ну лично я, хотя мне было бы и лень писать подобную статью, её "написал". Да, думаю теперь, прочтя этот тред, любой пользователь таки сможет понять что есть что на сегодняшний день в подборе пассов, и пожелав поставить себе небрутабельный пасс - поставит нечто именно небрутабельное, а не просто длинное, с виду сложное, но такое же, как стоит и десятков тысяч других - "снимаемое" не более, чем за минуты\часы подбора. Теперь Уютненько должно быть довольно. :-D
ИМХО, довольно сложные пароли это например такие: Если их менять со средней периодичностью, то можно вполне надежно защититься от брута. Так же можно использовать символы наподобии этих: Так же, разных ASCII-символов (фигурки, значки), UNICODE-символов. Это намного усиливает невозможность перебора пароля. Итак, ищем довольно большое разнообразие спецсимволов, все цифры и все стандартные спецсимволы, идем на genpas, вставляем все это разнообразие в строчку и генерируем пароль. Получаются пароли вида: Как вам такое? Попробуйте сбрутить MD5 (не используя этот список):
root_sashok - omfg таких паролей не стоит даже у меня. Я все-таки предпочитаю создавать для себя пассы, которые возможно запомнить Хотя для "железобетонной уверенности" такие пассы, как приведены выше - пойдут. К примеру в моем самом сложном - (этот пасс я ввожу не чаще раза в год) - 39 символов, 5+ спецсимвлов, несколько заглавных, какое-то количесово цифр в произвольном месте пароля + туева хуча букв нижнего регистра. При этом 1. этот пароль небрутабелен даже для спецслужб (уйдут годы) 2. его реально запомнить. хотя тут выбор за каждым пользователем) Кому-то может и 1. rg~+B\Lauz4VNS}R+iPi 2. \yD[gPibSOQflczp9Zj? 3. zo<CqY%04vA1R*j8%YsB 4. MXp58ZfUL.PaK%)z5<A? 5. \R<0"3jQOY?~nlQ4S{~Y посилам запомнить. Ну а можно и не запоминать, а просто где-то записать В общем это уже на любителя. ps. да, и еще, %username% - если ты не хочешь, чтобы над твоим архисложным, слитым в открытом виде с базы сайта, паролем глумились злоумышленники, вводя его для доступа на твою почту и все прочие твои аккаунты - будь добр, следуй простому правилу. Если за свой аккаунт ты готов отдать хотя бы 1$ - имей на нем уникальный пасс, и не используй этот пасс больше нигде. Очень улыбает, когда листаешь логи и видишь там у пользователей 20-30 символьные пассы ("добытые" тем или иным способом в открытом виде), и в дальнейшем эти пассы подходят ко всем их аккаунтам, начиная с почты, и зачанчивая...^^ да чем угодно. ПОМНИ: Уникальный минимально-небрутабельный пасс на каждом ресурсе - залог твоей информационной безопасности. Ну а ставить пассы, как приведены выше Сашком - вовсе не обязательно. Просто, %username%, прочти рекомендации, которые я обозначил выше, и создавай соответствующие пассы. И, вполне возможно, тебе даже удастся создавать небрутабельные, но при этом не слишком уж сложные для запоминания пассы. Всё оно так удобнее..
Реально. Для этого и существуют программы для хранения паролей и подстановки их без участия пользователя
Конечно, это при условии, что у вас есть программа для хранения, ибо запомнить это невозможно. Программа шифрует данные, основываясь на Master Password. НО: можно сгенерировать осмысленный пароль, заменяя некторые символы: Такой пароль будет достаточно сложный для брута, замена некоторых мест символами - сложна для подбора человеком, а если придумывать такие пароли с какой-то периодичностью - то на среднем уровне можно защититься от брута. Между словами можно вставлять какие-то спецсимволы, или делать пароли по маске, например факты из жизни. Как вам пароль, начинающийся на дату рождения вашего домашнего питомца, затем идет ваше имя и девичья фамилия матери?
да, и отмечу - далеко не везде позволено использовать спецсимволы в пассах, или же количество доступных спецсимволов может быть строго ограничвено (до 4-5) Все-таки мой выбор - запоминаемые пассы длинны 20+ с использованием 2+ заглавных, 2+ цифр, и, если это разрешено - 1-2+ спецсимволов. Сбрутить такое все равно нереально, зато запомнить (если ты сам придумал этот пасс) - не особенно то и сложно. Тут правда важно, чтобы пасс придумал именно ты Потому что, к примеру, свои 20+ пассы я помню отлично => они подчиняются моей логике создания неподбираемых пассов. А вот чужие пассы - даже длинны 10+ - часто не могу запомнить, если только они имеют минимальную небрутабельную сложность. =\
ErrorNeo, следуя твоим подсказкам можно составить пароль наподобие: 25 символов, MD5: 315d5e78d7cffd13becd66c03f44ee63 Сбрутится ли он довольно быстро всеми известными методами брута? Думаю - нет.
ну при составление пароля надо иметь ввиду ограничение web/стационарных программ. Да и еще - этоб можно было вводить по человечески. Иначе хранить его на рабочем столе в файле Password.txt и оттда копировать каждый раз - тоже не варинат. Лучше тогда пароль vasya в голове.
Так выше описано, что придумать можно осмысленный пароль, заменяя некоторые буквы цифрами и спецсимволами, или пароль по маске, например, изменяющейся - в зависимости от ресурса, например, берутся три последние его буквы и переворачиваются, ставятся в начало верхним регистром... Вариантов - over 9000^100500 Это и использование ударения, и русских букв, и значков... Вообщем, выжимать надо все, что позволяет ресурс. Большая статья по подобной теме, кстати, недавно появившаяся на Хабре, находится тут.
B1t.exe пароли на рабочем столе в текстовом файле хранят только чёртовы ламеры, которые и не задумаются никогда, зачем иметь сложный пароль - откуда им знать о брутфорсе, радужных чего-то там и т.д.? Мы тут уже упоминали целых 3 хранителя паролей - кроссплатформенный Keepass, кроссбраузерный Lastpass и 1Password под Mac. И да, помнить несколько сложных паролей, имхо, отстой. Лучше запомнить 1-2 сложных ключа к хранилищам паролей. Это ведь всё равно, что постоянно таскать с собой все ключи от всех дверей, к которым есть доступ. У одних всего 3-5 ключей, такое количество носить с собой ещё нормально. У других 200-300 ключей. Ну вы поняли?
да, root_sashok, именно таким должен быть пасс. Единственное но - при создании пасса всегда нужно добавлять в него чуточку полного рандома. - хороший пасс. Но - намного круче. Лебедь бы сказал, что первый пасс теоретически брутабелен. Хотя практически это и не так. А вот второй пасс - не брутабелен принциписально %username% - всегда добавляй в свой пасс 1-2 произвольных символа в самых неожиданых местах. Не позволяй пассу полностью подчиняться логике. Только тогда свой пасс сможет стать полностью неуязвим к подбору Даже если пас и так уже соответствует тем "требованиям безопасности", что я обозначил выше. Логичность - враг пароля. Но при высокой длинне + мин.требованиях даже 1-2 рандомных символа будут способны отделить твой "теоретически брутабельный" пасс от принципиально-небрутабельного.
Кстати, соглашусь с Grawl. Придумываем мастер-ключ к программе с паролями и благополучно забываем остальные. Нам потребуется только один ключик, чтобы забрать нужный пароль из программки. Но, современные программы можно даже не открывать, там подстановка паролей доведена до автоматизма. Насчет универсальных хранилищ - тоже, довольно удобно хранить пароли где-то в онлайне, с хорошим, длинным и небрутабельным, почти рандомным мастер-ключом. ErrorNeo, ты тоже прав. Добавление рандома в пароль - мощный шаг для защиты логически подбираемой комбинации.
да, Grawl. доступ к пассам - двойной слой защиты - TrueCrypt/KeePass. Master Password - более 16 символов. разнообразных. ни одного пасса - не помню. и под гипнозом их не узнать. ибо нех. и вводятся лишь с вирт. клавы))
Хороший пароль - который ты не знаешь, но руки набирают на автомате Как легче запомнить рандом: набирать его много раз. Поставить себе пароль куда-то, вводить его не реже 5 раз в день, и он запомнится К разным сайтам - разные пароли, можно сделать маркировочку в виде двух первых букв сайта, вообщем, это уже обсуждалось. У меня рандом набирается уже на автомате, как было сказано выше
а я делаю пароли из каких нибудь очень длинных слов или предложений и включаю в разные места символы, цифры и заглавные буквы. как правило пароль больше 10 символов. и легко запоминается + все пароли записываю в блокнот. не доверяю я всем этим хранителям ключей и генераторам паролей )
Ну ты реально олбанец только не обижайся. Смотри, как всё просто: Текстовый файл. Ты сохраняешь туда логины-пароли. Он хранится у тебя пусть даже не на рабочем столе, а в папке "Мои документы". Хотя лучше такой файл хранить в недрах системы. И вот кому-то понадобились твои пароли. Если Вы знакомы, он может прийти к тебе в гости и тупо забрать этот файл. Если не знакомы, то тут пойдёт брутфорс, и твои пароли взломают. Или хакнут твой комп и опять-таки заберут пароли. Опять-таки, все. Разом. Файл базы данных хранителя паролей. Пусть даже у тебя заберут этот файл, неважно каким способом. Открыть его можно будет только при вводе специального пароля, который должен знать только ты и который должен храниться у тебя в голове. Плюс - удобность в виде автоматической подстановки логина-пароля и интерфейс управления парами паролей.
Интерфейс автоматической подстановки «логин:пароль» может оказаться «узким местом» в процедуре хранения пароля: не знаю в каком виде система хранит пароль в оперативной памяти, но в буфер обмена (а именно так реализуется подстановка пароля в поля ввода) эта связка попадает в открытом виде. Последствия такой процедуры могут быть печальными. Другая потенциальная брешь – хранение всех «ключей» под одним «замком». Изначально такая концепция безопасности не является стойкой. Однако, если вы используете свой собственный менеджер паролей и уверены в его надежности - это повышает уровень защиты вашего "склада ключей"
