[Инструкция] Как создать надёжный пароль

[taikuri13]

~
Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

Бумага не долго живет, если брать десятилетия. Пароль может выцвести, бумага на солнце может пожелтеть, а в сырости - буквы могут расплыться.

Заламинировать подобную бумагу - как один из возможных вариантов, но возникает вопрос в трнаспортировке. Когда дома с такой бумажкой - все легко и хорошо. Но вывозить ее через границу, при возможном личном досмотре - уже будет проблемой, так как к ней могут получить санкционированный доступ.

Да и хранение дома подобной бумаги - ничем не защищено от третьих лиц.

Поэтому каждый решает для себя, какой способ защиты информации ему лучше всего. Есть мнение, что шифрование всего и несколько копий в разных местах - очень хороший способ хранения. Потому что сложно поверить в то, что несколько крупных сервисов, например при хранении в облаке - накроются одновременно.

[TopTort777]

~
Записывай на бумажку пароли, если не хочешь нигде сохранять на сайтах/программах. Такой "носитель инфы с паролями" уж точно никто случайно не украдет и не подсмотрит.

Бумага не долго живет, если брать десятилетия. Пароль может выцвести, бумага на солнце может пожелтеть, а в сырости - буквы могут расплыться.

Заламинировать подобную бумагу - как один из возможных вариантов, но возникает вопрос в трнаспортировке. Когда дома с такой бумажкой - все легко и хорошо. Но вывозить ее через границу, при возможном личном досмотре - уже будет проблемой, так как к ней могут получить санкционированный доступ.

Да и хранение дома подобной бумаги - ничем не защищено от третьих лиц.

Поэтому каждый решает для себя, какой способ защиты информации ему лучше всего. Есть мнение, что шифрование всего и несколько копий в разных местах - очень хороший способ хранения. Потому что сложно поверить в то, что несколько крупных сервисов, например при хранении в облаке - накроются одновременно.

Ламинировать не дело, ведь на бумажку надо будет добавлять новые пароли

Бумагу можно обновлять, переписав пароли. Так заодно пароли и запомнятся.

Третье лица будут интересоваться бумажкой только в том случае, если будут целенаправленно рыть в этом направлении. У меня на работе (опен спейс) на мониторе приклеен стикер с паролями. Годами я его обновляю (банально отклеивается) и никто не позарился на него. Ни коллеги, ни уборщицы, ни какие-нибудь наемные мойщики окон.

[JohnSilver]

Stanford PwdHash: https://crypto.stanford.edu/pwdhash/

Также можно скачать страничку и пользовать офлайн: https://pwdhash.github.io/website/

[taikuri13]

~
Бумагу можно обновлять, переписав пароли. Так заодно пароли и запомнятся.

Третье лица будут интересоваться бумажкой только в том случае, если будут целенаправленно рыть в этом направлении. У меня на работе (опен спейс) на мониторе приклеен стикер с паролями. Годами я его обновляю (банально отклеивается) и никто не позарился на него. Ни коллеги, ни уборщицы, ни какие-нибудь наемные мойщики окон.

А это смотря насколько сложные пароли. Если это короткий, до 16-и символов, со словами и цифрами - то вопрос сразу, сколько же таких паролей способна запомнить голова? Причем, с условием - не каждодневного использования, а где-то раз в месяц.

5-10? 10 уже будет очень серьезным показателем. Только такие пароли достаточны просты, а случайный набор при генерации KeyPass-ом, да еще и символов в 36 - врядли может запомнить даже самая светлая голова, особенно при условиях, которые написаны выше.

А в открытости бумажки с паролем - есть и минусы. Одно дело, когда на него смотрит уборщица и совсем другое дело, когда на такую бумажку посмотрит человек хотя бы с минимумом знаний. Он-то знает на что смотреть.

Хотя каждый расчитывает риски для себя. Возможно просто нечем рисковать

[TopTort777]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

[an@sha]

Тут это... в англоветке забавная картинка проскочила, не смог обойти её стороной))
В общем, если ломаете голову над тем так где же всё таки лучше хранить пароли/ключи и прочую лабуду - китайцы всё придумали за Вас))



Зубами правда пожертвовать придётся, но зато - весьма оригинально)

p.s. Ссылка на оригинальный пост

[taikuri13]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

В принципе, каждый выбирает сам для себя способ хранения паролей. Но могу сказать, что во многих вещах - лично я расчитываю вероятность того, что какое-либо событие произойдет иле не произойдет, это очень давняя привычка, уже многое происходит на автомате.

Так вот в схеме со стикерами - достаточно одного человека, который понимает о чем идет речь. Примером тут будут автомеханик с 20-и летним стажем, который определяет проблемы в машине по звуку, игрок в бильярд, который может определить уровень соперника до начала игры, только по стойке и мосту соперника.

Так и здесь. Один человек, который знает на что смотреть - и надо то всего-лишь сделать несколько фотографий. И то, что до сих пор такого человека не было около монитора со стикерами - только увеличивает вероятность его появления в будущем.

И да, 2FA не является лекарством от всех болезней.

[TopTort777]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

Евро я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела.

[cr0ssfa1th]

Практически любой пароль будет надежный, если ты никому не будешь разглашать свои данные, хотя бы ту же почту или логин...

[lovesmayfamilis]

Размер риска - 4-х значная сумма 
У меня на мониторе желтый большой стикер с примерно 15 паролями и вокруг в основном женский коллектив, которому до крипты нет дела 

Зв пароли и их простоту/сложность не переживаю, тк везде еще стоит 2FA

Надеюсь, что эта сумма в рублях

В принципе, каждый выбирает сам для себя способ хранения паролей. Но могу сказать, что во многих вещах - лично я расчитываю вероятность того, что какое-либо событие произойдет иле не произойдет, это очень давняя привычка, уже многое происходит на автомате.

Так вот в схеме со стикерами - достаточно одного человека, который понимает о чем идет речь. Примером тут будут автомеханик с 20-и летним стажем, который определяет проблемы в машине по звуку, игрок в бильярд, который может определить уровень соперника до начала игры, только по стойке и мосту соперника.

Так и здесь. Один человек, который знает на что смотреть - и надо то всего-лишь сделать несколько фотографий. И то, что до сих пор такого человека не было около монитора со стикерами - только увеличивает вероятность его появления в будущем.

И да, 2FA не является лекарством от всех болезней.

Добавлю, не стоит недооценивать женщин. Если они узнают число этой 4-х значной суммы, вам может грозить опасность

[taikuri13]

~
Евро я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела.

Все уборщицы, читающие этот форум многозначительно улыбнулись, теперь они точно знают, что надо делать

Я, конечно - не стану сомневаться в сашей памяти, но что произойдет, если внезапно этот листочек улетит в окно? Тем более, если 30 абракадабр - это хотя бы 10 паролей.

Даже если предположить, что абракадабра зашифрована каким-либо алгоритмом - все равно можно подобрать его, если есть несколько паролей, по основным используемым гласным, например.

[madnessteat]

~ Зубами правда пожертвовать придётся, но зато - весьма оригинально) ~

Не нужно ничем жертвовать.   В стакан с иммерсионной жидкостью прямо около монитора погрузить, никто не рискнет их достать оттуда.

~ я просто не афиширую от чего пароли. Деньги любят тишину.
Висит себе бумажка с 30 абракадабрами и висит. Никому нет дела. ~

Я бы конечно не стал стикер с паролями клеить на монитор, даже дома. Как-то заказывали мебель, доставка была с нескольких магазинов. И вышло так, что все они привезли мебель в один день, естественно заносили домой. В этой суматохе один из добрых дядек грузчиков прикрутил ноги планшету ребенка. Один из таких добрых дядек может появиться и у вас на работе в ваше отсутствие, например, для ремонта кондиционера или еще чего-нибудь. Ваш стикер может уйти вместе с жестким диском за несколько минут.      

[soliton]

Не знаю правда или нет, но где-то читал, что пароль составленный из нескольких отдельных слов гораздо надежнее, чем пароль, в котором все знаки идут подряд, даже если эти знаки представляют собой смесь букв, цифр и спецсимволов. Кто может подтвердить или опровергнуть?

Это можно проверить в том же KeePass. К примеру, возьмём 256-bit пароль, состоящий из 64 символов (цифры, буквы, спецсимволы):

Code:

3~sEh%5Ocnm..'qD":^SX7;eavLtCow%s|0|LyBzJ\AcQUf6Me7`"z:,@fnVcM9e

Стойкость такого пароля 393 бит.

Теперь возьмём такую же по длине фразу из вашего поста:

Code:

Не знаю правда или нет, но где-то читал, что пароль составленный

Стойкость такого пароля составляет 812 бит.

Возьмём перевод ваших слов на английский:

Code:

Don't know true or not, but I read somewhere that the password i

Стойкость такого пароля составит 248 бит.

Переведём на экзотику, например, на китайский (это всё те же 64 символа):

Code:

不知道是真还是假的，但我读的地方，密码是由几个单独的词比所有字符连续去，即使这些迹象是字母，数字和特殊字符的混合物密码安全得多。

Стойкость такого пароля будет аж 1024 бит.

Делаем выводы

Спасибо. Взял из всего вышеперечисленного  пароль с самой низкой  энтропией в 248 бит  и проверил на сайте касперского.. Получил что обычному компьютеру потребуется более 10000 веков, чтобы его взломать. Отныне в качестве своих паролей  решил  использовать наборы из 8 -12 случайных английских слов длиной не менее 6 знаков  . Думаю этого будет достаточно.

[taikuri13]

~
Спасибо. Взял из всего вышеперечисленного  пароль с самой низкой  энтропией в 248 бит  и проверил на сайте касперского.. Получил что обычному компьютеру потребуется более 10000 веков, чтобы его взломать. Отныне в качестве своих паролей  решил  использовать наборы из 8 -12 случайных английских слов длиной не менее 6 знаков  . Думаю этого будет достаточно.

Только не стоит забывать, что некоторые сайты не смогут принять сложные пароли. Некоторые их сайтов ограничивают пароли с кодировкой, но гораздо чаще встречаются такие, где для пароля установлен максимум символов. И по моей практике - рьычное ограничение это max. 20 символов.

А так-то полностью согласен, все что больше 6-и слов по этой схеме - ставит вероятность взлома где-то в 0.0000001%

[bakasabo]

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)

[an@sha]

Кто-то знает, на сколько быстро взломается пароль из 20 символов, чем пароль из 10 символов ? (наверно методом брутфорса)

Можешь вот здесь посмотреть (указано время перебора паролей от 1 до 12 символов).
Если тебя интересует конкретно брутфорс, то всё зависит от длины пароля и соответственно твоих мощностей. Если пароль длинный, в целом - это гиблое дело.

Как раз из приведённый выше таблицы и поймёшь, почему в основном многие сервисы ограничиваются при регистрации 12-символьными паролями...
ИМХО, больше то оно как бы и не нужно.. если пароль не рядовой, не содержит целых слов, порядкового ряда из цифр и пр. - то этого за глаза.
Но всё равно стоит помнить, что и такие пароли время от времени необходимо менять 

[witcher_sense]

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для подсчета примерного времени перебора интересующего вас пароля, можно использовать данный ресурс: https://howsecureismypassword.net

Важно отметить, не проверяйте там пароль,  который затем будете использовать, копирование в буфер обмена снижает безопасность.

[taikuri13]

По моему мнению, выкладывание на общее обозрение способов, с помощью которых шифруются, либо генерируются ваши пароли, многократно снижает время для его взлома. Наверное, в этом плане, я параноик.  
P.S. Возможно, кому-то будет полезно: для примерного времени перебора интересующего вас пароля,  можно использовать данный ресурс: https://howsecureismypassword.net

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

Ну а дальше  с удовольствием посмотрую на пару кейсов:

1. Поверят ли этому моему сообщению?
2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

В мире криптографии вопрос доверия уходит, потому что доверие словам заменяется другими инструментами.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

[witcher_sense]

Так я могу в открытую сказать, что мои пароли генерирует КейПасс, там 64 символа

По мне,  так лучше хоть какие-то входные данные, чем никаких.

1. Поверят ли этому моему сообщению?

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

2. Каким-таким брутфорсом можно сломать 64 символа, конечно если их 64?

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

ps: Кстати проверить пароль лучше тем же КейПассом, чем сторонним ресурсом в интернете. И смотреть не на красивые картинки с количеством веков, а на энтропию.

Тут спорить не буду, я привел пример этого ресурса, потому что про КейПас было упомянуто,  а про этот нет. В любом случае,  каждому свое. Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

[taikuri13]

~
По мне,  так лучше хоть какие-то входные данные, чем никаких.

IF "входные данные" IS TRUE
ELSE...

А иначе от них нет смысла, они не дают даже намека.

Ну, если вы не всегда начеку и не имеете привычки постоянно темнить, то поверят.

У меня нет привычки темнить. Например я в открытую могу сказать, что у меня нет ни одной социальной сети

Я не особо силен в вопросах брутфорса, но опять же тут есть хотя бы количество знаков,  что упрощает дело.

Согласен. Однако вот у приватного ключа вашего кошелька - тоже есть количество знаков.

Мне нравятся картинки - вам энтропия. Надо уважать чужие вкусы. 

Уважаю, только дело в том, что кейпасс только на моем компьютере. А сторонний ресурс - нет. Он в открытом доступе и в интернете.