кто-то этот пароль успеет подсмотреть.
Как это происходит:
1) Берем слово. Скажем, был у Вас в детстве песик, звали его Тузик, Вы его никогда не забудете (это только пример! В боевых условиях возьмите что-нибудь из своего профессионального словаря или оболтанное в узком кругу друзей слово, лишь бы оно твердо сидело в голове и с ним была прочная эмоциональная связь — ассоциации, события, не важно). Ну пёс это коротко, пусть будет Собака. Просто, словарно, малобукв — плохо. Вспомним язык падонкафф и наша Собака теперь Сцобако. Добавим букву — Сцобакен. Ну Тузик пусть для скорости сразу станет Тузегом. Это будет основа.
2) Придумываем опциональный (ые) элемент (ы). Они помогут разнообразить пароль при условно неизменной базе. Если Вы забыли пароль, добавьте-уберите эти элементы, и подберете тот, что надо. Пусть это будет слово Ваще.
3) Берем ресурсозависимый элемент. Скажем, часть имени сайта. Любую. Хоть весь (но не рекомендуется). Давайте условно для себя решим, что это всегда будут последние три символа доменного имени (от второго уровня) habrahabr это будет abr, ну то есть абр. Куда их ставить — дело Ваше.
4) Цифры-спецсимволы — возьмем опять же известный мем про 146%. Хватит.
5) Это последний пункт. Мы безобразно переводим все русские символы в английские простым переключением раскладки. И наш ТузегабрВащеСцобакен146% превратится в страшные Neptuf, hDfotCwj, frty146%, ну или NeptuDfotCwj, frty146%. Вот так вот, без стороннего софта для генерации или хранения пароля.Забыв сам пароль, но помня базу, Вы наверняка сможете его подобрать. Вы ведь как-то придумывали остальные элементы? :)
Да, компрометация «базовой» части пароля может быть опасна, особенно в условиях использования этой базы для создания немного разных паролей для разных ресурсов. Здесь дополнительной защитой пароля будет Ваше воображение. Опциональные элементы могут быть разной длины и в разных местах. Для большинства случаев такой защиты может быть достаточно (если только не копают конкретно под Вас).
P.S.
Для реально серьезных ресурсов (aka платежные системы, к которым привязаны банковские карты) я все-таки использую старые добрые хардкорные пароли в 26+ символов.-
30.08.17 в 13:48
0
Мы безобразно переводим все русские символы в английские простым переключением раскладки.
А потом попадаем в ситуацию, когда виртуальная клавиатура показывает только русские или только латинские буквы, или прилетаем в страну, где русских букв на клавиатурах вообще нет.-
30.08.17 в 13:580
Согласен, с этим бороться сложно. Хотя и можно, банально нагуглив картинку/фото русской клавиатуры. Но это будет сложно, да.-
30.08.17 в 14:020
Потому, пароли надо придумывать в самой распространенной раскладке. Я не теоретизирую — ибо сам попал с такую ситуацию с делал выводы.
-
-
-
-
30.08.17 в 13:46
0
Совсем недавно тут была статья о том, что короткие, но очень сложные пароли совершенно не стойкие и брутфорсятся без особых проблем, а максимально надежные — длинные, но легко заучиваемые фразы. Длина — рулит.-
30.08.17 в 13:540
Нашел: NIST наконец-то меняет рекомендации по паролям: теперь рекомендуются длинные парольные фразы
-
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
