Оптимальная длина и состав пароля

Discussion in 'Безопасность и Анонимность' started by root_sashok, 5 Jan 2010.

  1. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    ну лично я, хотя мне было бы и лень писать подобную статью, её "написал".
    Да, думаю теперь, прочтя этот тред, любой пользователь таки сможет понять что есть что на сегодняшний день в подборе пассов, и пожелав поставить себе небрутабельный пасс - поставит нечто именно небрутабельное, а не просто длинное, с виду сложное, но такое же, как стоит и десятков тысяч других - "снимаемое" не более, чем за минуты\часы подбора.

    Теперь Уютненько должно быть довольно. :-D
     
    1 person likes this.
  2. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    ИМХО, довольно сложные пароли это например такие:

    Если их менять со средней периодичностью, то можно вполне надежно защититься от брута. Так же можно использовать символы наподобии этих:

    Так же, разных ASCII-символов (фигурки, значки), UNICODE-символов. Это намного усиливает невозможность перебора пароля.

    Итак, ищем довольно большое разнообразие спецсимволов, все цифры и все стандартные спецсимволы, идем на genpas, вставляем все это разнообразие в строчку и генерируем пароль. Получаются пароли вида:

    Как вам такое? Попробуйте сбрутить MD5 (не используя этот список):

     
    #22 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  3. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    root_sashok - omfg

    таких паролей не стоит даже у меня. Я все-таки предпочитаю создавать для себя пассы, которые возможно запомнить:)
    Хотя для "железобетонной уверенности" такие пассы, как приведены выше - пойдут.
    К примеру в моем самом сложном - (этот пасс я ввожу не чаще раза в год) - 39 символов, 5+ спецсимвлов, несколько заглавных, какое-то количесово цифр в произвольном месте пароля + туева хуча букв нижнего регистра.
    При этом
    1. этот пароль небрутабелен даже для спецслужб (уйдут годы)
    2. его реально запомнить.

    хотя тут выбор за каждым пользователем) Кому-то может и
    1. rg~+B\Lauz4VNS}R+iPi
    2. \yD[gPibSOQflczp9Zj?
    3. zo<CqY%04vA1R*j8%YsB
    4. MXp58ZfUL.PaK%)z5<A?
    5. \R<0"3jQOY?~nlQ4S{~Y
    посилам запомнить. Ну а можно и не запоминать, а просто где-то записать:) В общем это уже на любителя.

    ps.
    да, и еще, %username% - если ты не хочешь, чтобы над твоим архисложным, слитым в открытом виде с базы сайта, паролем глумились злоумышленники, вводя его для доступа на твою почту и все прочие твои аккаунты - будь добр, следуй простому правилу.
    Если за свой аккаунт ты готов отдать хотя бы 1$ - имей на нем уникальный пасс, и не используй этот пасс больше нигде.

    Очень улыбает, когда листаешь логи и видишь там у пользователей 20-30 символьные пассы ("добытые" тем или иным способом в открытом виде), и в дальнейшем эти пассы подходят ко всем их аккаунтам, начиная с почты, и зачанчивая...^^ да чем угодно.

    ПОМНИ: Уникальный минимально-небрутабельный пасс на каждом ресурсе - залог твоей информационной безопасности.
    Ну а ставить пассы, как приведены выше Сашком - вовсе не обязательно. Просто, %username%, прочти рекомендации, которые я обозначил выше, и создавай соответствующие пассы.

    И, вполне возможно, тебе даже удастся создавать небрутабельные, но при этом не слишком уж сложные для запоминания пассы. Всё оно так удобнее.. :)
     
    #23 ErrorNeo, 6 Jan 2010
    Last edited: 6 Jan 2010
  4. Dukе Nukem

    Dukе Nukem Banned

    Joined:
    3 Jan 2010
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    реально ли использовать символы Юникода в пароле?
     
    1 person likes this.
  5. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Реально.

    Для этого и существуют программы для хранения паролей и подстановки их без участия пользователя :)
     
  6. offlimits

    offlimits Elder - Старейшина

    Joined:
    30 Sep 2006
    Messages:
    95
    Likes Received:
    20
    Reputations:
    1
    Всем отписавшимся в топике поставил +4 за интересную тему ;)

    С наступающим Рождеством
     
  7. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Конечно, это при условии, что у вас есть программа для хранения, ибо запомнить это невозможно. Программа шифрует данные, основываясь на Master Password. НО: можно сгенерировать осмысленный пароль, заменяя некторые символы:

    Такой пароль будет достаточно сложный для брута, замена некоторых мест символами - сложна для подбора человеком, а если придумывать такие пароли с какой-то периодичностью - то на среднем уровне можно защититься от брута.

    Между словами можно вставлять какие-то спецсимволы, или делать пароли по маске, например факты из жизни.

    Как вам пароль, начинающийся на дату рождения вашего домашнего питомца, затем идет ваше имя и девичья фамилия матери?
     
    #27 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  8. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    да, и отмечу - далеко не везде позволено использовать спецсимволы в пассах, или же количество доступных спецсимволов может быть строго ограничвено (до 4-5)

    Все-таки мой выбор - запоминаемые пассы длинны 20+ с использованием 2+ заглавных, 2+ цифр, и, если это разрешено - 1-2+ спецсимволов.
    Сбрутить такое все равно нереально, зато запомнить (если ты сам придумал этот пасс) - не особенно то и сложно.
    Тут правда важно, чтобы пасс придумал именно ты :D
    Потому что, к примеру, свои 20+ пассы я помню отлично => они подчиняются моей логике создания неподбираемых пассов.
    А вот чужие пассы - даже длинны 10+ - часто не могу запомнить, если только они имеют минимальную небрутабельную сложность. =\
     
    #28 ErrorNeo, 6 Jan 2010
    Last edited: 6 Jan 2010
    2 people like this.
  9. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    ErrorNeo, следуя твоим подсказкам можно составить пароль наподобие:

    25 символов, MD5: 315d5e78d7cffd13becd66c03f44ee63

    Сбрутится ли он довольно быстро всеми известными методами брута? Думаю - нет.
     
    #29 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  10. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    ну при составление пароля надо иметь ввиду ограничение web/стационарных программ.
    Да и еще - этоб можно было вводить по человечески. Иначе хранить его на рабочем столе в файле Password.txt и оттда копировать каждый раз - тоже не варинат.
    Лучше тогда пароль vasya в голове.
     
  11. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Так выше описано, что придумать можно осмысленный пароль, заменяя некоторые буквы цифрами и спецсимволами, или пароль по маске, например, изменяющейся - в зависимости от ресурса, например, берутся три последние его буквы и переворачиваются, ставятся в начало верхним регистром... Вариантов - over 9000^100500 :D

    Это и использование ударения, и русских букв, и значков... Вообщем, выжимать надо все, что позволяет ресурс.

    Большая статья по подобной теме, кстати, недавно появившаяся на Хабре, находится тут.
     
    #31 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  12. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    B1t.exe пароли на рабочем столе в текстовом файле хранят только чёртовы ламеры, которые и не задумаются никогда, зачем иметь сложный пароль - откуда им знать о брутфорсе, радужных чего-то там и т.д.?
    Мы тут уже упоминали целых 3 хранителя паролей - кроссплатформенный Keepass, кроссбраузерный Lastpass и 1Password под Mac.
    И да, помнить несколько сложных паролей, имхо, отстой. Лучше запомнить 1-2 сложных ключа к хранилищам паролей.
    Это ведь всё равно, что постоянно таскать с собой все ключи от всех дверей, к которым есть доступ. У одних всего 3-5 ключей, такое количество носить с собой ещё нормально. У других 200-300 ключей. Ну вы поняли? :)
     
    #32 Grawl, 6 Jan 2010
    Last edited: 6 Jan 2010
  13. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    да, root_sashok, именно таким должен быть пасс.
    Единственное но - при создании пасса всегда нужно добавлять в него чуточку полного рандома.

    - хороший пасс. Но
    - намного круче.
    Лебедь бы сказал, что первый пасс теоретически брутабелен. Хотя практически это и не так.
    А вот второй пасс - не брутабелен принциписально :cool:

    %username% - всегда добавляй в свой пасс 1-2 произвольных символа в самых неожиданых местах. Не позволяй пассу полностью подчиняться логике.
    Только тогда свой пасс сможет стать полностью неуязвим к подбору ;) Даже если пас и так уже соответствует тем "требованиям безопасности", что я обозначил выше.
    Логичность - враг пароля. Но при высокой длинне + мин.требованиях даже 1-2 рандомных символа будут способны отделить твой "теоретически брутабельный" пасс от принципиально-небрутабельного.
     
    #33 ErrorNeo, 6 Jan 2010
    Last edited: 6 Jan 2010
  14. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Кстати, соглашусь с Grawl. Придумываем мастер-ключ к программе с паролями и благополучно забываем остальные. Нам потребуется только один ключик, чтобы забрать нужный пароль из программки. Но, современные программы можно даже не открывать, там подстановка паролей доведена до автоматизма. Насчет универсальных хранилищ - тоже, довольно удобно хранить пароли где-то в онлайне, с хорошим, длинным и небрутабельным, почти рандомным мастер-ключом.

    ErrorNeo, ты тоже прав. Добавление рандома в пароль - мощный шаг для защиты логически подбираемой комбинации.
     
    #34 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  15. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    да, Grawl.
    доступ к пассам - двойной слой защиты - TrueCrypt/KeePass.
    Master Password - более 16 символов. разнообразных.

    ни одного пасса - не помню.
    и под гипнозом их не узнать. ибо нех. и вводятся лишь с вирт. клавы))
     
    1 person likes this.
  16. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Хороший пароль - который ты не знаешь, но руки набирают на автомате :D

    Как легче запомнить рандом: набирать его много раз. Поставить себе пароль куда-то, вводить его не реже 5 раз в день, и он запомнится :) К разным сайтам - разные пароли, можно сделать маркировочку в виде двух первых букв сайта, вообщем, это уже обсуждалось.

    У меня рандом набирается уже на автомате, как было сказано выше :D
     
    #36 root_sashok, 6 Jan 2010
    Last edited: 6 Jan 2010
  17. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    Ну вот, тащемта.
    Моя правда - сиянье в груди - была на моей стороне! © [AMATORY]
     
  18. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,379
    Likes Received:
    1,095
    Reputations:
    356
    а я делаю пароли из каких нибудь очень длинных слов или предложений и включаю в разные места символы, цифры и заглавные буквы. как правило пароль больше 10 символов. и легко запоминается + все пароли записываю в блокнот. не доверяю я всем этим хранителям ключей и генераторам паролей )
     
    _________________________
  19. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    Ну ты реально олбанец :) только не обижайся.
    Смотри, как всё просто:
    Текстовый файл. Ты сохраняешь туда логины-пароли. Он хранится у тебя пусть даже не на рабочем столе, а в папке "Мои документы". Хотя лучше такой файл хранить в недрах системы. И вот кому-то понадобились твои пароли. Если Вы знакомы, он может прийти к тебе в гости и тупо забрать этот файл. Если не знакомы, то тут пойдёт брутфорс, и твои пароли взломают. Или хакнут твой комп и опять-таки заберут пароли. Опять-таки, все. Разом.
    Файл базы данных хранителя паролей. Пусть даже у тебя заберут этот файл, неважно каким способом. Открыть его можно будет только при вводе специального пароля, который должен знать только ты и который должен храниться у тебя в голове. Плюс - удобность в виде автоматической подстановки логина-пароля и интерфейс управления парами паролей.
     
  20. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    Интерфейс автоматической подстановки «логин:пароль» может оказаться «узким местом» в процедуре хранения пароля: не знаю в каком виде система хранит пароль в оперативной памяти, но в буфер обмена (а именно так реализуется подстановка пароля в поля ввода) эта связка попадает в открытом виде. Последствия такой процедуры могут быть печальными.

    Другая потенциальная брешь – хранение всех «ключей» под одним «замком». Изначально такая концепция безопасности не является стойкой.

    Однако, если вы используете свой собственный менеджер паролей и уверены в его надежности - это повышает уровень защиты вашего "склада ключей"