Jump to content
Sign in to follow this  
polym0rph

Почему нельзя использовать везде одинаковые или простые пароли?

Recommended Posts

@Lekk я помню около 50 паролей и около 100 номеров сотовых телефонов, но иногда глючит и нужно время чтоб вспомнить или ошибаюсь символом(

Share this post


Link to post
Share on other sites

@alzov 

Примерное количество символов в Ваших паролях которые Вы помните?

Помните ли Вы пароли которыми не пользовались болше года?

Вы старше 40-а? (Если не секрет)

 

Я не могу вспомнить пароли более 12-15 ти сомволов если не пользовался больше года, помню не более 10-ти паролей которыми часто пользуюсь.

Share this post


Link to post
Share on other sites

@Lekk до 18 символов максимум, есть меньше 10-12. Пароли помню, лет 26 3 сотрясения было. раньше еще лучше память была. Но бывает нужно время, т.е я помню по ассоциациям символы итд с чем связаны, и нужно 2-3 раза его попытаться набрать что бы вспомнить.

Share this post


Link to post
Share on other sites

 

@alzov 

Что Вы думаете о методе котрый я предложил по сохранению паролей?

 

Share this post


Link to post
Share on other sites

@Lekk кому как удобно..... Безопасность пароля на очень большое число процентов зависит от его не передачи в сеть интернет и\или другим лицам, даже простой пароль из 6-8 символов если там не цифры ломать врятли станут....... А если есть еще 2фа и еще какие-то методы защиты типа белый список IP адрессов, то  еще лучше. Но бывает что если у человека что-то есть, то это заберут и могут не через пароль, а физически. Поэтому тут сложный вопрос, мы в теме сохранность крипты дискутировали долго.

Share this post


Link to post
Share on other sites

@alzov Я имел ввиду интелектуальный брутфорс высокими мощностями а так-же простоту создания, запоминания.

Для меня проще запомнить 20 простых слов чем 20 простых паролей.

Share this post


Link to post
Share on other sites
59 минут назад, Lekk сказал:

Вы догадались, в документе содержаться исходные даные для хеширования - Ваши действия далее?

Существуют несколько распространенных алгоритмов хеширования, пробуем каждый из них, получаем несколько вариантов конкретного пароля.

Ассоциативно иногда можно догадаться, к какому сайту конкретное слово относится, или попробовать основные типы сайтов- соцсети, почтовые сервисы и т.д.. Если догадка окажется верной, прогоним полученные ранее варианты и определим верный вариант алгоритма хеширования. В итоге, хотя бы частичный результат, но будет.

С логином сложнее, если его нет в документе. Но обычно это мейл, и у большинства людей всего один-два ящика. Нет гарантии, что злоумышленник не узнает основной электронный адрес автора документа.

 

Ну да ладно. Поговорим о другом. Как тут насчет стойкости к словарной атаке?

Принципиально, что по мере расширения известности надежность системы будет снижаться: ведь слов в словаре не так уж много. К примеру, пароли andrey1234, Volga или rabota содержатся во всех словарях паролей + скорее всего ломательные программы могут попробовать еще и их варианты, набранные в иностранной раскладке или задом наперед. Если хэшировать станут достаточно часто, то и при взломе будут часто пробовать хэшированный вариант любого пароля из словаря.

 

Вообще, в качестве основной - ваша система не кажется мне надежной и общеподходящей, но в качестве ниши - да, может быть. Например, если нет надежного носителя для хранения важных паролей в дорогу (а телефон или бумага в качестве таковых не считаются). Тогда выбрать достаточно случайное слово, прибавить к нему цифры, захешировать - может быть, и получиться неплохо.

Share this post


Link to post
Share on other sites

@Helber 

У меня в текстовом документе ссылки на магазины, стихи пушкина и ещё хрен-знает что.

Хеши могут быть с нескольких слов с точкой без точки и т.д.  - как Вы собираетесь выбрать что нужно хешировать каким агоритмом и сколько раз?

 

Хеши могут быть с любых файлов  главное чтоб они запоминались.

 

P.S. Хешируется сам файл а не слово.

Edited by Lekk

Share this post


Link to post
Share on other sites
15 минут назад, Lekk сказал:

@Helber 

У меня в текстовом документе ссылки на магазины, стихи пушкина и ещё хрен-знает что.

Хеши могут быть с нескольких слов с точкой без точки и т.д.  - как Вы собираетесь выбрать что нужно хешировать каким агоритмом и сколько раз?

 

Хеши могут быть с любых файлов  главное чтоб они запоминались.

 

P.S. Хешируется сам файл а не слово.

Хорошо, значит, долой простые одинарные слова. За исключением файла (который все равно в голове не удержишь) все вышеперечисленное уже может быть более-менее стойко к словарной атаке и само по себе, без хэширования. В чем тогда его польза? - в том, что стойкость дополнительно увеличивается в 10 или 50 раз (зависит от числа возможных алгоритмов и от необходимости учитывать саму возможность хэширования). То есть рост стойкости есть, хоть  и не радикальный.

Но и вред тоже есть - для того, чтобы ввести пароль вида nechasto.ya.bivau.trezvim, нужно гораздо меньше времени и не нужны программы для хэширования, по сравнению с паролем в виде той же фразы, преобразованной в хэш.

Кому что важнее.

Edited by Helber

Share this post


Link to post
Share on other sites

@Helber 

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз.

 

Напишите цифру 1 в документе, возмите хеш (SHA-512), напишите 2, возмите хеш (SHA-512).

Вариаций с хешированием очень много. Паролем может быть не весь хеш. Ломануть (nechasto.ya.bivau.trezvim)  на много порядков легче чем хеш (AACBA74A1CEEF8C7FAFFEDEEDBAF5BAFC69A8A651A51F932C917D6BE0BB19DED1A74ADD7F017FB578F63C89260ED116C71D7B628895DBF40A6874F9BCA49DD30).

 

P.S. Параноики могут создать свой(личный) алгоритм хеширования или изменить распостранённый алгоритм.

Edited by Lekk

Share this post


Link to post
Share on other sites
26 минут назад, Lekk сказал:

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз

Я выше вообще не говорил о бруте,  только о словарном переборе, как самих слов/простых словосочетаний, так и их хэшей.

 

27 минут назад, Lekk сказал:

Вариаций с хешированием очень много

Гораздо больше, чем пара десятков, и при этом вы беретесь точно помнить избранную?

Тут могу только поверить на слово, вы вроде профессионально разбираетесь в хэшировании.

 

29 минут назад, Lekk сказал:

Паролем может быть не весь хеш

По типу пароль всегда представляет собой, например, не просто хэш основы, но хэш без последних 4 символов? Так надо понимать?

Share this post


Link to post
Share on other sites

@Helber 

По типу пароль всегда представляет собой, например, не просто хэш основы, но хэш без последних 4 символов? Так надо понимать?

 

ДА, или начальных или конечных символов или ..............

 

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл!

  

Это один из примеров, их множество, не нужно даже запоминать какой пароль от чего.

Edited by Lekk

Share this post


Link to post
Share on other sites
23.08.2018 в 16:49, Lekk сказал:

@Helber  

Стойкость к бруту увеличивается на порядки, миллиарды, триллионы раз.

 

Напишите цифру 1 в документе, возмите хеш (SHA-512), напишите 2, возмите хеш (SHA-512). 

Если бы я видел такой пост один раз, то сказал бы что это самый дурацкий пост на свете.

Увы, в последнее время многие заболели этим бредом и о какой-либо уникальности такого рода сообщений говорить уже не приходится.

 

23.08.2018 в 16:49, Lekk сказал:

Вариаций с хешированием очень много.   

Хэш функция не берет энтропию из воздуха, её там остается ровно столько же, сколько было в изначальном сообщении. Завернув дурацкий или словарный пароль в хэш вы не выигрываете ровным счетом ничего, потому что единственная проблема, какую это создает - рост объема памяти, занимаемого словарем.

 

Предлагаю попробовать отправить битки на адрес, приватный ключ которого получен как sha256 от 1 или "я лох". И посмотреть, через сколько миллисекунд появится списывающая их транзакция, чтобы раз и навсегда закрыть для себя эту тему.

 

 

23.08.2018 в 17:35, Lekk сказал:

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл! 

Поздравляю, вы только что изобрели токен.

Share this post


Link to post
Share on other sites

Ещё неплохой вариант - объединить блокнот (бумажный) с KeePass-ом (или другой такой программой, или даже текстовым файлом на крайний случай).

 

Вы заходите на важный ресурс - копируете / вводите программой часть пароля (она может быть очень длинная и сложная). Другую часть перепечатываете из бумажного блокнота. Третью часть можно ещё из головы добавить.

 

Edited by KeenEdge

Share this post


Link to post
Share on other sites

@Balthazar 

Жаль что Вы не прочитали тему с начала и не разобрались в сути моего метода. 

Я предложил способ лёгкого запоминания тысяч сложных паролей без записи их на какой либо носитель.

 

Для запоминания паролей нужно запомнить - какой файл будет использоваться, в каком месте файла вы будете делать вставку, каким алгоритмом будете брать хеш, какая часть хеша будет использоваться как пароль.  Для меня это проще чем запомнить тысячи 25 - 30 ти значных паролей.

 

(Вариаций с хешированием очень много.) - Я имел ввиду что брать хеш можно с любого файла (не только .txt .docx  .jpg ) .bin .exe и так далее, выбор огромный. Использовать можно только часть хеша из целого.

 

 

(Хэш функция не берет энтропию из воздуха, её там остается ровно столько же, сколько было в изначальном сообщении. Завернув дурацкий или словарный пароль в хэш вы не выигрываете ровным счетом ничего, потому что единственная проблема, какую это создает - рост объема памяти, занимаемого словарем.)

 

Если Вы знаете что такое математическая энтропия как Вы собираетесь перебирать хеш неизвестного Вам файла (например .bin) по словарю если не знаете какая часть и какого хеша испоьзуется как пароль?

 

(Предлагаю попробовать отправить битки на адрес, приватный ключ которого получен как sha256 от 1 или "я лох". И посмотреть, через сколько миллисекунд появится списывающая их транзакция, чтобы раз и навсегда закрыть для себя эту тему.)

 

Предлагаю поставить пароль на кошелёк в виде куска хеша из неизвестного Вам файла в котором есть в неизвестном месте вставка (Я ЛОХ).

Через сколько миллисекунд Вы сможете получить пароль от кошелька?

 

 

 

Пример: возмите фотографию, рисунок (jpg или png) откройте в блокноте увидите набор различных символов, вставьте (в начало или конец файла) например email закройте, возмите хеш - это пароль от email. Удалите изменённый файл! Откройте оригинальный файл в блокноте, вставте (bits.media), возмите хеш - это пароль  от bits.media.             Удалите изменённый файл! 

Поздравляю, вы только что изобрели токен.

 

Я не изобретаю токены и т.д. Прочтите тему с начала.

 

P.S. Людям иногда очень трудно обяснить простые вещи.

Edited by Lekk

Share this post


Link to post
Share on other sites

@Lekk , вас от темы паролей понесло в шифрование и стеганографию.

Share this post


Link to post
Share on other sites

@Uliss 

Я хотел просто расказать о способе хранения сложных паролей в открытом доступе.

Но меня не поняли.

Share this post


Link to post
Share on other sites
2 часа назад, Lekk сказал:

@Uliss 

Я хотел просто расказать о способе хранения сложных паролей в открытом доступе.

Но меня не поняли.

 

Все уже украдено придумано до нас.

Шифр Оттендорфа (Книжный шифр), видоизмененный и приспособленный для открытого хранения паролей.

 

Можете использовать текст известного произведения, имеющегося в открытом доступе - в инете, в библиотеках, в памяти.

Можно модифицировать текст (стихотворения, поэмы), переписав ее в формате 10 слов с строке - для использования полной линейки цифр от 0 до 9. Или это может быть таблица любого формата с вариантами использования слов - строки или диагональ - на любой вкус.

Какой фрагмент текста какого произведения используется знаете только вы.

Пароль, записанный (фломастером на обоях) как "925712" может означать все, что угодно - 9 строка, 2 слово, 5 строка, 7 слово, 1 строка, 2 слово, или 9стр, 2сл, 5 буква, 7 стр, 1 сл, 2 буква, или комбинацию приведенных методов - алгоритм подмены знаете и помните только вы.

Так же, как и способ дальнейшей обработки исходных слов - может быть все, что придет на ум - от замены букв по таблице, замены рус/лат или на соседнюю букву на клаве и до хеширования.

 

Этот шифр, ключом которого является отрывок неизвестного произведения, прост в использовании и является шифром гарантированной стойкости, то-есть, время, необходимое на декодирование, сводит на нет ценность полученной информации. В то же время, достаточно прост для получения исходного значения по открытой комбинации символов.

Edited by Uliss

Share this post


Link to post
Share on other sites

@Uliss 

Вы меня правильно поняли.

 

Все уже украдено придумано до нас.

Шифр Оттендорфа (Книжный шифр), видоизмененный и приспособленный для открытого хранения паролей.

 

Я не претендую на авторство.

 

Просто добавил к агоритму действий хеширование, считаю что это увеличит сложность на порядки.

Share this post


Link to post
Share on other sites

Полезная тема, но лишь в том случае если ваш сложный пароль защищен там от чего собственно он. Я о том, что далеко не всегда взлом идет в лоб, зачастую используют не закрытые уязвимости или плохо написанный код. И в этом опасность не меньшая чем слабый пароль.

Share this post


Link to post
Share on other sites

и выработать такую привычку: закончил неделю - поменял пароль. Начал новую неделю - поменял пароль.

Бумага выдержит все 

Share this post


Link to post
Share on other sites
12.02.2019 в 21:42, QIWI сказал:

и выработать такую привычку: закончил неделю - поменял пароль. Начал новую неделю - поменял пароль.

Каждую неделю это слишком редко = дыра в безопасности. Надо каждый день!

 

12.02.2019 в 21:42, QIWI сказал:

Бумага выдержит все 

В том числе если вы напишете «0» как «о», или пароль на экране так, а на бумаге немного эдак. Если менять пароли еженедельно даже на одном ресурсе, подобное рано или поздно случится. Если, как резонно предположить, на 10-20-50, такое будет случаться постоянно. 

 

 

Вообще в рекомендации регулярной смены паролей очень много, по меньшей мере, спорного. Это я про то, когда это предлагается делать добровольно. Вот всего несколько моментов:

1) Если менять пароли достаточно часто, не получится надежно их все держать в памяти (а это само по себе удобно и лишний бонус к надежности, если запомнить и нигде не записывать). Или пойдет их критичное упрощение.

2) Довольно много случаев, когда временной промежуток между сторонним узнаванием пароля и его несанкц.использованием — намного меньше, чем даже неделя (месяц, полгода — тем более). Узнали пароль от кошелька и сразу обчистили. Узнали пароль от форума/почты и вскорости поставили свой/наспамили от вашего имени/попытались кого-то кинуть и т.д. 

В результате сторонний доступ к паролю не приносит очевидного вреда сразу, только если добытый пароль не использовали сами, а выставили на продажу в составе базы + никто из ее  покупателей длительное время не попытался заюзать именно ваш пароль. Только в таких случаях регулярная его смена приносит явную пользу.

3) И вообще, насколько вероятно, что смогут увести достаточно крутой пароль на серьезном ресурсе? Если база хэшей слита, сложность пароля все равно рулит. И только при перехвате пароля а)путем физического подгляда, б)чужого доступа к месту его хранения, в)снифа публичного вайфая, г)взлома формы ввода пароля, д)вирусов или е) фишинга его сложность не помогает радикально, и ресурсы типа «форум со сменой пароля через почту» под долговременной потенциальной угрозой.

Но все эти пути, кроме г), все равно маловероятны в случае с человеком, который достаточно компетентен, чтобы использовать сложный пароль.

 

 

P.S. А когда «оно» принудительное, и для всех, и часто, это просто безусловная глупость. Как пример, можно привести тот легендарный форум, где каждую неделю обязали менять пароль. Пароли у 95% стали вида пароль1, пароль2, ..., пароль223.

 

P.P.S. Возможно, я уже читал эти материалы когда-то, но поскольку не персонифицирую в себе человечество, скину в статью. https://lifehacker.ru/reset-password/

https://habr.com/en/post/396733/

 

 

Edited by Helber

Share this post


Link to post
Share on other sites
2 часа назад, Helber сказал:

Надо каждый день!

 

Это уже паранойя 😂

Share this post


Link to post
Share on other sites
2 часа назад, Helber сказал:

Надо каждый день!

 

incorrect-password-meme-780x439.jpg

Share this post


Link to post
Share on other sites
29.01.2018 в 16:01, polym0rph сказал:

Так что если у вас слабый пароль, или он еще много где используется, лучше смените его прямо сейчас, не откладывая на потом. Потом может стать внезапно поздно.

Извиняюсь за возможно тупой вопрос, но не могу найти - как сменить способ авторизации и пароль на вход в форум. Вхожу через ВКонтакте, но хочется сменить на обычную пару "логин/пароль". Поиск по форуму ничего не дал.

Edited by TraderBox

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...