Topic: [Инструкция] Как создать надёжный пароль (Read 899 times)

В продолжение темы, посмотрел пару дней назад потрясный фильм - Джони Мнемоник , так там чувак работал курьером по доставке информации, которую перевозил  в своих мозгах. Как варик можно запомнить 1- 2 пароля, если создать для них мемы и брать их с собой при поездке в другую страну. Если спросят что за шняга, то можно отморозиться типа любимые картинки твоих детей.

Здесь   целую тему по этому поводу открыли, но там описаны и так известные методы. Если хотите что-то новенького, то приобретите капсулу из бионейтрального материала, сделайте туда закладку и проглотите перед вылетом. Капсула выйдет естественным путем. Главное при этом не жрать в самолете, чтобы она не вышла в гальюне  прямо на борту, иначе придётся ее опять глотать.

Не обязательно пользоваться программными генераторами паролей, тем более это может быть не совсем безопасно, что приведет к взлому вашей учётной записи. Даже если вы и можете придумать относительно случайный пароль, или к примеру попросите вашу кошку походить по клавиатуре, это тоже не может считаться безопасным, така кейлоггеры никто не отменял. Оптимальным вариантом будет оффлайн генерация парольной фразы, используя один из стандартных словарей и набор разноцветных кубиков. Заранее записав последовательность цветов, вы можете бесстрастно сгенерировать парольную фразу из нескольких слов, которые при желании можно даже запомнить (например, для перевоза через границу или опасную зону).

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

Здравствуйте. Встречал ваши сообщения на форуме по поводу паролей да и в целом по безопастности. Мне понравился ваш метод хранения паролей и информации, доступ к которым можно получить из любой точки мира и с любого компьютера при этом все довольно защищено. Я вывел для себя некоторые правила после гугления и поиска по форуму:

1. Все пароли храню в KeePass. Мастер-пароль генерирую с помощью подбрасывания кости и выбора соотвествующих слов из словаря. Запоминаю и записываю на бумагу.
2. Создаю PGP приватный ключ и к нему пароль, который генерирую методом из первого пункта. Запоминаю пароль и записываю.
3. Очень важные пароли и другую информацию записываю в текстовый файл и шифрую c помощью PGP.
4. Создаю аккаунты на 3х облаках и генерирую для них пароли как в пункте 1. Запоминаю, записываю.
5. Кладу PGP приватник, базу с паролями, файл с важной информацией в контейнер и генерирую пароль методом из пункта 1. Запоминаю пароль, записываю.
6. Заливаю контейнер на все облака.

Схема получается довольно сложная, но самое главное на выходе нужно запомнить 5 паролей. Ну если еще и сид от биткоин кошелька, то уже 6. Можете поделиться как упростить решение для запоминания хотя бы только 2х паролей или даже 1го, а не 6, чтобы даже если я оказался в другой стране без своего ноутбука, то мог бы получить доступ ко всей своей информации? Если вы не против, то поделитесь пожалуйста в деталях, мне очень интересно ваше мнение.

Любые пароли связаннае с вами - скомпрометированы
Любые повторяющиеся пароли - скомпрометированы
Любые пароли зафиксированные где либо - скомпрометированы
и это еще не все аксиомы.

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

Прочитал с интересом. Не хочу ставить мнение Гибсона под вопрос, но скажу - что лично я против использования масок, а особенно, когда человек "найдет грааль" от взлома и будет маску на любой сайт засовывать.

Кроме простого брутфорса утечки паролей могут быть совершенно из разных мест, например с дырявого сайта, достаточно популярного. Если таких сайтов будет парочка, то простым анализом массива паролей - можно определить основные маски, так как символы в них будут одинаковыми (я так понимаю). А дальше все становится очень простым, так как к маске обычно добавляется пара символов, чтобы добиться "уникальности" и пароль идет своей дорогой, дальше.

Поэтому по подсчету - полностью согласен, здесь действительно сложнее. Но "человеческий фактор" способен погубить практически любой математический расчет. И, исходя из этого - кроме сложности, следует задуматься о том, куда заходит ваш новый, прекрасно придуманный пароль. И разделить риски, от минимального - до максимального.

У вас нет привычки темнить, значит теоретически вы когда-нибудь можете поделиться информацией, которая, на первый взгляд, не важна. Тогда довод про IF-ELSE теряет часть ELSE. И в них появится смысл.

При условии, что вы говорите правду - поделиться информацией, что у вас нет соцсетей гораздо безопаснее, чем обратный случай.

У приватного ключа есть количество знаков, это правда - так и подобрать его дело времени. Какого, я не уточняю.

Про кейпасс и вебсайт в интернете - они для разных уровней "параноидальности", тут все понятно.

IF "входные данные" IS TRUE
ELSE...

А иначе от них нет смысла, они не дают даже намека.


У меня нет привычки темнить. Например я в открытую могу сказать, что у меня нет ни одной социальной сети


Согласен. Однако вот у приватного ключа вашего кошелька - тоже есть количество знаков.


Уважаю, только дело в том, что кейпасс только на моем компьютере. А сторонний ресурс - нет. Он в открытом доступе и в интернете.

По мне,  так лучше хоть какие-то входные данные, чем никаких.

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

Тут спорить не буду, я привел пример этого ресурса, потому что про КейПас было упомянуто,  а про этот нет. В любом случае,  каждому свое. Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

Ну а дальше  с удовольствием посмотрую на пару кейсов:

1. Поверят ли этому моему сообщению?
2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

В мире криптографии вопрос доверия уходит, потому что доверие словам заменяется другими инструментами.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для подсчета примерного времени перебора интересующего вас пароля, можно использовать данный ресурс: https://howsecureismypassword.net

Важно отметить, не проверяйте там пароль,  который затем будете использовать, копирование в буфер обмена снижает безопасность.

Можешь вот здесь посмотреть (указано время перебора паролей от 1 до 12 символов).
Если тебя интересует конкретно брутфорс, то всё зависит от длины пароля и соответственно твоих мощностей. Если пароль длинный, в целом - это гиблое дело.

Как раз из приведённый выше таблицы и поймёшь, почему в основном многие сервисы ограничиваются при регистрации 12-символьными паролями...
ИМХО, больше то оно как бы и не нужно.. если пароль не рядовой, не содержит целых слов, порядкового ряда из цифр и пр. - то этого за глаза.
Но всё равно стоит помнить, что и такие пароли время от времени необходимо менять 

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)

Только не стоит забывать, что некоторые сайты не смогут принять сложные пароли. Некоторые их сайтов ограничивают пароли с кодировкой, но гораздо чаще встречаются такие, где для пароля установлен максимум символов. И по моей практике - рьычное ограничение это max. 20 символов.

А так-то полностью согласен, все что больше 6-и слов по этой схеме - ставит вероятность взлома где-то в 0.0000001%

Спасибо. Взял из всего вышеперечисленного  пароль с самой низкой  энтропией в 248 бит  и проверил на сайте касперского.. Получил что обычному компьютеру потребуется более 10000 веков, чтобы его взломать. Отныне в качестве своих паролей  решил  использовать наборы из 8 -12 случайных английских слов длиной не менее 6 знаков  . Думаю этого будет достаточно.

Не нужно ничем жертвовать.   В стакан с иммерсионной жидкостью прямо около монитора погрузить, никто не рискнет их достать оттуда.

---

Я бы конечно не стал стикер с паролями клеить на монитор, даже дома. Как-то заказывали мебель, доставка была с нескольких магазинов. И вышло так, что все они привезли мебель в один день, естественно заносили домой. В этой суматохе один из добрых дядек грузчиков прикрутил ноги планшету ребенка. Один из таких добрых дядек может появиться и у вас на работе в ваше отсутствие, например, для ремонта кондиционера или еще чего-нибудь. Ваш стикер может уйти вместе с жестким диском за несколько минут.      

Все уборщицы, читающие этот форум многозначительно улыбнулись, теперь они точно знают, что надо делать

Я, конечно - не стану сомневаться в сашей памяти, но что произойдет, если внезапно этот листочек улетит в окно? Тем более, если 30 абракадабр - это хотя бы 10 паролей.

Даже если предположить, что абракадабра зашифрована каким-либо алгоритмом - все равно можно подобрать его, если есть несколько паролей, по основным используемым гласным, например.

Добавлю, не стоит недооценивать женщин. Если они узнают число этой 4-х значной суммы, вам может грозить опасность