Перейти к содержанию

Почему нельзя использовать везде одинаковые или простые пароли?


Рекомендуемые сообщения

@Lekk я помню около 50 паролей и около 100 номеров сотовых телефонов, но иногда глючит и нужно время чтоб вспомнить или ошибаюсь символом(

Ссылка на комментарий
Поделиться на другие сайты

@alzov 

Примерное количество символов в Ваших паролях которые Вы помните?

Помните ли Вы пароли которыми не пользовались болше года?

Вы старше 40-а? (Если не секрет)

 

Я не могу вспомнить пароли более 12-15 ти сомволов если не пользовался больше года, помню не более 10-ти паролей которыми часто пользуюсь.

Ссылка на комментарий
Поделиться на другие сайты

@Lekk до 18 символов максимум, есть меньше 10-12. Пароли помню, лет 26 3 сотрясения было. раньше еще лучше память была. Но бывает нужно время, т.е я помню по ассоциациям символы итд с чем связаны, и нужно 2-3 раза его попытаться набрать что бы вспомнить.

Ссылка на комментарий
Поделиться на другие сайты

 

@alzov 

Что Вы думаете о методе котрый я предложил по сохранению паролей?

 

Ссылка на комментарий
Поделиться на другие сайты

@Lekk кому как удобно..... Безопасность пароля на очень большое число процентов зависит от его не передачи в сеть интернет и\или другим лицам, даже простой пароль из 6-8 символов если там не цифры ломать врятли станут....... А если есть еще 2фа и еще какие-то методы защиты типа белый список IP адрессов, то  еще лучше. Но бывает что если у человека что-то есть, то это заберут и могут не через пароль, а физически. Поэтому тут сложный вопрос, мы в теме сохранность крипты дискутировали долго.

Ссылка на комментарий
Поделиться на другие сайты

@alzov Я имел ввиду интелектуальный брутфорс высокими мощностями а так-же простоту создания, запоминания.

Для меня проще запомнить 20 простых слов чем 20 простых паролей.

Ссылка на комментарий
Поделиться на другие сайты

59 минут назад, Lekk сказал:

Вы догадались, в документе содержаться исходные даные для хеширования - Ваши действия далее?

Существуют несколько распространенных алгоритмов хеширования, пробуем каждый из них, получаем несколько вариантов конкретного пароля.

Ассоциативно иногда можно догадаться, к какому сайту конкретное слово относится, или попробовать основные типы сайтов- соцсети, почтовые сервисы и т.д.. Если догадка окажется верной, прогоним полученные ранее варианты и определим верный вариант алгоритма хеширования. В итоге, хотя бы частичный результат, но будет.

С логином сложнее, если его нет в документе. Но обычно это мейл, и у большинства людей всего один-два ящика. Нет гарантии, что злоумышленник не узнает основной электронный адрес автора документа.

 

Ну да ладно. Поговорим о другом. Как тут насчет стойкости к словарной атаке?

Принципиально, что по мере расширения известности надежность системы будет снижаться: ведь слов в словаре не так уж много. К примеру, пароли andrey1234, Volga или rabota содержатся во всех словарях паролей + скорее всего ломательные программы могут попробовать еще и их варианты, набранные в иностранной раскладке или задом наперед. Если хэшировать станут достаточно часто, то и при взломе будут часто пробовать хэшированный вариант любого пароля из словаря.

 

Вообще, в качестве основной - ваша система не кажется мне надежной и общеподходящей, но в качестве ниши - да, может быть. Например, если нет надежного носителя для хранения важных паролей в дорогу (а телефон или бумага в качестве таковых не считаются). Тогда выбрать достаточно случайное слово, прибавить к нему цифры, захешировать - может быть, и получиться неплохо.

Ссылка на комментарий
Поделиться на другие сайты

@Helber 

У меня в текстовом документе ссылки на магазины, стихи пушкина и ещё хрен-знает что.

Хеши могут быть с нескольких слов с точкой без точки и т.д.  - как Вы собираетесь выбрать что нужно хешировать каким агоритмом и сколько раз?

 

Хеши могут быть с любых файлов  главное чтоб они запоминались.

 

P.S. Хешируется сам файл а не слово.

Изменено пользователем Lekk
Ссылка на комментарий
Поделиться на другие сайты

15 минут назад, Lekk сказал:

@Helber 

У меня в текстовом документе ссылки на магазины, стихи пушкина и ещё хрен-знает что.

Хеши могут быть с нескольких слов с точкой без точки и т.д.  - как Вы собираетесь выбрать что нужно хешировать каким агоритмом и сколько раз?

 

Хеши могут быть с любых файлов  главное чтоб они запоминались.

 

P.S. Хешируется сам файл а не слово.

Хорошо, значит, долой простые одинарные слова. За исключением файла (который все равно в голове не удержишь) все вышеперечисленное уже может быть более-менее стойко к словарной атаке и само по себе, без хэширования. В чем тогда его польза? - в том, что стойкость дополнительно увеличивается в 10 или 50 раз (зависит от числа возможных алгоритмов и от необходимости учитывать саму возможность хэширования). То есть рост стойкости есть, хоть  и не радикальный.

Но и вред тоже есть - для того, чтобы ввести пароль вида nechasto.ya.bivau.trezvim, нужно гораздо меньше времени и не нужны программы для хэширования, по сравнению с паролем в виде той же фразы, преобразованной в хэш.

Кому что важнее.

Изменено пользователем Helber
Ссылка на комментарий
Поделиться на другие сайты

@Helber 

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз.

 

Напишите цифру 1 в документе, возмите хеш (SHA-512), напишите 2, возмите хеш (SHA-512).

Вариаций с хешированием очень много. Паролем может быть не весь хеш. Ломануть (nechasto.ya.bivau.trezvim)  на много порядков легче чем хеш (AACBA74A1CEEF8C7FAFFEDEEDBAF5BAFC69A8A651A51F932C917D6BE0BB19DED1A74ADD7F017FB578F63C89260ED116C71D7B628895DBF40A6874F9BCA49DD30).

 

P.S. Параноики могут создать свой(личный) алгоритм хеширования или изменить распостранённый алгоритм.

Изменено пользователем Lekk
Ссылка на комментарий
Поделиться на другие сайты

26 минут назад, Lekk сказал:

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз

Я выше вообще не говорил о бруте,  только о словарном переборе, как самих слов/простых словосочетаний, так и их хэшей.

 

27 минут назад, Lekk сказал:

Вариаций с хешированием очень много

Гораздо больше, чем пара десятков, и при этом вы беретесь точно помнить избранную?

Тут могу только поверить на слово, вы вроде профессионально разбираетесь в хэшировании.

 

29 минут назад, Lekk сказал:

Паролем может быть не весь хеш

По типу пароль всегда представляет собой, например, не просто хэш основы, но хэш без последних 4 символов? Так надо понимать?

Ссылка на комментарий
Поделиться на другие сайты

@Helber 

По типу пароль всегда представляет собой, например, не просто хэш основы, но хэш без последних 4 символов? Так надо понимать?

 

ДА, или начальных или конечных символов или ..............

 

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл!

  

Это один из примеров, их множество, не нужно даже запоминать какой пароль от чего.

Изменено пользователем Lekk
Ссылка на комментарий
Поделиться на другие сайты

23.08.2018 в 16:49, Lekk сказал:

@Helber  

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз.

 

Напишите цифру 1 в документе, возмите хеш (SHA-512), напишите 2, возмите хеш (SHA-512). 

Если бы я видел такой пост один раз, то сказал бы что это самый дурацкий пост на свете.

Увы, в последнее время многие заболели этим бредом и о какой-либо уникальности такого рода сообщений говорить уже не приходится.

 

23.08.2018 в 16:49, Lekk сказал:

Вариаций с хешированием очень много.   

Хэш функция не берет энтропию из воздуха, её там остается ровно столько же, сколько было в изначальном сообщении. Завернув дурацкий или словарный пароль в хэш вы не выигрываете ровным счетом ничего, потому что единственная проблема, какую это создает - рост объема памяти, занимаемого словарем.

 

Предлагаю попробовать отправить битки на адрес, приватный ключ которого получен как sha256 от 1 или "я лох". И посмотреть, через сколько миллисекунд появится списывающая их транзакция, чтобы раз и навсегда закрыть для себя эту тему.

 

 

23.08.2018 в 17:35, Lekk сказал:

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл! 

Поздравляю, вы только что изобрели токен.

Ссылка на комментарий
Поделиться на другие сайты

Ещё неплохой вариант - объединить блокнот (бумажный) с KeePass-ом (или другой такой программой, или даже текстовым файлом на крайний случай).

 

Вы заходите на важный ресурс - копируете / вводите программой часть пароля (она может быть очень длинная и сложная). Другую часть перепечатываете из бумажного блокнота. Третью часть можно ещё из головы добавить.

 

Изменено пользователем KeenEdge
Ссылка на комментарий
Поделиться на другие сайты

@Balthazar 

Жаль что Вы не прочитали тему с начала и не разобрались в сути моего метода. 

Я предложил способ лёгкого запоминания тысяч сложных паролей без записи их на какой либо носитель.

 

Для запоминания паролей нужно запомнить - какой файл будет использоваться, в каком месте файла вы будете делать вставку, каким алгоритмом будете брать хеш, какая часть хеша будет использоваться как пароль.  Для меня это проще чем запомнить тысячи 25 - 30 ти значных паролей.

 

(Вариаций с хешированием очень много.) - Я имел ввиду что брать хеш можно с любого файла (не только .txt .docx  .jpg ) .bin .exe и так далее, выбор огромный. Использовать можно только часть хеша из целого.

 

 

(Хэш функция не берет энтропию из воздуха, её там остается ровно столько же, сколько было в изначальном сообщении. Завернув дурацкий или словарный пароль в хэш вы не выигрываете ровным счетом ничего, потому что единственная проблема, какую это создает - рост объема памяти, занимаемого словарем.)

 

Если Вы знаете что такое математическая энтропия как Вы собираетесь перебирать хеш неизвестного Вам файла (например .bin) по словарю если не знаете какая часть и какого хеша испоьзуется как пароль?

 

(Предлагаю попробовать отправить битки на адрес, приватный ключ которого получен как sha256 от 1 или "я лох". И посмотреть, через сколько миллисекунд появится списывающая их транзакция, чтобы раз и навсегда закрыть для себя эту тему.)

 

Предлагаю поставить пароль на кошелёк в виде куска хеша из неизвестного Вам файла в котором есть в неизвестном месте вставка (Я ЛОХ).

Через сколько миллисекунд Вы сможете получить пароль от кошелька?

 

 

 

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл! 

Поздравляю, вы только что изобрели токен.

 

Я не изобретаю токены и т.д. Прочтите тему с начала.

 

P.S. Людям иногда очень трудно обяснить простые вещи.

Изменено пользователем Lekk
Ссылка на комментарий
Поделиться на другие сайты

@Lekk , вас от темы паролей понесло в шифрование и стеганографию.

Ссылка на комментарий
Поделиться на другие сайты

@Uliss 

Я хотел просто расказать о способе хранения сложных паролей в открытом доступе.

Но меня не поняли.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Lekk сказал:

@Uliss 

Я хотел просто расказать о способе хранения сложных паролей в открытом доступе.

Но меня не поняли.

 

Все уже украдено придумано до нас.

Шифр Оттендорфа (Книжный шифр), видоизмененный и приспособленный для открытого хранения паролей.

 

Можете использовать текст известного произведения, имеющегося в открытом доступе - в инете, в библиотеках, в памяти.

Можно модифицировать текст (стихотворения, поэмы), переписав ее в формате 10 слов с строке - для использования полной линейки цифр от 0 до 9. Или это может быть таблица любого формата с вариантами использования слов - строки или диагональ - на любой вкус.

Какой фрагмент текста какого произведения используется знаете только вы.

Пароль, записанный (фломастером на обоях) как "925712" может означать все, что угодно - 9 строка, 2 слово, 5 строка, 7 слово, 1 строка, 2 слово, или 9стр, 2сл, 5 буква, 7 стр, 1 сл, 2 буква, или комбинацию приведенных методов - алгоритм подмены знаете и помните только вы.

Так же, как и способ дальнейшей обработки исходных слов - может быть все, что придет на ум - от замены букв по таблице, замены рус/лат или на соседнюю букву на клаве и до хеширования.

 

Этот шифр, ключом которого является отрывок неизвестного произведения, прост в использовании и является шифром гарантированной стойкости, то-есть, время, необходимое на декодирование, сводит на нет ценность полученной информации. В то же время, достаточно прост для получения исходного значения по открытой комбинации символов.

Изменено пользователем Uliss
Ссылка на комментарий
Поделиться на другие сайты

@Uliss 

Вы меня правильно поняли.

 

Все уже украдено придумано до нас.

Шифр Оттендорфа (Книжный шифр), видоизмененный и приспособленный для открытого хранения паролей.

 

Я не претендую на авторство.

 

Просто добавил к агоритму действий хеширование, считаю что это увеличит сложность на порядки.

Ссылка на комментарий
Поделиться на другие сайты

  • 5 месяцев спустя...

Полезная тема, но лишь в том случае если ваш сложный пароль защищен там от чего собственно он. Я о том, что далеко не всегда взлом идет в лоб, зачастую используют не закрытые уязвимости или плохо написанный код. И в этом опасность не меньшая чем слабый пароль.

Ссылка на комментарий
Поделиться на другие сайты

и выработать такую привычку: закончил неделю - поменял пароль. Начал новую неделю - поменял пароль.

Бумага выдержит все 

Ссылка на комментарий
Поделиться на другие сайты

12.02.2019 в 21:42, QIWI сказал:

и выработать такую привычку: закончил неделю - поменял пароль. Начал новую неделю - поменял пароль.

Каждую неделю это слишком редко = дыра в безопасности. Надо каждый день!

 

12.02.2019 в 21:42, QIWI сказал:

Бумага выдержит все 

В том числе если вы напишете «0» как «о», или пароль на экране так, а на бумаге немного эдак. Если менять пароли еженедельно даже на одном ресурсе, подобное рано или поздно случится. Если, как резонно предположить, на 10-20-50, такое будет случаться постоянно. 

 

 

Вообще в рекомендации регулярной смены паролей очень много, по меньшей мере, спорного. Это я про то, когда это предлагается делать добровольно. Вот всего несколько моментов:

1) Если менять пароли достаточно часто, не получится надежно их все держать в памяти (а это само по себе удобно и лишний бонус к надежности, если запомнить и нигде не записывать). Или пойдет их критичное упрощение.

2) Довольно много случаев, когда временной промежуток между сторонним узнаванием пароля и его несанкц.использованием — намного меньше, чем даже неделя (месяц, полгода — тем более). Узнали пароль от кошелька и сразу обчистили. Узнали пароль от форума/почты и вскорости поставили свой/наспамили от вашего имени/попытались кого-то кинуть и т.д. 

В результате сторонний доступ к паролю не приносит очевидного вреда сразу, только если добытый пароль не использовали сами, а выставили на продажу в составе базы + никто из ее  покупателей длительное время не попытался заюзать именно ваш пароль. Только в таких случаях регулярная его смена приносит явную пользу.

3) И вообще, насколько вероятно, что смогут увести достаточно крутой пароль на серьезном ресурсе? Если база хэшей слита, сложность пароля все равно рулит. И только при перехвате пароля а)путем физического подгляда, б)чужого доступа к месту его хранения, в)снифа публичного вайфая, г)взлома формы ввода пароля, д)вирусов или е) фишинга его сложность не помогает радикально, и ресурсы типа «форум со сменой пароля через почту» под долговременной потенциальной угрозой.

Но все эти пути, кроме г), все равно маловероятны в случае с человеком, который достаточно компетентен, чтобы использовать сложный пароль.

 

 

P.S. А когда «оно» принудительное, и для всех, и часто, это просто безусловная глупость. Как пример, можно привести тот легендарный форум, где каждую неделю обязали менять пароль. Пароли у 95% стали вида пароль1, пароль2, ..., пароль223.

 

P.P.S. Возможно, я уже читал эти материалы когда-то, но поскольку не персонифицирую в себе человечество, скину в статью. https://lifehacker.ru/reset-password/

https://habr.com/en/post/396733/

 

 

Изменено пользователем Helber
Ссылка на комментарий
Поделиться на другие сайты

  • 8 месяцев спустя...
29.01.2018 в 16:01, polym0rph сказал:

Так что если у вас слабый пароль, или он еще много где используется, лучше смените его прямо сейчас, не откладывая на потом. Потом может стать внезапно поздно.

Извиняюсь за возможно тупой вопрос, но не могу найти - как сменить способ авторизации и пароль на вход в форум. Вхожу через ВКонтакте, но хочется сменить на обычную пару "логин/пароль". Поиск по форуму ничего не дал.

Изменено пользователем TraderBox
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Питер Шифф: «Вот почему нельзя инвестировать в биткоин-ETF»

      Финансовый аналитик, сторонник инвестиций в золото и противник криптовалют, рассказал, почему не стоит инвестировать в привязанные к биткоину спотовые биржевые фонды (ETF) и почему лучше обратить внимание на золото. Питер Шифф (Peter Schiff) уверен: главная проблема владения биткоинами через ETF заключается в том, что ликвидность ограничена часами работы американского фондового рынка. Если рынок обрушится, у инвесторов не будет возможности продать активы до тех пор, пока рынок США не открое

      в Новости криптовалют

    • Мошенники начали использовать для продвижения криптосхем дипфейк Джастина Трюдо

      Криптовалютные мошенники стали выдавать себя за премьер-министра Канады, чтобы обманом завладеть активами людей, обладающих низким уровнем технической грамотности. В Facebook плодятся видео, где неизвестные пытаются использовать внешность Джастина Трюдо (Justin Trudeau) для продвижения мошеннических криптовалютных проектов. Для дипфейка взяты фрагменты интервью, которое политик давал телеканалу CBC в 2023 году. В мошеннической рекламе используется голос, сгенерированный искусственным интелл

      в Новости криптовалют

    • Суд в США запретил использовать косвенные доказательства против криптобиржи Binance

      Судья округа Колумбия приняла постановление, ограничивающее возможности Комиссии по ценным бумагам и биржам США (SEC) использовать косвенные улики и доказательства во всех судебных процессах с участием криптовалютной биржи Binance. Эми Берман Джексон (Amy Berman Jackson) в комментариях к решению уточняет: вердикт должен послужить оптимизации юридического процесса и сохранению внимания суда к ключевым вопросам, без отвлечения на постоянно меняющуюся аргументацию сторон и ссылки на прецедент

      в Новости криптовалют

    • Почему многие торгуют на маржинальном аккаунте, а не на фьючерсах?

      Здравствуйте, почему многие выбирают торговлю (сугубо спекуляции) на маржинальном аккаунте, а не на фьючерсном? Ведь при торговле фьючерсами можно использовать те же плечи, меньше комиссии и меньше interest rate (если он вообще там есть), да и выставление ордеров там довольно быстрое и прямолинейное - купить\продать, сразу указывай стоп-лосс, тейк профит, который можно корректировать, и поехали, в том время как на споте и маржинальной торговле нужно создавать специальные ОСО ордера для размещени

      в Трейдинг криптовалютами

    • Институционалы ставят на эфир: вот почему криптовалюты продолжают расти

      Волатильность криптовалют на уходящей неделе ускорилась. Тому способствовали большие вливания со стороны институциональных инвесторов – как в спотовые ETF на биткоин, так и в сами криптоактивы. Свыше 20% за неделю набрал биткоин, преодолев важную планку $60 000. На максимуме в среду, 28 февраля, первая криптовалюта достигла $64 000. Последний раз BTC столько стоил в ноябре 2021 года, когда был достигнут исторический максимум в $69 000.     Источник: tradingview.com     Под

      в Новости криптовалют

×
×
  • Создать...