LINUX.ORG.RU

Оцените идею безопасности

 ,


1

1

Я очень люблю использовать везде одинаковый пароль на сайтах без финансов, мне полностью все равно если кто-то взломает меня в одном из них. Но из-за этого на всех сайтах связанных с финансами приходится использовать другой пароль,и я постоянно их забываю.

А ведь основная проблема в том, что я зарегистрирован наверное на сотнях сайтов с одним паролем, и вдруг на одном из этих сайтов злой админ зайдет в БД и посмотрит на пароль.

Моя идея в следующем, я использую везде одинаковый пароль, но к нему применяю функцию, например, md5(мой пароль + домен сайта).Вот и получается что ЗЛОЙ_АДМИН даже увидев мой пароль не сможет им воспользоватся на другом сайте, а я смогу пользоваться везде одним и тем-же паролем. Но не все так гладко, проблема будет тогда когда сайт сменит домен, и ещё одна проблема это разные требования сайта к паролю(например обязан содержать знак, цифру, большую букву).

Покритикуйте идею.

★★★

А не проще ли использвать какой-нибудь менеджер паролей и помнить пароль только от него? К тому же, я не думаю что в БД пароли лежат в чистом виде.

static ★★
()

Давно вынашиваю примерно подобную идею, но вместо md5 использовать легко вычислимую в уме (sic!) хеш-функцию.

mix_mix ★★★★★
()

Хацкер сбрутит твой мд5 и все поймет. Или прочитает эту тему и сбрутит еще быстрее.
Утекла база - как сменить пароль?
Скомпрометировал свой пароль - меняй везде.

KillTheCat ★★★★★
()

Почитайте про Закон Шнайера

Из статьи «Закон Шнайера» http://habrahabr.ru/post/239287/

Фил Циммерманн, создатель PGP, написал по этому поводу следующее:

Когда я учился в колледже в 70-х я придумал, как мне тогда казалось, идеальную схему шифрования. Простой генератор псевдослучайных чисел генерировал гамму, которая суммировалась с открытым текстом. Схема была стойкой против частотного анализа шифртекста и была совершенно не взламываема для спецслужб, обладающим огромными вычислительными мощностями. Годы спустя я нашел похожую схему в некоторых учебниках по криптографии. Классно. Другие криптографы думают в похожем направлении. К сожалению, схема была описана в качестве простого домашнего задания: взломайте схему, используя базовые методы криптоанализа.

anonymous
()
Ответ на: комментарий от mix_mix

Давно вынашиваю примерно подобную идею, но вместо md5 использовать легко вычислимую в уме (sic!) хеш-функцию.

Сильно.

crutch_master ★★★★★
()

и вдруг на одном из этих сайтов злой админ зайдет в БД и посмотрит на пароль

И тут же побежит с хреном наголо по тысячам тысяч других ресурсов в поисках тех, где ты ещё зарегистрирован?

Valkeru ★★★★
()

Есть одна проблема. Твой способ не проще чем хранение генерированных паролей в keychain. А если нет разницы то, зачем заниматься такой ерундой, а не просто использовать нормально сгенерированные пароли?

anonymous
()
Ответ на: комментарий от Woklex

В чём суть использования LastPass, кроме того, что все пароли лежат там в открытом виде и сливаются АНБ?

Deleted
()

Напомнило одну шутку:
- Как проверить уникальность придуманного мной пароля?
- Поищи его в гугле.
- Поискал. Не нашел. Можно ли считать мой пароль уникальным/безопасным?
- Теперь нет.

Этим постом ты опубликовал рецепт еще одной папытки перебора паролей ботами :)

blexey ★★★★★
()
Ответ на: комментарий от Valkeru

И тут же побежит с хреном наголо по тысячам тысяч других ресурсов в поисках тех, где ты ещё зарегистрирован?

Нет, побежит на сайты типа вебмани, или privatbank, у него база в тысячи паролей, один то уж точно подойдет.

abs ★★★
() автор топика
Ответ на: комментарий от KillTheCat

Хацкер сбрутит твой мд5 и все поймет.

Да ну? Можно использовать свою функцию шифрования(например взять числовую хеш функцию от моего пароля, дальше взять 15 знаков числа пи начиная с этого числа) и итоговая формула md5(my pass + XOR(Pi + domen))

abs ★★★
() автор топика
Ответ на: комментарий от Deleted

Удобно что это всё на сайтах автозаполняется, на каждом сайте сильный пароль. Думаю АНБ не будет трогать мой qiwi кошелек и т.п. Вообще я бы больше переживал насчёт ФСБ.

Woklex
()
Ответ на: комментарий от Woklex

Я использую LastPass, ввожу пароль вообще один раз.

А насколько это безопасно ?
Никогда не пользовался подобным софтом.

Dontes ★★
()
Ответ на: комментарий от Dontes

Ну это безопасней чем один пароль на все сайты. А так могут пароли увести если весь LastPass поимеют.

Woklex
()

злой админ зайдет в БД и посмотрит на пароль

Там обычно хранятся хэши, а не пароли. Пароль по ним узнать сложновато.

Покритикуйте идею

Лучше использовать менеджер паролей.

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Там обычно хранятся хэши, а не пароли. Пароль по ним узнать сложновато.

Так а если злой админ попросил злого программиста изначально сделать так чтоб там хранился просто пароль.

abs ★★★
() автор топика

я использую везде одинаковый пароль

Это модный тренд. Например, входить всюду через фейсбук.

Deleted
()
Ответ на: комментарий от Deleted

Например, входить всюду через фейсбук.

А там где нет такой возможности?

abs ★★★
() автор топика
Ответ на: комментарий от static

К тому же, я не думаю что в БД пароли лежат в чистом виде.

злой админ может поменять код CMS так, что-бы оно сохраняло пароли в открытом виде например в файл на сервере. Там всего одну строчку добавить.

emulek
()

Покритикуйте идею.

лень.

Я делаю иначе:

1. пароли везде разные(и стойкие), и хранятся в браузере.

2. каталог браузера лежит в памяти.

3. ещё каталог браузера лежит на HDD, но в зашифрованном GnuPG виде.

4. каждый час каталог шифруется и скидывается на диск.

Запоминать нужно один пароль — от секретного gpg ключа, которым это всё расшифровывается один раз при загрузке системы.

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.