Pull to refresh
Comments 70
Я думал Григорий Остер умер уже давно. Ан нет. На хабре вот зарегался и строчит следующий том.
Его кстати не первый раз на моей памяти на хабре хоронят. Возможно это всегда mr_tron, который не читает ответные комментарии))
лютый бред. человек никогда не оказывался в лесу/на пляже при необходимости продиктовать пароль коллеге.

Диктовать пароль коллеге — лютый кошмар любого специалиста по информационной безопасности. Если вы с этим столкнулись, значит где-то что-то работает не так как должно.


Тем более, если речь идёт о своём личном пароле. Я свой пароль вообще никому не говорю. Даже своей девушке. Если что-то нужно расширить, есть нормальные способы.

Лучший способ создавать пароли был в своё время на xkcd: несколько слов с разделителями как основа (запомнить 20 случайных символов или 5 слов разделённых точкой) + соль для каждого сайта.

Слова из какой-нибудь песни транслитом.
Как-то понадобилось поделиться с паролем и как назло слова были из такой песни, со всякой расчлененкой, волосатое всякое, так обозвали извращенцем и спросили, что у меня в голове твориться, чтоб выдумать такое.

Только одна проблема — таким способом мы сдаём все наши доступы Гуглу/Яббл/MS, хотя у них доступы и так есть, и без паролей ) но с менеджерами паролей — наверняка есть

Кивните если Гугл держит вас в рабстве, а если серьезно, то ничего вам не мешает поднять на собственном сервере self hosted менеджер паролей

Как минимум для доступа к сайтам не только с домашнего ПК, но и с рабочего. И со смартфона. А у кого-то устройств еще больше.

P2P синхронизация данных между различными девайсами работает часто так себе, особенно если ни у одного из них нет постоянного белого IP, а если есть...

чтобы иметь доступ к паролям с:
— компьютер
— ноутбук
— телефон
— планшет
— вторая операционная система (в моем случае это винда)

Стандартные браузерные менеджеры паролей слишком небезопасны. Если у человека есть пароль от учётной записи в системе, получает доступ вообще ко всем вашим паролям. А если учётка не запаролена, то пароли остаются вообще без какой-либо защиты.

Стандартные браузерные менеджеры паролей слишком небезопасны. Если у человека есть пароль от учётной записи в системе

Даже если установлен «мастер пароль» в браузере?
Или лучше keepass с вагоном совестимых клиентов для linux/mac/win/ios/android и синхронизацией через какойнибудь dropbox кучей плюшек типа TOTP, notes/custom fields и тд
А еще лучше keepassxc с хорошей интеграцией web браузеров

Вот только работают они часто так себе, особенно если сайт им активно противодействует. Ну и кроме сайтов есть ещё много мест, куда пароли нужно вводить.

А мне понравилось. И оригинально и стиль хороший и как учебный материал. -)
А насчет коллеги ( Tortortor ), так всё в 90% случаях и утекает через коллег: вы доверили ему, он передоверил другому и пошло-поехало.

в реальности полезнее иметь 1(одну) штуку хранилки паролей и запомнить 1(один) правильный серьёзный пароль для неё. А пароли для разных мест генерить длинные красивые в хранилке и хранить там же. Хранилку можно держать и в телефоне, и на десктопе, а файл паролей — в облаке.
При этом, если паранойя не отпускает, хранилке заблокировать доступ в инет (и не обновлять версии, пока не станет известно о её компрометации), а файл паролей назвать как-нибудь невинно.

На бытовом уровне — сгодится. А предложенный способ пригоден только умозрительно, без практики. На практике же оказывается, что всяких мелких мест, куда надо всё же заходить с паролем, 100500, и на всех делать пароли по предложенным рецептам, мягко говоря, утомительно.
Я так пробовал много лет назад — не прижилось совершенно.
Для некритичных паролей вполне хватает браузера — я Вивальди пользуюсь — там и генератор и запоминалка, у меня везде все пароли разные.

В Германии бундесминистерство рекомендует вот такой путь:
делается вот такая полоска:

и запоминается ключевое слово (Schaukel — это качели по-немецки), которое трансформируется в пароль вот так:

Ключевых слов может быть и несколько, либо имя сайта использовать — тут уж по вкусу.
Четыре стартовых символа нужны, чтобы в пароле были все виды символов.
Недостатки ограниченного набора с точки зрения подбора понятны, но всяко лучше, чем «12345».

А на работе у меня злобный админ заставляет менять пароль раз в квартал, причём символы в новом пароле не должны стоять на тех же местах, что и в старом, последние сколько-то паролей не должны повторяться, ну и куча других правил до кучи.
В качестве противоядия я запомнил удобную компактную комбинацию на клавиатуре и раз в квартал сдвигаюсь на одну клавишу вправо. Ну то есть, скажем начальный пароль «ESQ13cxa»2", затем будет «RDW24vc§3», потом «TFE35bv$4» и так далее. Набирается одной левой рукой с периодическим зажатием шифта. После достижения правой границы клавиатуры всё сначала. Пользуюсь уже лет десять, наверное. При этом если вы попросите меня его написать, я это так запросто и не сделаю, поскольку тут просто моторика — рука сама помнит комбинацию, а в голове этих символов нет — мне нужно помнить только первую букву, которую в случае прогрессирующего склероза вполне можно повесить на липучке перед глазами. Плюс и в том, что я набираю эту комбинацию очень быстро, так что могу делать на виду у кого угодно. Единственная проблема — после долгого отпуска (ну или с бодуна) руки могут вспомнить движения с трудом.
UFO landed and left these words here
Менять один символ я само собой пробовал — не сработало, пишет «ваш новый пароль ну очень похож на старый, не покатит, все старые символы должны быть заменены». Как там «похожесть» вычисляется — прямым хранением, хитрым хешем или расстоянием левенштейна— я хз и не стал глубоко экспериментировать, да и админа я в лицо никогда не видел, он где-то в одной очень жаркой стране территориально находится. Теоретически сравнение можно ведь и на стороне клиента сделать — ведь в форме смены пароля мне надо и старый и новый ввести.

Не факт. Можно в новом пароле пробрутфорсить 1000 вариантов при создании (займет доли секунды) и сравнить хэши со старым хешом (или старыми хешами, если за несколько периодов).


Что, впрочем, ни разу не извиняет дикие требования — я б трехнулся так пароль менять. Уверен что у пол компании пароли записаны на бумажке под клавой, у второй половины в заметке в телефоне, и ещё часть постоянно теребит саппорт с просьбой сбросить им пароль на дефолтный (и есть гипотеза что социнженерия на такой сброс может весьма недурно сработать).

Да, так и есть. На смену при этом даётся две недели, так что если я в отпуске, то это дело протухает и я вообще никуда войти не могу. Ну а для сброса там надо ответить на три-четыре заранее введённых вопроса (ну типа — любимая марка машины, кличка собаки и т.д.). Да, эти вопросы и ответы у меня где-то на бумажке записаны, как и у всех, потому что много лет назад в качестве любимой марки набрал слово «Запорожец» латинскими буквами — а там несколько вариантов транскрипции. В общем прилетает временный пароль, который надо в течение короткого времени сменить на свой, пройдя по спец ссылке, как-то так.
Вообще работа в большой корпорации — это поле чудес. Скажем, у меня корпоративный ноут никак не цеплялся к одной из точек доступа в одной из переговорок — всегда отлуп в доступе отказано. Я пошёл к местному эникейщику, что б он логи глянул, но он сказал, что у него вообще ни к чему доступа нет, так что я должен открыть тикет, чтобы админ из одной очень жаркой страны залогинился удалённо и настроил (и он это таки сделал, только заняло это почти две недели).

Я тоже из больших компаний, так что немного знакомо. Хотя до такого зашквара у нас не доходит — это прям ну совсем пипец. Удивительно ещё что тот админ всего за две недели решил вопрос, если уж так получилось что все на него завязаны то он по идее вообще должен быть на год вперёд завален работой...

Он далеко не единственный — там очень много админов, ещё больший пул техподдержки первой линии, и тикеты проходят много стадий, всё как у всех.
Обычно рекомендуется ответы на секретные вопросы создавать алогичными например марка автомобиля Владимир Ильич Ленин, кличка любимой собаки 488194619 ну и так далее

Админ просто настроил политику паролей в домене, ничего в открытом виде он не хранит.

Такая самодеятельность поехавшего сисадмина сделает только хуже. Люди начнут хранить пароли на листочках под клавиатурой.

Они так и делают, на совещаниях каждый второй достаёт смартфон и набирает пароль, глядя туда. А делать это приходится несколько раз, поскольку корпоративный ноут через пять минут неактивности залочивается и пароль надо снова вводить (и это тоже корпоративная политика и неотключаемо). Тут в качестве противоядия я поставил Caffeine, который раз в минуту жамкает F15, а один из коллег сказал что это несекьюрно, поэтому он притащил из цеха списанный USB сканер штрих кодов (который как клавиатура работает), печатает пароль в виде штрихкода и клеит бумажку на обратную сторону своего бейджика, откуда и сканирует время от времени. Ну да, так и живём.
К сожалению это не самодеятельность, и не сисадмина. Этому походу учат менеджеров на каких-то «продвинутых» курсах. Во многих больших корпорациях все именно так, ну или очень близко к тому…
И брутфорсом некоторые тоже балуются. Однажды (лет 10 назад) в одной крупной компании за 2 недели забрутфорсили мой довольно слабый пароль и попросили поменять.
Именно так, дело и происходит в одной большой корпорации, отпочковавшейся от одной ну очень большой корпорации. Вообще это всё просто нельзя воспринимать серьёзно, надо просто принять правила игры, ибо изменить их нереально. Некоторые плюют и уходят. В общем как и везде — и в больших корпорациях и в маленьких компаниях есть свои плюсы и минусы, просто они распределены чуть по-разному.
Я обычно борюсь с этим так — когда необходимо поменять пароль, меняю его 15 раз подряд на что угодно (если нельзя повторять 15 паролей) а в 16 раз использую старый. В итоге у меня пароль на работе всегда один и тот же.

У нормального админа в политиках стоит "Минимальный срок действия пароля" установленный, например, в 1 день или больше, так что смена 15 паролей равна по длительности 15 х (значение этого поля)

Да, бывает и такое — иногда лечится флешмобем «я поменял пароль и сразу его забыл». После n-го человека с этой «проблемой» могут и выключить эту политику.

Т.е. если я установил новый пароль и скомпрометировал его, мне надо ждать день, чтобы его поменять?

У нормального админа в политиках стоит "Порог блокировки учетной записи" — Неудачных попыток входа: X и "Время до сброса счетчика блокировки". По PCI DSS — X=5, а время — бесконечности. По умолчанию — не помню. Вы же говорите про домен и Active Directory? Так наберите неправильный пароль X раз в Вашем случае, эккаунт заблокируется и будет время для связи с сисадмином

После третьего непопадания в требования к паролям, я обычно ставлю что-то вроде «Админ=редиска100%» разной степени цензурности. И под требования попадает и на душе полегче и запомнить не сложно

У нас политика такая же дикая. И сравнительно недавно сделали авторазблокировку через полчаса. А так три раза ошибся и иди на поклон своему руководителю на согласование сброса пароля.


А метод смены у меня аналогично по мышечной памяти и смене двух произвольных знаков. Меньше не хочет. Это наверное мелкософты сделали такую политику.

Легче строчку-две из любимой песни запомнить, чем набирать тарабарщину, которую при необходимости без таблицы не вспомнишь

всё так. Но нужно понимать, что сам факт базовой осмысленности фразы (и факт транслитерации) довольно сильно просаживают надёжность такого пароля. Подбиралки паролей про такие приёмы «знают», и это сужает пространство перебора.

Но есть и менее очевидные способы: использовать номера своих прошлых автомобилей (автомобилисты почему-то их хорошо помнят), трек-код зафиксированного заказа в инет-магазине (удобно тем, что всегда можно зайти браузером и скопировать) и так далее.

Номер автомобиля мало того, что просто короткий, абсолютно шаблонный, имеет очень ограниченный набор символов, так ещё и через базы пробивается, хуже не придумаешь.
Трек-код, в целом, такой же. И откуда вы его хотите копировать-вставить на экране входа в систему?


Чем подобные варианты лучше 20-30 символов которым грозит лишь утечка, да прямой перебор? Конечно это уступает случайному набору символов в надёжности, но на голову проще в запоминании и использовании

очень ограниченный набор символов, так ещё и через базы пробивается, хуже не придумаешь.
Я не зря написал и подчеркнул слово «прошлых». У многих автомобилистов в истории несколько автомобилей, номера которых — помнятся, не вытравишь. Из двух номеров уже получается достаточно длинный пароль и с буквами, и с цифрами. То, что это именно номера — нужно ещё догадаться, а по базе пробивать автомобиль, проданный 15 лет назад — ха :-)
Чем подобные варианты лучше
Тем, что ничего дополнительного запоминать не нужно.

Но, замечу — это всё плохо, на самом деле. Действительно удобный на бытовом уровне способ другой, я описал его в комменте выше.
Поражаюсь критикам. Так, вы пожете пароли забывать, менеджеры паролей могут и ОС летать.
Сказано же ведь как лучше хранить.

С 2012 года использую KeePass, база паролей лежит в OneDrive. И почему-то ничего не слетело...

«Пользуюсь таблицами с 1990 года и никуда ничего не слетело»
Для защиты от этой ситуации служат сервисы для генерации парольных карточек. Например, вот: www.passwordcard.org
Достаточно один раз запомнить или записать число, и по этому числу можно будет восстановить и заново распечатать парольную карточку.
Я делаю проще, беру какое нибудь любимое стихотворение, которое я знаю наизусть, беру первые буквы каждого слова, 10 штук достаточно, добавляю 1-2 спецсимволов в начало, 1 после пятой буквы, и 1-2 в конце. Получается довольно просто запомнить, но пароль довольно сильный…

Теперь когда алгоритм всем известен — ваши пароли легко сбрутфорсить

Сложно… Стихотворений много, использоваться может не первая строфа. Тут социнженерия нужна типа какое стихотворение твоё любимое. А может там и песня… А может не любимое используется, а ассоциируемое с компьютерами и/или безопасностью. Или вообще специально выученный отрывок

Ну вот, если попробовать что-то совсем тривильное:
В лесу родилась ёлочка,
В лесу она росла,
Зимой и летом стройная,
Зелёная была.

Получается в латинской раскладке: dkhtdkjhpbkcp,
Добавляем символы: $@dkhtd%kjhpbkcp,^&
Ну вот это уже врятли сбрутфорсить получится, а этих стихов я знаю сотню наверное. А можно выучить что-то особенное. :)
Я вот сижу и думаю, как со всеми этими методами сгенерировать те несколько сотен уникальных паролей, что лежат у меня в менеджере? То есть как сгенерировать понятно, а вот как вспомнить какую фигуру или набор букв из стишка я выбрал 3 года назад при регистрации… Вот это проблема :)

Запишите стишок или фигуру в менеджер паролей )

Я уже представил как вбиваю такой пароль на экранной клавиатуре телефона. Представил с содраганием. Для хранения паролей придумали уйму разных решений, то что представлено в статье — одно из самых неудобных в повседневной жизни. На мой взгляд. Единственное, что может хоть как-то оправдать это «хранить у всех на виду», то есть некая стенография.
У меня возле компьютера лежит книга «Психологические типы» Карла Юнга. В ней, между определёнными страницами есть закладка, на закладке цифры и две буквы. Эта же книга есть в оцифрованном виде с закладкой на той же странице и отдельным файлом в котором те же цифры и две буквы как на бумажной закладке.
А ещё, я всегда с собой ношу «шар №8» и цитирую Кафку.
Я помню госномера моих 4-х предыдущих автомобилей, и если учитывать что в госномерах не бывает букв которых нет в латинице, то и составил свой сложный пароль из ряда этих номеров.

Прием любопытный, но только если использовать для входа в комп или смарт, мастер-пароль. А не на все подряд сервисы. Типа этого я использую цифровую клаву + на буквенной — для каждой свой шаблон.

Я использую такой же принцип для пин-кода уже давно. Идея в том, что если не знать свой собственный пин-код — то ему сложнее утечь. А на самой карте, на случай её утери, маркером записан неправильный пинкод.
Полезная статья! Спасибо) Попробую. Чисто для дома нужно. Или таблицу в телефоне заведу. Я обычно пароли создаю сложные, смесь разных букв строчных и нет, разных символов и цифр и все вперемешку, объемом до 15 символов. Считаю, что лучший пароль, тот который ты придумал и сам не знаешь какой) все-равно автоматический везде вход
меняю переодически, когда выхожу с др.компа, редко, но тогда восстанавливаю пароль, создаю новый, куда-то записываю и потом снова не могу найти, а оно и не надо, т.к. страницы везде открытые. Вот, самый реально работающий способ и надежный. Уже больше год практикую. Меняю пароль раз в пару месяцев +- 1-2 месяца. И все ок:) Но, у Вас в таблице harder символы, чем у меня и это скорее сработает на 1000 и 1 процент;) Сспасибо за статью, было интересно и полезно.
Лет десять уже подобным образом храню пароли. Сперва была кружка, потом сделал брелоки, даже дарил их друзьям. Горел идеей даже реализовать моб.приложение, но потом успокоился. В целом, метод не плох, но не удобен. Всё равно, все пользуются одним паролем. Это надо насильно себя приучать к такому использованию.

image
image
Only those users with full accounts are able to leave comments. Log in, please.