Какими должны быть пароли и как их запоминать
20.10.2020 97526 Комментарии (324)
Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.
Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.
© 1998–2025 Alex Exler
20.10.2020
Что ещё почитать
Обзор субфлагмана Samsung Galaxy S24 FE
17.06.2025
55
Громовержцы*
07.07.2025
80
Пароли в браузере против менеджера паролей
www.kaspersky.ru
VjqLzlzCfvs[Xtcnys[Ghfdbk
На телефонах, правда, неудобно вводить
Нужно разделять сайты, на которых чувствительная информация, типа банков, каких-нибудь социальных сетей, форумах вам дорогих, и остальные.
На остальных я использую один очень простой пароль, нефиг париться.
Мало того что всякая Web-сволота требует регистрации для одноразовых действий.
Так эти удоды еще и почту проверяют, слава богу есть сервисы одноразовой почты.
Вообще как меня задрали требования к паролям, типа не менее 8 символов и должна быть заглавная буква, цифра и спецсимвол. Я сам знаю какой сложности должен быть пароль.
касперыч на мой регулярный пароль дал 98 лет на расшифровку
ощущение, что они тупо перекладывают на юзеров все риски, ибо иначе как записано на бумажке, лежит под клавиатурой, оно уже нереально (на рабочие компы же нельзя ставить "менеджеры паролей")...
Купил новый планшет, сижу, изучаю. Новая для меня функция - разблокировка по лицу. Пробую, вначале предлагают ввести мин-код или пароль. Ввожу пароль. Длинный, с цифрами. Пробую разблокировать - получилось, второй тоже, на третий раз не распознал... Три раза не распознал, сбросил разблокировка по лицу и предлагает ввести пароль. Ввожу - неправильный. Второй раз - та же фигня. После третьего раза предлагает зайти через минуту. Потом через 10 минут и тд... Я уже к тому времени понял свою грубейшую ошибку, но планшет пришлось откатывать к заводским настройкам (благо я ещё толком ничего на него не поставил).
А вся проблема была в том, что я ввёл пароль Русскими буквами а Русской раскладке... Самое неприятное, что планшет принял его без проблем, а вот во время разблокировки на клавиатуре уже не было русской раскладки! Только латиница. Такая вот история вчера со мною приключилась...
недавно на хабре попалась ссылка на вот такую штуку: аналоговый генератор паролей для ленивых за 5 евро
карту тебе генерируют случайным образом, первая часть (кракозябра) и вторая часть (твой пароль по их решетке) получится общая для всех паролей, уникальность обеспечивается названием сайта или сервиса. в конце его набирать, в средине или в начале - вопрос фантазии пользователя. набирать такое конечно не айс, копи-паста нету, но можно сгенерить один пароль для менеджера паролей. в плюсах - можно отксерить и хранить в трех разных местах, и к интернету не подключена, значит хацкерам только через паяльник доступна
- А давай ты меня трахнешь, а я за это три любых твоих желания исполню.
Ну она, конечно, старая и страшная, но желания-то хочется. Короче, зажмурился геолог, ну и трахнул.
- Так, говорит. Первое желание - 10 миллинов долларов в счёте на ...
- Погоди, милок, а годков-то тебе сколько?
- Ну 30
- Надо же, такой большой, а в сказки веришь.
posmotre.li
На самом деле менеджеры паролей можно испльзовать только в двух случаях:
1. Они ОБЯЗАНЫ быть с открытым исходным кодом. И даже в этом случае, их надо компилировать самому!
2. Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА. Любой вызов сетевой функции (socket, connect и т.д.) - немедленно на помойку. Любая попытка обфустрации кода - немедленно на помойку. Любой подозрение - немедленно на помойку.
Может быть, если есть end-to-end encryption и ключи генерите вы сами, то можно и пользоваться чем-то сетевым. Но это требует обязательного открытия сетевого кода и очень внимательной инспекции сорцов. Короче, я бы не рисковал.
все равно же надо хранить список логинов и паролей и у себя на флешке и на "облаке" (облако тоже может исчезнуть или быть недоступным за условным китайским файерволом)
Ключевое слово - вы сами. А не авторы менеджера паролей, которые начнут что-то мутить "для вашего удобства и безопасности"...
- Спасибо, теперь находится.
C:\Wapg>wapg -n 12 -m 12
Dammofpomnaw
Vid6Shocweyg
UsDowaucheuf
sconDeyrepyo
Default algorithm is pronounceable password generation algorithm designed by Morrie Gasser and described in A Random Word Generator For Pronounceable Passwords National Technical Information Service (NTIS) AD-A-017676.
При поиске информации по ремонту разного оборудования очень весело бывает зарегистрироваться на паре-тройке форумов, чтоб узнать что спрятанная ими информация совершенно бесполезна в конкретном случае.
не нравится мне, если мои пароли хранятся где-то в облаке.
• Password Store - продвинутый клиент pass для Андроида.
• KeePassDroid - форк KeePass для Андроида, раньше им пользовался.
Только если включить параною, то насколько это нормально, что пароль в открытом виде лежит в буфере обмена и любая программа на компе может его прочитать и отослать?
По крайней мере TicToc именно в этом многие обвиняют...
Во первый, это единственный менеджер паролей с открытым исходным кодом, во вторых он так же может генерировать ОТП пароли (для вторичного фактора). Отлично интегрируется и в большинство браузеров и операционных систем на телефонах
1. одна или несколько копий программы в зависимости от введённого пароля.
2. Разблокировка по опечатку только в течение 1-2 мин после разблокировки по паролю
Один в качестве паролей использует химические формулы. Что-то типо такого HO2C-CH(NH2)CH2OH.
Другой табулатуры.
Третий вообще умудряется запоминать каталожные партномера различных запчастей.
Для человека, который не разбирается жуткая тарабарщина.
У меня на универском сайте надо придумывать новье каждый месяц. Я придумал один типа сложный один раз, а потом каждый месяц прибавляю по единице. Сейчас на 22. Прокатывает, так как захешировано, они не распознают, что особо не отличается. Только если идентичны. И можно примерно прикинуть, какой пароль был 10 мес назад
У нас Оффис365, будь он неладен. Так что по идее это майкрософт-хуесофт.
Вряд ли кто-то будет в здравом уме ломать пароль из 5 словарных слов.
Как будем проверять?
"все уже украдено до нас"
"Все уже украдено до нас"
"Всё уже украдено до нас"
"всё уже украдено до нас"
А ещё восклицательный знак в конце!
Робоформ если купить будет продление ключа каждый год или разовая покупка?
Типа такого
Эти символы очень вредят когда пароль придется вводить руками глядя куда-то.
serg@mylinux:~$ pwgen
Coofoom3 wogh8Eem eNgix6ii Oobee8na aiz2ieHi eiY4boht Chaeng4u woog5noR
Это так по умолчанию, там можно задать и длину, и алфавит, и все такие. Но я обычно беру 2-3 сгенеренных пароля, объединяю их и натыкиваю разные символы по пути. Типа такого:
wo!gh8$Eem&eiY4b5oht!@
Выглядит устрашающе, но надежно. Конечно, такие пароли не для запоминания, а, вот, в качестве PSK для VPN туннеля - так и не плохо, но там я и 64 символа делаю иногда.
А для запоминания - да, слова из песни плюс символы плюс цифры. Капитализация символов у меня вообще произвольная.
Ну, и lastPass. Вот, мне как раз Roboform совсем не "зашёл". Я его как-то даже на год купил,- но нет. Вернулся в лоно Ластпаса.
А поскольку я знаю сотни песен наизусть (только Высоцкого могу песен 100 напеть сходу, а еще Шандриков, Раменский, а если это в исполнении Северного, который по бухарю слова путал,- а я так и запомнил,- то фиг кто подберет), то проблем никаких. Цифры - индексы транзисторов, например, или ламп, или из СМовской номенклатуры. Подсказка (если нужна), например, "4 Брата Бриг Летовод". Мне все понятно, например. 😄
Про хэширование паролей, если вам любопытно, можно почитать, например, тут.
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Допустим пароль у меня в почте vadimpetrov1993. В принципе - не сложный и методом перебора через, условно говоря, 4 часа и перебора 2300 вариантов он подбирается.
Но ведь , чтобы дойти до того момента, когда сработает нужный вариант (после взлома), нужно ведь предыдущие 2299 вариантов попытаться использовать, чтоб понять, какой пароль подходит. А как это допускает, почтовый (как в примере) ресурс? Почему он не блокирует попытки введения пароля через ошибочные 100 (условно) попыток ввести пароль?
Или это всё работает не так?
У меня банк после трех попыток блок ставит (на сколько по времени не знаю, не доходил до этого).
И уж тем более у Касперского.
Дуремар52
Lehtvfh52
получится
Клавиатура для паролей
И кстати, при тесте на взлом вводил сопоставимые символы, но не сами пароли, все-таки не верится мне в них...
когда даю кому то говорю
пароль следующий
один два три четыре пять шесть
человек вводит 123456
-не подходит!
я повторяю
опять не подходит
я тогда один-два три-четыре пять-шесть
надо вводить так
244466666
- как вы меня з@ебали. Слитно. На английской раскладке. С маленькой буквы." (с)
Diflon746
взломали сцуки...
online.ee
Вкратце - воруются (или продаются) базы данных у мелких и дырявых сайтов. А уж если вы везде ставили один и тот же пароль - и на форумах, и на почте, и в контакте - ССЗБ.
По поводу запоминания паролей... Например, у меня полтора десятка логинов только в финансовых и других важных организациях. Как можно запомнить столько стойких паролей, особенно, если некоторыми из них пользуешься раз в месяц или реже? Да никакая эвристика не поможет. Поэтому я даже не пытаюсь: генерю пароли программно и храню их в менеджере паролей.
Чтобы база паролей не потерялась, делаю бэкапы в облако, на домашний сервер. Копии есть на компьютере, в телефоне. Без секретного файла и пароля взломать её всё равно невозможно, поэтому можно хоть на флешку записать и в сумочке носить. А вот секретный файл храню только на доверенных устройствах - телефоне, персональном компьютере, бэкапе на зашифрованном диске. В итоге, мне надо помнить только пароль от базы паролей и постараться не продолбать секретный файл.
Ушёл с LastPass на него.
Замечание: не использовать в паролях похоже выглядящие символы: l и 1, o и 0, и т.д.
В хороших генераторах паролей есть такая опция.
А с пользователями я устал бороться. Все равно все пишут на бумажках, левой ногой, не делая разницы между похожими символами, прописными и строчными буквами, а потом либо бумажки теряются, либо ты играешь в игру "угадай пароль".
Ну и нормальный сервис, конечно, должен ограничивать число попыток перебора и удлинять паузы между ними. Разумеется там, где есть важные данные, а не в очередном инетмагазине, в котором мне глубоко пофиг уведут эккаунт или нет. И не выедать пользователю мозг, мол, добавьте в пароль разный регистр, еще пару спецсимволов и не пишите этот пароль, который использовали 6 лет, 5 месяцев и 3 дня назад. А потом додумываясь эти пароли на сайте в открытом виде хранить, а не в хэшах.
Поддерживает кучу шаблонов генерации паролей, что бывает полезно, т.к. некоторые сайты почему-то ставят максимальную длину в 15-20 символов, а спецсимволы либо не принимают, либо считают за два.
Полностью бесплатна, уже около 300 записей с паролями, пока никаких намеков на ограничения.
Удивился, когда узнал, что в довольно крупной нефтедобывающей компании для администрирования всех паролей используют KeePass.
Как я генерю случайные пароли: openssl rand -base64 12
Я на этой проверке сгенерировал пароль из chrome - время на вскрытие 3261 век. По моему неплохо.
И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Меня наоборот бесят требования сделать одну заглавную букву, спецсимвол и цифру. Мой пароль из 30 символов и так никто не подберет, что изменится от заглавной буквы?
это помимо смс-пароля, разумеется.
Там есть ссылка на доклад, где они рассказывают техническую реализацию
Леонид Каганов, Удивительная история с паролями
для тех банковских карт пользую давно уже один и тот же пин, запомнить даже пять штук и время от времени с заменой карт их обновлять в памяти - по-моему, бессмысленное и беспощадное занятие. а записывать и держать в близком доступе такое куда вреднее.
В онлайн сервисе подбор может осуществляться по всем клиентам сразу, если утекла база. А если вводить ограничения, то очень легко сервис дидосить, просто загоняя всех пользователей в ограничение.
Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов! А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
по факту не слышал я про такие способы вымогательств - только у школоло (не по возрасту, а по мозгу) со всякими навороченными эккаунтами в играх.
по факту я без кредитки спокойно проживу может и не неограниченно долго, но полгода выдержу с наликом спокойно. а ведь вымогатель должен отслеживать все мои потенциальные карты, разных систем, разных банков. в разных странах, если уж на то пошло. с такими возможностями он у меня хочет тыщонку-другую вытянуть и ради этого старается?! фантастика на каком этаже?
но забывать про то, какую задачу решает система безопасности тоже не надо. в который раз повторюсь, что потеря абсолютного большинства эккаунтов во всяких там системах не стоит даже шевеления пальцем, чтобы вернуть доступ. во всех важных для меня областях она двухфакторная. и даже при этом, как правило, причиненный ущерб (типа внезапного списания денег с кредитки на деревню дедушке) достаточно легко восстановим в офлайне. при таком положении дел я не понимаю на кой сношать себе мозг неудобоваримыми паролями.
по сути, если кто-то блокирует тебе кредитки, где и какие бы ты не открыл, тут впору задуматься о жизни, смене фио как минимум, а не такое мелкое неудобство как полгода без кредитки пожить. заплатить и спать спокойно (хи-хи) тут может только в последнюю очередь в голову прийти.
Правда эта статья - скорее пожелание разработчикам, но тем не менее ознакомиться с ней стоит. Основные тезисы:
1. Пароль, состоящий из нескольких слов, тематически не связанных между собой дают вполне достаточную энтропию, чтобы быть устойчивым ко взлому, при этом прост для запоминания.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
3. В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу. Некоторые сервисы ставят ограничение на использование не-латинских символов, но сейчас такие встречаются все реже.
При этом КАЖДОЕ такое слово придётся внести в словарь.
А энтропия - не безразмерна.
Ну и плюс если в "хлеб" сделать всего лишь четыре ошибки - получится "пиво". Или "вино". Или "квас".
Потому что все эти ухищрения будут бесполезны.
не бежит, а сгорбленно идет, катЯ баллон с жидким гелием на колесиках 😄
Самый офигенный изо всех, что я перебирал - это bitwarden. Опенсорсный, можно при желании развернуть на своём сервере, ставится расширением в браузеры, ставится приложением в смартфон и работает агентом автозаполнения. Бесплатные функции - омфг насколько полноценны.
Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому. Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
Вот, нашёл: gizmodo.com
В общем, рекомендации в твоей статье неактуальны. Лучше Вере Фроловой делать пароль типа:
moykotikigraetvfutbolsgranatoy - безо всяких прописных, спецсимволов и прочего труднозапоминаемого шлака, который для взлома препятствием не является.
Проверка касперского говорит, что этот пароль (который запомнить изумительно просто) обычный домашний комп будет ломать "10000+ centuries"
-- Сорок тысяч обезьян в жопу сунули банан."
(c) Лукьяненко "Фальшивые зеркала" 1999 г.
А какая прелесть после такого "сменить пароль", мммм
В конце концов, подпереть дверь в банковское хранилище стулом - тоже усиление безопасности. Но если в банке дверь в хранилище подперта стулом - это явное свидетельство, что с безопасностью в банке что-то не так.
И ведь все по инструкции же. 😉
рассказывают о том, как сделать пароль одновременно и хорошо запоминаемым и очень криптостойким.
Есть и другие способы, но уже не столь массовые и требующие наличия приличных уязвимостей, который, как правило, овердофига.
В статье есть отдельная глава «менеджер паролей». И не упомянуть в ней менеджер паролей, встроенный по умолчанию у 2/3 пользователей (и умеющий их генерировать в полном соответствии со всеми перечисляемыми требованиями), — это несколько странно. 😄
- Не взламываемый
- Это как так?
- По-буквам: нэ е пробел вэ зэ лэ.....
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
Ибо да, тоже заколебали. 😄
"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
берем какое нибудь количество символов из домена сайта первый и последний символ в верхнем регистре, например: ExlE
набираем простых символов, например: 1234qwer
в конце ставим любой символ, например: !
итого:
S$@ExlE1234qwer!, S$@RedD1234qwer!, S$@PikA1234qwer!. на подбор 19 лет
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
К примеру, можете попробовать подобрать мой пароль от mail.ru
— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…
Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:
— Карре аb! {255}
Швейк продолжал вполне серьёзно:
— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» {256} Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.
Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.
Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:
— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.
Фельдфебель опять закрыл глаза." (с)
Как же облегчилась жизнь с навигаторами, эх 😄
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзедун"
3. На 74357181-й попытке- сервер согласился, что у него пароль "Мао Цзедун"
anekdotov.net
"Устойчивость" таких паролей существенно ниже того, что пишут оценщики.
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций? Вот, навскидку:
docs.microsoft.com
www.ncsc.gov.uk
Найти можно всё, конечно слишком сильно параноить вредно, но эта вот самоуверенность с "попробуй найди" - тоже неправильно. Захотят - найдут. Остальное напишу отдельным комментарием, чтобы проще было удалить, не удаляя этот.
То, что у вашего тестя звучное советское имя интересного происхождения на букву "В", ваша двоюродная сестра преподавала там же и то же, что раньше по вашим словам ваша мама, а у сиблинга вашей жены (не будем уточнять, брата или сестры) дофига научных публикаций - находится просто в гугле.
Без заранее скачанных баз, каких-либо знаний заранее о вашей семье, без социальной инженерии, да мне даже не пришлось включать впн в браузере. Только запросы в гугл и по найденным сайтам может еще пара переходов.
Если включить впн и пойти на какой-нибудь nomer-org.website, то это ещё быстрее. Есть базы разные предварительно скачанные есть под рукой, а у злоумышленников они наверняка есть, то вообще раз плюнуть. А если привлекать социнженерию через ваших родственников, то тут всё совсем плохо.
"мы их и в сортире замочим"
Торгану прохладной былиной. Когда-то в обсуждении препаратов для печени зашла речь о карсиле. И кто-то сказал, что можно любой препарат, где действующее вещество - силимарин. Была реплика, что такое не запомнить. И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами.
В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
У меня бы "сильмарион" запомнилось 😄
Я, например, визуальную информацию запоминаю аналитически. Т.е. составляю себе описание. Игра мемори - мой персональный ад.
(для примера, когда Экслер выложил рецензию на "Вратаря галактики", первая моя мысль о "щеночке" была - это же вылитый персонаж из шнуровского клипа "Цой". Можете оценить уровень визуальной памяти)
Ага, конечно.... 😄
"Сбер@sberbank·
7 сент.
Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно." twitter.com
вот только в сентябре шумиха была по поводу того, что в сбер.онлайн паролю пофик на регистр. и сбер отмазался тем, что это для удобства пользователей.
ссылка на твиттер
Ага. Lastpass, например, который месяц хочет, чтоб я поменял мастер-пароль. Еще и старый в качестве замены не принимает.
Наверное легкая паранойка, но я сталкивался с с желанием ментов полазить в моем компе. Сейчас у меня при включении вылазит окошко со вводом пароля на криптодиск, без него комп практически чистейший....
(Это был ответ на сообщение "Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc")
по идее могли бы намекнуть что стоит базу как-то конвертировать. но нет, работает по старому
Еще можно в пароль по известному одному тебе принципу включать имя сайта или сервиса, где он применяется.
Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
Другое дело если нам заказан конкретный вася пупкин. Тут уже много работы, установить все ники, емайлы, сервисы, посмотреть в каких базах он засвечен, попробовать понять логику на примере 2-3-5 паролей от разных сервисов. Это уже дорогая творческая работа. Ну вот скажем стало ясно, используется менеджер паролей. Пишем трояна и вытягиваем его базу + кейлогом мастер пароль.
Если человек способен словить трояна, то зачем красть пароли?????
Ах да, я понял, у вас линукс и прав на исполнение у сохраненного в песочницу файла нет.
Это с какой это версии Windows начала, вдруг, как вы выражаетесь "сигнатуры" использовать? И сразу вопрос номер два: как же мне бедному теперь в блокноте открыть текстовый файл с первыми символами MZ?
TuheeSxhu6ephoTe3lu - вот вариант для exler.ru по подобному алгоритму к один раз нормально выученному генеренному паролю, а если Вы как нормальный извращенец будете не вставлять части названия сайта, а делать сдвиг алвафита, то надо чтобы утечка была глобальной на 6-10 паролей.
P.S. все сервисы для проверки защиты от перебора считают что они знают мощность алфавита - явно ошибочное утверждение