Хорошие = легкозапоминаемые + трудновзламываемые.
1. Вспомните строчку или несколько строк стихотворения или песни (обязательно любимых).
2. Возьмите у каждого слова по первой букве или слогу. Также можно включать в пароль знаки препинания.
3. При желании запишите их в разных регистрах и в разных раскладках (но так, чтобы вспомнить потом, где какие буквы). Чаще всего стоит использовать только латинскую раскладку.
4. Вставьте несколько цифр в произвольных местах (тоже постарайтесь не забыть, где какие).
Плюсы:
- такой пароль надежнее, чем просто слово и чем набор одних цифр;
- вводить и запоминать его легче, чем пароль, вводимый с помощью ASCII-кодов.
Минусы:
- сначала можно все-таки забыть неосторожно выбранные цифры и регистры;
- песня или стих могут перестать быть любимыми, но будут крутиться в голове каждый раз при вводе пароля.
Пример.
1. "Снова мороз, жуткий мороз, Нельсон Мандела еле ноги унес".
2. smzhmnmenu
3. SmzhmNMenu
4. Sm-30zhm-40NMenu
Это лишь один из допустимых способов придумывать пароли.
1
1
?
1 пароль
"Легкозапоминаемый" и "трудновзламываемый" совет.
Спасибо.
Лишь бы при введении пароля песня намертво не прицепилась, бывает такое.
1 интернет
1 компьютеры
1 безопасность
какой прекрасный совет! очень понравился. спасибо. особенно "снова мороз -30" и "жуткий мороз -40" ))))
На здоровье! :)
мне кажется, что фраза “Снова мороз, жуткий мороз, Нельсон Мандела еле ноги унес” сама по себе является значительно более серьёзным паролем, чем “Sm-30zhm-40NMenu”, особенно, если её набрать в неправильной раскладке (можно без пробелов): “Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc”.
Если без пробелов — очевидно, да. Просто нас учили именно в том виде, как в совете :) Но вам виднее. Повторюсь: это лишь один из допустимых способов придумывать пароли.
пробелы, кстати, тоже вполне себе спецсимвол, ничем не хуже других. а где это вас так учили?
Ответила в личку, краткое содержание: в ВУЗе :)
А что вы будете делать без русской клавиатуры? Сколько раз уже друзья натыкались за границей на такие проблемы…
есть такая проблема, согласен. можно поставить замечательную программку пунто свитчер, набрать в текстовом документе нужную фразу по-русски, а потом свитчером её конвертнуть в английскую раскладку. я в предыдущем комментарии фразу "Cyjdfvjhjp?;e… " именно так и набрал :)
впрочем, один из своих паролей, составленных таким образом, я уже наловчился набирать вслепую, так что есть и такой вариант
Вот, кстати, такие финты — не всегда удачный приём. Например, если вводить такой пароль с другого компьютера, в котором установлена другая раскладка клавиатуры, может возникнуть удивительное нечто :)
ну это надо очень сильно постараться, чтобы найти нестандартную клавиатуру, так что, я думаю, этой "опасностью" можно пренебречь
Стараться не надо — можно просто однажды так попасть, и пароль не набрать пока не вспомнишь каждый используемый символ. И я говорю даже не о каких-то необычных клавиатурах, а о разнообразных раскладках, которые есть в Гномах, Кедах и современных Виндах: там, например, есть несколько раскладок английского, которые отличаются расположением знаков препинания и специальных символов.
А, например, будучи в командировке/на отдыхе заграницей можно довольно легко попасть в тупик в интернет-кафе с немецкой или, например, французской раскладкой.
Разумеется, случаи нетипичные, но, по-моему, лучше перестраховаться ;)
kstatida.ru, еще, к сожалению, “Sm-30zhm-40NMenu” при правильном подборе будет сложнее, чем “Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc”, потому что достаточно распространена смена раскладки, и взломщики это подбирают, а почти все слова в этой фразе есть в словаре, что еще более облегчит подбор. Алгоритмически данный короткий пароль сложнее. По энтропии сложнее строка. Все зависит от уровня взломщика.
И вообще самый сложный пароль — это много-много, например 50 букв Z. Взломщик перебирать будет, и дойдет до этого пароля в последнюю очередь :D
Monory, "почти все слова в этой фразе есть в словаре, что еще более облегчит подбор" — скажите, пожалуйста, сколько нужно перебрать вариантов фразы из 8 слов (для упрощения перебора, пробелы и знаки препинания использовать не будем)
ariokh, если в словаре около 10000 слов(полный словарный запас выпускника ВУЗа), то количество комбинаций около 10^32
Если 4000(полный словарный запас выпускника средней школы) — 6.5*10^28
Если же 2000(набор частоупотребимых слова) — 2.5*10^26
При пароле из 16 знаков из набора [a-яА-Я0-9!"№;%:?*()-_=+.,[]](84 символа) — 6*10^30
Цифробуквенный (66 символов) — 1.9*10^29
Но стоит добавить, что, если например, в пароле "Cyjdfvjhjp?;enrbqvjhjp?YtkmcjyVfyltkftktyjubeytc" каждую гласную в оригинальной фразе продублировать, то пароль становится словарно неперебираемым, и тогда количество комбинаций около 2.3*10^92 что многократно сложнее всех этих паролей.
Monory, "количество комбинаций около 10^32" — и как к такому количеству переборов можно применять слова "что еще более облегчит подбор"? :)
ariokh, да, я конечно, слегка погорячился — особенно, учитывая то, что некоторые словари паролей содержат до 500000 слов. В общем, я предлагаю какой-нибудь вариант, применяющий оба метода, например в вашей фразе после каждой гласной писать следующую за ней букву. Тогда сложность возрастает на десятки порядков, и на современном оборудовании такой пароль подобрать невозможно.
"А мне все равно, я точно знаю одно… " — простите, вырвалось :)
>>вводимый с помощью ASCII-кодов.
Вы обычно ASCII коды символов в паролях вводите?
Нет. Мне неоднократно встречалась эта рекомендация, аргументируемая повышением устойчивости пароля благодаря использованию расширенного набора символов. Но я не пользуюсь этим способом. А почему вы решили, что я обычно ASCII коды символов в паролях ввожу?
Это всё, конечно, хорошо, но, на мой взгляд, бессмысленно. Для брутфорса такой пароль ничем не сложнее qwerty; при использовании словаря перебора — лишь чуть-чуть надёжнее, чем какое-то осмысленное, но небанальное слово («интенсификация» какая-нибудь), а в случае кражи пароля злоумышленник его даже не увидит, а сразу использует, и все эти ухищрения ни к чему. В случае перехвата тем более всё равно, какие символы составляют пароль.
В интернете пароли, как правило, либо перехватывают, либо крадут. В обоих случаях сам пароль значения не имеет совершенно никакого.
М, оказывается, заминусовали этот комментарий аж до скрытия. Что не так-то? Я не эксперт по кибер-безопасности, конечно, но, насколько мне известно, все более-менее серьёзные системы защиты сейчас защищены от взлома перебором, и пароли как раз-таки перехватываются или крадутся.
Да что там системы защиты; я уверен, что и этот сайт (а точнее, сервер, на которм он расположен) довольно быстро пресечёт подозрительный поток запросов к login.php=)
1 а я пробовал и ок!
а (xkcd.com/936/) вот прикольный комикс на тему паролей.
Извиняюсь, что только на английском.
Для тех, кто не силён, вот мой перевод в общих чертах:
Идея [комикса] в том, что если в качестве пароля взять четыре не связанных слова, типа "верно лошадь батарея скрепка", то разгадать его компьютеру будет гораздо сложнее, чем какой-нибудь заковыристый, труднозапоминаемый пароль типа Tr0ub4dor&3. А запомнить четыре слова гораздо легче, нарисовав в голове картинку (да вы уже запомнили его!) :-)
Комментарий внизу: "за 20 лет стараний мы успешно натренировали людей придумывать пароли, которые сложно запомнить человеку и легко подобрать компьютеру".
В (en.wikipedia.org/wiki/Diceware) википедии советуют использовать как минимум пять слов для высокого уровня защиты.
kingometal, а совет ваш слили, что ли?
frustration, я слил
kingometal, зря, мне кажется. Но хозяин — барин.
Люблю xkcd :)
У меня в качестве паролей кое-где названия альбомов Rammstein с годом выхода.
(www.pgpru.com/biblioteka/statji/sovremennajatehnikavzlomaparolejj) По словам Эрика Томпсона из AccessData, обычный пароль состоит из корня и дополнения. Корень — не обязательно словарное слово, но все же нечто произносимое. Дополнение — это либо окончание (в 90% случаев), либо приставка (10% случаев).
А ещё здорово будет, если вы возьмёте вместо песни строчку-четверостишье своего собственного стихотворения, и закодируете его по этой схеме, что здесь описали.
да, совет хороший. только помню такой случай: поставила я как-то на пароль:африка ляляля.. так, что вы думаете? меня каким-то образом взломали:D
наверное, программка просто какая-то.)
ятысячуразобрывалпроводасамсебекричалухожунавсегда
Уже придуман таковой давно. Строчка из любимой песни, 40+ символов, заглавные буквы и цифры. Интересно при друзьях его вводить с неимоверной скоростью. Челюсть отвисает(у них) :)
Я нашла для себя оптимальный способ придумывания паролей. Выбираю определенную "основу" — например, какой-нить k7lo42Gp, а затем прибавляю 3 первых буквы сайта, на котором регистрируюсь, например, для кстатиды будет k7lo42Gpkst.
Таким образом для каждого сайта есть свой уникальный пароль, а помнить надо только "основу".
Alias2, читал о таком на хабре. Там можно юзать помимо основы и букв названия сайта ещё и цифру — количество букв названия на конкретном сайте.
Arastior, да и здесь писали много раз где-то. Вроде порешили, что несекурно.
Ещё кое-где (мэйлру) для восстановления пароля предлагают написать секретный вопрос и ответ на него (вопрос будет показан при нажатии на фразу "забыли пароль?" и нужно будет правильно ответить). Есть "уникумы", которые пишут, например, в качестве вопроса "девичья фамилия матери" (мэйл сам подсказывает такой вариант). Поиск этой самой матери на "одноклассниках" или где-то ещё вполне может дать ответ — частенько можно встретить имя в формате "Ирина (Иванова) Соколова", где фамилия в скобках — девичья:)
Так вот, секретные вопросы тоже составляйте грамотно. Никаких имён, фамилий, кличек, ников и т.п. Лично у меня, например, вопрос "модели телевизоров — ?". А ответ — модели всех ТВ-ящиков, котрые у меня были. Только подробно — типа "Thomson RFL17-DH", а не только бренд.
Не пишите также левый резервный e-mail для восстановления пароля, типа qwerty@qwerty.com — подобный ящик можно сделать (если его не существует) и угнать ваш пароль. Ещё, неактивные долгое время реальные ящики периодически могут удаляться и через некоторое время указанного вами реально существующего резервного ящика тоже может не существовать. Новый с таким адресом создастся кем угодно абсолютно беспрепятственно и также останетесь без пароля.
DavidJones,
chat, да уж, в разведку этого ALEXy не возьмут.
"Снова мороз, жуткий мороз, Нельсон Мандела еле ноги унес" — пора менять конечные строки :-(
Перечитал комменты и подумал: интересно, а можно ли как-то оценить стойкость всех предложенных вариантов? Только строго, по некой объективной метрике.
kinall, подбор пароля вообще штука довольно субъективная.. в зависимости от того что о пароле известно (какие символы доступны, сколько минимум-максимум, что известно о человеке), в зависимости от приверженности взломщика каких-либо способов (по словарю/посимвольный перебор).. есть всяческие сервисы для определения взломостойкости паролей (исходят в основном из кол-ва букв, указывают на некоторые словарные слова), но главное-то все равно не сложность пароля для взлома — ее допустимый уровень довольно просто достичь, главное — чтобы система/данные не были скомпрометированы, а для этого не только пароль важен, но и чтобы бумажка с паролем была не на самом видном месте прилеплена :)
lvx, когда я об этом написал чуть выше, меня жутко заминусовали и продолжили предлагать методы создания паролей) Вот я и думаю теперь, как можно было бы эти методы оценить?