Введение.

На фоне многочисленных постов о паролях решил провести небольшое исследование.

В настоящее время парольная защита является самым распространённым и, к сожалению, самым не надёжным методом защиты. Существует много статей на тему «Как составить стойкий пароль», но мне не встречались статьи, где приводятся реальные данные о надёжности паролей.

В исследовании проводится оценка надёжности паролей противостоять атакам грубой силы. Наиболее эффективный метод грубой силы при переборе паролей для хеш-функций является составление радужных таблиц.

Расчёты проводятся для трёх хеш-функций md5, sha1 и sha2 (модификация sha512). В расчёт не берутся данные о коллизиях в данных хеш-функциях, так как с практической точки зрения в реальном подборе пароля они не помогут, да и достойных реализаций в ПО на настоящий время в открытом доступе нет. В исследовании принимают участия пароли длиной 7, 8, 10 и 12 символов трёх различных алфавитов.

Для наглядности результатов приводятся данные о количестве паролей, объёме дискового пространства для хранения радужных таблиц и ориентировочном времени построения радужных таблиц.

Инструментарий.

- Компьютер с процессором Pentium 4 2.6 GHz и оперативной памятью 512 МБ;

- Утилита winrtgen, входящая в состав Cain&Abel;

Промежуточные расчёты.

Количество комбинаций паролей равно (количество символов в алфавите)^(количество символов в пароле)

В исследовании принимают участие 3 алфавита:

А1={abcdefghijklmnopqrstuvwxyz0123456789} 36 символов
А2={abcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_+="} 51 символ
А3={abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRS TUVWXYZ0123456789!@#$%^&*()-_+=} 77 символов

Результаты.

http://i037.radikal.ru/1001/cd/7bdbaf398e4b.png

http://s44.radikal.ru/i106/1001/77/8ddfe1810368.png

http://s43.radikal.ru/i099/1001/77/33d605961ab9.png

Прочерк там, где программа решила, что с неё хватит подсчётов.

Выводы.

Длину и состав паролей каждый должен выбрать для себе сам, от себя могу лишь сказать, лучше выбрать пароль до 12 символов и периодически его менять, нежели взять пароль 20 символов и чувствовать себя в полной безопасности.

Copyright © (http://habrahabr.ru/blogs/infosecurity/80036/) 2010.

root_sashok Статейка класс ! +

приму к сведению спс.

Не забывайте, что статейка не моя, а товарища ttf (http://ttf.habrahabr.ru/), сюда запостил ради интереса :)

Задумайтесь о стойкости своих паролей!

P.S.: Нашел неплохой ресурс (genpas.ru) для генерации пароля нужной длины, состоящего из заданных символов.

А я использую KeePass и LastPass, почти всегда генерирую пароли (за исключением тех случаев, когда аккаунт никому нафиг не нужен, кроме меня).
KeePass использует английский алфавит, цифры и простые символы (которые можно набрать клавиатурой), число символов стараюсь использовать 10-14.
LastPass использует те же знаки, что и KeePass, и настроен на 12 символов.
Разве что не меняю пароли. Но непонятно: зачем периодически их менять, если везде, где нужна защита, 10-14 очень разных символов, а?

Вообщем, при грамотной периодичности смены пароля и соответствию длительности перебора можно вполне защититься, исключая, конечно, трояны, и прочие способы получения пароля кроме перебора.

На Mac OS X использую 1Password - очень удобная утилита, синхронизирующаяся с iPhone (1Password Touch). Генерация паролей, хранение заметок, данных, логинов, прочего.

Вообщем, при грамотной периодичности смены пароля и соответствию длительности перебора
можно вполне защититься,
Учитывая, что подбор брутфорсом 12-значного пароля с третьим алфавитом (Aa-Zz, 1-9, !"№;...) займёт несколько лет, можно и не менять.
исключая, конечно, трояны, и прочие способы получения пароля кроме перебора.
Защищаюсь DrWeb'ом, и папка ещё в своём Gentoo (как говорит) поставил крутой фаервол (с) 8-)
На Mac OS X использую 1Password - очень удобная утилита, синхронизирующаяся с iPhone (1Password Touch). Генерация паролей, хранение заметок, данных, логинов, прочего.
1Pass, конечно, красивый, но не мультиплатформенный. А мне нужна мультиплатформенность - я то там, то здесь - короче, не привязан к ОС.

Лучшая кросплатформенная утилита, по моему мнению - KeePass.

Введение.

Прочерк там, где программа решила, что с неё хватит подсчётов.
Улыбнуло :) Спасибо хорошая статейка, часто бывает просто лень сменить пароль, за что в дальнейшем и жалееш...
P.s. с наступающим Рождеством ;)

Лучшая кросплатформенная утилита, по моему мнению - KeePass.
indeed.
работает без малейшего упрёка.

Master Password - стоит глянуть world.std.com/~reinhold/diceware.html

В настоящее время парольная защита является самым распространённым и, к сожалению, самым не надёжным методом защиты.

Не соглашусь. Среди методов однофакторной аутентификации парольная защита является лучшим методом при соблюдении определенных условий, таких как качество ключевого слова и способы его хранения.

Другой конкурирующий однофакторный способ – биометрический, нельзя отнести к методам строгой аутентификации по причинам вероятностных факторов и возможности частичного подделывания биометрической подписи (а также высокой вероятности ложного срабатывания оборудования).

Другое дело – использование многофакторной аутентификации, т.е. комбинации различных методов: биометрии, паролей, токенов и т.п.

кроме радужных таблиц существуют еще:
1. атака с использованиием масок + видеокарты (он же прямой перебор с масками)
2. атака по словарям
3. гибридная атака по словарям (!!)
4. комбинированная атака по словарям
5. атака с попыткой подбора чередующихся клавиш на клавиатуре
6. атаки с ограниченными чарсетами (пример: может быть использован чарсет A1+ 5 самых распространенных спец-символов)

1. позволяет снимать буквенно-циферные пассы длиной до 11 символов включительно
2. слова до 14 символов, часто кажущиеся пользователю "уникальными". К примеру 100-милионный пасслист покрывает примерно 25% всех существующих паролей, многие из которых отдельные люди, прочтя такие как эта недостаточно объективные статьи могут ошибочно посчитать "хорошо защищенными"
3. пассы 12-13 символов. Часто довольно сложные.
4. пассы до 16-18 символов, как правило состоящие из двух слов + 1-2 цифр.
5. пассы до 25 символов и более. К примеру многие ошибочно думают, что 25 знаков вопроса (итд) - очень крутой небрутабельный пасс. На самом деле он (и ему подобные) примитивен и всегда снимается за 1 минуту.
6. возможно снять пассы до 10 символов, с использованием обоих регистров+цифр+спецсимволо в.


резюме:
статья ужасно неполная.
Всё, на что она способна - ввести в заблуждение пользователя.

мораль:
не знаешь темы - не пиши по ней статей.
Кидаю в автора оригинальной статьи стопицот помидоров.

ps
и да, по сабжу.
"Небрутабельный" пароль на сегодня:
а) 11 символов с использованием как минимум 2 букв верхнего регистра, 2 нижнего, 2 цифр и 2 спецсимволов.
б) 16 символов с использованием обоих регистров+цифр, при условии что последняя - не цифра.
в) осмысленная комбинация слов не короче 22 символа, в каком-либо из "мест" пасса желательно поставить цифру\загравную\спецсимвол

А то, что вы прочитали в этой статье - типо 9 и тем более 10 символов - меготру пасс - фуфел.
Пассы до 11 символов включительно - очень даже брутабельны. Длиннее - как повезет. Небрутабельны - пассы начиная с того, что я написал.

ps2. Чтобы не быть голословным:
6430a72acd881fa15f2ac268c96bc4a9:13denoviembre
03be9a6ead4bdcc7ee6db7f7df5168e0:slip09hudson
fcaeb64e9dd29ccd3ecc2f099f7d459a:1a.2b.3c.
d9ec673432de8ae96d320e163dea6558:Mt.St.Helens0
5868d71e463dc8efdb09d74551655312:shadowlily1
5fe699d3c461ab5a795505f59d5adf15:00000000000000000 000000000000000000
fef143aad4baa7aea0acff763ffbe399:b.girl31
579695be8441e4de2939f06a458fc9c9:k.,k.vfvjxre
11a4aec7bfdfa7facc927d9072178430:appletruck676
3e89d34c93742d0a92d4dce69a857e2f:11111111111111111 11111111111111111111
a06aef8f5491551544ddde3b28bd18e9:hppoa3anc
79ebedbbcdfdf2d0ea3a35f502081f46:qwertyuiop[]zxcvbnm,./
ddeff019463ddf0fdebcd38c09693b8b:11111111111111111 111111111111111111111111
82c0382bfa3d67339f4561015c0fb720:zxc123mnb
c2055d0c1075a3fd22066397f05b69cb:qwerm,./
c5e0eb03cbb4bea95ce3f8f48fca77d5:00000000000000000 0000000000000000000
25741b17514173312e5dc6234a101fa0:alldayidreamabout sex
eff429a42fde8b842e64b47736836b15:mom1948
af7407aa1aae3b93fca8f4a709f3b771:PiekielniK89
790e2c3946bde81e1b4ea4032bf1dfa9:jose22290465
dc9c99961cb44ef24591dbbfa0679791:maartenmes0
d94ee5fe7859a0bfca39c57f81afd0eb:Jf1998@7
61002fb6b6631ee9398a792e262de602:lllllllllllllllll lllllllllllllllllllllll
e73d605dc76e2fdcdc676c9abb104531:skid66mark2
355c1410373ef02fff2b03844d72c7d4:00000000000000000 00000000000000000000
2bd71e22bc7035a9617e34b4612b80d2:melvysayang
b1725d66b18d53937c71aacdbaf1c3a6:Amethyst010270
6dbe7af851d3a50aafcc3ed1b8f123bf:11111111111111111 1111111111111111111
c4fe0357f5b4c1b6051f4db76892f417:no1xptme
8e084f489f1bdf08c39f98ff6447ce6d:aaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaa
f70536652d880510c330319d688367f9:mababybu
fa99da6e54c9f93dcfed239d96426a43:gubster123
3adf0f24fd9650e8ae8a89da74052a11:0502607emp
22e7a1633dd836af70d176a032c40af6:968248quid
d207efecef1b6fd5b79c60ea2f203a32:filipundio
f7f2046672bcafebd57db1c32bd41a96:fk3lk3pk2
17b081fca2738dd4e238062db45715f2:loveyouallways
2191929b69ca3d0774dc0630336a02f0:s3u3e3q3
861461e4ba1b3771b1b0d80ec3a319e4:ivancelgroaznic
64c152f6b34fc6ab2963c40c6b83886b:!fUrl0F8d
d1fe689b2ccb9322a391d6464ea99aa3:3k0alt1oum3
2d045a8765306c77f5f0e4a138263335:11111111111111111 1111111111111111
ea976bb6df45484049da9f648004d62d:jikolino
2e7d81b2826843f7025e8935c79d9fcd:zimbokid05
8e810a12c5ae900f7fbab221f3d3d8e7:jh1234qaz
04eb86662c5632b1731a9de787363d3d:fp553acer
cefdcc9080290c33fee85a52220e423d:externocleidomast oideo
eead5bddf7f92c8cfa11536481f1fbe5:94liuv6a
19bdc56b72452e90ea66e0953f378e03:connor070505
02a1994bdf74fa393cf8a5b19c04a2fe:93gmcsierra
df5bae6fe3a9f3d01310d4a627e87095:miguel45272236
2c811a7e62437a92569fd97b7b76a80a:m66jdfdla
df1e8f87fec56027011fd5ef2d04f9a7:elskerdigskat
64fe3f2d8ff74078d00b8473af576a76:290488291287
9f21a14669a940723913e183aa479c16:oshja81402
497175690e8daec4e3bfbf0469f46c4b:meskalita
479ae1b968c2776369d6c441a2a6ebb7:255277bjkcrs.
417c6669fb9edcdb18b5cc9a613a0235:snowdude5k
e255dece7cd15bf495febfa15068f993:khairulazri
6fce2c28974bcd669cfe60e70e0b467a:gn001exia
f77c3417ad2981f3f3bc0b05e28d5dd2:onlyd3ofus
2cd111d613e71366cf06ae6005243366:amiromani5 прочтя статьи, подобные этой, люди 110% уверены, что перечисленные выше пароли - небрутабельны.
Однако - факт - такие пароли - не более, чем будни опытного хэшкрекера.
И все, перечисленное выше - реально снятые (всего лишь на днях) пассы.
А ты уверен, что твой мего-тру 9\10\11 -символьный пасс "круче" этих?
Уверен, что твоего пасса нет в другом таком же списке другого хэшкрекера?

Отсутствие информации - зло. Необъективная информация, вводящая в заблуждение - еще большее зло.

Посмотри - я сейчас генерирую LastPass'ом и KeePass'ом по 3 пароля, а ты говоришь, насколько они брутабельны.
LastPass:
F^b5#jg577sq
sa6&s&KeYEA#
a&#c6fP64H6T
KeePass:
ZqlL0^5$f"ac
i@7SqLzLJ^a,
(74vas-v{_i*

2Grawl ты бы md5 хеши этих 12 значных паролей скинул бы )
посмотрели бы реальные резальты распределенного брута, помоему такие комбинации не реально сбрутит за короткое время, например пароли типо password123456789!@#$ по маске сбрутились бы ....мое imho

2Grawl ты бы md5 хеши этих 12 значных паролей скинул бы )
не имею представления, как это сделать.

ErrorNeo,
собственно, почему вы переходите на личности и в порыве фанатизма,
ваша религия позволяет вам даже кидатся помидорками?

технически, статья написана верно,
и верность идей, злаоженные в её основу - подтверждает время.

независимо от root_sashok,
были выставлены пассы на сотнях уинов по маске - верхний/нижний регистр/цифры. KeePass.

и не один из них - не смогли взять брутом.
хотя и брутят их денно и нощно, с дедикейтед серверов,
и даже в момент написания сего поста)

статья из за ужосной однобокости вводит в заблуждение, и наносит вреда дезинформацией - ничуть не меньше, чем "пользы".

"Технически" статья называется Оптимальная длина и состав пароля
и фактически она доносит до пользователя, что md5 пароли длинны 8+ символов- безопасны, а это неверно.
Около 40% всех снимаемых md5 пассов имеют длинну 9+, а многие пассы (~15%), как описано выше, имеют и длинну 10+. Где тут указано, что с виду "сложный" 10 символьный пасс типа Alexander9 (оба регистра + цифры!! Оо. Да хоть даже и Alexander88 - аж 11 символов!! - гг) (ред. да пусть хоть Alexander1988 - аж 13 "символов"!) является не просто "простым", но сверхпростым, и будет снят не дольше, чем за полчаса (и это в худшем случае - для средне-пряморукого брутера) брута (в "лучшем" случае это займет х_сек-1-2 минуты по "предварительной атаке").
а ?

Grawl - твои пароли полностью соответствуют пункту а) "небрутабельности", который я описал. Если быть точным - пароль такой сложности (100% бред с использованием всего что есть) может быть сбручен
100%, если он состоит из 6 символов,
15% если он состоит из 7 символов, (требует много времени, но по силам даже брутеру одиночке, если сильно захочет, с вероятностью снятия 100%)
~ на удачу, если из 8 (пройти весь диапазон одиночке не по силам, или же займет более года. Но все же случайно сбручен быть может.)
~ на пределе вероятности, если из 9
~ теоретически возможно, если 10 или крайне маловероятно, если брутит Ботнет\Спецслужбы
~ 11 теоретически возможно Ботнетом\Спецслужбами, хотя вероятность бред. Можно назвать 100% небрутабельным.
12 - на такой "сложности" - принципиально невозможно сбрутить никакими существующими мощностиям, и, я думаю, будет оставаться таким же принципиально невозможным еще по крайней мере лет 10.

заметьте(!) - я говорю конкретно об алгоритме md5, а не о "бруте уинов" и прочем.
У всего скорость перебора разная, и соответственно отличается и необходимый порядок сложности.

К root_sashok претензий никаких, я всего лишь явно дал понять, что описав 1\8 "темы" автор не имеет морального права в названии указывать, что он освещает её всю, и позволять читателю на основании этой 1\8 делать ошибочные выводы.
О существовании же оставшихся 7\8 в статье даже не намекается.
Я понимаю, что автор <> хэшкрекер, но если это не так- то и нечего писать статей, наверное.

Ну та ладна:)

ErrorNeo, ты крутой.
Но..
Где тут указано, что с виду "сложный" 10 символьный пасс типа Alexander9 (оба регистра + цифры!! Оо. Да хоть даже и Alexander88 - аж 11 символов!! - гг) (ред. да пусть хоть Alexander1988 - аж 13 "символов"!) является не просто "простым", но сверхпростым, и будет снят не дольше, чем за полчаса (и это в хужшем случае - для средне-пряморукого брутера) брута. а?
Мне кажется, что на фоне паролей, приведённых в статье, "Alexander1988" выглядит просто смешным и даже говорить об этом не имеет смысла - ведь речь идёт о сложных и генерированных паролях.
Кстати, я раньше использовал 22 символа, до тех пор, когда начал натыкаться на постоянные ограничения до 12-ти. В своё время взбесило ограничение до ВОСЬМИ (!!!) символов на ICQ. Это была потеря потерь >.<

Выводы.

Длину и состав паролей каждый должен выбрать для себе сам, от себя могу лишь сказать, лучше выбрать пароль до 12 символов и периодически его менять, нежели взять пароль 20 символов и чувствовать себя в полной безопасности.
В исходной статье не приведено ни одного образца паролей.
Что мешает поьзователю подумать, что статья распространяется так же и на пароли типа того, что я привел?

Или же одного из таких -
6430a72acd881fa15f2ac268c96bc4a9:13denoviembre
03be9a6ead4bdcc7ee6db7f7df5168e0:slip09hudson
fcaeb64e9dd29ccd3ecc2f099f7d459a:1a.2b.3c.
d9ec673432de8ae96d320e163dea6558:Mt.St.Helens0
5868d71e463dc8efdb09d74551655312:shadowlily1
5fe699d3c461ab5a795505f59d5adf15:00000000000000000 000000000000000000
fef143aad4baa7aea0acff763ffbe399:b.girl31
579695be8441e4de2939f06a458fc9c9:k.,k.vfvjxre
11a4aec7bfdfa7facc927d9072178430:appletruck676
3e89d34c93742d0a92d4dce69a857e2f:11111111111111111 11111111111111111111
a06aef8f5491551544ddde3b28bd18e9:hppoa3anc
79ebedbbcdfdf2d0ea3a35f502081f46:qwertyuiop[]zxcvbnm,./
ddeff019463ddf0fdebcd38c09693b8b:11111111111111111 111111111111111111111111
82c0382bfa3d67339f4561015c0fb720:zxc123mnb
c2055d0c1075a3fd22066397f05b69cb:qwerm,./
c5e0eb03cbb4bea95ce3f8f48fca77d5:00000000000000000 0000000000000000000
25741b17514173312e5dc6234a101fa0:alldayidreamabout sex
eff429a42fde8b842e64b47736836b15:mom1948
af7407aa1aae3b93fca8f4a709f3b771:PiekielniK89
790e2c3946bde81e1b4ea4032bf1dfa9:jose22290465
dc9c99961cb44ef24591dbbfa0679791:maartenmes0
d94ee5fe7859a0bfca39c57f81afd0eb:Jf1998@7
61002fb6b6631ee9398a792e262de602:lllllllllllllllll lllllllllllllllllllllll
e73d605dc76e2fdcdc676c9abb104531:skid66mark2
355c1410373ef02fff2b03844d72c7d4:00000000000000000 00000000000000000000
2bd71e22bc7035a9617e34b4612b80d2:melvysayang
b1725d66b18d53937c71aacdbaf1c3a6:Amethyst010270
6dbe7af851d3a50aafcc3ed1b8f123bf:11111111111111111 1111111111111111111
c4fe0357f5b4c1b6051f4db76892f417:no1xptme
8e084f489f1bdf08c39f98ff6447ce6d:aaaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaaaaaaa
так же пользователь может посчитать и пасс
fPTyEbAS6UFcM:[tqltkm,thu (это дес, он даже медленнее, чем md5) - мегоприптостойким.
Мною же этот пасс был снят всего за 15 минут перебора по словарю.
И да, это всего лишь очередной реальный пример.

Программу же Каин&Абель ни 1 из 100 среднестат.пользователей даже в глаза не видел.
И упоминание о том, что пассы для тестирования создавались ей - для чуть менее, чем всех пользователей компьютерных интернетов (и даже для их более продвинутых товарищей) - не значит чуть меньше, чем совершенно ничего.

root_sashok, ErrorNeo, Grawl!
не кажется ли вам,
что мы тщетно созидаем здание "Вавилонская Башня"?

root_sashok ясно довёл идею, как нужно выбирать пассворды.
ErrorNeo продемонстрировал, как их нельзя выбирать.
и да, роли то не имеет, и с форумов линуксоидов XSS-ятся хэши))

участники Ачата прочитают, и сделают нужные выводы. надеется.

ну лично я, хотя мне было бы и лень писать подобную статью, её "написал".
Да, думаю теперь, прочтя этот тред, любой пользователь таки сможет понять что есть что на сегодняшний день в подборе пассов, и пожелав поставить себе небрутабельный пасс - поставит нечто именно небрутабельное, а не просто длинное, с виду сложное, но такое же, как стоит и десятков тысяч других - "снимаемое" не более, чем за минуты\часы подбора.

Теперь Уютненько должно быть довольно. :-D

ИМХО, довольно сложные пароли это например такие:

1. rg~+B\Lauz4VNS}R+iPi
2. \yD[gPibSOQflczp9Zj?
3. zo<CqY%04vA1R*j8%YsB
4. MXp58ZfUL.PaK%)z5<A?
5. \R<0"3jQOY?~nlQ4S{~Y
6. VIl}./?MscK-xKoWP{3"
7. Dn5?0LWD[y},aAHo!!g:
8. l(+YP33:(nRhP"hd{RW2

Если их менять со средней периодичностью, то можно вполне надежно защититься от брута. Так же можно использовать символы наподобии этих:

џўќ†њѓøñ

Так же, разных ASCII-символов (фигурки, значки), UNICODE-символов. Это намного усиливает невозможность перебора пароля.

Итак, ищем довольно большое разнообразие спецсимволов, все цифры и все стандартные спецсимволы, идем на genpas, вставляем все это разнообразие в строчку и генерируем пароль. Получаются пароли вида:

1. ]?¥+,">];_∂.?ˆ=†%g2å
2. ®¥}+:®œ>π++=(([´∑ß/-
3. ø¨∂∂†~;:№>,+∑?ˆ_.>?®
4. ;ˆ\:¥.~\)"ø!"=_\3´ˆ>
5. ®¨№¨%]~!-;π¨.{,=}¨œ*
6. +ˆ?®?=π†+(?<[††*-/{/
7. ∑œ№[]>*_ß:´}._+,№~(ß
8. /(œ:+~®<№.{*=,;\!¨[!
9. ´;])5b<};{ˆ!ˆ}/ø:-åπ
10. ®œ+{ø:+]/_?>*.!/"∂,∂
11. );(;!/ˆ(ø:!.?*-å,>;%
12. .;},]:=;πå.?)<>%<:´~
13. :π№]}†№?)ˆ=:ßå(_¨_-?
14. (;_>":∂_¨}∂>}"¥)/?œ"
15. ∑№¥%/´.-[>]¥?.>[®_%{
16. [}å*_n®!=∑:_№∑å._?-ß
17. №ß*ø%∂¨,πߥ*,¨()-ø[†
18. ß∑<†!!~œß∑¨[+~>†}:,*
19. }œ[∑%<π>*(∂,!\=~®)№∑
20. π{+∂∑ß~_%∂®"!,å>/¥(∂

Как вам такое? Попробуйте сбрутить MD5 (не используя этот список):

6673341c2c6096215412443ef37327ea

root_sashok - omfg

таких паролей не стоит даже у меня. Я все-таки предпочитаю создавать для себя пассы, которые возможно запомнить:)
Хотя для "железобетонной уверенности" такие пассы, как приведены выше - пойдут.
К примеру в моем самом сложном - (этот пасс я ввожу не чаще раза в год) - 39 символов, 5+ спецсимвлов, несколько заглавных, какое-то количесово цифр в произвольном месте пароля + туева хуча букв нижнего регистра.
При этом
1. этот пароль небрутабелен даже для спецслужб (уйдут годы)
2. его реально запомнить.

хотя тут выбор за каждым пользователем) Кому-то может и
1. rg~+B\Lauz4VNS}R+iPi
2. \yD[gPibSOQflczp9Zj?
3. zo<CqY%04vA1R*j8%YsB
4. MXp58ZfUL.PaK%)z5<A?
5. \R<0"3jQOY?~nlQ4S{~Y
посилам запомнить. Ну а можно и не запоминать, а просто где-то записать:) В общем это уже на любителя.

ps.
да, и еще, %username% - если ты не хочешь, чтобы над твоим архисложным, слитым в открытом виде с базы сайта, паролем глумились злоумышленники, вводя его для доступа на твою почту и все прочие твои аккаунты - будь добр, следуй простому правилу.
Если за свой аккаунт ты готов отдать хотя бы 1$ - имей на нем уникальный пасс, и не используй этот пасс больше нигде.

Очень улыбает, когда листаешь логи и видишь там у пользователей 20-30 символьные пассы ("добытые" тем или иным способом в открытом виде), и в дальнейшем эти пассы подходят ко всем их аккаунтам, начиная с почты, и зачанчивая...^^ да чем угодно.

ПОМНИ: Уникальный минимально-небрутабельный пасс на каждом ресурсе - залог твоей информационной безопасности.
Ну а ставить пассы, как приведены выше Сашком - вовсе не обязательно. Просто, %username%, прочти рекомендации, которые я обозначил выше, и создавай соответствующие пассы.

И, вполне возможно, тебе даже удастся создавать небрутабельные, но при этом не слишком уж сложные для запоминания пассы. Всё оно так удобнее.. :)

реально ли использовать символы Юникода в пароле?

реально ли использовать символы Юникода в пароле?

Реально.

root_sashok - omfg

таких паролей не стоит даже у меня. Я все-таки предпочитаю создавать для себя пассы, которые возможно запомнить:)
Хотя для "железобетонной уверенности" такие пассы, как приведены выше - пойдут.
К примеру в моем самом сложном - (этот пасс я ввожу не чаще раза в год) - 39 символов, 5+ спецсимвлов, несколько заглавных, какое-то количесово цифр в произвольном месте пароля + туева хуча букв нижнего регистра.
При этом
1. этот пароль небрутабелен даже для спецслужб (уйдут годы)
2. его реально запомнить.

хотя тут выбор за каждым пользователем) Кому-то может и
1. rg~+B\Lauz4VNS}R+iPi
2. \yD[gPibSOQflczp9Zj?
3. zo<CqY%04vA1R*j8%YsB
4. MXp58ZfUL.PaK%)z5<A?
5. \R<0"3jQOY?~nlQ4S{~Y
посилам запомнить. Ну а можно и не запоминать, а просто где-то записать:) В общем это уже на любителя.

Для этого и существуют программы для хранения паролей и подстановки их без участия пользователя :)

Всем отписавшимся в топике поставил +4 за интересную тему ;)

С наступающим Рождеством

Конечно, это при условии, что у вас есть программа для хранения, ибо запомнить это невозможно. Программа шифрует данные, основываясь на Master Password. НО: можно сгенерировать осмысленный пароль, заменяя некторые символы:

AnT)Ch@T'$P4$sw0Rdf0RM3

Такой пароль будет достаточно сложный для брута, замена некоторых мест символами - сложна для подбора человеком, а если придумывать такие пароли с какой-то периодичностью - то на среднем уровне можно защититься от брута.

tH1s)$r@th3R_str0nG'PasSw0Rd=

Между словами можно вставлять какие-то спецсимволы, или делать пароли по маске, например факты из жизни.

Как вам пароль, начинающийся на дату рождения вашего домашнего питомца, затем идет ваше имя и девичья фамилия матери?

да, и отмечу - далеко не везде позволено использовать спецсимволы в пассах, или же количество доступных спецсимволов может быть строго ограничвено (до 4-5)

Все-таки мой выбор - запоминаемые пассы длинны 20+ с использованием 2+ заглавных, 2+ цифр, и, если это разрешено - 1-2+ спецсимволов.
Сбрутить такое все равно нереально, зато запомнить (если ты сам придумал этот пасс) - не особенно то и сложно.
Тут правда важно, чтобы пасс придумал именно ты :D
Потому что, к примеру, свои 20+ пассы я помню отлично => они подчиняются моей логике создания неподбираемых пассов.
А вот чужие пассы - даже длинны 10+ - часто не могу запомнить, если только они имеют минимальную небрутабельную сложность. =\

ErrorNeo, следуя твоим подсказкам можно составить пароль наподобие:

An1chaT's-Pas$worD-F0rM3

25 символов, MD5: 315d5e78d7cffd13becd66c03f44ee63

Сбрутится ли он довольно быстро всеми известными методами брута? Думаю - нет.

ну при составление пароля надо иметь ввиду ограничение web/стационарных программ.
Да и еще - этоб можно было вводить по человечески. Иначе хранить его на рабочем столе в файле Password.txt и оттда копировать каждый раз - тоже не варинат.
Лучше тогда пароль vasya в голове.

ну при составление пароля надо иметь ввиду ограничение web/стационарных программ.
Да и еще - этоб можно было вводить по человечески. Иначе хранить его на рабочем столе в файле Password.txt и оттда копировать каждый раз - тоже не варинат.
Лучше тогда пароль vasya в голове.

Так выше описано, что придумать можно осмысленный пароль, заменяя некоторые буквы цифрами и спецсимволами, или пароль по маске, например, изменяющейся - в зависимости от ресурса, например, берутся три последние его буквы и переворачиваются, ставятся в начало верхним регистром... Вариантов - over 9000^100500 :D

Это и использование ударения, и русских букв, и значков... Вообщем, выжимать надо все, что позволяет ресурс.

Большая статья по подобной теме, кстати, недавно появившаяся на Хабре, находится тут (http://habrahabr.ru/blogs/wisdom_of_the_crowds/80064/).

B1t.exe пароли на рабочем столе в текстовом файле хранят только чёртовы ламеры, которые и не задумаются никогда, зачем иметь сложный пароль - откуда им знать о брутфорсе, радужных чего-то там и т.д.?
Мы тут уже упоминали целых 3 хранителя паролей - кроссплатформенный Keepass, кроссбраузерный Lastpass и 1Password под Mac.
И да, помнить несколько сложных паролей, имхо, отстой. Лучше запомнить 1-2 сложных ключа к хранилищам паролей.
Это ведь всё равно, что постоянно таскать с собой все ключи от всех дверей, к которым есть доступ. У одних всего 3-5 ключей, такое количество носить с собой ещё нормально. У других 200-300 ключей. Ну вы поняли? :)

да, root_sashok, именно таким должен быть пасс.
Единственное но - при создании пасса всегда нужно добавлять в него чуточку полного рандома.

An1chaT's-Pas$worD-F0rM3 - хороший пасс. Но An1chaT's-Pas*$worD-F0rM3 - намного круче.
Лебедь бы сказал, что первый пасс теоретически брутабелен. Хотя практически это и не так.
А вот второй пасс - не брутабелен принциписально :cool:

%username% - всегда добавляй в свой пасс 1-2 произвольных символа в самых неожиданых местах. Не позволяй пассу полностью подчиняться логике.
Только тогда свой пасс сможет стать полностью неуязвим к подбору ;) Даже если пас и так уже соответствует тем "требованиям безопасности", что я обозначил выше.
Логичность - враг пароля. Но при высокой длинне + мин.требованиях даже 1-2 рандомных символа будут способны отделить твой "теоретически брутабельный" пасс от принципиально-небрутабельного.

Кстати, соглашусь с Grawl. Придумываем мастер-ключ к программе с паролями и благополучно забываем остальные. Нам потребуется только один ключик, чтобы забрать нужный пароль из программки. Но, современные программы можно даже не открывать, там подстановка паролей доведена до автоматизма. Насчет универсальных хранилищ - тоже, довольно удобно хранить пароли где-то в онлайне, с хорошим, длинным и небрутабельным, почти рандомным мастер-ключом.

ErrorNeo, ты тоже прав. Добавление рандома в пароль - мощный шаг для защиты логически подбираемой комбинации.

И да, помнить несколько сложных паролей, имхо, отстой. Лучше запомнить 1-2 сложных ключа к хранилищам паролей.
Это ведь всё равно, что постоянно таскать с собой все ключи от всех дверей, к которым есть доступ. У одних всего 3-5 ключей, такое количество носить с собой ещё нормально. У других 200-300 ключей. Ну вы поняли? :)
да, Grawl.
доступ к пассам - двойной слой защиты - TrueCrypt/KeePass.
Master Password - более 16 символов. разнообразных.

ни одного пасса - не помню.
и под гипнозом их не узнать. ибо нех. и вводятся лишь с вирт. клавы))

Хороший пароль - который ты не знаешь, но руки набирают на автомате :D

Как легче запомнить рандом: набирать его много раз. Поставить себе пароль куда-то, вводить его не реже 5 раз в день, и он запомнится :) К разным сайтам - разные пароли, можно сделать маркировочку в виде двух первых букв сайта, вообщем, это уже обсуждалось.

У меня рандом набирается уже на автомате, как было сказано выше :D

Ну вот, тащемта.
Моя правда - сиянье в груди - была на моей стороне! © [AMATORY]

а я делаю пароли из каких нибудь очень длинных слов или предложений и включаю в разные места символы, цифры и заглавные буквы. как правило пароль больше 10 символов. и легко запоминается + все пароли записываю в блокнот. не доверяю я всем этим хранителям ключей и генераторам паролей )

Ну ты реально олбанец :) только не обижайся.
Смотри, как всё просто:
Текстовый файл. Ты сохраняешь туда логины-пароли. Он хранится у тебя пусть даже не на рабочем столе, а в папке "Мои документы". Хотя лучше такой файл хранить в недрах системы. И вот кому-то понадобились твои пароли. Если Вы знакомы, он может прийти к тебе в гости и тупо забрать этот файл. Если не знакомы, то тут пойдёт брутфорс, и твои пароли взломают. Или хакнут твой комп и опять-таки заберут пароли. Опять-таки, все. Разом.
Файл базы данных хранителя паролей. Пусть даже у тебя заберут этот файл, неважно каким способом. Открыть его можно будет только при вводе специального пароля, который должен знать только ты и который должен храниться у тебя в голове. Плюс - удобность в виде автоматической подстановки логина-пароля и интерфейс управления парами паролей.

Файл базы данных хранителя паролей. Пусть даже у тебя заберут этот файл, неважно каким способом. Открыть его можно будет только при вводе специального пароля, который должен знать только ты и который должен храниться у тебя в голове. Плюс - удобность в виде автоматической подстановки логина-пароля и интерфейс управления парами паролей.

Интерфейс автоматической подстановки «логин:пароль» может оказаться «узким местом» в процедуре хранения пароля: не знаю в каком виде система хранит пароль в оперативной памяти, но в буфер обмена (а именно так реализуется подстановка пароля в поля ввода) эта связка попадает в открытом виде. Последствия такой процедуры могут быть печальными.

Другая потенциальная брешь – хранение всех «ключей» под одним «замком». Изначально такая концепция безопасности не является стойкой.

Однако, если вы используете свой собственный менеджер паролей и уверены в его надежности - это повышает уровень защиты вашего "склада ключей"

Ну ты реально олбанец :) только не обижайся.
Смотри, как всё просто:
Текстовый файл. Ты сохраняешь туда логины-пароли. Он хранится у тебя пусть даже не на рабочем столе, а в папке "Мои документы". Хотя лучше такой файл хранить в недрах системы. И вот кому-то понадобились твои пароли. Если Вы знакомы, он может прийти к тебе в гости и тупо забрать этот файл. Если не знакомы, то тут пойдёт брутфорс, и твои пароли взломают. Или хакнут твой комп и опять-таки заберут пароли. Опять-таки, все. Разом.
Файл базы данных хранителя паролей. Пусть даже у тебя заберут этот файл, неважно каким способом. Открыть его можно будет только при вводе специального пароля, который должен знать только ты и который должен храниться у тебя в голове. Плюс - удобность в виде автоматической подстановки логина-пароля и интерфейс управления парами паролей.
я записываю шариковой ручкой в бумажный блокнот, епта ))

c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит? Новый вирус писать? Слишком затратно - ведь современные антивирусы узнают заразу не только по коду, но по поведению, каким-то тонким особенностям и т.д.
оlbaneс и сколько их у тебя?

c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит?
более того, при установке ОСи - сетевой шнур выдернут,
вай-фай ЮСБ- донгл тоже.

поведал раз, как во время установки ОСи,
стучали непрошенные гости с IP "NATO forces", из Австрии.

но!
Агнитум уже устанавливался,
и забил тревогу - "Командир! атака!"
да, б/\я, атака! почему, не ясно до сих пор..

c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит? Новый вирус писать? Слишком затратно - ведь современные антивирусы узнают заразу не только по коду, но по поведению, каким-то тонким особенностям и т.д.

Если не брать в расчет финансовую сторону дела, то специально для Вас может быть написан вирус, обладающий нужным функционалом и проходящий сквозь алгоритмы эвристического анализатора и проактивной защиты, как нож сквозь масло. За примерами далеко ходить не надо: всем известный вирус Kido (a.k.a. Confiker) поставил «в позу» большинство антивирей в пик своей активности. Согласен, что писать/криптовать малварь с целью получить десяток-другой паролей от «сомнительных» ресурсов рядового пользователя - занятие глупое, но давайте не будем забывать, что антивирус ставится после установки ОС, а за этот промежуток времени вредоносное ПО может попасть без особых трудностей (пользователь любит устанавливать пиратские сборки сомнительного происхождения) и играть Вашим антивирусом, как куклой в процессе его эксплуатации.

давайте не будем забывать, что антивирус ставится после установки ОС, а за этот промежуток времени вредоносное ПО может попасть без особых трудностей
Если комп не атакуют профи. Реальные профи, такие, которым за это деньги платят - ведь отследить IP системы во время установки, и подключиться к ней до того, как она подключилась к сети - весьма проблематично. А такое маловероятно - мы ж не о промышленных масштабах ведём речь, а о личных паролях рядовых пользователей.
(пользователь любит устанавливать пиратские сборки сомнительного происхождения)
Это тогда уже не пользователь, а, пардон, долб**б. Адекватные люди ставят семёрку, а не Windows XP Black Edition какой-нибудь.
Мало того, не стоит принимать в рассчёт только Windows. Это не единственная ОС. Есть ещё Mac OS X, Debian, RedHat, Gentoo и куча других. И в большинстве из них вирусов как таковых нет, как понятия.

Grawl, давайте не будем спорить об ОС, пока сейчас лидирует XP, а в ней есть бреши, как и в 7, только в последней посвежее. Нормальный пользователь ставит систему в оффлайне, весь софт и антивирус с фаерволлом, затем настраивает это все и тогда уже подключает и настраивает интернет. Но если уж ты такой параноик, то "Граждане, храните пароли не в электронном виде. Если они конечно у вас есть." ©

Да, много, да, придется вводить. Но постепенно это дойдет до наибыстрейшего почти "автовведения" руками, что называется "руки запомнили".

Я - не параноик, ты что! Я люблю KeePass и LastPass просто потому, что пароли храняться в одном - ну ладно, двух - местах, помнить надо только один пароль, автоввод и удобный интерфейс.
лидирует XP
в аду я её видел.

Вдохновленный предыдущими топиками о составлении пароля решил поделиться своим методом выбора и применения парольной защиты. Данным методом пользуюсь уже год, в конечном итоге получается уникальный для каждого сервера и даже сервиса пароль, при этом все остается запоминаемым, а в случае необходимости легко восстанавливаемым. Сразу оговорюсь, что метод более всего подходит для персонального применения, либо для небольших организаций (порядка 5 серверов), обеспечивая достаточную защиту для всей системы вцелом, даже в случае утери/взлома одного пароля, в противном случае, думаю данная же система может являться своего рода угрозой, т.к. злоумышленник может вычислить остальные, неизвестные пароли. В случае крупной организации силы затраченные на смену паролей (в случае опасности) могут быть куда большие, нежели усилия потраченные на запоминание нескольких паролей. В любом случае данная система успешно применяется как минимум мной, и является куда более оптимальной нежели единственный пароль, либо куча постоянно забываемых паролей.

Итак, приступим. Для начала стоит выбрать базовый пароль например iMlh4P0Sde, само собой лучше учесть и изменение регистра, и чередование цифр с буквами, о размере и иных рекомендациях подробно упоминалось в предыдущих топиках. После того, как выбран и запомнен базовый пароль, ничего нового запоминать и помнить уже не требуется, далее в дело вступает система.
Рассмотрим два варианта: в первом случае у нас один единственный компьютер, что характерно для обычного домашнего ПК. В этом случае наиболее стандартный набор состоит из паролей на root, свою учетку, icq, email, jabber, что-то еще). Во-втором случае у нас небольшая организация, и несколько серверов, каждый со своим набором сервисов/серверов (со своими уникальными паролями). Но, на то он и метод, чтобы быть универсальным…

Суть заключается в следующем:

1) выбираем в пароле позицию, которая становится переменной, допустим четвертую в нашем примере (iMlh4P0Sde) там находится символ h

2) подставляем первый символ сервиса, от которого требуется запомнить пароль (icq, email, jabber), для примера email — e

3) выбираем сдвиг позиции в английском алфавите, причем лучше выбирать небольшое значение, которое за пару секунд можно подобрать в уме, например так же четыре, и выбираем сторону, в которую будем отсчитывать позицию (в начало/конец алфавита) для примера в сторону окончания алфавита, т.е. e+4, что в результате дает i. Делаем это в первую очередь для того, чтобы в случае взлома не было очевидным от какого именно сервиса получен пароль, так как первая буква названия сервиса затеряется в остальном случайном наборе символов.
В итоге получаем пароль для email — iMli4P0Sde, где та самая переменная h заменена на i

По-аналогии получаем пароли от остальных сервисов:

root — iMlv4P0Sde
icq — iMlm4P0Sde
jabber — iMln4P0Sde

В результате имеем уникальный пароль для каждого сервиса, при этом помним лишь единственный и универсальный базовый. По своему опыту скажу, что помнить достаточно любой один пароль от чего-либо, все остальное высчитывается за считанные секунды, Теперь, даже в случае, если у злоумышленника окажется наш пароль, его не будет достаточно чтобы получить доступ ко всему остальному! Это даст время для того, чтобы заметить активность с нашей учетной записью и логином, и изменить остальные пароли. В качестве примера можно вспомнить все те же хищения паролей с одноклассников и вконтакте, когда не смотря на автоматическую смену пароля администрацией данных ресурсов, новые пароли высылались на почту доступную все под теми же, уже сломаными паролями.
В случае если у нас несколько серверов например (почтовый, баз данных и мониторинга, s_mail, s_bd, s_mon) можно выбрать еще одну позицию из пароля, и, по-аналогии с первым случаем сделать ее переменной. Для примера возьмем восьмую позицию — символ S (наш пароль iMlh4P0Sde). В качестве символа напоминающем о соответствующем сервисе первый символ после s_, а в качестве смещения две позиции, теперь уже в сторону начала алфавита. Т.е. для s-mon подставляемый символ получается вида m-2, в результате имеем символ k. Сделаем наш символ верхним регистром, в соответствии с базовым паролем. В результате наши новые пароли на сервере s-mon примут вид: iMl*4P0Kde.

Далее, по-аналогии получаем пароли от остальных серверов и сервисов:

s_bd — iMl*4P0Zde
s_mon — iMl*4P0Kde

Сам пароль можно записать и запомнить как формулу: iMl(*+4)4P0(*-2)de, все… Думаю не стоит говорить, что все то же самое может применяться в интернете, где в качестве переменных будут выступать обозначения сайтов g -google, y-yandex, h-habrahabr и т.д.

Очередная простенькая методика с Хабрахабра, © (http://habrahabr.ru/blogs/infosecurity/80171/).

Можно накатать прогу с формулой для восстановления пароля для себя любимого, забиваешь пасс выбираешь сервис и еще может критерий и все, вроде красиво будет.

В таком случае — ты поможешь хакеру, возьмем случай доступа к файлам на компьютере. Лушче запомнить одну единственную формулу и «корень» пароля.

В таком случае — ты поможешь хакеру, возьмем случай доступа к файлам на компьютере. Лушче запомнить одну единственную формулу и «корень» пароля.
я вот сколько ни параноил, но лучше блокнота и ручки ничего более безопасного не придумал. правда кейлогер может подставить

я вот сколько ни параноил, но лучше блокнота и ручки ничего более безопасного не придумал. правда кейлогер может подставить

Поэтому — существуют экранные клавиатуры, на Антитчате даже своя.

Насколько я понимаю, вы тут зашли за грань разумного пользователя. Поэтому я, как разумный пользователь, удаляюсь из темы. Удачного общения ;)

У меня пароль в md5 из 45 символов)

еще вам раскажу как защищаться от кейлоггеров (от форм граберов так не защитишся но хотябы кейлогеры отсосут)
а то даже если сильный пароль прийдеться вводить в ненадежной среде (интернет кафе) - то его стойкость к бруту не поможет вам защититься от кейлога

допустим пароль Admin123qaz
вводить надо так
123 , мышкой поставить курсор на начало
Admin , мышкой поставить курсор на конец
qaz

таким образом кейлогер увидит 123Adminqaz

В таком случае легче использовать экранную клавиатуру. Даже на античате при входе в систему существует такая опция.

А еще, навеяно md5-хешом. Создать себе пароль — например mypassword, закодировать в md5, и эту md5 использовать как пароль, простой копипастой (ну не запомните вы сразу весь хеш, да и не надо).

Мне вот интересно, есть кто-нибудь у кого перехватчиком угоняли пароль, при условии, что был антивирь? По-моему перехватчики только для обмана неопытных пользователей.

Интересная статья, сам сижу с паролями ~13 символов