[Инструкция] Как создать надёжный пароль

[an@sha]

Автор: [GreatArkansas]    [Оригинальный топик]                              Thanks whotookmycrypto & OmegaStarScream.

Приветствую всех!

Нашёл довольно простую, но в тоже время и достаточно серьёзную тему, которой многие (знаю по себе) порой пренебрегают  - "Создание по истине надёжных паролей". Америку она Вам вряд ли откроет, несомненно что-то похожее можно найти и на просторах сети - но я столкнулся с этим именно здесь, поэтому здесь же с Вами и делюсь. Отсебятины здесь практически нет, не люблю чужой труд переделывать под себя. Ваши предложения, мысли на этот счёт и всевозможные поправки жду в комментариях  

[image]

Наверняка Вы обращали внимание что при регистрации на большинстве сайтов (будь то криптобиржа, форум, соц. сети или электронная почта) нас просят указать пароль соответствующий определённым характеристикам, но следовали ли Вы им? да, порой без этого никак, ибо в ином случае просто не пройдёт регистрация... но может тогда Вы использовали лёгкий/короткий пароль? а может и вовсе используете общие пароли на различных сервисах? В общем - это плохая затея! Используя надёжный пароль, тем самым Вы делаете свои данные (учётные записи) более защищёнными и менее уязвимыми для хакеров.

И перед тем как перейти к обсуждению создания надёжных паролей давайте сперва рассмотрим те, которые впредь использовать НЕ следует.

1. Все эти пароли очень распространены и Вы не должны их использовать!

• 123456
• abcdefg
• abc12345
• password
• password123
• ТОП-25 распространённых паролей 2018 г.

2.  Никогда не используйте пароли содержащие Вашу личную информацию, такую как:

• Имя
• Дата рождения
• Место рождения
• Ваш адрес

Причина по которой Вы никогда не должны включать личные данные в свои пароли банальна, раздобыв их, у злоумышленника появляется высокая вероятность подборки пароля.

3. Никогда не используйте замену (цифры вместо букв или же наоборот)
Примеры:

• D0gH0us3
• W33kdays
• IL0v3D0gs

Данные пароли легко взламываются брутфорсом, путём перебора различных вариаций слова.
Создание надёжных паролей

Поскольку мы уже знаем какие типы паролей использовать не следует - переходим к созданию надёжного и безопасного пароля, итак:

• Делайте Ваш пароли длинными,
  смешивайте строчные и заглавные буквы (A-Z, a-z),
  добавляйте цифры (0-9),
  и специальные символы, такие как: (&^$#)
  В идеале должно получиться что-то вроде S5#A$B1dpqzM^UMk, правда такой пароль уже очень тяжело запомнить.
  
  Так как же запомнить пароли такого вида?!
  
  
• Метод предложения:
  Идея этого метода заключается в том, что Вы просто создаёте пароль из какого либо случайного или придуманного Вами предложения.
  Например:
  Берём по 2 первых символа от каждого из слов в предложении "I Was Born At 2:35pm In The Country Of Germany"
  Результат:  IWaBoAt2:InThCoOfGe
  
  
• Использование парольной фразы
  Парольная фраза состоит из различных слов, рандомность каждого слова делает её более надёжной.
  
  Например:
  "Dog in the dark" -  Слово имеет смысл и грамматически упорядоченно (собака в темноте).
  "hulk touch adjourn omega" - Фраза бессмысленная, грамматически не связана (халк касаться откладывать омега)
  Вот её Вы можете и использовать в качестве пароля добавив лишь некоторые изменения - сделав каждый второй символ каждого слова заглавным + добавив специальных символов между словами.
  Итог: hUlk&tOuch$aDjourn@oMega
   
  Вы также можете использовать здесь и вышеописанный Метод предложения, всё также берём первые 2 символа каждого слова, каждый второй символ делаем заглавным + рандомно ставим спец. символы.
  "hUlk tOuch aDjourn oMega".
  Результат:  hU#tO!aD*oM$
  
  
• Используем генератор случайных паролей
  
  

  ~
  https://keepass.info/   (имеется русский язык)
  С помощью KeePass Вы можете создавать надёжные пароли всего за несколько простых шагов.
  
  Шаг 1: Жмём "Добавить запись"
  Шаг 2: Жмём "Создать пароль"
  Шаг 3: Из выпадающего списка выбираем сложность пароля
  
  P.s. При необходимости:
  после Шага 1 добавляем "Название" к создаваемому паролю, "Логин", "Ссылку" на источник и необходимые заметки;
  при Шаге 2 можем выбрать "Открыть генератор паролей..." и указать интересующие нас параметры при генерировании пароля.
  
  
  -
  
  
  Стоит также отметить, что использование менеджеров паролей решает вышеупомянутую проблему с запоминанием трудных/сложных паролей.
  

  
  Можно воспользоваться Random Password Generator от Avast.
  Также генерирует случайные пароли, имеется возможность вкл./отл. дополнительные параметры
  
  
  
  Единственная проблема в том, что это всё трудно запомнить, но Вы можете генерировать пароли до тех пор пока не найдёте тот которым будет Вам по душе)
  
  
• Password Manager
  Использование менеджера паролей будет полезно при использовании различных паролей на сайтах.
  Я предлагаю для этих целей использовать https://keepass.info/, это бесплатный проект с открытым исходным кодом.
  
  
  
  Подробную инструкцию по русификации KeePass, установке, созданию базы с паролями и пр., Вы сможете найти по ЭТОЙ ссылке.
  

Вывод

• Ни с кем не делитесь своими паролями.
  
• Для каждой учётной записи используйте новый, отличный от предыдущего пароль.
  
• Всегда создавайте длинные пароли (минимальный рекомендуемый размер пароля от 8 до 12 символов).
  
• Избегайте хранения паролей в интернете (на файлообменниках, в облаках и пр.).
  
• Всегда используйте двухфакторную (2FA) или мультифакторную аутентификацию (MFA).
  
• Избегайте фишинговых сайтов (проверяйте ссылки), ибо в этом случае будет абсолютно не важно насколько хорош был Ваш пароль.
  

Источники:
Как создать надежный пароль
Как создать надежный пароль (и запомнить его)
Как создать безопасный пароль

↓↓↓ Ваши идеи по созданию качественных и надёжных паролей жду в комментариях ↓↓↓

.

[1713567449]

1713567449

[1713567449]

1713567449

[1713567449]

1713567449

[1713567449]

1713567449

[an@sha]

Резерв

[Andrey123]

Сторонние проги вообще не стоит использовать.

Только свой набор и листик, который надёжно будет спрятан.
И можно добавлять ещё пару символов в конце, но их держать в голове.

И если кто-то украдёт листик, пароль не сможет использовать.

[an@sha]

Сторонние проги вообще не стоит использовать.

Только свой набор и листик, который надёжно будет спрятан.
И можно добавлять ещё пару символов в конце, но их держать в голове.

И если кто-то украдёт листик, пароль не сможет использовать.

В целом - обеими руками за, но чем дальше - тем сложнее.
Количество сервисов требующих регистрацию растёт в геометрической прогрессии, запомнить всё - просто не представляется возможным.
Записывать? Ну то ещё занятие (тот же листик могут найти, повредить, выкинуть и пр.) Делать копии? Ну фиг знает, возможно.

+ Эта далеко не безопасная, но так ускоряющая и упрощающая работу система по сохранению паролей (в том же браузере), доводящая до отупения))
Если раньше необходимо было извилины напрягать, теперь возможно всё автоматизировать и забить на это (что собственно и происходит у большинства).
 
P.S. Зашёл недавно на https://bpip.org в свой аккаунт и акуел, у меня было 5 восстановлений паролей)))
И вроде смешно, и в то же время в голове уже такое количество паролей что чем заниматься их перебором (раз уж забыл) - проще его "обновить" через восстановление.

P.S.S. Идея с неполностью записанными паролями мне по нраву  

[TopTort777]

Использую пароль в виде "какой-то предмет на столе/бренд+цифра или несколько цифр+какой-то символ или комбинация"

Получится типа Pioneer332$$. Как думаете, подобное можно взломать брутфорсом?

[taikuri13]

~
P.S.S. Идея с неполностью записанными паролями мне по нраву 

Точно, имея такой листик в руках - достаточно подобрать последние три символа брутфорсом. Такой способ хранения паролей не является новым и достаточно хорошо известен и другой стороне вопроса.

Использую пароль в виде "какой-то предмет на столе/бренд+цифра или несколько цифр+какой-то символ или комбинация"

Получится типа Pioneer332$$. Как думаете, подобное можно взломать брутфорсом?

Абсолютно без разницы какие символы и цифры вы будете использовать. Конечно школьники пойдут по основным базам паролей из известных слов и букв, но для сложности пароля - основная характеристика это его длина.

По сути, если перебор работает с большой скоростью, то в него можно добавить (базу для брутфорса) все возможные комбинации с клавиатуры, можно сгенерировать такую базу используя оснвные слова, добавляя к ним 3-4 символа, это проще, либо же просто загнать туда все варианты, дольше и сложнее.

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

[an@sha]

~
P.S.S. Идея с неполностью записанными паролями мне по нраву  

Точно, имея такой листик в руках - достаточно подобрать последние три символа брутфорсом. Такой способ хранения паролей не является новым и достаточно хорошо известен и другой стороне вопроса.

Ну там ещё угадай, это чисто предложение которое в действительности каждый уже может доработать под себя (выработать определенную схему/принцип и в дальнейшем применять ко всем своим паролям).
Как вариант, можно разместить часть символов в начале - часть в конце или быть может часть после первой и часть перед последней буквой/цифрой. Тут уже насколько фантазии хватит, главное не увлечься.

P.s. Ну и про длину Вы верно подметили. Не так важна сложность пароля - как его длина!
Как раз таки тем же брутфорсом будет куда проще подобрать пароль вида ^#8df7f, чем пароль вида MamaYaVDubae.2019 

[TopTort777]

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

Но если рассуждать логически, ни один пароль не является безопасным. Со временем все можно взломать банальным брутфорсом. Одно только спасает - никто не знает сколько времени понадобится взломщику.

Поэтому единственное верное решение - чаще менять пароли.

[imhoneer]

Раз уж здесь озаботились логинами и паролями и возможно кто-то делает сайт и хочет сделать реальную защиту от брутфорса. Понятно, что можно сделать и с приватными ключами, но это не очень удобно может быть, поэтому предлагаю рассмотреть мой вариант Когда прямой и обратный брутфорс бессмысленны.

[an@sha]

Поэтому повторяющиеся буквы и символы с основным словом - я не считаю безопасным паролем

Но если рассуждать логически, ни один пароль не является безопасным. Со временем все можно взломать банальным брутфорсом. Одно только спасает - никто не знает сколько времени понадобится взломщику.

Поэтому единственное верное решение - чаще менять пароли.

Вот хороший комментарий на этот счёт из англоветки с подробным разбором, как 4 простых случайных слова в 1 трлд раз превосходят на первый взгляд довольно сложный пароль.

~
To completely mitigate dictionary attacks which are targeted at you, use random words.

The classical password correct battery horse staple is about 10¹² (= 1.000.000.000.000) times stronger than IWaBoAt2:InThCoOfGe:


correct battery horse staple:
- lowercase + special chars (even tho its just 1 it has to be considered) = charset of 58
- 28 Characters

=> 58²⁸ possibilities => ~ 2.37x 10⁴⁹


IWaBoAt2:InThCoOfGe:
- Lower- + Uppercase + special chars (even tho its just one it has to be considered) + numbers = charset of 94
- 19 Characters

=> 94¹⁹ possibilities => ~ 3.08 x 10³⁷

So, to summarize:

Length beats complexity!

Раз уж здесь озаботились логинами и паролями и возможно кто-то делает сайт и хочет сделать реальную защиту от брутфорса. Понятно, что можно сделать и с приватными ключами, но это не очень удобно может быть, поэтому предлагаю рассмотреть мой вариант Когда прямой и обратный брутфорс бессмысленны.

Спасибо, занятно, на досуге обязательно почитаю Ваши мысли.

[taikuri13]

~
Ну там ещё угадай, это чисто предложение которое в действительности каждый уже может доработать под себя (выработать определенную схему/принцип и в дальнейшем применять ко всем своим паролям).
Как вариант, можно разместить часть символов в начале - часть в конце или быть может часть после первой и часть перед последней буквой/цифрой. Тут уже насколько фантазии хватит, главное не увлечься.
~

Тут есть большая разница. Между школьником, который начитался форумов и скачав пару инструментов, начал ломать пароли и взрослым дядей, весь рабочий день которого связан с тем, что надо "угадать".

Вот во втором случае - прорабатывается огромное количество вариантов, причем к этим вариантам уже добавлен анализ основных баз паролей, которые выкладываются после взломов. И именно оттуда формируются основные схемы подбора.

После того, как кучу лет говорили людям отовсюду, что не надо использовать цифры дня рождения в пароле - люди стали изобретательнее, но природная лень помогает добавлять пару знаков в середину, пару цифр в конец и такой пароль считается защищеннным, хотя это совсем не так.

Первое - это определение ценности информации по категориям и возможный ущерб от потери такого пароля. И одно дело, когда взлом пароль от сайта с кулинарными рецептами и совершенно другое дело, когда уходит пароль от важной почты.

Поэтому, можно 50-символов в кодировке влепить на кулинарию, зашифровать и записать в КейПасс. Но насколько это целесообразно?
И отсюда - стоит думать, как человек, задача которого взломать ваши пароли. То есть, получив данные к этой почте - можно получить - это и вот это. Если это спокойно можно потерять - то здесь уровень безопасности один.

И по поводу привязки паролей с пинкодами - к почте. Почта - всегда один из не очень надежных инструментов, поэтому я бы не стал использовать ее, как единственный способ и доступ к паролю. Даже при сложных схемах.

[lovesmayfamilis]

еще один интересный способ
   источник
копипаст! очень уж заинтересовало ваше мнение.

Сегодня я попытаюсь донести до вас свою схему создания уникальных сложных и легкозапоминаемых паролей. Думаю, многие из вас скажут, что хороший пароль - это как минимум 20 символов никак не связанных друг с другом и запомнить его невозможно, тем более разные пароли для каждого сервиса.
Но! Сейчас я вам покажу как мы будем использовать сложные уникальные и легкозапоминаемые 64-значные пароли, разные для каждого сайта и сервиса.
Итак, приступим:
1. Для начала мы придумаем пароль, который мы можем вспомнить даже если разбудить в 3 часа ночи.
Пусть это будет ded_mazay123. Это один из двух пунктов, который нам нужно запомнить.
2. Далее мы хэшируем наш наш пароль в одном или нескольких (что лучше) алгоритмах шифрования (Например: sha256).
Переходим на сайт https://2ip.ua/ru/services/useful-service/text-encryption или любой другой. Я выбрал именно его, т.к. здесь все собрано в одном месте и не нужно переключаться между вкладками, когда хешируешь в разных алгоритмах.
Итак, вводим свой пароль, выбираем алгоритм шифрования и, собственно шифруем наш пароль

В итоге имеем уже не такой простой 64-значный пароль. Но мы на этом не остановимся и пойдем дальше.
3. Берем наш получившийся хеш и шифруем уже его и получаем, так скажем, хэш хеша.

Далее, наш получившийся хеш зашифруем в другом алгоритме sha512

В принципе этого будет достаточно и мы имеем 128-значный пароль, но не всегда сервисы примут такой пароль. Иногда стоит ограничение на длину пароля.
Шифранем наш 128-значный хэш еще раз в sha256

Итак, что мы имеем в итоге?
Мы имеем уникальный сложный пароль, состоящий из 64 символов, который, в случае чего будут брутить вечность. При этом у нас есть ассоциация этого пароля с нашим, который мы придумали вначале.
Т.е. вся суть в том, что мы запоминаем простой пароль и, главное запоминаем алгоритм хеширования нашего пароля. В моем случаем это выглядит так "ded_mazay123" => sha256 =>sha256 => sha512 => sha256.
Итог: сложный, уникальный и при этом легко запоминаемый пароль, который будет очень проблематично сбрутить.
Теперь перейдем к главной теме. Устанавливаем уникальные пароли для каждого сервиса.
Для этого мы опять же используем наш легкий пароль, при этом мы добавляем наш сайт перед паролем ([сайт][пароль])
Для wwh это будет wwh-club.netded_mazay123, для почты dedmazay@gmail.comded_mazay123 и т.п. Наш шаблон мы можем создать как угодно, главное его запомнить.
И дальше по нашей схеме выше мы хэшируем наши пароли по нашим алгоритмам

И дальше по шаблону "wwh-club.netded_mazay123" => sha256 =>sha256 => sha512 => sha256
Напомню, шаблон мы придумываем сами. Хоть 10 раз в sha512 и 15 раз в sha256.
В окончательном итоге мы имеем схему создания нашего сложного пароля на основе легкозапоминаемого пароля и алгоритма прогонов этого простого пароля. При этом у нас будет уникальный пароль для каждого сервиса.

[Kriptopsina]

Когда регистрируешься на нескольких сайтах, то да можно придумать сложный пароль и запомнить его. Но что делать, когда региструиешься на десятках или сотнях.
Я использую метод личной формулы, которую сам для себя придумал. И такую формулу использую для создания пароля.
По хорошему она должна иметь разную сложность для разных сайтов.

К примеру мы регистрируемся на сайте pepa.com

1. Сайт на котором вы регистрируетесь начинается на согласную. pepa.com
Значит пароль будет начинаться на имя вашего лучшего друга детства. - Гена
2. Вы вспоминаете в каком месяце у него день рождения - Апрель. Четвертый месяц.
Адрес сайта состоит из 4х букв, значит прибавим к апрелю 4 и получаем 08.
3. Далее сайт заканчивается на гласную А  - это значит, что надо записать имя своей первой девушки (Лена), заменив все согласные на эту гласную. И получаем Аеаа

...
получаем пароль: Гена08Аеаа

Каждый может придумать для себе эти правила. Стоит лишь подключить фантазию. Но главное установив эти правила, не лениться их применять. По началу сложно. Но потом ты с легкостью заходишь на разные сайты со своим уникальным паролем с регулируемым тобой уровнем защиты.

Может это и немного бредово выглядит, но мне нравится)

[an@sha]

еще один интересный способ
очень уж заинтересовало ваше мнение.
~

Вполне имеет место быть, но есть пара моментов в которых я немного не догоняю.

1. По хорошему можно тогда с "первоначальным" паролем и вовсе же не загоняться?
Какой смысл использовать ded_mazay123 (хотя сложного в его запоминании и ничего нет), когда я могу использовать хоть свой ник с форума... а там уже попробуй догадайся сколько раз я его шифровал и в каком порядке и какими алгоритмами. ИМХО - без вариантов.

2. Второй момент, пожалуй самый главный.
Шифровать онлайн? ок, можно, только насколько это безопасно? я думаю не очень, от слова совсем.
Другое дело искать альтернативу, какую-то незамысловатую прогу?! Вопрос открыт, Ваши мнения.

~
Может это и немного бредово выглядит, но мне нравится)

Ты можешь не беспокоиться за свою безопасность, такая логика никому не по зубам 

[taikuri13]

Можно пойти путем он-лайн шифрования, можно самому придумать свой алгоритм шифрования.

Тут какие- угодно схемы могут быть. Однако, если говорить про выбор программы, которая способна и хранить и генерировать сложные пароли, то практически в любом случае можно придти к известным, много лет работающим open source инструментам.

Полный список (да, эта тема в Разном) #ShareATool

И среди этих инструментов - существует менеджер паролей, достаточно долгое время. KeePassXС

Открытый код - значит его проверяли, причем скорее всего не один человек. Думаю, что понятно - что даже при намеке на опасность использования, этим менеджером бы никто не пользовался, и было бы огромное количество ссылок и статей. Но этот менеджер существует и работает. И работает не в он-лайне.

Следующий неплохой инструмент - это PGP-шифрование PGP Подпись - Шифровка / Дешифровка сообщения

Зашифровав свой пароль в блокноте, например - никто не сможет расшифровать, без доступа к ключу. Тоже хороший инструмент, тоже в списке.

Каждый выбирает сам, танцевать ли при помощи он-лайн шифрования, выбрать свой алгоритм, либо использовать инструменты. Скажу только, что любой алгоритм пароля не имеет значения, если полученный пароль будет в 8 симоволов. Все комбинации из 8-и символов могут подобраться достаточно быстро. И с каждым годом - все быстрее и быстрее.

ps: Не надо верить - изучайте и проверяйте самостоятельно.

[FontSeli]

Как вы думаете, что в первую очередь ищет вирус забравшийся на ваш компьютер? Конечно же ваши пароли.
Как вы думаете, есть ли в алгоритме вируса задание искать наиболее популярные программы по хранению паролей?
В программы по генерации паролей можно внедрить троян, который также может транслировать ваш пароль кому нужно. И внедрить его могут не только в дистрибутив программы, но и при заражении компьютера вирусом. Поверьте, даже самый крутой антивирус, с регулярно обновляемыми базами не дает 100% защиты вашего компьютера от вирусов и троянов.


Для хорошего пароля нужно всего вот это: буквы нижнего и верхнего регистра, символы по типу %;@#$!*& и т.д. и цифры. Комбинация должна иметь как минимум восемь букв/цифр/символов, но чем больше тем лучше. Желательно чтобы пароль не имел никакого логического значения типа Alex1974 и т.д.
Хранить пароли лучше в записной книге. Если хотите их хранить на компе, то лучше записать на бумаге, сфотографировать и уже как jpeg хранить на компе или флешке (естественно, название должно быть нейтральным). Ни в коем случае не храните пароли в файлах с текстовым расширением - в случае взлома компьютера ищут прежде всего в них. Я понимаю, что удобнее всего копировать из текстового файла в поле ввода, но это не безопасно.

И еще никогда не используйте один и тот же пароль для различных аккаунтов.

[melomanskiy]

Хорошая тема. Я конечно не сторонник различного софта для паролей, порой даже и гугл хрому не доверяю и не сохраняю пароль. Хотя источников где зарегистрирован очень много и поэтому приходится порой использовать один и тот же пароль на несколько сайтов. Согласен, что не безопасно, но что поделать. А советы топ) теперь буду знать как надо создавать сложные пароли)

[TopTort777]

Хорошая тема. Я конечно не сторонник различного софта для паролей, порой даже и гугл хрому не доверяю и не сохраняю пароль. Хотя источников где зарегистрирован очень много и поэтому приходится порой использовать один и тот же пароль на несколько сайтов. Согласен, что не безопасно, но что поделать. А советы топ) теперь буду знать как надо создавать сложные пароли)

Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

[soliton]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

[Xal0lex]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

Это можно проверить в том же KeePass. К примеру, возьмём 256-bit пароль, состоящий из 64 символов (цифры, буквы, спецсимволы):

Code:

3~sEh%5Ocnm..'qD":^SX7;eavLtCow%s|0|LyBzJ\AcQUf6Me7`"z:,@fnVcM9e

Стойкость такого пароля 393 бит.

Теперь возьмём такую же по длине фразу из вашего поста:

Code:

Не знаю правда или нет, но где-то читал, что пароль составленный

Стойкость такого пароля составляет 812 бит.

Возьмём перевод ваших слов на английский:

Code:

Don't know true or not, but I read somewhere that the password i

Стойкость такого пароля составит 248 бит.

Переведём на экзотику, например, на китайский (это всё те же 64 символа):

Code:

不知道是真还是假的，但我读的地方，密码是由几个单独的词比所有字符连续去，即使这些迹象是字母，数字和特殊字符的混合物密码安全得多。

Стойкость такого пароля будет аж 1024 бит.

Делаем выводы