29 марта 2011 в 03:08

Решение вопроса с паролями — раз и навсегда



Эта статья выросла из одного обстоятельного комментария. За идеи, описанные там, меня поблагодарили несколько человек в реале — поэтому было решено оформить их в топик.

Итак, как же легко и ненапряжно создавать и использовать уникальные и криптостойкие пароли для каждого сайта, на котором довелось заводить аккаунт? Как сделать так, чтобы через 3 года забвения, обнаружив свой покрытый мхом аккаунт, вы не задумываясь залогинились, введя уникальный для этого сайта 15-символьный пароль, состоящий из не поддающегося анализу набора букв и цифр?

Я пользуюсь этой системой уже почти год, придумав ее после взлома моего аккаунта в соц. сети — и с удовольствием поделюсь с заинтересовавшимися . А также — что не менее важно — хотелось бы получить фидбэк в комментариях, побольше здоровой критики — и узнать ваши варианты решения этого вопроса.

Ход конем


В какой-то момент, в очередной раз намаявшись с восстановлением пароля от какого-то сервиса, я принял решение решить данную проблему и больше к ней не возвращаться. Немного поломав голову, я решил что лучше всего для генерации паролей подойдет какая-нибудь хитроумная и неочевидная окружающим система, исключающая напряжение вспоминательной мышцы при вводе пароля совсем. Все новые аккаунты нужно создавать, руководствуясь этой системой, а уже созданные — переделывать, меняя пароль, чтобы алгоритм его ввода постепенно стал идентичен для всех сайтов. Для реализации нужно совсем немножко самодисциплины.

«Десять тысяч обезьян в **** сунули банан». Лукьяненко С.


За основу будущего пароля берем кусок незабываемого или легкогуглящегося английского текста. В качестве примера я возьму первые три строчки из песни Celine Dion к «Титанику»:

Every night in my dreams
I see you, I feel you
That is how I know you go on


Берем первые буквы каждого слова, сохраняя регистр. Тут всего 3 строчки. Запомнить, с какого слова начинается каждая — легче, чем напечатать это предложение. Результат:

EnimdIsyifyTihikygo

заменяем i на 1, o на 0 — или любую другую пару букв на цифры, по вашему выбору. Мой выбор обусловлен визуальным сходством между «I» и «1», «o» и «0» — облегчает замену «на лету», делает ввод пароля более механическим, не требующим лишний раз задумываться. Результат:

En1md1sy1fyT1h1kyg0

Время для главного финта ушами, который обеспечит уникальность пароля на каждом интернет-ресурсе. «Привязываем» получившийся пароль к имени сайта. К примеру, добавляем 1-м и последним символом пароля третий и предпоследний символ из адреса сайта, а точнее — из имени домена второго уровня. Например:

для mail.ru пароль iEn1md1sy1fyT1h1kyg0i
для google.com пароль oEn1md1sy1fyT1h1kyg0l

Что, у вас уже давно есть аккаунт в фейсбуке? Почему бы не поменять пароль и в нем:
cEn1md1sy1fyT1h1kyg0o

Привязка к доменам может быть любой другой — можно считать символы в имени домена, можно считать отдельно гласные и согласные буквы, главное — ввод пароля должен быть слитным от начала и до конца. Нельзя допускать способ, в котором сначала пишется сам пароль, а потом в него добавляются в нужные места символы, привязанные к имени сайта.

Вспомнить все!


Да не нужно ничего вспоминать…
Алгоритм ввода пароля:

1) смотрим на адресную строку, отсчитываем 3й символ с начала, жмем кнопочку
2) мысленно напевая песенку, печатаем пароль, делая буквы начала строчек большими и заменяя на лету нули и единицы
3) еще раз смотрим на адрес, находим предпоследнюю букву, дописываем

Подведем итоги


плюсы:
  • Высокая для web криптостойкость
  • Потрясающая меметичность — невозможно забыть
  • Уникальность пароля для каждого веб-ресурса — при утечке пароля от одного, угроза остальным минимальна
  • Отсутствие необходимости что-либо запоминать*
  • Визуально при вводе пароля ничем себя не выдаешь — со стороны кажется, что ты просто помнишь все наизусть
  • Быстро вырабатывается моторная память — весь этот бредовый набор символов вскоре набирается на полном автомате
  • Если вы случайно вбили пароль в открытом виде при свидетеле, он ничего не поймет и скорее всего не запомнит, а на вас станет посматривать с уважением
  • Это забавно — напевать про себя My heart will go on при каждом вводе пароля)

минусы:
  • утечка паролей от двух и более ресурсов в одни руки создает серьезную угрозу всем аккаунтам
  • Если слишком увлечься, можно вместо чтения текста «про себя» произнести его вслух
  • При потере пароля от ресурса, придется создать новый — который уже не получится вспомнить, пользуясь системой. В дальнейшем может возникнуть путаница.


Буду рад, если в комментариях кто-нибудь поделится, как избавить подобную систему от присущих ей минусов, сохранив плюсы. И теги какие проставить — не соображу, глаза уже слипаются — буду рад если кто подскажет парочку.



* необходимость запомнить 2-3 строчки стиха или песни (пусть и на английском), равно как необходимость помнить какая песня вообще взята за основу и то, сколько символов нужно отсчитывать с начала и конца имени домена — дело одной минуты. С первой частью справляются дети в детских садах.

**** Фраза про обезьян — это классический пароль из «Лабиринта отражений». В оригинале писалась в английской раскладке, без пробелов и с чередованием регистра.

upd: В комментах поправили — не десять тысяч, а сорок тысяч обезьян (очевидно, криптостойкость в 4 раза выше), пробелы значимы и в конце еще точка.
Никита @Narical
карма
120,0
рейтинг 0,0
Самое читаемое Разработка

Комментарии (207)

  • –23
    самый надежный пароль — это отсутствие пароля
    • +101
      самый лучший комментарий — не написанный комментарий?
      • –2
        капитан плачет крокодильими слезами
        • –1
          При чём здесь капитан?
      • 0
        Молчание — …
    • +6
      Заходи по ключам, да?
      • +2
        Возможно имелась виду идентификация человека по физиологическим признакам, т.е. отпечатки пальцев и т.д.
        В целом он прав, но пока на практике это невозможно( в виду не распространенности подобных систем) :(
        • +1
          Идентификация по статическому биологическому признаку опасна, как для здоровья так и для системы. Никто не мешает злоумышленнику отрезать ту часть тела от жертвы, которая требуется для идентификации. Таким образом нет никакой защиты против физического принуждения открыть систему злоумышленнику.
          • +2
            Ну а пароль выпросить с помощью утюга или паяльника это конечно же безопаснее.
            • +1
              Да, не все выдадут данные, даже при утюге и паяльнике. Все зависит от информации и стойкости человека.
              • 0
                Ну тут все зависит от мастерства «владельца» паяльника :)
            • 0
              Для этого человек должен быть хотя бы в сознании.
              В России именно поэтому не пошли зашиваемые в тело брелки опознания владельца для крутых тачек.
              Потому как без такой биометрии владельца просто выкинут из машины, но если машина без хозяина не заведется — значит жертва поедет на заднем сиденье в виде трупа.
              • 0
                Проверять биологические показатели? Заодно можно проверять уровень алкоголя: «простите, вы слишком пьяны, чтобы завести машину», «простите, но у вас стоит сердце, возможно вы мертвы, машина не заведется»
          • 0
            Идентификация по биопризнакам ненадёжна, отпечатки и сетчатки легко подделываются, это демонстрировали на одной из DefCon (если не ошибаюсь).
      • 0
        Я захожу по ключам в квартиру
  • +37
    > утечка паролей от двух и более ресурсов в одни руки создает серьезную угрозу всем аккаунтам

    Главная слабая точка всей вашей статьи. Уникальные пароли должны быть уникальными.
    • +1
      всегда можно уникализацию сделать более серьезной.
      кстати, можно отбросить стадию с английским текстом и пароль делать только из букв домена
      К примеру, у нас есть номер телефона, который хорошо помним:11325567
      google.com
      ggoolle.
      это будет пароль
      Для реального номера будет посложнее. для придания длинны написать 2 раза и/или добавить сам номер телефона
      для коротких доменов начинать с начала.
      Скажу честно использую 3-4 пароля разной степени сложности — бывает путаешься.
      • +3
        Ну тут скорее вопрос, насколько нужно будет кому-нибудь разгадывать систему.

        А так ваш вариант мне нравится больше чем предложенный автором.

        p.s. Было бы неплохо, если бы кто-нибудь накидал в комментарии по два-три пароля зашифрованные разными способами с участием домена. Заодно и и посмотрели бы — реально ли определить как они «генеряться» или нет.
        • 0
          google.com
          cooe.ooooog телефончик один почти реальный — вот что получилось — так что трудно скзать насколько такой пароль надежен
          • 0
            8-(2,3,9)-(2,3,9)-6-7-(2,3,9)-(2,3,9)-(2,3,9)-(2,3,9)-(2,3,9)-(1,4)

            Из за наличия в номере цифр 2,3,9 и нахождению в этих местах в домене букв «о» получилось достаточно большое количество комбинаций. Но если бы были данные от еще одного домена, где 239 не попадали бы на одинаковые буквы, то можно было бы попробовать найти число.

            Ну тут опять же сделаем оговорку на то что изначально известно что мы ищем и из чего это образованно. Если например первую (последнюю) или даже все буквы менять на следующую по алфавиту, то способ определения станет практически невозможным.

            p.s. Сейчас посмотрел и понял что что бы не мучатся с подменой букв, можно просто сдвигать буквы на одну кнопку по клавиатуре вправо. Благодаря этому буквы P,L,M — дадут нам символы.
            • +2
              А вот когда придёт время залогиниться с телефона, например, тогда сам себе злобный буратино.
              • 0
                Ну это только если телефон со стандартной цифровой клавиатурой. А если есть хардварная кверти или хотя бы сенсорная, то такой проблемы не возникнет.
                • 0
                  телефонный кверти довольно далеки от старших братьев, в особенности в плане пунктуации
                  • 0
                    Ну для смещения с пунктуацией — да. А для простого сдвига вполне подойдут.
      • 0
        ваш номер, который мы все хорошо помним, не подойдёт для коротких доменов типа vk.com. Ведь тут всего 6 символов.
        З.ы. замучаешься высчитывать где какой символ, пока введёшь…
      • 0
        Любая система упрощает подбор. В этом случае надо делать перебор только по символам домена, а их не очень много.
  • +60
    Пользуйтесь менеджерами паролей лучше, это будет быстрее, удобнее и, врядли, менее безопасно.
    • +14
      бывают сложности — другой комп. Интернет магазин. Мобильный телефон.
      пользуюсь lastpass — в премиум версии есть плагин для dolphin на андройд
      • +27
        Я пользуюсь Keepass, храню его в дропбоксе, для синка между компами/ноутами, а также синкаю через активсинк с коммуникатором (WinMo, под него своя версия). Т.е. теоретически конечно может возникнуть ситуация, когда нужен пароль, а его нету, но практически — ни разу такого со мной не было.
        • +2
          Аналогично, а в случае если вдруг остался без паролей — можно просто сбросить. Уж один-то сложный пароль от почты запомнить можно
          • 0
            Если будешь его использовать раз в год — рискуешь и забыть )
        • 0
          Пользовался Keepass долгое время, но потом обнаружил что LastPass удобнее. Для оффлайна надо просто не забывать синкать клиентов. Ну и GPRS сейчас копеечный — можно прямо на лету обновлять.
          К тому же подвернулся случай купить премиум LastPass+Xmarks, поэтому перешел без сожалений.

          У кипаса может быть проблема синхронизации если много машин и на какой-то что-то забыли синкнуть ( не было доступа в инет). Потом появляется «копия» базы которую кроме как вручную ничем не сравнишь ибо шифровано. Хотя вроде они добавляли мерж в новый формат, мне приходилось пользоваться старым в силу некоторых клиентов (не под все платформы был 2.0 клиент)
          • 0
            LastPass немного раздражает свои сайтом. Через мобильный браузер надо быть терпеливым мазохистом, чтобы добраться до пароля :)
            • +1
              Неужели lastpass.com/mobile/ такой ужасный?
              • 0
                Спасибо.
                Ссылки c их страницы нет. Буду знать.
          • 0
            А LastPass разве умеет вводить пароли НЕ в браузере?
            Я с KeePass и в FTP-клиент, и в мессенджеры и в бухгалтерию пароли передаю :)
            • 0
              За деньги — умеет.
            • +1
              Вы копируете их в буфер не открывая? ластпасс тоже умеет. По-моему даже free версия.
              • +1
                У меня KeePass по глобальному хоткею вводит всё необходимое прямо в поля программы и нажимает Enter.

                Единственное неудобство: какой именно аккаунт вводить — определяется по заголовку окна, у некоторых программ (и особенно сайтов) он неинформативен, поэтому в браузере у меня для некоторых сайтов подключен самодельный юзерскрипт. Есть плагин, который детектит по URL, но он только для IE/FF.
              • 0
                У ластпасса я что-то вообще ничего, кроме браузерных плагинов не заметил, хотя, честно, признаюсь, смотрел недолго. Не очень понравилось как всё устроено, поэтому вернулся на KeePass — у него конечно своих неадекватов тоже хватает, но я с ним как-то более совместим :)
                • 0
                  у ластпасса есть бесплатный LastPass Pocket и платный LastPass for Applications, который умеет автоматом логиниться в гуишные приложения
            • 0
              А не подскажите как избавиться от полного зависания винды, если KeePass автоматом вводит что-то в Putty? Он как-то очень медленно вводит, подвешивая даже курсор мыши…
              • 0
                Не подскажу, у меня такого к счастью не происходит :)
                • 0
                  хм, а настройки стандартные?
                  • +1
                    Да какие там настройки-то? :))
        • 0
          Пользуюсь KeePass, но ввожу пароли вручную. Уже основные выучил наизусть.
          • +4
            KeePass хорош тем что позволяет генерировать пароли любой длины. То есть обычно в нем хранят пароли 19-256 символов.

            Либо вы храните в нем свои придуманные пароли (то есть слабые пароли, хранить которые не имеет смысла), либо вы вводите 19-256 символов вручну. 0_о?

            Это не «наезд», просто интересно зачем пользоваться кипасом, если пароли можно ввести руками? Мне всегда казалось что менеджеры созданы для того, что бы генерить такие пароли которые даже вручную будешь час вводить, иначе просто не вижу смысла…
            • 0
              Нет, я генерирую пароли длинной в 8 символов, которые вполне запоминаемы.
              • +3
                Интересно… Я генерирую не меньше 19, если сервис позволяет то вообще самый возможный максимум — помнить то не надо, в этом вся прелесть.
                • +3
                  Я планирую увеличить длину до 12, со временем.
                  • +5
                    За какое время вы предполагаете возможно увеличить длину с 8 до 12?
                    • +17
                      Пацаны померялись паролями.
                  • +24
                    <пошлый коммент>
                  • +1
                    Enlarge your password for free! :)
                    • 0
                      send SMS to number XXXXX :-)
                  • 0
                    Проще простого. Придумываешь 3 пароля по 8 символов — уже 24 ;-)
                    • 0
                      Так и сделаю!
                • +4
                  У меня каждое утро генерируется не меньше 19, если сервис позволяет то вообще самый возможный максимум =)
        • 0
          на андроиде так же есть и дропбокс и кипасс, успешно пользуюсь
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Ну keepass работает с любыми приложениями. Про ластпасс не знаю.
            • 0
              есть версии под разные платформы
        • 0
          Полностью согласен! Keepass однозначно решает. Все пароли (а их много, клиентские FTP, иебпанели, базы данных и т.д.) генерю с большой стойкостью. Далее пользуюсь автоподстановкой.
          1. Другой комп — portable версия, флэшка всегда с собой
          2. Мобила — есть версия под Андроид (базы паролей кстати совместимы)
        • 0
          Пользую 1password на айфоне и маке, пароли генерю там же.
          Крайне радует синк паролей между ноутом и айфоном, и кнопка 1пассворд в Сафари.
      • 0
        Пользуюсь Passpack
        Интернет есть всегда, значит и пароли всегда доступны. Никаких проблем с кроссплатформенностью.
  • +4
    Аппаратные токены в каждый дом!) И для каждого сервиса :)
  • +1
    Точности ради, фраза по обезьян в оригинале содержала сорок тысяч приматов.
    Кроме того про раскладку не говорилось ничего, а пробелы были значимы.

    "— Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
    <...>
    Чингиз выдыхает и ледяным голосом произносит:
    — Сорок тысяч обезьян в жопу сунули банан."
    • 0
      Кстати, именно сей персонаж Лукьяненко подсказал идею со стихотворными паролями. Набор на английской раскладке, замена некоторых букв на цифры (ч — 4, б — 6, о — 0 и т.д.) вкупе с регистром (Н., в каждом втором слове первая буква заглавная) дают вполне неплохую криптостойкость. Минус — на мобильных устройствах набор проблематичен. Порой трудно вспомнить, где какая буква английского алфавита соответствует русской.
      • 0
        проблема решается как раз использованием первых букв в словах легкозапоминающегося английского текста
    • 0
      Писал на память)
  • +1
    В целом такой же схемой и пользуюсь, только вместо первых букв из песни моя конструкция состоит из:
    моя личная аббривеатура + регион в котором я жил в детстве + любимое число + пароль от моего первого платного хостинга + пароль от моего первого бесплатного хостинга + еще одна аббривеатура :)
    • 0
      От имени домена не зависит? Один пароль на все случаи жизни?
      • 0
        Говорю же: та же схема но со своей конструкцией. Для каждого домена добавляется 4 символа.
        • 0
          Так и запишем
          • 0
            Уже дешифруете мой пароль от Хабра? :)
            • +13
              42?
              • +1
                Я в замешательстве :)
                • 0
                  Вот видите, как все просто. Срочно меняйте пароль.
                  • –2
                    Я не о том :) «42» не тянет ни на что. Если бы вы назвали 4 циферки, я бы подумал, что вы распознали 4 доп. символа для хабра. А тут просто замешательство. Что такое 42?
                    Хотя это похоже не некий палиндром ;) 42 это 24 наоборот. А в моем пароле как раз 24 символа.
                    • +10
                      42
                      • +1
                        Ах, да как я мог забыть!
  • +5
    А вообще да, как правильно сказал AYShestakov — пользуйтесь lastpass. Его единственным недостатком можно назвать то, что некоторые люди не могу жить зная что их пароли лежат где-то там на серверах иноземцев (пускай даже и в зашифрованном виде). Зато в плюсах — интеграция со всем и вся, включая мобильные устройства (в премиуме. 1$ в месяц). Генерация, которая позволяет добиться действительно уникальных паролей на каждый ресурс. Автозаполнение и прочие разные вкусности…
    • 0
      И без премиума как букмарк можно использовать. Более чем удобно.
    • 0
      Или использовать свой сервис?
  • –1
    Наступает постепенный взрыв мозга!
  • +34
    Мне одному кажется, или действительно, в статьях про сильные пароли говориться одно и то же?
    • +5
      Это еще больше относится к комментариям таких статей.
  • +3
    Тоже хочется поделиться системой учета паролей.

    Я пароли разбил на 4 группы: быстрый, дежурный, стойкий, секретная фраза.
    Далее разбил «ресурсы» на эти же группы по степени ценности. Если мне необходимо зарегистрироваться на каком-нибудь сайте для скачки всего лишь одного файла, использую «быстрый» пароль. Где пароль необходимо набирать очень часто (например дименная учетка) ставлю «дежурный» пароль. Где данные представляют хоть какую нибудь ценность (например почтовики) «стойкий» пароль. На особо критичные данные (типа публичный ssh) ставлю «секретную фразу». Если ресурсы с паролем выше «дежурного» пересекаются, на них ставятся разные «стойкие» пароли. Ах да есть еще один цифирный, иногда необходимо вводить одни циферки.

    Пароли меняю каждые полгода, все кроме «быстрого».
    Пароли имеют примерно такой вид:
    «быстрый» — 6-и знак слово (легко брутится по словорю)
    «дежурный» — 8-знаков с использованием спец символов
    «стойкий» — циферно-буквенный с использованием разных регистров
    «секретная фраза» — небольшое предложение с убранными пробелами с использованием разных регистров

    Всего в голове 6 паролей, цифирный, быстрый, дежурный, пара стойких, одна — две секретных фраз. Менять раз в пол года не особо напряженно.
  • 0
    Давно уже «сгенерировал» себе такой 20-значный (и два аналога 10-значных). Очень удобно.
    Правда существует еще два: 14 и 13-значные — мама подсказала.=)
  • +3
    Спасибо за ваши комментарии!

    habrahabr.ru/blogs/infosecurity/116388/#comment_3775603

    На тему слабого места я в курсе. Позволю себе пояснить. Иногда очень трудно судить о важности ресурса при задании для него пароля. У меня поломали аккаунт вконтакте — когда-то давно я регил его на «спамное» мыло с легким паролем на mail.ru. Через мыло и поломали. Вроде ничего важного вконтакте не представляет — но сделал это человек, который лично мне хотел посильнее навредить. В результате получилось довольно неплохо, в том плане что мне было действительно плохо :) Ну и самое поганое — я использовал несколько разных паролей тогда, «быстрый», «дежурный», «сильный». Так вот, на мыле у меня был «быстрый» (я использовал его для регистрации на всяких левых форумах, да и вконтакт зарегил с таким же отношением, уже потом втянулся), на вконтакте «дежурный» — и тот человек получил (насколько мне память подсказывает) 2 из 3х моих паролей. «Дежурный», кстати говоря, он получил потому, что на почте лежало какое-то письмо вида «Добро пожаловать, ваш логин бла, пароль блабла». Это довольно паршиво — понимать, что человек, который хочет тебе максимально причинить зло, обладает паролями от 90% вебресурсов, которые ты посещаешь. И даже логин от компа. Кроме «рутового» )

    Предвижу возражения, что использование всего трех паролей это глупо и так далее. Еще раз уточняю — я честно и искренне не верил, а кому я вообще могу быть нужен, на кой я кому-то сдался? Пока жареный петух не клюнет…

    К сожалению, ответить на все комментарии не получается, все-таки на работу нужно.
    • 0
      К минусам я бы добавил то, что иногда (очень редко) пароли придумываешь не сам, от тебя требуется только его запомнить.
      Сам метод мне показался интересным, спасибо.
  • +1
    У Вас неверно получен пароль из песни Celine Dion: EnimdIsyifyTihikygo
    Верно: EnimdIsyIfyTihIkygo
    Правда, после замены i -> 1 это не имеет значения.
    • 0
      видимо, у вас данный отрывок укладывается в 4 строчки, если я правильно все понял. мой вариант для меня верен, проверил :)
      • 0
        Дело не в строчках. Просто я хотел обратить Ваше внимание, что в английском языке местоимение «I» всегда пишется с прописной буквы. Если «Ваш вариант для Вас верен», то я ничего против не имею.
        • 0
          В данном случае соблюдаются не правила английского правописания, а алгоритм составления пароля. Он должен быть неизменным для повторяемости. Думать о тонкостях правил скорее вредно. Могу также привести в пример, что по приведенному мной алгоритму замена i на единицу не касается тех «i», которые берутся из имени сайта. А регистр верхний должен быть только у тех букв, с которых начинается строчка. Строгий подход к алгоритму обеспечивает повторяемость результата, что при вводе паролей ммм нередко критично :)
  • +3
    Есть одна большая проблема — security through obscurity — это зло. Это твердят на всех уроках криптографии и в данном случае оно тоже применимо, имхо.

    Вы пытаетесь создать систему для легкого запоминания и эта система может быть использована для реверса всех ваших паролей. Т.е. вы сознательно подсказываете алгоритм вскрытия всех ваших паролей. Далее если захотят взломать конкретно вас, то даже получив хэши паролей и зная каким алгоритмом вы пользуетесь, то по двим хэшам смогут подобрать не только коллизию, но и оригинальный пароль. Хотя надо признать — долгая задача, если вообще ничего не знать. А если выяснять определенные буквы (первая буква домена\ кусочек любимой фразы) то можно сильно сузить поле перебора.

    И если вы всё строите вокруг длинного стойкого куска, который уже запомнили — то что вам мешает сгенерить и запомнить всего 1 такой длинный кусок и не танцевать с бубном вокруг «стихотворений». В конце концов есть генераторы произносимых паролей — они умеют генерить еще более легкозапоминаемые комбинации, чем полученная.
    • 0
      вы правы, но надо сделать важное замечание — у всего есть границы применимости. мало что поможет, если на кону что-то серьезное.
      • 0
        Вот собственно в том и вопрос — зачем сложная система если можно взять генератор prononceable паролей и просто пользоваться синхронизацией хранилища типа lastpass\keepass?
        Попробуйте — prononceable пароли (hint: wapg умеет их генерить) очень легко запоминаются и 5-10 паролей держать в голове — ничего не стоит. При регулярном использовании вы их вслепую будете набирать.
        А если забыли и нету под рукой хранилища (что в случае онлайна выглядит странно) — ну большинство сервисов справляется с восстановлением паролей ;).

        Хотя «все фломастеры разные» и ваша методика тоже вполне жизнеспособна. Просто есть явные слабые точки: думаю что человек, хорошо разбирающийся в криптографии, зная что у двух хэшей середина оригинального текста одинаковая — сможет значительно уменьшить необходимый брутфорс…
        • 0
          Человек всегда слабая точка :) Но для этого надо знать человека, данные которого ломаешь.

          «зная что у двух хэшей середина оригинального текста одинаковая — сможет значительно уменьшить необходимый брутфорс…»

          именно что зная. а откуда знать, не зная человека, системы то у всех разные. только если сопоставить несколько баз с разных ресурсов, но это будут делать только, если ориентируются на кого-то конкретного, а тут уже мало что поможет.
  • +1
    Я использую oplop — code.google.com/p/oplop/ Никаких проблем с сохранением паролей на чужом сервере и синхронизацией, уникальные пароли для каждого домена и аккаунта.
  • +1
    Дежавю каких много.

    Мой очень хороший знакомый пользуется похожей методикой уже лет 7 и ее он подсмотрел на каком-то ресурсе.

    Вы не одиноки…
  • –2
  • +20
    Думаю, было бы не плохо знать несколько песен, для разных сайтов и про сам сайт.
    Например:
    Every night in facebook
    I see you, I feel you
    That is how I know you log on.
    Пароль: EnifaceIsyIfyTihIkyloo

    И еще:
    Письма, письма лично на почту ношу.
    Будто, будто я с mail.ru не дружу,
    Знаю, знаю точно где мой адресат.
    В доме где резной firewall
    ДерПароль: PplnpnBbyasmailndZztgmaVdgrfi

    • 0
      Кстати спсибо за пост, действительно хороший метод. Железу я не доверяю хранить пароли, а на ресурсах пользуюсь 6-ю разными, так как тяжело запоминать, теперь все переделаю.
  • 0
    А если песня разонравится и надоест?)))
    • 0
      к этому моменту все набирается за счет механической памяти рук.
  • 0
    такого комментария я и ждал! вы полностью уловили мысль — во первых, для общего случая уязвимости такой системы несущественны,
    — во-вторых, приведенный мной пример лишь основа, которую я предложил чуть улучшить, и мы одновременно пришли к разным выводам.
    в-третьих, главный смысл такой системы, это отсутствие необходимости вспоминать и невозможность забыть. А в опере-мини малый буфер под текст :(
    • 0
      Итак, могу писать более развернуто, т.к. с компа.

      Песня про фейсбук это нечто! :D
      «одновременно пришли к разным выводам» — я опечатался, конечно речь шла об одинаковых выводах.

      Я все ждал что кто-то меня поймет и улучшит идею. Практически уверен, что почти все кто прочитал статью — не удосужились своими руками проверить методику, просто в лучшем случае вчитались в смысл и прикинули умозрительно.

      Смысл идеи не в том, что это дает сверхзащищенность.
      Смысл в том, что это дает сверхудобство.

      Не требуется ничего запоминать. Даже если несколько лет не заходить на конкретный сайт — при возникшей необходимости логин будет молниеносным, руки сами привыкают автоматически вбивать эту мешанину символов, и добавление пары символов из адресной строки затрат на раздумывание тоже не привносит.

      Обычно средний человек использует несколько не очень сложных паролей. Подчеркиваю — средний. У которого мыло, блог, аккаунты в соц.сетях, на хабре/лепре/dirty и в каком-нибудь lastfm — а не полный датацентр серверов за спиной. Помимо этого, нередко люди регаются на каких-либо узкотематических форумах, когда это для чего-то вдруг понадобилось. Потом, через несколько месяцев, при попытке логина на такой форум начинается мучительно вспоминание, какой пароль именно отсюда, или даже сочетание двух паролей.

      Приведенный мной в топике пример — отправная точка, предложение хабрасообществу присоединиться к развитию идеи с упором на повышение безопасности способа с минимальным уменьшением юзабилити. Потому что при наличии пары-тройки твоих паролей у злоумышленника появляется очевидная возможность их разгадать.

      Один из реальных способов — использование нескольких куплетов одной песни, номер куплета будет зависеть от количества букв в адресе. Можно взять разные группы, по одному куплету от каждой, причем если взять группы, в названии которых есть цифры (Blink-182, Eiffel 65) — то пароли будут визуально похожи только для сайтов с одинаковым количеством символов в домене. При этом внедрение такой системы в свою жизнь усложнится, но скорость ввода пароля и его «незабываемость» почти не изменятся (а именно это я вкладываю в понятие «юзабилити» в данном случае)

      Категорически отрицаю целесообразность использования каких-либо спец. сервисов. Когда окажетесь в ситуации, что логин нужен позарез, а в распоряжении лишь чужой мобильник с Opera mini — вы это поймете. Да даже если сервис позволяет как-то зайти через мини-оперу и «вспомнить» пароль от нужного сайта — это несравнимо по удобству с предложенным мной способом. Абсолютно по той же причине (возможное отсутствие в области видимости клавиатуры) нельзя использовать русский текст в английской раскладке — однажды я с этим столкнулся, находясь в походе. Не стоит использовать также какие-то геометрические фигуры, которые можно мысленно наложить на клавиатуру.

      В общем, один из отписавшихся здесь людей меня понял :)
      А расчет строился на то, что «один мозг хорошо, а полный хабр мозгов — лучше».

  • +1
    в английском еще принято s на 5 заменять
    • +3
      а еще T на 7, B на 8, М на /\/\ итд итп

      l337 h4x0r p455w0rDz? =)
  • +4
    И всё таки — какой пароль был у Падлы?
    • 0
      вверху же прямая цитата в комментариях.
      • 0
        Пароль Падлы непечатный даже для хабра, сверху пароль Чингиза :)
        • 0
          Эх, стыдно мне стыдно. Пора серию перечитать)
  • +2
    Для важных для меня ресурсов, как правило, использую метод личных ассоциаций — внимательно смотрю на название/урл/предназначение ресурса и хватаю первую четко всплывающую в голове ассоциацию. Как правило, это какое-либо словосочетание, или, еще лучше, более длинная цитата на английском. Например, для Facebook отправными точками явно будут слова face и book, для dirty.ru — dirty или по контрасту clean. Это если прямые ассоциации, а ведь у каждого они могут быть очень кривыми и нелогичными ;) Ну и далее придуманная основа для пароля видоизменяется по правилам, упомянутым выше (замена букв, регистр, добавление определенных символов и т.д.)
    Бывают, конечно, случаи, когда не могу вспомнить пароль, будучи уверен, что здесь он должен быть вот таким — и какой же дебил выбрал вместо него другой?! Решается сменой пароля на более подходящий к ситуации )
    • 0
      Отличная идея по существу топика! Спасибо!
  • 0
    А еще можно придумать 1-2 правила для усиления уже существующего пароля.

    Вот по такой маске все пароли будут уникальными: %prefix% %delimiter% %common_password% %delimiter% %postfix%

    В качестве префикса можно использовать домен ресурса первого уровня в верхнем регистре. В качестве разделителя любой символ, к примеру "#". В качестве общего пароля какой-либо пароль, который надо усилить. В качестве второго разделителя снова подойдет "#" и в качестве постфикса можно взять первые 3 буквы ресурса.

    Например, обычный пароль для хабра — swordfish. После нашего усиления он станет таким: RU#swordfish#hab

    Естественно, можно опустить только префикс или только постфикс, сменить формирование этого самого префикса/постфикса, а также расширить количество символов разделителя до 3...4.
    • +2
      Проблема такого способа — очевидность всех твоих паролей после попадания пары из них к злоумышленнику. В приведенном примере так вообще один пароль раскроет все остальные)
  • 0
    Если ресурс не важен, применяю стандартный пароль.
    Если аккаунт на ресурс жалко было бы потерять,

    • 0
      Как уже писал выше, я сначала думал что вконтакт мне не будет нужен. Потом я очень тесно в него вжился и поменял пароль на более стойкий. А спамное мыло, на которое он был зарегистрирован, осталось незащищенным. И потом я сидел, сжимая кулаки от злости и от бессилия, глядя на свой тонко подправленный профиль, исходя из которого мнение друзей и знакомых обо мне могло сильно упасть. Это не прямой троллинг «люблю долбиться в *****» в статусе, дело обстояло тоньше. Не жалко потерять аккаунт. Жалко упасть в глазах друзей, а также чувствовать, что такое о тебе нехороший человек может написать и на любом другом ресурсе, потому что «надежный» пароль для них всех у меня был общий.
  • 0
    Вставка не удалась.

    $ pwgen
    Wiengo8l nae6Lohc ilai9eiV aeb5aiGe fe6If1to Ookoo8ko eeduic4E eeth1Poc
    yaJai2ei aePh6mai Ake7aes8 aeQuai5I kioWae3o ooZ3haQu imieDe8U Hoo5Vo9f


    Такие у меня вполне получается запоминать.
    Помню 1.5 десятка разных. Время от времени меняю.
    • +1
      А сегодня дети мы будем проверять вашу память по методике «10 слов». К сожалению я забыл методические материалы дома, но sudo apt-get install pwgen и проблема решена.
    • 0
      Отпуск удался если по возвращению на работу не можешь вспомнить системный пароль… Или все 1.5 десятка.
  • +2
    На мой взгляд проблема «утечка паролей от двух и более ресурсов в одни руки создает серьезную угрозу всем аккаунтам» решается дополнительным преобразованием. Ваша система выглядит так:

    pass = f(website, salt)

    где website — имя ресурса (google.com например), а salt — та секретная фраза из титаника. Функция f сливает два аргумента по правилам которые вы описали. Можно сделать так:

    pass = h(f(h(website), salt))

    Здесь функция h это что то вроде хеша, только не md5-подобного, а более простого, чтобы h(s) можно было вычислить в уме.
    • 0
      Идею уловил, но лучше бы вы более конкретный пример еще привели, сам придумать не успеваю, на работу пора)
      • 0
        Можно выучить ASCII коды к основным символам (английские буквы как минимум) и построить функцию h(s) так: заменить s на её 16-ричное представление вида 01f6a7, инвертировать каждый бит и заменить последовательности повторяющихся цифр на одну цифру (123aaa17f -> 123a17f).

        А ещё лучше вычислять h с помощью онлайн-генератора md5 хешей :)
        • 0
          благодаря вам понял, как нужно подправить топик. а приведенный пример относительно плох в контексте топика — проводить в уме подобные преобразования каждый раз при вводе пароля?
          не говоря уже о необходимости реально учить аски-коды :) вместо того чтобы использовать кусочек текста который и так знаешь наизусть
  • 0
    Теперь на многих сайтах привязывают аккаунт к телефону, поможет избежать взлом
  • +1
    habrahabr.ru/blogs/infosecurity/108509/
    Как бы там уже все обсудили и довольно не плохо и Вы не первый habrahabr.ru/blogs/infosecurity/108509/#comment_3436497
    • 0
      Приведенные вами ссылки не подходят к теме топика.
      Ни одна.
      Генератор паролей на яваскрипте не поможет их запомнить.
      Использование русских фраз в английской раскладке сослужит плохую службу, когда под рукой только телефон с оперой-мини.
      Использование спецсимволов — см. чуть выше.
      • +1
        в этом и прелесть Хабры, что вся суть обычно в комментах, а не в топике.
  • +5
    В имени 'Google' третий символ не 'g' а 'o'.
    • +4
      Вот прекрасная иллюстрация того, что даже при написании статьи о системе, система дала сбой :) Надежность запоминания как бы очевидна
      • 0
        Эх, и тут напишу.
        При написании статьи я опечатался в слове google, написав его как goggle. Отсюда и ошибка в пароле. В дальнейшем слово «гугл» я подправил, потому что мне в личку написали. При обычном применении таких сбоев не возникает, так как в адресной строке имя загруженного сайта всегда правильное.

        З.Ы. ну а вообще сейчас наконец поправлю, до дома раз добрался
  • 0
    в пароль надо добавить значительную псевдослучайную часть (такую что вы можете высчитать, а другой человек не сможет) иначе по двум паролям можно будет угадать пароли на все ресурсы.

    я лично давно перешел на упомянутый lastpass. да, сам ласт пасс это уязвимое место, но зато другие дырявые сервисы мне не навредят.
  • 0
    «мысленно напевая песенку, печатаем пароль» — это ок :-)
  • 0
    Я до подобной системы додумался лет в 14.
    Только на каждый ресурс фразы у меня были разные. Выбирались по ассоциациям.
    Например, для муз. портала ключевой фразой было «Die, my darling» ( песня Металлики ), а для портала по ИБ — «Theres no hack!» :)
    Пароли по этим алгоритмам могу восстановить до сих пор.
    • 0
      Это работает, но видны подводные камни. При достаточном количестве сайтов можно начать путаться в большом количестве фраз. Если текст типа «Theres no hack!» вы через год-два забыли (я говорю — «если»!) — то его уже не восстановить.
    • +4
      «Die, Die My Darling» — композиция группы Misfits (оригинал).
  • +1
    Придумал такую же систему, когда слушал Битлз. С тех пор остались пароли hinshnja и yamtssfa.
    • –1
      >...sfa
      «so far away»? :)
      • 0
        Только никому не говорите!
        И ...nja это not just anybody, ага.
        • 0
          Ок )
  • 0
    для google.com пароль oEn1md1sy1fyT1h1kyg0l
    • 0
      да не волнуйтесь вы так! :)
      просто я сначала вместо google написал goggle. Опечатку исправил, а пароль не подумал. а сейчас с телефона топик править не берусь.
      • 0
        Ok :)
  • +6
    нормальный пароль xnJ,dSclJ[kB[FrThSghJrkZnST и запоминается легко
    • +9
      Откуда вы узнали имя моего кота?!
    • 0
      Проблема в таких паролях — ввод на мобильных устройствах.
      • 0
        Есть такая проблема, если раскладка экранной клавиатуры на англ/русском не совпадает с реальной, то еще хуже все.
        Если есть запоминание введенных слов (T9 например), то все упрощается, так как по первым 3 символам подсказывает строку пароля (предварительно забитую как доп. слово в словарь)
        • 0
          У меня вот идея на этот счёт была. Нужна экранная клава на которой написаны русские буквы, а печатаются английские. Может есть уже такие для Андроида?
          • 0
            я решаю проблему стандартными путями (вин мобайл)
            при нажатии на экранной клавиатуры «en» — переключается клавиатура на англ расклад, но при клике на букву, раскладка снова русская. т.е. тупо смотришь русскую букву, кликаешь «en», нажимаешь данную «кнопку» и повторяешь действие снова.
            • 0
              О боже мой! Раскрыта вселенская тайна! Теперь я знаю зачем в ВинМо после КАЖДОГО нажатия на кнопку, в только что включённой английской раскладке, снова включает русскую расскладку. Ведь так мегаудобно вводить пароли русскими буквами в английской раскладке.
      • 0
        Сам использую подобный пароль на некоторых ресурсах, и с телефона действительно сложно вспоминать какая буква соответствует клавише на клаве))
  • +2
    Создаем txt файлик внутри которого пишем например, «Мой сложный пароль от habrahabr.ru» архивируем этот файл и считаем контрольную сумму которая и будет уникальным паролем к этому сайту.
    • 0
      Закладываться в таких вопросах на реализацию архиватора — всё равно что закладываться на конкретную реализацию рандома в каком-то языке. Так очень не советуют делать в приложениях к шифрованию.
      Лучше последовательно применить разный хэш пару раз.
    • 0
      … делаем не к месту лишний пробел или лишний перевод строки — и поражаемся, почему такой пароль перестал работать.
      • 0
        лишний пробел и любой пароль перестанет работать
        • 0
          Да, но сколько времени займёт перенабрать пароль и сколько — повторить танцы с хешами?
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    У меня 3т пароля:
    Один от почты
    Второй для разных сайтов
    Третий для левых сайтов.
    • 0
      Мессенджерами не пользуетесь вообще?
  • 0
    Для кого-то, это бесспорно удобно, но использовать такой метод — как повсеместный метод «запоминания» пароля невозможно.
    Сама идея как раз и заключается в том, чтобы совершенно ничего не требовалось запомнить, никаких песен, ни номеров букв в домене.

    А так, Вы практический сейчас описали стандартный метод работы криптосистемы с закрытым ключем:)
  • +3
    Ну для меня проще было бы сделать так:

    base64(md5('секретная фраза'.'domain.com'));

  • +3
    Теперь я могу сбрутить ваш пароль достаточно загрузить базу популярных песенок и стихов:)
    • –1
      <паранойя>Автор умышленно раскрыл свою систему генерации пароля чтобы ввести Вас в заблуждение</паранойя>
  • 0
    А скажите, русский текст, набранный в английской раскладке, уже взламывается/подбирается легко?
    • +4
      Я, привыкнув именно к такой системе, неоднократно оказывался в тупике за границей или при логине с телефона/КПК. Русских букв нет на клавиатуре или вообще раскладка нестандартная — и кердык.
      • 0
        Имхо, осмысленный текст набирается вслепую/по памяти, но полностью согласен, что на КПК приходится запоминать именно абракадабру английских букв. Но с другой стороны и всякие хранители паролей на чужом компьютере лучше не запускать, да и на КПК хранители далеки от полного удобства… Все же такие случаи редки.
        • +1
          На случай чужого компьютера есть такая штука, как одноразовые пароли, в том же Lastpass. А чтобы не бояться, что подсмотрят бумажку с одноразовыми паролями, их можно не писать открытым текстом, а преобразовать каким нибудь хорошо запоминающимся и легко воспроизводимым в уме способом. А вот КПК — это действительно проблема. Интерфейс Lastpass даже в десктопном варианте не радует…
  • 0
    от это вы смешные. какая разница какой пароль, если уводят то уводят как «123» так и «j38329djkhdkjfhjkhfhk» дело не в пароле, а в том как его хранить. От брутфорса спасает все что больше 5 символов.
    по этому пароль: habrahabr!2 будет так же «безопасный» как и «eruhejhehrkjehkjeer224234@#$@$@#$»
  • +3
    Я этот «метод генерации паролей» сам давно придумал и активно использую вот уже многие годы. В 2008 году даже коммент на хабре запостил по этому поводу :)
  • 0
    Я не нашел в описании возможности смены пароля. Некоторые системы требуют периодической смены пароля, да и вообще может появиться необходимость сделать это самому. Это может быть некий волшебный итератор, а может быть и сдвиг/замена согласно какому-то правилу. Вариантов море.

    Что стоит сделать — это придумать не слишком замудрённый способ (который сам не забудешь) маскировки кодового слова, чтобы получив пару паролей нельзя было понять систему чисто «на глазок».

    Можно завязываться на длине названия сайта:
    — Отбрасывая начальную часть кодового слова (habrahabr, убираем 9 первых букв => fyT1h1kyg0)
    — Можно то же что в предыдущем пункте, только слово заворачивать по кругу (fyT1h1kyg0En1md1sy1)
    — Делая замены символами из названия сайта в позициях зависящих от длины названия
    • 0
      Вот это действительно проблема, на которую я в топике и указал, просто другими словами.
  • –2
    У вас вроде бы получается обычный одноалфавитный шифр с заменой, вскрывается на раз.
  • 0
    password hasher же ну!
  • 0
    Про рутрекер забыли. И множество забытых паролей)
  • 0
    Стандартная функция программы 1Password:

    cl.ly/3e3W1i271O2b050O3734
  • 0
    Не стоит забывать, что пароли воруют в основном не тупым перебором, а другими способами, например, фишинговые страницы, троян, или банальным секретным вопросом типо «моя любимая еда» с ответом «пиво».

    Я думаю, 8-10 символов с хотя бы одним спецсимволом и разным регистром достаточно.

    А еще я пользуюсь специальной методикой, которая позволяет запомнить еще более сложный пароль более простым способом, но раскрыть её я не могу)
  • +5
    Извиняюсь, но не могу не вспомнить баянчик

    aaa > 1qwe2asd3
    aaa > ой, извини, это не тебе :)
    bbb > как блядь не мне? это мой пароль от ВОВа!
  • +10
    … Этот паровоз стоял на шестнадцатом пути. Его собирались увести на ремонт в депо Лысую-на-Лабе, но
    не так-то это оказалось просто, господин фельдфебель, потому
    что у старшего машиниста, которому поручили его туда перегнать,
    была прескверная память на числа. Тогда начальник дистанции
    позвал его в свою канцелярию и говорит: «На шестнадцатом пути
    стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я
    знаю, у вас плохая память на цифры, а если вам записать номер
    на бумаге, то вы бумагу эту также потеряете. Если у вас такая
    плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер. Так слушайте: номер паровоза, который нужно увести в депо в Лысую-на-Лабе,-- четыре тысячи двести шестьдесят восемь.
    Слушайте внимательно. Первая цифра — четыре, вторая — два.
    Теперь вы уже помните сорок два, то есть дважды два — четыре,
    это первая цифра, которая, разделенная на два, равняется двум,
    и рядом получается четыре и два. Теперь не пугайтесь! Сколько
    будет дважды четыре? Восемь, так ведь? Так запомните, что
    восьмерка в номере четыре тысячи двести шестьдесят восемь будет
    по порядку последней. После того как вы запомнили, что первая
    цифра — четыре, вторая — два, четвертая — восемь, нужно
    ухитриться и запомнить эту самую шестерку, которая стоит перед
    восьмеркой, а это очень просто. Первая цифра-- четыре, вторая--
    два. а четыре плюс два — шесть. Теперь вы уже точно знаете,
    что вторая цифра от конца — шесть; и теперь у вас этот порядок
    цифр никогда не вылетит из головы. У вас в памяти засел номер
    четыре тысячи двести шестьдесят восемь. Но вы можете прийти к
    этому же результату еще проще…

    »Восемь без двух — шесть. Теперь вы уже знаете шестьдесят восемь, а шесть минус два — четыре, теперь вы уже знаете четыре и шестьдесят восемь, и если вставить эту двойку, то все это составит четыре — два — шесть — восемь. Не очень трудно сделать это иначе, при помощи умножения и деления. Результат будет тот же самый. Запомните,-- сказал начальник дистанции,-- что два раза сорок два равняется восьмидесяти четырем. В году двенадцать месяцев. Вычтите теперь двенадцать из восьмидесяти четырех, и останется семьдесят два, вычтите из этого числа еще двенадцать месяцев, останется шестьдесят. Итак, у нас определенная шестерка, а ноль зачеркнем. Теперь уже у нас сорок два, шестьдесят восемь, четыре. Зачеркнем ноль, зачеркнем и четверку сзади, и мы преспокойно опять получили четыре тысячи двести шестьдесят восемь, то есть номер паровоза, который следует отправить в депо в Лысую-на-Лабе. И с помощью деления, как я уже говорил, это также очень легко. Вычисляем коэффициент, согласно таможенному тарифу..."

    — Чтобы докончить… Вы думаете, господин фельдфебель,
    этот машинист запомнил? Он перепутал и все помножил на три, так как вспомнил святую троицу. Паровоза он не нашел. Так он и до сих пор стоит на шестнадцатом пути.

    (с) Я.Гашек, «Похождения бравого солдата Швейка»
  • 0
    Простой телефонный номер (с кодом страны и города) дает уже 13-14 символьный пароль. А если заменить цифры на буквы по правилам (1 -> i и т.д.) то и больше…
    А если писать цифры буквамы (адын, дэва, тры… пьятьдесьят и т.д.) то…
  • 0
    LastPass + Ubikey = зачем еще сильнее???

    создает сам ключи любой сложности, сохраняет, помимо мастер-пароля нужен Ubikey
  • 0
    У меня на все сервисы несколько паролей:
    1. на все ненужные мне сайты, от которых могу легко отказаться.
    2. усложнение первого, для ненужных сайтов которые требуют регистры/цифры
    3. сложный пароль на почту
    4-5. два сложных пароля на электронные деньги и важные сайты.
  • 0
    А еще можно поставить RoboForm+DropBox и забыть проблему ввода и запоминания паролей навсегда ;-)
    • 0
      roboform+truecrypt+dropbox
      • 0
        Зачем здесь TrueCrypt? FoboForm отлично умеет шифровать пасскарты. Хотя если для других данных — то да.
        • 0
          само собой и для других тоже
  • +1
    Есть проблема: я уж не помню как rutracker.org назывался раньше, а акки перенесли.
  • 0
    Забавно, сам пользуюсь такой системой уже давно – привязывая пароль к домену. Но в последнее время, глядя, как то и дело утекают пароли где-нибудь на mysql.com, начинаю задумываться, безопасно ли это. С другой стороны, все эти пароли однажды были в ящике gmail, а можем ли мы быть уверены, что удалённые сообщения действительно удалены :)?
  • 0
    Я для себя выработал схему генерации паролей такую. Есть набор цифр, та же пресловутая дата рождения. Есть математическая формула. Подставляю дату 31.03.1967 в качестве числа 31031967 в эту формулу, вычисляю, а результат перевожу в HEX. Этот HEX и есть пароль. При этом на главную почту у меня пароль очень и очень длинный и сложный. Но вычислить для меня его не составляет труда. Соответственно, даже если падут мои аккаунты на разных сайтах, почта останется у меня уж точно.
  • +3
  • 0
    У многих есть «универсальные пароли», которые давно въелись в мозги и которые пальцы набирают автоматом. По описанной в статье системе можно разнообразить такие пароли «привязкой к домену». Т.е. вместо песенки использовать один из своих «универсальных» паролей и модифицировать их в зависимости от домена.

    Так что, идея хорошая и полезная. Особенно для тех, кто везде вводит один и тот же пароль.
  • +1
    Велосипеды, велосипеды…

    pwdhash.com
    www.all-x.net/2007/06/08/yavki-paroli/ — идея 2004 год, удобная реализация где-то с 2005го.
  • 0
    Предпочитаю LastPass!
  • 0
    Я знаю только один пароль — от «KeePass Safe». «А мне больше и не надо» (с)
  • 0
    Есть еще одна идея — использовать обычную фразу, которую легко запомнить, можно даже на английском, вводить скажем каждое слово с большой буквы, пробелы убрать, НО: вводить безграмотно и использовать в фразе скажем название ресурса:
    ILaveMyGoogleSyperPasword
    Хрен кто по словарю подберет.
    К сожалению (однако к счастью с точки зрения безопасности) многие даже не подозревают, что используют эту схему ;-)
    • +1
      Аналогичная некоторым примерам выше проблема — если 2 таких пароля попадут в нехорошие руки — эти руки без проблем введут правильный пароль и на третьем сайте.

      Помимо этого, в отличие от правильного написания, которое одно-единственное — вариантов неправильного написания намного больше. Поэтому гарантированно будет возня с правильным набором ошибок, когда сайт не примет пароль.
  • 0
    rjulfdjlfdctvbhyjujgjnjgfdthyekfcmdyjdmduhfybws,thtujd
    очень простой пароль, когда то стоял на ssh ключе.
    и запоминается легко )).
  • 0
    Вы зарегистрированы на одном моём сайте и я рекомендую вам таки поменять пароль от facebook! ;)
  • 0
    По-моему самый простой, и в то же время надёжный пароль — брать md5() от имени сайта, обрезать его до приемлемой длины (или не обрезать) и использовать. Получается быстро, просто, единственный фейл — если сайт адрес поменяет).
  • 0
    Клевая статья, и комменты есть отличные.

    Только предпочитаю на разных сайтах пользоваться разными сгенерированными паролями, а их, в свою очередь, держать либо в LastPass, либо в KeyPass.

    Несколько основных паролей (например, от самого хранилища и от почтового ящика) — удобно сгенерировать по похожему алгоритму.

    Еще удобно создать несуществующий контакт в телефоне, и только ты сам будешь знать, как из этого контакта вычислить пароль.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.