[Инструкция] Как создать надёжный пароль

[an@sha]

Автор: [GreatArkansas]    [Оригинальный топик]                              Thanks whotookmycrypto & OmegaStarScream.

Приветствую всех!

Нашёл довольно простую, но в тоже время и достаточно серьёзную тему, которой многие (знаю по себе) порой пренебрегают  - "Создание по истине надёжных паролей". Америку она Вам вряд ли откроет, несомненно что-то похожее можно найти и на просторах сети - но я столкнулся с этим именно здесь, поэтому здесь же с Вами и делюсь. Отсебятины здесь практически нет, не люблю чужой труд переделывать под себя. Ваши предложения, мысли на этот счёт и всевозможные поправки жду в комментариях  

[image]

Наверняка Вы обращали внимание что при регистрации на большинстве сайтов (будь то криптобиржа, форум, соц. сети или электронная почта) нас просят указать пароль соответствующий определённым характеристикам, но следовали ли Вы им? да, порой без этого никак, ибо в ином случае просто не пройдёт регистрация... но может тогда Вы использовали лёгкий/короткий пароль? а может и вовсе используете общие пароли на различных сервисах? В общем - это плохая затея! Используя надёжный пароль, тем самым Вы делаете свои данные (учётные записи) более защищёнными и менее уязвимыми для хакеров.

И перед тем как перейти к обсуждению создания надёжных паролей давайте сперва рассмотрим те, которые впредь использовать НЕ следует.

1. Все эти пароли очень распространены и Вы не должны их использовать!

• 123456
• abcdefg
• abc12345
• password
• password123
• ТОП-25 распространённых паролей 2018 г.

2.  Никогда не используйте пароли содержащие Вашу личную информацию, такую как:

• Имя
• Дата рождения
• Место рождения
• Ваш адрес

Причина по которой Вы никогда не должны включать личные данные в свои пароли банальна, раздобыв их, у злоумышленника появляется высокая вероятность подборки пароля.

3. Никогда не используйте замену (цифры вместо букв или же наоборот)
Примеры:

• D0gH0us3
• W33kdays
• IL0v3D0gs

Данные пароли легко взламываются брутфорсом, путём перебора различных вариаций слова.
Создание надёжных паролей

Поскольку мы уже знаем какие типы паролей использовать не следует - переходим к созданию надёжного и безопасного пароля, итак:

• Делайте Ваш пароли длинными,
  смешивайте строчные и заглавные буквы (A-Z, a-z),
  добавляйте цифры (0-9),
  и специальные символы, такие как: (&^$#)
  В идеале должно получиться что-то вроде S5#A$B1dpqzM^UMk, правда такой пароль уже очень тяжело запомнить.
  
  Так как же запомнить пароли такого вида?!
  
  
• Метод предложения:
  Идея этого метода заключается в том, что Вы просто создаёте пароль из какого либо случайного или придуманного Вами предложения.
  Например:
  Берём по 2 первых символа от каждого из слов в предложении "I Was Born At 2:35pm In The Country Of Germany"
  Результат:  IWaBoAt2:InThCoOfGe
  
  
• Использование парольной фразы
  Парольная фраза состоит из различных слов, рандомность каждого слова делает её более надёжной.
  
  Например:
  "Dog in the dark" -  Слово имеет смысл и грамматически упорядоченно (собака в темноте).
  "hulk touch adjourn omega" - Фраза бессмысленная, грамматически не связана (халк касаться откладывать омега)
  Вот её Вы можете и использовать в качестве пароля добавив лишь некоторые изменения - сделав каждый второй символ каждого слова заглавным + добавив специальных символов между словами.
  Итог: hUlk&tOuch$aDjourn@oMega
   
  Вы также можете использовать здесь и вышеописанный Метод предложения, всё также берём первые 2 символа каждого слова, каждый второй символ делаем заглавным + рандомно ставим спец. символы.
  "hUlk tOuch aDjourn oMega".
  Результат:  hU#tO!aD*oM$
  
  
• Используем генератор случайных паролей
  
  

  ~
  https://keepass.info/   (имеется русский язык)
  С помощью KeePass Вы можете создавать надёжные пароли всего за несколько простых шагов.
  
  Шаг 1: Жмём "Добавить запись"
  Шаг 2: Жмём "Создать пароль"
  Шаг 3: Из выпадающего списка выбираем сложность пароля
  
  P.s. При необходимости:
  после Шага 1 добавляем "Название" к создаваемому паролю, "Логин", "Ссылку" на источник и необходимые заметки;
  при Шаге 2 можем выбрать "Открыть генератор паролей..." и указать интересующие нас параметры при генерировании пароля.
  
  
  -
  
  
  Стоит также отметить, что использование менеджеров паролей решает вышеупомянутую проблему с запоминанием трудных/сложных паролей.
  

  
  Можно воспользоваться Random Password Generator от Avast.
  Также генерирует случайные пароли, имеется возможность вкл./отл. дополнительные параметры
  
  
  
  Единственная проблема в том, что это всё трудно запомнить, но Вы можете генерировать пароли до тех пор пока не найдёте тот которым будет Вам по душе)
  
  
• Password Manager
  Использование менеджера паролей будет полезно при использовании различных паролей на сайтах.
  Я предлагаю для этих целей использовать https://keepass.info/, это бесплатный проект с открытым исходным кодом.
  
  
  
  Подробную инструкцию по русификации KeePass, установке, созданию базы с паролями и пр., Вы сможете найти по ЭТОЙ ссылке.
  

Вывод

• Ни с кем не делитесь своими паролями.
  
• Для каждой учётной записи используйте новый, отличный от предыдущего пароль.
  
• Всегда создавайте длинные пароли (минимальный рекомендуемый размер пароля от 8 до 12 символов).
  
• Избегайте хранения паролей в интернете (на файлообменниках, в облаках и пр.).
  
• Всегда используйте двухфакторную (2FA) или мультифакторную аутентификацию (MFA).
  
• Избегайте фишинговых сайтов (проверяйте ссылки), ибо в этом случае будет абсолютно не важно насколько хорош был Ваш пароль.
  

Источники:
Как создать надежный пароль
Как создать надежный пароль (и запомнить его)
Как создать безопасный пароль

↓↓↓ Ваши идеи по созданию качественных и надёжных паролей жду в комментариях ↓↓↓

.

[1715232741]

1715232741

[1715232741]

1715232741

[1715232741]

1715232741

[1715232741]

1715232741

[an@sha]

Резерв

[Andrey123]

Сторонние проги вообще не стоит использовать.

Только свой набор и листик, который надёжно будет спрятан.
И можно добавлять ещё пару символов в конце, но их держать в голове.

И если кто-то украдёт листик, пароль не сможет использовать.

[an@sha]

Сторонние проги вообще не стоит использовать.

Только свой набор и листик, который надёжно будет спрятан.
И можно добавлять ещё пару символов в конце, но их держать в голове.

И если кто-то украдёт листик, пароль не сможет использовать.

В целом - обеими руками за, но чем дальше - тем сложнее.
Количество сервисов требующих регистрацию растёт в геометрической прогрессии, запомнить всё - просто не представляется возможным.
Записывать? Ну то ещё занятие (тот же листик могут найти, повредить, выкинуть и пр.) Делать копии? Ну фиг знает, возможно.

+ Эта далеко не безопасная, но так ускоряющая и упрощающая работу система по сохранению паролей (в том же браузере), доводящая до отупения))
Если раньше необходимо было извилины напрягать, теперь возможно всё автоматизировать и забить на это (что собственно и происходит у большинства).
 
P.S. Зашёл недавно на https://bpip.org в свой аккаунт и акуел, у меня было 5 восстановлений паролей)))
И вроде смешно, и в то же время в голове уже такое количество паролей что чем заниматься их перебором (раз уж забыл) - проще его "обновить" через восстановление.

P.S.S. Идея с неполностью записанными паролями мне по нраву  

[TopTort777]

Использую пароль в виде "какой-то предмет на столе/бренд+цифра или несколько цифр+какой-то символ или комбинация"

Получится типа Pioneer332$$. Как думаете, подобное можно взломать брутфорсом?

[taikuri13]

~
P.S.S. Идея с неполностью записанными паролями мне по нраву 

Точно, имея такой листик в руках - достаточно подобрать последние три символа брутфорсом. Такой способ хранения паролей не является новым и достаточно хорошо известен и другой стороне вопроса.

Использую пароль в виде "какой-то предмет на столе/бренд+цифра или несколько цифр+какой-то символ или комбинация"

Получится типа Pioneer332$$. Как думаете, подобное можно взломать брутфорсом?

Абсолютно без разницы какие символы и цифры вы будете использовать. Конечно школьники пойдут по основным базам паролей из известных слов и букв, но для сложности пароля - основная характеристика это его длина.

По сути, если перебор работает с большой скоростью, то в него можно добавить (базу для брутфорса) все возможные комбинации с клавиатуры, можно сгенерировать такую базу используя оснвные слова, добавляя к ним 3-4 символа, это проще, либо же просто загнать туда все варианты, дольше и сложнее.

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

[an@sha]

~
P.S.S. Идея с неполностью записанными паролями мне по нраву  

Точно, имея такой листик в руках - достаточно подобрать последние три символа брутфорсом. Такой способ хранения паролей не является новым и достаточно хорошо известен и другой стороне вопроса.

Ну там ещё угадай, это чисто предложение которое в действительности каждый уже может доработать под себя (выработать определенную схему/принцип и в дальнейшем применять ко всем своим паролям).
Как вариант, можно разместить часть символов в начале - часть в конце или быть может часть после первой и часть перед последней буквой/цифрой. Тут уже насколько фантазии хватит, главное не увлечься.

P.s. Ну и про длину Вы верно подметили. Не так важна сложность пароля - как его длина!
Как раз таки тем же брутфорсом будет куда проще подобрать пароль вида ^#8df7f, чем пароль вида MamaYaVDubae.2019 

[TopTort777]

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

Но если рассуждать логически, ни один пароль не является безопасным. Со временем все можно взломать банальным брутфорсом. Одно только спасает - никто не знает сколько времени понадобится взломщику.

Поэтому единственное верное решение - чаще менять пароли.

[imhoneer]

Раз уж здесь озаботились логинами и паролями и возможно кто-то делает сайт и хочет сделать реальную защиту от брутфорса. Понятно, что можно сделать и с приватными ключами, но это не очень удобно может быть, поэтому предлагаю рассмотреть мой вариант Когда прямой и обратный брутфорс бессмысленны.

[an@sha]

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

Но если рассуждать логически, ни один пароль не является безопасным. Со временем все можно взломать банальным брутфорсом. Одно только спасает - никто не знает сколько времени понадобится взломщику.

Поэтому единственное верное решение - чаще менять пароли.

Вот хороший комментарий на этот счёт из англоветки с подробным разбором, как 4 простых случайных слова в 1 трлд раз превосходят на первый взгляд довольно сложный пароль.

~
To completely mitigate dictionary attacks which are targeted at you, use random words.

The classical password correct battery horse staple is about 10¹² (= 1.000.000.000.000) times stronger than IWaBoAt2:InThCoOfGe:


correct battery horse staple:
- lowercase + special chars (even tho its just 1 it has to be considered) = charset of 58
- 28 Characters

=> 58²⁸ possibilities => ~ 2.37x 10⁴⁹


IWaBoAt2:InThCoOfGe:
- Lower- + Uppercase + special chars (even tho its just one it has to be considered) + numbers = charset of 94
- 19 Characters

=> 94¹⁹ possibilities => ~ 3.08 x 10³⁷

So, to summarize:

Length beats complexity!

Раз уж здесь озаботились логинами и паролями и возможно кто-то делает сайт и хочет сделать реальную защиту от брутфорса. Понятно, что можно сделать и с приватными ключами, но это не очень удобно может быть, поэтому предлагаю рассмотреть мой вариант Когда прямой и обратный брутфорс бессмысленны.

Спасибо, занятно, на досуге обязательно почитаю Ваши мысли.

[taikuri13]

~
Ну там ещё угадай, это чисто предложение которое в действительности каждый уже может доработать под себя (выработать определенную схему/принцип и в дальнейшем применять ко всем своим паролям).
Как вариант, можно разместить часть символов в начале - часть в конце или быть может часть после первой и часть перед последней буквой/цифрой. Тут уже насколько фантазии хватит, главное не увлечься.
~

Тут есть большая разница. Между школьником, который начитался форумов и скачав пару инструментов, начал ломать пароли и взрослым дядей, весь рабочий день которого связан с тем, что надо "угадать".

Вот во втором случае - прорабатывается огромное количество вариантов, причем к этим вариантам уже добавлен анализ основных баз паролей, которые выкладываются после взломов. И именно оттуда формируются основные схемы подбора.

После того, как кучу лет говорили людям отовсюду, что не надо использовать цифры дня рождения в пароле - люди стали изобретательнее, но природная лень помогает добавлять пару знаков в середину, пару цифр в конец и такой пароль считается защищеннным, хотя это совсем не так.

Первое - это определение ценности информации по категориям и возможный ущерб от потери такого пароля. И одно дело, когда взлом пароль от сайта с кулинарными рецептами и совершенно другое дело, когда уходит пароль от важной почты.

Поэтому, можно 50-символов в кодировке влепить на кулинарию, зашифровать и записать в КейПасс. Но насколько это целесообразно?
И отсюда - стоит думать, как человек, задача которого взломать ваши пароли. То есть, получив данные к этой почте - можно получить - это и вот это. Если это спокойно можно потерять - то здесь уровень безопасности один.

И по поводу привязки паролей с пинкодами - к почте. Почта - всегда один из не очень надежных инструментов, поэтому я бы не стал использовать ее, как единственный способ и доступ к паролю. Даже при сложных схемах.

[lovesmayfamilis]

еще один интересный способ
   источник
копипаст! очень уж заинтересовало ваше мнение.

Сегодня я попытаюсь донести до вас свою схему создания уникальных сложных и легкозапоминаемых паролей. Думаю, многие из вас скажут, что хороший пароль - это как минимум 20 символов никак не связанных друг с другом и запомнить его невозможно, тем более разные пароли для каждого сервиса.
Но! Сейчас я вам покажу как мы будем использовать сложные уникальные и легкозапоминаемые 64-значные пароли, разные для каждого сайта и сервиса.
Итак, приступим:
1. Для начала мы придумаем пароль, который мы можем вспомнить даже если разбудить в 3 часа ночи.
Пусть это будет ded_mazay123. Это один из двух пунктов, который нам нужно запомнить.
2. Далее мы хэшируем наш наш пароль в одном или нескольких (что лучше) алгоритмах шифрования (Например: sha256).
Переходим на сайт https://2ip.ua/ru/services/useful-service/text-encryption или любой другой. Я выбрал именно его, т.к. здесь все собрано в одном месте и не нужно переключаться между вкладками, когда хешируешь в разных алгоритмах.
Итак, вводим свой пароль, выбираем алгоритм шифрования и, собственно шифруем наш пароль

В итоге имеем уже не такой простой 64-значный пароль. Но мы на этом не остановимся и пойдем дальше.
3. Берем наш получившийся хеш и шифруем уже его и получаем, так скажем, хэш хеша.

Далее, наш получившийся хеш зашифруем в другом алгоритме sha512

В принципе этого будет достаточно и мы имеем 128-значный пароль, но не всегда сервисы примут такой пароль. Иногда стоит ограничение на длину пароля.
Шифранем наш 128-значный хэш еще раз в sha256

Итак, что мы имеем в итоге?
Мы имеем уникальный сложный пароль, состоящий из 64 символов, который, в случае чего будут брутить вечность. При этом у нас есть ассоциация этого пароля с нашим, который мы придумали вначале.
Т.е. вся суть в том, что мы запоминаем простой пароль и, главное запоминаем алгоритм хеширования нашего пароля. В моем случаем это выглядит так "ded_mazay123" => sha256 =>sha256 => sha512 => sha256.
Итог: сложный, уникальный и при этом легко запоминаемый пароль, который будет очень проблематично сбрутить.
Теперь перейдем к главной теме. Устанавливаем уникальные пароли для каждого сервиса.
Для этого мы опять же используем наш легкий пароль, при этом мы добавляем наш сайт перед паролем ([сайт][пароль])
Для wwh это будет wwh-club.netded_mazay123, для почты dedmazay@gmail.comded_mazay123 и т.п. Наш шаблон мы можем создать как угодно, главное его запомнить.
И дальше по нашей схеме выше мы хэшируем наши пароли по нашим алгоритмам

И дальше по шаблону "wwh-club.netded_mazay123" => sha256 =>sha256 => sha512 => sha256
Напомню, шаблон мы придумываем сами. Хоть 10 раз в sha512 и 15 раз в sha256.
В окончательном итоге мы имеем схему создания нашего сложного пароля на основе легкозапоминаемого пароля и алгоритма прогонов этого простого пароля. При этом у нас будет уникальный пароль для каждого сервиса.

[Kriptopsina]

Когда регистрируешься на нескольких сайтах, то да можно придумать сложный пароль и запомнить его. Но что делать, когда региструиешься на десятках или сотнях.
Я использую метод личной формулы, которую сам для себя придумал. И такую формулу использую для создания пароля.
По хорошему она должна иметь разную сложность для разных сайтов.

К примеру мы регистрируемся на сайте pepa.com

1. Сайт на котором вы регистрируетесь начинается на согласную. pepa.com
Значит пароль будет начинаться на имя вашего лучшего друга детства. - Гена
2. Вы вспоминаете в каком месяце у него день рождения - Апрель. Четвертый месяц.
Адрес сайта состоит из 4х букв, значит прибавим к апрелю 4 и получаем 08.
3. Далее сайт заканчивается на гласную А  - это значит, что надо записать имя своей первой девушки (Лена), заменив все согласные на эту гласную. И получаем Аеаа

...
получаем пароль: Гена08Аеаа

Каждый может придумать для себе эти правила. Стоит лишь подключить фантазию. Но главное установив эти правила, не лениться их применять. По началу сложно. Но потом ты с легкостью заходишь на разные сайты со своим уникальным паролем с регулируемым тобой уровнем защиты.

Может это и немного бредово выглядит, но мне нравится)

[an@sha]

еще один интересный способ
очень уж заинтересовало ваше мнение.
~

Вполне имеет место быть, но есть пара моментов в которых я немного не догоняю.

1. По хорошему можно тогда с "первоначальным" паролем и вовсе же не загоняться?
Какой смысл использовать ded_mazay123 (хотя сложного в его запоминании и ничего нет), когда я могу использовать хоть свой ник с форума... а там уже попробуй догадайся сколько раз я его шифровал и в каком порядке и какими алгоритмами. ИМХО - без вариантов.

2. Второй момент, пожалуй самый главный.
Шифровать онлайн? ок, можно, только насколько это безопасно? я думаю не очень, от слова совсем.
Другое дело искать альтернативу, какую-то незамысловатую прогу?! Вопрос открыт, Ваши мнения.

~
Может это и немного бредово выглядит, но мне нравится)

Ты можешь не беспокоиться за свою безопасность, такая логика никому не по зубам 

[taikuri13]

Можно пойти путем он-лайн шифрования, можно самому придумать свой алгоритм шифрования.

Тут какие- угодно схемы могут быть. Однако, если говорить про выбор программы, которая способна и хранить и генерировать сложные пароли, то практически в любом случае можно придти к известным, много лет работающим open source инструментам.

Полный список (да, эта тема в Разном) #ShareATool

И среди этих инструментов - существует менеджер паролей, достаточно долгое время. KeePassXС

Открытый код - значит его проверяли, причем скорее всего не один человек. Думаю, что понятно - что даже при намеке на опасность использования, этим менеджером бы никто не пользовался, и было бы огромное количество ссылок и статей. Но этот менеджер существует и работает. И работает не в он-лайне.

Следующий неплохой инструмент - это PGP-шифрование PGP Подпись - Шифровка / Дешифровка сообщения

Зашифровав свой пароль в блокноте, например - никто не сможет расшифровать, без доступа к ключу. Тоже хороший инструмент, тоже в списке.

Каждый выбирает сам, танцевать ли при помощи он-лайн шифрования, выбрать свой алгоритм, либо использовать инструменты. Скажу только, что любой алгоритм пароля не имеет значения, если полученный пароль будет в 8 симоволов. Все комбинации из 8-и символов могут подобраться достаточно быстро. И с каждым годом - все быстрее и быстрее.

ps: Не надо верить - изучайте и проверяйте самостоятельно.

[FontSeli]

Как вы думаете, что в первую очередь ищет вирус забравшийся на ваш компьютер? Конечно же ваши пароли.
Как вы думаете, есть ли в алгоритме вируса задание искать наиболее популярные программы по хранению паролей?
В программы по генерации паролей можно внедрить троян, который также может транслировать ваш пароль кому нужно. И внедрить его могут не только в дистрибутив программы, но и при заражении компьютера вирусом. Поверьте, даже самый крутой антивирус, с регулярно обновляемыми базами не дает 100% защиты вашего компьютера от вирусов и троянов.


Для хорошего пароля нужно всего вот это: буквы нижнего и верхнего регистра, символы по типу %;@#$!*& и т.д. и цифры. Комбинация должна иметь как минимум восемь букв/цифр/символов, но чем больше тем лучше. Желательно чтобы пароль не имел никакого логического значения типа Alex1974 и т.д.
Хранить пароли лучше в записной книге. Если хотите их хранить на компе, то лучше записать на бумаге, сфотографировать и уже как jpeg хранить на компе или флешке (естественно, название должно быть нейтральным). Ни в коем случае не храните пароли в файлах с текстовым расширением - в случае взлома компьютера ищут прежде всего в них. Я понимаю, что удобнее всего копировать из текстового файла в поле ввода, но это не безопасно.

И еще никогда не используйте один и тот же пароль для различных аккаунтов.

[melomanskiy]

Хорошая тема. Я конечно не сторонник различного софта для паролей, порой даже и гугл хрому не доверяю и не сохраняю пароль. Хотя источников где зарегистрирован очень много и поэтому приходится порой использовать один и тот же пароль на несколько сайтов. Согласен, что не безопасно, но что поделать. А советы топ) теперь буду знать как надо создавать сложные пароли)

[TopTort777]

Хорошая тема. Я конечно не сторонник различного софта для паролей, порой даже и гугл хрому не доверяю и не сохраняю пароль. Хотя источников где зарегистрирован очень много и поэтому приходится порой использовать один и тот же пароль на несколько сайтов. Согласен, что не безопасно, но что поделать. А советы топ) теперь буду знать как надо создавать сложные пароли)

Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

[soliton]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

[Xal0lex]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

Это можно проверить в том же KeePass. К примеру, возьмём 256-bit пароль, состоящий из 64 символов (цифры, буквы, спецсимволы):

Code:

3~sEh%5Ocnm..'qD":^SX7;eavLtCow%s|0|LyBzJ\AcQUf6Me7`"z:,@fnVcM9e

Стойкость такого пароля 393 бит.

Теперь возьмём такую же по длине фразу из вашего поста:

Code:

Не знаю правда или нет, но где-то читал, что пароль составленный

Стойкость такого пароля составляет 812 бит.

Возьмём перевод ваших слов на английский:

Code:

Don't know true or not, but I read somewhere that the password i

Стойкость такого пароля составит 248 бит.

Переведём на экзотику, например, на китайский (это всё те же 64 символа):

Code:

不知道是真还是假的，但我读的地方，密码是由几个单独的词比所有字符连续去，即使这些迹象是字母，数字和特殊字符的混合物密码安全得多。

Стойкость такого пароля будет аж 1024 бит.

Делаем выводы

[taikuri13]

~
Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

Бумага не долго живет, если брать десятилетия. Пароль может выцвести, бумага на солнце может пожелтеть, а в сырости - буквы могут расплыться.

Заламинировать подобную бумагу - как один из возможных вариантов, но возникает вопрос в трнаспортировке. Когда дома с такой бумажкой - все легко и хорошо. Но вывозить ее через границу, при возможном личном досмотре - уже будет проблемой, так как к ней могут получить санкционированный доступ.

Да и хранение дома подобной бумаги - ничем не защищено от третьих лиц.

Поэтому каждый решает для себя, какой способ защиты информации ему лучше всего. Есть мнение, что шифрование всего и несколько копий в разных местах - очень хороший способ хранения. Потому что сложно поверить в то, что несколько крупных сервисов, например при хранении в облаке - накроются одновременно.

[TopTort777]

~
Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

Бумага не долго живет, если брать десятилетия. Пароль может выцвести, бумага на солнце может пожелтеть, а в сырости - буквы могут расплыться.

Заламинировать подобную бумагу - как один из возможных вариантов, но возникает вопрос в трнаспортировке. Когда дома с такой бумажкой - все легко и хорошо. Но вывозить ее через границу, при возможном личном досмотре - уже будет проблемой, так как к ней могут получить санкционированный доступ.

Да и хранение дома подобной бумаги - ничем не защищено от третьих лиц.

Поэтому каждый решает для себя, какой способ защиты информации ему лучше всего. Есть мнение, что шифрование всего и несколько копий в разных местах - очень хороший способ хранения. Потому что сложно поверить в то, что несколько крупных сервисов, например при хранении в облаке - накроются одновременно.

Ламинировать не дело, ведь на бумажку надо будет добавлять новые пароли

Бумагу можно обновлять, переписав пароли. Так заодно пароли и запомнятся.

Третье лица будут интересоваться бумажкой только в том случае, если будут целенаправленно рыть в этом направлении. У меня на работе (опен спейс) на мониторе приклеен стикер с паролями. Годами я его обновляю (банально отклеивается) и никто не позарился на него. Ни коллеги, ни уборщицы, ни какие-нибудь наемные мойщики окон.

[JohnSilver]

Stanford PwdHash: https://crypto.stanford.edu/pwdhash/

Также можно скачать страничку и пользовать офлайн: https://pwdhash.github.io/website/

[taikuri13]

~
Бумагу можно обновлять, переписав пароли. Так заодно пароли и запомнятся.

Третье лица будут интересоваться бумажкой только в том случае, если будут целенаправленно рыть в этом направлении. У меня на работе (опен спейс) на мониторе приклеен стикер с паролями. Годами я его обновляю (банально отклеивается) и никто не позарился на него. Ни коллеги, ни уборщицы, ни какие-нибудь наемные мойщики окон.

А это смотря насколько сложные пароли. Если это короткий, до 16-и символов, со словами и цифрами - то вопрос сразу, сколько же таких паролей способна запомнить голова? Причем, с условием - не каждодневного использования, а где-то раз в месяц.

5-10? 10 уже будет очень серьезным показателем. Только такие пароли достаточны просты, а случайный набор при генерации KeyPass-ом, да еще и символов в 36 - врядли может запомнить даже самая светлая голова, особенно при условиях, которые написаны выше.

А в открытости бумажки с паролем - есть и минусы. Одно дело, когда на него смотрит уборщица и совсем другое дело, когда на такую бумажку посмотрит человек хотя бы с минимумом знаний. Он-то знает на что смотреть.

Хотя каждый расчитывает риски для себя. Возможно просто нечем рисковать

[TopTort777]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

[an@sha]

Тут это... в англоветке забавная картинка проскочила, не смог обойти её стороной))
В общем, если ломаете голову над тем так где же всё таки лучше хранить пароли/ключи и прочую лабуду - китайцы всё придумали за Вас))



Зубами правда пожертвовать придётся, но зато - весьма оригинально)

p.s. Ссылка на оригинальный пост

[taikuri13]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

В принципе, каждый выбирает сам для себя способ хранения паролей. Но могу сказать, что во многих вещах - лично я расчитываю вероятность того, что какое-либо событие произойдет иле не произойдет, это очень давняя привычка, уже многое происходит на автомате.

Так вот в схеме со стикерами - достаточно одного человека, который понимает о чем идет речь. Примером тут будут автомеханик с 20-и летним стажем, который определяет проблемы в машине по звуку, игрок в бильярд, который может определить уровень соперника до начала игры, только по стойке и мосту соперника.

Так и здесь. Один человек, который знает на что смотреть - и надо то всего-лишь сделать несколько фотографий. И то, что до сих пор такого человека не было около монитора со стикерами - только увеличивает вероятность его появления в будущем.

И да, 2FA не является лекарством от всех болезней.

[TopTort777]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

Евро я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела.

[cr0ssfa1th]

Практически любой пароль будет надежный, если ты никому не будешь разглашать свои данные, хотя бы ту же почту или логин...

[lovesmayfamilis]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

В принципе, каждый выбирает сам для себя способ хранения паролей. Но могу сказать, что во многих вещах - лично я расчитываю вероятность того, что какое-либо событие произойдет иле не произойдет, это очень давняя привычка, уже многое происходит на автомате.

Так вот в схеме со стикерами - достаточно одного человека, который понимает о чем идет речь. Примером тут будут автомеханик с 20-и летним стажем, который определяет проблемы в машине по звуку, игрок в бильярд, который может определить уровень соперника до начала игры, только по стойке и мосту соперника.

Так и здесь. Один человек, который знает на что смотреть - и надо то всего-лишь сделать несколько фотографий. И то, что до сих пор такого человека не было около монитора со стикерами - только увеличивает вероятность его появления в будущем.

И да, 2FA не является лекарством от всех болезней.

Добавлю, не стоит недооценивать женщин. Если они узнают число этой 4-х значной суммы, вам может грозить опасность

[taikuri13]

~
Евро я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела.

Все уборщицы, читающие этот форум многозначительно улыбнулись, теперь они точно знают, что надо делать

Я, конечно - не стану сомневаться в сашей памяти, но что произойдет, если внезапно этот листочек улетит в окно? Тем более, если 30 абракадабр - это хотя бы 10 паролей.

Даже если предположить, что абракадабра зашифрована каким-либо алгоритмом - все равно можно подобрать его, если есть несколько паролей, по основным используемым гласным, например.

[madnessteat]

~ Зубами правда пожертвовать придётся, но зато - весьма оригинально) ~

Не нужно ничем жертвовать.   В стакан с иммерсионной жидкостью прямо около монитора погрузить, никто не рискнет их достать оттуда.

~ я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела. ~

Я бы конечно не стал стикер с паролями клеить на монитор, даже дома. Как-то заказывали мебель, доставка была с нескольких магазинов. И вышло так, что все они привезли мебель в один день, естественно заносили домой. В этой суматохе один из добрых дядек грузчиков прикрутил ноги планшету ребенка. Один из таких добрых дядек может появиться и у вас на работе в ваше отсутствие, например, для ремонта кондиционера или еще чего-нибудь. Ваш стикер может уйти вместе с жестким диском за несколько минут.      

[soliton]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

Это можно проверить в том же KeePass. К примеру, возьмём 256-bit пароль, состоящий из 64 символов (цифры, буквы, спецсимволы):

Code:

3~sEh%5Ocnm..'qD":^SX7;eavLtCow%s|0|LyBzJ\AcQUf6Me7`"z:,@fnVcM9e

Стойкость такого пароля 393 бит.

Теперь возьмём такую же по длине фразу из вашего поста:

Code:

Не знаю правда или нет, но где-то читал, что пароль составленный

Стойкость такого пароля составляет 812 бит.

Возьмём перевод ваших слов на английский:

Code:

Don't know true or not, but I read somewhere that the password i

Стойкость такого пароля составит 248 бит.

Переведём на экзотику, например, на китайский (это всё те же 64 символа):

Code:

不知道是真还是假的，但我读的地方，密码是由几个单独的词比所有字符连续去，即使这些迹象是字母，数字和特殊字符的混合物密码安全得多。

Стойкость такого пароля будет аж 1024 бит.

Делаем выводы

Спасибо. Взял из всего вышеперечисленного  пароль с самой низкой  энтропией в 248 бит  и проверил на сайте касперского.. Получил что обычному компьютеру потребуется более 10000 веков, чтобы его взломать. Отныне в качестве своих паролей  решил  использовать наборы из 8 -12 случайных английских слов длиной не менее 6 знаков  . Думаю этого будет достаточно.

[taikuri13]

~
Спасибо. Взял из всего вышеперечисленного  пароль с самой низкой  энтропией в 248 бит  и проверил на сайте касперского.. Получил что обычному компьютеру потребуется более 10000 веков, чтобы его взломать. Отныне в качестве своих паролей  решил  использовать наборы из 8 -12 случайных английских слов длиной не менее 6 знаков  . Думаю этого будет достаточно.

Только не стоит забывать, что некоторые сайты не смогут принять сложные пароли. Некоторые их сайтов ограничивают пароли с кодировкой, но гораздо чаще встречаются такие, где для пароля установлен максимум символов. И по моей практике - рьычное ограничение это max. 20 символов.

А так-то полностью согласен, все что больше 6-и слов по этой схеме - ставит вероятность взлома где-то в 0.0000001%

[bakasabo]

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)

[an@sha]

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)

Можешь вот здесь посмотреть (указано время перебора паролей от 1 до 12 символов).
Если тебя интересует конкретно брутфорс, то всё зависит от длины пароля и соответственно твоих мощностей. Если пароль длинный, в целом - это гиблое дело.

Как раз из приведённый выше таблицы и поймёшь, почему в основном многие сервисы ограничиваются при регистрации 12-символьными паролями...
ИМХО, больше то оно как бы и не нужно.. если пароль не рядовой, не содержит целых слов, порядкового ряда из цифр и пр. - то этого за глаза.
Но всё равно стоит помнить, что и такие пароли время от времени необходимо менять 

[witcher_sense]

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для подсчета примерного времени перебора интересующего вас пароля, можно использовать данный ресурс: https://howsecureismypassword.net

Важно отметить, не проверяйте там пароль,  который затем будете использовать, копирование в буфер обмена снижает безопасность.

[taikuri13]

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для примерного времени перебора интересующего вас пароля,  можно использовать данный ресурс: https://howsecureismypassword.net

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

Ну а дальше  с удовольствием посмотрую на пару кейсов:

1. Поверят ли этому моему сообщению?
2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

В мире криптографии вопрос доверия уходит, потому что доверие словам заменяется другими инструментами.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

[witcher_sense]

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

По мне,  так лучше хоть какие-то входные данные, чем никаких.

1. Поверят ли этому моему сообщению?

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

Тут спорить не буду, я привел пример этого ресурса, потому что про КейПас было упомянуто,  а про этот нет. В любом случае,  каждому свое. Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

[taikuri13]

~
По мне,  так лучше хоть какие-то входные данные, чем никаких.

IF "входные данные" IS TRUE
ELSE...

А иначе от них нет смысла, они не дают даже намека.

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

У меня нет привычки темнить. Например я в открытую могу сказать, что у меня нет ни одной социальной сети

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

Согласен. Однако вот у приватного ключа вашего кошелька - тоже есть количество знаков.

Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

Уважаю, только дело в том, что кейпасс только на моем компьютере. А сторонний ресурс - нет. Он в открытом доступе и в интернете.

[witcher_sense]

~

У вас нет привычки темнить, значит теоретически вы когда-нибудь можете поделиться информацией, которая, на первый взгляд, не важна. Тогда довод про IF-ELSE теряет часть ELSE. И в них появится смысл.

При условии, что вы говорите правду - поделиться информацией, что у вас нет соцсетей гораздо безопаснее, чем обратный случай.

У приватного ключа есть количество знаков, это правда - так и подобрать его дело времени. Какого, я не уточняю.

Про кейпасс и вебсайт в интернете - они для разных уровней "параноидальности", тут все понятно.

[taikuri13]

~
Зы. Страницу Гибсона можно сохранить, перенести сохраненное на холодный комп и пользоваться там как инструментом для подсчета "взламываемости" последовательности, выбранной вами для своего пароля.

Прочитал с интересом. Не хочу ставить мнение Гибсона под вопрос, но скажу - что лично я против использования масок, а особенно, когда человек "найдет грааль" от взлома и будет маску на любой сайт засовывать.

Кроме простого брутфорса утечки паролей могут быть совершенно из разных мест, например с дырявого сайта, достаточно популярного. Если таких сайтов будет парочка, то простым анализом массива паролей - можно определить основные маски, так как символы в них будут одинаковыми (я так понимаю). А дальше все становится очень простым, так как к маске обычно добавляется пара символов, чтобы добиться "уникальности" и пароль идет своей дорогой, дальше.

Поэтому по подсчету - полностью согласен, здесь действительно сложнее. Но "человеческий фактор" способен погубить практически любой математический расчет. И, исходя из этого - кроме сложности, следует задуматься о том, куда заходит ваш новый, прекрасно придуманный пароль. И разделить риски, от минимального - до максимального.

[taikuri13]

~
Предложенный подход должен быть использован исключительно для особых случаев, а именно случаев, когда пароль никогда не должен быть забыт (утерян). У меня таких случаев всего 3:
~

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

[kudryashov]

Любые пароли связаннае с вами - скомпрометированы
Любые повторяющиеся пароли - скомпрометированы
Любые пароли зафиксированные где либо - скомпрометированы
и это еще не все аксиомы.

[fxsloker]

Да, я с этим полостью согласен, есть основные пароли, которые должны быть в голове и с намеками, на разные случаи. Но вот менеджер паролей у меня хоть и сделан во многом похожим на ваш способ, все равно - основные пароли сдублированы в контейнер, как дополнительная альтернатива именно софту подобного менеджера.

Иначе говоря - дубль основного, там не все 502 пароля, а гораздо меньше, те пароли, которые будут необходимы.

Здравствуйте. Встречал ваши сообщения на форуме по поводу паролей да и в целом по безопастности. Мне понравился ваш метод хранения паролей и информации, доступ к которым можно получить из любой точки мира и с любого компьютера при этом все довольно защищено. Я вывел для себя некоторые правила после гугления и поиска по форуму:

1. Все пароли храню в KeePass. Мастер-пароль генерирую с помощью подбрасывания кости и выбора соотвествующих слов из словаря. Запоминаю и записываю на бумагу.
2. Создаю PGP приватный ключ и к нему пароль, который генерирую методом из первого пункта. Запоминаю пароль и записываю.
3. Очень важные пароли и другую информацию записываю в текстовый файл и шифрую c помощью PGP.
4. Создаю аккаунты на 3х облаках и генерирую для них пароли как в пункте 1. Запоминаю, записываю.
5. Кладу PGP приватник, базу с паролями, файл с важной информацией в контейнер и генерирую пароль методом из пункта 1. Запоминаю пароль, записываю.
6. Заливаю контейнер на все облака.

Схема получается довольно сложная, но самое главное на выходе нужно запомнить 5 паролей. Ну если еще и сид от биткоин кошелька, то уже 6. Можете поделиться как упростить решение для запоминания хотя бы только 2х паролей или даже 1го, а не 6, чтобы даже если я оказался в другой стране без своего ноутбука, то мог бы получить доступ ко всей своей информации? Если вы не против, то поделитесь пожалуйста в деталях, мне очень интересно ваше мнение.

[Ded_Kronchs]

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

[witcher_sense]

Я считаю, что люди не способны генерировать случайные пароли. Поэтому, чтобы создать действительно надежный пароль лучше стоит воспользоваться сервисами генерации паролей. И вот сгенерированные пароли уже можно заучить и записать на бумажке. Электронным носителям не очень доверяю )

Не обязательно пользоваться программными генераторами паролей, тем более это может быть не совсем безопасно, что приведет к взлому вашей учётной записи. Даже если вы и можете придумать относительно случайный пароль, или к примеру попросите вашу кошку походить по клавиатуре, это тоже не может считаться безопасным, така кейлоггеры никто не отменял. Оптимальным вариантом будет оффлайн генерация парольной фразы, используя один из стандартных словарей и набор разноцветных кубиков. Заранее записав последовательность цветов, вы можете бесстрастно сгенерировать парольную фразу из нескольких слов, которые при желании можно даже запомнить (например, для перевоза через границу или опасную зону).