Topic: [Инструкция] Как создать надёжный пароль (Read 1051 times)

Да точно, есть такое. 
До 15 символов вполне без проблем можно запомнить пароль. Или записать в блокнот не полный пароль а с пробелами, чтобы знать что там долно быть, но это не будет поняно другим. Кругом шифровка. 

Тогда придется думать о безопасном хранении блокнотика ). Сейчас многие используют парольные менеджеры (Keepass, Bitwarden и т.п.), это удобнее и проще.
А что касается длины, то в большинстве случаев вполне достаточно уникального пароля из 10-12 случайных цифр и букв разных регистров.

Для этого существуют специальные программы-менеджеры. Крайне желательно использовать программы с открытым исходным кодом и зарекомендовавшие себя среди пользователей. Я не хочу тут рекламировать никаких менеджеров, но я пользуюсь уже очень давно двумя менеджерами с открытым исходным кодом: один для Windows, другой для Android. О рисках такого хранения паролей я не буду ничего говорить, это просто выльется в холивар между двумя лагерями пользователей. Каждый решает сам, использовать такой метод хранения паролей или нет.

Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

Естественно, чем длиннее пароль, тем сложнее его подобрать. На данный момент считается, что 128-битный пароль является невзламываемым. В принципе, я думаю, и 80 битный пароль никто не взломает, так как для этого потребуются мощности, которые вряд ли кто-то сможет собрать в одних руках. Но 128 бит сейчас считается минимально безопасной энтропией, поэтому в ответственных случаях следует этого правила придерживаться.
А теперь остается посчитать, какую энтропию дает определенный набор символов. Например, если ваш пароль состоит только из цифр, то это всего 10 вариантов от 0 до 9, значит каждый символ в таком пароле даст log₂(10)=3.32 бита, следовательно безопасный пароль, состоящий только из цифр, должен иметь длину 128/3.32=39 символов. А если из маленьких латинских букв и цифр (всего 36 знаков), то для безопасного пароля понадобится 128/log₂(36)=25 символов, а если добавить и большие латинские буквы, то 22, и так далее.
Это для простейших систем, где пароль не подвергается никаким преобразованиям. Но часто пароль еще как-то хешируется, иногда многократно - в таких случаях число символов может быть меньше.

Я не очень разбираюсь во всех этих нюансах с кодировками и пр. Я думаю, что, конечно же, длина пароля имеет значение. Чем он длиннее, тем сложнее его взломать. Это же логично. Я, например, практически везде использую 256-400 битные пароли (64 символа в пароле), куда входит рандомный набор из заглавных букв, строчных букв, цифр и специальных символов.

А взломать можно всё, дело в том сколько времени и ресурсов потребуется на взлом.

Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.

Не обязательно пользоваться программными генераторами паролей, тем более это может быть не совсем безопасно, что приведет к взлому вашей учётной записи. Даже если вы и можете придумать относительно случайный пароль, или к примеру попросите вашу кошку походить по клавиатуре, это тоже не может считаться безопасным, така кейлоггеры никто не отменял. Оптимальным вариантом будет оффлайн генерация парольной фразы, используя один из стандартных словарей и набор разноцветных кубиков. Заранее записав последовательность цветов, вы можете бесстрастно сгенерировать парольную фразу из нескольких слов, которые при желании можно даже запомнить (например, для перевоза через границу или опасную зону).

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

Здравствуйте. Встречал ваши сообщения на форуме по поводу паролей да и в целом по безопастности. Мне понравился ваш метод хранения паролей и информации, доступ к которым можно получить из любой точки мира и с любого компьютера при этом все довольно защищено. Я вывел для себя некоторые правила после гугления и поиска по форуму:

1. Все пароли храню в KeePass. Мастер-пароль генерирую с помощью подбрасывания кости и выбора соотвествующих слов из словаря. Запоминаю и записываю на бумагу.
2. Создаю PGP приватный ключ и к нему пароль, который генерирую методом из первого пункта. Запоминаю пароль и записываю.
3. Очень важные пароли и другую информацию записываю в текстовый файл и шифрую c помощью PGP.
4. Создаю аккаунты на 3х облаках и генерирую для них пароли как в пункте 1. Запоминаю, записываю.
5. Кладу PGP приватник, базу с паролями, файл с важной информацией в контейнер и генерирую пароль методом из пункта 1. Запоминаю пароль, записываю.
6. Заливаю контейнер на все облака.

Схема получается довольно сложная, но самое главное на выходе нужно запомнить 5 паролей. Ну если еще и сид от биткоин кошелька, то уже 6. Можете поделиться как упростить решение для запоминания хотя бы только 2х паролей или даже 1го, а не 6, чтобы даже если я оказался в другой стране без своего ноутбука, то мог бы получить доступ ко всей своей информации? Если вы не против, то поделитесь пожалуйста в деталях, мне очень интересно ваше мнение.

Любые пароли связаннае с вами - скомпрометированы
Любые повторяющиеся пароли - скомпрометированы
Любые пароли зафиксированные где либо - скомпрометированы
и это еще не все аксиомы.

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

Прочитал с интересом. Не хочу ставить мнение Гибсона под вопрос, но скажу - что лично я против использования масок, а особенно, когда человек "найдет грааль" от взлома и будет маску на любой сайт засовывать.

Кроме простого брутфорса утечки паролей могут быть совершенно из разных мест, например с дырявого сайта, достаточно популярного. Если таких сайтов будет парочка, то простым анализом массива паролей - можно определить основные маски, так как символы в них будут одинаковыми (я так понимаю). А дальше все становится очень простым, так как к маске обычно добавляется пара символов, чтобы добиться "уникальности" и пароль идет своей дорогой, дальше.

Поэтому по подсчету - полностью согласен, здесь действительно сложнее. Но "человеческий фактор" способен погубить практически любой математический расчет. И, исходя из этого - кроме сложности, следует задуматься о том, куда заходит ваш новый, прекрасно придуманный пароль. И разделить риски, от минимального - до максимального.

У вас нет привычки темнить, значит теоретически вы когда-нибудь можете поделиться информацией, которая, на первый взгляд, не важна. Тогда довод про IF-ELSE теряет часть ELSE. И в них появится смысл.

При условии, что вы говорите правду - поделиться информацией, что у вас нет соцсетей гораздо безопаснее, чем обратный случай.

У приватного ключа есть количество знаков, это правда - так и подобрать его дело времени. Какого, я не уточняю.

Про кейпасс и вебсайт в интернете - они для разных уровней "параноидальности", тут все понятно.

IF "входные данные" IS TRUE
ELSE...

А иначе от них нет смысла, они не дают даже намека.


У меня нет привычки темнить. Например я в открытую могу сказать, что у меня нет ни одной социальной сети


Согласен. Однако вот у приватного ключа вашего кошелька - тоже есть количество знаков.


Уважаю, только дело в том, что кейпасс только на моем компьютере. А сторонний ресурс - нет. Он в открытом доступе и в интернете.

По мне,  так лучше хоть какие-то входные данные, чем никаких.

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

Тут спорить не буду, я привел пример этого ресурса, потому что про КейПас было упомянуто,  а про этот нет. В любом случае,  каждому свое. Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

Ну а дальше  с удовольствием посмотрую на пару кейсов:

1. Поверят ли этому моему сообщению?
2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

В мире криптографии вопрос доверия уходит, потому что доверие словам заменяется другими инструментами.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для подсчета примерного времени перебора интересующего вас пароля, можно использовать данный ресурс: https://howsecureismypassword.net

Важно отметить, не проверяйте там пароль,  который затем будете использовать, копирование в буфер обмена снижает безопасность.

Можешь вот здесь посмотреть (указано время перебора паролей от 1 до 12 символов).
Если тебя интересует конкретно брутфорс, то всё зависит от длины пароля и соответственно твоих мощностей. Если пароль длинный, в целом - это гиблое дело.

Как раз из приведённый выше таблицы и поймёшь, почему в основном многие сервисы ограничиваются при регистрации 12-символьными паролями...
ИМХО, больше то оно как бы и не нужно.. если пароль не рядовой, не содержит целых слов, порядкового ряда из цифр и пр. - то этого за глаза.
Но всё равно стоит помнить, что и такие пароли время от времени необходимо менять 

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)