Придумывайте хорошие пароли с помощью любимых песен. +53_{+57/-4, 252 1}

"Легкозапоминаемый" и "трудновзламываемый" совет.

Спасибо.

Лишь бы при введении пароля песня намертво не прицепилась, бывает такое.

какой прекрасный совет! очень понравился. спасибо. особенно "снова мороз -30" и "жуткий мороз -40" ))))

На здоровье! :)

мне кажется, что фраза “Снова мороз, жуткий мороз, Нельсон Мандела еле ноги унес” сама по себе является значительно более серьёзным паролем, чем “Sm-30zhm-40NMenu”, особенно, если её набрать в неправильной раскладке (можно без пробелов): “Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc”.

Если без пробелов — очевидно, да. Просто нас учили именно в том виде, как в совете :) Но вам виднее. Повторюсь: это лишь один из допустимых способов придумывать пароли.

пробелы, кстати, тоже вполне себе спецсимвол, ничем не хуже других. а где это вас так учили?

Ответила в личку, краткое содержание: в ВУЗе :)

А что вы будете делать без русской клавиатуры? Сколько раз уже друзья натыкались за границей на такие проблемы…

есть такая проблема, согласен. можно поставить замечательную программку пунто свитчер, набрать в текстовом документе нужную фразу по-русски, а потом свитчером её конвертнуть в английскую раскладку. я в предыдущем комментарии фразу "Cyjdfvjhjp?;e… " именно так и набрал :)

впрочем, один из своих паролей, составленных таким образом, я уже наловчился набирать вслепую, так что есть и такой вариант

Вот, кстати, такие финты — не всегда удачный приём. Например, если вводить такой пароль с другого компьютера, в котором установлена другая раскладка клавиатуры, может возникнуть удивительное нечто :)

ну это надо очень сильно постараться, чтобы найти нестандартную клавиатуру, так что, я думаю, этой "опасностью" можно пренебречь

Стараться не надо — можно просто однажды так попасть, и пароль не набрать пока не вспомнишь каждый используемый символ. И я говорю даже не о каких-то необычных клавиатурах, а о разнообразных раскладках, которые есть в Гномах, Кедах и современных Виндах: там, например, есть несколько раскладок английского, которые отличаются расположением знаков препинания и специальных символов.
А, например, будучи в командировке/на отдыхе заграницей можно довольно легко попасть в тупик в интернет-кафе с немецкой или, например, французской раскладкой.
Разумеется, случаи нетипичные, но, по-моему, лучше перестраховаться ;)

kstatida.ru, еще, к сожалению, “Sm-30zhm-40NMenu” при правильном подборе будет сложнее, чем “Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc”, потому что достаточно распространена смена раскладки, и взломщики это подбирают, а почти все слова в этой фразе есть в словаре, что еще более облегчит подбор. Алгоритмически данный короткий пароль сложнее. По энтропии сложнее строка. Все зависит от уровня взломщика.

_{И вообще самый сложный пароль — это много-много, например 50 букв Z. Взломщик перебирать будет, и дойдет до этого пароля в последнюю очередь :D}

Monory, "почти все слова в этой фразе есть в словаре, что еще более облегчит подбор" — скажите, пожалуйста, сколько нужно перебрать вариантов фразы из 8 слов (для упрощения перебора, пробелы и знаки препинания использовать не будем)

ariokh, если в словаре около 10000 слов(полный словарный запас выпускника ВУЗа), то количество комбинаций около 10^32
Если 4000(полный словарный запас выпускника средней школы) — 6.5*10^28
Если же 2000(набор частоупотребимых слова) — 2.5*10^26
При пароле из 16 знаков из набора [a-яА-Я0-9!"№;%:?*()-_=+.,[]](84 символа) — 6*10^30
Цифробуквенный (66 символов) — 1.9*10^29

Но стоит добавить, что, если например, в пароле "Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc" каждую гласную в оригинальной фразе продублировать, то пароль становится словарно неперебираемым, и тогда количество комбинаций около 2.3*10^92 что многократно сложнее всех этих паролей.

Monory, "количество комбинаций около 10^32" — и как к такому количеству переборов можно применять слова "что еще более облегчит подбор"? :)

ariokh, да, я конечно, слегка погорячился — особенно, учитывая то, что некоторые словари паролей содержат до 500000 слов. В общем, я предлагаю какой-нибудь вариант, применяющий оба метода, например в вашей фразе после каждой гласной писать следующую за ней букву. Тогда сложность возрастает на десятки порядков, и на современном оборудовании такой пароль подобрать невозможно.

"А мне все равно, я точно знаю одно… " — простите, вырвалось :)

>>вводимый с помощью ASCII-кодов.
Вы обычно ASCII коды символов в паролях вводите?

Нет. Мне неоднократно встречалась эта рекомендация, аргументируемая повышением устойчивости пароля благодаря использованию расширенного набора символов. Но я не пользуюсь этим способом. А почему вы решили, что я обычно ASCII коды символов в паролях ввожу?

Это всё, конечно, хорошо, но, на мой взгляд, бессмысленно. Для брутфорса такой пароль ничем не сложнее qwerty; при использовании словаря перебора — лишь чуть-чуть надёжнее, чем какое-то осмысленное, но небанальное слово («интенсификация» какая-нибудь), а в случае кражи пароля злоумышленник его даже не увидит, а сразу использует, и все эти ухищрения ни к чему. В случае перехвата тем более всё равно, какие символы составляют пароль.

В интернете пароли, как правило, либо перехватывают, либо крадут. В обоих случаях сам пароль значения не имеет совершенно никакого.

М, оказывается, заминусовали этот комментарий аж до скрытия. Что не так-то? Я не эксперт по кибер-безопасности, конечно, но, насколько мне известно, все более-менее серьёзные системы защиты сейчас защищены от взлома перебором, и пароли как раз-таки перехватываются или крадутся.
Да что там системы защиты; я уверен, что и этот сайт (а точнее, сервер, на которм он расположен) довольно быстро пресечёт подозрительный поток запросов к login.php=)

а (xkcd.com/936/) вот прикольный комикс на тему паролей.
Извиняюсь, что только на английском.

Для тех, кто не силён, вот мой перевод в общих чертах:

Идея [комикса] в том, что если в качестве пароля взять четыре не связанных слова, типа "верно лошадь батарея скрепка", то разгадать его компьютеру будет гораздо сложнее, чем какой-нибудь заковыристый, труднозапоминаемый пароль типа Tr0ub4dor&3. А запомнить четыре слова гораздо легче, нарисовав в голове картинку (да вы уже запомнили его!) :-)

Комментарий внизу: "за 20 лет стараний мы успешно натренировали людей придумывать пароли, которые сложно запомнить человеку и легко подобрать компьютеру".

В (en.wikipedia.org/wiki/Diceware) википедии советуют использовать как минимум пять слов для высокого уровня защиты.

kingometal, а совет ваш слили, что ли?

frustration, я слил

kingometal, зря, мне кажется. Но хозяин — барин.
Люблю xkcd :)

У меня в качестве паролей кое-где названия альбомов Rammstein с годом выхода.

(www.pgpru.com/biblioteka/statji/sovremennajatehnikavzlomaparolejj) По словам Эрика Томпсона из AccessData, обычный пароль состоит из корня и дополнения. Корень — не обязательно словарное слово, но все же нечто произносимое. Дополнение — это либо окончание (в 90% случаев), либо приставка (10% случаев).

А ещё здорово будет, если вы возьмёте вместо песни строчку-четверостишье своего собственного стихотворения, и закодируете его по этой схеме, что здесь описали.

да, совет хороший. только помню такой случай: поставила я как-то на пароль:африка ляляля.. так, что вы думаете? меня каким-то образом взломали:D
наверное, программка просто какая-то.)

ятысячуразобрывалпроводасамсебекричалухожунавсегда

Уже придуман таковой давно. Строчка из любимой песни, 40+ символов, заглавные буквы и цифры. Интересно при друзьях его вводить с неимоверной скоростью. Челюсть отвисает(у них) :)

Я нашла для себя оптимальный способ придумывания паролей. Выбираю определенную "основу" — например, какой-нить k7lo42Gp, а затем прибавляю 3 первых буквы сайта, на котором регистрируюсь, например, для кстатиды будет k7lo42Gpkst.
Таким образом для каждого сайта есть свой уникальный пароль, а помнить надо только "основу".

Alias2, читал о таком на хабре. Там можно юзать помимо основы и букв названия сайта ещё и цифру — количество букв названия на конкретном сайте.

Arastior, да и здесь писали много раз где-то. Вроде порешили, что несекурно.

Ещё кое-где (мэйлру) для восстановления пароля предлагают написать секретный вопрос и ответ на него (вопрос будет показан при нажатии на фразу "забыли пароль?" и нужно будет правильно ответить). Есть "уникумы", которые пишут, например, в качестве вопроса "девичья фамилия матери" (мэйл сам подсказывает такой вариант). Поиск этой самой матери на "одноклассниках" или где-то ещё вполне может дать ответ — частенько можно встретить имя в формате "Ирина (Иванова) Соколова", где фамилия в скобках — девичья:)

Так вот, секретные вопросы тоже составляйте грамотно. Никаких имён, фамилий, кличек, ников и т.п. Лично у меня, например, вопрос "модели телевизоров — ?". А ответ — модели всех ТВ-ящиков, котрые у меня были. Только подробно — типа "Thomson RFL17-DH", а не только бренд.

Не пишите также левый резервный e-mail для восстановления пароля, типа qwerty@qwerty.com — подобный ящик можно сделать (если его не существует) и угнать ваш пароль. Ещё, неактивные долгое время реальные ящики периодически могут удаляться и через некоторое время указанного вами реально существующего резервного ящика тоже может не существовать. Новый с таким адресом создастся кем угодно абсолютно беспрепятственно и также останетесь без пароля.

DavidJones,

Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???

chat, да уж, в разведку этого ALEXy не возьмут.

"Снова мороз, жуткий мороз, Нельсон Мандела еле ноги унес" — пора менять конечные строки :-(

Перечитал комменты и подумал: интересно, а можно ли как-то оценить стойкость всех предложенных вариантов? Только строго, по некой объективной метрике.

kinall, подбор пароля вообще штука довольно субъективная.. в зависимости от того что о пароле известно (какие символы доступны, сколько минимум-максимум, что известно о человеке), в зависимости от приверженности взломщика каких-либо способов (по словарю/посимвольный перебор).. есть всяческие сервисы для определения взломостойкости паролей (исходят в основном из кол-ва букв, указывают на некоторые словарные слова), но главное-то все равно не сложность пароля для взлома — ее допустимый уровень довольно просто достичь, главное — чтобы система/данные не были скомпрометированы, а для этого не только пароль важен, но и чтобы бумажка с паролем была не на самом видном месте прилеплена :)

lvx, когда я об этом написал чуть выше, меня жутко заминусовали и продолжили предлагать методы создания паролей) Вот я и думаю теперь, как можно было бы эти методы оценить?