Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Наши пароли
Частный клуб Алекса Экслера > Тихий омут
Страницы: 1, 2, 3
OldGeo
2 мая 2016, 10:24

Chief написал: Пароль должен быть сложным, но запомнившимся для самого создателя.

Меня волнует только пароль для входа в интернет банк. Остальные пусть вскрывают. Ничего интересного не обнаружат. Но я совсем недавно столкнулся с другой проблемой. И не знаю как ее решить. Попробовал войти на свою почту в Яху из США. Они предположили, что это возможно попытка взлома и что-то (кажется код), что должно было позволить мне войти в свою почту, послали на альтернативный адрес на Яндексе. А туда я не смог зайти по той же причине. Круг замкнулся.
Нюська
2 мая 2016, 10:29
Я уже давно использую такой способ генерации уникальных паролей:
Для начала придумываем хороший пароль для основы - мин. 7 символов, не является словом (и в другой раскладке тоже), не содержит личных данных, не является паролем, например, на работе и т.д. Если нет цифр, пару букв можно заменить, типа o -0, i - 1, 2 - @ и т.д. как фантазия подскажет. Получаем пароль неплохой стойкости. Один такой запомнить несложно. Пароль для любого сайта получаем добавлением к этому паролю нескольких символов из адреса сайта. Для совсем ленивых, например, добавляем первые 3 символа в начало: для сюда - cluнашсекретныйпароль, на майл - maiнашсекретныйпароль и т.д. более параноистые могут заменять/вставлять символы по схеме, например, нашcсекlретuныйbпароль, нашсlекреiтныйaпароmль и т.д. Так все пароли запоминать не нужно, всегда можно "вспомнить" пароль просто глядя на строку адреса сайта.
aik
2 мая 2016, 10:29

Volleyball*Mom написала:
Не задумывались, что если вы вводите свой страшно секретный пароль, используя клавиатуру компьютера, то после этого уже совершенно неважно где была приклеена ваша бумажка. Если плохиши уже хозяйничают на вашем компьютере, то ровно в момент ввода ваш пароль и упрут. И вообще, факт нажатия на определенную клавишу можно фиксировать из соседней комнаты.

«плохиши» бывают разные. Те, что слушают клавиатуру, встречаются реже тех, что воруют файлы.
На счет же слушающих из соседней комнаты... Если против вас пущены средства такого калибра, то сложность паролей не спасёт. Вообще, от направленной атаки не так много способов спастись. Сложные Пароли, двухфакторная аутентификация больше нужны для того, чтобы вас не поломали роботом по словарю - потому что роботы все умнее, а словари всё толще... И задача пользователя, как правило, состоит в том, чтобы максимально простыми (читай - удобными для пользователя) средствами сделать так, чтобы автовзлом аккаунта был невыгоден.
Против адресной атаки уже другие средства нужны, которые, как правило, за гранью повседневного удобства.
Нюська
2 мая 2016, 10:31

aik написал: Юзерам своим я пароли pwgen'ом генерирую (а если тормозят, то и имена пользователя).
На счет запоминания - десяток-другой раз введешь пароль - и "руки помнят".

Записывать пароли безопасней на бумажке, приклеенной на мониторе - это если у вас рабочее место не проходной двор. Если проходной, то под клавиатурой.
Хакеры через интернет до туда не доберутся.

ээээ... это типа стеб такой?
aik
2 мая 2016, 10:32

OldGeo написал:
Попробовал войти на свою почту в Яху из США. Они предположили, что это возможно попытка взлома и что-то (кажется код), что должно было позволить мне войти в свою почту, послали на альтернативный адрес на Яндексе. А туда я не смог зайти по той же причине. Круг замкнулся.

Отправлять код восстановления/подтверждения туда, где вы его можете прочитать из любого места. Другая почта, сотовый телефон и т.п.
aik
2 мая 2016, 10:37

Нюська написала:
ээээ... это типа стеб такой?

Нет,я серьезно. Пароли, в основном, тырят вирусы и трояны. С бумажки на мониторе вирус ничего не украдет.
Только не надо понимать это буквально, вполне годится блокнот в ящике стола.
sonobr
2 мая 2016, 10:48

Нюська написала: ээээ... это типа стеб такой?

На всякий случай, стерла. biggrin.gif
OldGeo
2 мая 2016, 11:24

aik написал: Отправлять код восстановления/подтверждения туда, где вы его можете прочитать из любого места. Другая почта, сотовый телефон и т.п.

Логично. Только вопрос где найти такую e-почту. С mail.ru правда пока без заморочек, но надолго ли? А телефон не всегда приемлем по разным причинам.
Alex Lonewolf
2 мая 2016, 11:25

Mоlеstаrum написал: У меня на одном ресурсе, уже лет 8, пароль 1234567, пока никто не ломанул. biggrin.gif

Это не твоя заслуга, это их недоработка. Впрочем, если это ресурс exler.ru или там форум заводчиков сибирских хомячков, то кому из взломщиков он интересен?


Antistream написал: Главная проблема с паролями - то, что их должно быть много....
Приходится держать в компе и в облаке файл с паролями. Целесообразно его зашифровывать, держа в других местах ключи для расшифровки.

Не проще ли вместо криптованного файла в облаке иметь блокнотик, который будет валяться столе в куче таких же ничем не примечательных? При необходимости брать его с собой.
В таком случае данные могут уйти, лишь если кто-то влезет в твою квартиру / офис. И не тупо обокрасть, а именно за бумагами. (При такой серьезной охоте вообще мало что поможет.)
Genossin
2 мая 2016, 11:30

Alex Lonewolf написал:
Не проще ли вместо криптованного файла в облаке иметь блокнотик, который будет валяться столе в куче таких же ничем не примечательных? При необходимости брать его с собой.

У меня так и есть 3d.gif . Пароли - строчки из песен и т.п. на английском или немецком. Или какие-нибудь фразы, никак не связанные с жизнью, но связанные с тайными фантазиями. 3d.gif Блокнот с собой не ношу, 3-4 самых ходовых пароля и так помню, остальное бывает востребовано раз в три года. Время от времени пароли меняю.
Игги
2 мая 2016, 11:39
А вот такой расшифровать кто сможет:
Tlldotb74.
Но интернет-пароли -ерунда по сравнению с пин-кодами банковских карточек.
Smooth Pimp
2 мая 2016, 11:48

Игги написал:
Но интернет-пароли -ерунда по сравнению с пин-кодами банковских карточек.

Там по-другому никак. Разве что биометрией подтверждать. Но это же капец для части сильно переживающих - злоумышленники теперь охотятся не за бумажками, а их глазами и пальцами.
Mareesha
2 мая 2016, 11:55

Smooth Pimp написал: Но это же капец для части сильно переживающих - злоумышленники теперь охотятся не за бумажками, а их глазами и пальцами.

Как страшно жить smile.gif .
Alex Lonewolf
2 мая 2016, 11:57

Игги написал:
Но интернет-пароли -ерунда по сравнению с пин-кодами банковских карточек.

А что карточек так много?

Ну можно использовать мнемонические приёмы. 4-5 цифр не такая уж проблема. Блокнотик опять же.

Если банк допускает установку пин-кода самим держателем карты, то все еще проще.
ESN
2 мая 2016, 12:11

Smooth Pimp написал:
Там по-другому никак. Разве что биометрией подтверждать..

Можно еще подтверждать одноразовым кодом, приходящим на телефон.
PPSник
2 мая 2016, 12:11

Игги написал: А вот такой расшифровать кто сможет:

Давно уже, читал о том, как в одной фирме группе сотрудников дали задание подобрать пароль из килобайтной последовательности (1024) нулей и единиц. Сроку им дали год и определили бюджет в 2 млн. $. На поиск решения и реализацию задачи ушло 6 месяцев.
Как говорится, "была бы охота ... "
Пиц Зю Цуй
2 мая 2016, 12:18
В любой области знания почти наверняка есть сложные, но легко запоминающиеся специфические слова, которых до кучи нет в общих базах данных потому, что они специфические. Асдрубаэль Вэкт, Фистандантилус, Сталинваст и так далее. Легко запоминаются, потому что ты в теме и при этом с трудом находятся брутом.
Elvirita
2 мая 2016, 12:22
Мне банк всегда дает легкозапоминающийся пин-код для банкомата, типа 77272. Уже сносила несколько карточеу, и всегда было что-то в этом роде.
Удобно.
Mоlеstаrum
2 мая 2016, 12:25

aik написал:
С бумажки на мониторе вирус ничего не украдет.

Зато легко украдёт при вводе пароля. biggrin.gif
aik
2 мая 2016, 12:38

OldGeo написал:
Логично. Только вопрос где найти такую e-почту. С mail.ru правда пока без заморочек, но надолго ли? А телефон не всегда приемлем по разным причинам.

Свою завести, например.
Ну и вот чтобы в поездке мне понадобилась почта, но не было телефона... Разве что если его украли.
Alex Lonewolf
2 мая 2016, 12:39

Mоlеstаrum написал:
Зато легко украдёт при вводе пароля. biggrin.gif

Хороший и регулярно обновляемый антивирус решает эту проблему.

Кроме того, большая часть кейлогеров залазят на комп не через дыры сетевых червей. А когда пользователь тупо кликает по файлу с расширением exe, который сам же и скачал, осознавая или нет, что он исполняемый.
Antistream
2 мая 2016, 12:41

ГРЕЙС написала: Не знаю. У меня вообще один пароль на всё. Ну, с небольшими вариациями. У меня память отвратительная, так что вот так, да
Взломали один почтовый ящик на mail, теперь у меня там нет ящика, ну счастья им, чо. Довольны наверное, как слоны.

Была у меня давно история. На Яндексе у меня несколько почтовых ящиков со схожими логинами. И вот как то давно один из этих логинов долго не использовал. В результате меня выкинули и этот логин заняла какая то неизвестная мне девица. Когда попытался - чужой оказался. Каким то образом сумел я подобрать пароль за несколько попыток, хоть он и не был очевидным и совсем простым. Озарила вдруг интуиция на совершенно незнакомого человека, такое вот 6-е чувство. По скудной информации сумел правильно предположить. У нее это тоже был не основной ящик - проснулась она через месяц или два (каким то способом, не помню уж, это проявилось), но мой пароль, естественно, подобрать не смогла. После чего, теперь гордо владею этим ящиком и постоянно использую. Жаль тогда себе по свежей памяти не задокументировал этот случай - сейчас уж и не помню, что был за пароль и как она проявилась.

Больше в жизни и не пытался пароли подбирать. Хотя очень полезно было бы уметь интуичить пароли к закрытым вай-фаям.
aik
2 мая 2016, 12:42

Mоlеstаrum написал:
Зато легко украдёт при вводе пароля. biggrin.gif

Так я же сказал - от вируса зависит. Кейлоггеры реже встречаются, чем те, которые файлы крадут. Конечно, если вы вирус запустили с админскими правами - то тут да, он все унести сможет.
Но uac все же работает и многое вирусам сделать не дает.
Mоlеstаrum
2 мая 2016, 12:44

Alex Lonewolf написал:
Хороший и регулярно обновляемый антивирус решает эту проблему.

Даже лучше приклеенной бумажки??? redface.gif
Нефеш
2 мая 2016, 12:49

Chief написал: DXtietRfr:fhUjhz33<jufnshz

Осподи, ну это же полный примитив....или я не поняла задумки, потому что не верю, что ты такое можешь предлагать, даже мне хватило 3 сек, чтобы понять в чем дело, а в это вообще не разбираюсь
"В чешуе как и тд.....
Нефеш
2 мая 2016, 12:51
Я думаю, что закладывать в пароль логику это последнее дело. Потому что то, что "придумано одним человеком, может быть разгадано другим". Лучше случайные набор. Запоминать трудно, да.
Mоlеstаrum
2 мая 2016, 12:53

aik написал:
Кейлоггеры реже встречаются, чем те, которые файлы крадут. Конечно, если вы вирус запустили с админскими правами - то тут да, он все унести сможет.

Ты же понимаешь, что в основном интересуют не пароли конкретного юзера, а пароли на конкретный ресурс, поэтому больше вероятность, что его утянут через дырку в ресурсе, и от юзера тут мало что зависит.
Alex Lonewolf
2 мая 2016, 12:53

Mоlеstаrum написал:
Даже лучше приклеенной бумажки??? redface.gif

Бумажка на мониторе вообще не решает проблемы безопасности, а в некоторых случаях даже усугубляет. Но, если к монитору пользователя никогда не подходят посторонние, то, в принципе, это нормальный способ "запоминания".

В любом случае это лучше, чем пароль в духе "123456", мотивируемый тем, что "захотят все равно украдут".
Нефеш
2 мая 2016, 12:54

ГРЕЙС написала: Если только это не строчка из "Войны и мира" на французском языке.

И даже если так.
Есть логика в пароле, его можно разгадать, найти, узнать, понять и пр.
Antistream
2 мая 2016, 12:57

Нюська написала: Я уже давно использую такой способ генерации уникальных паролей:
Для начала придумываем хороший пароль для основы - мин. 7 символов, не является словом (и в другой раскладке тоже), не содержит личных данных, не является паролем, например, на работе и т.д. Если нет цифр, пару букв можно заменить, типа o -0, i - 1, 2 - @ и т.д. как фантазия подскажет. Получаем пароль неплохой стойкости. Один такой запомнить несложно. Пароль для любого сайта получаем добавлением к этому паролю нескольких символов из адреса сайта. Для совсем ленивых, например, добавляем первые 3 символа в начало: для сюда - cluнашсекретныйпароль, на майл - maiнашсекретныйпароль и т.д. более параноистые могут заменять/вставлять символы по схеме, например, нашcсекlретuныйbпароль, нашсlекреiтныйaпароmль и т.д. Так все пароли запоминать не нужно, всегда можно "вспомнить" пароль просто глядя на строку адреса сайта.

Неплохой метод. Но все равно забываешь, если часто не пользовать. Поэтому приходится держать в файле. Но в файле не точный пароль, а намек на пароль, позволяющий извлечь из собственной памяти, каким именно паролем залочил.
Например, вместо "нашсекретныйпароль" - нсп, а вместо "cсекlретuныйbпароль" - "нсп с первой через 3".
...
Хотя, повторюсь, это до первого серьезного профессионала, сумевшего заразить комп своими кейлогером и скренсейвером. Быть неуловимым джо эффективнее. Кому нужны 100 баксов (любая кража - риск для вора. Рисковать по мелочи умный не станет, а глупому такие кражи не под силу), хранящихся на счету или малозначимые заметки на форуме? Неудобно, конечно, для крупных покупок и серьезных мыслей, но и про безопасность приходится помнить.
Drons
2 мая 2016, 12:57

duk написал:
Эта "хитрость" была хитростью в начале, лет так 20 назад. Ломается так же как и остальные.
Взломщики прекрасно и давно знают прием набора русских слов с включенной английской раскладкой.

Именно поэтому я использую русскую транскрипцию английских фраз, введеную в английской раскладке smile.gif
Antistream
2 мая 2016, 12:59

aik написал:
Нет,я серьезно. Пароли, в основном, тырят вирусы и трояны. С бумажки на мониторе вирус ничего не украдет.
Только не надо понимать это буквально, вполне годится блокнот в ящике стола.

Ну да. Блокнот потерялся, или пожар случился, и кранты.
Mоlеstаrum
2 мая 2016, 13:03

Alex Lonewolf написал:
В любом случае это лучше, чем пароль в духе "123456", мотивируемый тем, что "захотят все равно украдут".

Нет, мотивируемый тем, что мой аккаут обсалютно бесполезен, для кого-либо кроме меня. Вообще, мой опыт, говорит о том, что люди гораздо чаще забывают свою пароли, чем их кто-то взламывает.
Alex Lonewolf
2 мая 2016, 13:05

Antistream написал:
Ну да. Блокнот потерялся, или пожар случился, и кранты.

И давно у тебя случался последний пожар уничтоживший ПК и все что рядом?

В случае серьезного пожара, потеря доступа к exler.ru будет в конце списка вопросов волнующих тебя. Кроме того, уничтожение информации это не кража. В конце концов все действительно важные ресурсы восстановят тебе доступ по предъявлению паспорта.

Но, если это так уж принципиально держи блокнот в несгораемом шкафу.
Antistream
2 мая 2016, 13:07

Alex Lonewolf написал:
Не проще ли вместо криптованного файла в облаке иметь блокнотик, который будет валяться столе в куче таких же ничем не примечательных? При необходимости брать его с собой.
В таком случае данные могут уйти, лишь если кто-то влезет в твою квартиру / офис. И не тупо обокрасть, а именно за бумагами. (При такой серьезной охоте вообще мало что поможет.)

Это известная проблема. Рано или поздно происходит случай, что ты почему то теряешь этот блокнотик, или по иной причине не имеешь к нему доступа, и долго кусаешь локти, что не озаботился множественными копиями в разных местах. Это не только к паролям относится - к любой важной информации, которую необходимо помнить, но невозможно всю держать в памяти. Кто из докомпьютерной эры не терял записную книжку с телефонами ?! Держать инфу в файле, который можно мгновенно скопировать и распечатать намного удобнее. Вот и приходится придумывать, как зашифровать то, что не для чужих глаз... Но и тут засада. Владелец может погибнуть, а наследники, друзья, коллеги, партнеры, продолжатели начатого потом ломают голову. Сколько увлекательных фильмов, романов основаны на сюжете такой вот мучительной расшифровки?! В реальной жизни это отнюдь не столь увлекательно, а скорее печально бывает.
Мармарина
2 мая 2016, 13:07
Я из тех людей, кто пин-код пишут на карте. На самом деле, чуть сложнее - замаскировала пин-коды под телефонные номера и внесла в телефон. Теперь главное - не остаться без сумки, где и телефон, и кошелек.
Alex Lonewolf
2 мая 2016, 13:16

Antistream написал:
Это известная проблема.

Да абсолютно известная проблема "надежность vs безопасность vs удобство". И решает каждый сам исходя из оценки тех или иных рисков. Любое взвешенное решение будет достаточно хорошим.
Antistream
2 мая 2016, 13:17

ESN написал:
Можно еще подтверждать одноразовым кодом, приходящим на телефон.

Телефон можно выкрасть. Симкарту подделать или иным способом смску перехватить.
Fokker
2 мая 2016, 13:17
Лучший пароль - полностью случайный набор букв, цифр и символов. Это очевидно.

Ну, и его еще хорошо бы запомнить наизусть.
Antistream
2 мая 2016, 13:25

Нефеш написала: Я думаю, что закладывать в пароль логику это последнее дело. Потому что то, что "придумано одним человеком, может быть разгадано другим". Лучше случайные набор. Запоминать трудно, да.

Любому случайному набору можно придумать какое то закономерное преобразование, переводящее его в какой то неслучайный набор. Скорее себя перемудришь и обманешь, чем надежно защитишься.
Игги
2 мая 2016, 13:28

Antistream написал:
В результате меня выкинули и этот логин заняла какая то неизвестная мне девица.

А в чём мог быть её "профит" при использовании чужого адреса?
Antistream
2 мая 2016, 13:31

Alex Lonewolf написал:
И давно у тебя случался последний пожар уничтоживший ПК и все что рядом?

В случае серьезного пожара, потеря доступа к exler.ru будет в конце списка вопросов волнующих тебя. Кроме того, уничтожение информации это не кража. В конце концов все действительно важные ресурсы восстановят тебе доступ по предъявлению паспорта.

Но, если это так уж принципиально держи блокнот в несгораемом шкафу.

Пожар случался один раз. И самое ценное в нем пропавшее как раз и была информация.
Ну а терять, и в особенности забывать блокноты приходилось. С тех пор взял за правило размножать и многократно распечатывать. Так что в каждом кармане, на каждом часто посещаемом месте есть копия. В моих мнемокодах все равно посторонним трудно разобраться. А когда этих мнемокодов более 10 килобайт - в особенности. Где там пароль, а где чей то день рождения или телефон - пойди-разбери без длительной и серьезной работы!
Antistream
2 мая 2016, 13:33

Мармарина написала: Я из тех людей, кто пин-код пишут на карте. На самом деле, чуть сложнее - замаскировала пин-коды под телефонные номера и внесла в телефон. Теперь главное - не остаться без сумки, где и телефон, и кошелек.

Я тоже так делаю, только маскирую под другую инфу, которой в жизни хватает. Тут главная проблема - постепенно надписи с карточки стираются.
Alex Lonewolf
2 мая 2016, 13:36

Игги написал:
А в чём мог быть её "профит" при использовании чужого адреса?

Захотелось иметь "красивый" адрес и получилось "залюбить" мозг поддержке Яндекса.

Вообще зарегистрироваться на действительно популярных ресурсах проблематично. 99% осмысленных имен (никнеймов) которые ты можешь как-то ассоциировать с собой уже занято. Приходится извращаться и портить красивое имя пользователя == логин.

Проблемы нет на ресурсах, где логин не равен никнейму пользователя, и нигде не отображается. Но, почтовые службы очевидно к таковым не относятся.
Antistream
2 мая 2016, 13:36

Игги написал:
А в чём мог быть её "профит" при использовании чужого адреса?

Когда она его создавала, он был ничейным, т.к. меня из-за неиспользования удалили. Я по отношению к ней нехорошо поступил, конечно. Впрочем, меня извиняет то, что она этот логин тоже не использовала. Подобрав пароль я имел возможность посмотреть архив использования, который состоял из приветственного письма провайдера, да какой то ничего не значащей записки.
Игги
2 мая 2016, 13:37

Нефеш написала: Я думаю, что закладывать в пароль логику это последнее дело. Потому что то, что "придумано одним человеком, может быть разгадано другим". Лучше случайные набор. Запоминать трудно, да.

Не абсолютно. Могут существовать осмысленные для владельца, но совершенно случайные для постороннего пароли. Например, долгое время я использовал пароль из шести цифр (с добавлением букв). Каждая тройка из шести соответствовала номерам московских автобусов, на которых (по выбору, какой первым подойдёт) я ездил со съёмного жилья в институт. Ну, а буквы тоже имели смысл, связанный с личным событием.
Drons
2 мая 2016, 13:38

Antistream написал:
Я тоже так делаю, только маскирую под другую инфу, которой в жизни хватает. Тут главная проблема - постепенно надписи с карточки стираются.

Я еще шифрую номер. Прибавляя к каждой цифре еще одну базовую.
Alex Lonewolf
2 мая 2016, 13:39
Лично я не сталкивался с тем, чтобы Яндекс удалял ящики, которые я не использую. Хотя возможно дело в том, что туда все же приходят периодически письма с тех ресурсов, ради регистрации на которых эти ящики заводились.
Drons
2 мая 2016, 13:39

Игги написал:
Не абсолютно. Могут существовать осмысленные для владельца, но совершенно случайные для постороннего пароли. Например, долгое время я использовал пароль из шести цифр (с добавлением букв). Каждая тройка из шести соответствовала номерам московских автобусов, на которых (по выбору, какой первым подойдёт) я ездил со съёмного жилья в институт. Ну, а буквы тоже имели смысл, связанный с личным событием.

Ну, то есть информацию, чисто теоретически, можно восстановить, зная про этло событие. Только нафик никому не нужно. Мне нравится, что большинсство сервисов ввели поддержку подтверждения входа по СМС и сообщают о входе с незнакомых устройств.
Alex Lonewolf
2 мая 2016, 13:43

Drons написал:
Ну, то есть информацию, чисто теоретически, можно восстановить, зная про этло событие. Только нафик никому не нужно. Мне нравится, что большинсство сервисов ввели поддержку подтверждения входа по СМС и сообщают о входе с незнакомых устройств.

Когда на телефон завязано слишком много лишнего тоже возможны проблемы:
http://club443.ru/index.php?showtopic=194659
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»