c0n Difesa, чтобы эту брешь использовать, нужно заразить машину. А как её заразить, если там антивирус стоит? Новый вирус писать? Слишком затратно - ведь современные антивирусы узнают заразу не только по коду, но по поведению, каким-то тонким особенностям и т.д.
оlbaneс и сколько их у тебя?

более того, при установке ОСи - сетевой шнур выдернут,
вай-фай ЮСБ- донгл тоже.

поведал раз, как во время установки ОСи,
стучали непрошенные гости с IP "NATO forces", из Австрии.

но!
Агнитум уже устанавливался,
и забил тревогу - "Командир! атака!"
да, б/\я, атака! почему, не ясно до сих пор..

Если не брать в расчет финансовую сторону дела, то специально для Вас может быть написан вирус, обладающий нужным функционалом и проходящий сквозь алгоритмы эвристического анализатора и проактивной защиты, как нож сквозь масло. За примерами далеко ходить не надо: всем известный вирус Kido (a.k.a. Confiker) поставил «в позу» большинство антивирей в пик своей активности. Согласен, что писать/криптовать малварь с целью получить десяток-другой паролей от «сомнительных» ресурсов рядового пользователя - занятие глупое, но давайте не будем забывать, что антивирус ставится после установки ОС, а за этот промежуток времени вредоносное ПО может попасть без особых трудностей (пользователь любит устанавливать пиратские сборки сомнительного происхождения) и играть Вашим антивирусом, как куклой в процессе его эксплуатации.

Если комп не атакуют профи. Реальные профи, такие, которым за это деньги платят - ведь отследить IP системы во время установки, и подключиться к ней до того, как она подключилась к сети - весьма проблематично. А такое маловероятно - мы ж не о промышленных масштабах ведём речь, а о личных паролях рядовых пользователей.
Это тогда уже не пользователь, а, пардон, долб**б. Адекватные люди ставят семёрку, а не Windows XP Black Edition какой-нибудь.
Мало того, не стоит принимать в рассчёт только Windows. Это не единственная ОС. Есть ещё Mac OS X, Debian, RedHat, Gentoo и куча других. И в большинстве из них вирусов как таковых нет, как понятия.

Grawl, давайте не будем спорить об ОС, пока сейчас лидирует XP, а в ней есть бреши, как и в 7, только в последней посвежее. Нормальный пользователь ставит систему в оффлайне, весь софт и антивирус с фаерволлом, затем настраивает это все и тогда уже подключает и настраивает интернет. Но если уж ты такой параноик, то "Граждане, храните пароли не в электронном виде. Если они конечно у вас есть." ©

Да, много, да, придется вводить. Но постепенно это дойдет до наибыстрейшего почти "автовведения" руками, что называется "руки запомнили".

Я - не параноик, ты что! Я люблю KeePass и LastPass просто потому, что пароли храняться в одном - ну ладно, двух - местах, помнить надо только один пароль, автоввод и удобный интерфейс.
в аду я её видел.

Вдохновленный предыдущими топиками о составлении пароля решил поделиться своим методом выбора и применения парольной защиты. Данным методом пользуюсь уже год, в конечном итоге получается уникальный для каждого сервера и даже сервиса пароль, при этом все остается запоминаемым, а в случае необходимости легко восстанавливаемым. Сразу оговорюсь, что метод более всего подходит для персонального применения, либо для небольших организаций (порядка 5 серверов), обеспечивая достаточную защиту для всей системы вцелом, даже в случае утери/взлома одного пароля, в противном случае, думаю данная же система может являться своего рода угрозой, т.к. злоумышленник может вычислить остальные, неизвестные пароли. В случае крупной организации силы затраченные на смену паролей (в случае опасности) могут быть куда большие, нежели усилия потраченные на запоминание нескольких паролей. В любом случае данная система успешно применяется как минимум мной, и является куда более оптимальной нежели единственный пароль, либо куча постоянно забываемых паролей.

Итак, приступим. Для начала стоит выбрать базовый пароль например iMlh4P0Sde, само собой лучше учесть и изменение регистра, и чередование цифр с буквами, о размере и иных рекомендациях подробно упоминалось в предыдущих топиках. После того, как выбран и запомнен базовый пароль, ничего нового запоминать и помнить уже не требуется, далее в дело вступает система.
Рассмотрим два варианта: в первом случае у нас один единственный компьютер, что характерно для обычного домашнего ПК. В этом случае наиболее стандартный набор состоит из паролей на root, свою учетку, icq, email, jabber, что-то еще). Во-втором случае у нас небольшая организация, и несколько серверов, каждый со своим набором сервисов/серверов (со своими уникальными паролями). Но, на то он и метод, чтобы быть универсальным…

Суть заключается в следующем:

1) выбираем в пароле позицию, которая становится переменной, допустим четвертую в нашем примере (iMlh4P0Sde) там находится символ h

2) подставляем первый символ сервиса, от которого требуется запомнить пароль (icq, email, jabber), для примера email — e

3) выбираем сдвиг позиции в английском алфавите, причем лучше выбирать небольшое значение, которое за пару секунд можно подобрать в уме, например так же четыре, и выбираем сторону, в которую будем отсчитывать позицию (в начало/конец алфавита) для примера в сторону окончания алфавита, т.е. e+4, что в результате дает i. Делаем это в первую очередь для того, чтобы в случае взлома не было очевидным от какого именно сервиса получен пароль, так как первая буква названия сервиса затеряется в остальном случайном наборе символов.
В итоге получаем пароль для email — iMli4P0Sde, где та самая переменная h заменена на i

По-аналогии получаем пароли от остальных сервисов:

root — iMlv4P0Sde
icq — iMlm4P0Sde
jabber — iMln4P0Sde

В результате имеем уникальный пароль для каждого сервиса, при этом помним лишь единственный и универсальный базовый. По своему опыту скажу, что помнить достаточно любой один пароль от чего-либо, все остальное высчитывается за считанные секунды, Теперь, даже в случае, если у злоумышленника окажется наш пароль, его не будет достаточно чтобы получить доступ ко всему остальному! Это даст время для того, чтобы заметить активность с нашей учетной записью и логином, и изменить остальные пароли. В качестве примера можно вспомнить все те же хищения паролей с одноклассников и вконтакте, когда не смотря на автоматическую смену пароля администрацией данных ресурсов, новые пароли высылались на почту доступную все под теми же, уже сломаными паролями.
В случае если у нас несколько серверов например (почтовый, баз данных и мониторинга, s_mail, s_bd, s_mon) можно выбрать еще одну позицию из пароля, и, по-аналогии с первым случаем сделать ее переменной. Для примера возьмем восьмую позицию — символ S (наш пароль iMlh4P0Sde). В качестве символа напоминающем о соответствующем сервисе первый символ после s_, а в качестве смещения две позиции, теперь уже в сторону начала алфавита. Т.е. для s-mon подставляемый символ получается вида m-2, в результате имеем символ k. Сделаем наш символ верхним регистром, в соответствии с базовым паролем. В результате наши новые пароли на сервере s-mon примут вид: iMl*4P0Kde.

Далее, по-аналогии получаем пароли от остальных серверов и сервисов:

s_bd — iMl*4P0Zde
s_mon — iMl*4P0Kde

Сам пароль можно записать и запомнить как формулу: iMl(*+4)4P0(*-2)de, все… Думаю не стоит говорить, что все то же самое может применяться в интернете, где в качестве переменных будут выступать обозначения сайтов g -google, y-yandex, h-habrahabr и т.д.

Очередная простенькая методика с Хабрахабра, ©.

Можно накатать прогу с формулой для восстановления пароля для себя любимого, забиваешь пасс выбираешь сервис и еще может критерий и все, вроде красиво будет.

В таком случае — ты поможешь хакеру, возьмем случай доступа к файлам на компьютере. Лушче запомнить одну единственную формулу и «корень» пароля.