Как создать хороший пароль? Мой способ

У большинства из нас есть потребность создавать множество учетных записей для различных сервисов: почты, социальных сетей, IM, и т.д. А что самое главное при создании учетной записи? Правильно, пароль!

Не далее как вчера в интернете выложили файлик, содержащий более 130000 паролей пользователей социальной сети Вконтакте. Я посмотрел этот файлик, и сделал очень печальный вывод: многие пользователи создают слабые пароли для своих учетных записей. Увы, в XXI веке пароли типа «qwerty» или «23091984» не имеют права на существование.

С другой стороны я понимаю пользователей — создать и запомнить сложный пароль типа «ruT$kipS1lAve» не так уж и просто.

Я использую следующий алгоритм создания сложного пароля, который (пароль) легко запоминается:

Шаг 1. Случайным образом берем любое прилагательное. Например, "зажаренный".

Шаг 2. Случайным образом берем любое существительное. Главное, чтобы это существительное «плохо сочеталось» с прилагательным, которое мы взяли в шаге 1. Например, "снежок".

Шаг 3. Берем цифру, которую легко запомнить (любимую цифру, дату рождения, последние 4 номера мобильного телефона, и т.д.). Например, "1984".

Шаг 4. Берем любой знак препинания. Например, "!".

Шаг 5. Запишем строки, которые мы получили в 1 — 4 шагах в одну большую строку: "зажаренныйснежок1984!".

Шаг 6. Поменяем в этой строке строчную букву на прописную: "Зажаренныйснежок1984!".

Шаг 7. Наберем на клавиатуре эту строку в английской раскладке: "Pf;fhtyysqcyt;jr1984!".

Эта строка и будет нашим паролем.

Преимущества этого алгоритма очвидны, ведь на выходе мы получаем пароль, который:

1. Непросто взломать методом перебора (пароль включает в себя строчные буквы, прописные буквы, цифры и знаки препинания).

2. Легко запомнить (большинство людей с легкостью смогут запомнить пароль, включающий в себя «парадоксальное» словосочетание («черный снег», «сухая водка», «глючный линукс»), цифру и знак препинания).

И напоследок скажу следующее: безопасность любой системы равна безопасности самой небезопасной ее части. Поэтому недостаточно придумать хороший пароль для учетной записи, нужно обеспечить комплексную защиту компьютера. Однако это тема для следующей статьи.

З.Ы. Я не призываю вас использовать именно этот алгоритм. Вы можете изменить его под себя, убрать или добавить какие-то шаги.

З.З.Ы. Я знаю, что существует множество программ, которые могут генерировать и сохранять сложные пароли, однако не думаю, что хорошая идея пользоваться ими. Почему? Во-первых если такую программу взломают, то вы потеряете все свои пароли (а злоумышленник, соответственно, завладеет ими). Во-вторых пароль, который придумали лично вы, а не программа, сложнее забыть.

пароли

+29

31 июля 2009, 18:03

Evgeny_Shiryaev –3,2

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (174)

bndr 31 июля 2009, 18:07 #

Можно чуть-чуть увеличить защищенность написав также и второе слово с большой буквы, но это придирки :)
А по существу. По мне так это довольно старое мнемоническое правило.

SlavZes 31 июля 2009, 23:03 # ↑

Первая мысль при чтении статьи тоже была про вторую заглавную букву)

TKing 2 августа 2009, 23:24 # ↑

Кроме использования заглавных букв в нужных местах следовало бы
1) использовать не словарные слова: клички, сленг, слова с ошибками, укр яз ;)
2) заменять некоторые буквы на похожие цифры (шифт+цифры) 3=з 4=ч 6=ш 1=i 0=о

В целом — статья очень хороша особено на фоне событий. ++

bullgare 11 августа 2009, 16:16 # ↑

я когда читал — мельком просмотрел эту строку и был уверен, что там заглавная буква.
сила привычки)

+18

dshster 31 июля 2009, 18:11 #

Давно уже программы перебирают по словарям, меняют раскладки, регистры, могут подставлять разные ключевые слова в разных комбинациях. Это гораздо проще, чем перебирать по одному символу. Давно уже говорят, что нет лучше пароля, который сгенерирован специальными программами не основываясь на словарях.

Да, такой пароль очень сложно запомнить, но зачем его запоминать, если можно копировать из программы хранения паролей?

Ну а во-вторых — какой бы сложный пароль не был, если пользователь по своей глупости его вводит в чужой подставной сайт, то его уже ничего не спасёт! А с паролями от контакта было именно так.

Evgeny_Shiryaev 31 июля 2009, 18:17 # ↑

Давно уже программы перебирают по словарям, меняют раскладки, регистры, могут подставлять разные ключевые слова в разных комбинациях. Это гораздо проще, чем перебирать по одному символу. Давно уже говорят, что нет лучше пароля, который сгенерирован специальными программами не основываясь на словарях.

Вы представляете, сколько времени нужно, чтобы подобрать (даже по словарю) пароль типа такого: «Pf;fhtyysqcyt;jr1984!»? А ведь можно и усложнить алгоритм генерации…

Да, такой пароль очень сложно запомнить, но зачем его запоминать, если можно копировать из программы хранения паролей?

Лично я предпочитаю не хранить все яйца в одной корзине.

Ну а во-вторых — какой бы сложный пароль не был, если пользователь по своей глупости его вводит в чужой подставной сайт, то его уже ничего не спасёт! А с паролями от контакта было именно так.

Полностью согласен, поэтому я и написал следующее:

И напоследок скажу следующее: безопасность любой системы равна безопасности самой небезопасной ее части. Поэтому недостаточно придумать хороший пароль для учетной записи, нужно обеспечить комплексную защиту компьютера. Однако это тема для следующей статьи.

dshster 31 июля 2009, 19:38 # ↑

Так усложнив алгоритм генерации мы усложняем запоминание пароля, разве не так? А если его и так сложно запомнить, то какой смысл вообще в запоминании — генерируем пароль автоматически и все дела.

Evgeny_Shiryaev 31 июля 2009, 22:25 # ↑

Можно так усложнить алгоритм, что конечный пароль будет все так же легко запоминаться. Например, делать заглавными не первую букву, а первые три буквы. Запомнить так же легко, а подобрать становится сложнее.

–1

elfxf 1 августа 2009, 02:16 # ↑

Ну хорошо, легко запомнить один, два, три таких пароля. А десять? Я столько смешных и нелепых фраз не запомню. Для себя решил: либо программа, либо пароль, основанный на урле сайта. Иначе — извращения, имхо

i0ngunn3r 1 августа 2009, 11:57 # ↑

Значит, надо тренировать память :)
У меня штук пять паролей типа приведенного «ruT$kipS1lAve» и всех их я довольно легко запомнил. Да и этот легко запоминается — почти «ru — skip — slave» :)

Denai 1 августа 2009, 21:00 # ↑

ога, и будете всюду таскать программу генератор — и на работу и в отпуск и так далее и следить чтобы её не упёрли и т.д. и т.п…
а потом забудете название проги/она устареет/сменит алгоритм/слово основу узнают — и вы потеряете пароли…

fio1985 1 августа 2009, 10:08 # ↑

а google быстро «разгадал» что за слова вы ввели

www.google.ru/search?rlz=1C1CHMB_ruRU306RU306&aq=f&sourceid=chrome&ie=UTF-8&q=Pf;fhtyysqcyt;jr1984!

Chikiro 31 июля 2009, 19:34 # ↑

а если брать слова из нескольких языков?
например из русского транслита, японского ромадзи и английского.

Evgeny_Shiryaev 31 июля 2009, 22:30 # ↑

Это сильно усложнит запоминание пароля. Хотя, конечно, пароль будет более стойким ко взлому.

Chikiro 31 июля 2009, 22:38 # ↑

как усложнит? О.о
А если знать не один иностранный язык, а несколько?
Еще на латыни можно что-нибудь вроде QuodLicet1Jupiter!=Licet1Oxen :)
По-русски, «Что позволено Юритеру, не позволено быку». 1 — для единственного числа, имена по-английски, неравенство как в язках программирования, остальное — как в латинской поговорке.

Scorpil 1 августа 2009, 14:00 # ↑

Пробел и смайлик в конце — тоже часть пароля? :)

quiet_drago 2 августа 2009, 12:26 # ↑

почему бы и нет)

MashaLaufer 3 августа 2009, 09:46 # ↑

такое точно не угадать! :)
Ведь в оригинале — Quod licet Jovi, non licet bovi
:)

stolen 31 июля 2009, 22:33 # ↑

Есть мнение, что очень сложно взламывать пароли на русском языке. Но практика ВКонтакта показывает, что многие ими и так пользуются (недостаток сервиса, кстати — пароли должны быть в латинских символах, чтобы не зависеть от кодировки)

makcumka 31 июля 2009, 23:10 # ↑

пароли должны быть в UTF-8.

stolen 1 августа 2009, 01:04 # ↑

Скажите это тем сервисам, которые до сих пор отдают юзерам странички в разных кодировках на основании User-Agent :)

Goodkat 1 августа 2009, 00:54 # ↑

>>пароли должны быть в латинских символах
чтобы облегчить подбор, ага

stolen 1 августа 2009, 01:03 # ↑

Я имел в виду, нечувствительные к кодировке. Иначе бы пришлось, запустив PuTTY у знакомого на компе, долго искать, где там UTF-8/KOI8-R/CP1251 (нужное подчеркнуть)

Goodkat 1 августа 2009, 01:16 # ↑

ни разу не открывал вебсайты через PuTTY
если вы пользуетесь PuTTY для ввода пароля, то это ваше право — используйте только латинские символы

если сервис требует наличие только латинских символов в пароле, да вообще, если хоть что-то требует, то это недостаток сервиса, а не достоинство

может быть, я хочу пароль в одну букву. или вообще пустую строку. мне не нужен пароль в линуксе на телевизоре. но нет, он требует пароль минимум в 6 символов

максимум, что должен делать сервер — это предупреждать о ненадёжности пароля, но не требовать

makkl 1 августа 2009, 11:00 # ↑

А при чем здесь Putty и веб-сайты?? Да и пароли могут быть не только в WEB-е.
Требование о сложного пароля — чаще всего отключаемая фишка. А требование в общественных местах — мера безопастности, которую посчитал необходимой владелец сервиса. Подумали ли вы, что реклама от ОДНОГО вашего аккаунта может подпортить настроение (и не только) сотням других людей?

Пароль — способ контроля достоверности информации. Паспорт — примерно тоже самое. Почему вы не требуете, чтобы в паспорте была бы ваша семейная фотография или чтобы ее вообще не было?
;)

Goodkat 1 августа 2009, 14:18 # ↑

>>при чем здесь Putty и веб-сайты?
это к предыдущему комментатору.
и перечитайте внимательне мой прошлый комментарий. никто не запрещает вам использовать суперсложные пароли с латинскими символами, если вы предполагаете вводить пароль через PuTTY и считаете, что защищаемые этим паролем данные достаточно важны для вас

я против того, что кто-то за меня решает, как я должен защищать свои данные
как бы вы отнеслись к тому, если бы вас заставили постоянно носить защитный шлем, наколенники и налокотники, мол, можно упасть и пораниться?

и при чём здесь паспорт? у меня вообще нет паспорта :)

makkl 1 августа 2009, 21:19 # ↑

Я так понимаю в случае с PuTTY имелось в виду кодировка системы, куда пытаешься попась (при использовании определенной кодировки и пароля в русских символах). т.е. путти и вебсайты как раз не связаны особо :)

З.Ы. Паспорт как пример. В большинстве случаев за вас решают не то, как ВАМ защищать свои данные, а как защитить ОСТАЛЬНЫХ от последствий взлома вашего аккаунта :). Про личные данные — да, кто как хочет, тот так и защищает.
З.Ы.Ы. Мы ведь не по одиночке существуем, а в социуме, поэтому приходится мирится с некоторыми э-э-э… ограничениями что ли

AzriMan 1 августа 2009, 00:35 # ↑

полностью поддерживаю. уже давно брутфорсеры умеют перебирать меняя раскладки.
для хранения рандомных паролей использую KeePass. пароль к нему в голове. файл с шифрованной базой на TrueCript`е и FropBox`е :)

p.s. и даже если нет под рукой файла с базами и пароль к некоторому сервису вспомнить не по силам — всегда можно сделать отсылку пароля на почту, скопировать его и удалить письмо :)

MeDBejoHok 1 августа 2009, 01:28 # ↑

Поддерживаю, KeePass уже давно занимается созданием моих паролей, reg-файл на флешке и никаких проблем.
Есть один пароль, но его использую при регистрации на всяческих варезниках или на сайтах, на которые больше одного-двух раз не зайду

+20

MarkOverride 31 июля 2009, 18:18 #

пункт 7: Проблема в том, что для такого метода под рукой всегда должна быть qwerty-клавиатура.
я как-то раз, находясь на отдыхе пытался зайти на почту с телефона, пришлось звонить знакомому и узнавать какой букве что соответствует) больше я так пороли не придумываю.

Kumarunster 31 июля 2009, 22:54 # ↑

www.translit.ru/keyboard может помочь

elibri 1 августа 2009, 00:56 # ↑

Знакомо. Я просто сфотографировал клаву при случае и носил с собой в памяти телефона. :-)

ogy 1 августа 2009, 23:21 # ↑

тоже попал в подобную ситуацию, пришлось качать фото клавиатуры)

Agent_Smith 2 августа 2009, 03:56 # ↑

А я со временем выучил свой пароль, и спокойно ввожу его и с телефона.

ctrlok 31 июля 2009, 18:19 #

Ну я генерирую пароли самостоятельно на основе имени и фамилии.
Например, Никита Иванов получит такой пароль

niK3k!tIvvan033

Очень сложный к подбору, но очень легкий к слуховому восприятию и запоминанию.

ctrlok 31 июля 2009, 18:21 # ↑

посмотрел как выглядит — решил пояснить:
l — это большая «i»
vv — две буквы «v»
0 — это ноль.

4udo 31 июля 2009, 18:47 # ↑

Я бы не назвала этот пароль легким для запоминания :) Запомнить какия из букв среди слова большая не оч просто.

ctrlok 31 июля 2009, 18:56 # ↑

А вы попробуйте раза три набрать. Дальше пойдет на «автомате». Серьезно.
По крайней мере все мои пользователи такими паролями довольны.

dshster 31 июля 2009, 19:40 # ↑

Пробовал — разочаровался. Через 2 года неиспользования пароля фиг вспомнишь каким образом я подставлял цифры к известному слову.

Castle 31 июля 2009, 22:10 # ↑

Ну вот, я знаю ваш пароль)))

tort 31 июля 2009, 18:23 #

cnfhsq cgjcj,

unreal 31 июля 2009, 18:37 #

зря вы так, особенно в такой день)
холиваров еще не хватало…

Evgeny_Shiryaev 31 июля 2009, 18:44 # ↑

Холиваров? Какие тут могут быть холивары? Если у пользователей будут хорошие пароли, то и админу будет от этого хорошо :-)

unreal 31 июля 2009, 18:44 # ↑

я про отрывок «глючный линукс»

Evgeny_Shiryaev 31 июля 2009, 22:32 # ↑

Это я так попытался пошутить.

Arseny_Info 31 июля 2009, 23:04 # ↑

оксюморон :)

Arseny_Info 31 июля 2009, 23:05 # ↑

я обещаю в будущем читать все каменты перед тем, как писать свой

josser 31 июля 2009, 18:49 #

АААА! :) парадоксальное словосочетание «глючный линукс»! :) Валяюсь!

Nigatiff 31 июля 2009, 22:21 # ↑

Парадоксальное словосочетание, можно сказать одним словом — оксюморон.

HeadFore 31 июля 2009, 23:19 # ↑

Каждый должен показать, что знает это слово.

hrumcraft 31 июля 2009, 19:00 #

Еще один «мнемо-метод» составление пароля из первых букв слов.
Например пароль «zn3rp3m» можно разложить как:
z — Зеленый
n — Негр
3 — Три
r — Раза
p — Перебегал
3 — Трехполосную
m — Магистраль

Запоминается достаточно легко. К тому же, таким образом можно разложить любимое стихотворение или что нибудь еще. Например стих Пушкина: «ypcmpmyt».

PS для усложнения можно брать вторые, последние, третью и первую буквы… :-)

msd 31 июля 2009, 22:53 # ↑

Я к этому методу добавляю использование цифр в качестве букв например:
ч-4
б-6
о-0

ASC7_Uni 1 августа 2009, 00:42 # ↑

Я помню чудные мгновенья?

vadimbelyaev 2 августа 2009, 17:30 # ↑

ОМГ.

«Я помню чудное мгновенье»

Slasyz 31 июля 2009, 19:28 #

Ссылки на википедию на статьи «существительное», «прилагательное» и «знак препинание» нахрена? К.О. спешит на помощь? :-)

По теме. Если не ошибаюсь, уже была статья, где предлагался другой способ. Уникальный пароль для каждого сайта делается так:
md5('http://site.org/' + 'уникальнаяфраза')
и берётся первые N символов из полученного хеша. Чтобы были ещё и символы в разном регистре, можно ещё и хеш в base64 закодировать.

Biga 31 июля 2009, 23:22 # ↑

Вы md5 в уме считаете, или у вас просто память хорошая?

Slasyz 1 августа 2009, 12:07 # ↑

echo 'http://site.org/%someword%' | md5sum | base64
вот и всё.

KaiSD 1 августа 2009, 13:20 # ↑

У паролей сгенеренных через Base64 по данным всяких «онлайновых измерителей» средняя надежность 35-50%. То есть в основном они «красные» или «желтые».
И тут пофиг md5sum или sha1sum или что угодно еще. Самое узкое место — сам base64.

Slasyz 1 августа 2009, 13:39 # ↑

Почему? пруфлинк в студию.

KaiSD 1 августа 2009, 14:04 # ↑

пруфлинк раз: www.microsoft.com/rus/protect/yourself/password/checker.mspx
я пробовал вводить комбинации на 10-12 символов, полученные кодированием всякого в Base64
Значения надежности выше «среднего» получаются крайне редко.
Мнемопароли в этом плане более надежны.

Еще пробовал детектор надежности встроенный в cpanel на хостинге. Там вообще индикатор показывал удручающие значения надежности.

Slasyz 1 августа 2009, 14:40 # ↑

Детекторы от всяких мелкософтов — не показатель, это во-первых.

А во-вторых. У меня из десяти случаев только _раз_ показало «Средний» уровень, в остальных же девяти — «Надёжный». ЧЯДНТ?

KaiSD 1 августа 2009, 15:20 # ↑

Да, видимо мне просто так повезло. :) Сейчас попробовал — результаты лучше.

Впрочем детектор в cpanel неумолим. То что микрософт показывает как надежный пароль, детектор в cpanel показывает как «более-менее неплохо».

Какому детектору верить — вопрос личной параноистости. Я интуитивно больше доверяю детектору с более жесткими требованиями.

Правда пароли которые cpanel признает как надежные у меня запомнить не получилось ни разу. :)

Slasyz 1 августа 2009, 15:36 # ↑

Кстати, насчёт детектора мелкософта. Я вводил пароли по 8 символов длиной, а не по 10-12 как Вы, и у меня результаты лучше.

Тут надо подумать самому. Как именно _Вы_ считаете, пароль, скажем, G0akCD5f, надёжный? Лично я считаю, что да. А то, что считают всякие детекторы мне просто срать.

merlin_rterm 1 августа 2009, 17:40 # ↑

Посчитайте: в base64 каждый байт имеет 6 битов данных, в оригинале — 8. Соответственно, если длина строк одинакова, base64-пароль в 4/3 раза слабее. А поскольку и то, что вы в base64 загнали, как правило, не идеально…

Вообще, base64 или что угодно (только цифры и т. п.) использовать можно, но при достаточной длине. Набор символов — не единственное, что влияет на энтропию пароля. Только чтобы получить пароль с энтропией, скажем, 100 бит, нужно 75 знаков «обычного» текста, 100 знаков base64 от «обычного текста» или 200 случайных цифр 0 или 1 (кто запомнит такое?)

Biga 1 августа 2009, 13:58 # ↑

Т.е. пароль вот так запросто появляется на экране. Ну-ну…
Тогда уж stty -echo; и набирать вслепую.
Или на кпк, отвернувшись в уголок.

Slasyz 1 августа 2009, 14:53 # ↑

Это паранойя. Лично я один дома, и за мной никто не следит. Да даже если кто-то и следит, то вряд ли этот «кто-то» с первого раза запомнит пароль вроде 7ZSVwLq5

Biga 1 августа 2009, 15:33 # ↑

«Параноя — это ни разу не болезнь, а критерий профпригодности.» (с) кто-то с башорга.

«Если у вас нет паранойи, то это не значит, что за вами никто не следит» (с)

Ваш способ может подходить вам лично, но многим он не подойдёт по понятным причинам.

Slasyz 1 августа 2009, 15:43 # ↑

Хорошо, даже если и так. Есть варианты лучше? Ткните, пожалуйста, пальцем.

heroOfOurTime 31 июля 2009, 19:30 #

Поделюсь и своим способом:
$ head -1 /dev/urandom | base64
Выводит что-нибудь вроде:
YeVX7TERVfQcfofh/I5ywHybiVxTsslQe6/I1/8x6aCUEqUSdrBBUeFN6ascuNFc+xMbm0UV2p9t
QDcfaxKr+m/U035dlfYgCSDTL5KKfjvMMQyjmz3n1gsJn3nC22Jbvcp13GrgdPZlWcJCcOl1YGPo
AEWkmKXAwlkzEL2hVwTa964GtEtvQUCS5uzesO27N0SppRDluY5/YXSmqF5OGJ1wmpV31BqlUzKc
7FcXtW5IBCLaSIPwADYsNS6zMnsLEt2ObxBYrc1x0Fi5HgRkgOnBIDQK
Отсюда выбираю последовательность нужной длины. Пароль запоминается примерно после 10 попыток ввода.

kibizoidus 31 июля 2009, 21:08 # ↑

pwgen?

dohlik 31 июля 2009, 21:48 # ↑

А если надо десять паролей?

Slasyz 1 августа 2009, 13:05 # ↑

Десять раз выполняем «head -1 /dev/urandom | base64».
/dev/urandom выдаёт случайную последовательность символов, base64 кодирует её в base64.

dohlik 1 августа 2009, 13:26 # ↑

Вы их все запомните?

merlin_rterm 1 августа 2009, 17:41 # ↑

А зачем все запоминать? Достаточно запомнить один, мастер :)

Lux_In_Tenebris 31 июля 2009, 23:28 # ↑

Пароль запоминается примерно после 10 попыток ввода

Это хорошо когда он один, ну максимум 3-4.

Razvedcheg 3 августа 2009, 14:35 # ↑

>Пароль запоминается примерно после 10 попыток ввода.

И очень легко забывается как только не приходится вводить его сколь-нибудь длительное время. Пароль на мнемонических правилах, да еще и с привязкой к тому для чего он — гораздо надежнее остается в памяти. Если правила генерации пароля вы не меняете под настроение — нужно лишь пройти все шаги генерации пароля еще раз. И не важно сколько времени прошло с момента регистрации.

vitaly44 31 июля 2009, 20:06 #

Извините, что не по теме:
«большинства из нас есть потребность создавать множество учетных записей для различных сервисов: почты, социальных сетей, IM, и т.д.»
собственно, есть сервисы, которые позволяют этого избежать — например windows live или google (хотя там нет соц. сети).

суть проблемы паролей в огромном количестве сервисов, не связанных друг с другом единым идентификатором, — разные\одинаковые пароли.

решать её либо выбором разных паролей, как автор правильно сделал, либо выбором иных инструментов взаимодействия друг с другом.

f1neman 1 августа 2009, 18:30 # ↑

> google (хотя там нет соц. сети)
orkut?

vitaly44 1 августа 2009, 18:47 # ↑

Насколько Orkut связан с аккаунтом Google, почтой (контакты) и прочими сервисами?

unreal 31 июля 2009, 20:55 #

Внесу и свою лепту.
Для наиболее важных ресурсов/др. я чаще всего генерирую и храню пароли в программе KeePass Password Safe.
скриншот генератора паролей
Пароли храняться в отдельном файле *.kdb который без пароля не откроешь. Функционал большой, рассказывать не хочется. Кто заинтересовался может посмотреть описание и скриншоты на сайте разработчика.
Для часто посещаемых сайтов использую на мой взгляд самый оптимальный вариант. Придумывается слово/набор букв с спец. символами и числами которое легко запомнить. Ну например "$m4rtph0ne934". Из домена сайта берутся вторые и предпоследние буквы/числа и вставляются в "$m4rtph0ne934". Например для habrahabr.ru получится "$m4ratph0ne9r34".

maximw 31 июля 2009, 21:56 #

Я имею несколько паролей, разной степени сложности.
— самый главный, состоящий из бессмысленного набора букв, цифр и символов, защищает самые критичные учетные записи, например мыло, которое используется для восстановления контроля для над другими учетными записями.
— другой попроще, представляющий собой несловарное слово с ошибками с добавлением цифр, защищает нужные и важные для меня учетный записи. Например на учетка Хабре.
— и самый простой, который используется для одноразовых регистраций, на всяких стремных сайтах и т.п.

Kreker 31 июля 2009, 22:12 #

Пишу любое слово и окружаю какими нибудь смайлами. Например >__<

Kreker 31 июля 2009, 22:13 # ↑

Ой, парсер такой плохой. Ну например вот так -.-kreker-.-

XHunter 31 июля 2009, 22:20 #

для таких целей есть очень удобная программка — Kee Pass
в любой момент зашел и скопировал пасс (хоть из 50 символов) который через 12 секунд очистится из буфера

umputun 31 июля 2009, 22:21 #

возможно я чего недопонял в этом методе, но мне кажется это может использоваться исключительно в качестве мастер пароля для той программы, где лежат автоматически генерированные пароли. Иначе я просто не представляю, как это можно использовать осмысленно. В моем случае есть около 400 паролей и все они уникальны. Ни одна методика не поможет такое количество запомнить. Т.е. если их держать в голове, то прийдется себя ограничить десятком (в лучшем случае) а значит прийдется повторять на разных сервисах. Т.е. вместо надежды на свою локальную систему хранения/защиты паролей, которую худо–бедно хоть как–то можно контролировать, вы перекладываете всю веру в неизвестно как защищенные веб и прочие сервисы, те которым вы даете повторяющееся пароли.

Evgeny_Shiryaev 1 августа 2009, 10:45 # ↑

Евгений, Вы правы, если у пользователя есть необходимость где-то хранить 400 паролей, то таки да, придется использовать какую-то программу для этого, в голове 400 паролей не поместится.
Мой метод хорош для создания (и запоминания) либо небольшого количества паролей, либо мастер-пароля.

Koshachiysup 31 июля 2009, 22:30 #

Я не записываю и не запоминаю пароли, у меня есть набор паролей это да, но я их могу набрать только видя клавиатуру, так сказать визуально помню комбинации кнопок по расположению, а то, что при этом набирается не вспомню даже:) При чем пароли достаточно сложные выходят.

iMarkus 31 июля 2009, 22:30 #

Хм… хороший пароль…
1) ну само собой должен хранится не в компе(например, раньше писал либо на листе, либо на обороте клавы). Или как минимум в контейнере с AES-шифрованием.
2) важные пароли… аля почта, яд — не сохранять ни в каких формах. Ибо сколько продуктов столько и дыр.
3) вы забываете о том, что иногда есть ограничение на кол-во символов (пример, аська)
4) периодичность обновления паролей должно зависеть от вашей активности в сети, а также популярности ресурса. Те… если взять тот же контакт… — малейший шухер в нете — пора менять пароль.
5) ну и наконец, самое приятное… это антивирусы, антилогеры, брандмауэры и т.п
Способ, описанный в топике не нов. Больше скажу, на ресурсы с брутфорсами выходят только молодые хекеры… а брутальные хакеры ломают методом соц. инженерии. Возможно даже прям контактом с клиентом… А от этого ничего не спасет… Если заведомо не знать, что я плохой дядько.

iMarkus 31 июля 2009, 22:34 #

… упс… описался… i is good >_<

chegor 31 июля 2009, 22:41 #

я во все пароли добавляю "_"

Lufa 31 июля 2009, 22:43 #

Онлайн clipperz.com Вам в помощь.

Lux_In_Tenebris 31 июля 2009, 23:29 # ↑

опасненько :)

Lufa 31 июля 2009, 23:34 # ↑

Можно ставить «у себя».

hellt 1 августа 2009, 08:40 # ↑

тоже пользуюсь им год-полтора. Доволен всем. Особенно после того, как разработчики показали новую версию clipperza, которую сейчас обкатывают

stasikos 31 июля 2009, 22:51 #

а чего бы их не генерить по какому-то известному только тебе алгоритму?
+ не надо хранить
+ не надо запоминать
+ не уязвимы к атаке по словарю

havoc_theory 31 июля 2009, 22:52 #

Еще вагон и маленькая тележка способов www.productivity501.com/10-tips-for-creating-secure-passwords/253/

А мой способ такой: беру генератор случайных паролей и гоняю несколько раз, пока не нахожу пароль, который по ощущениям легко запоминается, т.е. его фрагменты хорошо с чем-то ассоциируются. Тогда пароль точно хорошо запомнится.

А лучше завести где-нибудь хранилище паролей под надежным мастер-перолем. Если кто-то украдет зашиврованный файл и захочет взломать TwoFish — велкам)

Popik 31 июля 2009, 22:53 #

Концептуальность данного научного изыскания просто поражает…

artemK0 31 июля 2009, 22:56 #

Для меня существует большая проблема не запоминания всех паролей, а именно вспоминания какой пароль подходит к конкретному сервису, также известно, что одним из основных методов повышения безопасности пароля есть периодическая его замена. Выход может быть таким: придумать собственный личный алгоритм, который основывается на таком общем принципе:
(только набросок)
1. Берём название сервиса, например habrahabr
2. Допустим меняем пароль раз в месяц, тогда добавляем ещё номер месяца: habrahabr07
3. Записываем это всё в конкретном порядке, например: H0aBraHaB7r.
Пароль получился очень простым, но здесь проблема именно в 3-ем пункте, ничто не мешает вам придумать другой способ записи, например то же название сервиса переписать в обратно порядке, с добавлением через букву порядковый номер с нажатым шифтом (!"№;%:?*()).

Основной плюс данного способа, что можно в любой момент вспомнить пароль к сервису зная только название, и текущий номер месяца:)

havoc_theory 31 июля 2009, 23:01 # ↑

Может тогда что-нибудь автоматическое типа хэша от URL + индивидуальный ключ?

artemK0 31 июля 2009, 23:07 # ↑

Главное в предложеном способе именно привязка к конкретному сервису, и периодичности смены пароля. А именно способ все этого связывания в пароль должен быть для каждого индивидуальным, ну просто чтобы пароли не повторялись:) А задумка хорошая

havoc_theory 31 июля 2009, 22:58 #

Кстати, такая беда: человек в силу особенностей своей психики не может генерировать случайные последовательности. Статистическая взаимосвязь между символами будет всегда. Поэтому эффективная длина пароля, скажем число битов рандомности на символ, для придуманного пароля будет меньше.

SegaZero 31 июля 2009, 23:05 #

40_тысяч_обезьян_в_жопу_сунули_банан

slam007 31 июля 2009, 23:27 # ↑

вроде было где-то при регистрации на форуме вылетает окно соглашения, которое редко кто читает и там последние правило гласило: «если вы пришлёте фразу 40_тысяч_обезьян_в_жопу_сунули_банан в личку админу, то получаете приз»

magicstream 31 июля 2009, 23:05 #

по-моему не в пароле дело то совсем. просто не нужно его показывать никому(вводить в подставные формы и т. д.)

я не думаю что нужно именно беспокоится что твой эккаунт забрутфорсят. как это может вообще быть? ни один нормальный сервис не даст ввести пароль больше определенного количества раз.

вот о чем нужно беспокоится это о данных, которые помогают восстановить пароль так как взлом начинается именно с этого, да и заканчивается на этом. остальные методы — в основном воровство

НЛО прилетело и опубликовало эту надпись здесь

Mercury13 31 июля 2009, 23:06 #

Слова портить нужно более основательно.

stronciy 31 июля 2009, 23:07 #

На Украине есть такой провайдер Лаки нет, так вот в 2000-м году, директор оной дал большое интервью, которое сводилось к одной строчке, — «Нас взломать — невозможно !», вы будете смеяться, но утром их сайт украшала картинка с мужским детородным органом :)

О чем это я? Ах да, ничего универсального нет, вот англичанин потерял лаптоп, а на нем половина секретов его родины. И сколько бы не было защит, фаерволов, криптографических систем, всегда на все это есть «человеческий фактор».

А по поводу статьи — согласен, я так делаю последние 9 лет, только на критичных для меня местаз, хотя не всегда, например на хабре, у меня односложное, английское слово, в нижнем регистре :))) Но зачем кому-то меня ломать? Кармы — нет, силы для голосования — нет, статей и блогов нет… И кому я нужен? как тот «неуловимый Джо» из анекдота :))))

А вообще моя покойная бабушка всегда говорила, -«Замки ОТ честных людей», кому надо всегда пройдет :)))

Yan169 31 июля 2009, 23:08 #

Я делаю так:
пароль=md5(мастерпароль+ресурс+логин);
Например:
md5(%мастерпароль%хабрYan169) или md5(%мастерпароль%спампочтаmail.ru%мой_логин%)

Плюсы:
1) Взломостойкость;
2) Запоминать надо только мастер-пароль;
3) Легко составляются уникальные пароли к разным ресурсам;
4) Пароли хранятся только в моей голове, спец. программы не обязательны.

Для удобства использую аддон для firefox, если его под рукой нет (например, в интернет-кафе), md5-сумму можно посчитать он-лайн (гугл поможет).

Yan169 31 июля 2009, 23:37 # ↑

Я себе давно сделал свою модификацию Password composer. Сам плагин давно не обновляется, но при желании его можно заставить встать на 3.5.

Biga 31 июля 2009, 23:31 # ↑

Передаёте свой пароль в гугл нешифрованным запросом? Ай-яй-яй. Снифферы-то не дремлют. И кейлоггеры в этих ваших интернет-кафе тоже не дремлют. Так что не забывайте пользоваться виртуальной клавиатурой, чтобы мышкой набирать.

KaiSD 1 августа 2009, 14:01 # ↑

вариант хороший, но у md5 суммы только цифры и 5 букв. Еще бы вариант легкого преобразования md5-хэша в набираемый текст — вот тогда вариант совсем хороший.

Slasyz 1 августа 2009, 16:05 # ↑

base64 же :-)

KaiSD 1 августа 2009, 16:56 # ↑

А кроме него?
Интересен вариант дающий более разнообразные комбинации букв-цифр-знаков.

merlin_rterm 1 августа 2009, 17:46 # ↑

baseX бывают не только 64.

Можно же блок информации, скажем, длиной 80 бит, записать одним числом длиной 80 бит, можно — 10 числами по 8 бит (т.н. байтами) — это base256, можно — 80 числами по 1 бит — это base1

А можно — 150 числами длиной по 8 бит, в которых фактически по 6 бит, а два бита — зависимые (нулевые или что-то такое) — это base64

А можно записать и набором чисел («цифр»), например, по 98 бит.

Это обычный процесс преобразования системы счисления.

merlin_rterm 1 августа 2009, 19:02 # ↑

Ох чёрт, можно конечно и по 98 бит, но я-то имел ввиду, что можно и 98-ричной системой счисления записать. Число бит на символ будет дробным. base64 работает в 64-ричной системе счисления, base1 я назвал неправильно, это base2 — в двоичной системе. base1 использовать нереально — паролем является длина строки, причём длина в нашем примере немаленькая (~2^80).

punch 31 июля 2009, 23:09 #

Мягко говоря, открытие бородатое.

qumi 31 июля 2009, 23:10 #

Всегда пользовался способом, когда фраза на русском набирается с английской раскладкой. Но однажды нужно было срочно проверить почту через мобильник — естественно пароль не смог ввести, клавиатуру с собой не ношу :(

shahbazyan 31 июля 2009, 23:14 #

Эти шаг 1 и шаг 2 можно было сократить до одной фразы «берем простой оксюморон» :)

santa 31 июля 2009, 23:20 #

> Не далее как вчера в интернете выложили файлик, содержащий более 130000 паролей пользователей социальной сети Вконтакте

ну если хорошо «всмотреться» в тот файл, то там ~55000 учетных записей.

kalisha 31 июля 2009, 23:34 #

Расскажу как я делаю:
1) у меня есть пароль, например 1234
2) каждый раз я беру первые три буквы сайта, например habr.ru
3) получается 1234hab.

Легко запоминается и трудно взломать, но если узнают «1) пункт» -> хана…

d0z 31 июля 2009, 23:40 #

признаюсь у меня когда еще был аккаунт на в контакте пароль от него был qwerty. Ибо не надо защищать, то чем не дорожишь. Случись этот хак тогда я бы мог напрмер потерять пароль от форумов или чего хуже от эл.почты, еслиб использовал его же. Ну а еслиб совсем был дурак потерял бы от серверов и нервно его перебивал бы, прочтя новость. В общем у пароля помимо всего перечисленного должно быть назначение и важность. Ну ни в жизни я на пользовательский аккаунт дома не поставлю сложный защищенный пароль. зачем? мне скрывать нечего)

yanajy 31 июля 2009, 23:46 #

К слову…
Когда моей маме (!) было лет 10 (!), она, играя с подругами (не знаю, правда, во что) придумала шифр. Суть была такая: записывался алфавит, а под ним — обратный алфавит. Таким образом кодировалась каждая буква. Т.е. вместо А писалось Я, вместо Б — Ю и т.д. Этот же метод можно использовать и в создании паролей :-)

ESQUELETO 1 августа 2009, 00:05 # ↑

Когда мне в детстве пришла в голову такая же мысль, меня быстро вычислили, потому что П есть П :-) при таком шифре.

lemeshko 1 августа 2009, 00:16 # ↑

Тогда уже лучше использовать Шифр Вернама

alist 1 августа 2009, 00:13 #

Скромная лепта — у меня несколько паролей к популярным сервисам (mail, сервисы, где хранятся номера карт, банкинг). Я их постоянно меняю, нигде не храню и не записываю. Всего таких паролей около десятка.

Для всего остального я пароли генерю страшные и сложные и даже не пытаюсь их запомнить — куки обычно работают пару недель, а после этого я спокойно жму forgot password. Занимает это все секунды и не слишком напряжно.

Думал насчет того, чтобы начать пользоваться менеджером паролей, но стремно — single point of failure.

KaiSD 1 августа 2009, 17:01 # ↑

Кстати вариант с «forgot password» вполне жизнеспособный. Но только не на тех сервисах, где процедура восстановления проходит дольше и сложнее чем регистрация.

Slasyz 1 августа 2009, 18:36 # ↑

WebMoney!

nikzh 1 августа 2009, 00:20 #

2. Легко запомнить (большинство людей с легкостью смогут запомнить пароль, включающий в себя «парадоксальное» словосочетание («черный снег», «сухая водка», «глючный линукс»), цифру и знак препинания).

Никак не пойму что такого парадоксального в «глючном линуксе» :))

Evgeny_Shiryaev 1 августа 2009, 02:43 # ↑

На самом деле это я так попытался пошутить, внести немного разнообразия в свой пост.

Slasyz 1 августа 2009, 16:14 # ↑

Тролль, кыш под лавку.

nikzh 1 августа 2009, 17:17 # ↑

Моя айтишная надсмешка над айтишным юмором была не понята — показательно :))
п.с. учите терминологию, в данной ветке тролль — вы :)

–2

Slasyz 1 августа 2009, 17:58 # ↑

ты «очень» тонко намекнул, что линукс глючный. Хотя да, я не спорю, линукс — говно, но всё остальное ещё хуже. (с)

FanKiLL 1 августа 2009, 00:55 #

Недавно слизал идею с одного сервиса и написал для себя программку
Нужно помнить только свой мастер пароль(он может быть постоянным) и домен где регистрировались — от этого генерируется пароль, всегда один и тот же если вы забудете.
Инсталлировать не надо, можно на флешку кинуть.
Скрин могу только ссылкой сори — img53.imageshack.us/img53/1588/96745984.jpg

Goodkat 1 августа 2009, 00:58 #

мой способ создания хороших паролей: никому не рассказывать про свой способ создания хороших паролей

elibri 1 августа 2009, 01:03 #

Вот вы тут о паролях говорите. А кто способ запоминания логинов бы предложил. А то через год… новый аккаунт приходится заводить.

Slasyz 1 августа 2009, 16:20 # ↑

Google Notebook, Evernote, Tomboy… Благо, логины — не секретная информация, и если они попадут в чужие руки — не беда.

tazepam 1 августа 2009, 01:30 #

Мне кажется, дело не в том, что сложно запомнить — это психологическое. Люди не знают и не хотят возиться с паролями вообще: для них это очередная помеха по сути. Реально же пароль в 18-25 символов запоминается нашими пальцами за 10 минут набора:) Даже быстрее если слепой десятипальцевый метод печати вам не чужд.

KaiSD 1 августа 2009, 17:02 # ↑

Отлично. Можно даже запомнить 10-15 паролей к разным сервисам.
А потом сидеть и гадать какой пароль откуда. :)

tazepam 2 августа 2009, 01:09 # ↑

Реально важных и нужных — мало. У меня штук 5:) Маловажное легко повесить на пару-тройку приличных восьмизначек с изменяемым регистром и спецсимволами. Руки выучивают это моментально — как пара аккордов:) А одноразовые реги и вовсе пофиг — вот они все эти 123 и qwerty.

bogus92 1 августа 2009, 01:47 #

Недостаток таких паролей в том, что если нужно воспользоваться паролем на устройстве без qwerty клавиатуры, то придется её вспоминать.

Sk8er 1 августа 2009, 01:49 #

Можно ещё не первую букву заглавной сделать, а весь пасс написать как ДеФфФоЧкИ. Хоть что то от них полезное :D

Frosty 1 августа 2009, 02:11 #

Однажды набо было сгенерировать и запомнить один действительно важный и сложный пароль, от цифровых методов запоминания я сразу отказался, просто записал на бумажку, открутил крышку у наручных часов, положил бумажку с паролем в них, закрутил обратно. Пароль всегда при мне и никто не додумается искать его там. А еще часы ударостойкие и водонепроницаемые…

Slasyz 1 августа 2009, 16:26 # ↑

А мне если надо что-то записать (вроде паролей), то я под крышку мобильника кладу (там, где аккумулятор).

dimiork 1 августа 2009, 02:30 #

Присоединяюсь к тов. qumi. Когда появляется необходимость воспользоваться сервисом с мобильного телефона возникает некий ступор. Потом попытки вспомнить клавиатуру пальцами в воздухе. Потом поиск с того самого телефона изображения клавиатуры… В общем, нужно тренировать память наверное :)

TravisBickle 1 августа 2009, 02:50 #

Всё хорошо, один минус — школота из вконтакта не читает хабр =)

foreigner 1 августа 2009, 03:02 #

Я тоже раньше пользовался похожим способом, описанным в топике, но у смены раскладок есть один громадный недостаток — набрать такой пароль можно будет только на полноценной клавиатуре, т.е. если потом с мобилки почту проверить или на сайт под своим логином зайти не получится.

Novikov 1 августа 2009, 03:02 #

novikov.habrahabr.ru/blog/20743/ — и не надо мучать себя.

mahoro 1 августа 2009, 03:29 #

По-моему, это паранойя.

Причем в случае с контактом — необоснованная.

Если речь идет про шифрование архива с важными данными средствами, которые обеспечивают быстрый перебор — да, тут нужен длинный и сложный пароль.

В случае же веб-сервисов скорость перебора пароля может быть ну максимум 50 запросов в секунду. Это значит, что числовой пароль из 7-ми цифр будет подобран в среднем за сутки. Если к такому паролю добавить еще одну букву, то время перебора увеличится до до полумесяца, что уже очень неплохо. Причем, обратите внимание, я опять впадаю в паранойю, предполагая, что перебор со скоростью 50 вариантов в секунду возможен дольше, чем пара часов.

И пример с контактом показывает совсем другое — намного полезнее иметь на разных сервисах разные пароли, пусть и не супер-мудреные, чем несколько сложных, но часто повторяющихся.

Zibx 1 августа 2009, 04:36 #

Они, конечно, не умеют пароли придумывать. А у меня обоснован крайне простой. Аккаунт есть, но ценность у него близка к нулю.

gigawatt 1 августа 2009, 08:53 #

>парадоксальное» словосочетание
>«глючный линукс»

/0

middle 1 августа 2009, 10:00 #

А теперь, пожалуйста, оцените количество информации в таком пароле в битах. Это и будет его настоящая криптостойкость. Подскажу, что набирание русских букв в английской раскладке на количество информации не влияет.

А отличное решение проблемы кучи паролей на разных сервисах решает плагин к файерфоксу PwdHash. Вводите в поле ввода @@ и ваш любимый длинный пароль, который вы хорошо помните (не 123, конечно), и плагин на основе пароля и доменного имени генерирует новый пароль, комбинируя их и вычисляя хэш.

adontz 1 августа 2009, 11:57 #

Есть интуитивное понятие о сложности взлома и математическое. Интуитивно вы видите бякобы беспорядочный набор символов и радуетесь. Математическое понятие основывается на степени упорядоченности символов в пароле. Очевидно, что от смены раскладки упорядоченность не поменялась. Криптойкость в данном случае достигается не за счёт уменьшения упорядоченности, а за счёт сокрытия способа генерации пароля. Зная способ, подобрать пароль по словарю не сложно. Понятно, что в нынешние дни криптосисемы основанные на секретности алгоритмов не актуальны.

Я в своё время написал программу для генерации пароля. Самопиаром заниматься не хочу, поэтому просто опишу основные моменты.

Пароль генерируется абсолютно случайный.
Можно генерировать «произносимые» пароли, где после гласных идут согласные и потом опять гласные. Тип первого символа случаен.
Можно генерировать однозначно читаемые пароли, без O/0, 1/l, 5/S

adontz 1 августа 2009, 12:00 # ↑

Блин, случайно нажал «написать»

Каждый сгенерированный пароль ищется в Яндексе Google и Yahoo. Если больше 100 результатов, будем считать что пароль может быть в словаре

adontz 1 августа 2009, 12:03 # ↑

Да чтож такое, не иначе файрфокс глючит!

В результате получаем пароли вида.
WuP5Zexu
VehAt3z6

Запомнить их на самом деле легко, потому что они «произносимые».
вуп пять зеху.
вехат три зет шесть.
Регистр, кстати, запоминается сам собой чисто графически (большая буква, потом маленькая, потом опять большая)

Эти пароли прокатывают даже в среде филологов.

И последнее: CD key от Windows это НЕ криптостойкий пароль.

merlin_rterm 1 августа 2009, 12:13 # ↑

Именно по этой причине шаг 7 у автора — совершенно глупый. Он добавляет стойкости — ровно 1 бит. Скажем, при брутфорсе нет ничего сложного в том, чтобы по русскому словарю и проверять слова, набранные «не в той раскладке». Вместо одной проверки пароля, получаем две проверки (поэтому и один бит получается); а, например, написать такой пароль на КПК или другой клавиатуре, где нет такого видимого соответствия между символами, почти невозможно.

adontz 1 августа 2009, 12:19 # ↑

Угумс. Согласен. Кстати ещё одна фича для генератора паролей — подряд не идут символы с одной и той же клавиши мобильного телефона.

Evgeny_Shiryaev 1 августа 2009, 12:57 # ↑

Шаг 7 оправдан. Дело в том, что я описал именно свой алгоритм генерации пароля. А я чаще всего использую английскую раскладку, а не русскую. Поэтому мне удобнее, чтобы пароль был в английской раскладке.

merlin_rterm 1 августа 2009, 17:49 # ↑

Надёжнее брать английские слова той же длины — они, как правило, более «энтропиёмкие», чем русские. Замечали, что при переводе текста с английского на русский он «разбухает»? В каждом слове энтропии столько же, а слово — длиннее (в среднем): «слово»-«word» и т. д.

Это даст бОльшую надёжность и удобство, чем «перевод раскладки».

Evgeny_Shiryaev 1 августа 2009, 21:10 # ↑

Лично мне сложнее запомнить английское слово, а не русское. Всетаки русский язык мой родной.

rexxer2 1 августа 2009, 13:01 #

В логе паролей вконтакте были и довольно сложные пароли.
Суть не в том какие пароли сложнее подобрать (в кириллической или латинской раскладке), а в том, чтобы, как минимум, хранить не сам пароль, а его хэш. В каком виде хранятся пароли вконтакте мне не известно, но я надеюсь, что в БД вконтакте они хранятся в виде хэша.
В принципе, если не кликать по подозрительным, на ваш взгляд, ресурсам, то в таком открытом хранении пароля нет ничего страшного. Ведь тут не взлом вконтакте как таковой, а пользовательский взлом в виде подмены файла hosts. Но лучше перестраховаться и хранить пароли в виде хэша.
А что действительно не радует, что такая практика хранения важной информации может носить массовый характер. Пример, ЖЖ (администраторы SUP официально признали данный факт).

merlin_rterm 1 августа 2009, 17:55 # ↑

Это совсем не всегда возможно. Прочитайте про механизмы надёжной аутентификации по ненадёжному каналу — CRAM-MD5, например. Для них требуется, чтобы обе стророны непременно знали непосредственно сам пароль, а зато по сети он никогда не передаётся — только хеш его смеси с какой-нибудь случайно придуманной для каждого нового раза чушью.

Если вы всё ещё в Домолинке :) то знайте: ваш провайдер хранит пароли от интернет в непосредственном виде (скорее всего, на диске Radius-сервера они даже не зашифрованы). Это нужно потому, что ADSL или Ethernet-линию можно подслушать (физически), а значит, открытый пароль передавать нельзя; стандарты же PPPoE не предполагают установление канала PPP LCP поверх каких-нибудь транспортных защит (для упрощения стандарта, он же должен поддерживаться совершенно тупыми и быстрыми железками). Используется CHAP, в котором открытый пароль не передаётся.

merlin_rterm 1 августа 2009, 18:00 # ↑

Да и вообще, при правильном дизайне системы, базу паролей спереть не проще, чем получить физический доступ к серверу. А раз так, то без разницы, как их хранить.

kievskii 1 августа 2009, 17:02 #

и как такой пароль вводить с мобильного без йцукен клавиатуры?

config 1 августа 2009, 19:25 #

пароли, созданные по такому алгоритму серьезно уступают случайному набору символов при взломе методом терморектального криптоанализа!

Evgeny_Shiryaev 1 августа 2009, 21:11 # ↑

Используя метод терморектального криптоанализа можно с легкостью взломать пароль любой сложности.

VSOP_juDGe 2 августа 2009, 01:59 #

Паранойя это все. Лет 10 уже использую несколько паролей, похожих на приведенный в посте, ничего нигде не взломали и не угнали.

leto 3 августа 2009, 09:33 #

А можно поставить что-нибудь вроде KeePass и запомнить всего один пароль или вообще использовать флешку с файлом-ключем.

catbegemot 3 августа 2009, 10:13 #

Не настаиваю на своем варианте: catbegemot.habrahabr.ru/blog/66029/

Stebanoid 3 августа 2009, 23:50 #

import hashlib
hashlib.md5("%site_URL%%password%").hexdigest()

Плюсы
1. Надо помнить только один простой пароль
2. Разным сайтам получается разные пароли
3. Количество вариантов паролей больше чем у обычного шестнадцатизначного
4. Непредсказуемость пароля
Минус
Удобен только если есть гарантия, что на тачке стоит Python

сам этим чудом не пользуюсь, только что придумал.

aspect 8 августа 2009, 19:28 #

для взлома достаточно добавить русский словарь и включить пермутации

WIRTEL 4 октября 2009, 14:21 #

Иногда бывает что большие пароли нельзя вводить. Маил.ру — пароль должен содержать от 8-16 знаков.