пришла такая идея. у нас часто есть мастер пароли от keepass и других подобных штук. мы их должны помнить, они всегда в голове и нигде больше. думаю, их длина около 10 символов, ведь больше уже и сложно запомнить и долго набирать.
а что если: вместо того, чтобы запоминать эти мастер пароль(и), можно взять абзац из какой-нибудь вашей любимой книги и вычислить у него хэш? вот и пароль готов. они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея?
Здравствуйте, Капа Парло, Вы писали: КП>а что если: вместо того, чтобы запоминать эти мастер пароль(и), можно взять абзац из какой-нибудь вашей любимой книги и вычислить у него хэш? вот и пароль готов. они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея?
меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого хэша абзаца. энтропия-то реальная у всего этого низкая.
как только появится класс людей, делающих подобным образом, сразу кто-то просто посчитает хэши всех абзацей всег книг и будет по ним брутфорсить тоже. их немного, этих книг.
Здравствуйте, __kot2, Вы писали:
__>Здравствуйте, Капа Парло, Вы писали: КП>>а что если: вместо того, чтобы запоминать эти мастер пароль(и), можно взять абзац из какой-нибудь вашей любимой книги и вычислить у него хэш? вот и пароль готов. они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея? __>меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого хэша абзаца. энтропия-то реальная у всего этого низкая. __>как только появится класс людей, делающих подобным образом, сразу кто-то просто посчитает хэши всех абзацей всег книг и будет по ним брутфорсить тоже. их немного, этих книг.
всех книг в мире? и фильмов и песен? и цитат знаменитый людей? и "как любил говорить мой сосед дядя Вася...."? и без знания какой алгоритм хэша использовать? слабо верится.
Здравствуйте, Капа Парло, Вы писали:
КП> а что если: вместо того, чтобы запоминать эти мастер пароль(и), можно взять абзац из какой-нибудь КП> вашей любимой книги и вычислить у него хэш? вот и пароль готов.
старо как мир. даже у лукьяненко этот способ используется. без хэша, правда. не, ну в принципе всегда есть иннет и можно вбить текст и получить хэщ, но нужно ли? стойкость хэша даже меньше стойкости фразы данной длины (если в хэше только цифры и a-f). но с фразами есть проблемы, т.к. не всегда можно вводить кирилицу. и не у всех есть клавиатура с русско-латинскими символами.
> они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея?
проблемы:
1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься;
2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать;
3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий;
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, Капа Парло, Вы писали:
М>старо как мир. даже у лукьяненко этот способ используется. без хэша, правда. не, ну в принципе всегда есть иннет и можно вбить текст и получить хэщ, но нужно ли? стойкость хэша даже меньше стойкости фразы данной длины (если в хэше только цифры и a-f). но с фразами есть проблемы, т.к. не всегда можно вводить кирилицу. и не у всех есть клавиатура с русско-латинскими символами.
можно добавить соль.
можно взять иностранную книгу.
можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка? кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее.
>> они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея? М>проблемы: М>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься;
меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ.
М>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать;
я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное.
моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль.
М>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий;
его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей? если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности.
Здравствуйте, Капа Парло, Вы писали:
КП>Здравствуйте, мыщъх, Вы писали:
М>>Здравствуйте, Капа Парло, Вы писали:
КП>можно добавить соль.
смысл соли чтобы если злоумышленник знает хэш, то нельзя было на основе идентичности хэшей разных юзеров установить идентичность их паролей. если злоумышленник не знает хэш, то зачем соль?
КП>можно взять иностранную книгу.
где? вы хотите сказать, что хотя бы на этом форуме айтишники, знающие английский, способны воспроизвести абзац иностранной книги по памяти? потому что если нет, то легче запомнить пароль...
КП> можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка?
даже если взять русскую книгу, то при транлитерации возникают неоднозначности. хинт: у нас в семье одна фамилия, а в паспортах у отца и меня она разная. потому что там можно и так, и сяк. даже в паспортном столе.
> кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее.
не со всей клавиатуры. не все знают японские символы. это создает множество неудобств.
М>>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься; КП>меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ.
разумеется, _что-то_ нужно запоминать. запоминать прозу от которой еще считать хэш (как его считать? если в он-лайне, то злоумышленнику легко перехватить. если утилитой типа md5sum, то это тоже просто перехватить). нормальный-то хранитель паролей пытается защититься от перехвата вводимого мастер-пароля и делает это относительно успешно.
М>>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать; КП>я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное.
а вы и не заподозрите. достаточно начать обсуждать "что путного почитать", ну и у многих уже в социалках эта инфа указана. у многих еще цитаты любимые. ну вот куча народа знает, что мне нравится "дюна", т.к. я цитаты оттуда использовал нещадно.
КП> моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль.
можно еще тараса бульбу для брутфорса использовать. помню в школе учить заставляли наизусть. как вы хэш считаете? хакер получит доступ практически сразу же как только заразит ваш комп. одно из предназначений разных хранителей паролей -- спасти пароли даже если у вас уже спайварь стоит. но они их не спасут если вы так подставляетсь. чем сильно ослабляете стойкость.
М>>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий; КП>его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей?
запомнию. это не так сложно. тут уже обсуждалось, что нормальный человек способен запомнить даже сложный и длинный пароль, который часто меняется. а если забыл, то пароль можно сбросить. если пароль сбросить нельзя, то там записать на бумажке и отнести в банковскую ячейку.
> если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности.
пароли разные. чтобы их запомнить сущестуют различные мнемонические правила. например, в школе мы учили звездную классификацию O, B, A, F, G, K and M. сколько секунд вам потребуется чтобы запомнить? спорим, что вы (именно вы) справитесь секунд за 10 — 20. от силы 30. по любому меньше минуты. сколько лет прошло, а я вот до сих пор помню, хотя буквы радномные по сути.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
КП>>можно добавить соль. М>смысл соли чтобы если злоумышленник знает хэш, то нельзя было на основе идентичности хэшей разных юзеров установить идентичность их паролей. если злоумышленник не знает хэш, то зачем соль?
ну, можно и не добавлять. но, если добавить хуже не станет ведь?
КП>>можно взять иностранную книгу. М>где? вы хотите сказать, что хотя бы на этом форуме айтишники, знающие английский, способны воспроизвести абзац иностранной книги по памяти? потому что если нет, то легче запомнить пароль...
зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора.
где взять? да, надо будет взять из интернета, когда нужно будет его восстановить. но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена. или просто напечатать на клаве. это тоже самое, что и скопировать сам пароль в буфер обмена, вернее, пароль скопировать в буфер обмена более опасно, чем кусок текста, от которого вы потом посчитаете хэш.
но. вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим.
КП>> можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка? М>даже если взять русскую книгу, то при транлитерации возникают неоднозначности. хинт: у нас в семье одна фамилия, а в паспортах у отца и меня она разная. потому что там можно и так, и сяк. даже в паспортном столе.
не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн.
>> кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее. М>не со всей клавиатуры. не все знают японские символы. это создает множество неудобств.
кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский.
в чем проблема подключить китайскую клаву в ОС?
М>>>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься; КП>>меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ. М>разумеется, _что-то_ нужно запоминать. запоминать прозу от которой еще считать хэш (как его считать? если в он-лайне, то злоумышленнику легко перехватить. если утилитой типа md5sum, то это тоже просто перехватить).
в оффлайне на компе. в терминале или скрипт на питоне.
М>>>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать; КП>>я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное. М>а вы и не заподозрите. достаточно начать обсуждать "что путного почитать", ну и у многих уже в социалках эта инфа указана. у многих еще цитаты любимые. ну вот куча народа знает, что мне нравится "дюна", т.к. я цитаты оттуда использовал нещадно.
в сети есть пинкоды от всех кредитных карт мира. ну и что?
не выдавайте инфу о вашей книге из которой вы считали хэш. а ифу о любимой книге — пожалуйста. но, кто ж говорит, что это обязательно будет книга? это может быть диалог из фильма, а может быть фраза моего соседа алкоголика типа "во жись то пошла, если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день.
КП>> моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль. М>можно еще тараса бульбу для брутфорса использовать. помню в школе учить заставляли наизусть. как вы хэш считаете? хакер получит доступ практически сразу же как только заразит ваш комп. одно из предназначений разных хранителей паролей -- спасти пароли даже если у вас уже спайварь стоит. но они их не спасут если вы так подставляетсь. чем сильно ослабляете стойкость.
как хакер узнает, откуда у меня посчитан хэш? "но, кто ж говорит, что это обязательно будет книга? это может быть диалог из фильма, а может быть фраза моего соседа алкоголика типа "во жись то пошла, если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день."
если фильм или книга на японском, то еще лучше.
М>>>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий; КП>>его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей? М>запомнию. это не так сложно. тут уже обсуждалось, что нормальный человек способен запомнить даже сложный и длинный пароль, который часто меняется. а если забыл, то пароль можно сбросить. если пароль сбросить нельзя, то там записать на бумажке и отнести в банковскую ячейку.
да, один пароль запомнишь. ну, 10 тоже. но, не десятки. там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия?
>> если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности. М>пароли разные. чтобы их запомнить сущестуют различные мнемонические правила. например, в школе мы учили звездную классификацию O, B, A, F, G, K and M. сколько секунд вам потребуется чтобы запомнить? спорим, что вы (именно вы) справитесь секунд за 10 — 20. от силы 30. по любому меньше минуты. сколько лет прошло, а я вот до сих пор помню, хотя буквы радномные по сути.
ну вот, это по сути и есть мастер пароль -- то есть, зная один пароль, из него можно получить (посчитать) другие. то есть, один пароль хакнут — хакнут все.
Здравствуйте, Капа Парло, Вы писали:
> всех книг в мире? и фильмов и песен? и цитат знаменитый людей? > и "как любил говорить мой сосед дядя Вася...."? и без знания какой алгоритм хэша использовать? слабо верится
сколько в мире книг? ок, пусть будет миллиард. пусть будет сто миллиардов. это же ничто по сравнению со стойким паролем.
какой алгоритм хэша -- их меньше сотни если брать готовые. а как иначе считать, если нет утилиты для подсчета?
но, повторяюсь, идея использовать фразу не новая. и "хэш" многие считают в уме по той или иной схеме. не обязательно же брать первую букву. ну вот, например, запомнили: "At his best, man is the noblest of all animals; separated from law and justice he is the worst".
используем ассоциации. стойкие и персональные. например мои
at --> commercial --> $
his --> penis --> penny --> 940
best --> Desert Eagle --> 50AE
man --> god --> evil --> 666
is --> Israel -> 972
the --> трах --> 6
noblest --> Dynamite --> IED
дальше мне лениво, но получается $94050AE6669726IED
не такой уж плохой пароль на основе очень короткой фразы at his best, man is the noblest
ну да у меня больше ассоциации по цифрам. но все равно хрен подберешь.
и ассоциации так просто не вытравишь из памяти.
даже если записать at his best, man is the noblest -- это ничего не даст злоумышленнику.
хотя я поступаю с точностью наоборот. если у меня пароль это фраза (нет, ни разу не крылатая и даже не из книжки), то можно в хинты записать $.940/50AE!666(972)6#IED. это подскажет _мне_ какой там пароль, но хакер будет сосать лапу. хакеру это не поможет, зато я смогу восстановить фразу даже если забуду.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, Капа Парло, Вы писали:
>> всех книг в мире? и фильмов и песен? и цитат знаменитый людей? >> и "как любил говорить мой сосед дядя Вася...."? и без знания какой алгоритм хэша использовать? слабо верится М>сколько в мире книг? ок, пусть будет миллиард. пусть будет сто миллиардов. это же ничто по сравнению со стойким паролем. М>какой алгоритм хэша -- их меньше сотни если брать готовые. а как иначе считать, если нет утилиты для подсчета?
почему ничто?
повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно. а, если во фразе из фильма используется формула или цифры и все такое?
формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED
а абзац из японской книги?
основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить.
М>хотя я поступаю с точностью наоборот. если у меня пароль это фраза (нет, ни разу не крылатая и даже не из книжки), то можно в хинты записать $.940/50AE!666(972)6#IED. это подскажет _мне_ какой там пароль, но хакер будет сосать лапу. хакеру это не поможет, зато я смогу восстановить фразу даже если забуду.
эта идея тоже не нова. это стенография или как это называется? это когда одному или группе символ(ов) ставишь в соотвествие другой(ие) символ(ы). думаю, что это сложнее, потому что хоть это и не вытравишь, но это надо и запоминать и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов.
Здравствуйте, Капа Парло, Вы писали:
КП>Здравствуйте, мыщъх, Вы писали:
КП>ну, можно и не добавлять. но, если добавить хуже не станет ведь?
станет. кто будет помнить соль? стойкость не возрастет, а помнить нужно больше. в реальности это приведет к тому что будут брать более короткие фрагменты текста, т.е. пароль станет слабее.
КП>зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора. КП>где взять? да, надо будет взять из интернета, когда нужно будет его восстановить.
то есть пароль для аккаунта провайдера таким способом не запомнить? не работает иннет, т.к. не оплатили. доступен только сайт прова. нам нужен мастер пароль, который по абзацу из книги из интернета. все. приехали.
и гарантированно доступны лишь немногие книги, но даже их попробуй найти... да еще и скопируй текст так чтобы там не вылезло форматирование, переносы и прочие ньюансы.
> но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена.
для этого книга должна лежать на ресурсе с https. много таких? буфер обмена легко перехватить любой спайваре. нормальные манагеры паролей вставляют пароли прямо в приложения через хуки и минуя буфер обмена. если ваш манагер использует буфер обмена, то... буратино, мы нашли где ты зарыл денежки!!!
КП> вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим.
и тут мы приходим к пониманию, что если пароль не вводить с клавиатуры, то хакерам нужно поддерживать все браузеры с точностью до их версии, чтобы хучить напрямую что они там подставляют. а клавиатура... а клавиатуру легко перехватить кей-логгером.
многие хакеры перехватывают пароли при их смене -- это статистика.
КП> не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн.
подключите на моей блак-берри. я с нее тоже выхожу в иннет и тоже ввожу пароли. там только английский и испанский из коробки. остальное -- хз.
хотя ок. если у вас нет проблем с локалью -- это ваш выбор.
КП>кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский.
в чем же безопасность? понимаете, если вы используйте мастер-пароль это уже небезопасно. это иллюзия безопасности, но хакерам вы облегчаете задачу. и уже не суть насколько вы облегчаете им жизнь.
КП>в чем проблема подключить китайскую клаву в ОС?
в том, что вы мыслите категориями одного устройства, которое судя по всему десктоп. а я хочу иметь доступ к своим аккам на киндле. куда там подключать китайскую клаву?
КП> в оффлайне на компе. в терминале или скрипт на питоне.
что перехватывается на счет раз. сложнее перехватить то, что не вводится с клавиатуры и что не в буфере обмена.
КП>в сети есть пинкоды от всех кредитных карт мира. ну и что?
нет. это не правда. нет их там (действующих).
КП>не выдавайте инфу о вашей книге из которой вы считали хэш.
то есть вы не предлагаете запоминать оттуда отрывок, а только брать его из сети? при каждом вводе мастер-пароля лезть в сеть? искать книгу, находить фргамент, считать хэш... долго и неоправданно ненадежно. требует доступа в иннет. требует локали. упомянутый вами теминал с этим имеет большие проблемы, особенно на буквах типа йо и разных осях. и эти же буквы могут по разному писаться в разных редакциях книги. кстати, помним про редакции. а то неожиданно может быть что нужную редакцию потом не найти.
> это может быть диалог из фильма,
где диалоги из фильма искать? сегодня они есть, завтра их там нет. ну хорошо, взяли с сайта imdb. это вчера взяли. а сегодня он лег и не встает. у вас способ требующий чтобы работал иннет, чтобы там был контент и чтобы вы могли его нагуглить. хакеры по истории сразу же поймут что к чему. так что не понятно зачем тогда вообще защищаться?
фактически ваша защита от атак извне. т.е. когда у злоумышленика нет доступа к вашему компу и они хотят получить ну пускай ваш пароль на кывт. запишите его в файле "пароли" на рабочем столе. результат все равно будет одним.
> а может быть фраза моего соседа алкоголика типа "во жись то пошла, > если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день.
вы определитесь -- или держать в голове или брать из сети. эту вашу фразу можно набрать в виде символов без всякого хэша. ну не нужны эти дополнительные манипуляции. против мнемонических правил запомнинания паролей я ничего не имею. особенно с кастомизацией. например, "не" у программистов может быть !, а или |. навечно это for(;) там можно пол-словаря закодировать. а остальную половину -- ее вводить, да.
КП> да, один пароль запомнишь. ну, 10 тоже. но, не десятки.
запомнишь и десять. а забудешь так сбросишь. делов-то.
но по сути ваш метод не лучше хранения паролей в текстовом файле на рабочем столе. только текстовой файл меньше телодвижений. при той же надежности (если под надежностью понимать легкость атаки и методы, используемые реальными хакерами)
> там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия?
тем что паролей можно запомнить много. тем что этот пароль (даже если он один, хрен с ним, пускай один) можно не вводить с клваы и буфера обмена. тогда хакерам будет нужно как-то "выковыривать" его из браузеа. это, конечно, решаемая задача, но это сложнее чем если хакер видит ваши манипуляции и сразу понимает какой получается на выходе пароль.
М>>классификацию O, B, A, F, G, K and M. сколько КП>ну вот, это по сути и есть мастер пароль -- то есть,
это не мастер пароль. это случайная последовательность букв. которая исторически была алфавитной, но сейчас уже совершенно случайная. и ее нужно запомнить. среди кучи другой инфы за школьный курс. и на запомнинание уйдут секунды -- o be a fine girl, kiss me!
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Капа Парло, Вы писали:
КП>Здравствуйте, мыщъх, Вы писали:
М>>Здравствуйте, Капа Парло, Вы писали:
КП>почему ничто?
потому что если у нас 32 символа алфавита (с учетом регистра?) и 10 цифр, то без спец-символов при длине пароля в 6 символов мы получаем (32*2+10)**6 комбинаций. и 6 символов это очень короткий пароль. но даже такой пароль несоизмеримо более стойкий чем все книги и фильмы мира. сколько там вообще фильмов? ну миллиард. ведь не больше миллиарда. сколько фраз из них можно нарыть? миллиард миллиардов как самая оптимистичная оценка. это же ничто.
КП> повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно.
нет. если это фильм, то запоминать из него цитаты ничуть не легче пароля. ну разве что это песня из титаника. то есть в реальности это все-таки книга, причем старая. потому что новые в сети как появляются так и исчезают.
> а, если во фразе из фильма используется формула или цифры и все такое?
много таких? и не абстрактно, а реально. я вообще из фильмов с формулми могу припомнить лишь парочку. как вводить формулы чтобы посчитать их хэш?
КП>формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED
только в моем случае не нужно применять хэш. а вам он зачем-то нужен. и если вы окажетесь в ситуации, когда под рукой устройство типа планшет и нет иннета, то вы труп, а я нет. и ваш способ только для десктопа. мой хоть для древней мобилы, которая даже не смарт.
КП>а абзац из японской книги?
еще японский для этого учить и где-то эту книжку брать. смысл?
КП> основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить.
если не помните пароль, то вы его сбросите быстрее чем вычислите хэш и надежнее. обычно для этого нужно мыло или мобила. если пропало и то, и другое -- это конец света и пароли вам больше не понадобятся.
пароль может лежать в банковской ячейке. пароль может быть на мобиле, черт подери!!! мобилы-то у всех и всегда. а если нет, то сбросите утеряный пароль.
КП>эта идея тоже не нова. это стенография или как это называется?
нет. это называется мнемонический способ, основанный на ассоциациях. запоминаются формулы, разные константы типа пи до любого знака. сейчас не так актуально как раньше когда не было компьютеров, но все-таки актуально.
> это когда одному или группе символ(ов) ставишь в соотвествие другой(ие) символ(ы). > думаю, что это сложнее, потому что хоть это и не вытравишь, но это надо и запоминать
не, тут нужно заглянуть в себя и посмотреть что и с чем у вас ассоцируется. а если и запомнить, то немного. например, телефонный код израиля. но если у вас есть такая ассоциация, значит, вы и так его знаете. а если и забудете -- без проблем восстановить.
> и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов.
набор-то практически бесконечный. разве что у вовочки даже кирпичи ассоцируются с бабами.
практическая польза как я уже писал можно хоть пи запомнить за разумное время с точностью хоть до 100 знаков. и тут мы внезапно приходим к тому, что можно грубо говоря помнить pi**2, пароль числа с 69 (секс позиция любимая) до 96 (после секса).
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
КП>>ну, можно и не добавлять. но, если добавить хуже не станет ведь? М>станет. кто будет помнить соль? стойкость не возрастет, а помнить нужно больше. в реальности это приведет к тому что будут брать более короткие фрагменты текста, т.е. пароль станет слабее.
соль — это ведь несколько или один символ, это легко запомнить. но, если даже соль не нужна, тогда еще лучше.
хотя, почему не нужна? добавил один символ в строку, например, в конец дописал нолик и все, хеш, то есть пароль, совсем другой. совершенно. то, что ты добавил один нолик в конец — это ведь легко запомнить? а откуда хакер знает, добавил лы ты его вообще?
КП>>зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора. КП>>где взять? да, надо будет взять из интернета, когда нужно будет его восстановить. М>то есть пароль для аккаунта провайдера таким способом не запомнить? не работает иннет, т.к. не оплатили. доступен только сайт прова. нам нужен мастер пароль, который по абзацу из книги из интернета. все. приехали.
нет так нет. сегодня. а завтра пойдешь в кофе-шоп и выйдишь в интернете и восстановишь.
вообще, это — редкий случай. и тут надо себя винить.
важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__. он никуда не денется.
М>и гарантированно доступны лишь немногие книги, но даже их попробуй найти... да еще и скопируй текст так чтобы там не вылезло форматирование, переносы и прочие ньюансы.
руками можно подправить
>> но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена. М>для этого книга должна лежать на ресурсе с https. много таких? буфер обмена легко перехватить любой спайваре. нормальные манагеры паролей вставляют пароли прямо в приложения через хуки и минуя буфер обмена. если ваш манагер использует буфер обмена, то... буратино, мы нашли где ты зарыл денежки!!!
Если на компе есть малварь, то тогда дело уже плохо. Эта мальварь и так может легко украть пароль, который ты хранишь в голове, когда ты его вводишь.
КП>> вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим. М>и тут мы приходим к пониманию, что если пароль не вводить с клавиатуры, то хакерам нужно поддерживать все браузеры с точностью до их версии, чтобы хучить напрямую что они там подставляют. а клавиатура... а клавиатуру легко перехватить кей-логгером.
ты хранишь пароль в браузере? и чем же это безопаснее? лучше его, да, на рабочем столе тогда хранить.
КП>> не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн. М>подключите на моей блак-берри. я с нее тоже выхожу в иннет и тоже ввожу пароли. там только английский и испанский из коробки. остальное -- хз. М>хотя ок. если у вас нет проблем с локалью -- это ваш выбор.
вычисляешь пароль на компе и вводишь в блекберри и кидл. раз в год можно заморочиться. это ведь способ для скорее гиков, чем домохозяек.
КП>>кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский. М>в чем же безопасность? понимаете, если вы используйте мастер-пароль это уже небезопасно. это иллюзия безопасности, но хакерам вы облегчаете задачу. и уже не суть насколько вы облегчаете им жизнь.
КП>>в чем проблема подключить китайскую клаву в ОС? М>в том, что вы мыслите категориями одного устройства, которое судя по всему десктоп. а я хочу иметь доступ к своим аккам на киндле. куда там подключать китайскую клаву?
вычисляешь пароль на компе и вводишь в блекберри и кидл. раз в полгода-год можно заморочиться. это ведь способ для скорее гиков, чем домохозяек.
КП>> в оффлайне на компе. в терминале или скрипт на питоне. М>что перехватывается на счет раз. сложнее перехватить то, что не вводится с клавиатуры и что не в буфере обмена.
а ты силой мысли собрался вводить этот пароль в поле для ввода пароля? тогда да, безопасно.
КП>>в сети есть пинкоды от всех кредитных карт мира. ну и что? М>нет. это не правда. нет их там (действующих).
нету говоришь?
mapM_ print [0..9999]
0001
0002
0003....
теперь есть. у некоторых карт 6 цифр, тогда [0..999999]
КП>>не выдавайте инфу о вашей книге из которой вы считали хэш. М>то есть вы не предлагаете запоминать оттуда отрывок, а только брать его из сети? при каждом вводе мастер-пароля лезть в сеть? искать книгу, находить фргамент, считать хэш... долго и неоправданно ненадежно. требует доступа в иннет. требует локали. упомянутый вами теминал с этим имеет большие проблемы, особенно на буквах типа йо и разных осях. и эти же буквы могут по разному писаться в разных редакциях книги. кстати, помним про редакции. а то неожиданно может быть что нужную редакцию потом не найти.
это да. возможно. но, глупо ведь каждый день гуглить один и тот же фрагмент книги и делать все те же рутинные действия. что-то можно из этого автоматизировать.
к тому же, мастер пароль не нужно вводить так уж часто.
>> это может быть диалог из фильма, М>где диалоги из фильма искать? сегодня они есть, завтра их там нет.
ну, как их нет? фильмы сняты, диалоги в них есть. нельзя снятый фильм снять обратно. другое дело, что ты сможешь их не найти. об этом надо позаботится сразу, чтобы можно было найти где-то. хоть на флэшке, хоть в инете.
М> ну хорошо, взяли с сайта imdb. это вчера взяли. а сегодня он лег и не встает. у вас способ требующий чтобы работал иннет, чтобы там был контент и чтобы вы могли его нагуглить. хакеры по истории сразу же поймут что к чему. так что не понятно зачем тогда вообще защищаться? М>фактически ваша защита от атак извне. т.е. когда у злоумышленика нет доступа к вашему компу и они хотят получить ну пускай ваш пароль на кывт. запишите его в файле "пароли" на рабочем столе. результат все равно будет одним.
"Если на компе уже есть малварь, то тогда дело уже плохо. Эта мальварь может легко украть пароль, который ты хранишь в голове, когда ты его вводишь."
>> а может быть фраза моего соседа алкоголика типа "во жись то пошла, >> если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день. М>вы определитесь -- или держать в голове или брать из сети. эту вашу фразу можно набрать в виде символов без всякого хэша. ну не нужны эти дополнительные манипуляции. против мнемонических правил запомнинания паролей я ничего не имею. особенно с кастомизацией. например, "не" у программистов может быть !, а или |. навечно это for(;) там можно пол-словаря закодировать. а остальную половину -- ее вводить, да.
может именно фраза моего соседа и не подойдет. нужно что-то, что написано пером и что не вырубишь топором.
все-таки хеш от фразы безопаснее, чем голая фраза. например, если кто-то
подсмотрит твой хэш из-за спины, он его не запомнит. или запомнит не так быстро, как в случае с голой фразой. а если и запомнит, то что мешает добавить в конец один символ соли, чтобы хеш (пароль) стал совсем другим.
КП>> да, один пароль запомнишь. ну, 10 тоже. но, не десятки. М>запомнишь и десять. а забудешь так сбросишь. делов-то.
как сбросишь? тебе все равно нужно помнить какой-то пароль(и) в конце концов. так легче запомнить твой пароль или запомнить то, как его рассчитать -- где взять текст и какой хеш к нему применить?
>> там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия? М>тем что паролей можно запомнить много. тем что этот пароль (даже если он один, хрен с ним, пускай один) можно не вводить с клваы и буфера обмена. тогда хакерам будет нужно как-то "выковыривать" его из браузеа. это, конечно, решаемая задача, но это сложнее чем если хакер видит ваши манипуляции и сразу понимает какой получается на выходе пароль.
прямо совсем разных паролей, никак не связанных друг с другом много? слабо верится. а, потом, когда тебе сменить нужно пароль, еще нужно снова запоминать что-то уже совсем другое и предыдущее забывать, чтобы не было каши в голове?
я тоже все свои пароли помню. только не помню, где именно какой пароль используется.
М>>>классификацию O, B, A, F, G, K and M. сколько КП>>ну вот, это по сути и есть мастер пароль -- то есть, М>это не мастер пароль. это случайная последовательность букв. которая исторически была алфавитной, но сейчас уже совершенно случайная. и ее нужно запомнить. среди кучи другой инфы за школьный курс. и на запомнинание уйдут секунды -- o be a fine girl, kiss me!
под мастер паролем я имею ввиду пароль от других паролей или от проги, в которой эти проги хранятся. а ты что?
КП>>почему ничто? М>потому что если у нас 32 символа алфавита (с учетом регистра?) и 10 цифр, то без спец-символов при длине пароля в 6 символов мы получаем (32*2+10)**6 комбинаций. и 6 символов это очень короткий пароль. но даже такой пароль несоизмеримо более стойкий чем все книги и фильмы мира. сколько там вообще фильмов? ну миллиард. ведь не больше миллиарда. сколько фраз из них можно нарыть? миллиард миллиардов как самая оптимистичная оценка. это же ничто.
можно добавить соль -- пару символов типа &@. ну, или в данном случае это не будет называться соль. не важно.
можно брать фразы в разных комбинациях. можно не по-порядку, главное не слишком усложнять.
КП>> повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно. М>нет. если это фильм, то запоминать из него цитаты ничуть не легче пароля. ну разве что это песня из титаника. то есть в реальности это все-таки книга, причем старая. потому что новые в сети как появляются так и исчезают.
не надо полностью запоминать. не надо. нужно запомнить где и как ее найти.
вообще, фильмы -- это просто один из случаев.
КП>>формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED М>только в моем случае не нужно применять хэш. а вам он зачем-то нужен. и если вы окажетесь в ситуации, когда под рукой устройство типа планшет и нет иннета, то вы труп, а я нет. и ваш способ только для десктопа. мой хоть для древней мобилы, которая даже не смарт.
зато нужно зубрить пароли. а потом, когда нужно его сменить, нужно снова зубрить, а старое забывать, чтобы не было каши в голове.
КП>>а абзац из японской книги? М>еще японский для этого учить и где-то эту книжку брать. смысл?
можно вообще ничего не учить и иметь пароль 12345. мне интересно -- я учу, чтобы с японками общаться. еще заодно и буду его использовать для паролей. а ты учишь цепочки a -> !, b -> 8, c -> 14, d -> $ и т.п.
КП>> основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить. М>если не помните пароль, то вы его сбросите быстрее чем вычислите хэш и надежнее. обычно для этого нужно мыло или мобила. если пропало и то, и другое -- это конец света и пароли вам больше не понадобятся.
да, это конец света. тут ты труп __с твоим способом__. пароль от мыла как ты будешь сбрасывать? его все равно нужно зазубрить.
а если симка потерялась и она не была на тебя оформлена? у меня такое было, просто в некоторых странах их продают без паспорта. как ее восстанавливать?
а если мыло не работает? например, в некоторых странах mail.ru по несколько часов не загружается. в Китае гмейл не работает, в некоторых соседних странах симки другой страны, в ЮВА, например, не работают вообще и это симки стран-соседей и операторы довольно крупные.
>> и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов. М>набор-то практически бесконечный. разве что у вовочки даже кирпичи ассоцируются с бабами. М>практическая польза как я уже писал можно хоть пи запомнить за разумное время с точностью хоть до 100 знаков. и тут мы внезапно приходим к тому, что можно грубо говоря помнить pi**2, пароль числа с 69 (секс позиция любимая) до 96 (после секса).
как я и говорил: я помню все свои пароли. пароли довольно сложные. только не помню на каком сайте какой пароль и какая там комбинация цифр и букв.
