Отличный комментарий!
Чо-то не подошел пароль.
Same shit.
у меня есть 2 пароля и вариации с ними с большими буквами и маленькими. В итоге я имею 6 паролей, которые чётко помню. Причём у них есть градация, для всякой сомнительной хуйни я использую 2-3 варианта простого пароля, а для важных сайтов, почты и счетов другой более сложный и его вариации. Поэтому елси я однажды куда то буду заходить, где я не был лет 5, и мне скажут что у меня уже есть там аккаунт, я буду чётко знать какие 3 варианта простого ( или сложного ) пароля мне попробовать ввести. В итоге, всё чётко. Ну, есть ещё отдельные места, где лежат деньги, пароли от таких мест вообще записаны куда надо, и хранятся где следует.
Осталось чтобы у тебя, такой умнички, пароль к электронке, на которую приходят "восстановительные" письма, не совпадал с этими вариабельными паролями.
Какой год на дворе? Даже на почту гугля чтоб зайти с левого устройства нужно принять СМС, помолится Одину для выбор всех машинок на 5-ти капчах, перечитать все смс на всех устройствах, что кто-то ломится в аккаунт и ура! Вы вошли в почту.
А еще могут акк на время заблочить, если 3 раза неправильно ввел.
Страдал тем же, карты-пароли, "фигурки" на клавиатуре, код + название ресурса...
В свое время выучил число Пи до 50 знаков после запятой. Пока учил - понял, что мой мозг быстро и олично запоминает последовательности по 2 разряда, по типу
3. 14 15 92 65 36 ...
Решил поиграться с другими символами, опытным путем установил, что лучше всего запоминаю последовательности, если разбить их на 4 символа.
Суть:
Есть N ( N - сколько не лень запомнить) - четырехсимвольных блоков типа: dE%1, 4r*K, z-G1...
Изначально у меня таких блоков было 4 (N = 4)
при условии, что блок не повторяется : K - количество блоков в пароле, получим:
K = 4 : 24 разных пароля по 16 символов. пример : Z@k4rm0GP$5RdKz*8
K = 3 : 24 разных пароля по 12 символов пример : rm0GP$5RdKz*8
К = 2 : 12 паролей по 8 символов. пример: rm0GP$5Rd
_________
Всего 60 паролей разной длинны с ипользованием 4 неповторяющихся блоков. Если повторять - будет больше, но не секурно.
А если запомнить на один блок больше ( N = 5) то получим
К = 5 : 120 шт / 20 символов
К = 4 : 120 шт /16 символов
К = 3 : 60 шт / 12 символов
К = 2 : 20 шт / 8 символов
_________
320 паролей из 5 блоков.
Плюсы:
+ стойкий к брутфорсу по словарю (в той же степени, что и обычный рандомный пароль на 20/16/12 символов)
+ при грамотном составлении блоков можно учесть специфические требования к паролю: наличие или отсутствие спец символов (да, есть ресурсы, которые не позволяют спецсимволы в пароль, боль пичаль)
Например:
три блока - верхний и нижний регистры, цифры.
четвертый и пятый - добавить спецсимволы.
+ выучить 4-5 блоков - раз плюнуть.
+ высокая скорость набора пароля, ибо блоки быстро запоминаются в наборе.
+ можно хранить в открытом виде, как 1423, 2134, (цифра-номер блока) либо же "прятать" в составе 10-значного числа: 7194520836, 6259170834.
+ выглядит устрашающе.
минусы:
- если кто-то получит доступ _к_более_чем_одному_паролю_ на 16 символов, и _заметит_, что используются одинаковые блоки, то _все_ пароли будут скомпрометированы (при условии, что злоумышленник додумается брутить по 3 и по 2 блока). При утечке пароля на 12 и менее символов уязвимыми будут только те пароли, где испольуются блоки, входящие в уже раскрытый пароль.
- прийдется дополнительно помнить порядок блоков.
PROFIT?
В свое время выучил число Пи до 50 знаков после запятой. Пока учил - понял, что мой мозг быстро и олично запоминает последовательности по 2 разряда, по типу
3. 14 15 92 65 36 ...
Решил поиграться с другими символами, опытным путем установил, что лучше всего запоминаю последовательности, если разбить их на 4 символа.
Суть:
Есть N ( N - сколько не лень запомнить) - четырехсимвольных блоков типа: dE%1, 4r*K, z-G1...
Изначально у меня таких блоков было 4 (N = 4)
при условии, что блок не повторяется : K - количество блоков в пароле, получим:
K = 4 : 24 разных пароля по 16 символов. пример : Z@k4rm0GP$5RdKz*8
K = 3 : 24 разных пароля по 12 символов пример : rm0GP$5RdKz*8
К = 2 : 12 паролей по 8 символов. пример: rm0GP$5Rd
_________
Всего 60 паролей разной длинны с ипользованием 4 неповторяющихся блоков. Если повторять - будет больше, но не секурно.
А если запомнить на один блок больше ( N = 5) то получим
К = 5 : 120 шт / 20 символов
К = 4 : 120 шт /16 символов
К = 3 : 60 шт / 12 символов
К = 2 : 20 шт / 8 символов
_________
320 паролей из 5 блоков.
Плюсы:
+ стойкий к брутфорсу по словарю (в той же степени, что и обычный рандомный пароль на 20/16/12 символов)
+ при грамотном составлении блоков можно учесть специфические требования к паролю: наличие или отсутствие спец символов (да, есть ресурсы, которые не позволяют спецсимволы в пароль, боль пичаль)
Например:
три блока - верхний и нижний регистры, цифры.
четвертый и пятый - добавить спецсимволы.
+ выучить 4-5 блоков - раз плюнуть.
+ высокая скорость набора пароля, ибо блоки быстро запоминаются в наборе.
+ можно хранить в открытом виде, как 1423, 2134, (цифра-номер блока) либо же "прятать" в составе 10-значного числа: 7194520836, 6259170834.
+ выглядит устрашающе.
минусы:
- если кто-то получит доступ _к_более_чем_одному_паролю_ на 16 символов, и _заметит_, что используются одинаковые блоки, то _все_ пароли будут скомпрометированы (при условии, что злоумышленник додумается брутить по 3 и по 2 блока). При утечке пароля на 12 и менее символов уязвимыми будут только те пароли, где испольуются блоки, входящие в уже раскрытый пароль.
- прийдется дополнительно помнить порядок блоков.
PROFIT?
Есть проще. Уже даже регистраторы доменных имен и крупные хостеры позволят в качестве логин и пароля использовать аккаунт от ФБ или гугл, как таковым API предоставлять доступ к ФИО + адрес почты и ПРОФИТ, слив с такого сайта либо почти нереален и бессмысленный ибо авторизацию предоставляют по API гиганты или тебе будет не до этого если сольют ФБ с гуглом xD
А я нихуя не использую и не ебусь ни с чем, у меня все пароли записаны на листике, который лежит в ящике стола, и нигде кроме дома они мне не нужны. Уот и усё.
Безопасно при условии, что ни один твой пароль не скомпрометирован.
А чтобы не забывать, надо не букву менять, а соединять с именем сервиса типа
githubUjdyj
gmailUjdyj
joyreactorIbrfhljc
А чтобы не забывать, надо не букву менять, а соединять с именем сервиса типа
githubUjdyj
gmailUjdyj
joyreactorIbrfhljc
Чо-то не подошел пароль.
Поздравляю, тебя наебали, следующий пункт тебе понравиться :)
тся.
Так, он чётко вроде сказал, что хочет понравиться тому, кому отвечал.
ибо пароль - говно какое-то
Обманщик, к джою пароль не подходит!
Ну, ты можешь вскрыть ящик и запросить сменить пароль
к почте тоже не подходит.
Слишком очевидно. Если сольют один пароль, сразу становится понятной схема "сервис-Ujdyj", по которой ты составляешь пароли для других сервисов.
Если соединять с именем, нужно использовать менее очевидный ключ. Например, малая вторая буква из названия сервиса и заглавная предпоследняя. Тогда для гитхаба будет iUUjdyj, а для джимейла - mIUjdyj. Догадаться, что значат "iU" и "mI" сложно.
Если соединять с именем, нужно использовать менее очевидный ключ. Например, малая вторая буква из названия сервиса и заглавная предпоследняя. Тогда для гитхаба будет iUUjdyj, а для джимейла - mIUjdyj. Догадаться, что значат "iU" и "mI" сложно.
Тема. Я в итоге тоже к чему-то подобному пришел.
А раньше люил всякие треугольнички, крестики и квадратики на клаве рисовать. Типа например "Aw3edxs" или "5rdxcvbgtF", всегда есть цифра, и какую-нибудь крайнюю букву можно делать всегда заглавной, и потом просто сдвигаешь первый символ вправо или влево, в зависимости от важности или тематики ресурса.
А раньше люил всякие треугольнички, крестики и квадратики на клаве рисовать. Типа например "Aw3edxs" или "5rdxcvbgtF", всегда есть цифра, и какую-нибудь крайнюю букву можно делать всегда заглавной, и потом просто сдвигаешь первый символ вправо или влево, в зависимости от важности или тематики ресурса.
А потом покупаешь новый смарт, где тач-раскладка смещена и ломаешь себе мозг.
Да, первый раз задумался о подобном, когда долго везде ставил пароль крестиком из цифр на клаве справа, а потом пересел за ноут и начал страдать.
бле, это же гениально, прощай стопицо вариантов моих паролей!! спасиб милчелвек!
Использую похожий метод
Для сервисов-однодневок (на 1 раз зайти и больше не заходить) и не вызывающих доверия, я использую один и тот же пароль. Для других сервисов я в этот же пароль добавляю несколько фиксированных символов и несколько букв сервиса, в разной раскладке. Запомнить легко. Пароль получается стойкий к перебору. Для каждого важного сервиса получается свой пароль. Я думал над проблемой компрометации - это маловероятно, но в таком случае я буду использовать другие символы из названия и в другой раскладке.
Для сервисов-однодневок (на 1 раз зайти и больше не заходить) и не вызывающих доверия, я использую один и тот же пароль. Для других сервисов я в этот же пароль добавляю несколько фиксированных символов и несколько букв сервиса, в разной раскладке. Запомнить легко. Пароль получается стойкий к перебору. Для каждого важного сервиса получается свой пароль. Я думал над проблемой компрометации - это маловероятно, но в таком случае я буду использовать другие символы из названия и в другой раскладке.
Сука, не пали мой алгоритм.
Теория стройная, но разбивается об разные требования разных сервисов к паролю. Где-то спец.символ обязателен, где--то его использовать нельзя, где-топароль слишком короткий, где-то слишком длинный. В итоге после пары попыток все равно восстановление в случае если заходишь реже чем раз в месяц. Причем именно на этапе восстановления, когда опять сталкиваешься с ограничениями и не можешь создать по стандартному правилу, вспоминаешь как выкручивался в прошлый раз и как следствие - вспоминаешь старый пароль.
Ну, восклицательный знак, цифры и длина в 16 символов приемлимы в 99.9% случаев. Только это надо было понять заранее(((
Другая проблема - требование регулярной смены пароля. Но поскольку нормальные люди их хранят в захэшеном вжопу виде, это решается инкрементом какой-нибудь компоненты
Другая проблема - требование регулярной смены пароля. Но поскольку нормальные люди их хранят в захэшеном вжопу виде, это решается инкрементом какой-нибудь компоненты
Регулярная смена пароля заёбывает. Особенно на сервисе, на который ты заходишь раз в полгода.
> введите пароль
qwerty
> пароль неверен
Qwerty
> пароль неверен
qwerty1
> пароль неверен
Qwerty1
> пароль неверен
Qwerty2
> пароль верен. здравствуйте, username!
> username, вы не меняли пароль уже n+1 месяцев, смените пароль немедленно, иначе хуй вам, а не доступ к контенту прям щас
Qwerty2
> мы сказали сменить пароль на новый! вы тут самый умный штоле? раз мы сказали, что надо сменить, значит, надо сменить
Qwerty1
> такой пароль вы уже использовали, он не подходит! да, сука, мы храним всю историю вашего ебучего пароля
Qwerty3
> новый пароль сохранён
> введите пароль
qwerty
> пароль неверен
Qwerty
> пароль неверен
qwerty1
> пароль неверен
Qwerty1
> пароль неверен
Qwerty2
> пароль верен. здравствуйте, username!
> username, вы не меняли пароль уже n+1 месяцев, смените пароль немедленно, иначе хуй вам, а не доступ к контенту прям щас
Qwerty2
> мы сказали сменить пароль на новый! вы тут самый умный штоле? раз мы сказали, что надо сменить, значит, надо сменить
Qwerty1
> такой пароль вы уже использовали, он не подходит! да, сука, мы храним всю историю вашего ебучего пароля
Qwerty3
> новый пароль сохранён
Никто не пробовал использовать программы по типу KeePass?
Я ею пользуюсь. Стоит один тридцати- или сорока- значный пароль на саму базу с паролями.
А под сайты уже генератором паролей на 10-15 знаков делаю пароли, и в базу добавляю.
А под сайты уже генератором паролей на 10-15 знаков делаю пароли, и в базу добавляю.
Есть какой-то способ запоминать такой пароль? Где хранить сам файл базы и его бекапы? Стоит ли использовать сканер отпечатков пальцев для быстрого доступа к базе на смартфоне или ноутбуке?
"стоит ли использовать сканер отпечатков пальцев"
Нет.
Нет.
А какой вообще смысл в 40порядковом мастер-пароле для обычного пользователя? Если в конечном итоге восстановить угнанный аккаунт можно при наличии почты, к которому он привязан, а саму почту - при помощи телефона и второй почты, которая используется строго для восстановления?
P.S. Если что - это именно вопрос от обычного пользователя (меня)
P.S. Если что - это именно вопрос от обычного пользователя (меня)
Чтобы не восстанавливать аккаунты каждый раз, когда ты забыл под какими логином/паролем ты там регался. Что происходит в 90% случаев.
Как-то сам запомнился со временем, сейчас даже не думаю об этом. Файл базы храню на файлообменнике, ну и соответственно на коме и ноуте, где он синхронизирован. Периодически раз в полгода куда-нибудь на флешку скидываю. Даже если кто доступ к файлу получит - я себе плохо представляю как он его взламывать будет. Тем более там из полезного только пароль от джойреактора)))
В качестве программы для всего этого использую KeePass.
В качестве программы для всего этого использую KeePass.
все мои товарищи от которых когда-либо приходила просьба одолжить пару косарей - пробовали.
Кто-то их KeeP. Ты понимаешь.
Подборщики паролей отлично подбирают слова.
Если фраза достаточно длинная то ее сложно сбрутить. а если в одном из слов еще и ошибка есть...
Во всяком случае последние рекомендации NIST именно такие. Теперь рекомендуются длинные парольные фразы
https://habr.com/post/357406/
Во всяком случае последние рекомендации NIST именно такие. Теперь рекомендуются длинные парольные фразы
https://habr.com/post/357406/
«Сорок пьяных обезьян в жопу сунули банан» (с) Падла
У нас победитель!
Фикс: "сорок тысяч обезьян".
Да, виноват, перечитал, действительно масштабы оргии с обезьянками и бананами были мной преуменьшены, кроме того это слова не Падлы а Чингиза, в общем я нуб и опозорился.
Ну а Пдала это:
-......
-Да так и пиши, нет сделать такое не возможно, физически
:)
Ну а Пдала это:
-......
-Да так и пиши, нет сделать такое не возможно, физически
:)
то есть Вы даже не стали вникать что комбинаций из 4х слов в квадрилионы раз больше чем комбинаций из 11 символов?
Комбинация из 4 слов - это порядка 10^24 (В словаре Даля 200 000 слов + формы, итого ~ 10^6 на слово)
Комбинация из 11 символов - это порядка 162^11 ~ 10^24 (о каких квадриллионах вы лапочите?)
Если же брать словарь реально употребляемых средним обывателем слов (10^4), то 11 случайных символов ещё и существенно выиграют по вариативной ёмкости.
А вообще защита от перебора должна быть не на уровне длины пароля, а на уровне принимающего сервиса, когда после какого-то количества ошибок идут санкции (в форме блокировки или задержки ответа, как по IP так и по пользователю).
Комбинация из 11 символов - это порядка 162^11 ~ 10^24 (о каких квадриллионах вы лапочите?)
Если же брать словарь реально употребляемых средним обывателем слов (10^4), то 11 случайных символов ещё и существенно выиграют по вариативной ёмкости.
А вообще защита от перебора должна быть не на уровне длины пароля, а на уровне принимающего сервиса, когда после какого-то количества ошибок идут санкции (в форме блокировки или задержки ответа, как по IP так и по пользователю).
Если слова в пароле написаны без пробелов и/или со сменой раскладки, то как машина поймёт, что нужно идти по словарю и почему не будет подбирать пароль, как будто он является случайной комбинацией из 28 символов?
Как вы можете увидеть на картинке выше, там 4 слова в нижнем регистре и разделённые пробелами.
Машина этого не понимает, т.к. ответ сервера чаще всего не дает понять сколько символов ты угадал (вроде есть методика по тому как долго сервер отвечал, но я хз насколько она актуальна), и в пароле пробелы не используются. Это люди заставляют машину идти по словарю, т.к. люди очень часто в пароле использую знакомые слова, и словарь легче перебрать, чем все символы в пароле одинаковой длинны. Если у тебя 32 символьный рандомизированный пароль с заглавными буквами и левыми символами, то подбирать его заколибаешься, но и запомнить сложновато.
ну да, в мире же только один язык
Ну чем больше языков берёшь - тем длиннее и набор символов учитывать надо ;-)
дык латиница в основном. Ну немецкий какой-нибудь даст несколько умляутов и 400000 слов. Хотя пароль арабской вязью - нестандартненько, но переключаться же заебешься
то есть Вы даже не стали вникать что подборщик подбирает сразу комбинации слов, а не комбинации символов? И нет, он определенно не перебирает словарь Даля, как писали ниже. Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям, нежели рандомным символам.
>> то есть Вы даже не стали вникать что подборщик подбирает сразу комбинации слов, а не комбинации символов?
- я что, написал, что в 4 словах больше символов, чем в слове из 11 букв?
>> Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям
- это как-то влияет на количество комбинаций? или вас кто-то прям заставляет использовать только слова из учебника родной речи за 3й класс?
- я что, написал, что в 4 словах больше символов, чем в слове из 11 букв?
>> Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям
- это как-то влияет на количество комбинаций? или вас кто-то прям заставляет использовать только слова из учебника родной речи за 3й класс?
ПРЕБОРОМ уже пароли из 9-10 символов ненадёжны, если это МД5 или сха. Есть новые виды хэшей, где один хэш занимет почти секунду, там да, можно и пароль из 8 символов использовать.
А какая связь хеширования паролей с секундой и длинной пароля?
У МД5 хеш стандартной длинны, что для пароля из 3 символов, что для 33.
Для других алгоритмов шешированиря думаю всё обстоит аналогично...
У МД5 хеш стандартной длинны, что для пароля из 3 символов, что для 33.
Для других алгоритмов шешированиря думаю всё обстоит аналогично...
https://ru.wikipedia.org/wiki/Scrypt
Если тебе для перебора каждого пароля нужны МИЛЛИСЕКУНДЫ, то это почти нереально даже по словарю, если только не короткому и хорошему.
Если тебе для перебора каждого пароля нужны МИЛЛИСЕКУНДЫ, то это почти нереально даже по словарю, если только не короткому и хорошему.
А алгоритм хеша то тут причём?
Время ответа при желание ведь ВСЕГДА можно затормозить совсем другими методами.
При том, замечу, способами вовсе не требующими излишних ресурсов.
Или вы о проблеме восстановления пароля по украденному хешу???
Ну так это СОВСЕМ другой вопрос и не стоит путать белое с мягким.
Время ответа при желание ведь ВСЕГДА можно затормозить совсем другими методами.
При том, замечу, способами вовсе не требующими излишних ресурсов.
Или вы о проблеме восстановления пароля по украденному хешу???
Ну так это СОВСЕМ другой вопрос и не стоит путать белое с мягким.
Я именно про брутофорс хэшэй. Если взять простой мд5, то он на ура перебирается не дорогой видеокартой. До 8 символов вообще не стойкие пароли.
А если есть целый список реальных паролей их перебирать надо будет очень долго, если хэш считается не быстро. Нормальные сайты не позволят долго перебирать пароли.
А если есть целый список реальных паролей их перебирать надо будет очень долго, если хэш считается не быстро. Нормальные сайты не позволят долго перебирать пароли.
По статистике самые сложные пароли у самых безграмотных людей.
И все разбивается об серверное ограничение в 3 попытки на один аккаунт.
Пароль это ещё меньшее из зол. Возвращаясь в очередную ммо мучительно пытаюсь вспомнить почту на которую регал акк, в итоге не вспоминаю, регаю новый и через месяц устав от задротсва или кача твинков решаю отдохнуть месяцок . А потом всё по кругу.
Я использую имена порноактрис.
AlexandraSilviaHitkinkyjoHitomiStoyaAsaAmberVeronica?
Типо так?
Типо так?
Ну немного попроще. Что-то типа этого V4l3nt1n4n4pp1
Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль.
Башорг.
Башорг.
использую тупую тактику - в ворде ввожу белиберду, подписываю для какого сайта, и вбиваю в поле.
сам файл хранится на флешке в коп столе, в который никто кроме меня не суётся.
сам файл хранится на флешке в коп столе, в который никто кроме меня не суётся.
Флешки дохнут, как хомяки...
Лучше хранить в файловом контэйнере типо труекрипта, можно в простом тексте. И желательно на облаке.
По простому использую дату регистрации с комбинацией последовательности, Даты регистрации есть в ящике - вот Джой дата регистрации 05 числа, значит берем первую букву пятого ряда клавиатуры T - дальше в произвольном порядке вниз вверх со сменой высоты на повороте и того получается - tgbNHY^7ujm - буквы верхнего регистра есть+ буквы нижнего регистра есть+ спецсимволы есть+ цифры есть+ всё учёл, в среднем беру 3 ряда. Если забуду всегда можно подсмотреть в почте.
П.С. Если нету места то иду в обратную сторону .lo9*IK
П.С. Если нету места то иду в обратную сторону .lo9*IK
А вы разве не в курсе, что существуют специальные программы для генерации таких "одноразовых" паролей любой сложности?
Только вот с таким подходом возникает одна проблемка - редко кто этот пароль вам обратно на почту высылает.
Да, его всегда можно опять сменить, но это крайне накладно в случае использования одного ака с разных устройств.
Только вот с таким подходом возникает одна проблемка - редко кто этот пароль вам обратно на почту высылает.
Да, его всегда можно опять сменить, но это крайне накладно в случае использования одного ака с разных устройств.
Есть даже онлайн сервисы. Есть и пароольные менеджеры. Вроде даже в хром был встроен...
у меня пароли на немецком. Фишка дойча в том, что там существительные по правилам пишутся с большой буквы и какой-нибудь пароль типа berlinerBaer будет принят системой на ура, как пароль безопасный.
Лучшая защита - не палить аккаунт
я использую четыре цифры (пароль от последнего уровня с одной игры с денди) и замешиваю с названием сайта и в конце нижнее подчеркивание, если можно.
что то в духе: j1o2y3r4eactor_.
что то в духе: j1o2y3r4eactor_.
Чтобы написать коммент, необходимо залогиниться
А чтобы не забывать, надо не букву менять, а соединять с именем сервиса типа
githubUjdyj
gmailUjdyj
joyreactorIbrfhljc