Пароль по-максимуму

Пора менять пароли, %хабраюзер%! :)

Намедни я решил совершить очередную смену всех своих паролей, так как уже достаточно давно ими пользуюсь.

Влом. Честно скажу. Жутко влом придумывать новые стойкие пароли, запоминать их. Причем надо постараться придумать индивидуальный пароль к каждому сервису. И так каждые несколько месяцев…

Какое-то время я использовал парольную карту.

Плюсы:
картой можно пользоваться открыто; через недели две активного использования карты все пароли вроде Sj5v9Hx3GF уверенно запоминаются наизусть.

Минусы:
много длинных паролей придумывать и запоминать лениво; на каждый сайт/сервис тем более лень придумывать отдельный пароль; карту можно потерять (надо бэкапить, да!); и самое жуткое: раз в несколько месяцев нужно повторять весь этот процесс! ужс…

Идея такая: на каждый сервис — собственный МАКСИМАЛЬНО стойкий пароль, который только позволяет сервис. То есть, если сайт поддерживает пароли длиной до 200 знаков, включающих в себя все символы юникода, то используем именно такой пароль.

Излишество?! Если есть возможность, то её надо использовать!

Для решения этой задачи я решил воспользоваться менеджером паролей KeePass. В общем то, я его давно использовал для просто хранения просто паролей, но сегодня я решил использовать его на полную катушку.

Итак.
Открываем нужный сайт, узнаём требования к паролю на данном сайте: максимальная длина, возможность использования спецсимволов !@#$%^&*_+, всяческих скобок, русских букв, ansi-символов и т.п…

Затем создаём в KeePass новую запись, открываем её и заполняем: логин, адрес сайта, АДРЕС смены пароля на сайте (потом очень пригодится!), и т.п…
Там же открываем генератор паролей, устанавливаем параметры генерации, сохраняем как новый профиль, и жмём ОК. Всё!
В дальнейшем менять пароли к сайту, используя сохранённый профиль, можно будет в пару кликов :)
Все действия сводятся к единственному действию: «Копировать из KeePass — Вставить в браузер». Или ещё проще: ставим курсор в поле Логин, нажимаем Автонабор в KeePass, и вуаля. Можно на сайте жмякнуть «сохранить пароль» и вообще забыть и нём.

Самое главное, постараться потестировать новый пароль на ненужном аккаунте, или точно указать мыло для восстановления пассворда. Потому что есть такие сайты, где страница смены пароля, к примеру, принимает ansi символы, а страница логина отказывается. Я уже знаю :)

Есть плагин для связи KeePass и Firefox, но у меня пока небыло времени разобраться с ним. Могу догадываться, что с этим плагином жить в инете станет ещё проще. Может кто напишет об этом в комментариях…

Что у нас в итоге? Большая гора позитива:

1) Уверенно стойкий пароль. Например, к DropBox у меня пароль похож на $e¬£$3¬r6>Fç]å3KFcÅãèXåt.#ÅN¾®z}14Òª28°X57èÕÆааЖ
… это я то псих?! ну да, и что? :)) (с)
2) Все свои новые пароли я в глаза не видел, поэтому во сне никогда не проговорюсь
3) И забивать голову ими мне тоже теперь не надо
4) На плановую смену паролей от десятка аккаунтов уйдёт не более 5 минут времени
5) Кейлоггеры бессильны — KeePass шифрует базу, свою память и буфер обмена
6) Если кто узнает пароль от одного аккаунта, остальные аккаунты останутся целыми.

Остаётся только одно пожелать: бэкап, бэкап и ещё раз бэкап.

Всё :)

2 марта 2010, 11:22

ColorFlow –50,5

комментарии (38)

relort 2 марта 2010, 16:19 #

Одно время тоже keepass пас, потом пересел на онлайн генератор/заполняльщик. Хотя запасной вариант всех паролей в keepass храню %)

odiszapc 3 марта 2010, 10:32 # ↑

Помоему вы мудрите. Зачем вам эти иероглифы. Как с телефона юзать такое? Ставить проги?

Такие длинные пароли не имеют самысла, т.к. подбирать даже вчетверо меньшие по длине никто не будет. А перехватить можно любой — длина без разницы.

Я делаю просто — беру фразы из любимых песен и пишу их без знаков пунктуации маленькими буквами в английской раскладке. Запомнить элементарно. Забыть невозможно — песни любимые. Подобрать тоже — длины от 50 символов. Набирать легко. Одни плюсы.

Ах да минус — с девайсов тяжко заходить, это да, но с девайсов я не захожу, да и там лучше сохранять пассворды, гопники отобравшие у вас телефон не поймут.

ColorFlow 3 марта 2010, 11:19 # ↑

— доктор, когда я делаю ВОТ ТАК, мне больно!
— так вы не делайте ВОТ ТАК!

ColorFlow 2 марта 2010, 17:12 #

А я не доверяю чужим онлайн-пассвордохранилищам. разве что могу позволить себе свой собственный криптоконтейнер залить на дропбокс…

crea7or 2 марта 2010, 17:21 #

а зачем вы их меняете? большинство ресурсов и так хранят только hash и salt в базах.

ColorFlow 2 марта 2010, 17:25 # ↑

потому что есть такое правило: менять пароли раз в n месяцев

crea7or 2 марта 2010, 17:27 # ↑

ну должен же быть какой-то от этого прок?

ColorFlow 2 марта 2010, 17:37 # ↑

ах вы всё ещё не знаете, да??

atrox85 2 марта 2010, 17:39 #

«Можно на сайте жмякнуть «сохранить пароль» и вообще забыть и нём.» это предложение меня просто убило)) И это советует человек у которого пароли из 200 символов)

ColorFlow 2 марта 2010, 17:59 # ↑

я так и думал что кого-нибудь это зацепит. если что, профиль фокса и сохранённые пассворды тоже шифруются. но это уже отдельная история

odiszapc 3 марта 2010, 10:23 # ↑

Да как они шифруются с них самих спросить надо.

Раз он сам его расшифровывает и отправляет на сервер, то все ломается. Безопасность системы определяется самым слабым звеном. Если пасворды хранятся в куках md5 хешами, не стоит подбирать километровые пароли, достаточно подобрать хеш. А как известно большинство паролей перехватывается, а не подбирается.

ColorFlow 3 марта 2010, 10:27 # ↑

я же говорю что это отдельная история. в этой теме я лишь предложил использовать максимально возможные пассворды.
а как их использовать — вы сами решайте.

pharao 2 марта 2010, 17:59 #

Один писатель-фантаст очень просто придумывал имена своим героям — он брал 2 самых обычных слова и убирал некоторые буквы. Например: Стул, Гравий — получилось имя Тул Равий. По образу и подобию можно сделать себе мощный пароль, который легко запоминается и набирается.
И вот как это делается: глянем что за общественный траспорт ездит у нас под окном, допустим, это троллейбус №18. Если это набрать в английской раскладке смотря на русские буквы, то получится Nhjkktq,ec#yjvth#18 :) Убрав пару букв и изменив схему ввода фраз у вас будет самый убойный легкозапоминаемый пароль. FDsNj;tBcgjkmpetnt«neC[tve? :)

ColorFlow 2 марта 2010, 18:01 # ↑

вы будете смеяться, но самое сложное здесь = запомнить «схему ввода фраз» :)

pharao 2 марта 2010, 18:04 # ↑

Если сложно, то схему можно упростить и вводить ТроллейбусНомер18, МояМашинаКрасногоЦвета, АРеменьНеМера, АргентинаМанитНегра :)

ColorFlow 2 марта 2010, 18:10 # ↑

каждому своё. я предпочитаю использовать пароли совсем без смысла.
хотя и такие пароли нелегко уберечь. один мой товарищ с воодушевлением рассказывал, как однажды его пароль (рандомный набор букв-цифр) с легкостью запомнила девушка (не шарящая в компах вообще), когда тот шустро ввел при ней этот пароль всего один раз с клавы.
бывают и такие люди, ага.

pharao 2 марта 2010, 18:16 # ↑

В свое время этот вопрос был интересен, подбирал пароль так, чтобы буквы находились под ладонью и не были видны стоящим за спиной. Разве что найдется девочка, которая по шороху клавиш запомнит комбинацию :)

Veminz 3 марта 2010, 00:19 # ↑

Я, например, пользуюсь более 20-30 различными сервисами, а то может и более того (почта, платежи, соц. сети, твитеры, блоги, форумы, админки к сайтам и еще куча всего). При чем естественно на большинство из них я хожу довольно редко (от 1-го раза в месяц до 2-3 в год). И мне очень трудно представить как можно удержать в голове какой у меня логин к какому сервису и какой номер троллейбуса соответствует какому сайту.

KeePass замечателен для меня еще и тем, что он опенсорс, а соответственно есть версии под различные ОС. Кроме того есть и portable версия. Это значит что на любом компьютере под любой операционной системой, где есть интернет или USB я всегда имею доступ к своим паролям.

dewil 4 марта 2010, 00:40 # ↑

Недавно посчитал число записей в KeePass, ужос их число приблизилось к 1500.

НЛО прилетело и опубликовало эту надпись здесь

ColorFlow 2 марта 2010, 18:04 # ↑

эх… паранойа… аха

Sarius 2 марта 2010, 19:01 #

Сам всю жизнь пользуюсь AnyPassword (удобно тем, что 1 ехе файлик и все + файлик с паролями). Сейчас попробую эту штуковину. Быть может и правда удобнее и в чем-то функциональнее

imwode 2 марта 2010, 19:35 #

2) Все свои новые пароли я в глаза не видел, поэтому во сне никогда не проговорюсь

Автор, когда твои полости будут заполнять раскаленным металлическим стержнем, тебя не будут спрашивать пароль от твоего логина на krovatka.ru. У тебя спросят пароль от КиПаса.

ColorFlow 2 марта 2010, 20:40 # ↑

комментатор, я смотрю вы настоящий любитель раскаленных стержней. ну чтож, я про вас не забуду в ситуации про пытки. обязательно сообщу что ты тоже знаешь мой пароль от кипаса. а дальше выкручивайся как умеешь :)

imwode 2 марта 2010, 22:44 # ↑

гад :-)

–2

ColorFlow 2 марта 2010, 23:13 # ↑

гг ))

barker 2 марта 2010, 21:47 #

Опыт показывает, что в подавляющем большинстве случаев доступ получают не брутфорсом паролей, а через те или иные дыры. Примеров куча, здесь регулярно освещаются. Посему всё это мало повышает безопасность :)

bolsh 3 марта 2010, 02:32 # ↑

но с другой стороны криптостойкость системы пропорциональна длине ключевой информации ;)

dewil 4 марта 2010, 00:36 # ↑

и температуре паяльника

–1

exename 3 марта 2010, 03:07 #

приходите в интернет-кафе/другу/подруге етс, ставите keepass достаете бэкап с флэшки/инета и только после этого сможете проверить мыло? охренительно удобно

movb 3 марта 2010, 03:58 # ↑

А я сыкую в инет-кафе, у друг/подруг проверять мыло, мало ли у кого какой зоопарк вирусов/кейлогеров на компе. Тоже паранойя?

ColorFlow 3 марта 2010, 08:27 # ↑

если нет ничего под рукой, то экранная клавиатура тоже спасает от кейлоггеров.

dewil 4 марта 2010, 00:35 # ↑

Для тех, кто в танке 2lnk.ru/axpvw
База версии 1 может использоваться под любой платформой.
Раз в неделю я сливаю ее в смартофон/

eugeneorlov 3 марта 2010, 06:27 #

Пароли типа «Sj5v9Hx3GF » сложно запомнить потому что это не слова, состоящие из слогов — чередований гласных и согласных. Надо придумывать слоговые пароли, случайные и не имеющие смысла, но легко запоминаемые: «gokasinelumote» или более стойкий вариант «G0k@s1NeluMOte».

dewil 4 марта 2010, 00:31 # ↑

Смотря где хранить.
Если в голове — да, если в KeePass — не имеет значения.

shamann 3 марта 2010, 10:09 #

может я чего не понимаю насчет сохранения паролей на сайтах, поправьте ежели что. Вот если представить ситуацию, обратную к exename. К примеру: пришли гости, «а можно почту проверить?» — «валяй!», браузер открывают, а вы забыли табы закрыть на сайтиках где сохранили логины/пароли — и всё как на ладони.

По теме — Keepass пользую давно и всем рекомендую. На работе так вообще незаменимая вещь. Особенно когда куча хостингов, виртуальных машин и т.п. Единственное чего мне не хватает в нём, это возможности создавать свои дополнительные поля.

dewil 4 марта 2010, 00:29 # ↑

Версия 2 под винду может.
Жаль я не пользуюсь виндой :)

dewil 4 марта 2010, 00:29 #

KeePass для меня второй по необходимости инструмент после мобильника :)

При использовании слишком длинных паролей, на некоторых сайтах сталкивался с проблемой, что пароли не работали после logout. Благо у них было восстановление пароля с генерацией нового.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.