Pages:
Author

Topic: [Инструкция] Как создать надёжный пароль (Read 1059 times)

newbie
Activity: 8
Merit: 0
Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.
Тогда придется думать о безопасном хранении блокнотика ). Сейчас многие используют парольные менеджеры (Keepass, Bitwarden и т.п.), это удобнее и проще.
А что касается длины, то в большинстве случаев вполне достаточно уникального пароля из 10-12 случайных цифр и букв разных регистров.

Да точно, есть такое.  Smiley
До 15 символов вполне без проблем можно запомнить пароль. Или записать в блокнот не полный пароль а с пробелами, чтобы знать что там долно быть, но это не будет поняно другим. Кругом шифровка.  Grin
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.
Тогда придется думать о безопасном хранении блокнотика ). Сейчас многие используют парольные менеджеры (Keepass, Bitwarden и т.п.), это удобнее и проще.
А что касается длины, то в большинстве случаев вполне достаточно уникального пароля из 10-12 случайных цифр и букв разных регистров.
staff
Activity: 2436
Merit: 2347
Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

Для этого существуют специальные программы-менеджеры. Крайне желательно использовать программы с открытым исходным кодом и зарекомендовавшие себя среди пользователей. Я не хочу тут рекламировать никаких менеджеров, но я пользуюсь уже очень давно двумя менеджерами с открытым исходным кодом: один для Windows, другой для Android. О рисках такого хранения паролей я не буду ничего говорить, это просто выльется в холивар между двумя лагерями пользователей. Каждый решает сам, использовать такой метод хранения паролей или нет.
newbie
Activity: 8
Merit: 0
Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.
legendary
Activity: 1848
Merit: 2033
Crypto Swap Exchange
Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.
Естественно, чем длиннее пароль, тем сложнее его подобрать. На данный момент считается, что 128-битный пароль является невзламываемым. В принципе, я думаю, и 80 битный пароль никто не взломает, так как для этого потребуются мощности, которые вряд ли кто-то сможет собрать в одних руках. Но 128 бит сейчас считается минимально безопасной энтропией, поэтому в ответственных случаях следует этого правила придерживаться.
А теперь остается посчитать, какую энтропию дает определенный набор символов. Например, если ваш пароль состоит только из цифр, то это всего 10 вариантов от 0 до 9, значит каждый символ в таком пароле даст log2(10)=3.32 бита, следовательно безопасный пароль, состоящий только из цифр, должен иметь длину 128/3.32=39 символов. А если из маленьких латинских букв и цифр (всего 36 знаков), то для безопасного пароля понадобится 128/log2(36)=25 символов, а если добавить и большие латинские буквы, то 22, и так далее.
Это для простейших систем, где пароль не подвергается никаким преобразованиям. Но часто пароль еще как-то хешируется, иногда многократно - в таких случаях число символов может быть меньше.
staff
Activity: 2436
Merit: 2347
Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.

Я не очень разбираюсь во всех этих нюансах с кодировками и пр. Я думаю, что, конечно же, длина пароля имеет значение. Чем он длиннее, тем сложнее его взломать. Это же логично. Я, например, практически везде использую 256-400 битные пароли (64 символа в пароле), куда входит рандомный набор из заглавных букв, строчных букв, цифр и специальных символов.

А взломать можно всё, дело в том сколько времени и ресурсов потребуется на взлом.
full member
Activity: 238
Merit: 297
Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )
Не обязательно пользоваться программными генераторами паролей, тем более это может быть не совсем безопасно, что приведет к взлому вашей учётной записи. Даже если вы и можете придумать относительно случайный пароль, или к примеру попросите вашу кошку походить по клавиатуре, это тоже не может считаться безопасным, така кейлоггеры никто не отменял. Оптимальным вариантом будет оффлайн генерация парольной фразы, используя один из стандартных словарей и набор разноцветных кубиков. Заранее записав последовательность цветов, вы можете бесстрастно сгенерировать парольную фразу из нескольких слов, которые при желании можно даже запомнить (например, для перевоза через границу или опасную зону).
copper member
Activity: 294
Merit: 77
Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )
newbie
Activity: 2
Merit: 0
Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

Здравствуйте. Встречал ваши сообщения на форуме по поводу паролей да и в целом по безопастности. Мне понравился ваш метод хранения паролей и информации, доступ к которым можно получить из любой точки мира и с любого компьютера при этом все довольно защищено. Я вывел для себя некоторые правила после гугления и поиска по форуму:

1. Все пароли храню в KeePass. Мастер-пароль генерирую с помощью подбрасывания кости и выбора соотвествующих слов из словаря. Запоминаю и записываю на бумагу.
2. Создаю PGP приватный ключ и к нему пароль, который генерирую методом из первого пункта. Запоминаю пароль и записываю.
3. Очень важные пароли и другую информацию записываю в текстовый файл и шифрую c помощью PGP.
4. Создаю аккаунты на 3х облаках и генерирую для них пароли как в пункте 1. Запоминаю, записываю.
5. Кладу PGP приватник, базу с паролями, файл с важной информацией в контейнер и генерирую пароль методом из пункта 1. Запоминаю пароль, записываю.
6. Заливаю контейнер на все облака.

Схема получается довольно сложная, но самое главное на выходе нужно запомнить 5 паролей. Ну если еще и сид от биткоин кошелька, то уже 6. Можете поделиться как упростить решение для запоминания хотя бы только 2х паролей или даже 1го, а не 6, чтобы даже если я оказался в другой стране без своего ноутбука, то мог бы получить доступ ко всей своей информации? Если вы не против, то поделитесь пожалуйста в деталях, мне очень интересно ваше мнение.
jr. member
Activity: 462
Merit: 5
Любые пароли связаннае с вами - скомпрометированы
Любые повторяющиеся пароли - скомпрометированы
Любые пароли зафиксированные где либо - скомпрометированы
и это еще не все аксиомы.
legendary
Activity: 1330
Merit: 1681
~
Предложенный подход должен быть использован исключительно для особых случаев, а именно случаев, когда пароль никогда не должен быть забыт (утерян). У меня таких случаев всего 3:
~

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.
legendary
Activity: 1330
Merit: 1681
~
Зы. Страницу Гибсона можно сохранить, перенести сохраненное на холодный комп и пользоваться там как инструментом для подсчета "взламываемости" последовательности, выбранной вами для своего пароля.


Прочитал с интересом. Не хочу ставить мнение Гибсона под вопрос, но скажу - что лично я против использования масок, а особенно, когда человек "найдет грааль" от взлома и будет маску на любой сайт засовывать.

Кроме простого брутфорса утечки паролей могут быть совершенно из разных мест, например с дырявого сайта, достаточно популярного. Если таких сайтов будет парочка, то простым анализом массива паролей - можно определить основные маски, так как символы в них будут одинаковыми (я так понимаю). А дальше все становится очень простым, так как к маске обычно добавляется пара символов, чтобы добиться "уникальности" и пароль идет своей дорогой, дальше.

Поэтому по подсчету - полностью согласен, здесь действительно сложнее. Но "человеческий фактор" способен погубить практически любой математический расчет. И, исходя из этого - кроме сложности, следует задуматься о том, куда заходит ваш новый, прекрасно придуманный пароль. И разделить риски, от минимального - до максимального.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
~

У вас нет привычки темнить, значит теоретически вы когда-нибудь можете поделиться информацией, которая, на первый взгляд, не важна. Тогда довод про IF-ELSE теряет часть ELSE. И в них появится смысл.

При условии, что вы говорите правду - поделиться информацией, что у вас нет соцсетей гораздо безопаснее, чем обратный случай.

У приватного ключа есть количество знаков, это правда - так и подобрать его дело времени. Какого, я не уточняю.

Про кейпасс и вебсайт в интернете - они для разных уровней "параноидальности", тут все понятно.



legendary
Activity: 1330
Merit: 1681
~
По мне,  так лучше хоть какие-то входные данные, чем никаких.

IF "входные данные" IS TRUE Smiley
ELSE...

А иначе от них нет смысла, они не дают даже намека.

Quote
Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

У меня нет привычки темнить. Например я в открытую могу сказать, что у меня нет ни одной социальной сети Smiley

Quote
Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

Согласен. Однако вот у приватного ключа вашего кошелька - тоже есть количество знаков.

Quote
Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы.  Smiley

Уважаю, только дело в том, что кейпасс только на моем компьютере. А сторонний ресурс - нет. Он в открытом доступе и в интернете. Smiley
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа Smiley
По мне,  так лучше хоть какие-то входные данные, чем никаких.

1. Поверят ли этому моему сообщению?
Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64? Smiley
Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.
Тут спорить не буду, я привел пример этого ресурса, потому что про КейПас было упомянуто,  а про этот нет. В любом случае,  каждому свое. Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы.  Smiley
legendary
Activity: 1330
Merit: 1681
По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  Cheesy
P.S. Возможно, кому-то будет полезно: для примерного времени перебора интересующего вас пароля,  можно использовать данный ресурс: https://howsecureismypassword.net

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа Smiley

Ну а дальше  с удовольствием посмотрую на пару кейсов:

1. Поверят ли этому моему сообщению?
2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64? Smiley

В мире криптографии вопрос доверия уходит, потому что доверие словам заменяется другими инструментами.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.
legendary
Activity: 2464
Merit: 4415
🔐BitcoinMessage.Tools🔑
По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  Cheesy
P.S. Возможно, кому-то будет полезно: для подсчета примерного времени перебора интересующего вас пароля, можно использовать данный ресурс: https://howsecureismypassword.net

Важно отметить, не проверяйте там пароль,  который затем будете использовать, копирование в буфер обмена снижает безопасность.
full member
Activity: 490
Merit: 211
Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)
Можешь вот здесь посмотреть (указано время перебора паролей от 1 до 12 символов).
Если тебя интересует конкретно брутфорс, то всё зависит от длины пароля и соответственно твоих мощностей. Если пароль длинный, в целом - это гиблое дело.

Как раз из приведённый выше таблицы и поймёшь, почему в основном многие сервисы ограничиваются при регистрации 12-символьными паролями...
ИМХО, больше то оно как бы и не нужно.. если пароль не рядовой, не содержит целых слов, порядкового ряда из цифр и пр. - то этого за глаза.
Но всё равно стоит помнить, что и такие пароли время от времени необходимо менять  Wink
legendary
Activity: 2520
Merit: 1218
Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)
Pages:
Jump to: