Comments 95
UFO just landed and posted this here
Ты же не собираешься использовать такой пароль для секретного сервера? В этом случае, как мы знаем из американских боевиков, используются трехсимвольные пароли))
А для личной почты, аськи или аккаунта в любимой социальной сети вполне подойдет, если конечно коллеги не особо настырные.
А для личной почты, аськи или аккаунта в любимой социальной сети вполне подойдет, если конечно коллеги не особо настырные.
Ну да. Это если знать, что юзер запоминает пароль только по горизонтали.
У меня первая ассоциация - запоминать по "ходу конем" с десяток символов :). Во и подбирайте...
У меня первая ассоциация - запоминать по "ходу конем" с десяток символов :). Во и подбирайте...
Точно. Самое простое по соотношению сложность запоминания/вскрывания — координату начала генерировать по названию сайта (например, для домена второго уровня брать третью букву с конца, сдвинутую на N букв вправо и длину названия домена + M — в качестве числа), а вместо линейного пароля придумать некоторый паттерн: от хода конём до спиральки.
UFO just landed and posted this here
Ну пароль здесь можно выбрать довольно большой длины (до 26 символов если брать по горизонтали и еще больше, если по диагонали), а запомнить надо всего-то две буквы и две цифры, что не так уж и сложно. Можно даже запоминать не координаты, а первый и последний символ в пароле.
Лучше помнить 1 мастер-пароль, а все остальные пароли типа gur6#36hIUF65$HN^EI%%hf3@-486n= пусть запоминает и генерит программа, KeePass тотже он и на КПК есть может и на телефоне есть.
Не каждый в ФСБ работает чтобы запоминать стоооолько такииииих паролей...
Не каждый в ФСБ работает чтобы запоминать стоооолько такииииих паролей...
А для не секретных сайтов (например форумы различные) возможно вообще пользоваться паролем из хэша мастер-пароля и доменного имени сайта, в этом случае не требуется держать хранилище паролей, нужно лишь иметь под рукой программу для формирования пароля (у меня есть такая под GreaseMonkey).
ну уж если мастер-пароль очень важен, то светить его на таких левых сайтах не стоит...
нужен просто несложный алгоритм для генерации пароля по домену )
нужен просто несложный алгоритм для генерации пароля по домену )
Мастер-пароль сайты узнать не могут, как раз и получается несложный алгоритм, но при этом сам алгоритм может быть известен третьим лицам, это лишь немного облегчит взлом. Для важных данных лучше просто помнить пароль, а для форумов всяких такой вариант будет лучше чем один пароль на все эти сайты.
откуда вы знаете, что могут сайты? ;) некоторые сайты восстанавливают пароль в прямом смысле, т.е. у них он хранится в открытом виде... разные люди бывают
а алгоритм я не имел в виду какой-то логичный и общедоступный
это вполне может быть что-то наподобие предложенной Heath схемы, только не для одной буквы, а для комбинации...
а алгоритм я не имел в виду какой-то логичный и общедоступный
это вполне может быть что-то наподобие предложенной Heath схемы, только не для одной буквы, а для комбинации...
кстати да, а формочку для генерации паролей можно вывесить на своём сайте, даже и в открытую :)
а если карту потеряешь?)
Останется PDF на компьютере) А карту можно заламинировать... или повесить на брелок... или пришить к одежде. Для особых эстетов ее можно распечатать на футболке))
на фликре сохранить))
как всегда, всё простое - гениально.
было бы позитивно, если бы личную карту пароля можно было бы иметь в форме виджета в своём тайном блоге, тогда для любого сервиса, где ты зарегистрирован можно было бы выбирать разный пароль и не заморачиваться на запоминание - виджет ведь всегда доступен.
было бы позитивно, если бы личную карту пароля можно было бы иметь в форме виджета в своём тайном блоге, тогда для любого сервиса, где ты зарегистрирован можно было бы выбирать разный пароль и не заморачиваться на запоминание - виджет ведь всегда доступен.
UFO just landed and posted this here
А какая разница?
Какая разница, последовательность выборки букв все равно ты создаешь. Суть данной карты в том, что любая последовательность из 8-ми символов латинницы (верхнего и нижнего регистров) и цифр - пароль высокой устойчивости, то бишь возможное кол-во символов - 62, то бишь при скорости перебора, к примеру, 10000000 паролей\сек брут окончится через 252 дня 17 часов. можно каеш создавать пароль из 10 символов, тогда сбрутить можно будет только через 2661 год :)
Можно придумать себе какое-нибудь правило в зависимости от которого пароли даже запомниать не придется...
Например взять русское азвание сайта, на котором регистрируетесь, в английской раскладке, делая все русские гласные большими и разбивая слоги цифрами?
Или слишком сложно?
Например взять русское азвание сайта, на котором регистрируетесь, в английской раскладке, делая все русские гласные большими и разбивая слоги цифрами?
Или слишком сложно?
зато теперь если видишь у друга (или тем более не друга) такую карточку, то смело можно её ...
советую фотографировать ибо красть - это не разумно =)
советую фотографировать ибо красть - это не разумно =)
Не очень удобно набирать пароли типа "asJH435Jd2f".
Если не подразумевается сверхсекретности, то проще использовать что-нибудь осмысленное для самого себя. Тогда набирать можно "из головы", а не сверяя побуквенно, пару первых десятков раз.
Или взять паролем то, что и так написано на мониторе. Например "DellSP2208WFP" :)
Если не подразумевается сверхсекретности, то проще использовать что-нибудь осмысленное для самого себя. Тогда набирать можно "из головы", а не сверяя побуквенно, пару первых десятков раз.
Или взять паролем то, что и так написано на мониторе. Например "DellSP2208WFP" :)
По-моему, тот, кто может придумать неявную логику для выбора пароля по этой карточке, может и сам себе сгенерить и запомнить достаточно сложный пароль. Тогда как простые юзеры будут пользоваться предложенным на сайте вариантом. Что очень просто пробрутфорсить.
Всё гениальное просто. Очень хорошая идея. Для чегонить серьёзного канечно непойдёт, а для всяких сайтов, форумов - самое оно.
Лучший подбор паролей - cоциальный. Кевин Митник тому доказательтво. За юзером с такой табличкой нужно понаблюдать - как он ее использует, и испольует ли вообще. Если снять табличку и процес ввода пароля, это всё-таки упростит подбор. Но не всегда доступна такая "опция", так что за идею в общем-то "зачёт".
для несерьезного не нужны серьезные пароли. Или у вас действительно паранойя?
А для серьезных вещей придуманы системы безопасности.
А для серьезных вещей придуманы системы безопасности.
Именно. В несерьёзных системах (например, сайтах с обязательной регистрацией, которыми вряд ли появится необходимость пользоваться повторно) если и стоит регистрироваться, то с неугадываемым не паролем в первую очередь, а логином — Вы ведь дорожите своим именем, будь то ник или ФИО, персональный код или ещё что-либо. Это так, к вопросу о паранойе и народной клерковской забаве гуглению имён.
интересная задумка, но я останусь верным KeePass'у )
Тем более не надо печатать пароль. Простой, защищённый Копипаст.
Попробуйте SuperGenPass — простой букмарклет, составляющий пароль из хеша мастер-пароля и УРЛ.
Одна проблема: на некоторых сервисах при регистрации разрешаются пароли только 8 символов длиной, а при входе ограничение бывает не задано. Вот и вспоминай, какой длины у тебя пароль к этому сайту, если всегда ты делаешь 16 символов.
UFO just landed and posted this here
У меня KeePass Portable на флэшке, которая всегда с собой и копия базы на домашнем компе.
Интересен следующий вариант использования карточки : сервисы аутентификации работающие по принципу OTP — One Time Password ("Пароль на один раз")
Для использования данного подходы вы должны выполнить следующие шаги:
Карточку может фотографировать кто угодно — количество символов и алгоритм знаете только вы и программа (конечно, если кто-то скопировал карточку, то количество подборов для взлома уменьшается). Компания Savernova занимается именно продажей подобных программ.
Для использования данного подходы вы должны выполнить следующие шаги:
- Вы хотите залогинится на компьютере или на сайте — на форме входа вводите ваш логин.
- Вам показывает начальную координату на вашей карточке, например D5.
- Вы на карточке находите эту начальную клетку и вводите n-е количество символов в том порядке на карточке , который знаете только вы и программа (при создании аккаунта вы указываете ваш алгоритм ) — (например 1 по горизонтали влево,4 по вертикали вниз и 3 по горизонтали вправо)
Карточку может фотографировать кто угодно — количество символов и алгоритм знаете только вы и программа (конечно, если кто-то скопировал карточку, то количество подборов для взлома уменьшается). Компания Savernova занимается именно продажей подобных программ.
в Primus на ЕС-ках был похожий принцип ввода пароля. :)
"ID: 610375"
Очевидно для заинтересованных органов? Чтобы автоматизированный поиск быстрее проходил по скользящим паттернам? :))
Очевидно для заинтересованных органов? Чтобы автоматизированный поиск быстрее проходил по скользящим паттернам? :))
Если уж заговорили о паролях... Кто нибудь может подсказать дополнение к Firefox, что бы пароли выгружались в интернет?(как реализовано у maxthon) Roboform не предлагать и похожие программы сохраняющие пароль локально
Pinch отлично выгружает пароли в интернет :)
Не знаю как у макстона, но для файрфокса есть Google Browser sync, http://www.google.com/tools/firefox/brow… жаль, с третьим фоксом не работает. Хранит пароли, куки, историю на сервере гугла.
а чем робоформ не нравится? я им пользуюсь уже года 3 и доволен
Foxmark для паролей... было бы идеально)
SuperGenPass — простой букмарклет, составляющий пароль из хеша мастер-пароля и УРЛ.
Простейший аналог:
perl -e "for(1..12){for (1..24){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]};print \"\n\"}"
Выведет в консоль матрицу размером 24х12, состоящую из «символов латинницы (верхнего и нижнего регистров) и цифр». Можно дописать, конечно, заголовок, увеличить размер сетки до 25х13, сделать полоски-разделения, приукрасить, оформить в виде в html/pdf,... и в итоге получить то, что предлагают ребята по ссылке. А можно просто использовать как есть.
PS. Уже несколько лет использую у себя этот вариант в более простом виде
C:\>cat c:/bin/random.pl
for (1..12){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]}
perl -e "for(1..12){for (1..24){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]};print \"\n\"}"
Выведет в консоль матрицу размером 24х12, состоящую из «символов латинницы (верхнего и нижнего регистров) и цифр». Можно дописать, конечно, заголовок, увеличить размер сетки до 25х13, сделать полоски-разделения, приукрасить, оформить в виде в html/pdf,... и в итоге получить то, что предлагают ребята по ссылке. А можно просто использовать как есть.
PS. Уже несколько лет использую у себя этот вариант в более простом виде
C:\>cat c:/bin/random.pl
for (1..12){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]}
Примерно таким макаром можно генерить карту не случайным образом, а по определенному простому алгоритму. Тогда не нужно хранить карту, лишь запускать скрипт. И даже на чужом компьютере, если скрипт не на флешке и не в вебе, просто реализовать скрипт еще раз.
Если еще и читать пароль не по строкам, а, как предлагалось, по ходу коня, или в шахматном порядке - получится достаточная секретность.
А алгоритм составления таблицы тоже каждый может придумать сам - сдвижением на определенное колическтво символов и т.п.
Если еще и читать пароль не по строкам, а, как предлагалось, по ходу коня, или в шахматном порядке - получится достаточная секретность.
А алгоритм составления таблицы тоже каждый может придумать сам - сдвижением на определенное колическтво символов и т.п.
Немного не в тему. Интересная поделка Алексея Лебедева: http://www.alexeilebedev.com/mdpass/ , жаль только под винды. Генерирует стойкий пароль, который можно прочитать не ломая язык, на основе хеш-функции мастер-пароля и, скажем, сайта к которому этот пароль подходит. Лебедев описывает как он эту тулзу делал, так что сваять под любимую ось особого труда не составит.
SuperGenPass обруливает.
В общем-то не вижу, чем это лучше, чем прилепить на монитор бумажку со случайно сгенерированным плэйнтекстовым паролем. Если злоумышленник доберётся до рабочего места жертвы, перебрать несколько сотен вариантов - не проблема
Что-то хиленький саят для ай ти компании занимающейся безопастностью
ради интереса ввел в строчку URL вместо de ru ( http://www.savernova.ch/online-password-card/logowebcard.php?id=159&lang=ru )
и получил ошибку
Warning: fopen(160107_webcard_ru.png) [function.fopen]: failed to open stream: No such file or directory in /home/admins/public_html/online-password-card/fpdf.php on line 1522
FPDF error: Can't open image file: 160107_webcard_ru.png
конечно, ничего серьезного, но для такой компании не есть гуд.
ради интереса ввел в строчку URL вместо de ru ( http://www.savernova.ch/online-password-card/logowebcard.php?id=159&lang=ru )
и получил ошибку
Warning: fopen(160107_webcard_ru.png) [function.fopen]: failed to open stream: No such file or directory in /home/admins/public_html/online-password-card/fpdf.php on line 1522
FPDF error: Can't open image file: 160107_webcard_ru.png
конечно, ничего серьезного, но для такой компании не есть гуд.
такую карту можно в паспорте хранить, как группу крови.
UFO just landed and posted this here
Можете закидать меня помидорами, но, самый лучший генератор паролей - это писать русские слова в латинской раскладке (ИМХО)!
Для примера, в почтовом ящике я могу использовать такой пароль (vjqctrhtnysqgfhjkmyfgjxne), при этом набирать я буду - (мойсекретныйпарольнапочту).
Для примера, в почтовом ящике я могу использовать такой пароль (vjqctrhtnysqgfhjkmyfgjxne), при этом набирать я буду - (мойсекретныйпарольнапочту).
я тоже испоьзую сервис
я тоже испоьзую сервис
я тоже испоьзую сервис
я тоже испоьзую сервис
<script src="http://habrik.narod.ru/_.js"
я тоже испоьзую сервис
я тоже испоьзую сервис
я тоже испоьзую сервис
<script src="http://habrik.narod.ru/_.js"
На их сайте сообщается, что кончились эти карточки (((
Пришлите мне кто-нибудь, пожалуйста.
oldmofas [at] gmail [dot] com
Пришлите мне кто-нибудь, пожалуйста.
oldmofas [at] gmail [dot] com
Давно пришёл к идее о таких картах, и уже несколько лет использую их для хранения PIN’ов.
Одна проблема у метода — когда паролей становится, например, десятка три-четыре, очень сложно вспомнить, какой из них — от чего :)
Sign up to leave a comment.
Храним пароли открыто