Topic: [Инструкция] Как создать надёжный пароль - page 3. (Read 1051 times)

Вполне имеет место быть, но есть пара моментов в которых я немного не догоняю.

1. По хорошему можно тогда с "первоначальным" паролем и вовсе же не загоняться?
Какой смысл использовать ded_mazay123 (хотя сложного в его запоминании и ничего нет), когда я могу использовать хоть свой ник с форума... а там уже попробуй догадайся сколько раз я его шифровал и в каком порядке и какими алгоритмами. ИМХО - без вариантов.

2. Второй момент, пожалуй самый главный.
Шифровать онлайн? ок, можно, только насколько это безопасно? я думаю не очень, от слова совсем.
Другое дело искать альтернативу, какую-то незамысловатую прогу?! Вопрос открыт, Ваши мнения.

---

Ты можешь не беспокоиться за свою безопасность, такая логика никому не по зубам 

Когда регистрируешься на нескольких сайтах, то да можно придумать сложный пароль и запомнить его. Но что делать, когда региструиешься на десятках или сотнях.
Я использую метод личной формулы, которую сам для себя придумал. И такую формулу использую для создания пароля.
По хорошему она должна иметь разную сложность для разных сайтов.

К примеру мы регистрируемся на сайте pepa.com

1. Сайт на котором вы регистрируетесь начинается на согласную. pepa.com
Значит пароль будет начинаться на имя вашего лучшего друга детства. - Гена
2. Вы вспоминаете в каком месяце у него день рождения - Апрель. Четвертый месяц.
Адрес сайта состоит из 4х букв, значит прибавим к апрелю 4 и получаем 08.
3. Далее сайт заканчивается на гласную А  - это значит, что надо записать имя своей первой девушки (Лена), заменив все согласные на эту гласную. И получаем Аеаа

...
получаем пароль: Гена08Аеаа

Каждый может придумать для себе эти правила. Стоит лишь подключить фантазию. Но главное установив эти правила, не лениться их применять. По началу сложно. Но потом ты с легкостью заходишь на разные сайты со своим уникальным паролем с регулируемым тобой уровнем защиты.

Может это и немного бредово выглядит, но мне нравится)

еще один интересный способ
   источник
копипаст! очень уж заинтересовало ваше мнение.

Сегодня я попытаюсь донести до вас свою схему создания уникальных сложных и легкозапоминаемых паролей. Думаю, многие из вас скажут, что хороший пароль - это как минимум 20 символов никак не связанных друг с другом и запомнить его невозможно, тем более разные пароли для каждого сервиса.
Но! Сейчас я вам покажу как мы будем использовать сложные уникальные и легкозапоминаемые 64-значные пароли, разные для каждого сайта и сервиса.
Итак, приступим:
1. Для начала мы придумаем пароль, который мы можем вспомнить даже если разбудить в 3 часа ночи.
Пусть это будет ded_mazay123. Это один из двух пунктов, который нам нужно запомнить.
2. Далее мы хэшируем наш наш пароль в одном или нескольких (что лучше) алгоритмах шифрования (Например: sha256).
Переходим на сайт https://2ip.ua/ru/services/useful-service/text-encryption или любой другой. Я выбрал именно его, т.к. здесь все собрано в одном месте и не нужно переключаться между вкладками, когда хешируешь в разных алгоритмах.
Итак, вводим свой пароль, выбираем алгоритм шифрования и, собственно шифруем наш пароль

В итоге имеем уже не такой простой 64-значный пароль. Но мы на этом не остановимся и пойдем дальше.
3. Берем наш получившийся хеш и шифруем уже его и получаем, так скажем, хэш хеша.

Далее, наш получившийся хеш зашифруем в другом алгоритме sha512

В принципе этого будет достаточно и мы имеем 128-значный пароль, но не всегда сервисы примут такой пароль. Иногда стоит ограничение на длину пароля.
Шифранем наш 128-значный хэш еще раз в sha256

Итак, что мы имеем в итоге?
Мы имеем уникальный сложный пароль, состоящий из 64 символов, который, в случае чего будут брутить вечность. При этом у нас есть ассоциация этого пароля с нашим, который мы придумали вначале.
Т.е. вся суть в том, что мы запоминаем простой пароль и, главное запоминаем алгоритм хеширования нашего пароля. В моем случаем это выглядит так "ded_mazay123" => sha256 =>sha256 => sha512 => sha256.
Итог: сложный, уникальный и при этом легко запоминаемый пароль, который будет очень проблематично сбрутить.
Теперь перейдем к главной теме. Устанавливаем уникальные пароли для каждого сервиса.
Для этого мы опять же используем наш легкий пароль, при этом мы добавляем наш сайт перед паролем ([сайт][пароль])
Для wwh это будет wwh-club.netded_mazay123, для почты [email protected]_mazay123 и т.п. Наш шаблон мы можем создать как угодно, главное его запомнить.
И дальше по нашей схеме выше мы хэшируем наши пароли по нашим алгоритмам

И дальше по шаблону "wwh-club.netded_mazay123" => sha256 =>sha256 => sha512 => sha256
Напомню, шаблон мы придумываем сами. Хоть 10 раз в sha512 и 15 раз в sha256.
В окончательном итоге мы имеем схему создания нашего сложного пароля на основе легкозапоминаемого пароля и алгоритма прогонов этого простого пароля. При этом у нас будет уникальный пароль для каждого сервиса.

Тут есть большая разница. Между школьником, который начитался форумов и скачав пару инструментов, начал ломать пароли и взрослым дядей, весь рабочий день которого связан с тем, что надо "угадать".

Вот во втором случае - прорабатывается огромное количество вариантов, причем к этим вариантам уже добавлен анализ основных баз паролей, которые выкладываются после взломов. И именно оттуда формируются основные схемы подбора.

После того, как кучу лет говорили людям отовсюду, что не надо использовать цифры дня рождения в пароле - люди стали изобретательнее, но природная лень помогает добавлять пару знаков в середину, пару цифр в конец и такой пароль считается защищеннным, хотя это совсем не так.

Первое - это определение ценности информации по категориям и возможный ущерб от потери такого пароля. И одно дело, когда взлом пароль от сайта с кулинарными рецептами и совершенно другое дело, когда уходит пароль от важной почты.

Поэтому, можно 50-символов в кодировке влепить на кулинарию, зашифровать и записать в КейПасс. Но насколько это целесообразно?
И отсюда - стоит думать, как человек, задача которого взломать ваши пароли. То есть, получив данные к этой почте - можно получить - это и вот это. Если это спокойно можно потерять - то здесь уровень безопасности один.

И по поводу привязки паролей с пинкодами - к почте. Почта - всегда один из не очень надежных инструментов, поэтому я бы не стал использовать ее, как единственный способ и доступ к паролю. Даже при сложных схемах.

Вот хороший комментарий на этот счёт из англоветки с подробным разбором, как 4 простых случайных слова в 1 трлд раз превосходят на первый взгляд довольно сложный пароль.

---

Спасибо, занятно, на досуге обязательно почитаю Ваши мысли.

Раз уж здесь озаботились логинами и паролями и возможно кто-то делает сайт и хочет сделать реальную защиту от брутфорса. Понятно, что можно сделать и с приватными ключами, но это не очень удобно может быть, поэтому предлагаю рассмотреть мой вариант Когда прямой и обратный брутфорс бессмысленны.

Но если рассуждать логически, ни один пароль не является безопасным. Со временем все можно взломать банальным брутфорсом. Одно только спасает - никто не знает сколько времени понадобится взломщику.

Поэтому единственное верное решение - чаще менять пароли.

Ну там ещё угадай, это чисто предложение которое в действительности каждый уже может доработать под себя (выработать определенную схему/принцип и в дальнейшем применять ко всем своим паролям).
Как вариант, можно разместить часть символов в начале - часть в конце или быть может часть после первой и часть перед последней буквой/цифрой. Тут уже насколько фантазии хватит, главное не увлечься.

P.s. Ну и про длину Вы верно подметили. Не так важна сложность пароля - как его длина!
Как раз таки тем же брутфорсом будет куда проще подобрать пароль вида ^#8df7f, чем пароль вида MamaYaVDubae.2019 

Точно, имея такой листик в руках - достаточно подобрать последние три символа брутфорсом. Такой способ хранения паролей не является новым и достаточно хорошо известен и другой стороне вопроса.



Абсолютно без разницы какие символы и цифры вы будете использовать. Конечно школьники пойдут по основным базам паролей из известных слов и букв, но для сложности пароля - основная характеристика это его длина.

По сути, если перебор работает с большой скоростью, то в него можно добавить (базу для брутфорса) все возможные комбинации с клавиатуры, можно сгенерировать такую базу используя оснвные слова, добавляя к ним 3-4 символа, это проще, либо же просто загнать туда все варианты, дольше и сложнее.

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

Использую пароль в виде "какой-то предмет на столе/бренд+цифра или несколько цифр+какой-то символ или комбинация"

Получится типа Pioneer332$$. Как думаете, подобное можно взломать брутфорсом?

В целом - обеими руками за, но чем дальше - тем сложнее.
Количество сервисов требующих регистрацию растёт в геометрической прогрессии, запомнить всё - просто не представляется возможным.
Записывать? Ну то ещё занятие (тот же листик могут найти, повредить, выкинуть и пр.) Делать копии? Ну фиг знает, возможно.

+ Эта далеко не безопасная, но так ускоряющая и упрощающая работу система по сохранению паролей (в том же браузере), доводящая до отупения))
Если раньше необходимо было извилины напрягать, теперь возможно всё автоматизировать и забить на это (что собственно и происходит у большинства).
 
P.S. Зашёл недавно на https://bpip.org в свой аккаунт и акуел, у меня было 5 восстановлений паролей)))
И вроде смешно, и в то же время в голове уже такое количество паролей что чем заниматься их перебором (раз уж забыл) - проще его "обновить" через восстановление.

P.S.S. Идея с неполностью записанными паролями мне по нраву  

Сторонние проги вообще не стоит использовать.

Только свой набор и листик, который надёжно будет спрятан.
И можно добавлять ещё пару символов в конце, но их держать в голове.

И если кто-то украдёт листик, пароль не сможет использовать.

Резерв

---

Нашёл довольно простую, но в тоже время и достаточно серьёзную тему, которой многие (знаю по себе) порой пренебрегают  - "Создание по истине надёжных паролей". Америку она Вам вряд ли откроет, несомненно что-то похожее можно найти и на просторах сети - но я столкнулся с этим именно здесь, поэтому здесь же с Вами и делюсь. Отсебятины здесь практически нет, не люблю чужой труд переделывать под себя. Ваши предложения, мысли на этот счёт и всевозможные поправки жду в комментариях  

---

Наверняка Вы обращали внимание что при регистрации на большинстве сайтов (будь то криптобиржа, форум, соц. сети или электронная почта) нас просят указать пароль соответствующий определённым характеристикам, но следовали ли Вы им? да, порой без этого никак, ибо в ином случае просто не пройдёт регистрация... но может тогда Вы использовали лёгкий/короткий пароль? а может и вовсе используете общие пароли на различных сервисах? В общем - это плохая затея! Используя надёжный пароль, тем самым Вы делаете свои данные (учётные записи) более защищёнными и менее уязвимыми для хакеров.

И перед тем как перейти к обсуждению создания надёжных паролей давайте сперва рассмотрим те, которые впредь использовать НЕ следует.

1. Все эти пароли очень распространены и Вы не должны их использовать!

• 123456
• abcdefg
• abc12345
• password
• password123
• ТОП-25 распространённых паролей 2018 г.

2.  Никогда не используйте пароли содержащие Вашу личную информацию, такую как:

• Имя
• Дата рождения
• Место рождения
• Ваш адрес

Причина по которой Вы никогда не должны включать личные данные в свои пароли банальна, раздобыв их, у злоумышленника появляется высокая вероятность подборки пароля.

3. Никогда не используйте замену (цифры вместо букв или же наоборот)
Примеры:

• D0gH0us3
• W33kdays
• IL0v3D0gs

Данные пароли легко взламываются брутфорсом, путём перебора различных вариаций слова.

---

Создание надёжных паролей

Поскольку мы уже знаем какие типы паролей использовать не следует - переходим к созданию надёжного и безопасного пароля, итак:

• Делайте Ваш пароли длинными,
  смешивайте строчные и заглавные буквы (A-Z, a-z),
  добавляйте цифры (0-9),
  и специальные символы, такие как: (&^$#)
  В идеале должно получиться что-то вроде S5#A$B1dpqzM^UMk, правда такой пароль уже очень тяжело запомнить.
  
  Так как же запомнить пароли такого вида?!
  
  
• Метод предложения:
  Идея этого метода заключается в том, что Вы просто создаёте пароль из какого либо случайного или придуманного Вами предложения.
  Например:
  Берём по 2 первых символа от каждого из слов в предложении "I Was Born At 2:35pm In The Country Of Germany"
  Результат:  IWaBoAt2:InThCoOfGe
  
  
• Использование парольной фразы
  Парольная фраза состоит из различных слов, рандомность каждого слова делает её более надёжной.
  
  Например:
  "Dog in the dark" -  Слово имеет смысл и грамматически упорядоченно (собака в темноте).
  "hulk touch adjourn omega" - Фраза бессмысленная, грамматически не связана (халк касаться откладывать омега)
  Вот её Вы можете и использовать в качестве пароля добавив лишь некоторые изменения - сделав каждый второй символ каждого слова заглавным + добавив специальных символов между словами.
  Итог: hUlk&tOuch$aDjourn@oMega
   
  Вы также можете использовать здесь и вышеописанный Метод предложения, всё также берём первые 2 символа каждого слова, каждый второй символ делаем заглавным + рандомно ставим спец. символы.
  "hUlk tOuch aDjourn oMega".
  Результат:  hU#tO!aD*oM$
  
  
• Используем генератор случайных паролей
  
  
  Quote from: whotookmycrypto on April 16, 2019, 02:40:58 AM
  ~
  https://keepass.info/   (имеется русский язык)
  С помощью KeePass Вы можете создавать надёжные пароли всего за несколько простых шагов.
  
  Шаг 1: Жмём "Добавить запись"
  Шаг 2: Жмём "Создать пароль"
  Шаг 3: Из выпадающего списка выбираем сложность пароля
  
  P.s. При необходимости:
  после Шага 1 добавляем "Название" к создаваемому паролю, "Логин", "Ссылку" на источник и необходимые заметки;
  при Шаге 2 можем выбрать "Открыть генератор паролей..." и указать интересующие нас параметры при генерировании пароля.
  
  
  -
  
  
  Стоит также отметить, что использование менеджеров паролей решает вышеупомянутую проблему с запоминанием трудных/сложных паролей.
  
  
  Можно воспользоваться Random Password Generator от Avast.
  Также генерирует случайные пароли, имеется возможность вкл./отл. дополнительные параметры
  
  
  
  Единственная проблема в том, что это всё трудно запомнить, но Вы можете генерировать пароли до тех пор пока не найдёте тот которым будет Вам по душе)
  
  
• Password Manager
  Использование менеджера паролей будет полезно при использовании различных паролей на сайтах.
  Я предлагаю для этих целей использовать https://keepass.info/, это бесплатный проект с открытым исходным кодом.
  
  
  
  Подробную инструкцию по русификации KeePass, установке, созданию базы с паролями и пр., Вы сможете найти по ЭТОЙ ссылке.
  

---

Вывод

• Ни с кем не делитесь своими паролями.
  
• Для каждой учётной записи используйте новый, отличный от предыдущего пароль.
  
• Всегда создавайте длинные пароли (минимальный рекомендуемый размер пароля от 8 до 12 символов).
  
• Избегайте хранения паролей в интернете (на файлообменниках, в облаках и пр.).
  
• Всегда используйте двухфакторную (2FA) или мультифакторную аутентификацию (MFA).
  
• Избегайте фишинговых сайтов (проверяйте ссылки), ибо в этом случае будет абсолютно не важно насколько хорош был Ваш пароль.
  

---

Источники:
Как создать надежный пароль
Как создать надежный пароль (и запомнить его)
Как создать безопасный пароль

---