Комментарии 96
Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома

Такой пароль даже не пытается тебя ни от чего спасти. Чем это — лучше просто взять какой стих и пароль составить по первым буквам слов, четверостиший или еще чего, и то надежнее будет, заметно менее предсказуемо
Пароль, содержащий в себе цифры, буквы и символы значительно усложняет подбор. А формируя его по такой формуле, ты значительно упрощаешь себе процесс запоминания, попутно делая пароль УНИКАЛЬНЫМ для каждого сайта. Составив нечитаемый пароль по первым буквам чего угодно ты не решишь ни первую, ни вторую проблему и тем более не сделаешь его надежнее.
Пароль, созданный описанным в посте способом, вообще не спасет от банальнейшего взлома со словарем (ну да, несколько усложненного, но готовые решения уже давно существуют). Замена слова на первые буквы чего-либо избавит нас хотя бы от этого способа. И даже так, это никак не делает ваш пароль уникальным для каждого сайта, это всего лишь формула из нескольких частей. Если ваш пароль утечет куда-либо или угадают хотя бы один — то любой ваш пароль уникальный пароль перестанет таковым быть
image
Я не спорю, что такой пароль невозможно взломать. Формулу ты можешь усовершенствовать по вкусу. Пожалуй изложенный тут метод отличается от большинства уже опубликованных лишь тем, что я советую в свои пароли вставлять частичку названия сайта где ты регистрируешься.

Сомневаюсь, что среднестатистический юзер ПК будет использовать наборы букв лесенкой с цифрами и символами в перемешку. Пусть это и усилит их безопасность. А такой вариант — компромисс.

Пожалуй изложенный тут метод отличается от большинства уже опубликованных лишь тем, что я советую в свои пароли вставлять частичку названия сайта где ты регистрируешься.

Об этом способе я узнал лет 5-6 назад, уверен, что он намного старше. Проблема в том, что практически любая формула пароля известна взломщикам и криптоустойчивости они добавляют чуть больше, чем нисколько

Формула-то известна, но если она достаточно сложна, а вводные достаточно нетривиальны, то фиг кто что взломает.


Фактически, что требуется хорошему паролю:


  • Длина, чтоб простым перебором не взломали. Ну меньше 8 символов сейчас обычно и не разрешают делать. А лучше 10 и больше.
  • Несловарность и нетривиальность, чтоб не взломали по словарю.
  • Лёгкость запоминания — случайный набор символов не подойдёт.
  • Разные пароли на разные сайты, чтобы взлом одного не помог автоматически взломать все остальные разом.

Исходя из этого думаем:


  • Базовое слово должно быть нетривиальным. Например (латиницей): XpeHBaMAHe. Вряд ли словари для брутфорса знают что-то подобное :)
  • Цифры и спецсимволы можно добавить с любой стороны, это чисто техническое и для балласта.
  • Ну и название сайта в пароле, делающее его разным и не позволяющее автопарсить.
    Итого, например: 6739_XpeHBaMAHeGoogle Конечно, по итогам взлома вручную можно догадаться, какой будет пароль от Яндекса, но 1) сначала его надо взломать, а это отнюдь не тривиально, разве что базу данных сольют, 2) без ручного осмотра и догадки, то есть автоматом, не взломаешь и посторонние сервисы, а при сливах баз данных это невозможно, их там тысячи.
Ага, придумываешь формулу пароля, думаешь — ну круто, самый умный, используешь эту формулу везде, где только можно, и получается, на каждом сайте почти уникальный пароль, а потом обнаруживаешь свой «уникальный» пароль среди миллионов утекших с одного известного почтового сайта, и понимаешь, что любой дурак теперь знает твою формулу, и надо теперь всё менять, а уже и сам не помнишь, где, когда и при каких обстоятельствах сам применял эту формулу генерации пароля. Вот тут-то самая засада…
Вы думаете подобрать по словарю «Pianino?YAN12» проще чем «correcthorsebatterystaple»?
Ага. Ну почти. Тут же мемас, в мемасе упрощенный пример. Но такой подход используется, например, в криптовалютах. Почитайте про BIP39, если интересно. Так, на подбор ключа, представленного в виде всего 12 слов из 2048-словарного словаря (масло маслянное..) всеми современными мощностями, уйдет, емнип, около 40 лет.

А если ключ представлен в виде 24 слов, то количество комбинаций превышает количество атомов во вселенной. То есть, буквально, каждому атому во вселенной можно присвоить личную подпись и еще неиспользованный пул вариантов останется. Вдумайтесь.

Всего 24 слова, ограниченных всего 2048 вариантами каждое…

Примерно одинаково и выйдет. Что тут у нас? Словарное слово (6000-10000 вариантов), символ (64), кусок слова зависимый от сайта (пусть переберём от нуля до 10 букв домена, каждый в 2-3 вариантах UPPER, lower, Camel итого 30 вариантов), число (год? 1-100 с большей вероятностью текущего года и листаем в обратную сторону). Итого 1 152 000 000 вариантов.


correcthorsebatterystaple — стандартный словарь diceware 7 776 слов (есть другие словари, и словари длиннее, но представим, что мы знаем какой словарь использовался при составлении пароля). Итого 7 776^4= 3 656 158 440 062 976 вариантов. Позволим себе вольность и добавим между словами какой-нибудь символ — пробел, точку, дефис или другой спецсимвол или цифру для удовлетворения требованиям сложности, 40 вариантов, итого 146 246 337 602 519 040.


Пусть мы будем щедры и дадим методу генерации небольшую фору — компоненты можно размещать в любом порядке (4!=120), словарь по-больше (30к слов), первая или вторая или последняя буква может быть большой или любое их сочетание (8 вариантов), число в диапазоне 0-9999, получается 552 960 000 000 000, ещё где-то надо фактор 1000 добить, пусть у нас заранее неизвестно какой "формулой" пользовался пользователь при составлении (но тут надо понимать, что фантазия людей обладает очень низкой случайностью, тут прям к гадалке не ходи, перебрать варианты генерации которые придут обычному человеку в голову — гораздо быстрее, чем этому самому человеку кажется).

Начинание отличное. Будет здорово, если не забросите.
Наверное, для большей ясности стоит уточнить, что использовать одинаковые пароли на нескольких сервисах не безопасно, хотя и удобно. А уже из такого утверждения вывести на необходимость создания уникальных паролей, рассказав как это сделать не теряя удобства и сохраняя относительную безопасность.
И да, а почему слон?
Спасибо за поддержку ) обязательно продолжу.

Слон — потому что он сильный, большой и умный.
От себя добавлю, что я использую еще градацию сложности пароля, в зависимости от сервиса. Так например самый жестокий пароль от ЭЦП в налоговой, а самый простой для ЛК ЖКХ, где максимум что мне грозит — это злоумышленник оплатит мои долги.
В детстве я ОЧЕНЬ часто переустанавливал 98 винду. Приходилось часто вводить серийник и я выучил его наизусть. В последствии, создавал пароли разной длинны меняя блоки местами, добавляя или удаляя их. Иногда на цифрах нажимаю шифт и получается символ. Год назад проводил процедуру смены своего «базового» серийника. Раньше категоризировал сайты по типам (развлечения, работа и т.д.), теперь же добавил вероятность утечки пароля на всяких форумах, так что использую на таких сайтах части из старого серийника. Средний пароль у меня 128 бит.
Увидев один такой пароль — немедленно взломают все, это не сильно лучше тупо одного пароля везде. Можно попробовать спрятать «соль» — константную часть пароля — за хешированием. Вариант «берем sha256(concat(login+domain+SALT))» кажется куда менее взламываемым. Хеш интерпретируем как ascii, возможно придется подумать еще и о том как гарантировать наличие спецсимвола (ну вдруг их отсутствие в выхлопе из sha256 не позволит такой пароль использовать), но это решаемо заменой например первого байта на спецсимвол из словаря типа "!@#$%^&*(", номер которого в словаре равен перый байт%длинна словаря, ну и аналогично для обеспечения большой буквы и цифры. Вот тогда получаем пароль который легко запомнить(помнить надо только соль), при этом не настолько простой для злоумышленника(для вытаскивания вашей соли придется ломать хеш). Правда, придется всегда таскать за собой sha256, но это так себе проблема — сайтов считающих его полно, если паранойя не позволяет — приложение на телефоне без доступа в сеть/консоль на ПК.
это точно не для бытового применения)

и непонятно «Увидев один такой пароль — немедленно взломают все» — как ОНИ поймут, что все остальные с такой формулой? На что им может намекнуть пароль SOBAKAYAN2020? Может у меня имя Ян ) Это надо сильно заморочиться, провести аналитику и явно задаться целью взломать конкретного человека, чтобы вычислить что в таком пароле YAN — это первые три символа сайта.
Для бытового применения способ, описанный в посте избыточен.
На что им может намекнуть пароль SOBAKAYAN2020?

логика взломщика будет примерно такая:
— Так, это или армянская собака 2020 года рождения, или YAN как-то связано с тем, что это пароль от яндекс почты. Мне, конечно же, ОЧЕЕЕЕЕНЬ нужен доступ к всем остальным аккаунтам данного гражданина. Так, что тут у нас, тумблр, первый пост от 2018 года.
Password: SOBAKATMB2018
Access is allowed
ну вот у меня другая логика, извини, не подобрал. я бы на тумлере сделал SOBAKATUM2020, цифры не надо привязывать к году регистрации.

В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов. против такого конечно формула никакая не поможет.
ну вот у меня другая логика, извини, не подобрал

О боже, теперь у нас аж ДВА варианта пароля.
SOBAKATUM2020

Стоп, ты пароль каждый год собрался менять? Это только все упрощает.
В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов.

Так от массового подбора спасет вообще любое рандомное слово с нулем на конце

А пароль на Хабр у Вас Elephanthab2019? И взломщик тут подумает, что зовут Вас Habib, думается мне.

Ни разу не подводила моя схема. Берем незабываемую фразу на своем языке и набираем ее на латинице. Пока ни разу не взломали :)))

Пример:
моя любимая фраза из фильма 1956 года! -> vjz k.,bvfz ahfpf bp abkmvf 1956 ujlf!

подбирайте :)
интересно узнать, как ты ее набираешь с телефона где нет двойной раскладки) я отошел от подобного приема с тех пор, как появились сенсорные клавиатуры.
Проблемы нет.
Использую мобильное приложение в которое ввожу свой пароль кириллицей, получаю результат в латинице, а дальше копипаст. Приложение написал на юнити за пол часа (сторонним не доверяю почему-то). Может выложу в сторы и кину линк позже. Тут вопрос доверия к таким прогам…

А если не заморачиваться, то сайт на php с https сделать совсем просто для себя любимого.

Товарищ использует для таких вещей клавиатуру с ру и лат сразу: play.google.com/store/apps/details?id=com.adastrainfo.key2lay

А то что пароль продолжает лежать в буфере не проблема? Я попадал в ситуацию когда в буфере лежало не то что я ожидал.

Проблема даже не в том что это могут прочитать другие приложения. Проблема в том что вместо цитаты или ссылки которую как вам показалось вы скопировали вы можете вставить и на автомате отправить свой пароль.

А на некоторых телефонах клавиатуры хранят целую историю буфера, порой очень длинную. И казалось бы, ты буфер перебил, а не тут-то было.

Правильный менеджер паролей подчищает буфер обмена за собой через некоторое (весьма небольшое) время.
Иногда это даже раздражает (замешкался немного, и в поле ввода пароля вставляется пустая строка), но что поделаешь.

Можно даже функциональные клавиши приделать для консоли, проблем нет совсем.
image

Я отошёл от этой практики, когда мне для перебронирования гостиницы в тае очень срочно был нужен интернет и моя почта на гмейле, а из всего интернета был безумно дохлый и медленный комп на ресепшн какого-то делового хостела, в котором я упросил дать мне на 5 минут им воспользоваться. Русской раскладки нет, само собой, и даже английская не такая как у нас, а сайты где можно было переконвертировать откладывались грузиться (тай, острова, дешёвый хостел).
Я поменял пароль как только добрался до нормального интернета.

Спасибо за историю, тоже в подобных бывал. По этому отказался от подобного.

Частные случаи бывают у всех и разные. Всем всего на всех не хватает. :)
Я поделился своим вариантом — меня он устраивает. Ваш случай тоже учту и обдумаю вариант его решения для себя. Вариант паролей Автора статьи тоже имеет право на жизнь, но мне он неблизок.


На каждый цветной карандаш — свой гурман. :)

Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами через syncthing, потому что тут мы точно знаем, что наши пароли зашифрованы нормальным AES, а не хранятся непонятно где в открытом виде или со слабым хешированием, так что даже утащив базу взломщику придется подбирать хороший пароль, что очень сложно, естественно этот пароль не должен использоваться нигде, кроме как для этой базы. Кому не нужна такая надежность и если кто доверяет например гуглу, то мне кажется и то более надежным создавать для сторонних сайтов случайные пароли (это даже уже браузеры умеют нативно некоторые) и сохранять их в аккаунте того же гугла (или в сервисе, которому доверяем) для автоподстановки. При таком способе практически единственным способом получить все пароли остается только "терморектальный" анализ, но от него не помогут и остальные методы. Даже в крайнем случае утери базы с паролями почти везде есть восстановление доступа, и там более важно защищать даже не хранилище паролей а почту или телефон на который код восстановления будет приходить.

это походит на хранение всех яиц в одной корзине. один раз забыв большой пароль или потеряв его, можно лишиться того чего еще в добавок и сам не знал) плюс это должно быть кроссплатформенным, чтобы не было дискомфорта в использовании на сайтах с ПК и мобильного. А еще одно большое неудобство в том, что не сможешь авторизоваться на гостевых ПК или мобильниках в случае необходимости.

но как вариант — хорош. одобряю, частично сам подобным пользуюсь, но с осторожностью.

В этом плане лично я доверяю в первую очередь своей памяти, ну и тренировать ее тоже надо) а то так совсем разучимся.
один раз забыв большой пароль или потеряв его

А не надо его терять. Нужно иметь его записанным в надежном месте. Можно неявным, но восстановимым образом. Человеческая память — очень ненадежный инструмент.


должно быть кроссплатформенным,

Keepass, Enpass, если порыться — еще можно найти.


не сможешь авторизоваться на гостевых ПК или мобильниках в случае необходимости.

Ничто не мешает достать свой мобильник (кто-то без него ходит еще?) и посмотреть там, а потом вбить руками. Ну и самые часто используемые пароли все равно в голове задерживаются, как правило.


доверяю в первую очередь своей памяти

Не лучшая практика. Может удивить в самое неожиданное время.

у меня пинкод от карты хранится в телефоне как часть номера несуществующего контакта. Пару раз пригождался.
Насчет этих правил вы страдаете фигней.
использщуйте проверенные рещения. Насчет кипаса вам сказали уже. у меня база хранится в телефоне в гугл диске и на компе. мастер пароль на ней сложный и длинный. Упростил себе задачу запоминания слзданием пароля с l33t. Украсть базу можно. расшифровать нет. И не приходится страдать от того что внезапно вылетело из головы правило создания пароля.
А мастер пароль от базы запоминается за пару дней потомучто вводить его придется постоянно пока будете туда забивать все данные

Да, кстати, до того, как перешел на 1password, затем на enpass, как раз так и хранил пинкоды — как часть телефонного номера контактов. Но с менеджерами удобнее, а то с ростом кол-ва карт приходится задумываться, какой там на нее контакт записан… В менеджере все просто, зашел по пальцу, и вот они все в группе "Карты".


А еще неоспоримый плюс менеджеров паролей в том, что они\их плагины их вводят куда надо сами, что особенно удобно на телефонах с их недоклавиатурами.

Воистину.
В наше время, когда у каждого по три тысячи аккаунтов, все эти «как придумать пароль» — зло и только вредят. При росте количества паролей, люди неизбежно начнут их упрощать, ибо наша память не безлимитна.
Единственное верное решение — хранилища паролей. Их много. Есть коммерческие в облаке. Для параноиков есть опен сорс с локальной базой. Придумывай и помни только один пароль, все остальные — через генератор того самого хранилища паролей.
Все.

Проблемы начинаются если пароль на сервисе утёк и его нужно поменять, или если сервис просит раз в какой-то промежуток времени менять пароль

Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO

Взлянул на очень старый список весом около гигабайта (примерно 2012 год), который когда-то скачал с файлообменника. Список вида «сайт — логин — пароль.» Уже в то время эта идея была не новой. Сочетаний «goo» и «mai» в паролях предостаточно.
Все же лучше когда «1 пароль» — «1 сайт». А дабы не париться с запоминаниями — есть KeePass и иже с ним.
Ведь если завладеют одним паролем, составленным по вами указанному методу — то догадаться, что значит «yan» в составе пароля — нетрудно, следовательно можно и для гугля пароль подобрать.
И совсем «ой» — если у человека несколько аккаунтов в почте, например. А это не редкость совсем. И все с одинаковым паролем…
Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

Вот этого делать точно не надо.
Если уж придерживаться такой тактики составления паролей, нужно взять число, которое с тобой никто никогда не будет ассоциировать, поскольку даже не догадывается. Но оно, несомненно, должно быть памятным.
Например, некоторым подойдет сумма, на которую нагрел особо циничным образом когда-то банк, магазин или сотовый оператор. Можно использовать год неприятного, но не связанного с тобой очевидным образом, события.
Кроме того, имеет смысл проводить неявное преобразование слова по какому либо принципу. Например, по клавиатуре обычного телефона (буковки на цифровых клавишах) можно преобразовать слово в число, число в слово, а слово в другое слово. Некоторое разнообразие раскладок букв по цифрам в разных телефонах немного усложняет возможность определить такое преобразование. Со временем преобразование запоминается и не требует постоянно смотреть на кнопочный телефон при наборе пароля.
Также можно использовать фиксированный сдвиг на QWERTY клавиатуре на строку вниз, на колонку вправо или влево.
Преобразование раскладок менее удобно, поскольку на сенсорных клавиатурах смартфонов, как уже было замечено в комментариях, могут возникнуть проблемы.


А так, когда-то баловался подобным способом. Но формула была не одна, чтобы пароли были реально уникальными.
Завязал, когда количество формул превысило разумные пределы.

Со сложными паролями обычные пользователи заморачиваться даже вообще и не хотят. А в большой компании сисадмины очень часто сталкиваются с тем, что пользователи забывают свои пароли (привыкли люди, что браузеры и почтовые клиенты запоминают пароли за них); и приходится каждый раз сбрасывать пароли пользователей или заводить их заново (и заставлять пользователя записать в свой блокнот). А еще хуже, когда пользователи держат свои пароли на виду. В своей госбюджетной организации мы боролись с пользователями, наклеивающими стикеры с паролями на мониторы, и все равно не могли это побороть окончательно: обязательно у кого-то где-то проявится (хотя и стало значительно реже). Кто-то иконки со святыми клеит на монитор, а кто-то — стикеры с паролями и также молится на эти листочки — типа как бы не ошибиться при вводе пароля. Хотя бы листочки клали под клавиатуру, а не вешали на самом видном месте! Представьте себе, например, кабинет бухгалтера, каждый день — куча посетителей (своих сотрудников и извне), а на мониторе бухгалтерши висит стикер со всеми паролями (АД, вход в БД, Интернет, почта, банк-онлайн и т.д.) И не мудрено, что периодически какие-нибудь недохакеры (все пароли-то известны) получают нелегальный доступ к БД и пр. авторизованным сервисам, и отследить такие заходы не так просто. Не так давно зашел к одному начальнику отдела, настраивал ему компьютер, а когда он вышел, взял со стола открыто лежащий листок с паролями сотрудников его отдела и тут же отксерил на его МФУ. Потом разбирался с ними и их начальством; ведь так и любой их др. посетитель мог поступить (в т.ч. просто сфотографировать листок), т.к. посетителей к нему всегда было довольно много.
Мне очень нравится идея использовать пароль, функционально зависящий от открытых статичных параметров сервиса (домен, например) и скрытых параметров. Функция составляется и запоминается единожды и не меняется во времени. О скрытых параметрах скажу ниже. Сам таким пользуюсь в половине случаев.
Из преимуществ:
— легко «вспомнить» пароль к сервису, о существовании которого ты давно забыл
— независимость от сторонних сервисов, программ, баз данных
При этом можно функцию выбрать достаточно нетривиальную, чтоб визуально не была видна шаблонность паролей (как в предложенной в статье схеме), даже если злоумышленник узнает несколько паролей от нескольких сервисов, но при этом достаточно лёгкую в практическом использовании.

Из недостатков:
— разные сервисы выставляют разные ограничения на вид пароля, иногда эти ограничения взаимно исключают друг друга. Например, один сервис требует, чтобы в пароле была хотя бы одна цифра и непечатный небуквенный знак, другой требует, чтобы пароль состоял только из букв латинского алфавита, третий — только из цифр, четвёртый — максимум 8 символов, пятый — минимум 6. Поэтому предложенная в статье схема не универсальна. Единственное решение — скрытые параметры. Например, добавляем некоторое число внутрь пароля, когда условия на пароль допускают наличие цифр, и не добавляем в противном случае. Очевидная проблема — нужно запоминать скрытые параметры. Скрытые параметры — зло, потому что их легко забыть и трудно подобрать, если это что-то сложнее одного-двух булевых флага.
— иногда сервисы или соображения безопасности требуют поменять пароль. Тогда номер пароля или дата смены выступает в качестве скрытого параметра, что тоже очень неудобно. Впрочем, из соображений безопасности лучше использовать специализированное ПО.
— иногда сервисы меняют название, домен или другие параметры, которые считались статичными при создании пароля. Тогда надо вспомнить старые значения этих параметров и, по возможности, поменять пароль. Неудобно.
Предлагаю хабру содержимое статьи с новыми способами пирдумывания паролей заменять на «используйте менеджер паролей с бэкапом в облако и на телефон» и блочить автора.
ПОдобные статьи появляются чуть ли не чаще чем статьи о методах массива в яваскрипте или о возможностях console.log
Зачем так сразу?
Человек поделился с нами своим видением.
Из статьи или из комментариев кто-нибудь да почерпнёт полезное для себя.
Зачем изобретать велосипед? ))
Вот авторское пианино:
Pianino
5K8eLYHXVTjFib16u3So — это гугл
5KF3jTHEuaFEwMazvTQ — это яндекс
лишние последующие символы убрал, чтоб не пугать длиной пароля.

В основе банальный закрытый ключ SHA256. Парольная фраза + адрес сайта. Все пароли уникальны.
прокатит. юзеру механизм не нужен, а вот инструмент есть. можно даже оффлайн пользовать.
www.bitaddress.org
вкладка «умный кошелек»

Такой способ хорош на случай если сайт хранит пароли открыто или попался фишинговый сайт. В таком случае они получат пароль только от одного сайта но не узнают образец по которому формируется данные для генерации пароля.


Для некоторых сайтов нужно кодировать в base64 чтобы были буквы цифры и символы пунктуации.


Но вот вопрос как сделать фишинг не возможным впринципе?

Но вот вопрос как сделать фишинг не возможным впринципе?

Никак. На то он и фишинг.
Фишинг — эксплуатация невнимательности. Решение — патчить пользователя.

Всякие криптобиржи, например, борясь с этой заразой, вешают на входе привлекающие внимание плашки, где пишут, что нужно проверять адресную строку. Один раз юзер увидит ее, второй, третий, и эта мысль, быть может, укоренится. И, быть может, повысится вероятность, что в нужный момент юзер посмотрит туда и убережет себя от слива данных злоумышленникам.
Никак. На то он и фишинг.

Очень даже как, называется U2F — фишинговый сайт может сколько угодно перехватывать токены для авторизации, но толку от них будет ноль, так как они имеют смысл только при правильном сочетании domain — key.

Хорошие принципы заложены, спасибо. Я еще вставляю пробелы, хотя не все сайты разрешают это
Это изначально плохие и вредные принципы. Не занимайтесь ерундой. Используйте менеджер паролей и генерируйте длинные пароли без какой-либо логики.
Это изначально 2 разных подхода. Кому-то впадлу использовать сторонние приложения, например. Для кого-то это сложно изначально. Не гребите всех под одну гребенку.

Ваш менеджер паролей всегда при себе? Что будет если он перестанет работать или просто будет удалён из системы?

Да, всегда с со мной на телефоне.
Я пользуюсь коммерческим приложением, но оно работает и без интернета. Интернет нужен только для синхронизации и проверки лицензии. Как часто нужна проверка лицензия — не знаю, я проверял его работу без интернета только пару дней. Если же на сервера этого менеджера упадёт метеорит, то у меня все равно есть копия базы на нескольких устройствах и ничего не мешает сделать экспорт из неё хоть в текстовый файл.
Это всяко удобнее и безопаснее чем придумывать пароли для десятки сайтов. Ведь метод данной статьи предлагает использовать паттерн. А там, где есть паттерн — там есть и возможность его подобрать. Потому длинный, уникальный рандом — наше все.

Ну вот выше предложили хешировать патерн тем самым скрыв его и хеш использовать как пароль. Так нет зависимости от менеджера паролей.

Да, это тоже вариант.
Только тут два нюанса:


  1. Дополнительное действие для получения пароля. Это нужно сначала в локальную консоль ввести пароль а потом получить из него хеш. Не будете же вы пользоваться левым веб сайтом, передавать туда пароль и получать из него хеш? Это надо делать на локали. Каждый раз, когда нужно ввести пароль. А человек — существо ленивое и рано или поздно это надоест.
  2. Все равно придётся полагаться на свою память и помнить пароли и свои патерны и как мы их применили для конкретного сайта. Что так же не особо удобно.

Серьезно, во всех этих фичах «как легко запомнить сложную информацию» у меня больше проблем вызывает именно вспоминать этот легкий подходит и декодировать им сложную информацию. Мне проще изначально запомнить сложную инфа в ее изначально виде, чем помнить методы ее воспроизведения.
Пример — проще зазубрить цвета радуги, чем воспоминать где сидит фазан.

Телефон может разрядиться, его можно потерять, могут украсть, мастер-пароль можно забыть. Да мало ли может возникнуть проблем? Я несколько раз попадал в ситуацию, когда мне очень срочно нужен пароль, а в менеджер я зайти не могу (по разным причинам). С тех пор в менеджере у меня только неважные пароли, которые могут подождать. Паролей к критическим сайтам у меня несколько разных (да, каюсь, есть и такие, что используются для разных сайтов) но они все у меня в голове, заученные наизусть. Периодически их меняю… Пытался пользоваться способом автора, но не зашло.

В наше время павербанков и наличия по три зарядных устройства у каждого, довольно странно внезапно оказаться с разряженный телефоном. Заряжать телефон это как почистить зубы утром. Часть ежедневной гигиены.
Тяжело запомнить мастер пароль? Ну, воспользуйтесь методом из статьи. Раз вам сложно запомнить всего лишь один пароль.
Не можете зайти в менеджер? Воспользуйтесь другим. Нормальные менеджеры работаю и без интернета.
От украденного телефона спасает другое устройство или облако, где есть копия базы паролей.
Рано или поздно ваш мозг сломается, и вы забудете новый пароль, который вы вчера сменили, но прекрасно будете помнить неактуальные пароли, которые меняли пять итераций назад.

Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами

Несколько лет пользуюсь таким подходом и ни разу не подводил. У меня 3 хороших пароля: на KeePass, вход на 2 ноутбука (немного измененные друг от друга) и на Nextcloud потому-что туда мне надо ходить каждый день. База синхронизируется с ноутбуков на телефоны, а на базе ничего не придумываю — только сгенерированные пароли.
Подводит и память, и устройства, но подход не подводил.
Зачем ставить сложный пароль на ноутбук? Думаете кто то угонит ноут чтобы стырить содержимое?
У меня еще и диск зашифрованный. Я не считаю это излишним, потому-что на ноутбуке есть много информации, которой я никогда, ни при каких условиях не хочу поделиться с другими.
Teutonick, Давая такие советы, вы берете на себя огромную ответственность. Скажите, какой у вас уровень квалификации в области криптографии и/или ИБ, раз уж вы эту ответственность на себя берете? Есть подозрение, что недостаточный. Такие советы могут стать медвежьей услугой. Возможно, сначала стоит проконсультироваться со специалистом, прежде чем их продвигать. Контентмейкер не обязан разбираться во всем, о чем говорит, но, желательно, чтобы то, что он говорит, проверялось тем, кто разбирается. Это нормальная практика.

На интуитивном уровне оно, может быть, и кажется, достаточно надежным. Но есть проблема. Интуитивное восприятие некоторых областей информатики и математики, в которые входит, в том числе, и криптография, как правило почти всегда ошибочно.
Я предложил формулу которая легко генерит пароль и легко запоминается. Чтобы в этом убедиться не надо иметь никакой квалификации ни в чем. Я знаю, что некоторым людям тяжело живется в современных реалиях, именно для них мой пост, чтобы хоть немного усилить их простые QWERTY пароли. Тут так же не надо быть гением, чтобы понять, что пароль по такой формуле в разы секьюрней чем VASYA123.
Более того, я ни слова не сказал про то, что такие пароли невзламываемые или какие то супер криптографически защищенные. Не знаю с чего такие выводы?

Не нравится — не пользуемся, благородные хабровчане, как это водится, предложилил уйму альтернативных вариантов в комментариях.
Тут так же не надо быть гением, чтобы понять, что пароль по такой формуле в разы секьюрней чем VASYA123.

Именно это я и имел ввиду, говоря про некорректность интуитивного восприятия таких вещей. Окей.
Можно пойти от обратного. Если бы пароли со спец символами и цифрами одинаково легко взламывались на ряду с буквенными, то требования к безопасности на каждом сайте не заставляли бы их указывать.
А это я имел ввиду уже говоря про квалификацию в ИБ…

Вам говорят про то, что алгоритмически составленные пароли слабы, а вы отвечаете про «там же есть спецсимвол».

Кроме символьной сложности, которая одинаковая у, например, «Vasya123» и «k7Ao4q3g», есть еще сложность семантическая. И не нужно быть гением, чтобы понять, что она у этих паролей не одинаковая.

И вот алгоритмичность, увы, является ударом по семантической сложности пароля. Где алгоритмы, там паттерны, где паттерны, там оптимизации механизмов подбора. И именно такого рода пароли первыми подпадают под удар.

И, в этом плане они не сильно выигрывают у «Vasya123».
Если кто-то проведет анализ и докажет на цифрах опасность такого подхода, я буду только благодарен и тут же удалю статью и ролик.

Мне моя компетентность действительно не позволяет предоставить доводы в пользу такого материала. Что у меня есть — личный опыт, опыт коллег девелоперов, опыт домочадцев и родственников, что привело к мысли дать обывателям простой, понятный способ генерации уникальных паролей, подходящих под самые задротские требования без дополнительного ПО. Цель усилить безопасность вторична.

Пример из жизни: за 10 лет угоняли пароли по маске Aaaaaaa999, но ни разу не стырили пароли по маске Aaaaa#9. Возможно совпадение.

Цель усилить безопасность вторична

Цель поддержать театр безопасности, устроенный такими же клоунами со стороны разработчиков сайтов получается?

то есть для вас это театр, требовать в паролях цифры и спец.символы?
ну вы же не надеетесь на самосознательность рядовых пользователей сервисов, что они должны беспокоиться за безопасность своих данных сами?)

Хотите обсудить ещё и тонкости стратегии обеспечения безопасности пользователей?


Конечно никакой надежды на самосознательность рядовых пользователей нет, когда у них такие инфлюенсеры под боком. Но это не отменяет того, что современные подходы к паролям (и шире, к авторизации пользователей в целом) эволюционировали с 1995 года, когда рекомендовалось заставлять пользователя использовать в качестве пароля слишком короткую кашу-малашу из символов и менять каждый месяц.


Попробуйте зарегистрироваться например в гугле, он хоть и просит цифры и символы, но прекрасно продолжает без них, но не даёт сделать пароль меньше 8 символов.

В то время как большие умы и высококомпетентные люди строят эти стратегии, обычные люди живут своими жизнями, набивают шишки и пользуются тем, что есть. Когда уже придумаете авторизацию, чтобы не надо было ни логин, ни пароль запоминать, и чтобы нельзя было взломать? Вот когда придумаете, тогда приходите. Ну или станьте сами инфлюенсером, за недостатком компетентных приходится хоть за кем то идти.

Давно придумана, паспорт называется :)


А для обычных людей с обычными жизнями, другие обычные люди придумали менеджеры паролей, ключевые хранилища в операционных системах, авторизацию по имейлу, смскам и пушам, аппаратные ключи, авторизующие по нажатию кнопочки. И многое из этого, если не "нельзя взломать", то гораздо, гораздо труднее взломать.


Ладно спорить о бедных судьбах несчастных "обычных людей" (хоть я и не люблю вот это пренебрежительное отношение, они обычные, но это не значит, что нужно их дезинформировать и придумывать им какие-то ненужные сложности), а чего на хабре-то, среди технических специалистов, эта статья забыла? Для ютуба шикарно, там средний уровень как раз такой, даже на пикабу может быть зашло, но хабр чем провинился, чтобы в очередной раз пережёвывать чудо-формулы генерации паролей?

разы секьюрней чем

Только проблема в том, что "разов" недостаточно. Даже порядков маловато.


В то время как атакующая сторона использует многомиллиардные базы паролей для прямого перебора и машинное обучение для подбора паттерном всем, чем только можно, порождающими грамматиками, рекуррентными нейросетями, да и просто из головы придумывая вот такие "логики" построения паролей (и тратит на это гораздо больше времени и усилий, чем каждый очередной пользователь, которому пришла в голову гениальная идея написать Apple!gmail2020 в качестве "невзламываемого" пароля), вы игнорируете весь накопленный стороной защиты опыт, но почему?

Речи о невзламываемости не шло, почему вы так норовите мне припаять какую то ответственность и цели, которых я не преследовал и в мыслях не было туда думать).

в статье все четко — формула как придумать и не забыть. ну бонусом включить туда все что можно включить и сделать пароль уникальным для каждого сайта. всё. Все остальное ваши ожидания не имеющие ничего общего с действительностью )

Требование невзламываемости первично в пароле, как вы отнесётесь к "формуле" обеда из гранитной крошки, крысиного яда и ароматного навоза? "Лол, кек, это просто рецепт, кто сказал, что он должен быть съедобным и вкусным? Последовательность шагов есть, ингридиенты есть, бонусом красивый b-roll с кухни. ваши ожидания не имеющие ничего общего с действительностью )"


И да, статья в заголовке гласит: "надёжный пароль". Надёжный, но взламываемый, да?

просто передергивание и игра слов, нет смысла дальше вести диалог.

В комментариях много советов про менеджеры паролей, хэши и прочее подобное. Но никто не ответил на вопрос: как создать такой пароль, чтобы он был элементарно ясен автору, но трудновзламываем. Автор статьи — почти дал.

Бросать кости, выбрать 4-6-12 слов, заучить наизусть. Элементарная ясность возникнет сама от постоянного использования. Использовать для менеджера паролей, в котором для каждого сайта абракадабра 32 символа хоть с какими спецсимволами и прочими усложнениями.

На интуитивном уровне это (набор слов) воспринимается как очень слабое решение. Таким вещам разве что криптовалютчики доверяют, если даже не подкованы технически, то хотя бы просто потому что регулярно имеют дело с мнемоническими ключами и знают, что это работает.

Это воспринимается как слабое решение только от десятилетий тренировки неправильной интуиции, когда пользователей учили всяким большим/маленьким буквам, цифрам и спецсимволам, а они хитро придумывали "переключу раскладку, вау, никто больше до такого не догадается, а ещё буду использовать часть названия сайта для уникальности, вот это я точно гениально придумал и год/дату рождения, если потребуют цифры".


Интуиция вообще штука опасная в криптографических делах — совсем не интуитивно, что набор в другой раскладке даёт всего 2х к количеству вариантов перебора, а добавление одного символа к длине — 60х, ведь набирать в раскладке интуитивно труднее, а символ добавить — легко. Так же и с пассфразами — интуитивно кажется, что их слишком легко запомнить, чтобы они были надёжными, где трудности и страдание при использовании, почему так просто? Но вот так оно работает.


Ещё можно генерировать осмысленную фразу (из случайных слов), добавляя предлоги, глаголы и правильные окончания, тогда запомнить будет ещё проще при той же стойкости. Есть на просторах интернета генератор. Ну и конечно, задача сайтов подталкивать пользователя к хорошим паролям — намекать краснеющими/зеленеющими прогресс барами, банить утекшие когда-либо пароли, тестировать популярные сочетания и паттерны.


Опять же, спросили не "интуитивный пароль", а трудновзламываемый.

Согласен со всем, кроме осмысленных фраз из случайных слов. Осмысленность означает соблюдение некоторого синтаксиса. А где синтаксис там паттерны и упрощение подбора за счет сужения вариантов. Особенно в английском.

Вообще спецификация того же BIP39 строго запрещает генерацию мнемонических ключей человеком или в осмысленном виде. В идеале — черпаем n бит из пула энтропии, конвертируем в мнемонику. А мозг наш устроен так, что даже из набора 12 не связанных смыслом существительных способен составить для себя достаточно осмысленную картину, чтобы их запомнить без проблем.

Требования в BIP39 для генерации кошельков всё же гораздо строже и нельзя напрямую переносить на парольную защиту. Требовать 12 полностью случайных слов — отличный способ отбить у пользователя охоту вообще связываться с этими "хорошими" паролями и вернуться обратно к Sasha@yandex2020. Всё же сид кошелька должен противостоять offline атакам неизвестной мощности и продолжительности, с потенциальным перебором триллионов вариантов. И его запоминание вообще не подразумевается. Т.е. требования совсем другие, чем к паролю, который должен хорошо противостоять онлайн атакам (100-1000 попыток, пока не заблокируют или станет очень долго перебирать), либо к массовым offline атакам, где вероятнее всего атакующий получит базу солёных паролей и будет перебирать массово, не пытаясь вскрыть конкретный триллионными переборами.


Поэтому синтаксис и прочие паттерны вполне допустимы, если при этом чётко объясняется, что нужны более длинные фразы. Естественно, фраза из четырёх слов, из которых три — артикли и предлоги, не подойдёт (хотя, четыре случайных слова — вполне). Посмотрите на сайте по ссылке, там показана оценка сложности, 60 бит хватит для всех :)

Вот вариант.
Придумать пароль к «KeePass» по такой схеме:
1. Выбрать от 2 слов и более (например фраза какая-та).
2. В пароле использовать только первые буквы слов (выбрать свое количество от 2 до 8).
3. И между словами поставить цифры.
Все, надежный пароль создан.
Дальше пользуемся KeePass, где генерируется рандомные и длинные пароли.
И голова не забита кучей паролей.
Я бы только модифицировал. В пункте 1 — «от 5 слов» и третий пункт становится не особо нужен. Сложность практически не теряем, запомнить гораздо проще.
Я на том сайте, где вы проверяли надежность пароля ввел «administrator» и получил время 1 год. Выводы делайте сами.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.