Как много паролей вы используете?

Информационная безопасность*

5.3%
(195): Один на всё.

72.83%
(2678): 2-3 разного уровня стойкости. (Сложный для ключевых ресурсов, средненький для сервисов, простой для всего остального)

21.87%
(804): Я параноик. Новая регистрация — новый пароль. KeePass мой лучший друг.

Проголосовало 3677 человек. Воздержалось 250 человек.

+29

4 января 2010, 19:41

KvaNTy 27,5

комментарии (146)

moooV 4 января 2010, 19:48 #

Я параноик, но я использую только голову для хранения паролей (каждый из которых — base64). Вернее, я помню только ключевую цитату, а пароль получаю так:

echo 'Цитата' | md5sum | base64

Очень удобно, не нужно помнить пароли в общем случае.

KvaNTy 4 января 2010, 19:55 # ↑

Ок. Опрос больше о том сколько у вас паролей, а не где вы их храните.
Хотя тоже считаю что иметь много стойких паролей и составлять их по определённому правилу у уме — лучший вариант.
Все эти PassKeeper'ы доставляют больше неудобства.

macgera 4 января 2010, 21:47 # ↑

Ага согласен о Пасскипер

Mithgol 4 января 2010, 22:18 # ↑

С этой оговоркой я готов записывать и себя в «параноики»: (новый пароль для каждого нового случая). Но я не пользуюсь KeePass, он может подвести.

AusTiN 5 января 2010, 00:25 # ↑

Вы делаете новый пароль вида «a7t67iughJHgbf^3dE» даже для сайтов типа «зашел-скачал-забыл»? :)

Dexter_Holland 5 января 2010, 02:30 # ↑

Для сайтов типа «зашел-скачал-забыл» есть Bugmenot.

–1

Mithgol 5 января 2010, 15:53 # ↑

Это которых сайтов? Приведите пример.

AusTiN 5 января 2010, 18:21 # ↑

Ну как бы вам сказать… Например, вы ищете что-то в гугле\яндексе, находите это на сайте типа AllSoftOfTheInternet.net.ru, но там написано — «Для того, чтобы увидеть ссылку на скачку, зарегистрируйтесь...» Вам этот сайт больше никогда в жизни не пригодится (во всяком случае, вероятность этого стремится к нулю), и вы для него придумаете какой-то 20-значный пароль?

Anghei 5 января 2010, 23:31 # ↑

Да, но за меня его придумывает LastPass

YuriSerpinsky 5 января 2010, 06:08 # ↑

> Но я не пользуюсь KeePass, он может подвести.
Есть более надежные и проверенные аналоги?

ilyafd 5 января 2010, 10:51 # ↑

Листок и ручка (:

–1

Mithgol 5 января 2010, 15:54 # ↑

Рекомендую записывать пароли в реальном мире, причём, разумеется, не в открытом виде, а шифром.

archerz 6 января 2010, 23:12 # ↑

Пользуюсь Password Hasher'ом. Для каждого сайта генерю свой пароль. Пароли хранятся в файрфоксе и синхоронизируются Xmarks'ом. Единственная проблема это когда выхожу в интернет с мобильника и нужно ввести пароль, а под рукой нет компьютера. Если приходится выходить в интернет с чужого компьютера, то обычно пользуюсь Portable Firefox'ом на TrueCrypt'ом томе на флешке.

pred8or 5 января 2010, 19:05 # ↑

А как именно может подвести KeePass?

Houston 19 января 2010, 00:48 # ↑

Представьте, человек вдруг забудет мастер-пароль.

den_rad 4 января 2010, 23:35 # ↑

Очень часто еще и логины приходится запоминать. На Хабре я den_rad, в ЖЖ — den-rad, на last.fm denrad. Чтобы для каждого сайта все запомнить, нужно иметь идеальную память. KeePass мой спаситель.

quadfactor 5 января 2010, 10:37 # ↑

По-моему проще — придумать уникальный логин/никнейм и разработать для себя стойкий однозначный алгоритм создания паролей для каждого сервиса. Тогда и запоминать толком ничего не нужно.

naryl 5 января 2010, 13:11 # ↑

sha1(login+servicename+key_phrase)?

quadfactor 5 января 2010, 13:26 # ↑

Да хотя бы и так. А если придумать уникальный логин, который свободен, где бы не пробовал региться, то и вовсе можно обойтись таким: «constant+servicename+keyphrase». Запоминается легко, вспоминается «на ура».
Главное, алгоритм не спалить.

Nashev 5 января 2010, 14:28 # ↑

те кто пароли своих пользователей хранит в открытом виде а потом отдаёт фрилансерам на починку — те такой алгоритм вполне спалят…

quadfactor 5 января 2010, 14:39 # ↑

Да, действительно, такое может иметь место. Об этом не подумал.

recky 5 января 2010, 05:30 # ↑

А у меня «Handy Safe» для смарта на пару с «Handy Safe Desktop», неудобств особых не доставляют.

+19

iley 4 января 2010, 20:10 # ↑

echo 'Цитата' | md5sum | base64

Спасибо, учту это, если буду подбирать ваши пароли ;-)

zxm 4 января 2010, 23:25 # ↑

Это не сильно поможет при такой длине.

Regis 5 января 2010, 14:16 # ↑

Наверняка комментатор выше имел в виду, что публикация способа уменьшила общую длину пароля с

'Цитата' | md5sum | base64

до

'Цитата'

+24

edigaryev 4 января 2010, 20:56 # ↑

$ history

Ну, вы поняли :-)

tFirma 5 января 2010, 17:08 # ↑

А если:

tFirma 5 января 2010, 17:10 # ↑

$ su
# echo 'Цитата' | md5sum | base64
# exit

macgera 4 января 2010, 21:46 # ↑

Ну у меня где-то так же… в основном это цитата из фильма(у меня ток 3 цитаты на Инглише) потом набор цифр, ток я не с md5 брал и в конце телефонный номер, которым уже лет 5 не пользуюсь ))) и тоже все держу в голове. Но есть и короткие пароли к лохосайтам.

Goodkat 5 января 2010, 02:07 # ↑

Зачем эти загадки?
Лучше просто огласите список паролей :)

–1

macgera 5 января 2010, 05:28 # ↑

Пароли

Goodkat 5 января 2010, 02:07 # ↑

С base64 ещё куда ни шло, но вот md5sum вычислить в уме я так и не научился :(

gto 5 января 2010, 11:38 # ↑

а если кто-нить до хистори доберётся?

AlexStarling 4 января 2010, 19:51 #

Алгоритм, который я сам придумал и держу в голове. По домену пароль собирается легко, зная алгоритм, но при этом все пароли абсолютно разные. Удобно :)

НЛО прилетело и опубликовало эту надпись здесь

RedFox 5 января 2010, 01:10 # ↑

Использую аналогичную схему: есть фиксированная не сменная часть пароля и часть, собираемая из имени домена, его важности и нескольких других субъективных факторов по определенному алгоритму.
На тему подбора алгоритма: согласитесь, это все же лучше, чем на все иметь один пароль, а много паролей тяжело удержать в голове. К тому же в моем случае есть фиксированная часть, которую еще надо знать, а в алгоритме участвует не только имя домена, но и субъективные факторы, например, мое отношение к данному ресурсу (да-да! :)).
Ну а для одноразовых лохосайтов пароль, конечно, простой и запоминающийся.

oxilor 5 января 2010, 15:00 # ↑

А при смене отношения к ресурсу вы меняете пароль? :)

RedFox 5 января 2010, 20:04 # ↑

Это было бы слишком накладно :))

AlexStarling 5 января 2010, 09:22 # ↑

Мне всё же кажется это надежнее, чем если бы то-то узнал мастер-пароль, или, не дай бог, у вас везде он один и тот же :)

SunexDevelopment 4 января 2010, 19:52 #

5 паролей… 2 цифровый, 2 ASCII и 1 ASCII с различным чередованием регистра :)

ttf 4 января 2010, 19:55 #

Для 2-3 ключевых учёток сложные пароли (более 12 символов) и 1 средний пароль для всего остального. Храню в голове и на листе бумаги, закопанном в пачке распечаток дома.

Jekyll 4 января 2010, 20:08 #

Для часто посещаемых сайтов — 2-3 средне сложных пароля, чтоб сильно не путаться. Для почты отдельный сложный. Для сайтов типа зарегистрируйся, скачай и забудь — один простой пароль =)

Demlock 4 января 2010, 20:13 #

Выбрал второй вариант. Один и несколько производных от него. Но используются они после смены или «восстановления» пароля.

Melonamin 4 января 2010, 20:18 #

Помню 3 пароля: от ящика на gmail, от dropbox и от доменной учетки на работе. Все остальное в менеджере паролей, средняя длина пароля 18 символов. Да, я параноик.

Wolfherz 4 января 2010, 20:42 # ↑

Видимо я больший параноик — помню 6 паролей, средняя длина пароля 30 символов =)

fvlad 4 января 2010, 23:14 # ↑

1111111111111111111111111111111?

RaTRaZe 4 января 2010, 23:39 # ↑

Достаточно просто запомнить цитату любую, и использовать как пароль. Вот тебе и 30, и даже больше, символов.

Kwull 5 января 2010, 00:40 # ↑

Ага, что то вроде «Сорок тысяч обезьян в жопу сунули банан» © Лукьяненко

Wolfherz 5 января 2010, 01:20 # ↑

Что-то вроде того, только со своим алгоритмом модификации самой фразы + соль

Wolfherz 5 января 2010, 01:21 # ↑

KeePass генерит что-то вроде этого SzC' wA^3>!G(X>~jh5N!-:~: %_rW, а те которые запоминаю я — описаны ниже

fvlad 5 января 2010, 20:35 # ↑

На заметку: в KeePass можно выставлять генерируемые символы (буквы, цифры, спец. символы, использовать символы верхнего регистра и т.д.) + длинну. Т.е. можно выставить генерацию паролей просто из чисел, например.

Psih 4 января 2010, 20:53 #

Для особо важных паролей использую onlinepasswordgenerator.com длинною не менее 15 символов :)

Храню в текстовом файле без точного указания, от чего этот пароль и какой там логин т.е. посторонний не поймёт кто такой thebatman с паролем 123456. А кроме меня никто не знает что это сервер с доменом example.com и пароль для конкретного юзера — не рута :) А следующая строка легко может быть паролем от сайта скажем. Файл хранится на шифрованном truecrypt разделе с паролем в 50 символов и реплицирован по разным местам во избежании потери :)

max7 4 января 2010, 20:55 #

Параноик :) Но пароли храню в КПК

KvaNTy 4 января 2010, 20:58 # ↑

А когда на нём садится батарейка? :)
И как-же копипаст?

max7 5 января 2010, 04:21 # ↑

Аккумулятора два (оба с удвоенной ёмкостью, по сравнению со стандартным) + зарядное устройство. А пароли набираю в ручную.

SKYnv 4 января 2010, 21:11 #

криптостойкий для почты, 1 пас для не надёжных сервисов, 1 для средне надежных и 1 для надежных.

edigaryev 4 января 2010, 21:20 # ↑

А по каким критериям определяется «надежность»?

habrahabr.ru — надежный сервис?

SKYnv 4 января 2010, 23:37 # ↑

ну общие требование безопасности и какая информация хранится на аккаунте, общая ее ценность.
хабр зачислен мной средне надежные ) так как аудитория тут еще «та» ну и ломан он был )

Kalpazan 5 января 2010, 02:54 # ↑

Прочёл все постулаты. Заинтересовал только этот. Ибо есть мысль по этому поводу.
Надёжный сервис — это сервис, где надёжная администрация.
Есть множество ресурсов, где я активно общаюсь и имею репутацию (в связи с интересами типа MTB и IT ). Я не боюсь потерять аккаунт — поскольку, переговорив с администрацией, мне его запросто восстановят. Кто б его не спёр ))) Понимаете?

Главное на почту иметь не вшивый пасворд, я так думаю. А в остальном — не обосрёмся ))

First_elF 4 января 2010, 21:19 #

На важные ресурсы 1Passwod, на всякую мелоч 3 стандартных.

phillennium 4 января 2010, 21:44 #

Самый сложный — от KeePass, в котором хранятся все остальные (но в голове все остальные тоже держу, KeePass использую только из-за того, что набирать их вручную лень). Среди этих остальных есть несколько уникальных сложных (для почты, яндекс-денег, хостинга и тому подобного) и пара общих простых (условно простых — рандомные сочетания символов, просто короткие) для всего остального.

Drak0n41K 4 января 2010, 22:23 # ↑

KeePass использую только из-за того, что набирать их вручную лень

KeePass постоянно запущен что ли? А то не вижу смысла вместо набора пароля к сервису, набирать пароль к KeePass'у, а потом копировать.

phillennium 4 января 2010, 23:06 # ↑

Запускается вместе с Windows, да. Но вместо «а потом копировать» залогиниваюсь по сочетанию клавиш AutoType, так что все еще сильнее упрощается.

tangro 5 января 2010, 11:32 # ↑

Ну, смыслов куча:
-нужно запоминть один пароль, а не на каждый сервис свой
-вместе с тем на каждый сервис используется свой, уникальный и надежный пароль
-защита KeePass от перехвата пароля из буфера обмена (спасает от вирусов некоторых)
-если в дополнение к паролю в KeePass использовать файл ключей — спасает от кейлоггеров, которые могут стырить пароль на KeePass
-даже если пароль на KeePass стырит кейлоггер — без файла базы данных от него толку нет

ну и еще куча всего, читайте мануал к сабжу.

Drak0n41K 4 января 2010, 22:22 #

Из-за лени практически везде использую один пароль или его вариации, но в некоторых местах пароли параноидальные и все это хранится в базе KeePass под паролем в 49 символов :)

НЛО прилетело и опубликовало эту надпись здесь

fvlad 4 января 2010, 23:14 #

Что-то в последнее время тема паролей очень популярна…

Alaunquirie 4 января 2010, 23:27 # ↑

да новый брут пишут. вот смотрят, на какую зону ориентировать и затачивать.

LDEV 4 января 2010, 23:14 #

Использую Password Safe уже больше 2х лет и очень доволен им — порой он помогает вспомнить, зарегистрирован в том или ином сервисе.

Вполне удобен — на Hotkey стоит вызов, а там выбираешь сервис, логин стоит в скобках, а дабл-клик засовывает пароль в буфер. По таймауту или Esc программа блокируется и в трей, пароль из буфера стирается. Помимо всего помогает проводить плановую смену паролей и сохраняет текстовые заметки к каждой записи.

phillennium 4 января 2010, 23:24 # ↑

«Вполне удобен — на Hotkey стоит вызов, а там выбираешь сервис, логин стоит в скобках, а дабл-клик засовывает пароль в буфер»
KeePass по Hotkey вводит за тебя логин с паролем. Вы точно уверены, что Password Safe вполне удобен? &:-)

LDEV 4 января 2010, 23:26 # ↑

Для меня — да. Возможно посмотрю в сторону KeePass, но пока меня и это устраивает. Боюсь KeePass в динамические инпуты не сможет вставить данные, так как имена полей там всё время разные.

phillennium 5 января 2010, 00:01 # ↑

KeePass не на имена полей смотрит, а просто вбивает комбинацию «логин-табуляция-пароль-энтер» (да, забыл уточнить, перед использованием хоткея надо курсором ткнуть в поле логина). Если у какого-то сайта поля ввода хитрее, то эту дефолтную комбинацию можно изменить. Есть и определенные случаи, в которых это все использовать неудобно, но никто не мешает в этом меньшинстве случаев действовать как с Password Safe — вызвать по другому хоткею окно программы и скопировать пароль с таймаутом.

kost117 4 января 2010, 23:18 #

интересно было бы еще опросить народ на тему как часто их пароли взламывали. А то длинный пароль это хорошо, но большинство из нас неуловимые джо.

KvaNTy 4 января 2010, 23:22 # ↑

Спросите.)

kost117 4 января 2010, 23:30 # ↑

человеку для дела, а ради пустого любопытства эфир засорять не охото

grep0 4 января 2010, 23:19 #

pwdhash мой друг. Пароли вычисляются как хэш от ключевой фразы и url ресурса. Достоинство по сравнению с KeePass & friends — база паролей нигде не хранится

xsektorx 4 января 2010, 23:29 # ↑

отличная штука, возьму на заметку, спасибо

shifttstas 4 января 2010, 23:23 #

lastpass и все :)

Ram0n 4 января 2010, 23:24 #

Я параноик. Хотя пару лет назад проголосовал бы за первый вариант.

Globus_TMG 4 января 2010, 23:24 #

как и многие тут использую KeePass

Alaunquirie 4 января 2010, 23:26 #

Параноик, 1-2 пароля для олноразовых регистраций, 4-5 для многоразово бесполезных, типа форума, на котором омниторишь одну тему, и все важные пароли — вида Большие/Маленькие буквоцифры + спецсимволы, зашифрованные 512 битным ключом, лежащем на телефоне / карте памяти / флешке. Не зная, к чему ключ пользы от него 0.

Boomburum 4 января 2010, 23:26 #

Мой выбор уже пару лет — Password Commander. Для всего свои пароли… и все же, есть полно «ненужных» мест (в основном это форумы), где я «на пару раз» регаюсь с одним поролем ) В ключевых моментах пароли по 20-25 символьной каши

kopitsyn 4 января 2010, 23:28 #

Для сайтов, где не важна конфиденциальность — уже много лет один и тот же пароль, для них же, где надо «минимум 8 символов» — еще один. Для денег еще пару посложнее, ну а для почтовых ящиков и социалок — алгоритмы, как и у многих тут :)

xsektorx 4 января 2010, 23:29 #

много и kwallet

grep0 4 января 2010, 23:32 #

А для одноразовых регистраций есть чудесный ресурс bugmenot.com

Pavel7 4 января 2010, 23:52 # ↑

+1

и плагины bugmenot для firefox, ie, opera, chrome

vuspenskiy 4 января 2010, 23:32 #

мне кажется те, кто даст первый ответ, очень спалятся перед админами хабра :) (параною)

morozko 4 января 2010, 23:34 #

Использую шесть-семь паролей разной длины, но легко запоминающиеся (для меня, по крайней мере).

–1

shatimi 4 января 2010, 23:35 #

tinypaste.com/47361

+12

Shoohurt 4 января 2010, 23:37 #

Мне кажется, я знаю, почему большинство отвечает вторым вариантом :)
Первый выбирать как-то стыдно, хотя таких, как я думаю, если не большинство, то точно ооочень много.
Третий тыкать тоже как-то не хочется, т.к. мало кто из нас хочет признаться себе в излишней подозрительности и параноидальности.
Вот и остается второй вариант, способный заставить почувствовать себя правильным юзером.

necrofess 4 января 2010, 23:39 #

Почему нету нормального варианта ответа?

tangro 5 января 2010, 11:36 # ↑

Это какого? «Я компьютером не пользуюсь — пароли мне не нужны!» или «Новый 100-значный пароль на каждый сайт и все храню в голове!»?

necrofess 5 января 2010, 23:51 # ↑

Нет, «Новый 16ти значный пароль на новый сервис, и говно-сервисами не пользуюсь.»

McManaman 4 января 2010, 23:44 #

На Keepass софт для управления паролями не заканчивается. Требую Password Commander, а все другие достойные программы.

VasilioRuzanni 4 января 2010, 23:54 #

Нет варианта, что все пароли разные, но выстроены по определенной системе, так что можно проще вспомнить пароль для конкретной системы или сервиса.

naryl 4 января 2010, 23:59 #

Два пароля — простой и сложный. И почта на домашнем сервере с доступом только по ssh и mutt или gnus из локальной сети.

kuzvac 4 января 2010, 23:59 #

Оказывается я параноик. Сейчас вот попытался вспомнить сколько я помню наизусть паролей, вспомнил больше 50 штук :)

tangro 5 января 2010, 11:37 # ↑

Осталось вспомнить, к чему это пароли.

Nova 5 января 2010, 00:16 #

Параноик я или нет, но для каждого ресурса использую разные пароли длинной от 7 до 15 символов, иногда больше и меняю раз в 2-3 месяца. ~~И я не скажу что пароль от всех паролей храниться у меня на телефоне в формате .jpeg~~

Olif 5 января 2010, 00:26 #

генерирую пароли через LastPass (а для входа на сервис — свой уникальный пароль. который нигде не встречается)
ну и на Gmail естественно также свой пароль. вот как-бы два «мастер-пароля». длинной от 18 символов, без всякой логики. просто мешанина из букв, цифр и спец символов. Иногда при вводе ломает не только мои пальцы, но и глаза тех, кто подглядывает

AusTiN 5 января 2010, 00:32 #

~~А я не параноик, у меня все пароли вида 112233 или [thdpkjvftim~~
На самом деле у меня 3-4 категории (по важности):

1. почта основная (~18 знаков, знаю наизусть)
2. почта резервная (~10 знаков, там не так всего много. тоже знаю наизусть)
3. Сайты а-ля Хабр, Вконтакт; сервера (SSH, MySQL, VPN) — от Хабра и вконтакта знаю наизуть, от серверов — не всё, частично на стенке передо мной написано :) Предугадываю вопрос про «а вдруг кто-то придет ко мне и подсмотрит мои пароли» — ну знаете, не надо водить домой кого попало :) либо как вариант просто отдирать листик от стены и прятать в стол))
4. Сайты «зарег-скачал-забыл» — 6-значный цифровой пароль :))

Кстати, этот топик напомнил мне об одной вещи… пора пойти поменять пароль на почту! )

alexxxst 5 января 2010, 01:12 #

Я параноик. Два-три ключевых пароля по 12 символов из полного бреда.
Все остальные (пока что 120 паролей) лежат в робоформе.

trybeee 5 января 2010, 01:36 #

1 сложный от gmail, локального рута и 1password(в нем собственно все пароли и лежат). для простых сайтов использую пароли вида 123.

dobry_kolbasnik 5 января 2010, 01:53 #

все пассы или очень сложные или «достаточно сложные». Помню большинство пассов, но использую менеджер паролей, тем не менее.

Проголосовал за 3 вариант.

kossmoss 5 января 2010, 02:09 #

Удобно иметь несколько схем генерации пароля в уме — для таких сайтов можно придумывать пароль по схеме попроще.
Тут есть некоторый геморрой — когда ты по схеме генерируешь пароль, а форма регистрации его заворачивает (типа, пароль слишком длинный или наоборот, в нем не хватает каких-то нецифробуквенных символов, которыми ты в своих схемах не пользуешься). И еще стрёмно думать, что твой пароль могут не шифровать — схема может быть скомпрометирована, если недостаточно сложная.

socket 5 января 2010, 02:11 #

Для «одноразовых» сайтов, не содержащих в профиле ценной информации, обычно использую 123qwe и его вариации в случае ограничений на длину пароля. Для сервисов, которыми предстоит пользоваться с телефона — пара среднесложных паролей в нижнем регистре, чтоб легче набирать было. Все остальное в 1Password.

AusTiN 5 января 2010, 02:20 # ↑

q1w2e3r4? :)

socket 5 января 2010, 02:23 # ↑

Вроде того. Вообще, иногда более сложной задачей становится вспомнить логин (особенно если сайт популярный), а не пароль :)

Goodkat 5 января 2010, 02:23 #

Самые важные пароли распечатаны на бумажке и лежат дома в шкафу. Я их никогда не запоминаю и набираю с бумажки.

KLUBS 5 января 2010, 03:00 # ↑

а я в тетрадочке пишу пароли, логины и всю эту ерунду… я думал один такой)

kossmoss 5 января 2010, 02:26 #

Мне удобно иметь несколько схем генерации пароля в уме — для разных сайтов можно придумывать пароль по схеме попроще или посложнее.
Тут есть некоторый геморрой — когда ты по схеме генерируешь пароль, а форма регистрации его заворачивает (типа, пароль слишком длинный или наоборот, в нем не хватает каких-то спецсимволов, которыми ты в своих схемах не пользуешься). Еще стрёмно думать, что твой пароль могут не шифровать — схема может быть скомпрометирована, если недостаточно сложная. Поэтому схемы полезно периодически менять.
Критическую информацию храню под сложными паролями без схем (хранилище паролей здесь пригождается, но у меня в основном память рулит)

VolCh 5 января 2010, 03:19 # ↑

>Тут есть некоторый геморрой — когда ты по схеме генерируешь пароль, а форма регистрации его заворачивает (типа, пароль слишком длинный или наоборот, в нем не хватает каких-то спецсимволов, которыми ты в своих схемах не пользуешься).

Странно, что никто выше, рассказывающий о своих схемах, об этом не вспомнил. Это ведь действительно большой геморрой, особенно учитывая, что такие сведения сайты выдают, как правило, только при регистрации/смене пароля, а при «брутфорсе» пишут только о том, что пароль неверный.

VolCh 5 января 2010, 03:26 #

Ответил «2-3 разного уровня стойкости», хотя не совсем так. Один простой для «помоек», 3-4 вариации (из-за длины, спецсимволов и т. п.) еще одного для «средневажнонадежных» ресурсов, и схема генерации (надеюсь, что не вычисляемая по паре-тройке образцов) для важных (читай связанных с финансами) ресурсов.

kossmoss 5 января 2010, 12:40 # ↑

А давайте нам пару-тройку образцов и мы проверим — вычисляемая ли? :)
Это вообще очень важная тема — даже если пароли сгенерированы в голове по схеме и по сути, разные, редкий человек может в уме «шифровать» схемы хотя бы base64, чтобы сбить с толку людей, которым в руки попали ваши пароли от нескольких ресурсов.
Идеальным вариантом была бы схема, использующая необратимые преобразования по типу хеширования md5 и т.п., но как научиться делать это быстро без компьютера? Сотовым телефоном, может быть?

VolCh 5 января 2010, 14:25 # ↑

Ключевая фраза другая, но алгоритм практически тот же :)
gmail.com Zcg-ebmhp,2m
yandex.ru Zny,ycuze3a
habrahabr.ru «ch,nuuc,vyak.5

Вероятность коллизий довольно высока в теории, и если меня заставить „сгенерировать“ пароль для специфичного ресурса, то можно получить мой пароль для атакуемого. Потому и пользуюсь этой схемой только для важных сайтов/аккаунтов, которых у меня немного.

А насчёт телефона — это идея. Естественно „соль“ (ключевая фраза или „мастер-пароль“) должна вводится вручную.

kossmoss 5 января 2010, 15:17 # ↑

На первый взгляд, довольно неплохая схема. Моя, возможно, послабее будет. Потому не одна, на всякий случай :)
Пока могу только предположить, что первый символ зависит от типа сервиса: Z — для почты, « — для соцсетей и т.п. (кстати, я подозреваю, что мне было бы неудобно вводить « в каждом таком пароле — к тому же его сложно вводить с клавиатуры телефона). Третий символ — начальный символ домена, четвертый символ зависит от доменной зоны.
Получив с десяток ваших паролей, возможно, я бы мог сказать больше (есть лишь гипотезы вроде неслучайной последней буквы в первых двух паролях и отражения в цифрах количества слогов, но это утверждать сложнее).
Так что задача подбора ваших схем паролей по небольшому количеству известных паролей будет не из легких, чувствую :)
А про телефон — в голове все равно удобнее это все носить. Я бы точно ленился каждый пароль хешировать не в голове.

VolCh 5 января 2010, 17:33 # ↑

Третий верно определили, четвертый — коллизия, вторая гипотеза близка к истине. Надо менять алгоритм :(

kossmoss 6 января 2010, 19:08 # ↑

*глядя на свои схемы*
Да, мне тоже, пожалуй, пора менять :)

qmax 5 января 2010, 03:39 #

в интернетах: 2-3 пароля по 3-4 вариации, тоесть чото типа ~10 буквенно разных.
при смене меняю вариацию или базу.

на рабочих (подконтрольных) серверах: на каждый сервер отдельный.
при смене сохраняю «идею» (например, ассоциацию с девушкой, назначенной «покровительницей» сервера)

Kudja 5 января 2010, 03:49 #

Не осилил текст, а пассы — все в защищенном виде в пассагенте хранятся… но не нравитсо мне — хочу более удобного чего

ibnteo 5 января 2010, 06:42 #

supergenpass.com
Пароль формируется из мастер пароля и доменного имени сайта. Для каждого сайта получаем свой пароль, по которому узнать мастер пароль невозможно, теоретически. Поэтому нет необходимости хранить пароли где-то, и синхронизировать хранилища. Для Google Chrome, которым я пользуюсь, есть плагин соответствующий. При работе за чужим компьютером можно воспользоваться онлайн генератором пароля, где доменное имя сайта вводится вручную, на вышеуказанном сайте он есть.

Lite 5 января 2010, 07:58 # ↑

Для Firefox есть аналогичное по принципу расширение PasswordMaker. Самый лучший подход, ИМХО.

VolCh 5 января 2010, 14:45 # ↑

Думал о создании своего такого сервиса для себя любимого, но остановило то, что в случае работы за чужим компом (в инет-кафе, например) вероятность перехвата мастер-пароля каким-нить кейлоггером высока

ibnteo 6 января 2010, 15:44 # ↑

Для этого можно использовать веб сервис экранной клавиатуры. Хотя конечно и здесь можно перехватить.

Вообще, жизненно важные пароли (от банковского счета, основного почтового ящика) надо хранить в голове (ну и в зашифрованном виде в надежном месте), а этот сервис использовать для множества сайтов, навроде одноклассников и хабра.

lesa80 5 января 2010, 06:58 #

фиг я вам скажу как у меня пароли формируются )))
а вот в опросе вместо 2-3 можно было бы хотя бы 2-5 сделать…

bakdurak 5 января 2010, 08:16 #

Я параноик. Но пароли храню в записной книжке.

kossmoss 5 января 2010, 12:47 # ↑

Высшая степень паранойи — когда боишься забыть свои пароли, а этой железке не доверяешь :)

NARKOZ 5 января 2010, 09:54 #

Исходя из уровни важности сервиса для меня существуют 5 типов паролей. Пароли я не забываю.

shakirov 5 января 2010, 09:58 #

у меня у друга на рабочем винде было что то типа трибутилбутадиен-1-3-илфосфониевые-кислоты

nnm 5 января 2010, 10:22 #

Храню пароли на основном гмейл-почтовом ящике. Пароль от него помню.
Почти все пароли для всяких сервисов уникальны, сложность зависит от важности и частоты посещения.
И да, для регистраций часто использую разные ящики, но все письма хранятся на одном, на который с левых и пересылают.

Да, я знаю, что гугл следит за мной.

tangro 5 января 2010, 11:40 #

Пользуюсь KeePass, всем доволен, кроме необходимости каждый раз запускать KeePass и вводить в него пароль. Нет ли каких-то средств для биометрической аутентификации в виде плагина к нему (или к другой программе)? Ну чтобы понадобился пароль, поставил в поле логина курсор, по сканеру отпечатков пальцев провел рукой — и логин с паролем в поля ввода забились?

iRobot 5 января 2010, 13:36 #

Я настолько параноик, что воздержался от ответа.

kossmoss 5 января 2010, 15:23 # ↑

Однако этот ваш комментарий уже кое-что о вас говорит :)

Neznamov 5 января 2010, 17:01 #

а я пользуюсь химическими соединениями. надежно в смысле подбора, и можно легко запомнить

VolCh 5 января 2010, 17:26 # ↑

Думаете в словарях нет? Вы, как минимум, второй в этом топике, кто пользуется C2H5OH :)

Neznamov 5 января 2010, 17:42 # ↑

думаете есть? К слову какие-то белки или тому подобное

VolCh 5 января 2010, 17:50 # ↑

ну если еще нет, то завтра будут :)
ваш коммент, потом habrahabr.ru/blogs/i_am_advertising/79997/#comment_2351537, еще один как минимум сегодня попадался, там вообще-что узкоспецифическое, типа дезоксирибонуклеиновой (писал по памяти со школы :) ) кислоты, было на пару строк

WWolf 5 января 2010, 17:26 #

Выбрал третий вариант, хоть и не параноик. Кроме рабочих паролей (с десяток), имею несколько любимых, а для разовых случаев применяю разовые же пароли… Так что насчитал в активе порядка 25 паролей… :) Храню, правда, все в голове. А, да, еще не меньше пары десятков операторских, тех, что чаще всего обращаются. И пароли областных админов. И пароли напарника… Может, правда, стоит записать? :)

tFirma 5 января 2010, 17:38 #

Каюсь, не все комментарии прочитал, но по-моему никто не озвучивал такого варианта: большинство моих паролей составлены так, чтобы их было удобно набирать на клавиатуре. Вспомнить их вдали от компьютера сложно, но благодаря оптимизированному расположению символов пароля на клавиатуре, его набор, в скором времени, происходит рефлекторно.

pred8or 5 января 2010, 19:17 #

От таких как я, выбравших 3-й вариант, интересно бы узнать насколько они параноидальны. А именно, сколько вариантов username используется? Хотя, если в качестве логина требуется адрес электронной почты или OpenId, то тут вариантов немного.

А вот там, где не требуется?

ade 5 января 2010, 21:44 #

Выбрал первый вариант.
Yug-od67!23 на все сайты и сервисы.

kossmoss 6 января 2010, 19:01 # ↑

Ай-яй-яй!!!

НЛО прилетело и опубликовало эту надпись здесь

LeeQuadro 5 января 2010, 23:27 #

KeePass 2.x, до этого My Password Manager

zer0access 6 января 2010, 00:48 #

Использую KeePass 2 в связке с DropBox, полностью устраивает.

lee_online 8 января 2010, 01:06 #

дурацкая ситуация, когда у тебя куча паролей, а ты садишься за чужой комп и ни одного пароля вспомнить не можешь, потому что практически не пользуешься ими на родном компе.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Лучшее ^{за 24 часа} ↓

Заземление. Что это такое и как его сделать

Находим admin + shell на *******.alfabank.ru с помощью Google

Делаем ядерную люстру на 100'000 люмен

Уже не Первый

thn.gs — для того, чтобы не помнить

Dragon SpaceX успешно достиг МКС

Отладка сложных веб-приложений — эффективная багодробилка на production-серверах

С Днём Рождения, Хабр!

Пять преимуществ прокрастинации

Intel выпустила Android 4.0 для x86

« все лучшие

Похожие посты ↓

Как много паролей вы используете? 04.01.2010

Худшие пароли 2011 года 18.11.2011

Microsoft подсчитала: менять пароли невыгодно 13.04.2010

Хранение паролей considered harmful 22.07.2008

Как «неизвестные хакеры» взламывают по пол интернета за раз 04.01.2010

Безопасная аутентификация между клиентом и сервером без ввода логина и пароля 23.05.2012

Авторизация в Альфа-Мобайл (под iOS) через 10 часов после ввода пароля 22.05.2012

Мастер-классы PHDays 2012: от защиты сетей Wi-Fi до безопасности SAP и Web 2.0 21.05.2012

Обзор Forrester: взлет и падение технологий информационной безопасности 21.05.2012

Android & iOS: концепции распространения приложений и вопросы безопасности 16.05.2012

Прямой эфир ↓

yul → Вышел непривязанный jailbreak для iOS 5.1.1 Absinthe 2.0 57

Wernisag → С Днём Рождения, Хабр! 102

VolCh → Назад в прошлое: Печать фотографий на фотоувеличителе 66

Muk → Фотоотчет о подключении самого мощного коммутатора в мире Black Diamond X8 43

VolCh → Санкт-Петербург: уже можно прикладывать телефон к турникету 183

Quester → Gfranq.com 3

Ember → Dragon SpaceX успешно достиг МКС 60

Zuy → В какой компании самая высокая средняя зарплата младшего инженера? [Правильный ответ в первом комментарии] 61

DIHALT → Bump — естественный интерфейс простыми средствами 49

Zawullon → Банк Санкт-Петербург выпустил интернет-банк для Android 3

Компания дня Компания, чей пост набрал максимальное количество баллов<br>
среди всех опубликованных в корпоративных блогах постах за <br>
прошедшие сутки. Учитываются посты, для которых истек срок голосования <br>(3 дня с момента публикации).