[Инструкция] Как создать надёжный пароль

[witcher_sense]

~

У вас нет привычки темнить, значит теоретически вы когда-нибудь можете поделиться информацией, которая, на первый взгляд, не важна. Тогда довод про IF-ELSE теряет часть ELSE. И в них появится смысл.

При условии, что вы говорите правду - поделиться информацией, что у вас нет соцсетей гораздо безопаснее, чем обратный случай.

У приватного ключа есть количество знаков, это правда - так и подобрать его дело времени. Какого, я не уточняю.

Про кейпасс и вебсайт в интернете - они для разных уровней "параноидальности", тут все понятно.

[taikuri13]

~
Зы. Страницу Гибсона можно сохранить, перенести сохраненное на холодный комп и пользоваться там как инструментом для подсчета "взламываемости" последовательности, выбранной вами для своего пароля.

Прочитал с интересом. Не хочу ставить мнение Гибсона под вопрос, но скажу - что лично я против использования масок, а особенно, когда человек "найдет грааль" от взлома и будет маску на любой сайт засовывать.

Кроме простого брутфорса утечки паролей могут быть совершенно из разных мест, например с дырявого сайта, достаточно популярного. Если таких сайтов будет парочка, то простым анализом массива паролей - можно определить основные маски, так как символы в них будут одинаковыми (я так понимаю). А дальше все становится очень простым, так как к маске обычно добавляется пара символов, чтобы добиться "уникальности" и пароль идет своей дорогой, дальше.

Поэтому по подсчету - полностью согласен, здесь действительно сложнее. Но "человеческий фактор" способен погубить практически любой математический расчет. И, исходя из этого - кроме сложности, следует задуматься о том, куда заходит ваш новый, прекрасно придуманный пароль. И разделить риски, от минимального - до максимального.

[taikuri13]

~
Предложенный подход должен быть использован исключительно для особых случаев, а именно случаев, когда пароль никогда не должен быть забыт (утерян). У меня таких случаев всего 3:
~

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

[kudryashov]

Любые пароли связаннае с вами - скомпрометированы
Любые повторяющиеся пароли - скомпрометированы
Любые пароли зафиксированные где либо - скомпрометированы
и это еще не все аксиомы.

[fxsloker]

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

Здравствуйте. Встречал ваши сообщения на форуме по поводу паролей да и в целом по безопастности. Мне понравился ваш метод хранения паролей и информации, доступ к которым можно получить из любой точки мира и с любого компьютера при этом все довольно защищено. Я вывел для себя некоторые правила после гугления и поиска по форуму:

1. Все пароли храню в KeePass. Мастер-пароль генерирую с помощью подбрасывания кости и выбора соотвествующих слов из словаря. Запоминаю и записываю на бумагу.
2. Создаю PGP приватный ключ и к нему пароль, который генерирую методом из первого пункта. Запоминаю пароль и записываю.
3. Очень важные пароли и другую информацию записываю в текстовый файл и шифрую c помощью PGP.
4. Создаю аккаунты на 3х облаках и генерирую для них пароли как в пункте 1. Запоминаю, записываю.
5. Кладу PGP приватник, базу с паролями, файл с важной информацией в контейнер и генерирую пароль методом из пункта 1. Запоминаю пароль, записываю.
6. Заливаю контейнер на все облака.

Схема получается довольно сложная, но самое главное на выходе нужно запомнить 5 паролей. Ну если еще и сид от биткоин кошелька, то уже 6. Можете поделиться как упростить решение для запоминания хотя бы только 2х паролей или даже 1го, а не 6, чтобы даже если я оказался в другой стране без своего ноутбука, то мог бы получить доступ ко всей своей информации? Если вы не против, то поделитесь пожалуйста в деталях, мне очень интересно ваше мнение.

[Ded_Kronchs]

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

[witcher_sense]

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

Не обязательно пользоваться программными генераторами паролей, тем более это может быть не совсем безопасно, что приведет к взлому вашей учётной записи. Даже если вы и можете придумать относительно случайный пароль, или к примеру попросите вашу кошку походить по клавиатуре, это тоже не может считаться безопасным, така кейлоггеры никто не отменял. Оптимальным вариантом будет оффлайн генерация парольной фразы, используя один из стандартных словарей и набор разноцветных кубиков. Заранее записав последовательность цветов, вы можете бесстрастно сгенерировать парольную фразу из нескольких слов, которые при желании можно даже запомнить (например, для перевоза через границу или опасную зону).

[eisen33]

Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.

[Xal0lex]

Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.

Я не очень разбираюсь во всех этих нюансах с кодировками и пр. Я думаю, что, конечно же, длина пароля имеет значение. Чем он длиннее, тем сложнее его взломать. Это же логично. Я, например, практически везде использую 256-400 битные пароли (64 символа в пароле), куда входит рандомный набор из заглавных букв, строчных букв, цифр и специальных символов.

А взломать можно всё, дело в том сколько времени и ресурсов потребуется на взлом.

[igor72]

Имеет значение длина пароля?

Основы по безопасности я понимаю, но меня интересует именно длина. Есть разница если длина пароля будет 10 и 20 символов? И можно ли добиться длиной пароля, чтобы его было невозможно сломать, ну скажем от 25 символов и больше взломать невозможно.

Естественно, чем длиннее пароль, тем сложнее его подобрать. На данный момент считается, что 128-битный пароль является невзламываемым. В принципе, я думаю, и 80 битный пароль никто не взломает, так как для этого потребуются мощности, которые вряд ли кто-то сможет собрать в одних руках. Но 128 бит сейчас считается минимально безопасной энтропией, поэтому в ответственных случаях следует этого правила придерживаться.
А теперь остается посчитать, какую энтропию дает определенный набор символов. Например, если ваш пароль состоит только из цифр, то это всего 10 вариантов от 0 до 9, значит каждый символ в таком пароле даст log₂(10)=3.32 бита, следовательно безопасный пароль, состоящий только из цифр, должен иметь длину 128/3.32=39 символов. А если из маленьких латинских букв и цифр (всего 36 знаков), то для безопасного пароля понадобится 128/log₂(36)=25 символов, а если добавить и большие латинские буквы, то 22, и так далее.
Это для простейших систем, где пароль не подвергается никаким преобразованиям. Но часто пароль еще как-то хешируется, иногда многократно - в таких случаях число символов может быть меньше.

[ArtEria]

Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

[Xal0lex]

Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

Для этого существуют специальные программы-менеджеры. Крайне желательно использовать программы с открытым исходным кодом и зарекомендовавшие себя среди пользователей. Я не хочу тут рекламировать никаких менеджеров, но я пользуюсь уже очень давно двумя менеджерами с открытым исходным кодом: один для Windows, другой для Android. О рисках такого хранения паролей я не буду ничего говорить, это просто выльется в холивар между двумя лагерями пользователей. Каждый решает сам, использовать такой метод хранения паролей или нет.

[igor72]

Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

Тогда придется думать о безопасном хранении блокнотика ). Сейчас многие используют парольные менеджеры (Keepass, Bitwarden и т.п.), это удобнее и проще.
А что касается длины, то в большинстве случаев вполне достаточно уникального пароля из 10-12 случайных цифр и букв разных регистров.

[ArtEria]

Пароли 25-36 знаков еще запомнить нужно 64 тем более, разве что записывать в блокнотике.

Тогда придется думать о безопасном хранении блокнотика ). Сейчас многие используют парольные менеджеры (Keepass, Bitwarden и т.п.), это удобнее и проще.
А что касается длины, то в большинстве случаев вполне достаточно уникального пароля из 10-12 случайных цифр и букв разных регистров.

Да точно, есть такое. 
До 15 символов вполне без проблем можно запомнить пароль. Или записать в блокнот не полный пароль а с пробелами, чтобы знать что там долно быть, но это не будет поняно другим. Кругом шифровка.