Оптимальная длина и состав пароля

Discussion in 'Безопасность и Анонимность' started by root_sashok, 5 Jan 2010.

  1. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,379
    Likes Received:
    1,095
    Reputations:
    356
    я записываю шариковой ручкой в бумажный блокнот, епта ))
     
    _________________________
  2. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит? Новый вирус писать? Слишком затратно - ведь современные антивирусы узнают заразу не только по коду, но по поведению, каким-то тонким особенностям и т.д.
    оlbaneс и сколько их у тебя?
     
  3. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    более того, при установке ОСи - сетевой шнур выдернут,
    вай-фай ЮСБ- донгл тоже.

    поведал раз, как во время установки ОСи,
    стучали непрошенные гости с IP "NATO forces", из Австрии.

    но!
    Агнитум уже устанавливался,
    и забил тревогу - "Командир! атака!"
    да, б/\я, атака! почему, не ясно до сих пор..
     
  4. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    Если не брать в расчет финансовую сторону дела, то специально для Вас может быть написан вирус, обладающий нужным функционалом и проходящий сквозь алгоритмы эвристического анализатора и проактивной защиты, как нож сквозь масло. За примерами далеко ходить не надо: всем известный вирус Kido (a.k.a. Confiker) поставил «в позу» большинство антивирей в пик своей активности. Согласен, что писать/криптовать малварь с целью получить десяток-другой паролей от «сомнительных» ресурсов рядового пользователя - занятие глупое, но давайте не будем забывать, что антивирус ставится после установки ОС, а за этот промежуток времени вредоносное ПО может попасть без особых трудностей (пользователь любит устанавливать пиратские сборки сомнительного происхождения) и играть Вашим антивирусом, как куклой в процессе его эксплуатации.
     
  5. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    Если комп не атакуют профи. Реальные профи, такие, которым за это деньги платят - ведь отследить IP системы во время установки, и подключиться к ней до того, как она подключилась к сети - весьма проблематично. А такое маловероятно - мы ж не о промышленных масштабах ведём речь, а о личных паролях рядовых пользователей.
    Это тогда уже не пользователь, а, пардон, долб**б. Адекватные люди ставят семёрку, а не Windows XP Black Edition какой-нибудь.
    Мало того, не стоит принимать в рассчёт только Windows. Это не единственная ОС. Есть ещё Mac OS X, Debian, RedHat, Gentoo и куча других. И в большинстве из них вирусов как таковых нет, как понятия.
     
  6. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Grawl, давайте не будем спорить об ОС, пока сейчас лидирует XP, а в ней есть бреши, как и в 7, только в последней посвежее. Нормальный пользователь ставит систему в оффлайне, весь софт и антивирус с фаерволлом, затем настраивает это все и тогда уже подключает и настраивает интернет. Но если уж ты такой параноик, то "Граждане, храните пароли не в электронном виде. Если они конечно у вас есть." ©

    Да, много, да, придется вводить. Но постепенно это дойдет до наибыстрейшего почти "автовведения" руками, что называется "руки запомнили".
     
  7. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    Я - не параноик, ты что! Я люблю KeePass и LastPass просто потому, что пароли храняться в одном - ну ладно, двух - местах, помнить надо только один пароль, автоввод и удобный интерфейс.
    в аду я её видел.
     
  8. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Универсальный пароль, при этом уникальный для каждого сервера и сервиса

    Вдохновленный предыдущими топиками о составлении пароля решил поделиться своим методом выбора и применения парольной защиты. Данным методом пользуюсь уже год, в конечном итоге получается уникальный для каждого сервера и даже сервиса пароль, при этом все остается запоминаемым, а в случае необходимости легко восстанавливаемым. Сразу оговорюсь, что метод более всего подходит для персонального применения, либо для небольших организаций (порядка 5 серверов), обеспечивая достаточную защиту для всей системы вцелом, даже в случае утери/взлома одного пароля, в противном случае, думаю данная же система может являться своего рода угрозой, т.к. злоумышленник может вычислить остальные, неизвестные пароли. В случае крупной организации силы затраченные на смену паролей (в случае опасности) могут быть куда большие, нежели усилия потраченные на запоминание нескольких паролей. В любом случае данная система успешно применяется как минимум мной, и является куда более оптимальной нежели единственный пароль, либо куча постоянно забываемых паролей.

    Итак, приступим. Для начала стоит выбрать базовый пароль например iMlh4P0Sde, само собой лучше учесть и изменение регистра, и чередование цифр с буквами, о размере и иных рекомендациях подробно упоминалось в предыдущих топиках. После того, как выбран и запомнен базовый пароль, ничего нового запоминать и помнить уже не требуется, далее в дело вступает система.
    Рассмотрим два варианта: в первом случае у нас один единственный компьютер, что характерно для обычного домашнего ПК. В этом случае наиболее стандартный набор состоит из паролей на root, свою учетку, icq, email, jabber, что-то еще). Во-втором случае у нас небольшая организация, и несколько серверов, каждый со своим набором сервисов/серверов (со своими уникальными паролями). Но, на то он и метод, чтобы быть универсальным…

    Суть заключается в следующем:

    1) выбираем в пароле позицию, которая становится переменной, допустим четвертую в нашем примере (iMlh4P0Sde) там находится символ h

    2) подставляем первый символ сервиса, от которого требуется запомнить пароль (icq, email, jabber), для примера email — e

    3) выбираем сдвиг позиции в английском алфавите, причем лучше выбирать небольшое значение, которое за пару секунд можно подобрать в уме, например так же четыре, и выбираем сторону, в которую будем отсчитывать позицию (в начало/конец алфавита) для примера в сторону окончания алфавита, т.е. e+4, что в результате дает i. Делаем это в первую очередь для того, чтобы в случае взлома не было очевидным от какого именно сервиса получен пароль, так как первая буква названия сервиса затеряется в остальном случайном наборе символов.
    В итоге получаем пароль для email — iMli4P0Sde, где та самая переменная h заменена на i

    По-аналогии получаем пароли от остальных сервисов:

    root — iMlv4P0Sde
    icq — iMlm4P0Sde
    jabber — iMln4P0Sde

    В результате имеем уникальный пароль для каждого сервиса, при этом помним лишь единственный и универсальный базовый. По своему опыту скажу, что помнить достаточно любой один пароль от чего-либо, все остальное высчитывается за считанные секунды, Теперь, даже в случае, если у злоумышленника окажется наш пароль, его не будет достаточно чтобы получить доступ ко всему остальному! Это даст время для того, чтобы заметить активность с нашей учетной записью и логином, и изменить остальные пароли. В качестве примера можно вспомнить все те же хищения паролей с одноклассников и вконтакте, когда не смотря на автоматическую смену пароля администрацией данных ресурсов, новые пароли высылались на почту доступную все под теми же, уже сломаными паролями.
    В случае если у нас несколько серверов например (почтовый, баз данных и мониторинга, s_mail, s_bd, s_mon) можно выбрать еще одну позицию из пароля, и, по-аналогии с первым случаем сделать ее переменной. Для примера возьмем восьмую позицию — символ S (наш пароль iMlh4P0Sde). В качестве символа напоминающем о соответствующем сервисе первый символ после s_, а в качестве смещения две позиции, теперь уже в сторону начала алфавита. Т.е. для s-mon подставляемый символ получается вида m-2, в результате имеем символ k. Сделаем наш символ верхним регистром, в соответствии с базовым паролем. В результате наши новые пароли на сервере s-mon примут вид: iMl*4P0Kde.

    Далее, по-аналогии получаем пароли от остальных серверов и сервисов:

    s_bd — iMl*4P0Zde
    s_mon — iMl*4P0Kde

    Сам пароль можно записать и запомнить как формулу: iMl(*+4)4P0(*-2)de, все… Думаю не стоит говорить, что все то же самое может применяться в интернете, где в качестве переменных будут выступать обозначения сайтов g -google, y-yandex, h-habrahabr и т.д.

    Очередная простенькая методика с Хабрахабра, ©.
     
  9. 0ldbi4

    0ldbi4 Elder - Старейшина

    Joined:
    14 Apr 2008
    Messages:
    264
    Likes Received:
    51
    Reputations:
    10
    Можно накатать прогу с формулой для восстановления пароля для себя любимого, забиваешь пасс выбираешь сервис и еще может критерий и все, вроде красиво будет.
     
  10. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    В таком случае — ты поможешь хакеру, возьмем случай доступа к файлам на компьютере. Лушче запомнить одну единственную формулу и «корень» пароля.
     
  11. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,379
    Likes Received:
    1,095
    Reputations:
    356
    я вот сколько ни параноил, но лучше блокнота и ручки ничего более безопасного не придумал. правда кейлогер может подставить
     
    _________________________
    1 person likes this.
  12. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    Поэтому — существуют экранные клавиатуры, на Антитчате даже своя.
     
  13. Grawl

    Grawl Member

    Joined:
    4 Sep 2009
    Messages:
    13
    Likes Received:
    28
    Reputations:
    0
    Насколько я понимаю, вы тут зашли за грань разумного пользователя. Поэтому я, как разумный пользователь, удаляюсь из темы. Удачного общения ;)
     
  14. IceFlame

    IceFlame Member

    Joined:
    9 Jan 2010
    Messages:
    0
    Likes Received:
    10
    Reputations:
    0
    У меня пароль в md5 из 45 символов)
     
  15. root_sashok

    root_sashok Elder - Старейшина

    Joined:
    4 Aug 2008
    Messages:
    389
    Likes Received:
    573
    Reputations:
    102
    В таком случае легче использовать экранную клавиатуру. Даже на античате при входе в систему существует такая опция.

    А еще, навеяно md5-хешом. Создать себе пароль — например mypassword, закодировать в md5, и эту md5 использовать как пароль, простой копипастой (ну не запомните вы сразу весь хеш, да и не надо).
     
    #55 root_sashok, 7 Mar 2010
    Last edited: 7 Mar 2010
  16. Fruit

    Fruit Elder - Старейшина

    Joined:
    16 Jul 2008
    Messages:
    90
    Likes Received:
    22
    Reputations:
    1
    Мне вот интересно, есть кто-нибудь у кого перехватчиком угоняли пароль, при условии, что был антивирь? По-моему перехватчики только для обмана неопытных пользователей.
     
  17. Encore :D

    Encore :D Elder - Старейшина

    Joined:
    2 Jan 2010
    Messages:
    1,537
    Likes Received:
    626
    Reputations:
    279
    Интересная статья, сам сижу с паролями ~13 символов
     
  18. ovalchik

    ovalchik Member

    Joined:
    10 Oct 2015
    Messages:
    38
    Likes Received:
    5
    Reputations:
    2
    Вот здесь посмотрел тему, вообще длину надо подбирать от типа хэша, к примеру на 128 бит оптимально будет 22 символа.
    И вообще к чему данные радужных таблиц, это если взломают сайт и достанут пасик? Да и не факт что достанут по таблице, к примеру сайт производит многократное хэширование, где хэш = хэш(пароль, соль хэш) и так 100 раз, радужная таблица не покатит, в лоб поде сложно залезть будет. Конечно если есть доступ к машине на которой шифровалось, можно AES достать за пару секунд, вычисляя задержки на просчеты и т.д.