С одной стороны, как только интернетчик регистрируется на паре-тройке-другой десятков сайтов, запомнить логины и пароли ко всем им становится невозможно даже для обладателя недюжинной памяти.
С другой стороны, использование одного и того же логина и пароля ко всем (или хотя бы к некоторым) сайтам — это огромная дыра в безопасности. Получается, что взломщик, получив доступ к учётной записи на одном из сайтов (или просто будучи администратором на нём), автоматически получает доступ к действиям от имени этого пользователя на многих других сайтах.
С третьей стороны, если иметь различные логины и пароли ко всем сайтам, но не наизусть запоминать их, то поневоле придётся завести для этой цели какой-нибудь блокнот. А блокнот, начинённый готовыми к употреблению записями логинов да паролей — опасная штука: достаточно кому-нибудь выкрасть его (или найти случайно потерянным или забытым), чтобы явилась простая возможность «кражи сетевой личности», причём всей целиком.
Однако эта опасность легко устраняется, если записывать пароли в блокнот в таком виде, который не готов к непосредственному употреблению, но может легко использоваться хозяином блокнота. Для такой записи может использоваться целый ряд шифров и других приёмов, которые нетрудно применять «на лету» в уме во время записи пароля и при его последующем употреблении:
→ Подстановочный шифр. Каждая буква пароля заменяется на некоторую другую букву алфавита по некоторому правилу — например, просто по порядку буквы в алфавите (скажем, «a» на «c», «b» на «d», «c» на «e»… «y» на «a», «z» на «b»). Это простой пример. Более сложный шифр также учитывал бы позицию буквы в слове, а не только в алфавите, или учёл бы форму буквы (например, «S» → «5», «O» → «0», «I» → «1», «Z» → «2», «B» → «8»).
→ Перестановочный шифр. Буквы пароля должны употребляться не в записанном порядке, а в некотором другом (например, в обратном порядке, или же они переставлены попарно, или переставлены только те соседние гласные, первая из которых стоит на нечётном месте).
→ Мнемонические приёмы. Индивидуальные замены, обращающиеся к однозначным соответствиям, заложенным в память владельца блокнота, а другим о них трудно догадаться. Например, слово «карга» означает для него число «69», потому что одна из его любовниц была уродливою на лицо, так что заниматься с нею сексом он мог только в этой позе. Или фамилия «Лукьяненко» означает для него число «33», потому что это количество букв в пароле «сороктысячобезьянвжопусунулибанан», имеющемся в одной из книг этого литератора. И так далее.
Все эти шифры и приёмы могут употребляться одновременно.
Большинство современных сайтов ограничивают число попыток ввода пароля в единицу времени, так что атакующему будет не слишком просто подбирать шифр, используемый в блокноте, даже если у него есть некоторые догадки на этот счёт.
1
1
?
1 параноики юнайтед
1 безопасность
1 интернет
Все, наверно, в детстве играли в шпионов и придумывали свои шифры, но давайте подумаем здраво: а кому мы вообще нужны со своими паролями? (я про реальных людей, которые могу выкрасть (О_о) блокнот)
Во-первых, есть спамеры самых разных мастей (например, поисковые и социальные оптимизаторы), которые с удовольствием выкупят готовую живую («активную») стародавнюю («раскрученную») учётную запись у любого подонка, который похитит её.
Во-вторых, есть маниаки с патологическим стремлением к убийству. Возможность назначить девушке свидание от имени её парня или отца, а затем похитить её, отвезти в безлюдный подвал, связать, медленно вспарывать ей живот, обматываться окровавленными кишками и дрочить — это смысл жизни таких нелюдей. Не нужно думать, что это никак не угрожает владельцу похищенной учётной записи: в компьютере жертвы останутся убедительные свидетельства о том, что свидание назначил именно парень или отец, так что современное российское следствие будет заинтересовано в том, чтобы попытки отговориться утратою пароля воспринимались как пустые отговорки подозреваемого, а признание вины добывалось любой ценой. Отбитые почки, травмированный позвоночник, пытки удушением, выбитые и вывихнутые суставы (с растяжением, непременно с растяжением, да под грузом), применение химических спецпрепаратов во время следствия почти гарантируются, тем более что задержанного непременно будут принуждать ко взятию на себя ещё пары-тройки-другой десятков нераскрытых убийств, чтобы улучшить отчётность «убойного отдела». (Например, за убийства, которые совершал Чикатило, одного арестованного успели приговорить и расстрелять, а другой человек сам повесился.)
В-третьих, есть родные и близкие с патологическим стремлением контролировать. Те же люди, которые роются в шкафах, тумбочках и дневниках у детей и любимых, с наслаждением доберутся и до их учётных записей в социальных сетях и для почты.
В-четвёртых, у каждого человека может завестись преследователь (то самое, что в Штатах называется термином «stalker»): тайный враг или тайный воздыхатель, которому доставляет удовольствие следить за жертвою и заглядывать в интимные уголки её жизни.
Mithgol, еще раз "парноики юнайтед"
да, и "как страшно жить"
Mithgol, ооо, прочтение доставило, спасибо=)
Сценарии для триллеров писать не пробовали?
1 многабукаф
1 как страшно жить
https://kstatida.com/a/4475/pridumyvajte-khoroshie-paroli-s-pomoschyu-lyubimykh-pesen
https://kstatida.com/a/1065/pridumyvaya-parol-pomnite-chto-samyj-nadezhnyj-variant-eto-cheredovanie-strochnykh-propisnykh-i-tsifr
Да, это в ту же тему.
1 дети шпионов
смысл в совете есть. но немного покритикую.
подстановки подойдут лишь для паролей из букв. к тому же отгадать их будет просто.
перестановки вы вряд ли запомните. простые перестановки у вас, скорее всего, легко вскроют, если пароли имеют некоторые лексический смысл.
мнемонические, может, и подойдут, но если вы так хорошо запомнили выражение, вас не затруднит его просто запомнить как пароль.
я считаю, что оптимальная политика паролей такова: на важных сайтах, в im-системах пароли различные, в не совсем важных случаях — какой-то стандартный пароль.
Если пароли имеют некоторый лексический смысл — это не кончится добром в любом случае. Поэтому, если без этого никак не обойтись (например, для целей запоминания), а пароль шифруется перестановкою — тогда, чтобы о пароле нельзя было догадаться, лучше пускай записанная в блокноте последовательность имеет лексический смысл, а пароль получается её перестановкою.
кстати, администратор (быдло)сайта вряд ли сможет получить пароль, если он использует какой-либо движок в чистом виде, потому что парли обычно хранятся в виде md5-хешей.
rusher, да, администратор обычно может сменить пароль кому-то из пользователей, но не узнать какой был.
Stormmaster, нет, админ на некоторых движках может узнать пароль в оригинальном виде, и юзер не будет ничего подозревать. 100%
и в чатах тоже
rusher, это только если он "права купил, машину купил, а водить не купил". если есть администраторские права, то при минимальном желании и минимальном скилле пароли в чистом виде выковыриваются абсолютно откуда угодно
kstatida.ru, при минимальном — не всегда. Если в базе данных сайта хранится, скажем, SHA-256 отпечаток пароля, вскрывать его слишком долго. А модифицировать скрипт так, чтобы при входе пользователя в систему он куда-нибудь скидывал его пароль, или так, чтобы в базе данных пароль хранился в открытом виде, может уже не каждый.
Если в открытом виде, то, конечно, просто. Кстати да, а кстатида в каком виде хранит пароли внутри себя? ;)
omich1990, ну попробуй восстановить пароль, узнаешь, хеш или прямой текст.
вот написал подобный коммент в ветке выше, потом увидел этот. удалил свой.
но добавить несколько строк кода не так уж и сложно, я думаю, создать таблицу с попытками логина :)
rusher, всё чаще вместо восстановления встречается переустановка пароля. Кстати да, мы тут про форумы, а у других служб, использующих challenge-аутентификацию, в базе данных вынужденно хранятся пароли открытым текстом.
К тому же для Invision Power Board (движок форума), я так понял, знание MD5 от пароля позволяет сгенерировать cookie, якобы я уже вошёл в систему — но не узнать или изменить пароль.
omich1990, у меня другое мнение насчёт простоты "модифицировать скрипт так, чтобы при входе пользователя в систему он куда-нибудь скидывал его пароль", ну да ладно. в бд кстатиды пароли хранятся в виде солёных хэшей
Я давно собираюсь зашифровать свой листочек с паролями. Впрочем, я его с собой не таскаю, а исправлений в нём так много, что я порой сам не могу понять, где что там искать, что из этого действует, а что устарело (зачёркнуто почти всё) и что всё это значит. Частоиспользуемые пароли знаю наизусть, чему способствует использование простых комбинаций (<10 символов) в не особо критичных местах, где нет ни данных обо мне, ни каких-либо "друзей" и т.п. А т.к. социальными сетями я не пользуюсь в принципе, число "критичных" областей очень невелико, а контактов в них очень мало.
kas, стратегической внезапно может оказатся личная переписка хотя бы. Или учётные записи на разных Интернет-ресурсах, "доброе имя", что называется.
А не проще ли записывать в сам комп и файл шифровать? Лично у меня это все записано в простом документе блокнота.
Alias, проще, надёжней и удобней пользоваться программами для хранения паролей типа (keepass.info/) KeePass. Они имеются для всех платформ, в том числе и мобильных. Под Android пользуюсь его портом (play.google.com/store/apps/details?id=keepass2android.keepass2android) Keepass2Android, тоже очень удобно, особенно в смартфоне. Файлы базы данных можно синхронизировать с облаком и иметь доступ отовсюду.
Кстати, вдруг кому пригодится. У паролей, зашифрованных мастер-паролями, есть один недостаток — мастер-пароль тоже можно забыть. Даже многократное ежедневное повторение не всегда поможет: удар головой, отключение нужной области в мозгу, и привет. Однако есть метод, позволяющий разделить секрет (например, мастер-пароль) на n частей, при этом для восстановления секрета потребуются любые t из них. Значения n и t произвольны и выбираются в момент разделения (t < n). В Ubuntu реализуют данный метод программы ssss (для секретов до 1024 бит, подходит для паролей) и gfshare (пакет libgfshare-bin, ограничений на длину нет). Допустим, мы хотим разделить пароль по схеме 2 из 3. Запускаем
Вводим пароль и получаем нечто типа этого:
Эти три строки записываем на разные носители (флешку, диск, облако, бумагу, можно на камне высечь) и прячем в разных местах.
Для восстановления запускаем
и вводим любые две строки из трёх ранее полученных. При этом только одной строки для восстановления секрета будет недостаточно, так что компрометация отдельно взятой части не критична.
P.S. Конечно, ударившись головой, можно и расположение нычек забыть, но некоторую защиту от частичной амнезии обеспечить можно :)
Блокноты останутся с нами еще очень надолго, это та вещь, которую тяжело вытеснить компьютерами или планшетами. Они бывают очень разные www.bloknot.su и на пружине и клею. На выставках и конференциях и в офисах клиентам вы не дадите планшет, чтобы записать информацию, а вот блокнот даже очень будет уместен.
А маленький блокнот bloknot.su/bloknot_A6.html можно всегда носить с собой.
С уважением, Компания "ФАБРИКА БЛОКНОТОВ"
А я вот юзаю LastPass и в хуй не дую.
Конечно, вполне возможно, что они пиздят мои пароли, но вроде пока что не один из них не открывает доступ к моим деньгам, так что срать. :)