Comments 61
Допустим, я отказался от случайной генерации длинных паролей, их хранения в хранилке и решил позапоминать. Вопрос: по какому правилу «немного искажается текст»?
Если правило постоянное, то стоит его описать в посте. Если случайным образом и по настроению — то пароль всё равно придётся долго запоминать, и это отстой.
И главное — пароль легко запомнить
Неа. И транслитерация неоднозначна, и "немного искажаем" неоднозначно (собственно, смотри третий кадр в процитированном комиксе). А учитывая, что пароли "должны быть" разные для каждого ресурса, вам нужно либо много стартовых мнемоник, либо много правил, и вы все равно запутаетесь.
Так что менеджер паролей все еще лучше.
Правило искажений придумывайте сами, у всех мозги работают по-разному. Я в этом убедился, когда объяснял свою систему коллегам и родственникам.
Я использую эту систему везде, и, параллельно, храню пароли в менеджере паролей.
Штук двадцать самых используемых сайтов я помню именно в виде мнемоник.
И, когда работал в офисе, использовал эту систему для создания паролей для доменных учётных записей, а мнемонику писал в подсказке.
Так что менеджер паролей все еще лучше.
Я использую эту систему везде, и, параллельно, храню пароли в менеджере паролей.
Штук двадцать самых используемых сайтов я помню именно в виде мнемоник.
И, когда работал в офисе, использовал эту систему для создания паролей для доменных учётных записей, а мнемонику писал в подсказке.
Правило искажений придумывайте сами
Ну и получим ровно картинку с третьего кадра.
Штук двадцать самых используемых сайтов я помню именно в виде мнемоник.
Но зачем, если я их никогда не ввожу руками?
И, когда работал в офисе, использовал эту систему для создания паролей для доменных учётных записей
А я просто помню пароль от учетной записи наизусть. Потому что менять их раз в три месяца никаких мнемоник не напасешься.
Но зачем, если я их никогда не ввожу руками?
А был вынужден вводить. Иногда приходилось работать на компьютерах/ноутбуках на которых не было возможности установить мою хранилку (на рабочем месте у меня был настольный ПК, а на выезды давался преднастроенный ноутбук). И надо было либо возить с собой блокнот с паролями, либо держать пароли в голове.
Кстати, спасибо за вопрос, я как-то не подумал написать, почему эта система возникла, и какие проблемы решала/ет.
Хоспади. Чем же люди не страдают лишь бы не пользоваться парольными менеджерами.
ТО один хранит все пароли в текстовом файле в зашифрованном архиве с аргументацией что пароли всегда под рукой
то второй предлагает какие-то сложные правила формирования паролей на базе названия сайтов.
Если вам надо сохранить пароль то следуете плану:
1) устанавливаете любой понравившийся парольный менеджер. (должен иметь клиенты под вашу ось и мобилу + иметь синхрнизацию)
2) Придумываете сложный и надежный мастер пароль (парольная фраза или слово записаное LEET ну вообщем проявите фантазию )
3) все свои пароли генерируете и храните в нем. Даже для одноразовых ресурсов.
4) при желании обмазываетесь всякими плагинами типа расширений браузеров и пони какающих радугой
5)…
5) радуетесь тому чтоб ваши пароли в безопасности.
ТО один хранит все пароли в текстовом файле в зашифрованном архиве с аргументацией что пароли всегда под рукой
то второй предлагает какие-то сложные правила формирования паролей на базе названия сайтов.
Если вам надо сохранить пароль то следуете плану:
1) устанавливаете любой понравившийся парольный менеджер. (должен иметь клиенты под вашу ось и мобилу + иметь синхрнизацию)
2) Придумываете сложный и надежный мастер пароль (парольная фраза или слово записаное LEET ну вообщем проявите фантазию )
3) все свои пароли генерируете и храните в нем. Даже для одноразовых ресурсов.
4) при желании обмазываетесь всякими плагинами типа расширений браузеров и пони какающих радугой
5)…
5) радуетесь тому чтоб ваши пароли в безопасности.
Я пользуюсь менеджером паролей, но пароли от самых активно используемых ресурсов/приложений держу в голове.
Что только не придумают люди, лишь бы не создавать единую точку отказа для всей твоей запароленной деятельности, в сети и не только, в виде парольного менеджера, ага.
Ну, все пароли можно хранить в 2..N базах, разделив их по уровню критичности.
А пароли для каждой из баз хранить в голове (моим способом или иным каким), либо в блокноте.
А пароли для каждой из баз хранить в голове (моим способом или иным каким), либо в блокноте.
почему это? Ваша база есть на компе. И из-за синхронизации она же есть на мобиле. Ну и еще где-то там в интернете. Возможно на работе у вас еще одна копия.
UFO just landed and posted this here
ок. вот ситуация. Вам надо использовать пароль но за спиной у вас есть несколько подглядывающих. если откроете файл засветите все пароли сразу
Парольный менеджер прячет пароль за звездочками поэтому скопировать вставить можно не раскрывая пароля. Да даже длину не узнать помтоучто на всех паролях стоит одинаковое количество звездочек вне зависимости от длины пароля.
Насчет закрытых исходников. keepass вроде как проходил аудит у независимых компаний.
Парольный менеджер прячет пароль за звездочками поэтому скопировать вставить можно не раскрывая пароля. Да даже длину не узнать помтоучто на всех паролях стоит одинаковое количество звездочек вне зависимости от длины пароля.
Насчет закрытых исходников. keepass вроде как проходил аудит у независимых компаний.
UFO just landed and posted this here
уверен вы также не попадали в ситуацию когда ктото пытался украсть ваш пароль через уязвимости в парольном менеджере. но вас это почемуто беспокоит и вы используете ваш костыльный метод вместо keepassxc.
Могу уверить вас что камера смартфона отлично запомнит все ваши пароли разом и мелкие шрифты этому совсем не помеха.
Я считаю что уровень паранойи все же стоит регулировать и остановится стоит где-то посередине между удобством и безопасностью. Хорошие пароли в парольном менеджере с бэкапом и синхронизацией а также 2-factor на критичные сервисы. Остальные методы сильно усложняют жизнь с минимальным приростом безопасности. Если вы считаете что в gnupgp нет багов то вспомнить heartbleed в openssl
Могу уверить вас что камера смартфона отлично запомнит все ваши пароли разом и мелкие шрифты этому совсем не помеха.
Я считаю что уровень паранойи все же стоит регулировать и остановится стоит где-то посередине между удобством и безопасностью. Хорошие пароли в парольном менеджере с бэкапом и синхронизацией а также 2-factor на критичные сервисы. Остальные методы сильно усложняют жизнь с минимальным приростом безопасности. Если вы считаете что в gnupgp нет багов то вспомнить heartbleed в openssl
С зашифрованным текстовым файлом есть проблема: он какое-то время лежит на диске (В «C:\Users\username\Appdata\temp\unencrypted.txt» или "/home/username/.crypter/unencrypted.txt"). И если Ваша машина заражена каким-то трояном, то файл этот может запросто утечь.
А так, да: GnuPG очень хорошо шифрует.
А так, да: GnuPG очень хорошо шифрует.
UFO just landed and posted this here
если машина затрояненаДа, и мастер-пароль и БД хранилки утечёт.
Кстати, и в Linux (seahorse + GPG + дэймон не помню какой) и в Windows (менеджер учётных записей == GUI + служба) есть способ сберечь базу от трояна:
файл с базой открывает не программа, запущенная от текущего пользователя, а дэймон/служба, запущенная от специальной/системной учётки. А GUI общается с этим дэймоном / службой через DBus(linux) / NamedPipes(win).
Но я не видел способа взять эту базу на флэшку, чтоб использовать на другом ПК, и не кроссплатформенно.
И что мешает использовать с открытыми исходниками? Тот же keepassxc
Надеюсь мне простят небольшое отклонение от сабжа. Насколько разумно хранить бд менеджера паролей в открытом виде?
Хранить БД менеджера паролей довольно безопасно, у JPasswords, которым я пользуюсь, БД зашифрована, и довольно надёжно. Главное: мастер-пароль от БД придумать стойкий, и менять раз в 3..4 месяца.
Еще в настройках базы установить такое количество циклов преобразованяи мастер пароля чтоб проверка пароля занимала около 1 секунды. Для юзера эта задержка не особо заметна а вот злоумышленику она серьезно подпортит планы
Хм…, А подкиньте, пожалуйста, быстрые алгоритмы криптоанализа и дешифрования, а я на выходных проведу эксперимент: проверю гипотезу «Влияет ли количество перешифрований алгоритмом TwoFish на время расшифровки БД?».
а что не должно влиять?
Я, честно говоря, не знаю: при хорошем источнике гаммы должно быть неважно, сколько раз ты гаммируешь (Шифр = Гамма XOR ИсходныйТекст) исходный текст. В идеальном случае, должно хватать и одного прохода.
Множественные проходы делаются для замедления перебора паролей злоумышленником. Причем база шифруется одним алгоритмом а вот ключ формируется другим. Например в keepassxc база шифруется aes256 twofish258 chacha20-256 на выбор а ключ формируется алгоритмом argon2. и для 1 секундной задержки циклов преобразования достаточно всего 15
Ну дык Ваш менеджер паролей — это слабое место в этой системе.
Злоумышленнику достаточно подобрать или выкрасть один пароль чтобы получить доступ ко всем.
Все таки надежнее не хранить пароли в виде паролей.
Например можно в качестве паролей использовать хэш, а хэшер написать самому или использовать стандартный алгоритм.
Злоумышленнику достаточно подобрать или выкрасть один пароль чтобы получить доступ ко всем.
Все таки надежнее не хранить пароли в виде паролей.
Например можно в качестве паролей использовать хэш, а хэшер написать самому или использовать стандартный алгоритм.
можно в качестве паролей использовать хэш, а хэшер написать самому
Хорошая мысль, но у меня не прижилось.
Например можно в качестве паролей использовать хэш
Если можно, поясните пожалуйста. Вы предлагаете хранить архив с файлами(Sitename1, sitename2, sitename3), а пароль к ним это хэш сумма этих файлов. Я правильно понял?
Насколько я понимаю, принцип такой:
Храним строки вида
Vasya@https://habr.com
Vasya@https://vk.com,
а, в качестве пароля к этим ресурсам, используем хэши (части хэшей) этих строк.
Храним строки вида
Vasya@https://habr.com
Vasya@https://vk.com,
а, в качестве пароля к этим ресурсам, используем хэши (части хэшей) этих строк.
Ну во первых оговорюсь — это вопрос ценности информации которую Вы защищаете.
Если речь о аккаунте в соц сети — тут за глаза хватит и менеджера паролей.
Если пароль от ИБ в котором лежит куча денег — то можно упороться по полной программе:
— завести удаленный сервер, например на AWS
— кинуть в него SSH-туннель и ходить через этот прокси — чтобы никакой супостат в виде трояна на Вашей машине или СОРМ у оператора не мог его перехватить
— написать портабл хэшер и держать его на флэшеньке. Хэшер может быть например банальная CRC32 но с нестандартным полиномом и подменой каких-то позиций на спецсимволы.
— на своей машине держать файлик в котором логин и пароль будут — login и password. Чтоб повысить градус параноии — держать их в менеджере паролей.
— далее эти login и password скармливаете своему хэшеру и получате реальные логин и пароль который копипастой вставляете в браузер который по шифрованному соединению передает их через американский сервер в банк =)
Если речь о аккаунте в соц сети — тут за глаза хватит и менеджера паролей.
Если пароль от ИБ в котором лежит куча денег — то можно упороться по полной программе:
— завести удаленный сервер, например на AWS
— кинуть в него SSH-туннель и ходить через этот прокси — чтобы никакой супостат в виде трояна на Вашей машине или СОРМ у оператора не мог его перехватить
— написать портабл хэшер и держать его на флэшеньке. Хэшер может быть например банальная CRC32 но с нестандартным полиномом и подменой каких-то позиций на спецсимволы.
— на своей машине держать файлик в котором логин и пароль будут — login и password. Чтоб повысить градус параноии — держать их в менеджере паролей.
— далее эти login и password скармливаете своему хэшеру и получате реальные логин и пароль который копипастой вставляете в браузер который по шифрованному соединению передает их через американский сервер в банк =)
UFO just landed and posted this here
Не всегда такое помогает
Все же помнят классический пароль: «сорок тысяч обезьян...»? :)
Тут на Хабре писали уже о генераторе vpass.info, который в зависимости от мастер-пароля и домена сайта генерирует очень хороший пароль. Всегда одинаково.
Таким образом, вы помните один хороший пароль, а на разных сайтах используются разные и сложные пароли.
Я пошёл дальше и написал расширение:
addons.mozilla.org/firefox/addon/art-password
В нём я добавил сокрытие большей части пароля, вставку в активное поле на странице и соль, задаваемую в настройках. Даже если кейлоггер подсмотрит мастер-пароль ему надо будет ещё угадать соль, никогда не набираемую.
К нему есть программка для Андроид (даже без разрешений на интернет и т.п.):
play.google.com/store/apps/details?id=com.revertron.art_pass
Таким образом, вы помните один хороший пароль, а на разных сайтах используются разные и сложные пароли.
Я пошёл дальше и написал расширение:
addons.mozilla.org/firefox/addon/art-password
В нём я добавил сокрытие большей части пароля, вставку в активное поле на странице и соль, задаваемую в настройках. Даже если кейлоггер подсмотрит мастер-пароль ему надо будет ещё угадать соль, никогда не набираемую.
К нему есть программка для Андроид (даже без разрешений на интернет и т.п.):
play.google.com/store/apps/details?id=com.revertron.art_pass
Интерееесно… Надо глянуть.
Revertis, asmolenskiy Вообще-то у хэшеров есть неудобство:
Если Вы меняете мастер-пароль, то вынуждены менять пароли сразу на всех ресурсах (а это и сайты в Интернет, и служебные программы/ базы данных и прочее).
Вот ежели у Вас 150 учётных записей захэшированы в одном списке, то задолбаетесь менять 150 учёток.
Если Вы меняете мастер-пароль, то вынуждены менять пароли сразу на всех ресурсах (а это и сайты в Интернет, и служебные программы/ базы данных и прочее).
Вот ежели у Вас 150 учётных записей захэшированы в одном списке, то задолбаетесь менять 150 учёток.
А зачем менять мастер-пароль для всех сайтов?
Если какой-то сайт нуждается в смене пароля, просто достаточно в конце мастер-пароля добавить 1, потом 2, потом 3 и так далее. И во всех этих случаях пароль будет полностью новым. И для вас не составит труда запомнить, что на каком-то условном альфа-банке у вас 2 раза сменился пароль. А для остальных пусть будет старый.
Если какой-то сайт нуждается в смене пароля, просто достаточно в конце мастер-пароля добавить 1, потом 2, потом 3 и так далее. И во всех этих случаях пароль будет полностью новым. И для вас не составит труда запомнить, что на каком-то условном альфа-банке у вас 2 раза сменился пароль. А для остальных пусть будет старый.
Вы меня не поняли. Периодически нужно менять мастер-пароль, на тот случай, если тот куда-то утёк, а я не заметил утечки. Это простое правило информационной гигиены, такое же, как требования периодически стирать носки и бельё, мыть руки каждый раз перед едой и т.п.
Нет. Сейчас специалисты пишут, что менять пароль бесполезно.
Кроме того, даже если он утёк, я писал о том, что в настройках расширения и аппки есть соль, без которой пароль бесполезен.
Кроме того, даже если он утёк, я писал о том, что в настройках расширения и аппки есть соль, без которой пароль бесполезен.
Если мастер-пароль утёк и вы не узнали о факте утечки, все пароли скомпрометированы. Какой смысл тогда менять мастер-пароль? В идеале, на мой взгляд, ресурсы предоставляют апи, с коротым взаимодействует пасс менеджер. Последний в свою очередь генерит пароль N раз в K дней.
«қаттиқ» (по-узбекски, я не знаю современную орфографию узбекского, которая на латинице)
Будет «Qattiq».
Чем Ваш метод принципиально лучше метода «Берём фразу и транслитируем её?»
Например: "Большие города, Пустые поезда" --> "<jkmibt ujhjlf? Gecnst gjtplf".
Если внутри будет несловарное слово, то вообще красота.
Ну это на случай, если не хочется пользоваться менеджером пароля.
Если внутри будет несловарное слово,
Вот редкие языки и используются здесь, как источник «несловарных» слов. Те подборщики паролей, о которых я знаю, не содержат в своих базах слов из узбекского, бурятского, мордовского или языка манси.
Транслитерация русских слов в английской раскладке это замечательно, но вдруг пароль надо будет вводить на клавиатуре без русского языка?
Вот попалась штука: Пастильда.
Аппаратный менеджер паролей, втыкается в разрыв USB между ПК и клавиатурой и управляется с клавиатуры же.
Не думал, что эта статья меня в такие дебри заведёт…
Аппаратный менеджер паролей, втыкается в разрыв USB между ПК и клавиатурой и управляется с клавиатуры же.
Не думал, что эта статья меня в такие дебри заведёт…
Примерно по такой же схеме я похоронил 0.18 BTC :) Там тоже был длинный и мнемонический пароль :)
Всё это, конечно, хорошо, но есть одно но — многие сервисы не позволяют использовать спецсимволы (@#$%^ etc), а один, если я правильно помню, даже наоборот заставляет их использовать (госуслуги).
Никогда не использовал менеджеры паролей. Лично я придумал и пользуюсь, наверняка не уникальной, системой генерации уникальных паролей под каждый сервис.
Если сервис однодневка или представляет околонулевую ценность для злоумышленника (например сервис с бесплатными онлайн курсами. Что он мне сделает, задачи за меня решать будет?), то используется один и тот же пароль для простоты. С более важными сервисами использую примерно такую схему.
1) придумать мнемонику. Например, 741852963 — пройтись по нумпаду сверху вниз, слева направо. Я пользуюсь одной единственной для всех паролей
2) разбавить мнемонику буквами, выбрав расположение и case букв. Например, 7Q4w1e8r5T2y963. Позиция букв между цифрами и на каких позициях upper case это фиксированная для системы информация
3) подставить в выбранное расположение и case буквы, имеющие отношние к сервису. Если одна компания имеет единый аккаунт на сервисах с разным названием, то в буквах использую название компании. Если нет, то url сайта. Т.е. должно получиться что-то вроде 7H4a1b8R52963
4) придумать фиксированное натуральное n и сделать смещение шифром Цезаря для букв. Получится что-то вроде 7K4d1e8U52963
У подобной системы полно плюсов:
1) Всегда можно восстановить пароль если забыл
2) Уникальный пароль под каждый сервис
3) Для компрометации системы один и тот же злоумышленник должен заполучить несколько паролей, что бы увидеть закономерности, а для это ограничивает количество способов, которым может быть скомпрометированна система — например, утечка паролей на каком-нибудь сайте, как это часто происходит, где они хранились в открытом виде, не скомпромтирует. А вот какое-нибудь шпионское по, которое зафиксирует ввод нескольких паролей позволит при желании скомпрометировать
4) Система допускает генерацию нового пароля при необходимости — если стало известно об утечке паролей на сервисе или если сервис прекращает работу дейтсвия пароля со временем, требуя изменения (qiwi например). Можно просто делать n + 1 для шифра Цезаря
Как я запомнил такую систему — очень просто, я перестал сохранять куки. Когда везде каждый раз логинишься заново и используешь систему, то она запоминается и не представляет никакой проблемы для того, что бы секунд за 5 ввести пароль.
И, разумеется, можно изменить систему по своему вкусу или придумать несколько систем для разных классов сервисов — неважные, важные, критические (например, банковский счёт)
Никогда не использовал менеджеры паролей. Лично я придумал и пользуюсь, наверняка не уникальной, системой генерации уникальных паролей под каждый сервис.
Если сервис однодневка или представляет околонулевую ценность для злоумышленника (например сервис с бесплатными онлайн курсами. Что он мне сделает, задачи за меня решать будет?), то используется один и тот же пароль для простоты. С более важными сервисами использую примерно такую схему.
1) придумать мнемонику. Например, 741852963 — пройтись по нумпаду сверху вниз, слева направо. Я пользуюсь одной единственной для всех паролей
2) разбавить мнемонику буквами, выбрав расположение и case букв. Например, 7Q4w1e8r5T2y963. Позиция букв между цифрами и на каких позициях upper case это фиксированная для системы информация
3) подставить в выбранное расположение и case буквы, имеющие отношние к сервису. Если одна компания имеет единый аккаунт на сервисах с разным названием, то в буквах использую название компании. Если нет, то url сайта. Т.е. должно получиться что-то вроде 7H4a1b8R52963
4) придумать фиксированное натуральное n и сделать смещение шифром Цезаря для букв. Получится что-то вроде 7K4d1e8U52963
У подобной системы полно плюсов:
1) Всегда можно восстановить пароль если забыл
2) Уникальный пароль под каждый сервис
3) Для компрометации системы один и тот же злоумышленник должен заполучить несколько паролей, что бы увидеть закономерности, а для это ограничивает количество способов, которым может быть скомпрометированна система — например, утечка паролей на каком-нибудь сайте, как это часто происходит, где они хранились в открытом виде, не скомпромтирует. А вот какое-нибудь шпионское по, которое зафиксирует ввод нескольких паролей позволит при желании скомпрометировать
4) Система допускает генерацию нового пароля при необходимости — если стало известно об утечке паролей на сервисе или если сервис прекращает работу дейтсвия пароля со временем, требуя изменения (qiwi например). Можно просто делать n + 1 для шифра Цезаря
Как я запомнил такую систему — очень просто, я перестал сохранять куки. Когда везде каждый раз логинишься заново и используешь систему, то она запоминается и не представляет никакой проблемы для того, что бы секунд за 5 ввести пароль.
И, разумеется, можно изменить систему по своему вкусу или придумать несколько систем для разных классов сервисов — неважные, важные, критические (например, банковский счёт)
Sign up to leave a comment.
Удобные пароли для полиглотов