Алгоритмические пароли

Тебе придётся описывать положение клавиш на клавиатуре, описать то, что они должны идти вместе, да много чего.

Это описывается элементарно. Соседние клавиши для пароля -- вообще зло, если это не случайное совпадение, а система.

Соседние клавиши - зло, ок, ничего не мешает изменить алгоритм для генерации "случайных" клавиш.
Зачем так сильно любить "случайные" пароли, и недолюбливать алгоритмические? Ведь если всё будет случайно, то это приведёт к хранению их в открытом виде, зависимости от источника, который ещё может кому-то пренадлежать, а электронные накопители легко считываются, всякие трояны легко предоставят информацию кому надо, элементарно ставятся кейлоггеры, сохранялки скриншотов, удалёнки, эти самые программы могут быть на том устройстве, откуда ты авторизуешься - зашёл в хранилище паролей на чужом компьютере - и всё, твои пароли переданы кому надо . Можно запоминать случайные, но мы очень хорошо забываем то, чем не пользуемся. Даже если это 5-значный пароль, то тебе нужно помнить 5 символов, каждый из которых имеет, грубо говоря, 72 различные вариации (или один байт), т.е. это 5 байтов. В случае с АП тебе нужно помнить (записывать) всего лишь одну цифру, которую можно кодировать всего пятью битами. Экономия от использования АП возрастает вместе с количеством сгенерированных паролей. А если ты всегда пользуешься одним алгоритмом и таблицей, у тебя это всегда актуально, и алгоритм с таблицей просто так не забудутся.

Сообщение отредактировал DanillaTech: 01 Июль 2014 - 09:32

предлагаемый алгоритм опасен тем, что в случае компрометации одного из паролей, остальные вскрываются очень быстро.
во втором посте темы уже дали приемлимое решение проблемы.
легко запоминается, достаточная энтропия, довольно длинный пароль, чтобы сломать перебором.

еще у лукьяненко в одной из книг было "40тысячобезьянвжопусунулибанан" в качестве пароля.

Не забывай про нелинейность алгоритма), и про использование ключ-карты. Чтобы сгенерировать любой пароль, нужно обладать 4-мя знаниями:
1. На какой символ чего опирается алгоритм (может быть первым, вторым, последним, предпоследним, зависящим от цифры)
2. Алгоритм
3. Ключ-карту
4. Цифру
40тысячобезьян - хорошо, но ты вряд ли запомнишь 102 подобных пароля. А если сервис выставит требования букв разного регистра, использования символов, ограничение по длине, скажем, 16, или 8?
При относительной сложности расшифровки АП его достаточно легко ввести и запись, на любом носители информации, будет в n-ое количество раз меньше, чем какой бы то ни было пароль. Если средний пароль 10 символов, то цифра будет писаться в 10 раз быстрее. Но я рекомендую, по крайней мере для себя допускаю возможность смены версий алгоритмов. Поэтому будет уже две цифры - например 71, 81, 21... А если к этому применить ещё нестандартную запись (можно выразить цифры через буквы, поменять местами), то злоумышленник увидит лишь lj , например).

Сообщение отредактировал DanillaTech: 01 Июль 2014 - 10:07

Shinsaku-To, видишь ли, табличка одна для всех паролей). Она может быть меньше, допустим 2х2, или вообще 1х1, если ты не в состоянии что-то запомнить, а в уме легко сгенерировать новый пароль с помощью того или иного алгоритма, как и умножить 2х17.

В уме легко сгенерировать, легко и разгенерировать. Криптостойкость у алгоритма как у сопли в полёте -- алгоритм обратимый, в обратную сторону вычислительная сложность та же. Имея часть данных без проблем можно восстановить отсутствующие. Ты бы это прекрасно понял и сам, если бы не считал, что достаточно Здравого Смысла™, а хотя бы попытался изучить предметную область, для которой предлагаешь решения. Вкратце: твой алгоритм очень плох.

Зато напишешь "пяткой калькулятор за 34 секунды, лол", посчитав себя невероятно крутым .

Именно. Написанная кое-как программка отлично работает, и моментально выдаёт криптостойкие пароли для любого входа (методы давно известны для этого). Ты же предлагаешь пользователю ради решения локальной проблемы пыхтеть и считать каждый раз (!) пароль для каждого ввода, с нефиговым риском ошибиться. Это финиш, сушите вёсла.

При том, что существует множество готовых решений для генерации и хранения паролей, которые и уникальные, и криптостойкие, и с чёртом в ступе, и при этом не требуют от пользователя каких-либо заметных усилий -- они просто работают. О существовании которых ты бы тоже, конечно, узнал, если бы хоть попробовал пробежаться по предметной области, для которой предлагаешь решение.

Вот именно по этим причинам -- твой пост и смешной. Сродни попытке продать дорожному строителю каменный молоток, когда у него есть отбойный.

Сообщение отредактировал Shinsaku-To: 01 Июль 2014 - 12:29

Shinsaku-To, Обратимость, вычисления, скачай софт, сгенерирует как надо...
ОК, это один взгляд на вещи. Другой взгляд - это когда люди не то что бы сложный пароль используют, а используют наитупейшие пароли, пароли ко всем сайтам, вся конфиденциальная информация либо на виду, либо чуть глубже. Строителям я не предлагаю каменный молот, я предлагаю такой молот, с удобной ручкой и простой в использовании тем, кто в жизни к нему не прикасался. Да и если быть честным, даже люди, которые должны хранить конфиденциальность, как правило сами её нарушают, и достаточно грубо - ты и сам это прекрасно знаешь.
Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр. А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

Сообщение отредактировал DanillaTech: 01 Июль 2014 - 12:51

Не забывай про нелинейность алгоритма), и про использование ключ-карты.

Фак, а я тоже сперва забыл про нелинейность алгоритма и про использование ключ-карты. x) Со стюпид.

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

Вот только на печеньки не надо наезжать.

Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр.

Жду как твое поделие спасет от кей-логера?

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

Ладно, мой дорогой друг. Хочешь, я расскажу, почему твои темки вызывают интерес? Всё очень просто. Это не потому, что тут поднимается злободневный вопрос наших будней. И не потому, что ты так вумно всё подаёшь. Нет. Просто ты пытаешься изобрести велосипед в тех областях, где это уже давно сделали и успели миллион раз затестить работоспособность. А позднее ещё и навесили вкусных финтифлюшек с хорошей химией для нашего транспорта. Но ты же берёшь за основу четырёхколёсный велосипедик и предлагаешь прикрепить к нему паровой двигатель. Вопрос "зачем?" и вызывает беспокойство у образованных и начитанных пользователей АФ, коих здесь несколько. Поэтому они и приходят тебе пояснить - что есть царство Луны на самом деле.

Нет, я тебя даже поддерживаю немного. Новые идейки - это отлично. Куда лучше, чем тухнуть в системе. Но тебе было бы полезно почитать ещё литературу, углубиться в интересующий вопрос повнимательнее. И тогда приходить ещё.

Сообщение отредактировал Flair: 01 Июль 2014 - 15:54

Жду как твое поделие спасет от кей-логера?

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Сообщение отредактировал DanillaTech: 01 Июль 2014 - 13:32

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Ну а если теперь включить мозги и подумать сколько паролей нужно знать злоумышленнику?

открою тайну: упомянутая софтина не хранит пароли так что риск кейлоггера ничем не отличается. зато получаемые пароли куда устойчивее ко взлому.

Для генерации сложных паролей не нужна софтина вообще, достаточно написать какое-нибудь предложение, например, беспорядочный набор символов. Узким местом в данном случае будет 1)Уникальность паролей 2)вопрос хранения в целом и запоминания в частности. И пусть будем рассматривать не один пароль какой-то, а хотя бы 17 паролей.
Я думаю, что большинство, кто здесь пишет (включая меня), так или иначе используют одинаковые пароли на различных сервисах. Типа "ага, у меня сильный пароль, но плевать на то, что он может подойти к любой моей учётке и легко узнать". АП значительно уменьшают вероятность вероятность взлома с помощью доступа к накопителю паролей, и про другие плюсы я расписывал. И про то, что мой вариант - не идеал, он всего лишь показывает, как можно применить воображение для шифрования паролей. Кто-то без труда сможет сделать ещё лучше.

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

Теперь мы знаем пароль мистера Стича от АФ)

Теперь мы знаем пароль мистера Стича от АФ)

Не знаете. Максимум получили подсказку на мой вайфай с другими словами и некоторым отличием в построении слагаемых.)))

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

О(очки косячности)
если длинна пароля >=16 то о=о+1 //сервисы ругаются
если пароль не содержит цифр то о=о+1 //сервисы ругаются
если пароль записан в открытом виде, то о=о+3 //ненадёжно
если пароль используется в разных местах, то о=о+4 //ненадёжно
если пароль легко угадать, то о=о+1

правильным сервисам на "слишком длинный" пароль плевать. они все равно его не хранят, так что мимо кассы.

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

На самом деле это всё не важно. Сервисы, которые проводят действительно чувствительные вещи (типа денежных переводов) на пароли не полагаются -- они обычно привязаны к личности владельца, типа СМС с кодом, хотим номер поменять -- приходите с паспортом. Вполне можно иметь один пароль на 100500 сайтов. Единственный твой важный пароль -- это почта. Ты через неё всюду регистрируешься. Поэтому именно он должен быть уникальный и стойкий -- то есть не подбираться без проблем из открытой информации по тебе. Если почта железно твоя, ты без проблем меняешь любой угнанный пароль где угодно. А вот если почту угнали -- тогда угонщик без проблем меняет твой пароль где угодно, и ты там можешь хоть обшифроваться со всеми табличками и программами.

Пароль для почты нужно просто помнить, никому не говорить и нигде не хранить, ни на компе, ни на бумажках с табличками, ни в чюдо-алгоритмах. В общем и целом -- вот залог живости волос и политически верного кислотно-щелочного баланса. Минимум минорум.

"Sakura-Sasuke=Naruto"

Конкретно этот -- надо прикинуть перебором. Тупо в лоб -- 20 символов против 16. Это лучше. При прямом переборе вариантов (если идти снизу вверх, не зная, сколько точно символов) -- более N¹⁹+N¹⁸+... . N (число вариантов символов) одинаковое. То, что цифр нет -- а откуда взломщик знает, что их нет? Небуквенные символы присутствуют (конкретно "=" картину портит, дефис часто встречается).

Если пытаться подобрать по смыслу -- то у нас налицо 5 "символов", то есть для перебора всех вариантов надо N+N²+N³+N⁴+N⁵. Чтобы сказать точно -- надо прикинуть N, то есть какое количество возможных слов (и их форм) и перемежающих символов надо воткнуть в таблицу перебора (и будет ли там вообще нужное слово. Может, у тебя в пароле есть слово, которое тобой никогда не употребляется и в сферу твоих интересов не входит никак).

Ну и -- ни один нормальный сервис пароли брутфорсить не даст, только если у него умыкнут базу паролей (где они лежат зашифрованными) и алгоритм шифрования.

Сообщение отредактировал Shinsaku-To: 01 Июль 2014 - 15:50