Сложный пароль для каждого сайта, который легко запомнить

[datt]

Сразу же хотел бы отметить, что я не пользуюсь смартфоном, поэтому всяческие менеджеры паролей на кнопочном телефоне для меня недоступны.

Я взял за основу md5, т.к генератор md5 есть как онлайн, так и в виде приложения для мобильного.

Эм? На кнопочных телефонах есть приложение — генератор md5?

[noroots]

Нет, но оно есть в интернете. Логично предположить, что если вы пытаетесь зайти на сайт, то у вас он (интернет) есть.

[inkelyad]

Итого пароль или его значительная часть становится виден этому сайту с калькулятором. С тем же успехом можно онлайновым Password-manager-ом пользоваться.

[noroots]

Для этого и используется правило, которое хранится в голове. Я предпочитаю пароли хранить в голове, а не в приложениях или сайтах.

[inkelyad]

К сожалению, человек очень плох в придумывании и запоминании костомных правил. Вот даже если на глаз посмотреть — сколько бит энтропии все это правило добавляет? И я не удивлюсь, если подбиральщиках паролей переборы вариантов "взять MD5 от сайта и слега его изменить" — уже давным-давно предусмотрены.

[Paranoich]

Я предпочитаю пароли хранить в голове

«А голова предмет темный и исследованию не подлежит»

Мой хороший знакомый отличался безупречной памятью и все пароли помнил наизусть, аж с 2000 года начиная. Снисходительно смотрел на мои KeePass и KeePass2Android. А 2 года назад начал путаться. Чем дальше — тем больше. Возраст виной, диабет или сотрясение мозга, после попытки перехода проезжей части в положенном месте и на зелёный… Неизвестно.
Никто из нас не застрахован. 2 или 3 места для хранения паролей всяко лучше одного.
Часть паролей я ему восстановил — остался файл kdbx, с того времени, когда я пытался ему КиПасс втюхать насильственно. Часть восстановили штатно — телефон, почта резервная и т. д. Но часть аккаунтов так и осталась недоступна.

[OleksiyT]

Выглядит бредово.

Пароли куда нужны? Правильно, на онлайн-сервисы.

А там же всегда есть альтернативный вариант восстановления. На тот же email.

Нафига пароли вообще помнить либо записывать.

Сбросят сессию, восстановишь в пару кликов, проблему нашли.

[Mitya78]

Ну мне вот один сервис предлагает открытку прислать, бумажную, на адрес по которому давно не живу.

[Bringoff]

Пароли куда нужны? Правильно, на онлайн-сервисы.

Ну, либо для криптокошелька, в котором завалялся десяток биткоинов ;)

[KGeist]

>А 2 года назад начал путаться. Чем дальше — тем больше

Я имел привычку использовать пароли на основе алгоритма, вычисляемого в уме (в основном для throwaway-регистрации), но последнее время стали происходить странные вещи - вроде всё правильно сделал, а не подходит :)

[Shished]

На каких кнопочных телефонах?

[inkelyad]

В очередной раз напомню про CryptoPass, а то этот велосипед изобретается приблизительно постоянно. И да, понятно, что его нет на кнопочном телефоне, но кому хочется, можно оформить на личном сайте.

[sout]

Можно детские стишки использовать, набирать на английской раскладке, например: "вышел зайчик на крыльцо почесать свое яйцо" и какие-нибудь циферки в конце или в начале, криптостойкость запоедельная из-за длины получится

[Catx2]

Лучше апостроф вбить ещё

[GenkaOk]

От запредельной длины помогают сайты, которые хранят пароли в чистом виде в VARCHAR(32)

И ничего ты с этим не поделаешь, а ещё они могут до сохранения сказать: у нас ограничения на длину 32 символа, ты что псих?

[sout]

В такие моменты должен возникнуть вполне справдливый вопрос, а нужен ли тебе этот сайт, и если да, то на сколько. Если не больше, чем на одну сессию, то можно и пароль не запоминать)

[sout]

Кстати, на сколько мне известно, брутфорс уже на 8 символе пароля улетает на недели, так что 32 символа на форме это нормально

[GenkaOk]

Тут уже вопрос в том, нормально ли хранить пароли в открытом виде.

Потому что это можно считать сливом вашей информации, рано или поздно пароль всплывет в отчётах haveibeenpwned

[sout]

Извиняюсь, невнимательно прочел ваш коммент выше. Хранить пароль в бд в сыром виде это очень плохо. К сожалению, нет достаточной выборки, чтобы оценить, насколько часто такое делают на проде.

P.S. если вы читаете этот коммент и храните пароли в базе в сыром виде, то вы грязный ахтунг

[unsignedchar]

Самый очевидный способ - вернуться из прошлого в 21 век и начать использовать менеджер паролей. В некоторых броузерах он встроенный.

[IkaR49]

Я как-то столкнулся с проблемой: сайт не позволял при создании аккаунта ввести в поле пароля спец. символы. Они просто удалялись, и условная строка "abc*#123" на самом деле превращалась в "abc123". А вот в поле для ввода пароля во время авторизации такого не было, он принимал все символы, и я долго потом не мог залогиниться, ибо менеджер паролей браузера честно подсовывал то, что нагенерировал.

[Angeld]

а в чем будет отличие при ручном вводе?
ты также введешь при сохранении пароля спецсимвол, так же можешь не заметить что он его удалил
и также будешь пытаться его ввести в форме логина

[v1000]

iPhone имеет неплохой встроенный менеджер паролей, в котором есть функция автоматического создания сложных паролей. Который к тому же сообщает, если какой-нибудь пароль был замечен в утечке данных с паролями со сторонних сервисов.

[MiXei4]

Взять адрес сайта, получить хэш из него и подставить в качестве пароля - это предлагает каждый второй, кто "прозрел" и понял, что один пароль на всё - это не хорошо. Что здесь нового? Отличаются способы только видом хэша. В любом случае, следующий шаг - менеджер паролей

[haraldsson]

Я так же люблю сложные пароли которые легко запомнить. Обхожусь, пока, без MD5 генераторов. Зацените нпр.: buryamgloyunebokroetvihrisnezhnyekrutyatokakzveronazavoettozaplachetkakditya0621
Хотя честно не знаю что надёжнее — крутых 11 символов (C25284b3af#) или простых 80 (А-Z0-9). Для банка и прочего где логинюсь не чаще раза в день вполне подходит, но после каждого sudo такое набирать естественно перебор.

[x67]

Bitwarden и менеджер паролей google избавят от этой дрисни

[grvelvet]

Bitwarden к слову, можно и на собственном сервере поднять.

[x67]

Для корпоративного использования — идеальный вариант

[IlyaLisickin]

Чем «c05184b3af6965b29f15571556a4cccd» лучше «гдеобедалворобейвзоопаркеузверейпообедаляспервазарешеткоюульва»? Ведь 1- запоминается намного легче, 2- индивидуален для каждого человека, 3- не используется сторонний софт, 4- уровень криптостойкости любых двух букв выше чем у одного символа, 5- пароли для каждого сайта не нужны, для обычного человека достаточно иметь 2-3 уникальных пароля, один для важной сенситивная информации, один для всякой ерунды, и один для мусора который требует обязательной регистрации.

[andToxa]

у Падлы был интереснее :)

[qw1]

А теперь попробуйте придумать 15 таких паролей, и не запутаться, какой пароль к чему.

[inkelyad]

Тут нужен софт, помогающий зубрить и генерировать такие пароли.
Генерируем несколько таких, на каком-нибудь оффлайновом устройстве выучиваем и пользуемся.

Но я до сих пор не могу найти программы хотя бы для генерации. Нет, просто набор случайных слов — это сколько угодно. А вот грамматически верную случайную фразу с гарантированной энтропией — этого нет.

Для англоязычных фраз есть плагин для Keepass, а вот с герерацией русскоязычных парольных фраз все плохо.

[lovermann]

Я пользуюсь менеджерем паролей, где у меня сейчас примерно 350 записей, но для сайтов, на которые хожу часто, люблю делать пароли, состоящие из названия сайта и «секретной концовки», например, «Xhabr(25$)».

[polearnik]

если вы пользуетесь парольным менеджером почему на все абсолютно сайты не генерируете нормальные пароли?

[maxzhurkin]

Также некоторые сайты требуют периодической смены пароля (например банковские сайты или google)

У меня несколько лет пароль от гугла не менялся. Я этого не говорил