Алгоритмические пароли

[DanillaTech]

Shinsaku-To, Обратимость, вычисления, скачай софт, сгенерирует как надо...

ОК, это один взгляд на вещи. Другой взгляд - это когда люди не то что бы сложный пароль используют, а используют наитупейшие пароли, пароли ко всем сайтам, вся конфиденциальная информация либо на виду, либо чуть глубже. Строителям я не предлагаю каменный молот, я предлагаю такой молот, с удобной ручкой и простой в использовании тем, кто в жизни к нему не прикасался. Да и если быть честным, даже люди, которые должны хранить конфиденциальность, как правило сами её нарушают, и достаточно грубо - ты и сам это прекрасно знаешь.

Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр. А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

Изменено 1 июля, 2014 пользователем DanillaTech (смотреть историю редактирования)

[Canis Latrans]

Не забывай про нелинейность алгоритма), и про использование ключ-карты.

Фак, а я тоже сперва забыл про нелинейность алгоритма и про использование ключ-карты. x) Со стюпид.

[Flair]

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

 

Вот только на печеньки не надо наезжать.

[Танцующий на воде]

Да и твоя мегаархисупер софтина не защитит от трояно-кейлоггеров, скриншотеров, доступ к файлам с паролями, и пр.

Жду как твое поделие спасет от кей-логера?

[Flair]

А если мой пост и смешной, то он хотя бы вызывает больше эмоций, чем "Готовим (´・ω・`) Таяки "

 

Ладно, мой дорогой друг. Хочешь, я расскажу, почему твои темки вызывают интерес? Всё очень просто. Это не потому, что тут поднимается злободневный вопрос наших будней. И не потому, что ты так вумно всё подаёшь. Нет. Просто ты пытаешься изобрести велосипед в тех областях, где это уже давно сделали и успели миллион раз затестить работоспособность. А позднее ещё и навесили вкусных финтифлюшек с хорошей химией для нашего транспорта. Но ты же берёшь за основу четырёхколёсный велосипедик и предлагаешь прикрепить к нему паровой двигатель. Вопрос "зачем?" и вызывает беспокойство у образованных и начитанных пользователей АФ, коих здесь несколько. Поэтому они и приходят тебе пояснить - что есть царство Луны на самом деле.

 

Нет, я тебя даже поддерживаю немного. Новые идейки - это отлично. Куда лучше, чем тухнуть в системе. Но тебе было бы полезно почитать ещё литературу, углубиться в интересующий вопрос повнимательнее. И тогда приходить ещё.

Изменено 1 июля, 2014 пользователем Flair (смотреть историю редактирования)

[DanillaTech]

Жду как твое поделие спасет от кей-логера?

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Изменено 1 июля, 2014 пользователем DanillaTech (смотреть историю редактирования)

[Танцующий на воде]

Ты НЕ вводишь мастер-пароли и НЕ палишь свой единый пароль перед всеми, в худшем случае ты потеряешь ровно столько паролей, сколько введёшь.

Ну а если теперь включить мозги и подумать сколько паролей нужно знать злоумышленнику?

[Jabberwocker]

открою тайну: упомянутая софтина не хранит пароли :) так что риск кейлоггера ничем не отличается. зато получаемые пароли куда устойчивее ко взлому.

[DanillaTech]

Для генерации сложных паролей не нужна софтина вообще, достаточно написать какое-нибудь предложение, например, беспорядочный набор символов. Узким местом в данном случае будет 1)Уникальность паролей 2)вопрос хранения в целом и запоминания в частности. И пусть будем рассматривать не один пароль какой-то, а хотя бы 17 паролей.

Я думаю, что большинство, кто здесь пишет (включая меня), так или иначе используют одинаковые пароли на различных сервисах. Типа "ага, у меня сильный пароль, но плевать на то, что он может подойти к любой моей учётке и легко узнать". АП значительно уменьшают вероятность вероятность взлома с помощью доступа к накопителю паролей, и про другие плюсы я расписывал. И про то, что мой вариант - не идеал, он всего лишь показывает, как можно применить воображение для шифрования паролей. Кто-то без труда сможет сделать ещё лучше.

[Nekofrenik]

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

[Flair]

Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

 

Теперь мы знаем пароль мистера Стича от АФ)

[Nekofrenik]

Теперь мы знаем пароль мистера Стича от АФ)

Не знаете. Максимум получили подсказку на мой вайфай с другими словами и некоторым отличием в построении слагаемых.)))

[DanillaTech]

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

О(очки косячности)

если длинна пароля >=16 то о=о+1 //сервисы ругаются

если пароль не содержит цифр то о=о+1 //сервисы ругаются

если пароль записан в открытом виде, то о=о+3 //ненадёжно

если пароль используется в разных местах, то о=о+4 //ненадёжно

если пароль легко угадать, то о=о+1

[Jabberwocker]

правильным сервисам на "слишком длинный" пароль плевать. они все равно его не хранят, так что мимо кассы.

[Shinsaku-To]

Пытаюсь вникнуть в суть написанного. А точнее в рациональность оного. Скажем, пароль "Sakura-Sasuke=Naruto" сильно слабее срединных субтитров алгоритмических паролей?

 

 

На самом деле это всё не важно. Сервисы, которые проводят действительно чувствительные вещи (типа денежных переводов) на пароли не полагаются -- они обычно привязаны к личности владельца, типа СМС с кодом, хотим номер поменять -- приходите с паспортом. Вполне можно иметь один пароль на 100500 сайтов. Единственный твой важный пароль -- это почта. Ты через неё всюду регистрируешься. Поэтому именно он должен быть уникальный и стойкий -- то есть не подбираться без проблем из открытой информации по тебе. Если почта железно твоя, ты без проблем меняешь любой угнанный пароль где угодно. А вот если почту угнали -- тогда угонщик без проблем меняет твой пароль где угодно, и ты там можешь хоть обшифроваться со всеми табличками и программами.

 

Пароль для почты нужно просто помнить, никому не говорить и нигде не хранить, ни на компе, ни на бумажках с табличками, ни в чюдо-алгоритмах. В общем и целом -- вот залог живости волос и политически верного кислотно-щелочного баланса. Минимум минорум.

 

"Sakura-Sasuke=Naruto"

 

 

Конкретно этот -- надо прикинуть перебором. Тупо в лоб -- 20 символов против 16. Это лучше. При прямом переборе вариантов (если идти снизу вверх, не зная, сколько точно символов) -- более N¹⁹+N¹⁸+... . N (число вариантов символов) одинаковое. То, что цифр нет -- а откуда взломщик знает, что их нет? Небуквенные символы присутствуют (конкретно "=" картину портит, дефис часто встречается).

 

Если пытаться подобрать по смыслу -- то у нас налицо 5 "символов", то есть для перебора всех вариантов надо N+N²+N³+N⁴+N⁵. Чтобы сказать точно -- надо прикинуть N, то есть какое количество возможных слов (и их форм) и перемежающих символов надо воткнуть в таблицу перебора (и будет ли там вообще нужное слово. Может, у тебя в пароле есть слово, которое тобой никогда не употребляется и в сферу твоих интересов не входит никак).

 

Ну и -- ни один нормальный сервис пароли брутфорсить не даст, только если у него умыкнут базу паролей (где они лежат зашифрованными) и алгоритм шифрования.

Изменено 1 июля, 2014 пользователем Shinsaku-To (смотреть историю редактирования)

[DanillaTech]

Если привык к длинным паролям/без цифр то если сервис будет ругаться на длинну/отсутствие цифр то будет разрыв шаблона, запоминаемость снизится.

По поводу утверждения, что пароли можно использовать одинаковые, главное защитить родную почту - это просто попытка оправдать своё нежелание выдумывать новый пароль :) . Оно оправданно и обоснованно, если человеку привык к "классическим" паролям - незапоминающиеся, случайные, длинные, сложные, легко забыть - лучше запомнить один пароль, чем записывать 34 в одно место - и время экономишь, и палева меньше, и не надо напрягаться по поводу придумывания.

А почта - "прошлый век", сейчас привязка к телефонам идёт, и почты может быть не один ящик.

По поводу перебора - если знаешь, что человек не применяет цифры, то это можно использовать.

Изменено 1 июля, 2014 пользователем DanillaTech (смотреть историю редактирования)

[Nekofrenik]

@DanillaTech, неужели цифры настолько решают? Если взломщик сначала попробует "брутить" без цифр, а потом (в случае провала) уже с ними, то это сильно сэкономит ему время, если я их не использовал изначально?

 

Зы: На моей памяти, только пэйпал требовал от меня цифры в пароле...

Изменено 1 июля, 2014 пользователем MrStitch (смотреть историю редактирования)

[Hohn]

"Бабушка-летчик" еще ни разу меня не подводил.

[C.C.-sama]

Алгоритмические пароли Шифруем сложный пароль одним символом

 

А что, придумать крякозябру, записать этот пароль в блокнот — это уже не модно? К чему эти математические вычисления вообще?

[Flair]

А что, придумать крякозябру, записать этот пароль в блокнот — это уже не модно? К чему эти математические вычисления вообще?

 

А у тебя сейф для сейфа с блокнотом имеется?)

[Ernest_Kabardinov]

Так и учли, что ориентируемся на QWERTY.

"- Как вы проложили канализацию?

- Вон, ведро стоит"

[DanillaTech]

Клавиатура лучше усечённая, с 1 по 7, облегчит навигацию по таблице

1234567

QWERTYU

ASDFGHJ

ZXCVBNM

количество комбинаций с шифтом должно быть уменьшено, до минимум двух (4 вводить долго), т.е. две литеры верхнего регистра и два символа, другие по 4 символа длина пароля - 12.

[Jabberwocker]

@DanillaTech, жжошь :)