Вещи, о которых мало кто имеет верное представление

Seminarist
Виталий Е. Ермолин, студент холодных вод seminarist
Previous Entry Next Entry
The Guy Who Made Us All Write Complicated Passwords Says They're U$E1ess Now
The Guy Who Made Us All Write Complicated Passwords Says They're U$E1ess Now

We're probably all familiar with the advice about what makes a strong password, but the man who first suggested combining numbers and letters and adding special characters to our passwords now thinks a lot of his original advice was misguided.

Posted by Vitaly Ermolin on 14 Aug 2017, 03:55


Наконец-то кто-то из специалистов об этом написал. Только во многих местах паролем типа "giraffeseatingcarrotsinbed" воспользоваться не получится, потому что система будет требовать добавить к нему заглавные буквы, цифры и специальные знаки. И на особо бдительных сайтах всё равно надо будет раз в месяц придумывать новую фразу. Идея же пользования программами, хранящими пароли, вызывает у меня двойственные чувства, как несколько десятков яиц, сложенных в одну корзину...

1. Длинные пароли с цифрами, разным регистром и спецсимволами появились задолго до 2003 года, винда их хотела начиная, кажется, с первой NT 3.1, юниксы раньше.

2. Как раз примерно в начале 2000-х появилась техника "невшуткузанемогонуваж" -- длинные пароли на основе обрывков заученных наизусть фраз. Они слабые в случае "когданевшуткузанемог", сильнее в "могонуважатьсебязаста", и совсем сильные в комбинации -- "уЧшевы5думатьнЕмоге$гопРи".

3. Но и она не решает проблему многих десятков паролей. Ее решают пассворд-менеджеры, запись на бумажке, запоминание паролей в браузерах -- для мусорных паролей, которых из этих десятков подавляющее большинство -- всякие регистрации на форумах, магазинах, юберах и т.п.

4. Важные пароли (аккаунт системы, главный почтовый (провайдерский или платный, к которому привязываются важные регистрации, и который не используется для обычной переписки), банковские, ВПН и т.п. должны быть выполнены по 1 или 2 системе. Их должно быть меньше десятка.

5. Менее важные (соцсети и форумы, где бываешь постоянно, платные подписки, спам-почта) можно строить на основе одного сильного с модификацией одной-двух букв. "ФмогонуважатьсебязастаБ", "ЛмогонуважатьсебязастаЖ" и т.д. Вскрытие самого пароля обычно практически невозможно, вскрывают и воруют хеши, а они для этих двух паролей будут отличаться очень сильно. Некоторая вероятность того, что какие-нибудь дебилы будут хранить пароли в исходном виде, не в хеше, есть, так что для мелких сайтов это не годится. Но мелкие сайты, как правило, и не важны.

6. Для мелких сайтов, магазинов, подписок на газеты и т.п. -- еще один корневой пароль, модифицировать можно грубее -- невшуткузанемогонуважВСЖ, невшуткузанемогонуважАМАЗон и т.д7 (ну, может, амазон и стоит 5 категории, это я так, для примера). Можно также записывать их на бумажке, в файле (файл лучше сделать шифрованным, хранить в личной директории, под дурацким названием, похороненным где-нибудь в сохраненной веб-странице, например. Но не обязательно). Можно сохранять их в менеджерах паролей и браузерах. Они никому особо не нужны.

Edited at 2017-08-14 10:01 am (UTC)

Я, честно говоря, начал пользоваться фразой в качестве пароля с тех пор, как увидел эту тему xkcd

Потому, что эта идея имела полный смысл...

Edited at 2017-08-15 11:12 pm (UTC)

?

Log in

No account? Create an account