Comments 61
Допустим, я отказался от случайной генерации длинных паролей, их хранения в хранилке и решил позапоминать. Вопрос: по какому правилу «немного искажается текст»?
Если правило постоянное, то стоит его описать в посте. Если случайным образом и по настроению — то пароль всё равно придётся долго запоминать, и это отстой.
И главное — пароль легко запомнить
Неа. И транслитерация неоднозначна, и "немного искажаем" неоднозначно (собственно, смотри третий кадр в процитированном комиксе). А учитывая, что пароли "должны быть" разные для каждого ресурса, вам нужно либо много стартовых мнемоник, либо много правил, и вы все равно запутаетесь.
Так что менеджер паролей все еще лучше.
Так что менеджер паролей все еще лучше.
Я использую эту систему везде, и, параллельно, храню пароли в менеджере паролей.
Штук двадцать самых используемых сайтов я помню именно в виде мнемоник.
И, когда работал в офисе, использовал эту систему для создания паролей для доменных учётных записей, а мнемонику писал в подсказке.
Правило искажений придумывайте сами
Ну и получим ровно картинку с третьего кадра.
Штук двадцать самых используемых сайтов я помню именно в виде мнемоник.
Но зачем, если я их никогда не ввожу руками?
И, когда работал в офисе, использовал эту систему для создания паролей для доменных учётных записей
А я просто помню пароль от учетной записи наизусть. Потому что менять их раз в три месяца никаких мнемоник не напасешься.
Но зачем, если я их никогда не ввожу руками?
А был вынужден вводить. Иногда приходилось работать на компьютерах/ноутбуках на которых не было возможности установить мою хранилку (на рабочем месте у меня был настольный ПК, а на выезды давался преднастроенный ноутбук). И надо было либо возить с собой блокнот с паролями, либо держать пароли в голове.
Кстати, спасибо за вопрос, я как-то не подумал написать, почему эта система возникла, и какие проблемы решала/ет.
ТО один хранит все пароли в текстовом файле в зашифрованном архиве с аргументацией что пароли всегда под рукой
то второй предлагает какие-то сложные правила формирования паролей на базе названия сайтов.
Если вам надо сохранить пароль то следуете плану:
1) устанавливаете любой понравившийся парольный менеджер. (должен иметь клиенты под вашу ось и мобилу + иметь синхрнизацию)
2) Придумываете сложный и надежный мастер пароль (парольная фраза или слово записаное LEET ну вообщем проявите фантазию )
3) все свои пароли генерируете и храните в нем. Даже для одноразовых ресурсов.
4) при желании обмазываетесь всякими плагинами типа расширений браузеров и пони какающих радугой
5)…
5) радуетесь тому чтоб ваши пароли в безопасности.
А пароли для каждой из баз хранить в голове (моим способом или иным каким), либо в блокноте.
Парольный менеджер прячет пароль за звездочками поэтому скопировать вставить можно не раскрывая пароля. Да даже длину не узнать помтоучто на всех паролях стоит одинаковое количество звездочек вне зависимости от длины пароля.
Насчет закрытых исходников. keepass вроде как проходил аудит у независимых компаний.
Могу уверить вас что камера смартфона отлично запомнит все ваши пароли разом и мелкие шрифты этому совсем не помеха.
Я считаю что уровень паранойи все же стоит регулировать и остановится стоит где-то посередине между удобством и безопасностью. Хорошие пароли в парольном менеджере с бэкапом и синхронизацией а также 2-factor на критичные сервисы. Остальные методы сильно усложняют жизнь с минимальным приростом безопасности. Если вы считаете что в gnupgp нет багов то вспомнить heartbleed в openssl
А так, да: GnuPG очень хорошо шифрует.
если машина затрояненаДа, и мастер-пароль и БД хранилки утечёт.
Кстати, и в Linux (seahorse + GPG + дэймон не помню какой) и в Windows (менеджер учётных записей == GUI + служба) есть способ сберечь базу от трояна:
файл с базой открывает не программа, запущенная от текущего пользователя, а дэймон/служба, запущенная от специальной/системной учётки. А GUI общается с этим дэймоном / службой через DBus(linux) / NamedPipes(win).
Но я не видел способа взять эту базу на флэшку, чтоб использовать на другом ПК, и не кроссплатформенно.
Злоумышленнику достаточно подобрать или выкрасть один пароль чтобы получить доступ ко всем.
Все таки надежнее не хранить пароли в виде паролей.
Например можно в качестве паролей использовать хэш, а хэшер написать самому или использовать стандартный алгоритм.
можно в качестве паролей использовать хэш, а хэшер написать самому
Хорошая мысль, но у меня не прижилось.
Например можно в качестве паролей использовать хэш
Если можно, поясните пожалуйста. Вы предлагаете хранить архив с файлами(Sitename1, sitename2, sitename3), а пароль к ним это хэш сумма этих файлов. Я правильно понял?
Храним строки вида
Vasya@https://habr.com
Vasya@https://vk.com,
а, в качестве пароля к этим ресурсам, используем хэши (части хэшей) этих строк.
Если речь о аккаунте в соц сети — тут за глаза хватит и менеджера паролей.
Если пароль от ИБ в котором лежит куча денег — то можно упороться по полной программе:
— завести удаленный сервер, например на AWS
— кинуть в него SSH-туннель и ходить через этот прокси — чтобы никакой супостат в виде трояна на Вашей машине или СОРМ у оператора не мог его перехватить
— написать портабл хэшер и держать его на флэшеньке. Хэшер может быть например банальная CRC32 но с нестандартным полиномом и подменой каких-то позиций на спецсимволы.
— на своей машине держать файлик в котором логин и пароль будут — login и password. Чтоб повысить градус параноии — держать их в менеджере паролей.
— далее эти login и password скармливаете своему хэшеру и получате реальные логин и пароль который копипастой вставляете в браузер который по шифрованному соединению передает их через американский сервер в банк =)
Таким образом, вы помните один хороший пароль, а на разных сайтах используются разные и сложные пароли.
Я пошёл дальше и написал расширение:
addons.mozilla.org/firefox/addon/art-password
В нём я добавил сокрытие большей части пароля, вставку в активное поле на странице и соль, задаваемую в настройках. Даже если кейлоггер подсмотрит мастер-пароль ему надо будет ещё угадать соль, никогда не набираемую.
К нему есть программка для Андроид (даже без разрешений на интернет и т.п.):
play.google.com/store/apps/details?id=com.revertron.art_pass
Если Вы меняете мастер-пароль, то вынуждены менять пароли сразу на всех ресурсах (а это и сайты в Интернет, и служебные программы/ базы данных и прочее).
Вот ежели у Вас 150 учётных записей захэшированы в одном списке, то задолбаетесь менять 150 учёток.
Если какой-то сайт нуждается в смене пароля, просто достаточно в конце мастер-пароля добавить 1, потом 2, потом 3 и так далее. И во всех этих случаях пароль будет полностью новым. И для вас не составит труда запомнить, что на каком-то условном альфа-банке у вас 2 раза сменился пароль. А для остальных пусть будет старый.
Кроме того, даже если он утёк, я писал о том, что в настройках расширения и аппки есть соль, без которой пароль бесполезен.
«қаттиқ» (по-узбекски, я не знаю современную орфографию узбекского, которая на латинице)
Будет «Qattiq».
Чем Ваш метод принципиально лучше метода «Берём фразу и транслитируем её?»
Например: "Большие города, Пустые поезда" --> "<jkmibt ujhjlf? Gecnst gjtplf".
Если внутри будет несловарное слово, то вообще красота.
Ну это на случай, если не хочется пользоваться менеджером пароля.
Если внутри будет несловарное слово,
Вот редкие языки и используются здесь, как источник «несловарных» слов. Те подборщики паролей, о которых я знаю, не содержат в своих базах слов из узбекского, бурятского, мордовского или языка манси.
Никогда не использовал менеджеры паролей. Лично я придумал и пользуюсь, наверняка не уникальной, системой генерации уникальных паролей под каждый сервис.
Если сервис однодневка или представляет околонулевую ценность для злоумышленника (например сервис с бесплатными онлайн курсами. Что он мне сделает, задачи за меня решать будет?), то используется один и тот же пароль для простоты. С более важными сервисами использую примерно такую схему.
1) придумать мнемонику. Например, 741852963 — пройтись по нумпаду сверху вниз, слева направо. Я пользуюсь одной единственной для всех паролей
2) разбавить мнемонику буквами, выбрав расположение и case букв. Например, 7Q4w1e8r5T2y963. Позиция букв между цифрами и на каких позициях upper case это фиксированная для системы информация
3) подставить в выбранное расположение и case буквы, имеющие отношние к сервису. Если одна компания имеет единый аккаунт на сервисах с разным названием, то в буквах использую название компании. Если нет, то url сайта. Т.е. должно получиться что-то вроде 7H4a1b8R52963
4) придумать фиксированное натуральное n и сделать смещение шифром Цезаря для букв. Получится что-то вроде 7K4d1e8U52963
У подобной системы полно плюсов:
1) Всегда можно восстановить пароль если забыл
2) Уникальный пароль под каждый сервис
3) Для компрометации системы один и тот же злоумышленник должен заполучить несколько паролей, что бы увидеть закономерности, а для это ограничивает количество способов, которым может быть скомпрометированна система — например, утечка паролей на каком-нибудь сайте, как это часто происходит, где они хранились в открытом виде, не скомпромтирует. А вот какое-нибудь шпионское по, которое зафиксирует ввод нескольких паролей позволит при желании скомпрометировать
4) Система допускает генерацию нового пароля при необходимости — если стало известно об утечке паролей на сервисе или если сервис прекращает работу дейтсвия пароля со временем, требуя изменения (qiwi например). Можно просто делать n + 1 для шифра Цезаря
Как я запомнил такую систему — очень просто, я перестал сохранять куки. Когда везде каждый раз логинишься заново и используешь систему, то она запоминается и не представляет никакой проблемы для того, что бы секунд за 5 ввести пароль.
И, разумеется, можно изменить систему по своему вкусу или придумать несколько систем для разных классов сервисов — неважные, важные, критические (например, банковский счёт)
Удобные пароли для полиглотов