Насчёт паролей

Был тут один пост про проверку сложности паролей от аваста, но как мы знаем иметь один пароль даже самый сложный весьма небезопасно. Правильно иметь для каждого сайта свой пароль, но как так сделать что бы не придумывать каждый раз новый пароль и не запутаться в них? Можно хранить список паролей где нибудь, но это то же крайне не безопасный вариант. Я вам предлагаю вот такой метод:

Метод заключается в том, что мы берём адрес сайта и шифруем его с помощью любой хэш функции на ваш вкус и цвет.

Приведу пример: нам нужно зарегистрироваться на пикабу. Берём адрес сайта "pikabu.ru" и шифруем его с помощью md5. Это можно сделать на любом удобном вам сайте, например на http://www.md5.cz/

И полученный пароль "20b7ff3c1f0a22c45cacb11d6027dafb" можно ввести, но тут есть 2 нюанса, первый пароль может быть ограничен, часто лимит равен 16 символам, поэтому просто берём первые 16 символов "20b7ff3c1f0a22c4" и наслаждаемся. Но есть вторая проблема, а именно если кто то узнает этот способ, то он может получить доступ ко всем аккаунтам. Поэтому следует добавить к названию сайта дополнительный пароль, он может быть и должен быть один. Скажем можно использовать в качестве дополнительного пароля фамилию, таким образом получаем:

И получаем совсем другой пароль "25a20ddbe59eb0b5835ae718e8984218", берём первые 16 символов("25a20ddbe59eb0b5"), вводим и наслаждаемся безопасностью.

##############################################################

На самом деле нет, на выходе мы получаем лишь 16 видов символов, к тому же много сайтов будут ругаться на отсутствие больших букв, так что полученную строчку "25a20ddbe59eb0b5835ae718e8984218" нужно прогнать через алгоритм base64. Скажем на сайте https://www.base64encode.org/

И получаем такую строку "MjVhMjBkZGJlNTllYjBiNTgzNWFlNzE4ZTg5ODQyMTg=", обрезаем её до нужной длины и загоняем на сайт.

Всем удачи.

0
Автор поста оценил этот комментарий

Пароль от хранилища можно спалить только каким-то кейлоггером. Если словил кейлоггер -- тебя уже не спасут никакие пароли. На счёт мобильности -- у кипасх есть версия и для телефонов вроде, не уверен. Да и у всех браузеров на всех платформах есть возможность запомнить пароли.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Я смотрел только гугль хром хранилище и оно так себе по защите. Вернее совсем никак) кстати мой способ вполне успешно обходит кейлоггер как ни странно)
0
Автор поста оценил этот комментарий
Там файл пароля без мастер-пароля бесполезен
раскрыть ветку (1)
Автор поста оценил этот комментарий
Ну хз, чутка уязвимо на мой счет . тот же пароль можно спалить и получить доступ, но о чем я, это уже больше соц инженерия. Но встаёт вопрос мобильности, скажем нужно синхронизировать все файлы на всех устройствах, на телефоне в том числе.
показать ответы
0
Автор поста оценил этот комментарий
Если так параноить -- я уже говорил что делать. Keepassx и регулярная смена паролей
раскрыть ветку (1)
Автор поста оценил этот комментарий
Я не знаю что за keepassx, но мне кажется это не лучшей идеей хранить все пароли в одном месте
показать ответы
0
Автор поста оценил этот комментарий
"немного"? Придётся запоминать кучу вещей. Не проще ли просто запомнить пароль?
раскрыть ветку (1)
Автор поста оценил этот комментарий
Вычислять один пароль, вычислят все твои Акки ))))
показать ответы
0
Автор поста оценил этот комментарий

Небольшое отступление. Чаще всего, когда проектируют разные web-сервисы, пароль тоже хешируются и обычно это бывает md5, но есть и надежные системы, где еще добавляют (md5+salt2)+salt1  тяжело подобрать, и есть возможность такое взломать, только если ты знаешь: 

1. salt1

2. salt2

3. есть достаточно времени для расшифровки md5, которая содержит в себе 2^64 вариантов.


Если вы уж очень сильно дорожите своими аккаунтом. То предлагаю придумать самый просто пароль (кличка собаки, ваше имя, паш пол, вашу cvv от карты, да что угодно (про cvv я пошутил, не надо!)) 


Берем и хешируем его в md5 

http://md5calculator.chromefans.org/



затем используем это как пароль, если множество сервисов которые работают по этому принципу, что и защитит ваш аккаунт

https://chrome.google.com/webstore/detail/lastpass-free-pass...

даже этот, если хотите, хоть он и не особо полезный.


Я же пользуюсь собственным расширением для хрома (авторские права), которое это делает.


Суть его алгоритма изложена выше.


Ах да, чуть не забыл, это имеет смысл, если ваш аккаунт ДЕЙСТВИТЕЛЬНО важен, на контактик и прочее не стоит тратить столько ресурсов. это будет полезно для ssh входа на сервер или прочее. 


Если кому станет инетресно про инф. безопасность, то могу длиннопост смастерить

раскрыть ветку (1)
Автор поста оценил этот комментарий
Только md5 признан не безопасным. К тому же соль после хеширования бесполезна)
показать ответы
0
Автор поста оценил этот комментарий

Вот тут не понял, поясни.

Если для каждого ресурса генерячится хэш на основе доменного имени с солью, и прогоняется base64 encode, то о каком "одном пароле" речь?


По описанному методу для каждого логина куда-либо придётся либо открывать веб-сервис с хэшами и энкодами, либо в консоли md5sum и прочее бряцать.


Где ключ?

раскрыть ветку (1)
Автор поста оценил этот комментарий
Соль и есть пароль
0
Автор поста оценил этот комментарий

А потом в базе ресурса весь этот алгоритм проходит ещё раз.

Серьёзно, описал хэширование паролей в базе, с солью и всем дерьмом.

https://habrahabr.ru/post/210760/


Неудобно пздц, запоминать base64 последовательность - мутная затея.

А если хранить пароли в кипасе или чём-то подобном, то какая разница как их генерить.

Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий
Тут генерация по ключу, то есть вместо как раз таки запоминания ряда паролей можно помнить только один.
показать ответы
0
Автор поста оценил этот комментарий
Иллюстрация к комментарию
раскрыть ветку (1)
Автор поста оценил этот комментарий
Защита))
0
Автор поста оценил этот комментарий
Уже придётся помнить сколько раз менял пароль и все плюсы данного способа аннулируются.
Ещё один минус -- разные тупые ограничения на разных сайтах. Придётся помнить где какой длинны пароль.

Моя точка зрения: если не очень паришься -- заведи 2 сложных пароля, один для левых сайтов "на 1 раз" и другой для более важных, к которым больше доверия. Если параноик -- пользуйся каким-то keepassx и регулярно меняй пароли к важным сервисам.


UPD: хороший способ получить надёжный пароль:
ищем генератор случайных слов (например http://sluchajnoe.ru/slovo.php)

получаем оттуда 2 слова - пример: косой, бороздомер (лучше взять нераспространённые слова)
переводим в транслит: kosoi borozdomer
заменяем в каком-то из слов буквы на leet-язык и похожие символы (https://ru.wikipedia.org/wiki/Leet): kosoib0r0zd0m3r
приправим всё это спецсимволом между словами:
kosoi$b0r0zd0m3r
добавим пару цифр в конец: kosoi$b0r0zd0m3r42

раскрыть ветку (1)
Автор поста оценил этот комментарий
Пароли с того же гугла дампнули, так что не все так однозначно. К тому же по случайности можно забрести на фишинговый сайт. Дадададада, надо быть суперпро и смотреть всегда, но каким бы внимательным человек небыл он может однажды не заметить подставы будучи уставшим или пьяным.
показать ответы
0
Автор поста оценил этот комментарий

Ну ты и чудовище...

раскрыть ветку (1)
Автор поста оценил этот комментарий
Эээй
0
Автор поста оценил этот комментарий
У таких способов есть ещё один большой минус. Если злоумышленник получил твой пароль от любого сайта, то узнав алгоритм получит доступ ко всем аккаунтам. А ещё нет возможности сменить пароль без смены алгоритма, если вдруг узнал что он скомпрометирован.
раскрыть ветку (1)
Автор поста оценил этот комментарий

Соль как раз в том, что узнать алгоритм аналитически невозможно, только через социальную инженерию.

Насчёт взлома базы данных сайта вы правы. Но тут можно уже свободно вести список сайтов у которых украли пароль в виде списка с числом раз, сколько их взломали. например

yaplakal.com 4

mail.ru 1

И соответственно сдвигать на m*n символов пароль в полученной строке. Где n - количество взломов, m - собственаручно выбранный шаг сдвига (1, 2 символов например). Скажем вместо "MjVhMjBkZGJlNTll", при шаге 1 и количестве взломов 1 пароль будет "jVhMjBkZGJlNTllY" 

показать ответы
0
DELETED
Автор поста оценил этот комментарий

На выходе 16 символов из букв нижнего регистра и цифр, без спец символов, без верхнего регистра... Гавно твой пароль.
base64 уж использовал бы бы тогда поверх md5.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Вы абсолютно правы, добавлю в пост про base64

0
Автор поста оценил этот комментарий

И всё же это не защищает твой способ. А регулярная смена пароля -- защищает от всяких хацкеров гугла :)

раскрыть ветку (1)
Автор поста оценил этот комментарий
Я написал алгоритм действий при взломе, пускай немного чопорный
показать ответы
3
Автор поста оценил этот комментарий

Какой нахрен безопасностью? Md5 на выходе даёт число в 16ричной системе, то есть вместо кол-ва символов русского алфавита+английского алфавита + 10 цифр + спецсимволы ты используешь всего 16

раскрыть ветку (1)
Автор поста оценил этот комментарий

Да, конечно, вы абсолютно правы. Я описал довольно чопорный способ. Но тот же выход хэш-функции можно перевести в скажем кодировку ascii, и наслаждаться безопасностью.

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества