Часто мы стоим перед выбором, какой пароль придумать для того или иного сайта или сервиса. И главное, так придумать, чтобы не забыть! Поэтому очень часто мы используем одинаковые пароли для регистрации на разных сайтах, что снижает нашу безопасность. А ещё снижает безопасность хранение паролей в открытом виде.

Я, DanillaTech, предлагаю пример "технологии" , позволяющую создавать легкие для ввода, но сложные для взлома 16-значные пароли, которые можно хранить в открытом виде с помощью всего одного символа.

Это алгоритмические пароли, v1.0.

Определимся с требованием к паролю многими сервисами: это строчные буквы, прописные, символы, знаки. Наш пароль будет содержать всё это. Для хорошей защищённости наш пароль будет содержать 16 знаков. По 4 знака на каждую группу (символы, цифры, прописные или строчные буквы). Пусть символы вводятся поочерёдно (двигаясь вправо или влево по клавиатуре) - т.е. QWER, ASDF, VCXZ.

Если идти вправо или влево по клавишам нельзя (граница клавиатуры), то всё это дело циклится.

Желательно использовать лишь буквенную часть на латиннице, т.к. при вводе пароля с QWERTY-клавы на смартфоне, например, будут различные трудности.

Создадим небольшую произвольную табличку 3х3, допустим

391

245

867

Наша "защита" паролей будет сделана с помощью этой таблицы.

Допустим, создаём пароль для сервиса Evernote

Ключём для пароля выбираем цифру 7.

Относительно центра (4) она смещена на 1 вниз и вправо. За ключевую букву выбираем первую букву (можно любую) от Evernote. На клавиатуре смещением вправо и вниз относительно E будет F, первые четыре символа

fghj

Затем берём какую-либо букву из этого же символа (допустим, вторую по счёту), применяем такое же смещение. Это буква G, из неё получаем N

Вторая часть пароля

NMZX

Третья часть пусть базируется на нашей цифре 7, желательно со смещением, допустим, получим

6789,

нажимаем шифт и получаем

^&*(

Наш пароль:

fghjNMZX6789^&*(

Конечно, можно применять различные усложнения, комбинации, придумать свой алгоритм пароля...

Преимущества от алгоритмических паролей такие:

1. Хранение пароля в "открытом" виде без понимания алгоритма или какой-то части (типа таблички) ничего не скажет неискушенному взломщику

2.Лёгкий ввод

3. Даже узнав пароль от какого-либо сайта, злоумышленник не будет знать пароль от других сайтов. При этом понять алгоритм вполне реально (особенно если злоумышленник читал эту статью), но без таблицы будет куда сложнее.

И да, желательно учесть то, что алгоритмы могут меняться, и неплохо бы им присвоить версии, т.е. пароль в открытом виде будет содержать уже два символа

ВОт ещё фичи, которые могут усложнить пароль: кратность двум, игра с шифтами/длинной какого-либо блока/

Изменено 1 июля, 201411 г. пользователем DanillaTech (смотреть историю редактирования)

Не забывай про нелинейность алгоритма), и про использование ключ-карты.

Фак, а я тоже сперва забыл про нелинейность алгоритма и про использование ключ-карты. x) Со стюпид.

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

 

Вот только на печеньки не надо наезжать.

Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр.

Жду как твое поделие спасет от кей-логера?

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

 

Ладно, мой дорогой друг. Хочешь, я расскажу, почему твои темки вызывают интерес? Всё очень просто. Это не потому, что тут поднимается злободневный вопрос наших будней. И не потому, что ты так вумно всё подаёшь. Нет. Просто ты пытаешься изобрести велосипед в тех областях, где это уже давно сделали и успели миллион раз затестить работоспособность. А позднее ещё и навесили вкусных финтифлюшек с хорошей химией для нашего транспорта. Но ты же берёшь за основу четырёхколёсный велосипедик и предлагаешь прикрепить к нему паровой двигатель. Вопрос "зачем?" и вызывает беспокойство у образованных и начитанных пользователей АФ, коих здесь несколько. Поэтому они и приходят тебе пояснить - что есть царство Луны на самом деле.

 

Нет, я тебя даже поддерживаю немного. Новые идейки - это отлично. Куда лучше, чем тухнуть в системе. Но тебе было бы полезно почитать ещё литературу, углубиться в интересующий вопрос повнимательнее. И тогда приходить ещё.

Изменено 1 июля, 201411 г. пользователем Flair (смотреть историю редактирования)

Жду как твое поделие спасет от кей-логера?

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Изменено 1 июля, 201411 г. пользователем DanillaTech (смотреть историю редактирования)

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Ну а если теперь включить мозги и подумать сколько паролей нужно знать злоумышленнику?

открою тайну: упомянутая софтина не хранит пароли :) так что риск кейлоггера ничем не отличается. зато получаемые пароли куда устойчивее ко взлому.

Для генерации сложных паролей не нужна софтина вообще, достаточно написать какое-нибудь предложение, например, беспорядочный набор символов. Узким местом в данном случае будет 1)Уникальность паролей 2)вопрос хранения в целом и запоминания в частности. И пусть будем рассматривать не один пароль какой-то, а хотя бы 17 паролей.

Я думаю, что большинство, кто здесь пишет (включая меня), так или иначе используют одинаковые пароли на различных сервисах. Типа "ага, у меня сильный пароль, но плевать на то, что он может подойти к любой моей учётке и легко узнать". АП значительно уменьшают вероятность вероятность взлома с помощью доступа к накопителю паролей, и про другие плюсы я расписывал. И про то, что мой вариант - не идеал, он всего лишь показывает, как можно применить воображение для шифрования паролей. Кто-то без труда сможет сделать ещё лучше.

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

 

Теперь мы знаем пароль мистера Стича от АФ)

Теперь мы знаем пароль мистера Стича от АФ)

Не знаете. Максимум получили подсказку на мой вайфай с другими словами и некоторым отличием в построении слагаемых.)))

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

О(очки косячности)

если длинна пароля >=16 то о=о+1 //сервисы ругаются

если пароль не содержит цифр то о=о+1 //сервисы ругаются

если пароль записан в открытом виде, то о=о+3 //ненадёжно

если пароль используется в разных местах, то о=о+4 //ненадёжно

если пароль легко угадать, то о=о+1

правильным сервисам на "слишком длинный" пароль плевать. они все равно его не хранят, так что мимо кассы.

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

 

 

На самом деле это всё не важно. Сервисы, которые проводят действительно чувствительные вещи (типа денежных переводов) на пароли не полагаются -- они обычно привязаны к личности владельца, типа СМС с кодом, хотим номер поменять -- приходите с паспортом. Вполне можно иметь один пароль на 100500 сайтов. Единственный твой важный пароль -- это почта. Ты через неё всюду регистрируешься. Поэтому именно он должен быть уникальный и стойкий -- то есть не подбираться без проблем из открытой информации по тебе. Если почта железно твоя, ты без проблем меняешь любой угнанный пароль где угодно. А вот если почту угнали -- тогда угонщик без проблем меняет твой пароль где угодно, и ты там можешь хоть обшифроваться со всеми табличками и программами.

 

Пароль для почты нужно просто помнить, никому не говорить и нигде не хранить, ни на компе, ни на бумажках с табличками, ни в чюдо-алгоритмах. В общем и целом -- вот залог живости волос и политически верного кислотно-щелочного баланса. Минимум минорум.

 

"Sakura-Sasuke=Naruto"

 

 

Конкретно этот -- надо прикинуть перебором. Тупо в лоб -- 20 символов против 16. Это лучше. При прямом переборе вариантов (если идти снизу вверх, не зная, сколько точно символов) -- более N¹⁹+N¹⁸+... . N (число вариантов символов) одинаковое. То, что цифр нет -- а откуда взломщик знает, что их нет? Небуквенные символы присутствуют (конкретно "=" картину портит, дефис часто встречается).

 

Если пытаться подобрать по смыслу -- то у нас налицо 5 "символов", то есть для перебора всех вариантов надо N+N²+N³+N⁴+N⁵. Чтобы сказать точно -- надо прикинуть N, то есть какое количество возможных слов (и их форм) и перемежающих символов надо воткнуть в таблицу перебора (и будет ли там вообще нужное слово. Может, у тебя в пароле есть слово, которое тобой никогда не употребляется и в сферу твоих интересов не входит никак).

 

Ну и -- ни один нормальный сервис пароли брутфорсить не даст, только если у него умыкнут базу паролей (где они лежат зашифрованными) и алгоритм шифрования.

Изменено 1 июля, 201411 г. пользователем Shinsaku-To (смотреть историю редактирования)

Если привык к длинным паролям/без цифр то если сервис будет ругаться на длинну/отсутствие цифр то будет разрыв шаблона, запоминаемость снизится.

По поводу утверждения, что пароли можно использовать одинаковые, главное защитить родную почту - это просто попытка оправдать своё нежелание выдумывать новый пароль :) . Оно оправданно и обоснованно, если человеку привык к "классическим" паролям - незапоминающиеся, случайные, длинные, сложные, легко забыть - лучше запомнить один пароль, чем записывать 34 в одно место - и время экономишь, и палева меньше, и не надо напрягаться по поводу придумывания.

А почта - "прошлый век", сейчас привязка к телефонам идёт, и почты может быть не один ящик.

По поводу перебора - если знаешь, что человек не применяет цифры, то это можно использовать.

Изменено 1 июля, 201411 г. пользователем DanillaTech (смотреть историю редактирования)

@DanillaTech, неужели цифры настолько решают? Если взломщик сначала попробует "брутить" без цифр, а потом (в случае провала) уже с ними, то это сильно сэкономит ему время, если я их не использовал изначально?

 

Зы: На моей памяти, только пэйпал требовал от меня цифры в пароле...

Изменено 1 июля, 201411 г. пользователем MrStitch (смотреть историю редактирования)

"Бабушка-летчик" еще ни разу меня не подводил.

Алгоритмические пароли Шифруем сложный пароль одним символом

 

А что, придумать крякозябру, записать этот пароль в блокнот — это уже не модно? К чему эти математические вычисления вообще?

А что, придумать крякозябру, записать этот пароль в блокнот — это уже не модно? К чему эти математические вычисления вообще?

 

А у тебя сейф для сейфа с блокнотом имеется?)

Так и учли, что ориентируемся на QWERTY.

"- Как вы проложили канализацию?

- Вон, ведро стоит"

Клавиатура лучше усечённая, с 1 по 7, облегчит навигацию по таблице

1234567

QWERTYU

ASDFGHJ

ZXCVBNM

количество комбинаций с шифтом должно быть уменьшено, до минимум двух (4 вводить долго), т.е. две литеры верхнего регистра и два символа, другие по 4 символа длина пароля - 12.

@DanillaTech, жжошь :)