Информационная безопасность

индекс

289,97

Генерация сложных паролей простыми фразами

Любите ли вы запоминать пароли вида:

qG4'P}:ZGKq? 0[KO!,7`@;6F ]xQ1H]mxLPa#
?

Я — терпеть не могу! Особенно с учётом того, что периодически все эти пароли нужно менять и для каждого сервиса отдельно, а их столько, что голова кругом идёт! Где тут всё запомнишь?

Вариантов несколько:
а) задавать простые пароли и боятся что их кто нибудь подберёт/угадает;
б) задавать сложные пароли (см. выше) и таскать их всё время с собой на бумажке (что тоже очень небезопасно!);
в) использовать метод шифрования простых фраз штатными средствами в системе.

Именно третий пункт я и затрону. Сей метод сводится к следующему (примитивный пример):

%echo "простая_фраза" | md5

На выходе вы получите криптостойкий хеш вида: b3d0da41b07d550d97d579bd642d7dbf. Однако это самый примитивный пример. Можно использовать md5 в связке с sha1/uuencode/openssl и вообще со всем что вам только в голову придёт! Так же можно, например, брать хеш с хеша определённое кол-во раз. Только хотелось бы предупредить, что длину пароля необходимо урезать (!), т.к. если размер будет известен — криптостойкость падает в разы.

Представляю вашему вниманию простой скрипт для реализации сего деяния. Назвал я его «genspass» (от GenerateS encoded Password), написан на классическом unix shell (разумеется совместим с bash/zsh и прочими).
Программа работает просто: получает ключевую фразу (слово, символ — не важно), переводит в MD5, далее в BASE64 и урезает до назначенной длины (задаётся в скрипте), после чего на экран выводится результат.
Пример: вводим 123 получаем YmExZjI1MTFmYzM, копируем и вставляем куда нужно.

Последнюю версию скрипта всегда можно получить по этому адресу.

+19

10 июня 2009, 01:28

soko1

комментарии (147)

–22

Nekroman 10 июня 2009, 01:43 #

а как насчьо пароля тіпа гпгпгпцц (г-голосная, п-приголосная, ц-цыфра)

Kalan 10 июня 2009, 10:47 # ↑

По-русски эти звуки называют гласными и согласными, а «цифра» пишется через «и».

–1

Masterkey 10 июня 2009, 14:53 # ↑

гм

возможно это новый суржик?

maxshopen 10 июня 2009, 01:54 #

А чем транслит-пароли не устраивают, типа djnnt,tvjqgfhjkm (воттебемойпароль)? И запомнить легко и подобрать не просто :)

soko1 10 июня 2009, 01:58 # ↑

Да, сам таким методом пользовался :) Но на самом деле такие пароли тоже очень легко брутфорсом перебираются: по русскому словарю да в английской раскладке.

maxshopen 10 июня 2009, 02:06 # ↑

Да ладно. А как границы слов определяются? И морфология тоже перебирается? А как злоумышленник догадается, что тут вообще транслит? Имхо, перебор с таким количеством неизвестных практически равнозначен брутфорсу.

Ну на худой конец 1-2 орфографический ошибки и привет словарик, ну например djnnt,tvfzgfhjkmrf (воттебемаяпаролька) :)
Руссий язык настолько богат — грех этим не пользоваться, имхо :)

soko1 10 июня 2009, 02:28 # ↑

Под перебором я и подразумевал работу «брутфорса» :) Не руками же это всё дело перебирать.

Русский язык богат, не спорю, за это его и люблю! Но вы явно недооцениваете современные «брутфорсы», особенно в связи с открытым и активным коверканьем языка так наз. «подонками».

soko1 10 июня 2009, 02:30 # ↑

Я к тому что в продвинутых словарях всякие «преведы» и прочая ересь ~~дибилов~~ подонков уже давным-давно добавлена и используется :)

maxshopen 10 июня 2009, 04:02 # ↑

Всегда считал, что брутфорс — это перебор всех возможных вариантов, т.е. посимвольно, а не по словарю. Возможно не прав, не буду спорить. Но имел я ввиду именно его.

heroOfOurTime 10 июня 2009, 08:51 # ↑

Вы правы, брутфорс — это перебор всех возможных вариантов, но в целях ускорения и повышения эффективности никто не мешает вам эвристически ограничить область перебора.
Обычно при подборе пароля используют не словарь из настоящих слов, а псевдо-словарь, построенный из наиболее вероятных слогов и других буквосочетаний, поэтому любые несильные искажения (превед) все равно будут проверены.

loginex 10 июня 2009, 13:50 # ↑

тогда надо использовать слова в транслите без гласных, тогда эвристика отпадает

vasilisc 20 декабря 2009, 12:49 # ↑

в том же L0ftCrack такая атака называется Гибридной
она между Словарной и Брутефорсом
вот как то так =)

bask 10 июня 2009, 13:26 # ↑

Некоторые ставят ограничение и не допускают ввода в пароле запятых и прочих знаков пунктуации, будь добр сделать пароль из предоставленного словаря, например [A-Za-z0-9]

maxshopen 10 июня 2009, 14:17 # ↑

Ну это какое то тупое ограничение, даже непонятно, чем его можно обосновать. Пароль — это строка, в строке может быть всё, что можно напечатать (ну может за исключением пробельных символов из-за их визуальной неоднозначности). Такое ограничение больно бъет по безопасности пользователей, так как зная о нем, злоумышленнику легче подобрать.
Я бы по возможности избегал таких продуктов/сервисов/сайтов или что это там…

–1

CAH4A 10 июня 2009, 20:42 # ↑

А я их не изюбегаю, я ставлю пароль 12345 (Боевой пароль, он есть у всех)
Потому что ломайте мой логин сколько влезет, мне всё равно.
И таких сайтов, где ну просто наиобязательнейшая регистрация, много, а придумывать и запоминать пароли, конечно, лень.

TedBeer 10 июня 2009, 23:00 # ↑

ошибка: этот пароль уже используется пользователем «123»

–1

CAH4A 11 июня 2009, 00:10 # ↑

Так пароли, обычно, могут повторятся.

soko1 11 июня 2009, 01:22 # ↑

Да по-моему это просто шутка была :)

oogl 11 июня 2009, 05:49 # ↑

а какой у вас номер кошелька вебмани?

CAH4A 11 июня 2009, 08:30 # ↑

Z123456789

access 10 июня 2009, 13:41 # ↑

интересно сколько человек воспользуются данным паролем :)

rvnikita 10 июня 2009, 15:09 # ↑

а перебирать по словарю и вместо слова из словаря подставлять его md5 хеш мы конечно не можем

soko1 10 июня 2009, 15:14 # ↑

В md5 да в связке с любым из тысячи доступных методов шифрования — нет, не можем.

rvnikita 11 июня 2009, 00:25 # ↑

Дядька шнаер говорил — скрывать алгоритм — не есть безопасность

soko1 11 июня 2009, 01:09 # ↑

Хм, на самом деле правильная мысль, согласен.

ShizukaYamamura 10 июня 2009, 02:52 # ↑

на маке например не все символы на клавиатуре расположены также, как в виндовой раскладке + я например не помню какая буковка какой соответствует, если придётся пользоваться клавой вовсе без русского, в отпуске где-нибудь например

ShizukaYamamura 10 июня 2009, 02:59 # ↑

что то я совсем за «напримерился», прошу прощения

soko1 10 июня 2009, 03:11 # ↑

Да кстати, у меня та же проблема была. Особенно когда у меня во FreeBSD один тип раскладки клавиатуры, а у пользователей Windows совершенно другой (win), куча непоняток.

maxshopen 10 июня 2009, 04:41 # ↑

Виноват, про маки забыл. А много символов не совпадает?
Кстати, в рамках данного топика, не уверен, что у вас в отпуске под рукой будет unix shell :)

Думаю на случай отпусков/необычных обстоятельств придется все таки либо бумажками либо спец программами для хранения паролей воспользоваться.

ShizukaYamamura 10 июня 2009, 08:23 # ↑

как минимум Путти с собой таскать можно или же на абсолютно любую машину кинуть, а уж дальше — дело техники — в крайнем случае можно и с мобильника

aosiniao 10 июня 2009, 10:29 # ↑

Сделайте веб-морду для скрипта и выполняйте действия с любого браузера.

soko1 10 июня 2009, 10:39 # ↑

Да, только тогда сразу рекомендация: не пользуйтесь чужими веб-мордами :)

aosiniao 10 июня 2009, 10:41 # ↑

*моими можно. :-D

mrgall 10 июня 2009, 11:26 # ↑

А как его набирать на компьютере/устройстве где нет йцукен на клавишах (например у меня мак с американськой клавой и гуглофон)?

maxshopen 10 июня 2009, 11:44 # ↑

Я уже выше признал свою вину по поводу того, что мой вариант затруднен при различных, в рамках одного пользователя, раскладках, таким пользователям нужен другой метод. Просто это не очень частая ситуация, мне кажется, мне лично не попадалась, вот я и не учел.

Methos 13 июня 2009, 15:10 # ↑

носить с собой в путешествия тонкую плёнку с нарисованными русскими символами, накладываемую хоть на китайскую клаву.

Masterkey 10 июня 2009, 14:56 # ↑

использование атаки по словарю подразумевает такие случаи.

брутфорс на таком пароле тоже поведет себя неплохо (если. конечно, заранее известно, что пароль просто буквенный да еще и в определенном регистре)

v_k 10 июня 2009, 15:17 # ↑

keepmypassword.com

artleg 10 июня 2009, 17:52 # ↑

supergenpass.com — удобнее на порядок, поскольку отдаёт букмарклет.

CAH4A 10 июня 2009, 20:46 # ↑

ого! Классная штука, спасибо!

FanKiLL 10 июня 2009, 23:11 # ↑

А как эту штуку к себе на хост запихнуть? Всётки боязно на чужом сайте светить

FanKiLL 10 июня 2009, 23:28 # ↑

а всё можно сохранить мобильную версию к примеру или сорцы скачать. Классно, спасибо.

FanKiLL 11 июня 2009, 00:44 # ↑

Простите ещё раз, а что там за алгоритм? Потому как md5+salt может быть множество вариаций, что то в FAQ не нашёл.

base64(md5(мастер пароль).md5(домен сайта))? Хочу завтра для .net приложение накотать для себя, хочется чтоб совместимость была.

ibnteo 12 июня 2009, 19:55 # ↑

Судя по этой странице, пароль формируется как: substring(base64(md5(master_pass.":".domain)), 0, 10)

FanKiLL 12 июня 2009, 20:30 # ↑

Я пробовал так, у меня результат не совпадает с SuperrGenPass, много чего перепробовал, но вариаций куча.
А может и к лучшему и стоит использовать своё, чтоб не знали алгоритм.

На сайте одного из участников www.angel.net/~nic/, во всяком случае его версия генератора, что находится на его сайте перешла давно на SHA-1. Может там тоже уже не MD5 или вы из javascript вытянули алгоритм?

ibnteo 12 июня 2009, 20:32 # ↑

Вполне вероятно что там и другой алгоритм, хотя функции называются md5.

FanKiLL 12 июня 2009, 20:49 # ↑

Да там малейшее отклонение даёт другой результат. Может они перед md5 делают .ToUpper() или .ToLower(), даже это уже влияет. Во общем не получилось, в конце по своему сделал и пользуюсь.

FanKiLL 10 июня 2009, 23:45 # ↑

мастер пароль + домен сайта, помоему лучше будет. ИМХО

cyberzx 10 июня 2009, 22:49 # ↑

Проблема в том, что «гениальная» задумка использовать транслит пароли пришла настолько большому количеству людей, причём от IT-специалистов до домохозяек. Что этот вариант брутфорсится в первую очередь. Популярее транлсит паролей разве что пароли вида 1111, qwerty и т.п.

seocoder 10 июня 2009, 01:58 #

такое решение может и подойдет когда 4-5 паролей.
глянул в робоформ — у меня их 735. и как быть тут?!

soko1 10 июня 2009, 02:02 # ↑

Ну как вариант — все ваши существующие пароли перегнать для полной безопасности в какой нибудь сложный хеш перед использованием. По крайней мере не так страшно будет если такой файлик с паролями попадёт кому нибудь в руки. Согласитесь?

seocoder 10 июня 2009, 02:05 # ↑

робоформ их криптует тоже вроде как. ;) на сами пароли один сложный пароль. ну и можно юзать еще много чего: keepass, lastpass.
дело вкуса. а самый лучший пароль это придумать схему какую то. я к примеру пинкоды от дебеток ношу с собой. но они зашифрованы по правилу.
к примеру пинкод — 1234. у меня оно записано 2345 — то есть инкремент каждой цифры. для вот таких вот случаев (когда мало паролей или пинов) — вариант канает. но что делать если человек потеряет ваш скрипт? ))))

soko1 10 июня 2009, 02:11 # ↑

У меня кстати паролей тоже очень много и почти все их храню в keepassx под паролем. А теперь те пароли — лишь то что является моей ключевой фразой к base64.
То есть защит несколько:
1) человеку надо взломать пароль к базе keepassx;
2) ему необходимо знать каким методом я преобразовываю эти пароли (а фантазия у меня извращённая);
2.1) сколько символов из шеща я беру.

Мой скрипт — лишь пример, не более :) Ну потеряет он и что, неужели сложно будет через "|" написать несколько команд, предварительно из запомнив? =)

loginex 10 июня 2009, 13:54 # ↑

мне тоже keepass понравился, особенно тем, что есть под вин32, gnu/linux, win mobile. А так как я пользуюсь всеми осями в разной степени(коммуникато с wm так всегда с собой), то это очень удобно.

rvnikita 10 июня 2009, 15:13 # ↑

согашусь, жаль только для iphone никак не доделают

jursovet 10 июня 2009, 09:04 # ↑

Для большого количества паролей можете посмотреть интересную реализацию здесь. Это генератор паролей на основе одного секретного секретного слова (набора символов) и URL ресурса, на котором Вы регистрируетесь. Можно скачать скрипт на javascript или воспользоваться онлайн генератором.

Lite 10 июня 2009, 18:49 # ↑

Для Firefox есть отличное готовое расширение PasswordMaker и сайт с онлайновой версией.

soko1 11 июня 2009, 01:14 # ↑

А насколько это безопасно (я про online-версию)?

Lite 11 июня 2009, 05:55 # ↑

Ровно настолько, насколько вы доверяете провайдеру службы. Но это скорее запасной вариант, на случай если настроенный браузер не под рукой. Никто не мешает генерить пароли и сохранять в традиционном менеджере паролей, кстати.

–5

soko1 10 июня 2009, 02:15 #

Народ, подымите мне пожалуйста хоть чуть-чуть карму чтоб я мог перенести статью в коллективный «блог». Благодарю.

ShizukaYamamura 10 июня 2009, 02:57 #

у меня под маком домашним работать не хочет, на работе на линухе и бсдях — всё ок, а вот дома — надо бы разобраться — что еще в этот скриптик можно добавить =) хотя можно просто обходиться чем то вроде
echo «Base64 » | openssl enc -base64
и наоборот
echo «QmFzZTY0IAo=» | openssl enc -d -base64
хотя всё равно конечно тут всё просто — но можно и усложнять, с некоторой потерей наглядности и лёгкости запоминания — а автору — всё равно спасибо — за саму идею.

soko1 10 июня 2009, 03:09 # ↑

К сожалению я не знаю какие утилиты используются для md5/base64 в Mac OS X, я вообще думал что те же что и в FreeBSD, оказывается нет. Порою завтра на эту тему, чуть что — дам знать.
Спасибо за информацию и приятный отзыв.

soko1 10 июня 2009, 10:07 # ↑

Подправил скрипт добавив новое условие:

if `uname` = "Darwin" ]; then
    md5_utils="openssl dgst -md5"
    base64="openssl enc -base64"
fi
<pre>

Проверьте пожалуйста, а то у меня нет нигде Mac OS X и отпишите сюда. Благодарю :)

ShizukaYamamura 10 июня 2009, 20:28 # ↑

всё отлично, спасибо большое за реализацию!

elrodeo 10 июня 2009, 12:25 # ↑

зачем тебе это под маком то? :) сохраняй пароль в keychain, там они и так уже зашифрованы.

ShizukaYamamura 10 июня 2009, 20:21 # ↑

вы немного не поняли самой сути идеи — правда я всё равно не кейченом пользуюсь а 1пассвордом

elrodeo 10 июня 2009, 20:58 # ↑

да нет, я понял идею :). мой пароль на амазон, например, настолько длинный и сложный, что я его даже сам не знаю. мне и не надо его знать, ни сложный, ни простой, ведь его знает keychain. :)

bomb 10 июня 2009, 03:13 #

т.к. если размер будет известен — криптостойкость падает в разы.

ну да, если я знаю что у кого то пароль на почту 32 символа, подбор пароля мне станет значительно легче.

vpbar 10 июня 2009, 08:59 # ↑

Так точно кэп.
Или это у Вас был сарказм. Никак не могу научится определять сарказм.
В общем, если у нас 100 символов, что число вариантов пароля (если известно что он размером в 32 символа ) 100³² если же длина пароля неизвестна, но ограничена 32 символами, то число вариантов равно 100³²+100³¹ +100³⁰ +...+100¹. А это значительно меньше чем 100³².
ЗЫ. Правильность расчетов не гарантирую, комбинаторику давно использовал, может что и забыл.

romik 10 июня 2009, 13:47 # ↑

Во-первых вы, наверное, имели ввиду значительно больше. Во вторых больше получается в 100 раз, что по сравнению с 100³² копейки. А в третьих, поскольку вы предлагаете именно урезать, то число вариантов вообще не изменится.

vpbar 10 июня 2009, 18:04 # ↑

Нда. Вы правы. Больше. Но не значительно. Даже не в 100 раз. А всего 1,111(1) раз. Это если длина заведомо меньше 32. Зато если априори длина вообще не ограничена, то ситуация меняется, правда на практике при последовательном переборе это не повлияет на результат.

romik 10 июня 2009, 21:08 # ↑

Ну, 100 или 1,(1) или ровно 1 — это уже детали, зависящие от конкретного условия.

chip 10 июня 2009, 05:22 #

А я просто юзаю password commander.

michurin 10 июня 2009, 08:32 #

Отличный способ!
Предлагаю дополнение. Вот такой вариант позволяет не светить на экране секретную фразу:
openssl passwd -salt 'my'

soko1 10 июня 2009, 09:14 # ↑

Отлично! Спасибо за идею.

А я вот всё думаю как в shell не светить фразу через read… пока ничего не придумал.

soko1 10 июня 2009, 10:45 # ↑

Я кстати вообще за то чтобы поменять все эти внешние утилиты на один только OpenSSL. Это просто гениальный продукт по-моему!

unicast 10 июня 2009, 08:43 #

Раньше пользовался разными генераторами серийных кодов для программ — вводишь логин, получаешь пароль.

Kroops 10 июня 2009, 12:18 # ↑

А сейчас?

ant0n 10 июня 2009, 09:44 #

Плохо то, что пароль опять получается завязаным на простую фразу, что снижает криптостойкость. Например, ничего не мешает взять популярный словарь фраз\слов для перебора, составить новый словарь хешей из него и перебирать по нему. Даже при использовании не всего хеша, это сильно снижает количество возможных вариантов.

В хеше нет спецсимволов типа: ` @ ( &,?

md5 подвержен коллизиям.

Тот же keepassx генерит более криптостойкие пароли (ввиду более сложной логики получения случайной комбинации) и удобней в обращении.

soko1 10 июня 2009, 09:52 # ↑

Вы не правы. Я же перечислил md5/sha1/base64 просто как примеры. Посмотрите в сторону того же OpenSSL (который кстати на любой unix-системе стоит) и всех возможных методов шифрования, которым он обладает:

aes-128-cbc 

aes-128-ecb

aes-192-cbc

aes-192-ecb

aes-256-cbc

aes-256-ecb

base64

bf

bf-cbc 

bf-cfb 

bf-ecb 

bf-ofb

camellia-128-cbc 

camellia-128-ecb 

camellia-192-cbc 

camellia-192-ecb

camellia-256-cbc 

camellia-256-ecb 

cast 

cast-cbc

cast5-cbc 

cast5-cfb 

cast5-ecb 

cast5-ofb

des 

des-cbc 

des-cfb 

des-ecb

des-ede 

des-ede-cbc 

des-ede-cfb 

des-ede-ofb

des-ede3 

des-ede3-cbc 

des-ede3-cfb 

des-ede3-ofb

des-ofb 

des3 

desx 

rc2

rc2-40-cbc 

rc2-64-cbc 

rc2-cbc 

rc2-cfb

rc2-ecb 

rc2-ofb 

rc4 

rc4-40

rc5 

rc5-cbc 

rc5-cfb 

rc5-ecb

rc5-ofb

Вот скажите, рискнёт ли кто нибудь вообще перебирать все эти методы шифрования? По-моему проще сразу пристрелиться :)

ishua 10 июня 2009, 10:02 # ↑

заодно можно в конце пароля ставить собачку ;)

soko1 10 июня 2009, 10:23 # ↑

Ага, либо любой другой приятный взору символ :)

ant0n 10 июня 2009, 10:36 # ↑

1. Не обязательно перебирать все методы, достаточно взять самые популярные, которые вы и перечислили в топике. В большинстве случаев этого хватит.

2. Приведенный список содержит алгоритмы шифрования, а не хеш алгоритмы, о которых идет речь в вашей статье.

3. Отсутствие спецсимволов и осмысленность начальной фразы снижают криптостойкость.

soko1 10 июня 2009, 11:07 # ↑

1. это я всё к тому что способов столько, что даже задав пароль вида 123 (немного утрирую конечно) сложно будет подобрать пароль. По крайней мере в сравнении с паролем 123 в открытом виде :)
2. статьёй я просто передал идею, а додумывать тут уже каждый сам за себя должен что ему ближе, а идею шифрования я в комментариях уже раскрыл ранее!
3. добавляйте в начало/конец пароля какой нибудь спецсимвол/спецсимволы. Я сомневаюсь что с паролем в 20 символов, да с произвольным регистром и спецсимволами ваш пароль будет взломан каким нибудь «брутфорсом» в ближайшем столетии :)

ishua 10 июня 2009, 10:21 #

осталось дело за малым, найти компьютер с установленным openSSH, а так как 90% занимает пока винда (и без опенССХ, почему то...), то где нибудь в отпуске могут возникнуть проблемы :(

soko1 10 июня 2009, 10:27 # ↑

Вы наверное хотели сказать OpenSSL :)
Есть два варианта:
1) скачать на компьютер putty (маленькая, не требует установки) и соединиться с unix-системой на которой есть OpenSSL;
2) Скачать OpenSSL под Windows: www.openssl.org/related/binaries.html

volante 10 июня 2009, 10:29 #

у меня стоит KeePass и я храню его базу на скрытом разделе флешки. Запоминать сильно не приходится. Паранои у меня нет. Мне кажется того, что я делаю достаточно.

НЛО прилетело и опубликовало эту надпись здесь

kukumumu 10 июня 2009, 11:16 #

Идея необычная :)

Но если я правильно прикинул, то стойкость 16-символьного пароля (в Вашем скрипте — 15-символьный, но для 16 считать удобнее :), полученного таким способом примерно равна стойкости 4-значного пароля того самого «страшного» вида.

Кроме того, из-за того, что длина md5 фиксирована (128 бит), то максимальная стойкость пароля, полученного таким скриптом, примерно равна стойкости 10-символьного «страшного» пароля. Это уже неплохо, но для этого вам придется вводить каждый раз 44-символьный пароль. Мне было бы неудобно :)

Greesha 10 июня 2009, 11:49 #

Использую похожий метод, но в качестве исходных данных для хэша применяю две строки:
— название эккаунта (напр. greesha.habrahabr.ru или greesha@mail.ru)
— секретную фразу, которую держу в голове — достаточно длинную, но одну для всех паролей

В результате получаются хорошо защищённые пароли, которые в случае необходимости (или периодически) достаточно легко можно сменить, задав другую секретную фразу.

Более того, держу этот скрипт в интернете, так что в крайних случаях, когда находишься далеко от дома, а нужно срочно получить доступ к своему эккаунту с чужого компьютера (из гостиницы или инет-кафе), нужный пароль легко можно «вспомнить». Ну, понятно, тут уже другие проблемы с безопасностью возникают, но они решаются даже в случае запущенной паранойи последующей сменой всех паролей.

soko1 10 июня 2009, 11:58 # ↑

Очень неплохая идея, спасибо.
Вот в интернет-кафе лучше вообще никаких своих паролей не светить. Проверено на собственной шкуре. Во многих интернет-кафе стоят снифферы. У меня уже один раз так пароль угнали. Поэтому если я вдруг где и засветил — сразу же по возможности меняю пароль.

Greesha 10 июня 2009, 12:07 # ↑

В тех интернет-кафе, в которых я бывал, мои пароли никому не интересны. :)

Сейчас гораздо больше опасностей imho в широком распространении открытых WiFi сетей. Если пароль передаётся в plaintext, то тут уж точно никакой генератор не поможет, хоть каждый час их меняй.

alrond 11 июня 2009, 02:47 # ↑

если спользовать WiFi, то лучше к своиму серверу по openvpn подключаться и через него уже ходить в инет

Mezomish 10 июня 2009, 20:10 # ↑

>Использую похожий метод, но в качестве исходных данных для хэша применяю две строки:
— название эккаунта (напр. greesha.habrahabr.ru или greesha@mail.ru)
— секретную фразу, которую держу в голове — достаточно длинную, но одну для всех паролей

Делаю примерно то же самое: секретная фраза (набранная в другой раскладке) + кодовое слово для того ресурса, куда этот пароль предназначен. Причём и то, и другое — искажённое «падонкаффским» образом. В целом получается что-то вроде «CfaactvPfbgfnj{f,h»

abarmot 10 июня 2009, 11:53 #

… и теперь в баш-хистори все ваши пароли в открытом виде.

soko1 10 июня 2009, 11:54 # ↑

Если делать всё через read — ничего не останется :)

НЛО прилетело и опубликовало эту надпись здесь

soko1 10 июня 2009, 11:55 # ↑

При чём тут apg? Мы не про генерацию сложнозапоминаемых паролей говорим.

НЛО прилетело и опубликовало эту надпись здесь

soko1 10 июня 2009, 12:00 # ↑

Всё равно apg, как минимум, не везде стоит :(

НЛО прилетело и опубликовало эту надпись здесь

soko1 10 июня 2009, 12:13 # ↑

Не нужно никакие скрипты использовать! Я это для себя написал, а вашему вниманию его представил в качестве примера.
Достаточно придумать для себя последовательность действий/алгоритмов и пользоваться ими.

–4

nikkar 10 июня 2009, 11:54 #

встречал аналогичную идею в блоге Алексея Лебедева

nikkar 10 июня 2009, 20:23 # ↑

сначала читайте, потом минусуйте

Gero 11 июня 2009, 00:25 # ↑

У некоторых людей аллергия на фамилию Лебедев, не обращайте внимания.

jandosul 10 июня 2009, 12:00 #

Пользуюсь обычным мастером пароля угроз безопасноости не чувствую

sedovmik 10 июня 2009, 12:10 #

мне нравится как Punto Switcher меняет раскладку по Break, заменяя последнее набранное слово. Например gfhjkm -> пароль. Неплохо было б что-то подобное для паролей — вводим 123, нажимаем Break, 123 стирается, заменяется на YmExZjI1MTFmYzM

Lachezis 10 июня 2009, 12:14 #

В 17 лет придумал: My name is Antony, and i am 17 years old. = MniA,ai17yo.
С тех пор принцип немного изменился но не очень, и пароль помнится и менеджеы никакие не используются.

glintwine 10 июня 2009, 12:49 # ↑

Теперь MniA,ai19yo.? :)

Lachezis 10 июня 2009, 12:55 # ↑

Ну теперь есть более запоминающие фразы. =)

–1

Rigo 10 июня 2009, 12:33 #

Я делаю пароли зависимыми от названия ресурса. Например «habrahabr.ru» — 12 символов, значит пароль «мойстандартныйпароль12». Конечно все намного сложнее, но сам принцип, я думаю, понятен. Это позволяет востанавливать пароль, когда он нужен, а не помнить его все время, и иметь разные пароли на различных ресурсах.

voidMan 11 июня 2009, 07:48 # ↑

Удобно для вас. И также удобно найти закономерность и получить доступ ко всем вашим паролям…

Rigo 11 июня 2009, 08:07 # ↑

Закономерность очевидна только в моем примере (а я использую намного более сложный алгоритм), плюс злоумышленик должен получить несколько паролей, что бы догадаться о наличии закономерности, не говоря уже о ее нахождении.

turboblog 10 июня 2009, 12:51 #

Моего кота зовут очень просто i_l0<3_u_STEVE_$%#@jObZZzzz*!!!!111

Van_WILDER 10 июня 2009, 18:35 # ↑

использовать |337 для паролей не очень-то стойко в наше время… это я на случай, если после прочтения Вашего комментария кому-то придет такая идея в голову… ;)

indapublic 10 июня 2009, 13:07 #

Берется какое-нибудь слово (например, отчество). Буквы заменяются в соответствии со своими внутренними правилами (допустим: «И» на 1, «A» на @, «С» на $). Например, гласные делаем прописными, согласные — заглавными. Пароль готов.

soko1 10 июня 2009, 13:10 # ↑

Это всё конечно же верно. Но не стоит забывать о том что пароли периодически (и чем чаще — тем лучше) нужно менять и ни в коем случае не использовать один пароль везде. Не знаю как у вас, а у меня фантазии уже не хватает :)

indapublic 10 июня 2009, 13:11 # ↑

Конечно, это проблема. Но пока этого хватает. На «ненужных» ресурсах пароль всегда один. На нужных — генерирую и меняю.

loginex 10 июня 2009, 14:06 # ↑

изобретать велосипед? конечно свой метод шифрования лучше — так как он мобильнее(не нужны никакие компы для их генерации), но у вас обратимый алгоритм. Еще вот не все ресурсы поддерживают все символы в качестве паролей, некоторые только цифры, некоторые только латинский алфавит без всяких прописных…

indapublic 10 июня 2009, 15:13 # ↑

Я прочитал ваш комментарий, и во всем могу согласиться… но… этим методом я пользуюсь несколько лет. И пока он меня более чем устраивает. И это для меня главная оценка (возможно субъективная). Когда этот метод даст сбой — я сменю стратегию.

loginex 10 июня 2009, 15:27 # ↑

у меня тоже есть пароли 12345, которым уже лет пять)

indapublic 11 июня 2009, 01:07 # ↑

На почте/в социальных сетях/аське/CPanel/доменных аккаунтах?
Простите, но на этом я спор закончу

ESQUELETO 10 июня 2009, 13:18 #

У этого метода криптостойкость такая же, как и у набора русских слов в английской раскладке.

Труднозапоминаемый не значит труднорасшифровываемый или трудноподбираемый.

soko1 10 июня 2009, 13:30 # ↑

Нет, вы не правы, совершенно не такая же. ghbdtnrfrltkf — это набор символов имеющий хоть какое-то логическое значение (если подумать) и его можно подобрать соответствующим словарём в английской раскладке, а вот 0L/RgNC40LLQt уже фиг каким словарём подберёшь.

ESQUELETO 10 июня 2009, 13:45 # ↑

Ну вот что с вами спорить? Криптография это наука, где словарь – средневековый метод, а «логическое значение (если подумать)» отличается от вами представляемого.

Повторяю труднозапоминаемый не значит труднорасшифровываемый или трудноподбираемый.

–1

hellohaos 10 июня 2009, 13:44 #

"<skj 3 cj,frb — ufd": «Было 3 собаки — гав».
Не популярная фраза и пароль стойкий, если паролей много то да, без менеджера никак.

SanYOKK 10 июня 2009, 13:49 #

Напомнило один старый баянчик:

— Пароль у меня такой: мама сшила мне штаны из березовой коры
— Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
— Хакер один знакомый: Да, также: Только вместо символов нижнего подчеркивания ничего не ставьте.
— Вы ошибаетесь — пробелов в пароле быть не может.
— А пробелы и не надо — все слитно пишется.
— А: Понятно. Минуточку:
— Погодите, девушка:
— Я сказала — минуточку:
— Девушка:
— Ваш пароль не подходит
— Это еще не все, девушка. Теперь надо в этом пароле удалить каждую вторую букву
— Конспиратор: Удаляю: Удалила. Все?
— Нет, теперь надо каждую оставшуюся вторую букву заменить на цифру «0»
— Молодой человек, вы часто будете пользоваться своим ящиком?
— Да, каждый день. У меня сейчас интернета нет
— О, боже!

loginex 10 июня 2009, 14:15 #

сам я пользуюсь менеджером паролей(как писал выше — keepass) на разных ос, таская с собой всегда базу в телефоне. Правда нужна она не так часто, в случаях, если надо напомнить какой-то сложный пароль; однажды даже забыл пассворд к самой бд :). А так у кого плохо с памятью и нет возможности генерить пароли, то стоит запомнить 5-6 основных и использовать их в зависимости от ценности доступа. Если это пароль на директорию с ккнухой, то можно и 123, если это почта, тогда 'njvjzgjxnf(uncrypt: этомояпочта), а уж на денежные операции постараться сделать наиболее сложный, какой в состоянии запомнить.

Glow 10 июня 2009, 14:15 #

Такой метод может и подходит для 10< паролей, но когда их хотя бы 30. Это уже сложновато и приходится использовать менеджеры паролей.
PS Могу посоветовать Sticky Password. Добротная программка.

Iceg 10 июня 2009, 14:15 #

вспоминаем про 1337 14|/|6|_|463 и придумываем себе самые запоминающиеся пароли)

Iceg 10 июня 2009, 14:17 # ↑

да, а если их много, можно взять идею с prison breakа — вытатуировать на себе

Glow 10 июня 2009, 14:40 # ↑

Хитрый яд^W план ;-)

FanKiLL 10 июня 2009, 15:53 #

Может кто напишет на js, и каждый сможет у себя в веб поставить? Или на гуглаппс на питоне?
В вебе оно как то интересней будет, да и телефон если что всегда под рукой с gprs.

budda 10 июня 2009, 16:36 #

Под Ubuntu 9.04 почему то не работает (:
./genspass.sh: 56: md5: not found
./genspass.sh: 56: b64encode: not found
md5 нет такого пакета, есть md5deep и md5sum
и b64encode только для перла libmime-base64-urlsafe-perl

проверка системы работает не корректно
короче, убрал проверку и все заработало

soko1 11 июня 2009, 01:07 # ↑

Ерунда какая-то. У вас `uname` выдаёт что-то отличное от «Linux»??

Mercury13 10 июня 2009, 17:58 #

Security by obscurity?
То есть, «безопасно потому, что засекречено».

Glow 10 июня 2009, 17:58 #

Ну а вообще все эти пароли — старо. Рекомендую обратить внимание на ENUM-Storage. Для его работы всего-то и нужно любое устройство с поддержкой Java. И никакой брутфорс не поможет.

Captcha 10 июня 2009, 20:16 #

>Любите ли вы запоминать пароли вида:

Помню только один пароль — от кипаса. Остальные помнит Firefox Portable и собственно Keepass Portable на флэшке.

FanKiLL 11 июня 2009, 00:34 #

www.insidepro.com/hashes.php?lang=rus

NikoM 11 июня 2009, 05:28 #

ИМХО идеальный пароль должен быть псевдослучайым, а описанным выше методом мы получим «123456», но немного в другом виде. Но метод, тем не менее, мне понравился.

me76 11 июня 2009, 07:33 #

а зачем самому запоминать пароли типа art#@$%T$U#134rfewG#? браузер сам запомнит, а если заходишь с другого компа или не доверяешь браузеру, то нормальные сервисы позволяют сбросить пароль и запросить новый на мейл. и останется запомнить только пароль на этот ящик

soko1 11 июня 2009, 09:50 # ↑

Пароли бывают не только в вебе.

FanKiLL 12 июня 2009, 02:18 # ↑

Я вот такое для себя написал(C# + WPF). Сорри скрин только сылкой могу вставить img526.imageshack.us/img526/8445/qwerty.jpg

siasia 11 июня 2009, 15:14 #

А чем вам не нравиться pwgen. Генерирует сложные, но удобно запоминаемые пароли поскольку можно запоминать звук пароля, а не символы.
Вот пример: Dauph3ve
Можно запомнить как Дауф3ве.
Опять же перебрать такой пароль практически не возможно(я имею ввиду логин форму для интернет ресурса).

soko1 11 июня 2009, 15:25 # ↑

Я же говорю, 1-2 пароля таких запомнить можно, а 50 и более фиг запомнишь при таком раскладе.

А вообще, посмотрите программу apg, по-моему она намного интереснее pwgen.