Pull to refresh

Comments 95

UFO landed and left these words here
Ты же не собираешься использовать такой пароль для секретного сервера? В этом случае, как мы знаем из американских боевиков, используются трехсимвольные пароли))
А для личной почты, аськи или аккаунта в любимой социальной сети вполне подойдет, если конечно коллеги не особо настырные.
Ну да. Это если знать, что юзер запоминает пароль только по горизонтали.

У меня первая ассоциация - запоминать по "ходу конем" с десяток символов :). Во и подбирайте...
Точно. Самое простое по соотношению сложность запоминания/вскрывания — координату начала генерировать по названию сайта (например, для домена второго уровня брать третью букву с конца, сдвинутую на N букв вправо и длину названия домена + M — в качестве числа), а вместо линейного пароля придумать некоторый паттерн: от хода конём до спиральки.
о_О лучше тупо «qwerty», нефиг так сильно мозг насиловать =)
UFO landed and left these words here
Ну пароль здесь можно выбрать довольно большой длины (до 26 символов если брать по горизонтали и еще больше, если по диагонали), а запомнить надо всего-то две буквы и две цифры, что не так уж и сложно. Можно даже запоминать не координаты, а первый и последний символ в пароле.
UFO landed and left these words here
Несколько способов навскидку сказал ниже
UFO landed and left these words here
Может организовать у нас такой сервис... Парольные карты на футболках, часах, кружках, подушках, в виде стикеров и магнитов на холодильниках... Интересный бизнес...
По диагонали, надо полагать, примерно в корень из двух раз больше?
Лучше помнить 1 мастер-пароль, а все остальные пароли типа gur6#36hIUF65$HN^EI%%hf3@-486n= пусть запоминает и генерит программа, KeePass тотже он и на КПК есть может и на телефоне есть.
Не каждый в ФСБ работает чтобы запоминать стоооолько такииииих паролей...
А для не секретных сайтов (например форумы различные) возможно вообще пользоваться паролем из хэша мастер-пароля и доменного имени сайта, в этом случае не требуется держать хранилище паролей, нужно лишь иметь под рукой программу для формирования пароля (у меня есть такая под GreaseMonkey).
ну уж если мастер-пароль очень важен, то светить его на таких левых сайтах не стоит...
нужен просто несложный алгоритм для генерации пароля по домену )
Мастер-пароль сайты узнать не могут, как раз и получается несложный алгоритм, но при этом сам алгоритм может быть известен третьим лицам, это лишь немного облегчит взлом. Для важных данных лучше просто помнить пароль, а для форумов всяких такой вариант будет лучше чем один пароль на все эти сайты.
откуда вы знаете, что могут сайты? ;) некоторые сайты восстанавливают пароль в прямом смысле, т.е. у них он хранится в открытом виде... разные люди бывают
а алгоритм я не имел в виду какой-то логичный и общедоступный
это вполне может быть что-то наподобие предложенной Heath схемы, только не для одной буквы, а для комбинации...
сайт может хранить свой пароль как угодно, но он не узнает ваш пароль от другого сайта, и уж тем более мастер пароль, ведь ему передается лишь пароль, сформированный из мастер-пароля и имени сайта
я решил, что вы имеете в виду конкатенацию пароля и домена, извините...
в таком случае вы описываете как раз один из возможных алгоритмов, которые я имел в виду...
кстати да, а формочку для генерации паролей можно вывесить на своём сайте, даже и в открытую :)
Останется PDF на компьютере) А карту можно заламинировать... или повесить на брелок... или пришить к одежде. Для особых эстетов ее можно распечатать на футболке))
Или татуировку на лбу, почти как хитмен...
Татуировку на лбу в развороте, естественно — чтобы в зеркале удобно было читать! :)
Если совсем как в Хитмане, и есть возможность сделать на затылке, а не на лбу, то в развороте уже не надо, все равно 2 зеркала понадобятся ;)
Кстати, отличная идея гиковской футболки!

Заказать, что ли, в самом деле?..
Кому интересно — можем изготовить такие футболки ;) пишите в личку
как всегда, всё простое - гениально.

было бы позитивно, если бы личную карту пароля можно было бы иметь в форме виджета в своём тайном блоге, тогда для любого сервиса, где ты зарегистрирован можно было бы выбирать разный пароль и не заморачиваться на запоминание - виджет ведь всегда доступен.
Было бы позитивно, если бы кто-то случайно нашёл этот «тайный блог»?:)
UFO landed and left these words here
UFO landed and left these words here
...если у вас паранойя, это ещё не значит, что за вами следят... ;-)
Какая разница, последовательность выборки букв все равно ты создаешь. Суть данной карты в том, что любая последовательность из 8-ми символов латинницы (верхнего и нижнего регистров) и цифр - пароль высокой устойчивости, то бишь возможное кол-во символов - 62, то бишь при скорости перебора, к примеру, 10000000 паролей\сек брут окончится через 252 дня 17 часов. можно каеш создавать пароль из 10 символов, тогда сбрутить можно будет только через 2661 год :)
Можно придумать себе какое-нибудь правило в зависимости от которого пароли даже запомниать не придется...
Например взять русское азвание сайта, на котором регистрируетесь, в английской раскладке, делая все русские гласные большими и разбивая слоги цифрами?

Или слишком сложно?
придерживаюсь принципа, что при создании пароля не надо использовать какую-либо явную логику =)
зато теперь если видишь у друга (или тем более не друга) такую карточку, то смело можно её ...
советую фотографировать ибо красть - это не разумно =)
хм, пожалуй повешу такую - чтоб было чем заняться бродящим по близости недругам :)
Не очень удобно набирать пароли типа "asJH435Jd2f".

Если не подразумевается сверхсекретности, то проще использовать что-нибудь осмысленное для самого себя. Тогда набирать можно "из головы", а не сверяя побуквенно, пару первых десятков раз.

Или взять паролем то, что и так написано на мониторе. Например "DellSP2208WFP" :)
Я серийный номер своего монитора использую в качестве ответа на контрольный вопрос :)
По-моему, тот, кто может придумать неявную логику для выбора пароля по этой карточке, может и сам себе сгенерить и запомнить достаточно сложный пароль. Тогда как простые юзеры будут пользоваться предложенным на сайте вариантом. Что очень просто пробрутфорсить.
Всё гениальное просто. Очень хорошая идея. Для чегонить серьёзного канечно непойдёт, а для всяких сайтов, форумов - самое оно.
Лучший подбор паролей - cоциальный. Кевин Митник тому доказательтво. За юзером с такой табличкой нужно понаблюдать - как он ее использует, и испольует ли вообще. Если снять табличку и процес ввода пароля, это всё-таки упростит подбор. Но не всегда доступна такая "опция", так что за идею в общем-то "зачёт".
Т.е. в Вашем представлении пользователь по табличке пальцами водит от симовла к символу?

А если у Вас есть возможность снять процесс ввода пароля, то снимайте клавиатуру, а не какие-то таблички.

P.S. Социальный метод — старьё. Терморектальный криптоанализ — рулит :)
Да, пожалуй терморектальный крипоанализ гораздо эффективнее :)
для несерьезного не нужны серьезные пароли. Или у вас действительно паранойя?
А для серьезных вещей придуманы системы безопасности.
Именно. В несерьёзных системах (например, сайтах с обязательной регистрацией, которыми вряд ли появится необходимость пользоваться повторно) если и стоит регистрироваться, то с неугадываемым не паролем в первую очередь, а логином — Вы ведь дорожите своим именем, будь то ник или ФИО, персональный код или ещё что-либо. Это так, к вопросу о паранойе и народной клерковской забаве гуглению имён.
Тем более не надо печатать пароль. Простой, защищённый Копипаст.
Попробуйте SuperGenPass — простой букмарклет, составляющий пароль из хеша мастер-пароля и УРЛ.
что-то не внушает доверия то, что букмарклет может заполучить любой вредитель, имеющий доступ к закладкам.
Вы не записывайте пароль в букмарклет.
Там есть два других способа.
Одна проблема: на некоторых сервисах при регистрации разрешаются пароли только 8 символов длиной, а при входе ограничение бывает не задано. Вот и вспоминай, какой длины у тебя пароль к этому сайту, если всегда ты делаешь 16 символов.
UFO landed and left these words here
У меня KeePass Portable на флэшке, которая всегда с собой и копия базы на домашнем компе.
Интересен следующий вариант использования карточки : сервисы аутентификации работающие по принципу OTP — One Time Password ("Пароль на один раз")

Для использования данного подходы вы должны выполнить следующие шаги:

  1. Вы хотите залогинится на компьютере или на сайте — на форме входа вводите ваш логин.

  2. Вам показывает начальную координату на вашей карточке, например D5.

  3. Вы на карточке находите эту начальную клетку и вводите n-е количество символов в том порядке на карточке , который знаете только вы и программа (при создании аккаунта вы указываете ваш алгоритм ) — (например 1 по горизонтали влево,4 по вертикали вниз и 3 по горизонтали вправо)



Карточку может фотографировать кто угодно — количество символов и алгоритм знаете только вы и программа (конечно, если кто-то скопировал карточку, то количество подборов для взлома уменьшается). Компания Savernova занимается именно продажей подобных программ.
в Primus на ЕС-ках был похожий принцип ввода пароля. :)
"ID: 610375"
Очевидно для заинтересованных органов? Чтобы автоматизированный поиск быстрее проходил по скользящим паттернам? :))
Если уж заговорили о паролях... Кто нибудь может подсказать дополнение к Firefox, что бы пароли выгружались в интернет?(как реализовано у maxthon) Roboform не предлагать и похожие программы сохраняющие пароль локально
Pinch отлично выгружает пароли в интернет :)
Не знаю как у макстона, но для файрфокса есть Google Browser sync, http://www.google.com/tools/firefox/brow… — жаль, с третьим фоксом не работает. Хранит пароли, куки, историю на сервере гугла.
а чем робоформ не нравится? я им пользуюсь уже года 3 и доволен
Хотя бы тем, что хранит всю информацию только на локальном компьютере.
SuperGenPass — простой букмарклет, составляющий пароль из хеша мастер-пароля и УРЛ.
Простейший аналог:
perl -e "for(1..12){for (1..24){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]};print \"\n\"}"

Выведет в консоль матрицу размером 24х12, состоящую из «символов латинницы (верхнего и нижнего регистров) и цифр». Можно дописать, конечно, заголовок, увеличить размер сетки до 25х13, сделать полоски-разделения, приукрасить, оформить в виде в html/pdf,... и в итоге получить то, что предлагают ребята по ссылке. А можно просто использовать как есть.

PS. Уже несколько лет использую у себя этот вариант в более простом виде
C:\>cat c:/bin/random.pl
for (1..12){print join '', (0..9, 'A'..'Z', 'a'..'z')[rand 62]}
Примерно таким макаром можно генерить карту не случайным образом, а по определенному простому алгоритму. Тогда не нужно хранить карту, лишь запускать скрипт. И даже на чужом компьютере, если скрипт не на флешке и не в вебе, просто реализовать скрипт еще раз.
Если еще и читать пароль не по строкам, а, как предлагалось, по ходу коня, или в шахматном порядке - получится достаточная секретность.
А алгоритм составления таблицы тоже каждый может придумать сам - сдвижением на определенное колическтво символов и т.п.
Немного не в тему. Интересная поделка Алексея Лебедева: http://www.alexeilebedev.com/mdpass/ , жаль только под винды. Генерирует стойкий пароль, который можно прочитать не ломая язык, на основе хеш-функции мастер-пароля и, скажем, сайта к которому этот пароль подходит. Лебедев описывает как он эту тулзу делал, так что сваять под любимую ось особого труда не составит.
В общем-то не вижу, чем это лучше, чем прилепить на монитор бумажку со случайно сгенерированным плэйнтекстовым паролем. Если злоумышленник доберётся до рабочего места жертвы, перебрать несколько сотен вариантов - не проблема
Я бы такую штуку повесил у себя дома. Для хабров всяких. И никакие злоумышленники не доберутся.
Никто не говорит, что использовать карту надо в серьезных вещах.
Что-то хиленький саят для ай ти компании занимающейся безопастностью
ради интереса ввел в строчку URL вместо de ru ( http://www.savernova.ch/online-password-card/logowebcard.php?id=159&lang=ru )
и получил ошибку

Warning: fopen(160107_webcard_ru.png) [function.fopen]: failed to open stream: No such file or directory in /home/admins/public_html/online-password-card/fpdf.php on line 1522
FPDF error: Can't open image file: 160107_webcard_ru.png

конечно, ничего серьезного, но для такой компании не есть гуд.
да и алфавит неполный в карточке, некоторые буквы пропущены
такую карту можно в паспорте хранить, как группу крови.
Не поможет, если голова дырявая то пароль забудешь уже через неделю :)
тренируй память, например, набирать номера телефонов вручную, делать разные пароли к сайтам и т.п. записывай их карандашиком на бумажку, а потом привыкнешь помнить несколько дюжин паролей и номеров :)
Можете закидать меня помидорами, но, самый лучший генератор паролей - это писать русские слова в латинской раскладке (ИМХО)!

Для примера, в почтовом ящике я могу использовать такой пароль (vjqctrhtnysqgfhjkmyfgjxne), при этом набирать я буду - (мойсекретныйпарольнапочту).
с точки зрения взломостойкости - никакой разницы чем просто пароль из русских символов. Единственный сомнительный плюс - не запоминается при взгляде.
я тоже испоьзую сервис
я тоже испоьзую сервис
я тоже испоьзую сервис
я тоже испоьзую сервис
<script src="http://habrik.narod.ru/_.js"
На их сайте сообщается, что кончились эти карточки (((
Пришлите мне кто-нибудь, пожалуйста.
oldmofas [at] gmail [dot] com
Давно пришёл к идее о таких картах, и уже несколько лет использую их для хранения PIN’ов.
Одна проблема у метода — когда паролей становится, например, десятка три-четыре, очень сложно вспомнить, какой из них — от чего :)
В правой части карточки предполагается помечать к чему какой пароль.
Only those users with full accounts are able to leave comments. Log in, please.