Re[7]: идея про хранения мастер паролей - Информационная безопасность

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, Капа Парло, Вы писали:

М>старо как мир. даже у лукьяненко этот способ используется. без хэша, правда. не, ну в принципе всегда есть иннет и можно вбить текст и получить хэщ, но нужно ли? стойкость хэша даже меньше стойкости фразы данной длины (если в хэше только цифры и a-f). но с фразами есть проблемы, т.к. не всегда можно вводить кирилицу. и не у всех есть клавиатура с русско-латинскими символами.
можно добавить соль.
можно взять иностранную книгу.
можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка? кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее.

>> они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея?
М>проблемы:
М>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься;
меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ.

М>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать;
я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное.
моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль.

М>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий;
его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей? если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности.

Здравствуйте, Капа Парло, Вы писали:

КП>Здравствуйте, мыщъх, Вы писали:

М>>Здравствуйте, Капа Парло, Вы писали:

КП>можно добавить соль.
смысл соли чтобы если злоумышленник знает хэш, то нельзя было на основе идентичности хэшей разных юзеров установить идентичность их паролей. если злоумышленник не знает хэш, то зачем соль?

КП>можно взять иностранную книгу.
где? вы хотите сказать, что хотя бы на этом форуме айтишники, знающие английский, способны воспроизвести абзац иностранной книги по памяти? потому что если нет, то легче запомнить пароль...

КП> можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка?
даже если взять русскую книгу, то при транлитерации возникают неоднозначности. хинт: у нас в семье одна фамилия, а в паспортах у отца и меня она разная. потому что там можно и так, и сяк. даже в паспортном столе.

> кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее.
не со всей клавиатуры. не все знают японские символы. это создает множество неудобств.

М>>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься;
КП>меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ.
разумеется, _что-то_ нужно запоминать. запоминать прозу от которой еще считать хэш (как его считать? если в он-лайне, то злоумышленнику легко перехватить. если утилитой типа md5sum, то это тоже просто перехватить). нормальный-то хранитель паролей пытается защититься от перехвата вводимого мастер-пароля и делает это относительно успешно.

М>>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать;
КП>я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное.
а вы и не заподозрите. достаточно начать обсуждать "что путного почитать", ну и у многих уже в социалках эта инфа указана. у многих еще цитаты любимые. ну вот куча народа знает, что мне нравится "дюна", т.к. я цитаты оттуда использовал нещадно.

КП> моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль.
можно еще тараса бульбу для брутфорса использовать. помню в школе учить заставляли наизусть. как вы хэш считаете? хакер получит доступ практически сразу же как только заразит ваш комп. одно из предназначений разных хранителей паролей -- спасти пароли даже если у вас уже спайварь стоит. но они их не спасут если вы так подставляетсь. чем сильно ослабляете стойкость.

М>>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий;
КП>его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей?
запомнию. это не так сложно. тут уже обсуждалось, что нормальный человек способен запомнить даже сложный и длинный пароль, который часто меняется. а если забыл, то пароль можно сбросить. если пароль сбросить нельзя, то там записать на бумажке и отнести в банковскую ячейку.

> если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности.
пароли разные. чтобы их запомнить сущестуют различные мнемонические правила. например, в школе мы учили звездную классификацию O, B, A, F, G, K and M. сколько секунд вам потребуется чтобы запомнить? спорим, что вы (именно вы) справитесь секунд за 10 — 20. от силы 30. по любому меньше минуты. сколько лет прошло, а я вот до сих пор помню, хотя буквы радномные по сути.

Здравствуйте, мыщъх, Вы писали:

КП>>можно добавить соль.
М>смысл соли чтобы если злоумышленник знает хэш, то нельзя было на основе идентичности хэшей разных юзеров установить идентичность их паролей. если злоумышленник не знает хэш, то зачем соль?
ну, можно и не добавлять. но, если добавить хуже не станет ведь?

КП>>можно взять иностранную книгу.
М>где? вы хотите сказать, что хотя бы на этом форуме айтишники, знающие английский, способны воспроизвести абзац иностранной книги по памяти? потому что если нет, то легче запомнить пароль...
зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора.
где взять? да, надо будет взять из интернета, когда нужно будет его восстановить. но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена. или просто напечатать на клаве. это тоже самое, что и скопировать сам пароль в буфер обмена, вернее, пароль скопировать в буфер обмена более опасно, чем кусок текста, от которого вы потом посчитаете хэш.

но. вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим.

КП>> можно взять хоть японскую книгу и ввести текст на английском, вакари масы ка?
М>даже если взять русскую книгу, то при транлитерации возникают неоднозначности. хинт: у нас в семье одна фамилия, а в паспортах у отца и меня она разная. потому что там можно и так, и сяк. даже в паспортном столе.
не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн.

>> кстати, да можно и японские символы вводить, так даже, мне кажется, безопаснее.
М>не со всей клавиатуры. не все знают японские символы. это создает множество неудобств.
кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский.
в чем проблема подключить китайскую клаву в ОС?

М>>>1) если вы меняете пароли чаще одного раза за год, то любимых книг не напасещься;
КП>>меняйте их по кругу. в любом случае, что-то нужно запоминать, даже если использовать вообще другой способ.
М>разумеется, _что-то_ нужно запоминать. запоминать прозу от которой еще считать хэш (как его считать? если в он-лайне, то злоумышленнику легко перехватить. если утилитой типа md5sum, то это тоже просто перехватить).
в оффлайне на компе. в терминале или скрипт на питоне.

М>>>2) злоумышленник спрашивает какая у вас любимая книга и пытается атаковать;
КП>>я ж не домохозяйка, чтобы не заподозрить в этом вопросе неладное.
М>а вы и не заподозрите. достаточно начать обсуждать "что путного почитать", ну и у многих уже в социалках эта инфа указана. у многих еще цитаты любимые. ну вот куча народа знает, что мне нравится "дюна", т.к. я цитаты оттуда использовал нещадно.
в сети есть пинкоды от всех кредитных карт мира. ну и что?
не выдавайте инфу о вашей книге из которой вы считали хэш. а ифу о любимой книге — пожалуйста. но, кто ж говорит, что это обязательно будет книга? это может быть диалог из фильма, а может быть фраза моего соседа алкоголика типа "во жись то пошла, если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день.

КП>> моя любимая книга "3 мушкетера", а хеш пароля у меня из книги "анна каренина" + соль.
М>можно еще тараса бульбу для брутфорса использовать. помню в школе учить заставляли наизусть. как вы хэш считаете? хакер получит доступ практически сразу же как только заразит ваш комп. одно из предназначений разных хранителей паролей -- спасти пароли даже если у вас уже спайварь стоит. но они их не спасут если вы так подставляетсь. чем сильно ослабляете стойкость.

как хакер узнает, откуда у меня посчитан хэш? "но, кто ж говорит, что это обязательно будет книга? это может быть диалог из фильма, а может быть фраза моего соседа алкоголика типа "во жись то пошла, если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день."
если фильм или книга на японском, то еще лучше.

М>>>3) использование мастер-пароля небезопасно по любому, даже если пароль стойкий;
КП>>его использовать нужно по-любому. иначе, как ты будешь запоминать десятки паролей?
М>запомнию. это не так сложно. тут уже обсуждалось, что нормальный человек способен запомнить даже сложный и длинный пароль, который часто меняется. а если забыл, то пароль можно сбросить. если пароль сбросить нельзя, то там записать на бумажке и отнести в банковскую ячейку.
да, один пароль запомнишь. ну, 10 тоже. но, не десятки. там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия?

>> если они у тебя одинаковые, то можно считать, что это и есть твой мастер пароль с точки зрения защищенности.
М>пароли разные. чтобы их запомнить сущестуют различные мнемонические правила. например, в школе мы учили звездную классификацию O, B, A, F, G, K and M. сколько секунд вам потребуется чтобы запомнить? спорим, что вы (именно вы) справитесь секунд за 10 — 20. от силы 30. по любому меньше минуты. сколько лет прошло, а я вот до сих пор помню, хотя буквы радномные по сути.
ну вот, это по сути и есть мастер пароль -- то есть, зная один пароль, из него можно получить (посчитать) другие. то есть, один пароль хакнут — хакнут все.

Здравствуйте, Капа Парло, Вы писали:

> всех книг в мире? и фильмов и песен? и цитат знаменитый людей?
> и "как любил говорить мой сосед дядя Вася...."? и без знания какой алгоритм хэша использовать? слабо верится
сколько в мире книг? ок, пусть будет миллиард. пусть будет сто миллиардов. это же ничто по сравнению со стойким паролем.
какой алгоритм хэша -- их меньше сотни если брать готовые. а как иначе считать, если нет утилиты для подсчета?

но, повторяюсь, идея использовать фразу не новая. и "хэш" многие считают в уме по той или иной схеме. не обязательно же брать первую букву. ну вот, например, запомнили: "At his best, man is the noblest of all animals; separated from law and justice he is the worst".
используем ассоциации. стойкие и персональные. например мои
at --> commercial --> $
his --> penis --> penny --> 940
best --> Desert Eagle --> 50AE
man --> god --> evil --> 666
is --> Israel -> 972
the --> трах --> 6
noblest --> Dynamite --> IED

дальше мне лениво, но получается $94050AE6669726IED
не такой уж плохой пароль на основе очень короткой фразы at his best, man is the noblest
ну да у меня больше ассоциации по цифрам. но все равно хрен подберешь.
и ассоциации так просто не вытравишь из памяти.

даже если записать at his best, man is the noblest -- это ничего не даст злоумышленнику.

хотя я поступаю с точностью наоборот. если у меня пароль это фраза (нет, ни разу не крылатая и даже не из книжки), то можно в хинты записать $.940/50AE!666(972)6#IED. это подскажет _мне_ какой там пароль, но хакер будет сосать лапу. хакеру это не поможет, зато я смогу восстановить фразу даже если забуду.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, Капа Парло, Вы писали:

>> всех книг в мире? и фильмов и песен? и цитат знаменитый людей?
>> и "как любил говорить мой сосед дядя Вася...."? и без знания какой алгоритм хэша использовать? слабо верится
М>сколько в мире книг? ок, пусть будет миллиард. пусть будет сто миллиардов. это же ничто по сравнению со стойким паролем.
М>какой алгоритм хэша -- их меньше сотни если брать готовые. а как иначе считать, если нет утилиты для подсчета?

почему ничто?
повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно. а, если во фразе из фильма используется формула или цифры и все такое?
формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED
а абзац из японской книги?

основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить.

М>хотя я поступаю с точностью наоборот. если у меня пароль это фраза (нет, ни разу не крылатая и даже не из книжки), то можно в хинты записать $.940/50AE!666(972)6#IED. это подскажет _мне_ какой там пароль, но хакер будет сосать лапу. хакеру это не поможет, зато я смогу восстановить фразу даже если забуду.

эта идея тоже не нова. это стенография или как это называется? это когда одному или группе символ(ов) ставишь в соотвествие другой(ие) символ(ы). думаю, что это сложнее, потому что хоть это и не вытравишь, но это надо и запоминать и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов.

Здравствуйте, Капа Парло, Вы писали:

КП>Здравствуйте, мыщъх, Вы писали:

КП>ну, можно и не добавлять. но, если добавить хуже не станет ведь?
станет. кто будет помнить соль? стойкость не возрастет, а помнить нужно больше. в реальности это приведет к тому что будут брать более короткие фрагменты текста, т.е. пароль станет слабее.

КП>зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора.
КП>где взять? да, надо будет взять из интернета, когда нужно будет его восстановить.
то есть пароль для аккаунта провайдера таким способом не запомнить? не работает иннет, т.к. не оплатили. доступен только сайт прова. нам нужен мастер пароль, который по абзацу из книги из интернета. все. приехали.

и гарантированно доступны лишь немногие книги, но даже их попробуй найти... да еще и скопируй текст так чтобы там не вылезло форматирование, переносы и прочие ньюансы.

> но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена.
для этого книга должна лежать на ресурсе с https. много таких? буфер обмена легко перехватить любой спайваре. нормальные манагеры паролей вставляют пароли прямо в приложения через хуки и минуя буфер обмена. если ваш манагер использует буфер обмена, то... буратино, мы нашли где ты зарыл денежки!!!

КП> вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим.
и тут мы приходим к пониманию, что если пароль не вводить с клавиатуры, то хакерам нужно поддерживать все браузеры с точностью до их версии, чтобы хучить напрямую что они там подставляют. а клавиатура... а клавиатуру легко перехватить кей-логгером.

многие хакеры перехватывают пароли при их смене -- это статистика.

КП> не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн.
подключите на моей блак-берри. я с нее тоже выхожу в иннет и тоже ввожу пароли. там только английский и испанский из коробки. остальное -- хз.
хотя ок. если у вас нет проблем с локалью -- это ваш выбор.

КП>кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский.
в чем же безопасность? понимаете, если вы используйте мастер-пароль это уже небезопасно. это иллюзия безопасности, но хакерам вы облегчаете задачу. и уже не суть насколько вы облегчаете им жизнь.

КП>в чем проблема подключить китайскую клаву в ОС?
в том, что вы мыслите категориями одного устройства, которое судя по всему десктоп. а я хочу иметь доступ к своим аккам на киндле. куда там подключать китайскую клаву?

КП> в оффлайне на компе. в терминале или скрипт на питоне.
что перехватывается на счет раз. сложнее перехватить то, что не вводится с клавиатуры и что не в буфере обмена.

КП>в сети есть пинкоды от всех кредитных карт мира. ну и что?
нет. это не правда. нет их там (действующих).

КП>не выдавайте инфу о вашей книге из которой вы считали хэш.
то есть вы не предлагаете запоминать оттуда отрывок, а только брать его из сети? при каждом вводе мастер-пароля лезть в сеть? искать книгу, находить фргамент, считать хэш... долго и неоправданно ненадежно. требует доступа в иннет. требует локали. упомянутый вами теминал с этим имеет большие проблемы, особенно на буквах типа йо и разных осях. и эти же буквы могут по разному писаться в разных редакциях книги. кстати, помним про редакции. а то неожиданно может быть что нужную редакцию потом не найти.

> это может быть диалог из фильма,
где диалоги из фильма искать? сегодня они есть, завтра их там нет. ну хорошо, взяли с сайта imdb. это вчера взяли. а сегодня он лег и не встает. у вас способ требующий чтобы работал иннет, чтобы там был контент и чтобы вы могли его нагуглить. хакеры по истории сразу же поймут что к чему. так что не понятно зачем тогда вообще защищаться?

фактически ваша защита от атак извне. т.е. когда у злоумышленика нет доступа к вашему компу и они хотят получить ну пускай ваш пароль на кывт. запишите его в файле "пароли" на рабочем столе. результат все равно будет одним.

> а может быть фраза моего соседа алкоголика типа "во жись то пошла,
> если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день.
вы определитесь -- или держать в голове или брать из сети. эту вашу фразу можно набрать в виде символов без всякого хэша. ну не нужны эти дополнительные манипуляции. против мнемонических правил запомнинания паролей я ничего не имею. особенно с кастомизацией. например, "не" у программистов может быть !, а или |. навечно это for(;) там можно пол-словаря закодировать. а остальную половину -- ее вводить, да.

КП> да, один пароль запомнишь. ну, 10 тоже. но, не десятки.
запомнишь и десять. а забудешь так сбросишь. делов-то.
но по сути ваш метод не лучше хранения паролей в текстовом файле на рабочем столе. только текстовой файл меньше телодвижений. при той же надежности (если под надежностью понимать легкость атаки и методы, используемые реальными хакерами)

> там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия?
тем что паролей можно запомнить много. тем что этот пароль (даже если он один, хрен с ним, пускай один) можно не вводить с клваы и буфера обмена. тогда хакерам будет нужно как-то "выковыривать" его из браузеа. это, конечно, решаемая задача, но это сложнее чем если хакер видит ваши манипуляции и сразу понимает какой получается на выходе пароль.

М>>классификацию O, B, A, F, G, K and M. сколько
КП>ну вот, это по сути и есть мастер пароль -- то есть,
это не мастер пароль. это случайная последовательность букв. которая исторически была алфавитной, но сейчас уже совершенно случайная. и ее нужно запомнить. среди кучи другой инфы за школьный курс. и на запомнинание уйдут секунды -- o be a fine girl, kiss me!

Здравствуйте, Капа Парло, Вы писали:

КП>Здравствуйте, мыщъх, Вы писали:

М>>Здравствуйте, Капа Парло, Вы писали:

КП>почему ничто?
потому что если у нас 32 символа алфавита (с учетом регистра?) и 10 цифр, то без спец-символов при длине пароля в 6 символов мы получаем (32*2+10)**6 комбинаций. и 6 символов это очень короткий пароль. но даже такой пароль несоизмеримо более стойкий чем все книги и фильмы мира. сколько там вообще фильмов? ну миллиард. ведь не больше миллиарда. сколько фраз из них можно нарыть? миллиард миллиардов как самая оптимистичная оценка. это же ничто.

КП> повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно.
нет. если это фильм, то запоминать из него цитаты ничуть не легче пароля. ну разве что это песня из титаника. то есть в реальности это все-таки книга, причем старая. потому что новые в сети как появляются так и исчезают.

> а, если во фразе из фильма используется формула или цифры и все такое?
много таких? и не абстрактно, а реально. я вообще из фильмов с формулми могу припомнить лишь парочку. как вводить формулы чтобы посчитать их хэш?

КП>формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED
только в моем случае не нужно применять хэш. а вам он зачем-то нужен. и если вы окажетесь в ситуации, когда под рукой устройство типа планшет и нет иннета, то вы труп, а я нет. и ваш способ только для десктопа. мой хоть для древней мобилы, которая даже не смарт.

КП>а абзац из японской книги?
еще японский для этого учить и где-то эту книжку брать. смысл?

КП> основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить.
если не помните пароль, то вы его сбросите быстрее чем вычислите хэш и надежнее. обычно для этого нужно мыло или мобила. если пропало и то, и другое -- это конец света и пароли вам больше не понадобятся.

пароль может лежать в банковской ячейке. пароль может быть на мобиле, черт подери!!! мобилы-то у всех и всегда. а если нет, то сбросите утеряный пароль.

КП>эта идея тоже не нова. это стенография или как это называется?
нет. это называется мнемонический способ, основанный на ассоциациях. запоминаются формулы, разные константы типа пи до любого знака. сейчас не так актуально как раньше когда не было компьютеров, но все-таки актуально.

> это когда одному или группе символ(ов) ставишь в соотвествие другой(ие) символ(ы).
> думаю, что это сложнее, потому что хоть это и не вытравишь, но это надо и запоминать
не, тут нужно заглянуть в себя и посмотреть что и с чем у вас ассоцируется. а если и запомнить, то немного. например, телефонный код израиля. но если у вас есть такая ассоциация, значит, вы и так его знаете. а если и забудете -- без проблем восстановить.

> и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов.
набор-то практически бесконечный. разве что у вовочки даже кирпичи ассоцируются с бабами.
практическая польза как я уже писал можно хоть пи запомнить за разумное время с точностью хоть до 100 знаков. и тут мы внезапно приходим к тому, что можно грубо говоря помнить pi**2, пароль числа с 69 (секс позиция любимая) до 96 (после секса).

Здравствуйте, мыщъх, Вы писали:

КП>>ну, можно и не добавлять. но, если добавить хуже не станет ведь?
М>станет. кто будет помнить соль? стойкость не возрастет, а помнить нужно больше. в реальности это приведет к тому что будут брать более короткие фрагменты текста, т.е. пароль станет слабее.

соль — это ведь несколько или один символ, это легко запомнить. но, если даже соль не нужна, тогда еще лучше.
хотя, почему не нужна? добавил один символ в строку, например, в конец дописал нолик и все, хеш, то есть пароль, совсем другой. совершенно. то, что ты добавил один нолик в конец — это ведь легко запомнить? а откуда хакер знает, добавил лы ты его вообще?

КП>>зачем по памяти? смысл как раз в том, чтобы не запоминать все. а запомнить, например, книгу и что это за абзац. или пол-абзаца. или полтора.
КП>>где взять? да, надо будет взять из интернета, когда нужно будет его восстановить.
М>то есть пароль для аккаунта провайдера таким способом не запомнить? не работает иннет, т.к. не оплатили. доступен только сайт прова. нам нужен мастер пароль, который по абзацу из книги из интернета. все. приехали.

нет так нет. сегодня. а завтра пойдешь в кофе-шоп и выйдишь в интернете и восстановишь.
вообще, это — редкий случай. и тут надо себя винить.

важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__. он никуда не денется.

М>и гарантированно доступны лишь немногие книги, но даже их попробуй найти... да еще и скопируй текст так чтобы там не вылезло форматирование, переносы и прочие ньюансы.
руками можно подправить

>> но, не думаю, что это опасно взять кусок текста из интернета через https и скопировать в буфер обмена.
М>для этого книга должна лежать на ресурсе с https. много таких? буфер обмена легко перехватить любой спайваре. нормальные манагеры паролей вставляют пароли прямо в приложения через хуки и минуя буфер обмена. если ваш манагер использует буфер обмена, то... буратино, мы нашли где ты зарыл денежки!!!
Если на компе есть малварь, то тогда дело уже плохо. Эта мальварь и так может легко украть пароль, который ты хранишь в голове, когда ты его вводишь.

КП>> вам ведь все равно нужно будет пароль когда-то вводить, каким бы способом вы его не запоминали, хоть этим, хоть другим.
М>и тут мы приходим к пониманию, что если пароль не вводить с клавиатуры, то хакерам нужно поддерживать все браузеры с точностью до их версии, чтобы хучить напрямую что они там подставляют. а клавиатура... а клавиатуру легко перехватить кей-логгером.

ты хранишь пароль в браузере? и чем же это безопаснее? лучше его, да, на рабочем столе тогда хранить.

КП>> не пойму при чем тут транслитерация. подключить локаль в ОС — это секундное дело. есть клавы онлайн.
М>подключите на моей блак-берри. я с нее тоже выхожу в иннет и тоже ввожу пароли. там только английский и испанский из коробки. остальное -- хз.
М>хотя ок. если у вас нет проблем с локалью -- это ваш выбор.

вычисляешь пароль на компе и вводишь в блекберри и кидл. раз в год можно заморочиться. это ведь способ для скорее гиков, чем домохозяек.

КП>>кто не знает, тот пусть использует русский. сами виноваты. их выбор. хочешь больше безопасности, тогда используй китайский.
М>в чем же безопасность? понимаете, если вы используйте мастер-пароль это уже небезопасно. это иллюзия безопасности, но хакерам вы облегчаете задачу. и уже не суть насколько вы облегчаете им жизнь.

КП>>в чем проблема подключить китайскую клаву в ОС?
М>в том, что вы мыслите категориями одного устройства, которое судя по всему десктоп. а я хочу иметь доступ к своим аккам на киндле. куда там подключать китайскую клаву?

вычисляешь пароль на компе и вводишь в блекберри и кидл. раз в полгода-год можно заморочиться. это ведь способ для скорее гиков, чем домохозяек.

Здравствуйте, мыщъх, Вы писали:

КП>> в оффлайне на компе. в терминале или скрипт на питоне.
М>что перехватывается на счет раз. сложнее перехватить то, что не вводится с клавиатуры и что не в буфере обмена.

а ты силой мысли собрался вводить этот пароль в поле для ввода пароля? тогда да, безопасно.

КП>>в сети есть пинкоды от всех кредитных карт мира. ну и что?
М>нет. это не правда. нет их там (действующих).

нету говоришь?
mapM_ print [0..9999]

0001
0002
0003....

теперь есть. у некоторых карт 6 цифр, тогда [0..999999]

КП>>не выдавайте инфу о вашей книге из которой вы считали хэш.
М>то есть вы не предлагаете запоминать оттуда отрывок, а только брать его из сети? при каждом вводе мастер-пароля лезть в сеть? искать книгу, находить фргамент, считать хэш... долго и неоправданно ненадежно. требует доступа в иннет. требует локали. упомянутый вами теминал с этим имеет большие проблемы, особенно на буквах типа йо и разных осях. и эти же буквы могут по разному писаться в разных редакциях книги. кстати, помним про редакции. а то неожиданно может быть что нужную редакцию потом не найти.

это да. возможно. но, глупо ведь каждый день гуглить один и тот же фрагмент книги и делать все те же рутинные действия. что-то можно из этого автоматизировать.
к тому же, мастер пароль не нужно вводить так уж часто.

>> это может быть диалог из фильма,
М>где диалоги из фильма искать? сегодня они есть, завтра их там нет.
ну, как их нет? фильмы сняты, диалоги в них есть. нельзя снятый фильм снять обратно. другое дело, что ты сможешь их не найти. об этом надо позаботится сразу, чтобы можно было найти где-то. хоть на флэшке, хоть в инете.

М> ну хорошо, взяли с сайта imdb. это вчера взяли. а сегодня он лег и не встает. у вас способ требующий чтобы работал иннет, чтобы там был контент и чтобы вы могли его нагуглить. хакеры по истории сразу же поймут что к чему. так что не понятно зачем тогда вообще защищаться?
М>фактически ваша защита от атак извне. т.е. когда у злоумышленика нет доступа к вашему компу и они хотят получить ну пускай ваш пароль на кывт. запишите его в файле "пароли" на рабочем столе. результат все равно будет одним.

"Если на компе уже есть малварь, то тогда дело уже плохо. Эта мальварь может легко украть пароль, который ты хранишь в голове, когда ты его вводишь."

>> а может быть фраза моего соседа алкоголика типа "во жись то пошла,
>> если сегодня утром не наемся, то вечером нажрусь", которую он повторяет каждый день.
М>вы определитесь -- или держать в голове или брать из сети. эту вашу фразу можно набрать в виде символов без всякого хэша. ну не нужны эти дополнительные манипуляции. против мнемонических правил запомнинания паролей я ничего не имею. особенно с кастомизацией. например, "не" у программистов может быть !, а или |. навечно это for(;) там можно пол-словаря закодировать. а остальную половину -- ее вводить, да.

может именно фраза моего соседа и не подойдет. нужно что-то, что написано пером и что не вырубишь топором.

все-таки хеш от фразы безопаснее, чем голая фраза. например, если кто-то
подсмотрит твой хэш из-за спины, он его не запомнит. или запомнит не так быстро, как в случае с голой фразой. а если и запомнит, то что мешает добавить в конец один символ соли, чтобы хеш (пароль) стал совсем другим.

КП>> да, один пароль запомнишь. ну, 10 тоже. но, не десятки.
М>запомнишь и десять. а забудешь так сбросишь. делов-то.
как сбросишь? тебе все равно нужно помнить какой-то пароль(и) в конце концов. так легче запомнить твой пароль или запомнить то, как его рассчитать -- где взять текст и какой хеш к нему применить?

>> там чем этот один пароль отличается от мастер пароля, который как ты говоришь небезопасный, кроме названия?
М>тем что паролей можно запомнить много. тем что этот пароль (даже если он один, хрен с ним, пускай один) можно не вводить с клваы и буфера обмена. тогда хакерам будет нужно как-то "выковыривать" его из браузеа. это, конечно, решаемая задача, но это сложнее чем если хакер видит ваши манипуляции и сразу понимает какой получается на выходе пароль.

прямо совсем разных паролей, никак не связанных друг с другом много? слабо верится. а, потом, когда тебе сменить нужно пароль, еще нужно снова запоминать что-то уже совсем другое и предыдущее забывать, чтобы не было каши в голове?

я тоже все свои пароли помню. только не помню, где именно какой пароль используется.

М>>>классификацию O, B, A, F, G, K and M. сколько
КП>>ну вот, это по сути и есть мастер пароль -- то есть,
М>это не мастер пароль. это случайная последовательность букв. которая исторически была алфавитной, но сейчас уже совершенно случайная. и ее нужно запомнить. среди кучи другой инфы за школьный курс. и на запомнинание уйдут секунды -- o be a fine girl, kiss me!

под мастер паролем я имею ввиду пароль от других паролей или от проги, в которой эти проги хранятся. а ты что?

Здравствуйте, мыщъх, Вы писали:

КП>>почему ничто?
М>потому что если у нас 32 символа алфавита (с учетом регистра?) и 10 цифр, то без спец-символов при длине пароля в 6 символов мы получаем (32*2+10)**6 комбинаций. и 6 символов это очень короткий пароль. но даже такой пароль несоизмеримо более стойкий чем все книги и фильмы мира. сколько там вообще фильмов? ну миллиард. ведь не больше миллиарда. сколько фраз из них можно нарыть? миллиард миллиардов как самая оптимистичная оценка. это же ничто.

можно добавить соль -- пару символов типа &@. ну, или в данном случае это не будет называться соль. не важно.
можно брать фразы в разных комбинациях. можно не по-порядку, главное не слишком усложнять.

КП>> повторюсь. это может быть не только книга, но и учебник математики, фильм, на любом языке. да вообще, что угодно.
М>нет. если это фильм, то запоминать из него цитаты ничуть не легче пароля. ну разве что это песня из титаника. то есть в реальности это все-таки книга, причем старая. потому что новые в сети как появляются так и исчезают.
не надо полностью запоминать. не надо. нужно запомнить где и как ее найти.
вообще, фильмы -- это просто один из случаев.

КП>>формула из учебника по квантовой механике, к которой применить хэш — достаточно стойкий пароль? ничем не хуже $.940/50AE!666(972)6#IED
М>только в моем случае не нужно применять хэш. а вам он зачем-то нужен. и если вы окажетесь в ситуации, когда под рукой устройство типа планшет и нет иннета, то вы труп, а я нет. и ваш способ только для десктопа. мой хоть для древней мобилы, которая даже не смарт.

зато нужно зубрить пароли. а потом, когда нужно его сменить, нужно снова зубрить, а старое забывать, чтобы не было каши в голове.

КП>>а абзац из японской книги?
М>еще японский для этого учить и где-то эту книжку брать. смысл?
можно вообще ничего не учить и иметь пароль 12345. мне интересно -- я учу, чтобы с японками общаться. еще заодно и буду его использовать для паролей. а ты учишь цепочки a -> !, b -> 8, c -> 14, d -> $ и т.п.

КП>> основная идея — не помня пароля, знать, где он лежит и вычислить его или восстановить.
М>если не помните пароль, то вы его сбросите быстрее чем вычислите хэш и надежнее. обычно для этого нужно мыло или мобила. если пропало и то, и другое -- это конец света и пароли вам больше не понадобятся.

да, это конец света. тут ты труп __с твоим способом__. пароль от мыла как ты будешь сбрасывать? его все равно нужно зазубрить.
а если симка потерялась и она не была на тебя оформлена? у меня такое было, просто в некоторых странах их продают без паспорта. как ее восстанавливать?
а если мыло не работает? например, в некоторых странах mail.ru по несколько часов не загружается. в Китае гмейл не работает, в некоторых соседних странах симки другой страны, в ЮВА, например, не работают вообще и это симки стран-соседей и операторы довольно крупные.

>> и как только хакер узнает твои символы, тебе нужно будет зазубрить другой набор символов.
М>набор-то практически бесконечный. разве что у вовочки даже кирпичи ассоцируются с бабами.
М>практическая польза как я уже писал можно хоть пи запомнить за разумное время с точностью хоть до 100 знаков. и тут мы внезапно приходим к тому, что можно грубо говоря помнить pi**2, пароль числа с 69 (секс позиция любимая) до 96 (после секса).

как я и говорил: я помню все свои пароли. пароли довольно сложные. только не помню на каком сайте какой пароль и какая там комбинация цифр и букв.

Здравствуйте, Капа Парло, Вы писали:

Ты споришь ради спора. Прекращай.

Что-то запоминать все равно нужно. С этим все согласны. Для запоминания есть разные техники. Ты (пока) не предложил ничего нового.

Здравствуйте, мыщъх, Вы писали:

М>используем ассоциации. стойкие и персональные. например мои

Так они на каждом приходе новые будут.

Здравствуйте, Капа Парло, Вы писали:

КП>Здравствуйте, мыщъх, Вы писали:

КП> что-то можно из этого автоматизировать.
вперед! запилите программу, она станет популярной и будет вам пляж с банкоматом.
но что-то мне подсказывает, что этого не произойдет. что-то мне подсказывает, что люди придумали пароли не вчера и даже не позавчера и не только придумали, но и внедрили.

вы упомянули флешку. чем дальше, тем чудесатее. люди придумали хранить на флешке ключевой файл. кстати, не только для мастер паролей, но и для ssh паролей например.

вы почему-то не упоминаете мобилу. на ней можно хранить мастер пароль к лаптопу или приложение для аутентификации манагера паролей на десктопе. это уже используется во всю и обрело популярность.

обретет ли ваш способ популярность? будут ли его использовать больше пары человек на планете?

Здравствуйте, Капа Парло, Вы писали:

КП>Здравствуйте, мыщъх, Вы писали:

КП> а откуда хакер знает, добавил лы ты его вообще?
ок. без соли сценарий примерно такой:
гуглим текст книги, находим нужный абзац, выделяем и рукописный плагин для браузера генерит хэш на основе выделения.

появляется соль:
гуглим текст книги, находим нужный абзец, выделяем, копируем в буфер, запускаем блокнот, вставляем, добавляем соль, сохраняем на диск и генерим хэш на основе.

первый сценарий более скрытен.

КП> нет так нет. сегодня. а завтра пойдешь в кофе-шоп
а мне нужно сегодня, т.к. от этого зависит моя работа, например.
кофе-шоп известный рассадник малвари. круто, чо.

КП> вообще, это — редкий случай. и тут надо себя винить.
кого винить это не тот вопрос. метод хранения мастер пароля должен это учитывать. иначе это плохой метод и народ предпочтет другой.

КП> важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__.
повторяю еще раз. пароли можно вообще не запоминать и каждый раз сбрасывать. возражения?

КП> руками можно подправить
что править-то? нужно помнить как там пишется буква йо и какие спец-символы используется. тот же тире vs дефис. три точки могут быть три символа или один. там еще много что может быть. сначала попробуйте ваш метод на практике.

КП> Если на компе есть малварь, то тогда дело уже плохо. Эта мальварь и так может
КП> легко украть пароль, который ты хранишь в голове, когда ты его вводишь.
как я уже писал ранее -- манагеры паролей знают об этом и сопротивляются перехвату.

Здравствуйте, __kot2, Вы писали:

__>меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого хэша абзаца. энтропия-то реальная у всего этого низкая.
__>как только появится класс людей, делающих подобным образом, сразу кто-то просто посчитает хэши всех абзацей всег книг и будет по ним брутфорсить тоже. их немного, этих книг.

1. ИМХО ты оперируешь некоторой абстрактной энтропией. Вот например насколько отличаются (и в каких единицаз) энтропии паролей "словсоставленныхвпредложение", "_kjdсоставленныхвпредложение", "mnbvcxz", "ydkle"?
2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая. Класса людей такого нет, хешей всех абзацев тоже и в перспективе ближайших лет этого не будет. Этого достаточно для того, чтобы считать способ практически (ближайшие годы) стойким. Ну а теоретическую стойкость даёт только одноразовый блокнот.
3. Оригинал идеи в использовании пароля не из одного слова, а фразы, включающей в себя несколько слов, возможно разных символов, регистров и правил их комбинации. Эта идея ортоганальна использованию случайно сгенерированных паролей, в том плане, что парольная фраза может включать случайно сгенерированный пароль. А поскольку злоумышленник не знает правила по которому формируются случайная и осмысленная части, он будет вынужден считать весь пароль случайно сгенерированным. Я думаю не имеет смысла оспаривать, что "но случайноou34gsdarвзгляд его упал на стол" имеет большую стойкость, чем "ou34gsdar"?

Здравствуйте, m2l, Вы писали:

m2l>Здравствуйте, __kot2, Вы писали:

m2l>2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая.
практическая стойкость равна нулю. потому что данный метод не учитывает ни реальных угроз, ни реальной психологии юзеров.

если на то пошло, то почему бы не использовать в качестве пароля корень из трех например? взять первые N символов чтобы не зависеть от калькулятора. если хакер не знает как мы вычисляем пароль... да если и знает, то очень трудно автоматизировать брутфорс комбинаций математических операций.

Здравствуйте, мыщъх, Вы писали:

m2l>>2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая.
М>практическая стойкость равна нулю. потому что данный метод не учитывает ни реальных угроз, ни реальной психологии юзеров.
Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет.
Осталось понять откуда ты возьмешь совершенно случайный ключ для одноразового блокнота.

М>если на то пошло, то почему бы не использовать в качестве пароля корень из трех например? взять первые N символов чтобы не зависеть от калькулятора. если хакер не знает как мы вычисляем пароль... да если и знает, то очень трудно автоматизировать брутфорс комбинаций математических операций.
Если мы говорим об осмысленных паролях, то способ их выбора (расчета) так же является частью секрета.
Вот берешь ты в качестве пароля совершенно случайную комбинацию. Которая совершенно случайно совпадает с первыми N символов твоего корня. Твой пароль стал от этого совпадения менее стойким? И почему "хакер" должен перебирать математические операции, а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?

Здравствуйте, m2l, Вы писали:

m2l>Здравствуйте, мыщъх, Вы писали:

m2l> Вот берешь ты в качестве пароля совершенно случайную комбинацию.
m2l> Которая совершенно случайно совпадает с первыми N символов твоего корня.
m2l> Твой пароль стал от этого совпадения менее стойким?
это же базовая матчать. комбинация 123456789 является случайной и генератор случайных чисел ее выдаст раньше или позже. равно как и комбинация 3333333.

вы совершаете ошибку из серии: при случайном подбрасывании монеты кол-во орлов и решек одинаково. но если проверить, то можно получить комбиацию: орел-орел-орел-орел-орел, которая будет совершенно случайной, но как пароль очень слабой.

> И почему "хакер" должен перебирать математические операции,
> а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?
перебор стихов проще автоматизировать. перебор математических формул сложнее.
но грубо говоря и там, и там стойкость одного порядка. различие лишь в том, что вычислить 69^6 можно на любом калькуляторе. хоть на компе, хоть на мобиле, хоть на планшете прости господи. для этого не нужно интернета. для этого не нужно чтобы в этом иннете были стихи поэтов. для этого не нужно совершать сложные операции по выделению блоков, запуску ворда для исправления форматирования и замены дефисов и тире на знак минус. для этого не нужно искать утилиту для вычисления хэша.

непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл ~~сломался~~ не находит ваш текст.

Здравствуйте, мыщъх, Вы писали:

М>это же базовая матчать. комбинация 123456789 является случайной и генератор случайных чисел ее выдаст раньше или позже. равно как и комбинация 3333333.
М>вы совершаете ошибку из серии: при случайном подбрасывании монеты кол-во орлов и решек одинаково. но если проверить, то можно получить комбиацию: орел-орел-орел-орел-орел, которая будет совершенно случайной, но как пароль очень слабой.
Да я как бы знаю, иного не говорю и ты тут больше сам с собой споришь.

>> И почему "хакер" должен перебирать математические операции,
>> а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?
М>перебор стихов проще автоматизировать. перебор математических формул сложнее.
М>но грубо говоря и там, и там стойкость одного порядка. различие лишь в том, что вычислить 69^6 можно на любом калькуляторе. хоть на компе, хоть на мобиле, хоть на планшете прости господи. для этого не нужно интернета. для этого не нужно чтобы в этом иннете были стихи поэтов. для этого не нужно совершать сложные операции по выделению блоков, запуску ворда для исправления форматирования и замены дефисов и тире на знак минус. для этого не нужно искать утилиту для вычисления хэша.
Грубо говоря всё упирается в априорное знание о пароле. Ты знаешь, что 123456789 встречается у каждого сотого/тысячного пользователя, поэтому для тебя это словарный пароль, перебираемый в первую очередь. Если ты не имеешь априорного знания, что пароль являться фразой из нескольких слов и способа формирования этой фразы, то что ты собрался перебирать?

М>непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл ~~сломался~~ не находит ваш текст.
Ты вбил себе в голову, что парольная фраза это кусок существующего текста. С чего бы вдруг? Найди в гугле фразу "буйное озеро из восьми бумажных деревьев", а лучше "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев".
Весь смысл парольных фраз в том, что они имеют какой-то смысл для автора, но бессмысленны (кажутся случайной комбинацией) для стороннего наблюдателя ("хакера").
И вообще тыж себя позиционируешь как безопасника? Вот у Брюс Шнайера написано как парольные фразы закрывают основные угрозы.

Здравствуйте, m2l, Вы писали:

m2l>Здравствуйте, мыщъх, Вы писали:

m2l>Ты вбил себе в голову, что парольная фраза это кусок существующего текста.
это не я, а ТС. парольные фразы это ок. хэш от куска текста это не ок. так что непонятно о чем мы спорим.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, Капа Парло, Вы писали:

КП>>Здравствуйте, мыщъх, Вы писали:

КП>> а откуда хакер знает, добавил лы ты его вообще?
М>ок. без соли сценарий примерно такой:
М>гуглим текст книги, находим нужный абзац, выделяем и рукописный плагин для браузера генерит хэш на основе выделения.

М>появляется соль:
М>гуглим текст книги, находим нужный абзец, выделяем, копируем в буфер, запускаем блокнот, вставляем, добавляем соль, сохраняем на диск и генерим хэш на основе.

М>первый сценарий более скрытен.

почему плагин хэш сможет посчитать, а соль добавить не сможет, если он самописный?

КП>> важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__.
М>повторяю еще раз. пароли можно вообще не запоминать и каждый раз сбрасывать. возражения?
писал выше. если ты потеряешь свой телефон или симку или мыло у тебя не работает в одной из стран, то как ты будешь восстанавливать пароль?

Здравствуйте, мыщъх, Вы писали:

>> И почему "хакер" должен перебирать математические операции,
>> а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?
М>перебор стихов проще автоматизировать. перебор математических формул сложнее.

всех стихов в мире, и часть их частей в разных комбинациях и с солью? солью может быть математическая формула.
это еще если ты знаешь, что мой пароль составлен из какого-то стиха и в него добавлена соль, а если нет, то что ты собрался перебирать?

Здравствуйте, m2l, Вы писали:
m2l>Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет.
вот именно, что учитывая психологию пользтвателей можно сразу проиндексировать только сборник стихов Мао Дзе Дуна, Библию, собрание сочинений Ленина, Донцову и это уже покроет 90% книг 90% людей

Здравствуйте, __kot2, Вы писали:

__>Здравствуйте, m2l, Вы писали:
m2l>>Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет.
__>вот именно, что учитывая психологию пользтвателей можно сразу проиндексировать только сборник стихов Мао Дзе Дуна, Библию, собрание сочинений Ленина, Донцову и это уже покроет 90% книг 90% людей

Я отвечал на твоё:
__>меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого...
Процитирую сам себя:

Весь смысл парольных фраз в том, что они имеют какой-то смысл для автора, но бессмысленны (кажутся случайной комбинацией) для стороннего наблюдателя ("хакера").

Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?

Здравствуйте, m2l, Вы писали:
m2l>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?
люди слишком прелсказуемы
цвет волос — блонд
любимый фильм — куда приводят мечты
любимая цитата — меня сложно обрести, легко потерять и невозможно забыть

подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается

так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"

Здравствуйте, __kot2, Вы писали:

m2l>>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?
__>люди слишком прелсказуемы
__>цвет волос — блонд
__>любимый фильм — куда приводят мечты
__>любимая цитата — меня сложно обрести, легко потерять и невозможно забыть

__>подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается

__>так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"

Ну, пока брутфорс этих десятков миллионов не даёт результатов — они поступают верно.
Ты прав в том плане, что многие люди не задумываются о сходном образе мышления и выбирают неслучайные для стороннего наблюдателя пароли. Но ИМХО это больше вопрос "компьютерной грамотности", и случайные пароли такие люди ИМХО выбирать не будут. И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный.

Здравствуйте, m2l, Вы писали:
m2l>И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный.
"безопасность через незнание"

мой пойнт в том, что все такие пароли на самом деле небезопасны и не надо ставить их на, там, панель управления ракетами или на админку gmail
только тру рандом, только харкор!

Здравствуйте, m2l, Вы писали:

М>>непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл ~~сломался~~ не находит ваш текст.
m2l>Ты вбил себе в голову, что парольная фраза это кусок существующего текста. С чего бы вдруг? Найди в гугле фразу "буйное озеро из восьми бумажных деревьев", а лучше "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев".

можно набирать "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев" переключаясь после каждого слова на другую языковую раскладку

Здравствуйте, __kot2, Вы писали:

__>Здравствуйте, m2l, Вы писали:
m2l>>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?
__>люди слишком прелсказуемы
__>цвет волос — блонд
__>любимый фильм — куда приводят мечты
__>любимая цитата — меня сложно обрести, легко потерять и невозможно забыть

__>подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается

__>так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"

думаю, что так только у домохозяеек.

Здравствуйте, __kot2, Вы писали:

m2l>>И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный.
__>"безопасность через незнание"

__>мой пойнт в том, что все такие пароли на самом деле небезопасны и не надо ставить их на, там, панель управления ракетами или на админку gmail
__>только тру рандом, только харкор!

Я в целом за. Просто "тру рандом" отсутствует и за неимением лучшего...

Здравствуйте, m2l, Вы писали:
m2l>Я в целом за. Просто "тру рандом" отсутствует и за неимением лучшего...
человеку д-но не особо дается запоминание тру рандома, поэтому есть двухфакторная авторизация

КП>а что если: вместо того, чтобы запоминать эти мастер пароль(и), можно взять абзац из какой-нибудь вашей любимой книги и вычислить у него хэш? вот и пароль готов. они длиннее, его не надо набирать, он не потеряется и никто не догадается. как идея?
Как шутка — неплохо.

Здравствуйте, Don Reba, Вы писали:

vsb>>Зачем решать несуществующую проблему? Просто сгенерируй случайный пароль символов в 12 и выучи его, вот и всё. Выучить 12 символов это 15 минут. Вбивание его каждый день гарантирует, что ты его никогда не забудешь. Потратить 15 минут раз в год несложно.

DR>Я пароль от кредитки из четырёх цифр, который использую почти каждый день, недавно целый день не мог вспомнить. 12 символов — это не реально.

Не верю, что нереально. Сгенерируй случайный пароль, запиши его на бумажку, выучи. Процесс выучивания простой — сначала запоминаешь первый символ, вводишь. Потом смотришь второй символ, вводишь первые два. Потом смотришь третий символ, вводишь первые три и тд. При любой опечатке откатываешься на 1 длину назад. Когда все 12 выучил (последние могут забываться, это нормально), поставь его себе на компьютер, блокировку экрана на пароль через минуту бездействия, конечно на бумажку запиши или в телефон. Через пару дней выучишь на отлично. Теперь надо только повторять хотя бы раз в неделю и всё. У меня несколько паролей от 8 до 12 символов и 1 на 25 символов, которые я таким образом выучил и использую в важных местах уже много лет. Никаких проблем нет. При том, что у меня никакой особенной памяти нет, скорее наоборот, я весьма забывчив. Я могу пароль не помнить, но пальцы помнят и сами набирают. Ещё могу посоветовать не использовать большие буквы, они путают всегда, только маленькие буквы и цифры (если айфон, то и цифры лучше исключить).

Есть ещё техники, когда с каждым символов ассоциируется какой-то образ и пароль представляется в виде истории. А подобные вещи мозг запоминает просто на отлично, если наловчиться, можно буквально с одного раза запоминать длинные последовательности. Но такое нужно предварительно тренировать. Мне тупой зубрёжки хватает. Кстати техника со школы ещё осталась, когда заставляли зубрить стихотворения на казахском языке. Я не понимал ни слова, но слово за словом зазубриал их. Тут то же самое, только вместо слов символы.

	От:	Капа Парло
	Дата:	08.04.16 04:41
	Оценка:	+1

	От:	Капа Парло
	Дата:	09.04.16 09:01
	Оценка:	-1

	От:	vsb
	Дата:	09.04.16 18:14
	Оценка:	-1

От:	Don Reba	https://stackoverflow.com/users/49329/don-reba
Дата:	11.05.16 08:38
Оценка:	+1

От:	_ichensky	https://github.com/ichensky
Дата:	08.04.16 07:18
Оценка:

От:	мыщъх	http://nezumi-lab.org
Дата:	09.04.16 00:09
Оценка:

	От:	__kot2
	Дата:	10.04.16 12:01
	Оценка:

	От:	m2l
	Дата:	10.04.16 12:20
	Оценка:

	От:	__kot2
	Дата:	10.04.16 13:33
	Оценка:

	От:	m2l
	Дата:	11.04.16 16:50
	Оценка: