c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит? Новый вирус писать? Слишком затратно - ведь современные антивирусы узнают заразу не только по коду, но по поведению, каким-то тонким особенностям и т.д. оlbaneс и сколько их у тебя?
более того, при установке ОСи - сетевой шнур выдернут, вай-фай ЮСБ- донгл тоже. поведал раз, как во время установки ОСи, стучали непрошенные гости с IP "NATO forces", из Австрии. но! Агнитум уже устанавливался, и забил тревогу - "Командир! атака!" да, б/\я, атака! почему, не ясно до сих пор..
Если не брать в расчет финансовую сторону дела, то специально для Вас может быть написан вирус, обладающий нужным функционалом и проходящий сквозь алгоритмы эвристического анализатора и проактивной защиты, как нож сквозь масло. За примерами далеко ходить не надо: всем известный вирус Kido (a.k.a. Confiker) поставил «в позу» большинство антивирей в пик своей активности. Согласен, что писать/криптовать малварь с целью получить десяток-другой паролей от «сомнительных» ресурсов рядового пользователя - занятие глупое, но давайте не будем забывать, что антивирус ставится после установки ОС, а за этот промежуток времени вредоносное ПО может попасть без особых трудностей (пользователь любит устанавливать пиратские сборки сомнительного происхождения) и играть Вашим антивирусом, как куклой в процессе его эксплуатации.
Если комп не атакуют профи. Реальные профи, такие, которым за это деньги платят - ведь отследить IP системы во время установки, и подключиться к ней до того, как она подключилась к сети - весьма проблематично. А такое маловероятно - мы ж не о промышленных масштабах ведём речь, а о личных паролях рядовых пользователей. Это тогда уже не пользователь, а, пардон, долб**б. Адекватные люди ставят семёрку, а не Windows XP Black Edition какой-нибудь. Мало того, не стоит принимать в рассчёт только Windows. Это не единственная ОС. Есть ещё Mac OS X, Debian, RedHat, Gentoo и куча других. И в большинстве из них вирусов как таковых нет, как понятия.
Grawl, давайте не будем спорить об ОС, пока сейчас лидирует XP, а в ней есть бреши, как и в 7, только в последней посвежее. Нормальный пользователь ставит систему в оффлайне, весь софт и антивирус с фаерволлом, затем настраивает это все и тогда уже подключает и настраивает интернет. Но если уж ты такой параноик, то "Граждане, храните пароли не в электронном виде. Если они конечно у вас есть." © Да, много, да, придется вводить. Но постепенно это дойдет до наибыстрейшего почти "автовведения" руками, что называется "руки запомнили".
Я - не параноик, ты что! Я люблю KeePass и LastPass просто потому, что пароли храняться в одном - ну ладно, двух - местах, помнить надо только один пароль, автоввод и удобный интерфейс. в аду я её видел.
Универсальный пароль, при этом уникальный для каждого сервера и сервиса Вдохновленный предыдущими топиками о составлении пароля решил поделиться своим методом выбора и применения парольной защиты. Данным методом пользуюсь уже год, в конечном итоге получается уникальный для каждого сервера и даже сервиса пароль, при этом все остается запоминаемым, а в случае необходимости легко восстанавливаемым. Сразу оговорюсь, что метод более всего подходит для персонального применения, либо для небольших организаций (порядка 5 серверов), обеспечивая достаточную защиту для всей системы вцелом, даже в случае утери/взлома одного пароля, в противном случае, думаю данная же система может являться своего рода угрозой, т.к. злоумышленник может вычислить остальные, неизвестные пароли. В случае крупной организации силы затраченные на смену паролей (в случае опасности) могут быть куда большие, нежели усилия потраченные на запоминание нескольких паролей. В любом случае данная система успешно применяется как минимум мной, и является куда более оптимальной нежели единственный пароль, либо куча постоянно забываемых паролей. Итак, приступим. Для начала стоит выбрать базовый пароль например iMlh4P0Sde, само собой лучше учесть и изменение регистра, и чередование цифр с буквами, о размере и иных рекомендациях подробно упоминалось в предыдущих топиках. После того, как выбран и запомнен базовый пароль, ничего нового запоминать и помнить уже не требуется, далее в дело вступает система. Рассмотрим два варианта: в первом случае у нас один единственный компьютер, что характерно для обычного домашнего ПК. В этом случае наиболее стандартный набор состоит из паролей на root, свою учетку, icq, email, jabber, что-то еще). Во-втором случае у нас небольшая организация, и несколько серверов, каждый со своим набором сервисов/серверов (со своими уникальными паролями). Но, на то он и метод, чтобы быть универсальным… Суть заключается в следующем: 1) выбираем в пароле позицию, которая становится переменной, допустим четвертую в нашем примере (iMlh4P0Sde) там находится символ h 2) подставляем первый символ сервиса, от которого требуется запомнить пароль (icq, email, jabber), для примера email — e 3) выбираем сдвиг позиции в английском алфавите, причем лучше выбирать небольшое значение, которое за пару секунд можно подобрать в уме, например так же четыре, и выбираем сторону, в которую будем отсчитывать позицию (в начало/конец алфавита) для примера в сторону окончания алфавита, т.е. e+4, что в результате дает i. Делаем это в первую очередь для того, чтобы в случае взлома не было очевидным от какого именно сервиса получен пароль, так как первая буква названия сервиса затеряется в остальном случайном наборе символов. В итоге получаем пароль для email — iMli4P0Sde, где та самая переменная h заменена на i По-аналогии получаем пароли от остальных сервисов: root — iMlv4P0Sde icq — iMlm4P0Sde jabber — iMln4P0Sde В результате имеем уникальный пароль для каждого сервиса, при этом помним лишь единственный и универсальный базовый. По своему опыту скажу, что помнить достаточно любой один пароль от чего-либо, все остальное высчитывается за считанные секунды, Теперь, даже в случае, если у злоумышленника окажется наш пароль, его не будет достаточно чтобы получить доступ ко всему остальному! Это даст время для того, чтобы заметить активность с нашей учетной записью и логином, и изменить остальные пароли. В качестве примера можно вспомнить все те же хищения паролей с одноклассников и вконтакте, когда не смотря на автоматическую смену пароля администрацией данных ресурсов, новые пароли высылались на почту доступную все под теми же, уже сломаными паролями. В случае если у нас несколько серверов например (почтовый, баз данных и мониторинга, s_mail, s_bd, s_mon) можно выбрать еще одну позицию из пароля, и, по-аналогии с первым случаем сделать ее переменной. Для примера возьмем восьмую позицию — символ S (наш пароль iMlh4P0Sde). В качестве символа напоминающем о соответствующем сервисе первый символ после s_, а в качестве смещения две позиции, теперь уже в сторону начала алфавита. Т.е. для s-mon подставляемый символ получается вида m-2, в результате имеем символ k. Сделаем наш символ верхним регистром, в соответствии с базовым паролем. В результате наши новые пароли на сервере s-mon примут вид: iMl*4P0Kde. Далее, по-аналогии получаем пароли от остальных серверов и сервисов: s_bd — iMl*4P0Zde s_mon — iMl*4P0Kde Сам пароль можно записать и запомнить как формулу: iMl(*+4)4P0(*-2)de, все… Думаю не стоит говорить, что все то же самое может применяться в интернете, где в качестве переменных будут выступать обозначения сайтов g -google, y-yandex, h-habrahabr и т.д. Очередная простенькая методика с Хабрахабра, ©.
Можно накатать прогу с формулой для восстановления пароля для себя любимого, забиваешь пасс выбираешь сервис и еще может критерий и все, вроде красиво будет.
В таком случае — ты поможешь хакеру, возьмем случай доступа к файлам на компьютере. Лушче запомнить одну единственную формулу и «корень» пароля.
я вот сколько ни параноил, но лучше блокнота и ручки ничего более безопасного не придумал. правда кейлогер может подставить
Насколько я понимаю, вы тут зашли за грань разумного пользователя. Поэтому я, как разумный пользователь, удаляюсь из темы. Удачного общения
В таком случае легче использовать экранную клавиатуру. Даже на античате при входе в систему существует такая опция. А еще, навеяно md5-хешом. Создать себе пароль — например mypassword, закодировать в md5, и эту md5 использовать как пароль, простой копипастой (ну не запомните вы сразу весь хеш, да и не надо).
Мне вот интересно, есть кто-нибудь у кого перехватчиком угоняли пароль, при условии, что был антивирь? По-моему перехватчики только для обмана неопытных пользователей.
Вот здесь посмотрел тему, вообще длину надо подбирать от типа хэша, к примеру на 128 бит оптимально будет 22 символа. И вообще к чему данные радужных таблиц, это если взломают сайт и достанут пасик? Да и не факт что достанут по таблице, к примеру сайт производит многократное хэширование, где хэш = хэш(пароль, соль хэш) и так 100 раз, радужная таблица не покатит, в лоб поде сложно залезть будет. Конечно если есть доступ к машине на которой шифровалось, можно AES достать за пару секунд, вычисляя задержки на просчеты и т.д.
