Это описывается элементарно. Соседние клавиши для пароля -- вообще зло, если это не случайное совпадение, а система.Тебе придётся описывать положение клавиш на клавиатуре, описать то, что они должны идти вместе, да много чего.
Алгоритмические пароли
#21
Отправлено 01 Июль 2014 - 09:14
#22
Отправлено 01 Июль 2014 - 09:24
Зачем так сильно любить "случайные" пароли, и недолюбливать алгоритмические? Ведь если всё будет случайно, то это приведёт к хранению их в открытом виде, зависимости от источника, который ещё может кому-то пренадлежать, а электронные накопители легко считываются, всякие трояны легко предоставят информацию кому надо, элементарно ставятся кейлоггеры, сохранялки скриншотов, удалёнки, эти самые программы могут быть на том устройстве, откуда ты авторизуешься - зашёл в хранилище паролей на чужом компьютере - и всё, твои пароли переданы кому надо . Можно запоминать случайные, но мы очень хорошо забываем то, чем не пользуемся. Даже если это 5-значный пароль, то тебе нужно помнить 5 символов, каждый из которых имеет, грубо говоря, 72 различные вариации (или один байт), т.е. это 5 байтов. В случае с АП тебе нужно помнить (записывать) всего лишь одну цифру, которую можно кодировать всего пятью битами. Экономия от использования АП возрастает вместе с количеством сгенерированных паролей. А если ты всегда пользуешься одним алгоритмом и таблицей, у тебя это всегда актуально, и алгоритм с таблицей просто так не забудутся.
Сообщение отредактировал DanillaTech: 01 Июль 2014 - 09:32
#23
Отправлено 01 Июль 2014 - 09:42
во втором посте темы уже дали приемлимое решение проблемы.
легко запоминается, достаточная энтропия, довольно длинный пароль, чтобы сломать перебором.
еще у лукьяненко в одной из книг было "40тысячобезьянвжопусунулибанан" в качестве пароля.
#24
Отправлено 01 Июль 2014 - 09:59
1. На какой символ чего опирается алгоритм (может быть первым, вторым, последним, предпоследним, зависящим от цифры)
2. Алгоритм
3. Ключ-карту
4. Цифру
40тысячобезьян - хорошо, но ты вряд ли запомнишь 102 подобных пароля. А если сервис выставит требования букв разного регистра, использования символов, ограничение по длине, скажем, 16, или 8?
При относительной сложности расшифровки АП его достаточно легко ввести и запись, на любом носители информации, будет в n-ое количество раз меньше, чем какой бы то ни было пароль. Если средний пароль 10 символов, то цифра будет писаться в 10 раз быстрее. Но я рекомендую, по крайней мере для себя допускаю возможность смены версий алгоритмов. Поэтому будет уже две цифры - например 71, 81, 21... А если к этому применить ещё нестандартную запись (можно выразить цифры через буквы, поменять местами), то злоумышленник увидит лишь lj , например).
Сообщение отредактировал DanillaTech: 01 Июль 2014 - 10:07
#25
Отправлено 01 Июль 2014 - 12:27
Shinsaku-To, видишь ли, табличка одна для всех паролей). Она может быть меньше, допустим 2х2, или вообще 1х1, если ты не в состоянии что-то запомнить, а в уме легко сгенерировать новый пароль с помощью того или иного алгоритма, как и умножить 2х17.
В уме легко сгенерировать, легко и разгенерировать. Криптостойкость у алгоритма как у сопли в полёте -- алгоритм обратимый, в обратную сторону вычислительная сложность та же. Имея часть данных без проблем можно восстановить отсутствующие. Ты бы это прекрасно понял и сам, если бы не считал, что достаточно Здравого Смысла™, а хотя бы попытался изучить предметную область, для которой предлагаешь решения. Вкратце: твой алгоритм очень плох.
Зато напишешь "пяткой калькулятор за 34 секунды, лол", посчитав себя невероятно крутым .
Именно. Написанная кое-как программка отлично работает, и моментально выдаёт криптостойкие пароли для любого входа (методы давно известны для этого). Ты же предлагаешь пользователю ради решения локальной проблемы пыхтеть и считать каждый раз (!) пароль для каждого ввода, с нефиговым риском ошибиться. Это финиш, сушите вёсла.
При том, что существует множество готовых решений для генерации и хранения паролей, которые и уникальные, и криптостойкие, и с чёртом в ступе, и при этом не требуют от пользователя каких-либо заметных усилий -- они просто работают. О существовании которых ты бы тоже, конечно, узнал, если бы хоть попробовал пробежаться по предметной области, для которой предлагаешь решение.
Вот именно по этим причинам -- твой пост и смешной. Сродни попытке продать дорожному строителю каменный молоток, когда у него есть отбойный.
Сообщение отредактировал Shinsaku-To: 01 Июль 2014 - 12:29
#26
Отправлено 01 Июль 2014 - 12:49
ОК, это один взгляд на вещи. Другой взгляд - это когда люди не то что бы сложный пароль используют, а используют наитупейшие пароли, пароли ко всем сайтам, вся конфиденциальная информация либо на виду, либо чуть глубже. Строителям я не предлагаю каменный молот, я предлагаю такой молот, с удобной ручкой и простой в использовании тем, кто в жизни к нему не прикасался. Да и если быть честным, даже люди, которые должны хранить конфиденциальность, как правило сами её нарушают, и достаточно грубо - ты и сам это прекрасно знаешь.
Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр. А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "
Сообщение отредактировал DanillaTech: 01 Июль 2014 - 12:51
#27
Отправлено 01 Июль 2014 - 12:54
Фак, а я тоже сперва забыл про нелинейность алгоритма и про использование ключ-карты. x) Со стюпид.Не забывай про нелинейность алгоритма), и про использование ключ-карты.
#28
Отправлено 01 Июль 2014 - 12:58
А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "
Вот только на печеньки не надо наезжать.
#29
Отправлено 01 Июль 2014 - 13:24
Жду как твое поделие спасет от кей-логера?Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр.
#30
Отправлено 01 Июль 2014 - 13:28
А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "
Ладно, мой дорогой друг. Хочешь, я расскажу, почему твои темки вызывают интерес? Всё очень просто. Это не потому, что тут поднимается злободневный вопрос наших будней. И не потому, что ты так вумно всё подаёшь. Нет. Просто ты пытаешься изобрести велосипед в тех областях, где это уже давно сделали и успели миллион раз затестить работоспособность. А позднее ещё и навесили вкусных финтифлюшек с хорошей химией для нашего транспорта. Но ты же берёшь за основу четырёхколёсный велосипедик и предлагаешь прикрепить к нему паровой двигатель. Вопрос "зачем?" и вызывает беспокойство у образованных и начитанных пользователей АФ, коих здесь несколько. Поэтому они и приходят тебе пояснить - что есть царство Луны на самом деле.
Нет, я тебя даже поддерживаю немного. Новые идейки - это отлично. Куда лучше, чем тухнуть в системе. Но тебе было бы полезно почитать ещё литературу, углубиться в интересующий вопрос повнимательнее. И тогда приходить ещё.
Сообщение отредактировал Flair: 01 Июль 2014 - 15:54
#31
Отправлено 01 Июль 2014 - 13:29
Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.Жду как твое поделие спасет от кей-логера?
Сообщение отредактировал DanillaTech: 01 Июль 2014 - 13:32
#32
Отправлено 01 Июль 2014 - 14:01
Ну а если теперь включить мозги и подумать сколько паролей нужно знать злоумышленнику?Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.
#33
Отправлено 01 Июль 2014 - 14:01
#34
Отправлено 01 Июль 2014 - 14:18
Я думаю, что большинство, кто здесь пишет (включая меня), так или иначе используют одинаковые пароли на различных сервисах. Типа "ага, у меня сильный пароль, но плевать на то, что он может подойти к любой моей учётке и легко узнать". АП значительно уменьшают вероятность вероятность взлома с помощью доступа к накопителю паролей, и про другие плюсы я расписывал. И про то, что мой вариант - не идеал, он всего лишь показывает, как можно применить воображение для шифрования паролей. Кто-то без труда сможет сделать ещё лучше.
#35
Отправлено 01 Июль 2014 - 14:41
#36
Отправлено 01 Июль 2014 - 14:56
Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее
срединных субтитровалгоритмических паролей?
Теперь мы знаем пароль мистера Стича от АФ)
#37
Отправлено 01 Июль 2014 - 14:59
Не знаете. Максимум получили подсказку на мой вайфай с другими словами и некоторым отличием в построении слагаемых.)))Теперь мы знаем пароль мистера Стича от АФ)
#38
Отправлено 01 Июль 2014 - 15:01
О(очки косячности)Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее
срединных субтитровалгоритмических паролей?
если длинна пароля >=16 то о=о+1 //сервисы ругаются
если пароль не содержит цифр то о=о+1 //сервисы ругаются
если пароль записан в открытом виде, то о=о+3 //ненадёжно
если пароль используется в разных местах, то о=о+4 //ненадёжно
если пароль легко угадать, то о=о+1
#39
Отправлено 01 Июль 2014 - 15:08
#40
Отправлено 01 Июль 2014 - 15:40
Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее
срединных субтитровалгоритмических паролей?
На самом деле это всё не важно. Сервисы, которые проводят действительно чувствительные вещи (типа денежных переводов) на пароли не полагаются -- они обычно привязаны к личности владельца, типа СМС с кодом, хотим номер поменять -- приходите с паспортом. Вполне можно иметь один пароль на 100500 сайтов. Единственный твой важный пароль -- это почта. Ты через неё всюду регистрируешься. Поэтому именно он должен быть уникальный и стойкий -- то есть не подбираться без проблем из открытой информации по тебе. Если почта железно твоя, ты без проблем меняешь любой угнанный пароль где угодно. А вот если почту угнали -- тогда угонщик без проблем меняет твой пароль где угодно, и ты там можешь хоть обшифроваться со всеми табличками и программами.
Пароль для почты нужно просто помнить, никому не говорить и нигде не хранить, ни на компе, ни на бумажках с табличками, ни в чюдо-алгоритмах. В общем и целом -- вот залог живости волос и политически верного кислотно-щелочного баланса. Минимум минорум.
"Sakura-Sasuke=Naruto"
Конкретно этот -- надо прикинуть перебором. Тупо в лоб -- 20 символов против 16. Это лучше. При прямом переборе вариантов (если идти снизу вверх, не зная, сколько точно символов) -- более N19+N18+... . N (число вариантов символов) одинаковое. То, что цифр нет -- а откуда взломщик знает, что их нет? Небуквенные символы присутствуют (конкретно "=" картину портит, дефис часто встречается).
Если пытаться подобрать по смыслу -- то у нас налицо 5 "символов", то есть для перебора всех вариантов надо N+N2+N3+N4+N5. Чтобы сказать точно -- надо прикинуть N, то есть какое количество возможных слов (и их форм) и перемежающих символов надо воткнуть в таблицу перебора (и будет ли там вообще нужное слово. Может, у тебя в пароле есть слово, которое тобой никогда не употребляется и в сферу твоих интересов не входит никак).
Ну и -- ни один нормальный сервис пароли брутфорсить не даст, только если у него умыкнут базу паролей (где они лежат зашифрованными) и алгоритм шифрования.
Сообщение отредактировал Shinsaku-To: 01 Июль 2014 - 15:50
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных