Same shit.
у меня есть 2 пароля и вариации с ними с большими буквами и маленькими. В итоге я имею 6 паролей, которые чётко помню. Причём у них есть градация, для всякой сомнительной хуйни я использую 2-3 варианта простого пароля, а для важных сайтов, почты и счетов другой более сложный и его вариации. Поэтому елси я однажды куда то буду заходить, где я не был лет 5, и мне скажут что у меня уже есть там аккаунт, я буду чётко знать какие 3 варианта простого ( или сложного ) пароля мне попробовать ввести. В итоге, всё чётко. Ну, есть ещё отдельные места, где лежат деньги, пароли от таких мест вообще записаны куда надо, и хранятся где следует.
Какой год на дворе? Даже на почту гугля чтоб зайти с левого устройства нужно принять СМС, помолится Одину для выбор всех машинок на 5-ти капчах, перечитать все смс на всех устройствах, что кто-то ломится в аккаунт и ура! Вы вошли в почту.
А еще могут акк на время заблочить, если 3 раза неправильно ввел.
Страдал тем же, карты-пароли, "фигурки" на клавиатуре, код + название ресурса...
В свое время выучил число Пи до 50 знаков после запятой. Пока учил - понял, что мой мозг быстро и олично запоминает последовательности по 2 разряда, по типу
3. 14 15 92 65 36 ...
Решил поиграться с другими символами, опытным путем установил, что лучше всего запоминаю последовательности, если разбить их на 4 символа.
Суть:
Есть N ( N - сколько не лень запомнить) - четырехсимвольных блоков типа: dE%1, 4r*K, z-G1...
Изначально у меня таких блоков было 4 (N = 4)
при условии, что блок не повторяется : K - количество блоков в пароле, получим:
K = 4 : 24 разных пароля по 16 символов. пример : Z@k4rm0GP$5RdKz*8
K = 3 : 24 разных пароля по 12 символов пример : rm0GP$5RdKz*8
К = 2 : 12 паролей по 8 символов. пример: rm0GP$5Rd
_________
Всего 60 паролей разной длинны с ипользованием 4 неповторяющихся блоков. Если повторять - будет больше, но не секурно.
А если запомнить на один блок больше ( N = 5) то получим
К = 5 : 120 шт / 20 символов
К = 4 : 120 шт /16 символов
К = 3 : 60 шт / 12 символов
К = 2 : 20 шт / 8 символов
_________
320 паролей из 5 блоков.
Плюсы:
+ стойкий к брутфорсу по словарю (в той же степени, что и обычный рандомный пароль на 20/16/12 символов)
+ при грамотном составлении блоков можно учесть специфические требования к паролю: наличие или отсутствие спец символов (да, есть ресурсы, которые не позволяют спецсимволы в пароль, боль пичаль)
Например:
три блока - верхний и нижний регистры, цифры.
четвертый и пятый - добавить спецсимволы.
+ выучить 4-5 блоков - раз плюнуть.
+ высокая скорость набора пароля, ибо блоки быстро запоминаются в наборе.
+ можно хранить в открытом виде, как 1423, 2134, (цифра-номер блока) либо же "прятать" в составе 10-значного числа: 7194520836, 6259170834.
+ выглядит устрашающе.
минусы:
- если кто-то получит доступ _к_более_чем_одному_паролю_ на 16 символов, и _заметит_, что используются одинаковые блоки, то _все_ пароли будут скомпрометированы (при условии, что злоумышленник додумается брутить по 3 и по 2 блока). При утечке пароля на 12 и менее символов уязвимыми будут только те пароли, где испольуются блоки, входящие в уже раскрытый пароль.
- прийдется дополнительно помнить порядок блоков.
PROFIT?
В свое время выучил число Пи до 50 знаков после запятой. Пока учил - понял, что мой мозг быстро и олично запоминает последовательности по 2 разряда, по типу
3. 14 15 92 65 36 ...
Решил поиграться с другими символами, опытным путем установил, что лучше всего запоминаю последовательности, если разбить их на 4 символа.
Суть:
Есть N ( N - сколько не лень запомнить) - четырехсимвольных блоков типа: dE%1, 4r*K, z-G1...
Изначально у меня таких блоков было 4 (N = 4)
при условии, что блок не повторяется : K - количество блоков в пароле, получим:
K = 4 : 24 разных пароля по 16 символов. пример : Z@k4rm0GP$5RdKz*8
K = 3 : 24 разных пароля по 12 символов пример : rm0GP$5RdKz*8
К = 2 : 12 паролей по 8 символов. пример: rm0GP$5Rd
_________
Всего 60 паролей разной длинны с ипользованием 4 неповторяющихся блоков. Если повторять - будет больше, но не секурно.
А если запомнить на один блок больше ( N = 5) то получим
К = 5 : 120 шт / 20 символов
К = 4 : 120 шт /16 символов
К = 3 : 60 шт / 12 символов
К = 2 : 20 шт / 8 символов
_________
320 паролей из 5 блоков.
Плюсы:
+ стойкий к брутфорсу по словарю (в той же степени, что и обычный рандомный пароль на 20/16/12 символов)
+ при грамотном составлении блоков можно учесть специфические требования к паролю: наличие или отсутствие спец символов (да, есть ресурсы, которые не позволяют спецсимволы в пароль, боль пичаль)
Например:
три блока - верхний и нижний регистры, цифры.
четвертый и пятый - добавить спецсимволы.
+ выучить 4-5 блоков - раз плюнуть.
+ высокая скорость набора пароля, ибо блоки быстро запоминаются в наборе.
+ можно хранить в открытом виде, как 1423, 2134, (цифра-номер блока) либо же "прятать" в составе 10-значного числа: 7194520836, 6259170834.
+ выглядит устрашающе.
минусы:
- если кто-то получит доступ _к_более_чем_одному_паролю_ на 16 символов, и _заметит_, что используются одинаковые блоки, то _все_ пароли будут скомпрометированы (при условии, что злоумышленник додумается брутить по 3 и по 2 блока). При утечке пароля на 12 и менее символов уязвимыми будут только те пароли, где испольуются блоки, входящие в уже раскрытый пароль.
- прийдется дополнительно помнить порядок блоков.
PROFIT?
Есть проще. Уже даже регистраторы доменных имен и крупные хостеры позволят в качестве логин и пароля использовать аккаунт от ФБ или гугл, как таковым API предоставлять доступ к ФИО + адрес почты и ПРОФИТ, слив с такого сайта либо почти нереален и бессмысленный ибо авторизацию предоставляют по API гиганты или тебе будет не до этого если сольют ФБ с гуглом xD
тся.
Так, он чётко вроде сказал, что хочет понравиться тому, кому отвечал.
к почте тоже не подходит.
Слишком очевидно. Если сольют один пароль, сразу становится понятной схема "сервис-Ujdyj", по которой ты составляешь пароли для других сервисов.
Если соединять с именем, нужно использовать менее очевидный ключ. Например, малая вторая буква из названия сервиса и заглавная предпоследняя. Тогда для гитхаба будет iUUjdyj, а для джимейла - mIUjdyj. Догадаться, что значат "iU" и "mI" сложно.
Если соединять с именем, нужно использовать менее очевидный ключ. Например, малая вторая буква из названия сервиса и заглавная предпоследняя. Тогда для гитхаба будет iUUjdyj, а для джимейла - mIUjdyj. Догадаться, что значат "iU" и "mI" сложно.
Тема. Я в итоге тоже к чему-то подобному пришел.
А раньше люил всякие треугольнички, крестики и квадратики на клаве рисовать. Типа например "Aw3edxs" или "5rdxcvbgtF", всегда есть цифра, и какую-нибудь крайнюю букву можно делать всегда заглавной, и потом просто сдвигаешь первый символ вправо или влево, в зависимости от важности или тематики ресурса.
А раньше люил всякие треугольнички, крестики и квадратики на клаве рисовать. Типа например "Aw3edxs" или "5rdxcvbgtF", всегда есть цифра, и какую-нибудь крайнюю букву можно делать всегда заглавной, и потом просто сдвигаешь первый символ вправо или влево, в зависимости от важности или тематики ресурса.
Использую похожий метод
Для сервисов-однодневок (на 1 раз зайти и больше не заходить) и не вызывающих доверия, я использую один и тот же пароль. Для других сервисов я в этот же пароль добавляю несколько фиксированных символов и несколько букв сервиса, в разной раскладке. Запомнить легко. Пароль получается стойкий к перебору. Для каждого важного сервиса получается свой пароль. Я думал над проблемой компрометации - это маловероятно, но в таком случае я буду использовать другие символы из названия и в другой раскладке.
Для сервисов-однодневок (на 1 раз зайти и больше не заходить) и не вызывающих доверия, я использую один и тот же пароль. Для других сервисов я в этот же пароль добавляю несколько фиксированных символов и несколько букв сервиса, в разной раскладке. Запомнить легко. Пароль получается стойкий к перебору. Для каждого важного сервиса получается свой пароль. Я думал над проблемой компрометации - это маловероятно, но в таком случае я буду использовать другие символы из названия и в другой раскладке.
Теория стройная, но разбивается об разные требования разных сервисов к паролю. Где-то спец.символ обязателен, где--то его использовать нельзя, где-топароль слишком короткий, где-то слишком длинный. В итоге после пары попыток все равно восстановление в случае если заходишь реже чем раз в месяц. Причем именно на этапе восстановления, когда опять сталкиваешься с ограничениями и не можешь создать по стандартному правилу, вспоминаешь как выкручивался в прошлый раз и как следствие - вспоминаешь старый пароль.
Ну, восклицательный знак, цифры и длина в 16 символов приемлимы в 99.9% случаев. Только это надо было понять заранее(((
Другая проблема - требование регулярной смены пароля. Но поскольку нормальные люди их хранят в захэшеном вжопу виде, это решается инкрементом какой-нибудь компоненты
Другая проблема - требование регулярной смены пароля. Но поскольку нормальные люди их хранят в захэшеном вжопу виде, это решается инкрементом какой-нибудь компоненты
Регулярная смена пароля заёбывает. Особенно на сервисе, на который ты заходишь раз в полгода.
> введите пароль
qwerty
> пароль неверен
Qwerty
> пароль неверен
qwerty1
> пароль неверен
Qwerty1
> пароль неверен
Qwerty2
> пароль верен. здравствуйте, username!
> username, вы не меняли пароль уже n+1 месяцев, смените пароль немедленно, иначе хуй вам, а не доступ к контенту прям щас
Qwerty2
> мы сказали сменить пароль на новый! вы тут самый умный штоле? раз мы сказали, что надо сменить, значит, надо сменить
Qwerty1
> такой пароль вы уже использовали, он не подходит! да, сука, мы храним всю историю вашего ебучего пароля
Qwerty3
> новый пароль сохранён
> введите пароль
qwerty
> пароль неверен
Qwerty
> пароль неверен
qwerty1
> пароль неверен
Qwerty1
> пароль неверен
Qwerty2
> пароль верен. здравствуйте, username!
> username, вы не меняли пароль уже n+1 месяцев, смените пароль немедленно, иначе хуй вам, а не доступ к контенту прям щас
Qwerty2
> мы сказали сменить пароль на новый! вы тут самый умный штоле? раз мы сказали, что надо сменить, значит, надо сменить
Qwerty1
> такой пароль вы уже использовали, он не подходит! да, сука, мы храним всю историю вашего ебучего пароля
Qwerty3
> новый пароль сохранён
Никто не пробовал использовать программы по типу KeePass?
Есть какой-то способ запоминать такой пароль? Где хранить сам файл базы и его бекапы? Стоит ли использовать сканер отпечатков пальцев для быстрого доступа к базе на смартфоне или ноутбуке?
А какой вообще смысл в 40порядковом мастер-пароле для обычного пользователя? Если в конечном итоге восстановить угнанный аккаунт можно при наличии почты, к которому он привязан, а саму почту - при помощи телефона и второй почты, которая используется строго для восстановления?
P.S. Если что - это именно вопрос от обычного пользователя (меня)
P.S. Если что - это именно вопрос от обычного пользователя (меня)
Как-то сам запомнился со временем, сейчас даже не думаю об этом. Файл базы храню на файлообменнике, ну и соответственно на коме и ноуте, где он синхронизирован. Периодически раз в полгода куда-нибудь на флешку скидываю. Даже если кто доступ к файлу получит - я себе плохо представляю как он его взламывать будет. Тем более там из полезного только пароль от джойреактора)))
В качестве программы для всего этого использую KeePass.
В качестве программы для всего этого использую KeePass.
Если фраза достаточно длинная то ее сложно сбрутить. а если в одном из слов еще и ошибка есть...
Во всяком случае последние рекомендации NIST именно такие. Теперь рекомендуются длинные парольные фразы
https://habr.com/post/357406/
Во всяком случае последние рекомендации NIST именно такие. Теперь рекомендуются длинные парольные фразы
https://habr.com/post/357406/
Комбинация из 4 слов - это порядка 10^24 (В словаре Даля 200 000 слов + формы, итого ~ 10^6 на слово)
Комбинация из 11 символов - это порядка 162^11 ~ 10^24 (о каких квадриллионах вы лапочите?)
Если же брать словарь реально употребляемых средним обывателем слов (10^4), то 11 случайных символов ещё и существенно выиграют по вариативной ёмкости.
А вообще защита от перебора должна быть не на уровне длины пароля, а на уровне принимающего сервиса, когда после какого-то количества ошибок идут санкции (в форме блокировки или задержки ответа, как по IP так и по пользователю).
Комбинация из 11 символов - это порядка 162^11 ~ 10^24 (о каких квадриллионах вы лапочите?)
Если же брать словарь реально употребляемых средним обывателем слов (10^4), то 11 случайных символов ещё и существенно выиграют по вариативной ёмкости.
А вообще защита от перебора должна быть не на уровне длины пароля, а на уровне принимающего сервиса, когда после какого-то количества ошибок идут санкции (в форме блокировки или задержки ответа, как по IP так и по пользователю).
Если слова в пароле написаны без пробелов и/или со сменой раскладки, то как машина поймёт, что нужно идти по словарю и почему не будет подбирать пароль, как будто он является случайной комбинацией из 28 символов?
Машина этого не понимает, т.к. ответ сервера чаще всего не дает понять сколько символов ты угадал (вроде есть методика по тому как долго сервер отвечал, но я хз насколько она актуальна), и в пароле пробелы не используются. Это люди заставляют машину идти по словарю, т.к. люди очень часто в пароле использую знакомые слова, и словарь легче перебрать, чем все символы в пароле одинаковой длинны. Если у тебя 32 символьный рандомизированный пароль с заглавными буквами и левыми символами, то подбирать его заколибаешься, но и запомнить сложновато.
то есть Вы даже не стали вникать что подборщик подбирает сразу комбинации слов, а не комбинации символов? И нет, он определенно не перебирает словарь Даля, как писали ниже. Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям, нежели рандомным символам.
>> то есть Вы даже не стали вникать что подборщик подбирает сразу комбинации слов, а не комбинации символов?
- я что, написал, что в 4 словах больше символов, чем в слове из 11 букв?
>> Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям
- это как-то влияет на количество комбинаций? или вас кто-то прям заставляет использовать только слова из учебника родной речи за 3й класс?
- я что, написал, что в 4 словах больше символов, чем в слове из 11 букв?
>> Скорее всего, он выделает морфемы, типовые слова, и отдаёт предпочтения их комбинациям
- это как-то влияет на количество комбинаций? или вас кто-то прям заставляет использовать только слова из учебника родной речи за 3й класс?
https://ru.wikipedia.org/wiki/Scrypt
Если тебе для перебора каждого пароля нужны МИЛЛИСЕКУНДЫ, то это почти нереально даже по словарю, если только не короткому и хорошему.
Если тебе для перебора каждого пароля нужны МИЛЛИСЕКУНДЫ, то это почти нереально даже по словарю, если только не короткому и хорошему.
А алгоритм хеша то тут причём?
Время ответа при желание ведь ВСЕГДА можно затормозить совсем другими методами.
При том, замечу, способами вовсе не требующими излишних ресурсов.
Или вы о проблеме восстановления пароля по украденному хешу???
Ну так это СОВСЕМ другой вопрос и не стоит путать белое с мягким.
Время ответа при желание ведь ВСЕГДА можно затормозить совсем другими методами.
При том, замечу, способами вовсе не требующими излишних ресурсов.
Или вы о проблеме восстановления пароля по украденному хешу???
Ну так это СОВСЕМ другой вопрос и не стоит путать белое с мягким.
Я именно про брутофорс хэшэй. Если взять простой мд5, то он на ура перебирается не дорогой видеокартой. До 8 символов вообще не стойкие пароли.
А если есть целый список реальных паролей их перебирать надо будет очень долго, если хэш считается не быстро. Нормальные сайты не позволят долго перебирать пароли.
А если есть целый список реальных паролей их перебирать надо будет очень долго, если хэш считается не быстро. Нормальные сайты не позволят долго перебирать пароли.
По статистике самые сложные пароли у самых безграмотных людей.
И все разбивается об серверное ограничение в 3 попытки на один аккаунт.
По простому использую дату регистрации с комбинацией последовательности, Даты регистрации есть в ящике - вот Джой дата регистрации 05 числа, значит берем первую букву пятого ряда клавиатуры T - дальше в произвольном порядке вниз вверх со сменой высоты на повороте и того получается - tgbNHY^7ujm - буквы верхнего регистра есть+ буквы нижнего регистра есть+ спецсимволы есть+ цифры есть+ всё учёл, в среднем беру 3 ряда. Если забуду всегда можно подсмотреть в почте.
П.С. Если нету места то иду в обратную сторону .lo9*IK
П.С. Если нету места то иду в обратную сторону .lo9*IK
А вы разве не в курсе, что существуют специальные программы для генерации таких "одноразовых" паролей любой сложности?
Только вот с таким подходом возникает одна проблемка - редко кто этот пароль вам обратно на почту высылает.
Да, его всегда можно опять сменить, но это крайне накладно в случае использования одного ака с разных устройств.
Только вот с таким подходом возникает одна проблемка - редко кто этот пароль вам обратно на почту высылает.
Да, его всегда можно опять сменить, но это крайне накладно в случае использования одного ака с разных устройств.
у меня пароли на немецком. Фишка дойча в том, что там существительные по правилам пишутся с большой буквы и какой-нибудь пароль типа berlinerBaer будет принят системой на ура, как пароль безопасный.
я использую четыре цифры (пароль от последнего уровня с одной игры с денди) и замешиваю с названием сайта и в конце нижнее подчеркивание, если можно.
что то в духе: j1o2y3r4eactor_.
что то в духе: j1o2y3r4eactor_.
Чтобы написать коммент, необходимо залогиниться
А чтобы не забывать, надо не букву менять, а соединять с именем сервиса типа
githubUjdyj
gmailUjdyj
joyreactorIbrfhljc