Какими должны быть пароли и как их запоминать

20.10.2020 88878   Комментарии (324)

Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.

Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.

Поэтому давайте в данной статье и поговорим о том, какими должны быть пароли, как их безопасно хранить и как научиться придумывать, а главное - запоминать устойчивые пароли.

Что такое устойчивый пароль

Устойчивость пароля характеризуется временем, которое нужно будет затратить злоумышленнику, чтобы тем или иным способом подобрать его. Пароль, для взлома которого требуется несколько секунд, минут или часов, является неустойчивым. Пароль, для взлома которого потребуется несколько месяцев или лет, является устойчивым.

Как повысить устойчивость пароля

Есть несколько стандартных рекомендаций по повышению устойчивости пароля.

1. В пароле не должны содержаться в неискаженном виде обычные слова, потому что средства взлома паролей прежде всего перебирают слова по словарю. И, кстати, фокус с написанием русских слов в английской раскладке запросто может не сработать: утилиты для взлома такие варианты тоже умеют перебирать.

2. Очень важную роль играет длина пароля. Она должна быть не менее 8 символов, а намного лучше, если их будет 12.

3. Пароли всегда регистрозависимые (оговорюсь, кроме "Сбербанка" с его идиотами-разработчиками), и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре.

4. Рекомендуется в пароле также использовать спецсимволы, это тоже очень сильно повышает его устойчивость.

5. Ну и добавление к паролю нескольких цифр также сильно влияет на повышение устойчивости.

Что нам может в этом помочь

В принципе нет никакой необходимости придумывать и запоминать устойчивые пароли, потому что есть специальные программы, называемые менеджерами паролей, и они это могут делать за вас. Конечно же, не следует пользоваться менеджером паролей, взятым неизвестно где и написанным неизвестно кем, но существуют десятки известных, проверенных и безопасных менеджеров паролей, которые используют миллионы людей.

Суть менеджера паролей очень проста. Вам нужно придумать и запомнить только один устойчивый пароль - для этого менеджера. А дальше менеджер будет сам генерировать и запоминать надежный пароль для каждого из сервисов, где вы регистрируетесь, ведь одно из важных требований безопасности - не использовать одинаковые пароли для разных сервисов.

Рассказ о менеджерах паролей и о том, что они вообще умеют делать, - тема отдельных статей, так что в данном случае я приведу только три наиболее характерных примера таких программ.

LastPass - очень известный менеджер паролей, который стал очень популярным прежде всего из-за того, что его бесплатная версия не содержит никаких ограничений на количество сохраненных паролей.

RoboForm - продвинутый менеджер паролей со многими возможностями, включая безопасное хранение конфиденциальной информации для заполнения форм (например, данных банковских карт, адресов и так далее). Сейчас в его бесплатной версии тоже нет ограничений на количество запомненных логинов (раньше такие ограничения были).

Dashlane - по мнению многих экспертов, это сейчас один из лучших менеджеров паролей, но его бесплатная версия ограничена только 50 логинами и одним устройством.

Как придумать устойчивый пароль и запомнить его

Конечно, наиболее устойчивым будет пароль, составленный из случайного набора букв в различном регистре, цифр и спецсимволов, - например, вот такой: UB^hRh%GDrSTUso8. Генераторы паролей, обязательно входящие в состав любого менеджера паролей, всегда предоставляют возможность пользователю регулировать параметры создаваемого пароля.

Однако что делать, если вы не используете менеджер паролей? Как придумать, а главное - как запомнить устойчивый пароль? Потому что совершенно бессмысленный пароль, типа как указанный выше, запомнить невозможно.

Тем не менее способ есть. Достаточно несложных ухищрений, чтобы фраза, которая вам о многом говорит и которую вы совершенно точно не забудете, стала хорошим надежным паролем.

Мы говорили о том, что крайне нежелательно использовать обычные слова. Однако если буквы обычных слов вы напишете в разном регистре и будете перемежать эти буквы спецсимволами по определенному алгоритму, то пароль сразу станет вполне устойчивым.

Как зовут вашу первую учительницу в школе, имя которой вы никогда не забудете? Вера Ивановна Фролова?

Напишите ее имя и фамилию латинскими буквами в одно слово - verafrolova. Давайте проверим этот пароль в специальном сервисе от "Касперского" (это в любом случае безопасно, потому что мы проверяем сам принцип, а не конкретный пароль, который будем использовать).

Теперь сделаем очень простую вещь - имя и фамилию напишем с заглавных букв и проверим.

Уже веселее, но до устойчивости еще далеко. Давайте теперь просто заменим все буквы "о" символом "@". (Тут важно использовать спецсимвол, а не, например, цифру ноль, потому что с нулями пароль останется неустойчивым, а с этим спецсимволом - уже другое дело.)

Давайте еще усложним. Снова берем VeraFrolova и после каждой буквы ставим спецсимвол с клавиш с цифрами, двигаясь, например, от цифры 1 (можно и наоборот - вниз от "0", тут главное - чтобы вы для себя придумали и запомнили алгоритм). Не нужно брать все словосочетание, достаточно поставить спецсимволы только в имени (после каждой из первых четырех букв, например):

Уже хорошо. Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной, в состоянии? После каждой из первых четырех букв поставить спецсимволы, которые стоят над цифрами от 1 до 4 (или любых других, которые нужно будет запомнить раз и навсегда), в состоянии? Конечно.

Ну и чтобы увеличить надежность до совершенно фантастических величин, возьмите за правило добавлять еще несколько цифр. Немного, не надо писать длинный телефонный номер. Три цифры, но только те, которые вы отлично помните. Например, первые или последние три цифры вашего почтового индекса.

Как видите, ничего сложного. Вам просто нужно будет придумать и запомнить ваш собственный алгоритм. Например, после каждой из пяти первых букв символами над цифрами от 4 до 8. И в конце дописываем несколько цифр (например, ваш код от чемодана - там обычно 3-4 цифры).

Более того, напоминалку о таком коде можно записать в открытом виде - например, "УчиЛка 4-8 чемодан", и враг ни за что не догадается.

Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто.

Только для сложных для транслитерации имен-фамилий обязательно нужно использовать четкие правила, чтобы потом не гадать, как вы написали "щ", "ю" или "ц". Лучше всего делать транслитерацию прямо в этом сервисе, тогда уж точно никаких ошибок не будет.

Также есть масса других способов конструировать запоминающиеся пароли, один из них - составление пароля из первых букв начала какого-нибудь хорошо известного вам стихотворения.

Например, "Союз нерушимый республик свободных сплотила навеки великая Русь" - берем первые буквы: "снрсснвр", конвертируем в "snrssnvr", делаем первую и последнюю буквы заглавными, вбиваем четыре спецсимвола, добавляем код чемодана:

Пишем подсказку: "ГимН 1-4 чемодан".

И, кстати, текст какой-нибудь известной песни может стать вам своеобразным генератором паролей. Для одного пароля используете первые буквы первой строчки, для второго - второй строчки и так далее.

Вот и все! Видите, как просто создать очень устойчивый пароль, причем так, чтобы вы его и не забыли, и могли безопасно записать подсказку. Вам просто для себя один раз нужно придумать алгоритм по указанной выше методике и далее ему следовать.

Всякие полезности

1. Если вы используете менеджер паролей, то для него в качестве мастер-пароля должен быть придуман уникальный устойчивый пароль, который вы больше нигде не используете. При этом если менеджер пароля умеет разблокироваться по отпечатку пальца (Roboform такое умеет), то возьмите за правило хотя бы раз в день разблокировать менеджер паролем, а не отпечатком (чтобы вы себе об этом пароле постоянно напоминали).

2. Ваш почтовый ящик, на который завязаны подтверждения различных важных сервисов, должен иметь устойчивый и также уникальный пароль, который вы больше нигде не используете. Кроме того, крайне желательно, чтобы этот почтовый ящик не являлся вашим обычным ящиком для переписки и чтобы он нигде не светился, а использовался только для подтверждений.

3. Никогда не записывайте пароли в явном виде, но используйте подсказки, которые многое могут сказать вам, но ничего не могут сказать другим людям.

© 1998–2024 Alex Exler
20.10.2020

Комментарии 324

А безопасно ли сохранять пароль в браузере? Например, в гуглхром?
24.04.21 17:15
0 0

нет

Пароли в браузере против менеджера паролей
www.kaspersky.ru
13.09.23 04:22
0 0

Сохранить пароль даже в шифрованном сервисе по "учету" паролей уже не безопасно )
27.08.21 15:52
0 0

А какую сложность добавляет спецсимвол? Если мы просто добавим одну букву? Ведь вариантов букв больше, чем вариантов спецсимволов? (есть конечно суперспецсимволы, но речь про те, что на клаве)
16.03.21 17:49
0 0

устойчивыйпароль --> Ваш пароль не встречается в базах утекших паролей. Для подбора вашего пароля потребуется...10000+ веков
03.02.21 20:32
0 0

Хе-хе, включаете англицкую раскладку и набираете что-нить из Пушкина, к примеру
VjqLzlzCfvs[Xtcnys[Ghfdbk
На телефонах, правда, неудобно вводить
25.10.20 22:39
0 0

RoboForm хорош, пользуюсь уже даже и не помню сколько лет. Все ок.
22.10.20 15:03
0 0

Менеджеры паролей в топку, в случае всего утягиваются вообще все пароли.

Нужно разделять сайты, на которых чувствительная информация, типа банков, каких-нибудь социальных сетей, форумах вам дорогих, и остальные.
На остальных я использую один очень простой пароль, нефиг париться.

Мало того что всякая Web-сволота требует регистрации для одноразовых действий.
Так эти удоды еще и почту проверяют, слава богу есть сервисы одноразовой почты.

Вообще как меня задрали требования к паролям, типа не менее 8 символов и должна быть заглавная буква, цифра и спецсимвол. Я сам знаю какой сложности должен быть пароль.
22.10.20 13:13
0 3

Keepass не упомянут? Хм...
21.10.20 12:38
1 1

Много чего не упомянуто. Статья-то о другом!

я уже много лет пользуюсь паролями или предлагаю сотрудникам: не очень короткое слово и в середине год рождения или телефон.
касперыч на мой регулярный пароль дал 98 лет на расшифровку
21.10.20 10:34
0 1

а вот интересно: "Сорок тысяч обезьян в жопу сунули банан" - считается сильным паролем? ))
21.10.20 08:59
0 1

+ спецсимвол жопы и банана. И тогда окей.
16.03.21 17:51
0 0

а вот интересно: "Сорок тысяч обезьян в жопу сунули банан" - считается сильным паролем? ))
Полная версия присказки "Один американец..." ничуть не хуже.

главнаоя проблма у меня лично не в том, чтобы сделать такой вот пароль, но, что каждые 45 дней корпоративное ИТ требует менять пароли, и 36 месяцев истории неповторяемой должно быть ((
ощущение, что они тупо перекладывают на юзеров все риски, ибо иначе как записано на бумажке, лежит под клавиатурой, оно уже нереально (на рабочие компы же нельзя ставить "менеджеры паролей")...
21.10.20 08:50
0 1

Я, конечно, полный лох, лохом и буду сейчас выглядеть...
Купил новый планшет, сижу, изучаю. Новая для меня функция - разблокировка по лицу. Пробую, вначале предлагают ввести мин-код или пароль. Ввожу пароль. Длинный, с цифрами. Пробую разблокировать - получилось, второй тоже, на третий раз не распознал... Три раза не распознал, сбросил разблокировка по лицу и предлагает ввести пароль. Ввожу - неправильный. Второй раз - та же фигня. После третьего раза предлагает зайти через минуту. Потом через 10 минут и тд... Я уже к тому времени понял свою грубейшую ошибку, но планшет пришлось откатывать к заводским настройкам (благо я ещё толком ничего на него не поставил).
А вся проблема была в том, что я ввёл пароль Русскими буквами а Русской раскладке... Самое неприятное, что планшет принял его без проблем, а вот во время разблокировки на клавиатуре уже не было русской раскладки! Только латиница. Такая вот история вчера со мною приключилась...
21.10.20 08:28
0 1

Не разобрался ещё как отключить...
В настройках клавиатуры или языка.

Это меня автоисправление подкорректировало ? Не разобрался ещё как отключить...

мин-код
Это что-то новенькое!

Сорок тысяч обезьян ..... сунули банан. )
21.10.20 02:06
0 0

я вот последний год стал пользоваться KeePass, открытый код, бесплатный, легкий. есть немного гемора с андроид версией и синхронизацией между девайсами через облака, но все решилось.
недавно на хабре попалась ссылка на вот такую штуку: аналоговый генератор паролей для ленивых за 5 евро
карту тебе генерируют случайным образом, первая часть (кракозябра) и вторая часть (твой пароль по их решетке) получится общая для всех паролей, уникальность обеспечивается названием сайта или сервиса. в конце его набирать, в средине или в начале - вопрос фантазии пользователя. набирать такое конечно не айс, копи-паста нету, но можно сгенерить один пароль для менеджера паролей. в плюсах - можно отксерить и хранить в трех разных местах, и к интернету не подключена, значит хацкерам только через паяльник доступна
ABY
21.10.20 01:48
0 1

Наверное, стоило упомянуть, что в iOS/macOS/Safari встроен родной менеджер паролей от ОС, и пароли там синхронизируются с iCloud - это часть сервиса iCloud Keychain. Сафари сам генерирует сложные пароли. Если нужно хранить только пароли, то ничего стороннего и не нужно ставить.
20.10.20 22:48
0 0

А где про рут?
21.10.20 13:47
0 0

Идёт геолог по тайге, а навстречу баба-Яга. И говорит:
- А давай ты меня трахнешь, а я за это три любых твоих желания исполню.
Ну она, конечно, старая и страшная, но желания-то хочется. Короче, зажмурился геолог, ну и трахнул.
- Так, говорит. Первое желание - 10 миллинов долларов в счёте на ...
- Погоди, милок, а годков-то тебе сколько?
- Ну 30
- Надо же, такой большой, а в сказки веришь.
21.10.20 08:52
0 4

А вот интересно как кодируется отпечаток пальца? Насколько сложный пароль там получается?
20.10.20 22:31
0 0

В зависимости от реализации, от 128 до десятков тысяч бит.
21.10.20 03:06
0 0

Ссылка в тему

posmotre.li
20.10.20 22:28
0 0

параминтетрохлорфинилсульфатнатрия - на чешском 😄
20.10.20 22:20
0 0

Используйте менеджеры паролей! Обязательно. Тогда авторы менеджера смогут украсть сразу все ваши пароли и не размениваться по мелочам!

На самом деле менеджеры паролей можно испльзовать только в двух случаях:
1. Они ОБЯЗАНЫ быть с открытым исходным кодом. И даже в этом случае, их надо компилировать самому!
2. Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА. Любой вызов сетевой функции (socket, connect и т.д.) - немедленно на помойку. Любая попытка обфустрации кода - немедленно на помойку. Любой подозрение - немедленно на помойку.

Может быть, если есть end-to-end encryption и ключи генерите вы сами, то можно и пользоваться чем-то сетевым. Но это требует обязательного открытия сетевого кода и очень внимательной инспекции сорцов. Короче, я бы не рисковал.
20.10.20 20:48
2 2

Могли бы вы дать ссылку на дистрибутив KeePassX для Андроида? Нигде не нашёл официального сайта.
bvo
13.02.21 19:26
0 0

Он может экспортировать пароли в файл. А потом ВЫ САМИ решите, что с этим файлом сделать, либо на флешку и в сейф, либо в облако, но тогда не жалуйтесь...

Ключевое слово - вы сами. А не авторы менеджера паролей, которые начнут что-то мутить "для вашего удобства и безопасности"...
21.10.20 09:19
1 1

Никогда и ни при каких обстоятельствах они не должны выходить в сеть. НИКОГДА
а как сохранить свои пароли, если сдохнет (потеряется, украдут) устройство, на котором манагер паролей? )
все равно же надо хранить список логинов и паролей и у себя на флешке и на "облаке" (облако тоже может исчезнуть или быть недоступным за условным китайским файерволом)
21.10.20 08:52
0 0

Я использую OI Safe от OpenIntents
21.10.20 08:47
0 0

Да, да, а главное проверяйте устойчивость своих паролей в различных в специальных интернет сервисах от Касперского и прочих замечательных людей, они ведь создали и содержат эти сервисы абсолютно БЕЗД-ВОЗД-МЕЗД-НО (то есть даром), т.к. у них в заднем проходе аж припекает от заботы о людях и желании помочь, а вовсе не потому чтобы собирать статистику и формировать словарные базы для брутфорсинга в своих темных делишках, как утверждают злые языки...
21.10.20 04:32
1 3

Или Keepassx.
21.10.20 03:14
0 0

Одно слово - KeePass
20.10.20 21:27
0 5

Я перешёл с SafeInCloud на LastPass уже не помню почему. Что-то мешало.
20.10.20 19:20
0 1

- Введите ваш номер номер кредитной карточки и CCV код, чтобы удебится, что ваша карта не находится в базе данных украденных карт.
- Спасибо, теперь находится.
20.10.20 19:05
1 9

Спасибо. Похоже. что коммент, на который уже ответили редактировать нельзя. Что IMHO и правильно.

удебится
"убедиться"

- Введите ваш номер номер кредитной карточки и CCV код, чтобы удебится, что ваша карта не находится в базе данных украденных карт.- Спасибо, теперь находится.
Ой, сначала прокоментировал ваш ответ выше, а потом заметил этот.... ну ничего, не повредит.
21.10.20 04:40
0 0

Я для генерации паролей использую программку wapg, она для военных вроде бы писалась, выдает условно "читаемые" пароли, которые можно по рации передать.

C:\Wapg>wapg -n 12 -m 12
Dammofpomnaw
Vid6Shocweyg
UsDowaucheuf
sconDeyrepyo
20.10.20 18:49
0 0

Причем казахской. Автор - казах.
22.10.20 14:05
0 0

В описании так написано:
Default algorithm is pronounceable password generation algorithm designed by Morrie Gasser and described in A Random Word Generator For Pronounceable Passwords National Technical Information Service (NTIS) AD-A-017676.

Бредятина

И сразу передаёт их на сайт армии?
20.10.20 20:25
0 0

На этом фоне хочется послать отдельный луч поноса создателям форумов, которые требуют регистрации для просмотра тем.
При поиске информации по ремонту разного оборудования очень весело бывает зарегистрироваться на паре-тройке форумов, чтоб узнать что спрятанная ими информация совершенно бесполезна в конкретном случае.
20.10.20 18:38
0 8

а я, как начал когда-то keepass пользовать, так и продолжаю. только теперь не Win keepass, а keepasX, которые есть для всех платформ.
не нравится мне, если мои пароли хранятся где-то в облаке.
20.10.20 18:26
0 2

И то, и то есть в маркете:
Password Store - продвинутый клиент pass для Андроида.
KeePassDroid - форк KeePass для Андроида, раньше им пользовался.
13.02.21 19:28
0 1

Могли бы вы дать ссылку на дистрибутив pass для Андроида и KeePassX и для Андроида? Нигде не нашёл официального сайта.
bvo
13.02.21 19:19
0 0

Тоже раньше пользовался KeePassX, но после того, как в Windows появился WSL, перешёл на pass. На Линуксе использую его в связке с Synapse, что позволяет нажать Ctrl+пробел, ввести часть имени записи (например, адрес сайта), нажать Enter, ввести мастер-пароль, и нужный пароль сразу будет в буфере обмена. Очень быстро! Записи - простые текстовые файлы, которые шифруются вашим ключом PGP, есть встроенный контроль версий с использованием GIT. В общем, если вы продвинутый пользователь, имеющий дело в основном с *nix-системами, рекомендую.
20.10.20 19:48
0 0

Хорошая статья, спасибо!
Только если включить параною, то насколько это нормально, что пароль в открытом виде лежит в буфере обмена и любая программа на компе может его прочитать и отослать?
По крайней мере TicToc именно в этом многие обвиняют...
20.10.20 18:10
0 3

KeePass который здесь много упоминают, хранит скопированный пасс в буфере 12 секунд по-моему, причем это время настраиваемо.
ABY
21.10.20 02:13
0 0

любая программа на компе может его прочитать и отослать?
Если уж параноить, то и с клавиатуры пароль вводить нельзя, потому что любая программа на компе может оказаться кейлоггером.
20.10.20 22:14
0 2

А вы не копируйте пароль в буфер обмена 😄
20.10.20 21:28
0 0

Очень рекоммендую BitWarden - https://bitwarden.com/
Во первый, это единственный менеджер паролей с открытым исходным кодом, во вторых он так же может генерировать ОТП пароли (для вторичного фактора). Отлично интегрируется и в большинство браузеров и операционных систем на телефонах
20.10.20 16:57
1 4

Разве единственный с открытым кодом? Многие используют KeePass.
20.10.20 23:55
0 0

На мой взгляд, в менеджере паролей должен быть такой функционал
1. одна или несколько копий программы в зависимости от введённого пароля.
2. Разблокировка по опечатку только в течение 1-2 мин после разблокировки по паролю
20.10.20 16:49
0 0

опечатку
"отпечатку"

Есть у меня несколько друзей повернутых на секурности с увлечениями.
Один в качестве паролей использует химические формулы. Что-то типо такого HO2C-CH(NH2)CH2OH.
Другой табулатуры.
Третий вообще умудряется запоминать каталожные партномера различных запчастей.
Для человека, который не разбирается жуткая тарабарщина.
20.10.20 15:40
0 1

вопрос: а как они меняя ,в соответствии с корпоративными ИТ политиками ежемесячно пароли, не забывают, какой именно на данный момент актуален? ) или имеют календарь химсоединений на 36 месяцев? ))
21.10.20 08:55
0 0

А так можно?

У меня на универском сайте надо придумывать новье каждый месяц. Я придумал один типа сложный один раз, а потом каждый месяц прибавляю по единице. Сейчас на 22. Прокатывает, так как захешировано, они не распознают, что особо не отличается. Только если идентичны. И можно примерно прикинуть, какой пароль был 10 мес назад
20.10.20 15:39
0 0

и т.н. радужные таблицы для перебора составляются именно с учётом таких переменных.
ну, я решил, что если исходный пароль сильный, и его надо перебирать 10,000 лет, то два символва в конце, которые переберутся за дополнительные 2 секунды, погоды не сделают....
20.10.20 21:38
0 0

А пень его знает. Но работает железно еще с 2000го домена (NT4 просто не помню, у нас тогда другая политика была). Чем бесит пользователей уже многие годы. 😄
20.10.20 20:22
0 0

Очень многие так делают, если доменная политика требует регулярной замены. Более того, эту историю все знают и т.н. радужные таблицы для перебора составляются именно с учётом таких переменных.
20.10.20 19:02
0 1

У нас политика ограничивает использование шаблона 5 символо
А если онe захешированы, откуда она знает? Я так понял, распознает только идентичные.

У нас Оффис365, будь он неладен. Так что по идее это майкрософт-хуесофт.
20.10.20 18:07
0 1

У меня в домене не прокатит. У нас политика ограничивает использование шаблона 5 символов и больше от 5и последних паролей (при мин. длине пароля 9 символов). Менять пароли можно не чаще 1 раза в сутки (но менять нужно не реже одного раза в 3 месяца).
20.10.20 17:54
0 0

Пароль "все уже украдено до нас", по Касперскому, будет взламываться 10000+ веков. Ерунда.
20.10.20 15:22
1 1

О, ну да - помимо словаря ещё и цитатники проверять. Причём цитатники регистрозависимые, с запятыми, из середины текста... ммм, сказка!

Как будем проверять?
"все уже украдено до нас"
"Все уже украдено до нас"
"Всё уже украдено до нас"
"всё уже украдено до нас"

А ещё восклицательный знак в конце!
21.10.20 00:07
0 0

И чем этот пароль плох?
Тем, что популярные цитаты уже внесены в различные цитатники, которые сами просятся быть примененными для взлома.
20.10.20 23:15
0 0

словарных слов.
надо все слова делать с "нн" или "н", "ться" или "тся", "не слитно" или "не раздельно", и расставить ошибки случайно. и тогда точно никто не взломает.
20.10.20 21:39
0 1

И чем этот пароль плох?
Вряд ли кто-то будет в здравом уме ломать пароль из 5 словарных слов.
20.10.20 21:29
0 1

Всем добра!
Робоформ если купить будет продление ключа каждый год или разовая покупка?
20.10.20 15:13
0 0

проблема не в том, чтобы сделать сложный пароль, а в том, что его все равно надо менять везде. Если в какое-то место не ходишь год, а потом понадобится, через год уже не помнишь, какой пароль там был использован. А если это банк, то с третьей попытки тебя выкинут
20.10.20 15:04
0 5

Менеджер паролей должен быть аппаратным.
Типа такого
20.10.20 14:33
1 4

если он потеряется то паролям хана
Нет. Оно прикидывается клавиатурой... Да и софтинка для бэкапа есть.
22.10.20 06:41
0 0

И если он потеряется или сломается, то паролям хана.
21.10.20 22:17
0 1

При генерации сложных случайных паролей советую в настройках генерации выставлять запрет использования знаков | L (в нижнем регистре) и иногда может быть 0 и О.
Эти символы очень вредят когда пароль придется вводить руками глядя куда-то.
20.10.20 14:24
0 4

Когда использую генереные сложные пароли, то не вижу смысла их делать 8-12 символов. Всё равно как правило копи-пастой вставляется. Поэтому делаю и 20 и больше символов.
20.10.20 14:22
0 6

Я иногда использую pwgen из Linux:

serg@mylinux:~$ pwgen
Coofoom3 wogh8Eem eNgix6ii Oobee8na aiz2ieHi eiY4boht Chaeng4u woog5noR

Это так по умолчанию, там можно задать и длину, и алфавит, и все такие. Но я обычно беру 2-3 сгенеренных пароля, объединяю их и натыкиваю разные символы по пути. Типа такого:

wo!gh8$Eem&eiY4b5oht!@

Выглядит устрашающе, но надежно. Конечно, такие пароли не для запоминания, а, вот, в качестве PSK для VPN туннеля - так и не плохо, но там я и 64 символа делаю иногда.

А для запоминания - да, слова из песни плюс символы плюс цифры. Капитализация символов у меня вообще произвольная.

Ну, и lastPass. Вот, мне как раз Roboform совсем не "зашёл". Я его как-то даже на год купил,- но нет. Вернулся в лоно Ластпаса.
20.10.20 14:19
0 0

Я имел ввиду первые буквы слов, из которых и составляется пароль. Не слова и не фразы, конечно,- неудачно сформулировал.

А поскольку я знаю сотни песен наизусть (только Высоцкого могу песен 100 напеть сходу, а еще Шандриков, Раменский, а если это в исполнении Северного, который по бухарю слова путал,- а я так и запомнил,- то фиг кто подберет), то проблем никаких. Цифры - индексы транзисторов, например, или ламп, или из СМовской номенклатуры. Подсказка (если нужна), например, "4 Брата Бриг Летовод". Мне все понятно, например. 😄
20.10.20 17:59
0 0

слова из песни
Не лучший вариант, словари для перебора бывают не только по словам, но и по фразам.
20.10.20 14:22
0 0

предполагается возможность взлома в "стерильных" условиях - т.е. например при взломе утёкшей базы хэшей
Значит, мало быть простачком, не умеющим усложнять пароли, нужно еще умудриться, чтоб базу какую-то (не понимаю, признаться, в подробностях, о чём вы написали) свистнули. 😄
20.10.20 13:51
2 0

Базу с хэшами паролей, к сожалению, уводят иногда даже у очень высокотехнологичных и респектабельных контор. Соответственно, пароль должен быть стойким ко взлому даже в условиях перебора в оффлайне, когда никто не ограничивает количество попыток.

Про хэширование паролей, если вам любопытно, можно почитать, например, тут.
20.10.20 18:44
0 0

Как тут не вспомнить Николая Николаевича Федотова и его Суждения о безопасности:

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
20.10.20 13:46
0 16

А для меня загадкой остается такой вопрос.
Допустим пароль у меня в почте vadimpetrov1993. В принципе - не сложный и методом перебора через, условно говоря, 4 часа и перебора 2300 вариантов он подбирается.
Но ведь , чтобы дойти до того момента, когда сработает нужный вариант (после взлома), нужно ведь предыдущие 2299 вариантов попытаться использовать, чтоб понять, какой пароль подходит. А как это допускает, почтовый (как в примере) ресурс? Почему он не блокирует попытки введения пароля через ошибочные 100 (условно) попыток ввести пароль?
Или это всё работает не так?
20.10.20 13:07
0 4

Почему все сайты не могут после, допустим, 5 неудачных попыток закрывать возможность нового подбора хотя бы на час.
Потому что никто не брутфорсит пароли прямо на сайтах. Даже мизерный триллион вариантов не проверить - это будет DDoS-атака. Как написали выше, воруют с сервера базу хэшей, и дальше подбирают пароль по ней.
20.10.20 13:47
0 7

Вот и мне непонятно. Почему все сайты не могут после, допустим, 5 неудачных попыток закрывать возможность нового подбора хотя бы на час. Тогда любой подбор растягиваться на годы будет.
У меня банк после трех попыток блок ставит (на сколько по времени не знаю, не доходил до этого).
20.10.20 13:29
0 0

Там довольно условно меряется время взлома, но явно предполагается возможность взлома в "стерильных" условиях - т.е. например при взломе утёкшей базы хэшей. В онлайне-то понятно, что время взлома падает на порядки из-за ограничения количества попыток логина.
20.10.20 13:28
0 4

Добавлю: ни в коем случае не проделывайте описанную процедуру проверки стойкости вашего РЕАЛЬНОГО пароля.
И уж тем более у Касперского.
20.10.20 12:37
1 16

Отличная статья, благодарю!
20.10.20 12:29
0 1

можно набирать русское слово про латинской раскладке
Дуремар52
Lehtvfh52
получится
20.10.20 12:27
8 0

Я для этих целей на телефоне специальную клавиатуру использую.
Клавиатура для паролей
20.10.20 15:51
0 1

В вашем пароле есть все классические паттерны, которые уже включены в утилиты перебора: первая заглавная буква, русское слово латиницей, цифры и спецсимволы в конце.
20.10.20 12:43
0 7

когда пароль на клавиатуре ПК набираешь - потом автоматом уже на телефоне получается.
20.10.20 12:37
3 1

"Увожаемый клеент, на ваш счёт зачислена задолженость в 30 000 р. Ваша карта заблокированна. Для розблокеровки отправьте сумму равную коду каторый вам прийдёт. Код некому не сообщяйте. Добровольная служба внесудебных приставов." (с)
20.10.20 12:27
0 10

Уже несколько лет пользуюсь Roboform по наводке Алекса Экслера, кстати. Любимый пароль: первые буквы довольно длинного названия фильма и в конце - год его выхода на экран. Так как в названии встречаются имена собственные, то некоторые буквы в пароле - прописные.
20.10.20 12:25
0 0

Я убил жену-лесбиянку, повесил ее на мясной крюк, и теперь у меня контракт с Диснеем на три фильма (1993)
20.10.20 21:32
1 0

Упс... Был невнимателен, спасибо за то, что указали мне на мою ошибку! ?
20.10.20 14:02
0 0

Неужели Лошадь - имя собственное? 😄
20.10.20 13:56
0 1

"Загнанных лошадей пристреливают, не правда ли?" 1969 ?

12lheptqJeityf?
20.10.20 12:38
0 0

Я придумал себе схему, пароли с вековыми взломами, судя по касперскому и запоминаю без доп.приложений.
И кстати, при тесте на взлом вводил сопоставимые символы, но не сами пароли, все-таки не верится мне в них...
20.10.20 12:17
0 0

кстати у меня параоль на раздатке телефона стоит
когда даю кому то говорю
пароль следующий
один два три четыре пять шесть
человек вводит 123456
-не подходит!
я повторяю
опять не подходит
я тогда один-два три-четыре пять-шесть
надо вводить так
244466666
20.10.20 12:16
12 1

"- Сергей Иванович, нам срочно нужен пароль учетки администратора сервера!

- как вы меня з@ебали. Слитно. На английской раскладке. С маленькой буквы." (с)
20.10.20 14:45
0 10

Зачем так над людьми издеваться? Тем более, что пароль получился так себе...
20.10.20 12:36
0 7

у меня был пароль
Diflon746
взломали сцуки...
20.10.20 12:09
0 0

Нет понятия "взломали". Есть понятие "про...ал".
Вкратце - воруются (или продаются) базы данных у мелких и дырявых сайтов. А уж если вы везде ставили один и тот же пароль - и на форумах, и на почте, и в контакте - ССЗБ.
20.10.20 21:34
0 1

Нечасто службы поддержки занимаются проблемой юзерских паролей, особенно если сервис бесплатный. Несколько раз такое встречал.
20.10.20 13:21
0 0

не знаю как это точно , но зашли и поменяли на свой
online.ee
20.10.20 12:26
0 0

В ластпасе прикольный генератор паролей, есть опция - легко произносить
20.10.20 12:03
0 0

В копилку программ добавлю KeepassXC. Open source. Есть для всех платформ. Есть плагины для популярных браузеров. Поддерживает двухфакторную авторизацию (пароль + секретный файл).
По поводу запоминания паролей... Например, у меня полтора десятка логинов только в финансовых и других важных организациях. Как можно запомнить столько стойких паролей, особенно, если некоторыми из них пользуешься раз в месяц или реже? Да никакая эвристика не поможет. Поэтому я даже не пытаюсь: генерю пароли программно и храню их в менеджере паролей.
Чтобы база паролей не потерялась, делаю бэкапы в облако, на домашний сервер. Копии есть на компьютере, в телефоне. Без секретного файла и пароля взломать её всё равно невозможно, поэтому можно хоть на флешку записать и в сумочке носить. А вот секретный файл храню только на доверенных устройствах - телефоне, персональном компьютере, бэкапе на зашифрованном диске. В итоге, мне надо помнить только пароль от базы паролей и постараться не продолбать секретный файл.
20.10.20 11:55
0 1

В копилку программ добавлю KeepassXC.это форк упомянутого здесь KeePass. Он использует тот же формат базы данных. Т.е. файл с паролями можно открывать в любой программе.
Да, я знаю. Долго сидел на Keepass, потом на Keepass2, а потом мигрировал на KeepassXC (уже не помню почему, но какая-то причина была).
21.10.20 10:38
0 0

В копилку программ добавлю KeepassXC.
это форк упомянутого здесь KeePass. Он использует тот же формат базы данных. Т.е. файл с паролями можно открывать в любой программе.
20.10.20 16:54
0 0

Bitwarden как менеджер паролей очень неплох.

Ушёл с LastPass на него.

Замечание: не использовать в паролях похоже выглядящие символы: l и 1, o и 0, и т.д.

В хороших генераторах паролей есть такая опция.

А с пользователями я устал бороться. Все равно все пишут на бумажках, левой ногой, не делая разницы между похожими символами, прописными и строчными буквами, а потом либо бумажки теряются, либо ты играешь в игру "угадай пароль".
20.10.20 11:28
0 1

"Но вы же делали мне пароль, вы должны его помнить!"
20.10.20 21:36
0 0

Интересно сколько через Сбер денег ушло из-за его хреновой паролезащиты, а сколько из-за всяких "специалистов по безопасности". Что-то мне кажется, что второе будет лидировать с огромным отрывом.
Ну и нормальный сервис, конечно, должен ограничивать число попыток перебора и удлинять паузы между ними. Разумеется там, где есть важные данные, а не в очередном инетмагазине, в котором мне глубоко пофиг уведут эккаунт или нет. И не выедать пользователю мозг, мол, добавьте в пароль разный регистр, еще пару спецсимволов и не пишите этот пароль, который использовали 6 лет, 5 месяцев и 3 дня назад. А потом додумываясь эти пароли на сайте в открытом виде хранить, а не в хэшах.
20.10.20 11:17
0 5

Несколько лет использую KeePass. Мастер-пароль в нем полная тарабарщина из 20 символов, но отработал до рефлекторного ввода на всех устройствах.

Поддерживает кучу шаблонов генерации паролей, что бывает полезно, т.к. некоторые сайты почему-то ставят максимальную длину в 15-20 символов, а спецсимволы либо не принимают, либо считают за два.

Полностью бесплатна, уже около 300 записей с паролями, пока никаких намеков на ограничения.

Удивился, когда узнал, что в довольно крупной нефтедобывающей компании для администрирования всех паролей используют KeePass.
20.10.20 11:13
0 6

А с чего бы там быть намёкам на ограничения? Это официально бесплатный софт.

KeePass -хорошая вещь. Особенно если на деривацию ключа поставить Argon2 алгоритм.

Ну keepass бесплатный, со своим сервером, потому и используют его в компаниях. Но интерфейсы клиентов там, как будто под вин95 писанные.

Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами. Не удивлюсь если половина этих сайтов логгирует что нагенерили и привязывают их к вашему IP или google акку
Как я генерю случайные пароли: openssl rand -base64 12
20.10.20 11:07
0 2

Ну так вы все равно уменьшаете количество возможных утечек
28.10.20 10:04
0 0

половина этих сайтов логгирует что нагенерили и привязывают их к вашему IP или google
Так они и ваш введенный пароль привязать могут. С формы ввода-то они его считывают?
20.10.20 14:50
0 0

(офигев) А кто здесь проверяет свой реальный пароль на стойкость на каком-то сайте?
Извиняюсь. Невнимательно читал. Есть про это предупреждение в статье. Но все равно подозреваю что многим будет интересно протестировать свой реальный пароль у Касперского, тем более что он клянётся не использовать его?.
Я на этой проверке сгенерировал пароль из chrome - время на вскрытие 3261 век. По моему неплохо.
20.10.20 14:20
0 0

(офигев) А кто здесь проверяет свой реальный пароль на стойкость на каком-то сайте?
20.10.20 13:13
2 0

Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами. Интересно, кто вообще в здравом уме будет использовать пароль, сгенерированный всякими сайтами?
А проверять свой реальный пароль на стойкость на каком-то сайте - это не опасно?
20.10.20 13:11
0 3

Хотелось бы добавить-ребята, не используйте пароли, сгенерированные всякими сайтами.
Интересно, кто вообще в здравом уме будет использовать пароль, сгенерированный всякими сайтами?
20.10.20 11:12
2 2

По поводу менеджеров паролей - миграция между ними - ручками? То есть, если я вдруг решу например с ластпаса перейти на робоформ то это большая копипаста?
20.10.20 11:05
0 0

Внимание вопрос, так ли во всех популярных троянах?

Я помню, что в Lastpass с Roboform успешно мигрировал - чисто для теста. Но мне LastPass конкретно не понравился.
20.10.20 12:08
0 0

KeePass. Говорят, что так на всех популярных менеджерах паролей.

Практически все менеджеры паролей умеют импортировать базы других менеджеров.
20.10.20 11:07
1 0

Рекомендовать на первом месте дырявый LastPass и не рекомендовать отличный (и тоже бесплатный) Bitwarden как-то странно.

И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы

Меня наоборот бесят требования сделать одну заглавную букву, спецсимвол и цифру. Мой пароль из 30 символов и так никто не подберет, что изменится от заглавной буквы?
20.10.20 11:01
0 10

прогоняют ряд пермутаций [...]подход более взвешенный, чем у Сбера, который тупо приводит пароль к нижнему регистру
Приведение пароля к нижнему регистру - тоже пермутация. Чем это подход более "взвешенный", кроме желания пнуть гадкий Сбер - совершенно непонятно.
21.10.20 02:49
0 0

Лучше и проще подключить 2FA в таком случае
20.10.20 14:39
0 0

Ну почитайте вот тутsecurity.stackexchange.comТам есть ссылка на доклад, где они рассказывают техническую реализацию
Спасибо, познавательно! То есть они в случае несовпадения пароля прогоняют ряд пермутаций. Не возьмусь утверждать, что это однозначно плохо (по крайней мере, подход более взвешенный, чем у Сбера, который тупо приводит пароль к нижнему регистру), но я бы всё же предпочёл возможность отключить такое на своём аккаунте.
20.10.20 14:38
0 0

Вот тут целый научный труд по теме www.ieee-security.org
20.10.20 14:22
0 0

Вот ссылка на доклад, если лень искать
20.10.20 14:18
0 0

Ну почитайте вот тут security.stackexchange.com

Там есть ссылка на доклад, где они рассказывают техническую реализацию
20.10.20 14:12
0 1

Вот тут про Сбер без истерии:t.me
Мдя... цитирую:
Внезапно оказалось, что Facebook и Amazon тоже допускают _слегка неправильные пароли_, то есть делают примерно то же самое, что и Сбер.
Ага, ага. У "слегка неправильных" паролей хэши, конечно же, слегка совпадают. Автор сего опуса искренне заблуждается или считает своих читателй за идиотов?
20.10.20 14:08
0 1

Очевидно, что убирание регистрозависимости пароля заметно влияет на его устойчивость.
В рамках обычного b2c — практически никак значимо не влияет.
20.10.20 11:52
0 7

у меня сбер после где-то десятка неудачных попыток грохается минут на 10 и вообще не пускает логиниться с компа. типа висит. если это не баги, а фича, не думаю там так уж просто брутфорсить получится пусть хоть там и кириллицу запретят.
это помимо смс-пароля, разумеется.
20.10.20 11:46
0 0

Прочитал. Это реально очень тупая отмазка. И за отмазку, конечно же, не канает совершенно. Могу аргументировать, но лень на такую дешевку тратить время.
20.10.20 11:11
8 2

Рекомендовать на первом месте дырявый LastPass
И в чем он дырявый?

и не рекомендовать отличный (и тоже бесплатный) Bitwarden как-то странно.
Ну, если учесть, что я Bitwarden еще не тестировал, то ничего странного в этом нет.

И не понимаю шумихи со Сбером. Один дополнительный символ пароля дает больше энтропии, чем дополнительный регистр и спецсимволы
Очевидно, что убирание регистрозависимости пароля заметно влияет на его устойчивость. Оправдывать этот идиотизм "удобством пользователей" - оно показывает, насколько у них с мозгами все плохо.
20.10.20 11:10
5 0

Вот тут про Сбер без истерии: t.me
20.10.20 11:04
0 1

"... пароль вовсе не должен быть длинным, кудрявым, содержать обязательно цифры, буквы разных регистров и обязательно хотя бы один знак препинания. Это всё — бред перепуганных дилетантов. Подобрать пароль невозможно. Вообще никак, если система нормально спроектирована. Даже если пароль из четырех цифр. Кто так не считает — пройдите нахуй к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед."

Леонид Каганов, Удивительная история с паролями
Fes
20.10.20 10:55
1 2

Вы нетипичный кейс, по полгода с заблоченой кредиткой, легко смените ники и емайлы, много крат разных систем в разных странах и на счетах тыщенка-другая.
я как бы попадал в ситуацию, когда у меня испарилась значительная часть рабочего архива. сначала "ужас-ужас", по факту - бОльшей частью восстановимо, а остальное и нахрен не надо. неприятно, но жить можно, мир не перевернулся. а вы про проблемы с какими-то там эккаунтами и жизнь без кредитки.
по сути, если кто-то блокирует тебе кредитки, где и какие бы ты не открыл, тут впору задуматься о жизни, смене фио как минимум, а не такое мелкое неудобство как полгода без кредитки пожить. заплатить и спать спокойно (хи-хи) тут может только в последнюю очередь в голову прийти.
20.10.20 16:11
0 0

Вот потому Лео и дилетант, что не понимает разницу между двухфакторной авторизацией (физический токен, которым является чип на кредитке, плюс короткий ПИН) и однофакторной (пароль к интернет-сервису). И почему их нельзя сравнивать напрямую.
это у него надо спрашивать понимает или нет.
но забывать про то, какую задачу решает система безопасности тоже не надо. в который раз повторюсь, что потеря абсолютного большинства эккаунтов во всяких там системах не стоит даже шевеления пальцем, чтобы вернуть доступ. во всех важных для меня областях она двухфакторная. и даже при этом, как правило, причиненный ущерб (типа внезапного списания денег с кредитки на деревню дедушке) достаточно легко восстановим в офлайне. при таком положении дел я не понимаю на кой сношать себе мозг неудобоваримыми паролями.
20.10.20 15:31
0 0

Вы нетипичный кейс, по полгода с заблоченой кредиткой, легко смените ники и емайлы, много крат разных систем в разных странах и на счетах тыщенка-другая.
20.10.20 15:28
0 1

Именно так, даже если потрачен не день, а час. Время работы ботнета очень дешевое.
ботнета надо информацией кормить, а она как бы немного устаревает, если клиент начинает дергаться. добыча новой информации - ни разу не тривиальная задача и ботнетом тут не обойдешься.
20.10.20 15:23
0 0

Представь - заблокировали тебе таким манером кредитку. Ты потратил день на ее разблокировку. Через 1 секунду после разблокировки ее снова заблокировали. Ты снова потратил день на ее разблокировку. Через 1 секунду... На какой итерации ты сдашься?
знаете, ведь блокировать кредитки крайне просто - сделать хотя бы левую операцию и владелец сам побежит ее блокировать. но так не делают массово. почему?
по факту я без кредитки спокойно проживу может и не неограниченно долго, но полгода выдержу с наликом спокойно. а ведь вымогатель должен отслеживать все мои потенциальные карты, разных систем, разных банков. в разных странах, если уж на то пошло. с такими возможностями он у меня хочет тыщонку-другую вытянуть и ради этого старается?! фантастика на каком этаже?
20.10.20 15:22
0 0

Именно так, даже если потрачен не день, а час. Время работы ботнета очень дешевое.
20.10.20 15:21
0 0

с оговоркой, что это на 10 символах с известной длиной пароля. и в реальном мире никто не даст перебирать без физического носителя
Вот потому Лео и дилетант, что не понимает разницу между двухфакторной авторизацией (физический токен, которым является чип на кредитке, плюс короткий ПИН) и однофакторной (пароль к интернет-сервису). И почему их нельзя сравнивать напрямую.
20.10.20 15:15
0 2

заблокировать операции и перейти в офлайн к выяснению чего там произошло
Представь - заблокировали тебе таким манером кредитку. Ты потратил день на ее разблокировку. Через 1 секунду после разблокировки ее снова заблокировали. Ты снова потратил день на ее разблокировку. Через 1 секунду... На какой итерации ты сдашься?
20.10.20 15:12
0 0

А вот все и увести. Пишут тебе к примеру, дай биткоинчик. И никуда ты не можешь войти, везде или капча или таймаут или обратитесь к администратору. Можно конечно не платить, а все поменять - ники, емайлы, карты. Поработать над собой - стиль письма и опечатки, темы и контакты - ну чтоб не вычислили. Или таки заплатить, как считаете?
конечно, проще послать нахрен. ну обращусь к администратору. ники мне похрену, новые сделаю, если что. на почту поставлю форвард, например, и заведу новую. карты меняются за неделю, а моментальные так сразу выпускаются. И это опуская, что вымогатель должен собрать о человеке весьма полную и достоверную информацию обо мне, связать онлайн и офлайн, что не так уж просто сделать.
по факту не слышал я про такие способы вымогательств - только у школоло (не по возрасту, а по мозгу) со всякими навороченными эккаунтами в играх.
20.10.20 15:11
0 1

А вот все и увести. Пишут тебе к примеру, дай биткоинчик. И никуда ты не можешь войти, везде или капча или таймаут или обратитесь к администратору. Можно конечно не платить, а все поменять - ники, емайлы, карты. Поработать над собой - стиль письма и опечатки, темы и контакты - ну чтоб не вычислили. Или таки заплатить, как считаете?
20.10.20 14:45
0 0

Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов!
с оговоркой, что это на 10 символах с известной длиной пароля. и в реальном мире никто не даст перебирать без физического носителя, т.е. уровень безопасности системы достаточен для решаемых задач.

А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
даже не знаю, что именно у меня надо увести, чтобы за возврат доступа к этому был бы готов перевести деньги, а не заблокировать операции и перейти в офлайн к выяснению чего там произошло. не емейл и эккаунты в магазинах или форумах точно.
20.10.20 14:14
0 1

Это всё — бред перепуганных дилетантов.

Именно что бред дилетанта. Только дилетант тут Лео. Если бы я мог, не вставая из-за компьютера, собрать миллион кредитных карт и сделать по три попытки подбора пин-кода к каждой - у меня было бы примерно триста взломанных кредиток. Неплохой улов! А уж возможность в любой (!) момент заблокировать любому (!) человеку кредитку (емейл, любой сервис), просто три раза введя от его имени неправильный пароль - какое раздолье для вымогателей и просто троллей!
20.10.20 13:37
0 5

Самое интересное, что нет смысла делать паузы и ограничения. Это в банкомате пароль может вводить один человек... хотя? сколько там у сбера банкоматов? к каждому послать по дропу и не факт что пинкод устоит.

В онлайн сервисе подбор может осуществляться по всем клиентам сразу, если утекла база. А если вводить ограничения, то очень легко сервис дидосить, просто загоняя всех пользователей в ограничение.
20.10.20 13:34
0 0

вот поэтому пользователю и надо четко отличать где у него важное и придумывать для этого важного собственный уникальный пароль, который он способен запомнить (мнемонически, конечно). А для всякой ерунды, где глубоко похрен что оно куда-то уйдет и потом придется чутка повисеть на проводе/попереписываться, чтобы вернуть, смело использовать не самый сложный универсальный пароль, который удобно набивать на клаве. а не заниматься секасами с этими менеджерами паролей или другой хренотой, потому как безопасность же - превыше всего, никого не жалко.
для тех банковских карт пользую давно уже один и тот же пин, запомнить даже пять штук и время от времени с заменой карт их обновлять в памяти - по-моему, бессмысленное и беспощадное занятие. а записывать и держать в близком доступе такое куда вреднее.
20.10.20 11:27
0 1

Нет, в чем-то он прав, конечно, но тут есть тонкая грань между удобством использования сервиса и параноидальной безопасностью. Если вы забудете свой "пин" от сервиса и у вас будет только три попытки ввода пароля, а после этого придется идти, допустим, в офис с паспортом... Подозреваю, вы пошлете такой сервис лесом. Если, конечно, это не сервис, где вы храните деньги. В последнем случае паранойя оправдана.
20.10.20 11:27
0 0

Бред. И пример бредовый. Почти нигде на веб ресурсах нет хард лимита на количество попыток. Очень редко есть значительная задержка между попытками. Часто нету и такого. Тут можно сказать, ну вот - значит система плохо спроектирована. Ну, типа, да, только кому от этого легче то 😄)) А потом у большинства ещё и 1-2 пароля на всё, вот тут утечки баз и вступают в дело. И ксати, если базу увели, но сервис такая душка, что держит пароли зашифрованые, то, о, Боги, если раньше пароль утекал хоть где-то в открытом виде, то его хэш тоже будет лежать где-то в интернете на каком-то сайте. И вот при утечке хэша из банка, например, как бы банк не заботился о безопасности, всё пароль уже в кармане у злоумышленика. Так что вот эти все мечтания об идеальном мире лучше в идеальном мире и оставались бы.
20.10.20 11:09
1 1

Леонид бредит хотя бы потому что в мире очень мало правильно спроектированных и сконфигурированных систем
20.10.20 11:08
1 0

Вообще суть этой истории - совершенно в другом. А именно - о том, откуда именно слили Лёнин пароль. (И мой тоже оттуда же слили.) Насчет того, что "невозможно подобрать" - это, конечно, у Леонида просто кипит разум возмущенный. И даже перекипает. Никто же не говорит о том, что это какой-то человек у банкомата будет подбирать четыре цифры. Современные средства брутфорса 4-значный пароль из цифр ломает ровно за 2 (прописью - две) минуты. Так что это с его стороны как минимум совершенно безответственное заявление. Но я надеюсь, что его читатели сделают скидку на то, что Леонид - поэт и писатель, поэтому может нести всякую романтическую заведомую херню.
20.10.20 11:06
3 1

bitwarden - тоже ничего
20.10.20 10:48
0 1

Да, его хвалят.
20.10.20 10:54
0 0

Буквально недавно была хорошая статья на Хабре относительно паролей: habr.com
Правда эта статья - скорее пожелание разработчикам, но тем не менее ознакомиться с ней стоит. Основные тезисы:
1. Пароль, состоящий из нескольких слов, тематически не связанных между собой дают вполне достаточную энтропию, чтобы быть устойчивым ко взлому, при этом прост для запоминания.
2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
3. В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу. Некоторые сервисы ставят ограничение на использование не-латинских символов, но сейчас такие встречаются все реже.
20.10.20 10:46
0 2

Я могу придумать штук 10 вариаций слова "машина", написанное с ошибками. А теперь попробуем внести в словарь все варианты написания этого слова. А потом вспомним, что слов в пароле больше чем одно и давайте попробуем учесть все ошибки возможные ошибки словах. Вам не кажется, что стоимость составления самого такого словаря уже больше чем стоимость обыкновенного буртфорса?
21.10.20 10:05
0 0

При этом КАЖДОЕ такое слово придётся внести в словарь.
На фоне астрономических чисел, которыми измеряется сложность брутфорса, увеличение словаря в десять, сто и даже сто тысяч раз за счет различных мутаций слов - сущий пустяк.
20.10.20 22:05
0 0

А в чем проблема вставить в словарь слово "машына"?
Ты можешь придумать больше одной ошибки в слове.
При этом КАЖДОЕ такое слово придётся внести в словарь.
А энтропия - не безразмерна.

Ну и плюс если в "хлеб" сделать всего лишь четыре ошибки - получится "пиво". Или "вино". Или "квас".
20.10.20 21:26
0 0

в паролях можно (и желательно) использовать не только латиницу и печатаемые символы
Не надо использовать в паролях кириллицу (вообще, не-латинницу) и пробелы. Просто не надо. В логинах тоже не стоит. Просто поверьте. Помогает избежать многих проблем.
20.10.20 15:28
0 4

2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
А в чем проблема вставить в словарь слово "машына"? То, что пользователи будут пытаться усложнить словарный подбор таким образом, предсказуемо. А все, что предсказуемо, ломается словарным подбором.
20.10.20 14:44
1 0

включая кириллицу
Ага, попал так, когда надо было войти в почту в испанском отеле на их компьютере, чтобы распечатать билет. На той клавиатуре кириллицы не было. Пришлось воспользоваться виртуальной от яндекса, но это было несекьюрно, так как в фойе было полно народу и легко было подсмотреть пароль.
20.10.20 12:18
0 2

Более того, в паролях можно использовать emoji, которые сильно подпортят жизнь атакующим
20.10.20 11:00
0 0

2. Если в этих словах намеренно допускать грамматически ошибки, перебор по словарю становиться в принципе невозможным (прим. машина - машына)
Тут главное - чтобы пользователь запомнил, какие именно грамматические ошибки он допускает. И боюсь, что с этим будут проблемы.

В наш век юникода в паролях можно (и желательно) использовать не только латиницу и печатаемые символы, но и любые другие символы юникода, включая кириллицу.
И такие пароли не поддерживает большое количество сервисов. Часто бывают проблемы даже с использованием обычных спецсимволов.
20.10.20 10:54
0 1

Без 2-fa, НЕ привязанного к номеру телефона, это всё баловство. Так что сложность пароля особенно и не важна, если подключён нормальный 2-fa (обычно его называют "google auth", хотя точнее это TOTP, описанный в RFC 6238). А держать все 2-fa лучше всего в Authy.
20.10.20 10:42
2 0

Без 2-fa, НЕ привязанного к номеру телефона, это всё баловство. Так что сложность пароля особенно и не важна, если подключён нормальный 2-fa (обычно его называют "google auth"
Да, конечно, обязательно нужно привязать google auth, особенно к тем сервисам (а их процентов 98), которые это не поддерживают, кто б, действительно, сомневался.
20.10.20 10:52
0 4

У меня одно время в банке проверочное слово было "забыл"
20.10.20 10:37
0 12

Говорят, дальнейшее развитие квантовых компьютеров изменит смысл и понятие "пароля".
Потому что все эти ухищрения будут бесполезны.
20.10.20 10:37
0 0

Точняк! ?

>>(бежит менять свой Пентиум 4 на квантовый компьютер) ?
не бежит, а сгорбленно идет, катЯ баллон с жидким гелием на колесиках 😄

Практически действущих квантовых компьютеров еще нет. А вот практически действующие каналы связи с квантовым шифрованием - уже есть. Хотя пока очень дорогие.
20.10.20 15:08
0 1

(бежит менять свой Пентиум 4 на квантовый компьютер) ?

Пользуюсь 1password. Вполне, но платный.
20.10.20 10:33
0 3

Касаемо менеджеров паролей.

Самый офигенный изо всех, что я перебирал - это bitwarden. Опенсорсный, можно при желании развернуть на своём сервере, ставится расширением в браузеры, ставится приложением в смартфон и работает агентом автозаполнения. Бесплатные функции - омфг насколько полноценны.
20.10.20 10:32
0 3

У него есть один небольшой недостаток: он криво работает в приватном режиме. А в целях разработки без него не обойтись. Ну или запускать браузер с отдельным профилем, что в общем, тоже так себе удовольствие.
20.10.20 11:48
0 0

Была недавно статья чувака, который принимал участие в разработке гайдлайнов по созданию паролей. Он извинился из-за того, что всем приходится сталкиваться с таким леденящим ппц. И что эти гайдлайны дурные по самое небалуйся.

Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому. Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).

Вот, нашёл: gizmodo.com

В общем, рекомендации в твоей статье неактуальны. Лучше Вере Фроловой делать пароль типа:
moykotikigraetvfutbolsgranatoy - безо всяких прописных, спецсимволов и прочего труднозапоминаемого шлака, который для взлома препятствием не является.

Проверка касперского говорит, что этот пароль (который запомнить изумительно просто) обычный домашний комп будет ломать "10000+ centuries"
20.10.20 10:28
3 14

Я сам не в теме, но имею вопрос. Допустим, есть пароль, построенный на основе подряд записанных слов какой-нибудь фразы с добавлением между словами спецсимволов и чисел. Допустим также, что имеется база хэшей паролей и словарь всех известных слов. Но какую бы комбинацию слов вы не взяли, спецсимволы не позволят угадать пароль по критерию совпадения с каким-либо хэшем из базы.. Для достижения цели тогда надо делать перебор и по спецсимволам и цифрам, не говоря уже о том, что слова могут иметь, например, специфические падежные окончания а длина пароля неизвестна. Как же действует программа-взломщик при таких трудностях?
21.10.20 14:36
0 0

Объясните, как применяется брутфорс
Объясняю. Не у всех, не везде и не всюду реализованы даже элементарные способы противодейстию брутфорсу. А пароли - особенно сложнные по хитрым правилам, у многих единыные для всех ресурсов. Потому брутфорсят что-то одно, а потом, утащив креды уже спокойно авторизуются где требуется.

Есть и другие способы, но уже не столь массовые и требующие наличия приличных уязвимостей, который, как правило, овердофига.
21.10.20 13:40
0 0

Объясните, как применяется брутфорс, если между двумя последовательными вводами пароля на сайте предусмотрена пауза?
20.10.20 19:23
0 0

Ясно, вопросов больше нет.
А лучше, чтобы были. Чтобы было сомнение, "а может я немножечко неправ"
рассказывают о том, как сделать пароль одновременно и хорошо запоминаемым и очень криптостойким.
20.10.20 14:24
0 18

444rrr444 - бинго! безопасный пароль!
Круто, спасибо! (пошел менять все свои пароли на 444rrr444)
20.10.20 13:50
0 7

Что интересно, 111qqq111 очень плохой пароль, в 21 базе есть. 333eee333 уже получше, всего в одной базе, а 444rrr444 - бинго! безопасный пароль!
20.10.20 13:44
0 1

Я все сделал по инструкции, у меня все секьюрно!".
Угу, я всегда в этом случае вспоминаю историю с моим приятелем, который сделал пароль по инстручкии в точности: Буквы, цифры, верхний и нижний регист, длинна. В итоге пароль был: qqq111QQQ!!!
И ведь все по инструкции же. 😉
20.10.20 13:32
0 3

А что пароль должен быть длинным - с этим вроде никто не спорит.
Спорят с тем, что добавление спецсимволов регистра и прочей хреноты является эффективным способом усиления пароля. В то время как реально эффективным способом усиления пароля является passphrase. Никто не будет придумывать запоминать пароль длиной в двадцать символов с цифр9ми, (кобками, запятыми и деБилЬным рЕгистроМ. Вместо этого добавят к шести алфавитным символам скобку и циферку - строго в конце - и расслабятся. "Я все сделал по инструкции, у меня все секьюрно!" А между тем passphrase длиной в двадцать символов гораздо более криптостойкая и гораздо легче запоминается. О чем тут уже десять раз писали в комментах. А Фил Циммерман писал еще в документации к PGP в тысяча девятьсот лохматом году.

В конце концов, подпереть дверь в банковское хранилище стулом - тоже усиление безопасности. Но если в банке дверь в хранилище подперта стулом - это явное свидетельство, что с безопасностью в банке что-то не так.
20.10.20 13:27
0 6

Для двузначного пароля взломщику придётся работать вчетверо дольше, для трёхзначного — в 8 раз, для 10-значного мы усложняем работу брутфорса в 1000 с лишним раз, и т.д.
Ай-яй-яй. Целую тысячу?!! Просто добавив к паролю лишнюю букву - латиницей, без учета регистра, даже без цифр, знаков препинания и прочей псевдографики - мы усложняем работу брутфорса в 26 раз. А добавив одно словарное (!) слово - в ~10 тысяч раз. Что проще запомнить - одно словарное слово или то, что из 10 символов пароля 1-й, 2-й, 5-й, 7-й, 8-й и 9-й написаны в верхнем регистре?
20.10.20 13:14
0 3

У меня в статье написано о важности длинного пароля. По-моему очень глупо спорить с тем, что регистрозависимость повышает устойчивость. А что пароль должен быть длинным - с этим вроде никто не спорит.
20.10.20 13:12
2 0

Смешно.
Ну посмейся. А когда отсмеешься - сравни сложность брутфорса регистрозависимого пароля длиной в восемь символов и регистронезависимого пароля в десять символов.
20.10.20 13:09
0 11

Смешно.
В текущих тенденциях, все эти цифры, буквы и спецсимволы на время подбора пароля практически не влияют. Первична длинна, все остальное мелкий бонус. Собственно картинка выше с Tr0ubadur&3 наглядно все демонстрирует, где на данный пароль не смотря на все эти регистры и спецсимволы нужно всего трое суток машинного времени.
20.10.20 13:01
0 6

Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем, при этом добавляющие к сложности взлома не так уж и много.
В смысле — не так уж много? Разница прописных/строчных увеличивает алфавит символов (а значит — и сложность подбора каждого символа) почти вдвое. Для двузначного пароля взломщику придётся работать вчетверо дольше, для трёхзначного — в 8 раз, для 10-значного мы усложняем работу брутфорса в 1000 с лишним раз, и т.д.
20.10.20 11:58
0 2

Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем
Ясно, вопросов больше нет.
20.10.20 11:15
14 1

Смешно именно вот эти №%№:324 и прописные в плане ппц для запоминания нормальным пользователем, при этом добавляющие к сложности взлома не так уж и много.
А какая прелесть после такого "сменить пароль", мммм
20.10.20 11:10
1 10

Рулят не пароли, а парольные фразы, которые легко запоминаются, а взлом на практике невозможен (ну, кроме социнженерии, для которой криптостойкость пароля до лампочки).
"Чингиз выдыхает и ледяным голосом произносит:
-- Сорок тысяч обезьян в жопу сунули банан."
(c) Лукьяненко "Фальшивые зеркала" 1999 г.
20.10.20 10:58
0 15

Сбербанк абсолютно прав, прописные буквы мало чем препятствуют взлому.
Смешно.
20.10.20 10:51
19 4

А почему не рассмотрена возможность хранения паролей в аккаунте Гугла? Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его, и в следующий раз при посещении сайта подставит. По моему, удобно и никаких дополнительных ухищрений не требуется. Только по безопасности некоторые сомнения. А ещё на многих сайтах существует возможность авторизации с помощью сторонних сервисов (Фейсбук, Яндекс, Гугл, госуслуги и т.д.) Тоже ничего запоминать не нужно, если доверяешь посреднику.
20.10.20 10:28
1 4

Все ломают. Если зловред уже на компе то уже не важно, где пароли лежали.
21.10.20 04:22
0 0

Встречал сведения о том, что их ломают. Вот именно менеджеры паролей браузеров.
20.10.20 13:47
1 0

Хранение паролей в браузере концептуально ничем не отличается от хранения их в менеджере паролей.
20.10.20 13:45
0 1

Хром ведь не только пароли на сайтах может подставлять, но и рквизиты по картам из Google Pay.
Сами по себе реквизиты карты не особо страшная тайна. А вот критичный CVC2 ни один менеджер не сохраняет уже. И не подставляет. Плюс для большиснтва платежей еще и обязателен второй фактор.
20.10.20 13:36
0 0

Хром пароли не шифруеВ смысле?! Все браузерные пароли защифрованы и подписаны пользовательским сертификатом. Другое дело, что они автоматически расшифровываются, как только пользователь входит в систему. Но утверждение, что пароли там не шифрованные в корне не верное.
Ну понятно, что они не в открытом виде хранятся, но похитить их троянами можно. Инфостиллеры из 80х хромов уже извлекают данные.
20.10.20 13:34
0 0

Да можно так делать, конечно. Это уж точно лучше и надежнее, чем использовать какой-нибудь password123 для всех сайтов.
Но всё-таки есть причины использовать внешние сервисы для хранения паролей или нет с точки зрения безопасности? Хром ведь не только пароли на сайтах может подставлять, но и рквизиты по картам из Google Pay. Это разные технологии хранения данных или там безопасность на одном уровне?
20.10.20 13:32
0 0

Хром пароли не шифруе
В смысле?! Все браузерные пароли защифрованы и подписаны пользовательским сертификатом. Другое дело, что они автоматически расшифровываются, как только пользователь входит в систему. Но утверждение, что пароли там не шифрованные в корне не верное.
20.10.20 13:13
0 2

Да можно так делать, конечно. Это уж точно лучше и надежнее, чем использовать какой-нибудь password123 для всех сайтов.
20.10.20 13:02
0 0

"Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его, и в следующий раз при посещении сайта подставит"... и сам потом с ним зайдет куда надо, и уведет оттуда деньги 😄
Есть подобные примеры или это теоретические размышления?
20.10.20 12:57
0 0

Так вот мне бы и хотелось узнать причины почему не стоит так делать. Те более как ниже уже написали эта возможность есть по умолчанию у очень существенного процента пользователей.
20.10.20 12:55
0 2

Хром пароли не шифрует
Во-первых, уже, вроде как, шифрует. Во-вторых, любые менеджеры паролей потенциально уязвимы. Я ради интереса погуглил — из LastPass пароли тоже вполне себе таскаются злоумышленниками. В-третьих, даже если это и правда совсем несекьюрный способ, наверное, имеет смысл пояснить, почему им пользоваться не надо.
20.10.20 12:31
2 0

А почему не рассмотрена возможность хранения паролей в аккаунте Гугла? Chrome и сам предложит сгенерировать стойкий пароль для сайта, и предложит сохранить его
Хром пароли не шифрует, что по многим причинам не безопасно, в отличии от менеджеров паролей, которые шифруют вашу базу локально при помощи мастер-пароля. Так что если и уведут базу (как у lastpassa, например), то большой беды не случится.
20.10.20 12:18
0 3

А ничего что статья - не о менеджерах паролей?
Ну хорошо, уточню, коли так. 😄

В статье есть отдельная глава «менеджер паролей». И не упомянуть в ней менеджер паролей, встроенный по умолчанию у 2/3 пользователей (и умеющий их генерировать в полном соответствии со всеми перечисляемыми требованиями), — это несколько странно. 😄
20.10.20 12:13
1 7

Тоже ничего запоминать не нужно, если доверяешь посреднику.
И это тоже. Я думаю, об этом тоже имеет смысл упомянуть. Везде, где есть возможность авторизоваться через сторонний сервис, делаю так. Вопрос «доверия посреднику» там не стоит, при авторизации посредник обычно пишет, какую информацию получит конечный сайт, сверх этого ничего не «сливается». Как правило, там тупо фио, фотография и дата рождения. Можно напрягаться, если сайт запрашивает список друзей, доступ к записям и комментариям и прочую информацию, которую ему знать не требуется, но этим уже занимаются всякие тесты «какой ты зверь из вселенной Владимира Сорокина».
20.10.20 12:11
1 1

Поэтому в большой статье обойти встроенный по умолчанию у 2/3 пользователей менеджер паролей (пусть даже просто поругав его, дескать, не пользуйтесь им, потому что то-то и то-то) — это несколько странно.
А ничего что статья - не о менеджерах паролей?
20.10.20 12:07
7 3

Открою страшную тайну. Далеко не все пользуются Chrome.
Открою страшную тайну. «Хромом» пользуется гораздо больше людей, чем сторонними менеджерами паролей. Доля Google Chrome сейчас — около 65%. Поэтому в большой статье обойти встроенный по умолчанию у 2/3 пользователей менеджер паролей (пусть даже просто поругав его, дескать, не пользуйтесь им, потому что то-то и то-то) — это несколько странно.
20.10.20 12:03
1 5

Хранение паролей в браузере не считается безопасным.
А чем это опаснее любой другой программы?
20.10.20 11:54
0 1

Как известно, именно на третий месяц Chrome выпускает отравленную стрелу в тех пользователей, у которых более 10 раскрытых паролей.
20.10.20 11:14
0 3

у меня тоже. 15 или 17
20.10.20 11:13
0 0

Хранение паролей в браузере не считается безопасным.
Кстати мой хром постоянно ругается что у меня 13 раскрытых паролей. Два месяца игнорирую, пока живой))
20.10.20 11:01
0 1

А почему не рассмотрена возможность хранения паролей в аккаунте Гугла?
Открою страшную тайну. Далеко не все пользуются Chrome. Не все пользуются одним браузером (я, например, пользуюсь тремя - по многим причинам). Хранение паролей в браузере не считается безопасным.

Только по безопасности некоторые сомнения.
Именно.
20.10.20 10:50
1 3

Ну нафиг. Сложно всё. У меня пара-тройка паролей на все случаи жизни, записанные в вордовском файле)
20.10.20 10:27
1 0

А-а-а-а-а, об этом я не подумал 😄
20.10.20 11:22
0 2

Под клавиатуру положить, Алекс! На монитор только ламеры лепят 😄
20.10.20 11:17
0 13

Тут главное - распечатать это дело и на монитор прилепить, а то вдруг файл потеряется.
20.10.20 10:50
0 7

- Какой у тебя пароль?
- Не взламываемый
- Это как так?
- По-буквам: нэ е пробел вэ зэ лэ.....
20.10.20 10:25
1 7

Тут уже запостили соответствующий xkcd, добавлю лишь, что тезис про (не)использование словарных слов верен в случае обычных паролей, но неприменим к ключевым фразам. Пароль Чингиза "Сорок тысяч обезьян в жопу сунули банан." - отличный пароль, который взломать за разумное время невозможно (до момента публикации книги, конечно).
20.10.20 10:13
0 7

И еще, знаменитое:

— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
20.10.20 10:03
0 43

я как-то похожим образом подбирал юзер нейм на мейл.ру в 90х, и когда я от злости написал написал "zakolebali" мне радостоно написали "занято, но можно так: "zakolebali24"
У меня в свое время пароль на ЖЖ был: Blbntyf[eq!
Ибо да, тоже заколебали. 😄
20.10.20 18:02
0 1

я как-то похожим образом подбирал юзер нейм на мейл.ру в 90х, и когда я от злости написал написал "zakolebali" мне радостоно написали "занято, но можно так: "zakolebali24"
20.10.20 15:12
0 7

В СБербанке - нет!

"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "
20.10.20 10:01
2 0

запоминаем уникальные 3 символа, например: S$@
берем какое нибудь количество символов из домена сайта первый и последний символ в верхнем регистре, например: ExlE
набираем простых символов, например: 1234qwer
в конце ставим любой символ, например: !
итого:
S$@ExlE1234qwer!, S$@RedD1234qwer!, S$@PikA1234qwer!. на подбор 19 лет
Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
3rb
20.10.20 09:59
5 1

Мой отец путь куда-то постоянно описывал как что-то в больших подробностях (вывески, здания, где какие стоят мусорные баки), а потом "иди не туда, а на улицу слева/справа/напротив." И так с каждым поворотом.
Как же облегчилась жизнь с навигаторами, эх 😄
20.10.20 17:05
0 0

Итого, пароли разные, легко запомнить, для форумов и просто сайтов отличный вариант.
"Швейк между тем разглядывал номер винтовки и вдруг воскликнул:

— Четыре тысячи двести шестьдесят восемь! Такой номер был у одного паровоза в Печках. Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но не так-то это оказалось просто, господин фельдфебель, потому что у старшего машиниста, которому поручили его туда перегнать, была прескверная память на числа. Тогда начальник дистанции позвал его в свою канцелярию и говорит: «На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе, — четыре тысячи двести шестьдесят восемь. Слушайте внимательно. Первая цифра — четыре, вторая — два. Теперь вы уже помните сорок два, то есть дважды два — четыре, это первая цифра, которая, разделённая на два, равняется двум, и рядом получается четыре и два. Теперь не пугайтесь! Сколько будет дважды четыре? Восемь, так ведь? Так запомните, что восьмёрка в номере четыре тысячи двести шестьдесят восемь будет по порядку последней. После того как вы запомнили, что первая цифра — четыре, вторая — два, четвёртая — восемь, нужно ухитриться и запомнить эту самую шестёрку, которая стоит перед восьмёркой, а это очень просто. Первая цифра — четыре, вторая — два, а четыре плюс два — шесть. Теперь вы уже точно знаете, что вторая цифра от конца — шесть; и теперь у вас этот порядок цифр никогда не вылетит из головы. У вас в памяти засел номер четыре тысячи двести шестьдесят восемь. Но вы можете прийти к этому же результату ещё проще…

Фельдфебель перестал курить, вытаращил на Швейка глаза и только пролепетал:

— Карре аb! {255}

Швейк продолжал вполне серьёзно:

— Тут он начал объяснять более простой способ запоминания номера паровоза четыре тысячи двести шестьдесят восемь. «Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то всё это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните, — сказал начальник дистанции, — что два раза сорок два равняется восьмидесяти четырём. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырёх, и останется семьдесят два, вычтите из этого числа ещё двенадцать месяцев, останется шестьдесят. Итак, у нас определённая шестёрка, а ноль зачеркнём. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнём ноль, зачеркнём и четвёрку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу…» Вам дурно, господин фельдфебель? Если хотите, я начну, например, с «General de charge! Fertig! Hoch an! Feuer!» {256} Чёрт подери! Господину капитану не следовало посылать вас на солнце. Побегу за носилками.

Пришёл доктор и констатировал, что налицо либо солнечный удар, либо острое воспаление мозговых оболочек.

Когда фельдфебель пришёл в себя, около него стоял Швейк и говорил:

— Чтобы докончить… Вы думаете, господин фельдфебель, этот машинист запомнил? Он перепутал и всё помножил на три, так как вспомнил святую троицу. Паровоза он не нашёл. Так он и до сих пор стоит на шестнадцатом пути.

Фельдфебель опять закрыл глаза." (с)
20.10.20 15:55
0 21

Сходу - может, и нет. А посидеть подумать поперебирать - и все получится. Понятно, что это не на каждый день подход.
20.10.20 14:21
0 0

Если у Алекса уведут базы паролей и потом уведут мою учётку на nag.ru я только посочувствую этому человеку, это же на сколько надо быть убогим, чтобы заниматься такой х__нёй.
А если у человека один такой принцип на все, то вслед за паролем отсюда можно воссоздать и пароль от почты, интернет-банка и т.п. (я знаю про двухфакторную аутентификацию).
20.10.20 14:20
0 1

Это нужно найти базу в открытом виде, потом ее вычитать и сходу понять зависимость, я не уверен что вот так сходу будет видно как образован пароль rE3lxE58

К примеру, можете попробовать подобрать мой пароль от mail.ru
20.10.20 13:56
0 0

Если у Алекса уведут базы паролей и потом уведут мою учётку на nag.ru я только посочувствую этому человеку, это же на сколько надо быть убогим, чтобы заниматься такой х__нёй.
3rb
20.10.20 10:54
1 5

Этот вариант отличный ровно до того момента, пока с одного из сайтов не уведут базу паролей в открытом виде. После этого ваш замечательный алгоритм начинает работать против вас.
20.10.20 10:10
0 7

Способов много, но вот 1234qwer - совершенно точно не рекомендуется использовать.
20.10.20 10:03
0 3

Это слишком простые пароли. Надо ставить более сложные и хитроумные. Например паролем можно поставить год Канонизации Святого Доминика Григорием IX, - не взломает ни один хакер! А вот имя своего кота как пароль лучше не ставить, оно слишком простое и легко взламывается. %3^&! RrgTt_fх32!b, кыс-кыс-кыс, пойдём, Вискаса дам...
20.10.20 09:57
0 9

Китайцы взломали сервер Пентагона,
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзедун"
3. На 74357181-й попытке- сервер согласился, что у него пароль "Мао Цзедун"
anekdotov.net
20.10.20 09:54
0 25

Заглавная первая буква? Несколько цифр в конце? Замена 0 на О, I на 1? Эти паттерны давно известны взломщикам, и атака по словарю их учитывает.
"Устойчивость" таких паролей существенно ниже того, что пишут оценщики.
20.10.20 09:53
0 11

Я давно вас читаю и ещё раз: надеюсь, что вы не обидетесь на этот коммент.

То, что у вашего тестя звучное советское имя интересного происхождения на букву "В", ваша двоюродная сестра преподавала там же и то же, что раньше по вашим словам ваша мама, а у сиблинга вашей жены (не будем уточнять, брата или сестры) дофига научных публикаций - находится просто в гугле.
Без заранее скачанных баз, каких-либо знаний заранее о вашей семье, без социальной инженерии, да мне даже не пришлось включать впн в браузере. Только запросы в гугл и по найденным сайтам может еще пара переходов.

Если включить впн и пойти на какой-нибудь nomer-org.website, то это ещё быстрее. Есть базы разные предварительно скачанные есть под рукой, а у злоумышленников они наверняка есть, то вообще раз плюнуть. А если привлекать социнженерию через ваших родственников, то тут всё совсем плохо.
28.10.20 00:20
0 0

Алекс, я прошу прощения, если вас заденет этот комментарий, но для человека, который в интернете дольше, чем прожили большинство тех, кто без проблем найдет что угодно в интернете, вы потрясающе наивны.

Найти можно всё, конечно слишком сильно параноить вредно, но эта вот самоуверенность с "попробуй найди" - тоже неправильно. Захотят - найдут. Остальное напишу отдельным комментарием, чтобы проще было удалить, не удаляя этот.
27.10.20 23:41
0 0

Вы, уважаемый, идиот, потому что полностью переврали, то о чем говорил Алекс.
21.10.20 01:36
0 1

"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?Ну, найди имена моих тестя-тещи, вперед. А ведь я - человек очень публичный. "Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.В статье написано, что вы должны создать собственные паттерны. Делай заглавными вторую и четвертую буквы, вот и все. Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций?Читал. И что?
Наверное разница в вопросе стоимости и объекта атаки. Если атаковать будут именно конкретного пользователя, то там будут и имена всех одноклассников и фамилии всех тестей, номера авто, все домашние телефоны за историю, имена/прозвища сослуживцев и т.д. Только это не атака не "некого пользователя", а именно - взлом вот этого объекта может нам принести "много денег". Там на подготовку ко взлому ( сбор инфы) расходуют сотни USD.
20.10.20 13:56
0 3

Обычно человек, у которого можно отгадать не предложит отгадывать. А тот кто предложит, уверен, что этой инфы нет.
Ну, хорошо, ты знаешь, как зовут тестя какого-то человека. А теперь расскажи, как ты подберешь его пароль, если он использует описанную в статью методику. В подробностях расскажи.

Молодец, хорошо отшутился, садись - пять.
Да я и так сижу, мне на это твое разрешение не требуется совершенно.
20.10.20 12:26
4 4

Очень смешно.
Что именно тебе смешно? Найди имена моих тестя-тещи, после этого смейся сколько хочешь.

Дайте-ка отгадаю целевую аудиторию этой статьи.
Не отгадал, садись, два.
20.10.20 11:25
13 4

"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
Ну, найди имена моих тестя-тещи, вперед. А ведь я - человек очень публичный.

"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.
В статье написано, что вы должны создать собственные паттерны. Делай заглавными вторую и четвертую буквы, вот и все.

Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций?
Читал. И что?
20.10.20 10:38
8 3

Читал.
"Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто" - ага, ведь тестя/тещу не найти в соцсетях, да?
"Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной - в состоянии?" - вот о чем я и писал.

Встречный вопрос: Алекс, а ты читал рекомендации относительно паролей и их сложностей от серьезных организаций? Вот, навскидку:
docs.microsoft.com
www.ncsc.gov.uk
20.10.20 10:17
0 5

Заглавная первая буква? Несколько цифр в конце? Замена 0 на О, I на 1? Эти паттерны давно известны взломщикам, и атака по словарю их учитывает.
А вы мою статью-то вообще прочитали? Не отвечайте, вопрос чисто риторический.
20.10.20 10:02
9 2

20.10.20 09:51
1 22

И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами. В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
Вот не для всех.
Я, например, визуальную информацию запоминаю аналитически. Т.е. составляю себе описание. Игра мемори - мой персональный ад.
(для примера, когда Экслер выложил рецензию на "Вратаря галактики", первая моя мысль о "щеночке" была - это же вылитый персонаж из шнуровского клипа "Цой". Можете оценить уровень визуальной памяти)
20.10.20 21:50
0 1

В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
это так... если одно слово иногда. А когда надо сразу сотню, у меня в голове мешанина. Кто там был "силли" -- марин или лошадь?


У меня бы "сильмарион" запомнилось 😄
20.10.20 21:41
0 0

это запомнить легко, но если такие штуки нужно придумывать раз в месяц, и время от времени ретроспективно вспоминать обратно, херня выходит.
Но при этом вспомнить раз в миллион легче чем какой-нибудь заново придуманный y!s6@k%Lcy6

Торгану прохладной былиной. Когда-то в обсуждении препаратов для печени зашла речь о карсиле. И кто-то сказал, что можно любой препарат, где действующее вещество - силимарин. Была реплика, что такое не запомнить. И кто-то запостил картинку с космодесантником из вахи и кривляющимся лицом. Мол, silly marine. С тех пор (а прошло уже лет 12) я помню название действующего вещества карсила, а картинка этого глупого десантника встаёт перед глазами.

В общем-то визуальное запоминание у человека работате лучше всего, а запоминание именно парольных фраз - основа всех мнемотехник.
20.10.20 18:32
0 1

это запомнить легко, но если такие штуки нужно придумывать раз в месяц, и время от времени ретроспективно вспоминать обратно, херня выходит.
20.10.20 15:36
0 2

да любая фраза из кинофильмов. вряд ли вики-цитатник кто-то к генератору паролей прикрутит)
20.10.20 15:21
1 0

>>>Чем дебильнее фраза - тем легче запомнить
"мы их и в сортире замочим"
20.10.20 15:16
1 0

Чем дебильнее фраза - тем легче запомнить
20.10.20 12:02
0 0

Неужели у популярных сервисов нет защиты от брутфорса? Ведь достаточно сделать минимальную паузу в несколько секунд между последовательными вводами пароля и та же «верафролова» превратится в неприступную крепость.
20.10.20 09:43
1 5

Взламать могут и непопулярный сервис. Многие пользователя используют плохозапоминающиеся пароли, составленные по рекомендациям, подобным приведенным здесь (слово с буквами в разном регистре + спецсимволы, цифры и т.д.), и памяти им хватает всего на один такой пароль, поэтому он одинаковый на всех сервисах.
20.10.20 11:43
0 5

У популярных сервисов иногда утекают базы данных. Иногда, у популярных сервисов пароль хранится в открытом виде. Если у вас используется один пароль (или один алгоритм) на разных сервисах, то могут возникнуть проблемы.
20.10.20 10:00
0 1

"3. Пароли всегда регистрозависимые, и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре. "

Ага, конечно.... 😄

"Сбер@sberbank·
7 сент.
Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно." twitter.com
20.10.20 09:40
3 3

по поводу п.3 - всегда регистрозависимого пароля.
вот только в сентябре шумиха была по поводу того, что в сбер.онлайн паролю пофик на регистр. и сбер отмазался тем, что это для удобства пользователей.
ссылка на твиттер
20.10.20 09:38
1 1

Вероятно, большую. Я даже не имел ввиду сервера авторизации, хотя и на них то же. Я имею ввиду техподдержку "ааа... не могу войти меня взломали злые хакеры..."
20.10.20 20:26
0 1

И какую интересно? Ну скажем по сравнению с прохождением авторизации?
20.10.20 19:29
0 0

А вы знаете какую нагрузку создают люди которые забыли переключить клавиатуру? Где то читал совет даже не учитывать раскладку, то есть все равно в рус или лат была клавиатура, то есть генерить сразу два валидных хеша.
20.10.20 14:02
0 1

Я думаю, они просто воспользовались библиотекой, в данном конкретном программном продукте, который не видит разницы в размере букв. А переделать - долго и дорого.
Это немного не так работает 😄 Все пароли хранятся в хэшированном виде. Грубо говоря это 0cbc6611f5540bd0809a388dc95a615b хэш пароля Test. Из этого хэша обратно в пароль Вы не можете переделать. Авторизация работает таким образом. 1. Вы вводите на сайте пароль. 2. Он хэшируется. 3. Он сравнивается с тем что в базе. Совпало = авторизация. Но если Вы введете Test, то хэш этого пароля будет f2fa76876a76fb05b9b60ef1d231722f и авторизация не пройдет. Единственный способ который я вижу - первый введенный Вами при регистрации пароль приводить скажем к нижнему регистру и писать его в базу. И введенный пользователем пароль при авторизации тоже приводить к нижнему регистру. Это сделано намерено.
20.10.20 13:19
0 4

Я думаю, они просто воспользовались библиотекой, в данном конкретном программном продукте, который не видит разницы в размере букв. А переделать - долго и дорого.
20.10.20 12:39
0 0

Это само собой. Я к тому, что справедливости ради сказать это безобразие придумали управленцы. И никак не айтишники. Так что сбер не отмазался. Но это не отменяет их дебилизм.
20.10.20 11:47
0 0

пароли у сбера регистро независые уже 15 лет а вы только сейчас узнали?) лучше поздно чем никогда...
20.10.20 11:03
1 0

Именно поэтому они - законченные кретины. А не просто ошиблись.
20.10.20 10:46
4 1

Это все равно сделано специально. А не ошибка в коде.
20.10.20 10:07
0 0

Слышал об этой истории, да, совершенно поразительные феномены 😄
20.10.20 10:01
1 0

Это Греф дал, конечно.
20.10.20 09:47
1 0

Обычно проблемы начинаются, когда необходима регулярная смена паролей. Парочку раз можно создать супернадежный, суперзащищенный пароль, а вот когда подобным заниматься приходится раз в пару месяцев. в голове образуется удивительная каша и тут уж чем пароль проще, тем меньше шансов его перепутать с сотней предыдущих паролей.
20.10.20 09:35
0 13

Это зависит от схемы. Например названия нот в вашем любимом муз. произведении если нотной грамотой владеете
28.10.20 10:05
0 0

Такой метод хранения использовался до 8-й версии: на каждый пароль свой отдельный файл. 8-я версия перешла на хранение в одном файле.
8,9,4,4 на данный момент, обновляется постоянно...
по идее могли бы намекнуть что стоит базу как-то конвертировать. но нет, работает по старому
SRV
21.10.20 10:21
0 0

Такой метод хранения использовался до 8-й версии: на каждый пароль свой отдельный файл. 8-я версия перешла на хранение в одном файле.
21.10.20 09:43
0 0

В начало сложного пароля ставьте цифру.
От ноля до F 😉
20.10.20 21:06
0 1

Если сделать это с паролем много раз, то легко забыть, какой вариант актуальный. Тогда уж лучше вставлять в начало пароля "месяц-год", типа '1020yourpass'.
(Это был ответ на сообщение "Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc")
20.10.20 17:34
0 0

может быть, если хранить в облаке. я локально все держу. у меня эта папка годов с нулевых наверное, растет по версиям. и все новые версии ее подхватывают и работают с ней.
SRV
20.10.20 16:53
0 0

У меня там такого нет.
20.10.20 16:39
0 0

В каком смысле "в открытом виде хранятся"?
А найди на компе папку где хранит все робоформ. Там на каждую запись делается свой файлик,, и как правило понятно что он содержит. Да, прочитать ты его не можешь, но просто эта папка дает понять где ты лазишь и что хранишь.
Наверное легкая паранойка, но я сталкивался с с желанием ментов полазить в моем компе. Сейчас у меня при включении вылазит окошко со вводом пароля на криптодиск, без него комп практически чистейший....
SRV
20.10.20 16:30
0 1

или с обновлением ждать и мне требование заменить мастер-пароль?
Ага, он обновился, форма ввода стала очень большой и хочет поменять мастер-пароль.
20.10.20 14:03
0 0

В каком смысле "в открытом виде хранятся"?
20.10.20 13:07
0 1

Мне не нравится Lastpass, я последние лет 15 использую платный Roboform. Он такой фигней не страдает.
тоже гоняю робоформ с рождения. но меня убивает тема что твои записи в открытом виде хранятся. да они зашифрованы, но что хранится все равно палится.
SRV
20.10.20 13:05
0 1

Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc
Такую схему в 90% случаев не позволительно использовать, система проверяет, что бы начала у паролей не совпадали. А вот если порядковый номер пароля добавлять ПЕРЕД самим паролем - то всё работает.
20.10.20 12:47
0 1

Все это решается если вы придумаете себе схему смены паролей: какой-то алгоритм как генерить новый пароль относительно старого. Самый примитив Pass00, Pass01, Pass02, etc
20.10.20 11:03
0 2

Обычно проблемы начинаются, когда необходима регулярная смена паролей. Парочку раз можно создать супернадежный, суперзащищенный пароль, а вот когда подобным заниматься приходится раз в пару месяцев. в голове образуется удивительная каша и тут уж чем пароль проще, тем меньше шансов его перепутать с сотней предыдущих паролей.
В начало сложного пароля ставьте цифру. Тогда нужно будет перезапоминать только её. Я так в сапе и делаю, он каждые 3 месяца требует пароль менять 😄
20.10.20 10:55
0 1

Мне не нравится Lastpass, я последние лет 15 использую платный Roboform. Он такой фигней не страдает.
20.10.20 10:35
0 1

[QUOTEВ этом случае используйте менеджер паролей, вот и все.[/QUOTE]
Ага. Lastpass, например, который месяц хочет, чтоб я поменял мастер-пароль. Еще и старый в качестве замены не принимает.
20.10.20 10:14
0 5

Обычно проблемы начинаются, когда необходима регулярная смена паролей.
В этом случае используйте менеджер паролей, вот и все.
20.10.20 10:06
3 0

Спасибо! Познавательно.

Еще можно в пароль по известному одному тебе принципу включать имя сайта или сервиса, где он применяется.
20.10.20 09:28
0 5

А если вы как еще более извращенец будете вводить словами HEX значение каждой буквы URL - так и вовсе криптостойко получается.
21.10.20 13:43
0 0

Что понятно тебе, будет понятно и взломщикам. Это - немногим лучше, чем использование одного пароля на всех сервисах.Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
Если пароль утек с одного сервиса то понятно не будет, особенно если Вы вставляете в абракадабру генеренного пароля.
TuheeSxhu6ephoTe3lu - вот вариант для exler.ru по подобному алгоритму к один раз нормально выученному генеренному паролю, а если Вы как нормальный извращенец будете не вставлять части названия сайта, а делать сдвиг алвафита, то надо чтобы утечка была глобальной на 6-10 паролей.
P.S. все сервисы для проверки защиты от перебора считают что они знают мощность алфавита - явно ошибочное утверждение
21.10.20 12:30
0 0

налогоплательщиков украины сломали внедрив троян в апдейт местной фискальной утилиты.
Ну если вы в курсе этой истории, то должны помнить, что распространение там происходило за счет бага протокола SMB, который Майкрософт пропатчила еще за месяц до описываемых событий.
20.10.20 15:51
0 0

???Вот вы щас прямо новые горизонты открываете!
Это с какой это версии Windows начала, вдруг, как вы выражаетесь "сигнатуры" использовать? И сразу вопрос номер два: как же мне бедному теперь в блокноте открыть текстовый файл с первыми символами MZ?
20.10.20 15:39
0 3

Потому что запускает операционка, и запускает она не по расширению давно уже, а по сигнатуре. А по сигнатуре файл может быть исполняемым бинарником.

Ах да, я понял, у вас линукс и прав на исполнение у сохраненного в песочницу файла нет.
20.10.20 15:33
1 0

С чего бы ему запускаться? Тем более, если файл из браузера сохранен. Или у вас до сих пор Office 97 стоит? Так в нём .docx не открывается.
20.10.20 15:28
0 0

При попытке открыть docx троян уже запустился. Или ты его сначала открываешь в hex редакторе?
20.10.20 15:24
1 1

И? Открываю в ворде, ворде не дает его редактировать. Ну ок, разрешаю редактировать. Ворд пишет, что отключил скрипты. Дальнейшие мои действия?
20.10.20 15:19
0 0

docx файл прислать с емайла дедушки. Или к примеру не так давно почти всех налогоплательщиков украины сломали внедрив троян в апдейт местной фискальной утилиты. Сколько у вас софта стоит который самообновляется?
20.10.20 15:16
0 0

Очень мало людей не способны словить трояна
Ой, а расскажите как! Ну хоть намекните! А то вот я реально не представляю. Антивирусов не держу, ОС и браузер апдейтятся по дефолту...
20.10.20 14:59
0 2

Очень мало людей не способны словить трояна. Особенно не словить специально написанного трояна, которого не детектят антивирусы и которого специально засылают, в том числе со взломанных доверенных аккаунтов.
20.10.20 14:54
4 0

Пишем трояна и вытягиваем его базу
:))))
Если человек способен словить трояна, то зачем красть пароли?????
20.10.20 14:22
0 2

Собственно есть два вида взломов. Одно дело если нам нужны просто деньги или аккаунты для спама. Мы берем базы и прогоняем через словарь - опа, сразу есть с чем работать.

Другое дело если нам заказан конкретный вася пупкин. Тут уже много работы, установить все ники, емайлы, сервисы, посмотреть в каких базах он засвечен, попробовать понять логику на примере 2-3-5 паролей от разных сервисов. Это уже дорогая творческая работа. Ну вот скажем стало ясно, используется менеджер паролей. Пишем трояна и вытягиваем его базу + кейлогом мастер пароль.
20.10.20 14:14
2 3

Пока что это лучший вариант, на мой взгляд.
20.10.20 14:05
1 0

Что понятно тебе, будет понятно и взломщикам. Это - немногим лучше, чем использование одного пароля на всех сервисах.
Поможет только против автоматического подбора по слитым базам (хотя конечно это подавляющее большинство атак), а вот против человека уже не прокатит.
20.10.20 12:14
4 1

Вариант, да.
20.10.20 10:06
0 0

Пользуюсь Bitwarden. У него в бесплатной версии лучше интеграция на Android. В ПК-версии стоит расширение для Хрома и Оперы. Раньше ластпассом пользовался, но потестил битварден - в него отлично сохраненные пароли перенеслись с ластпасса.
20.10.20 09:21
0 7

SafeInCloud ещё хороший менеджер паролей. Российский разработчик. Вот сайт. Перешёл на него с RoboForm, перепробовав несколько других программ
20.10.20 09:18
1 2

я тоже использую SafeInCloud, много лет уже. никаких проблем, очень доволен
13.09.23 04:52
0 0

Этого недостаточно?
20.10.20 17:42
0 0

А что вам это даст, кроме как чувство ложной уверенности в том, что что кто то уж точно их прочитал, осознал, скомпилил и вдобавок еще и всем о дыре рассказал?
20.10.20 14:16
1 2

российский разработчик? 😄))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
20.10.20 12:41
6 2

Исходники открытые?
20.10.20 11:58
0 2

Согласен. Мне иногда кажется что такие проекты специально создают чтобы побольше простачков туда заманить
20.10.20 11:02
2 1

Напрасно. Реально классный проект. Пароли хранятся в шифрованном файле, синхронизация через гуглодиск. Своего отдельно облака как у робоформа нет. Пару раз обращался в поддержку - автор отвечает быстро и адекватно
20.10.20 10:42
1 0

Что ещё почитать