LINUX.ORG.RU

[велосипед]Хитрый план по запоминанию паролей

 


0

0

Будучи полным профаном в комп. безопасности и не разу не претендуя на оригинальность, недавно я от нечего делать придумал^H додумался до системы (велосипед), упрощающей создание и запоминание паролей. Достаточно запомнить слово (хоть "Sex" или "123456"), число и алгебраическую (арифметическую) операцию, которые следует над ним (двоичным представлением строки) произвести. Ну и, конечно же, нужно иметь программу, которая посчитает пароль. Я считаю так будет намного проще, чем пользоваться генератором и полагаться на дырявую человеческую память для запоминая пароля от 8 символов (или сколько там достаточно на современном этапе развития вычислительной мощности).

Я почти уверен что такая программа уже есть, а если нет, то мы (в крайнем случае я) её за пару дней напишем и отладим.

Смешно. Что мешает перебирать символы вместе с алгоритмами?
Пароль нужен действительно длинный и случайный, нельзя полагаться на знания взломщика.

alex4
()
Ответ на: комментарий от alex4

Комбинаторику уже забыл, но интуиция показывает, что если ещё учесть количество алгебраических операций, то ты заколебаешься перебирать. Базовый пароль конечно же должен быть посложнее.

yurikoles ★★★
() автор топика
Ответ на: комментарий от yurikoles

Интересны 2 вопроса:

  • На сколько сложно (затратно) будет восстановить базовый пароль по той белиберде, что выдаст программа?
  • Что будет если таки узнают базовый пароль?
yurikoles ★★★
() автор топика

велосипед самый настоящий. Обычно в качестве "алгебраической операции" берут хеш-функцию (sha256 например) + truncation.

pupok ★★
()
Ответ на: комментарий от pupok

Млять, ну знал же!
А сколько всего хороших хэш-функций?

yurikoles ★★★
() автор топика
Ответ на: комментарий от pupok

*заискивающе* может мой вариант даст больше возможных паролей? Т.е. если сравнить мой вариант с вариантом хэширования "%s %d"?

yurikoles ★★★
() автор топика

_[velosiped]!hitriy!!plan!!!po!!!!sozdaniyu!!!!!paroley_

record ★★★★★
()
Ответ на: комментарий от yurikoles

хэш-функцией может быть не любая "алгебраическая операция". Нужно грубо говоря чтобы как ты выразился "сложно (затратно) было восстановить базовый пароль по той белиберде", а точнее чтобы вообще статистически корреляция не прослеживалась, и это должно быть математически доказано. На этом вся криптографическая защита и живёт.

Хороших хэш-функций известно те так много, но никто не мешает тебе играться с итерацией и транкацией. Например берешь md5("text"), потом из полученой стоки берешь символы с третьего по 12-тый, приписываешь к ним "salt", потом берешь от этого sha1, ну и так далее. Хотя я думаю что уже на двух шагах стоит остановиться :)

pupok ★★
()

Основная теорема ректотермального криптоанализа: «Время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа»

Deleted
()

>Ну и, конечно же, нужно иметь программу, которая посчитает пароль

Вот тут и прокол. Порграмма где-то хранится. Т.ч. достаточно посмотреть, что ты "чаще всего" запускаешь, и твой пароль уже не твой. Т.е. решение эквивалентно хранению длинного пароля в файлах.

Т.ч. пароль либо не использовать либо случайный. Т.ч. кошерный способ генерации пароля -- направить вывод генератора случайных чисел во что-то, сериализующее в подобие слов/предложений привычного пользователю языка.

DonkeyHot ★★★★★
()
Ответ на: комментарий от DonkeyHot

> Порграмма где-то хранится. Т.ч. достаточно посмотреть, что ты "чаще всего" запускаешь

да пусть хоть всего одна программа, стандартная sha1sum. Но только я знаю сколько раз её надо запускать, какие подстроки выбирать и какую соль добавлять.

pupok ★★
()
Ответ на: комментарий от pupok

То-есть подбор пароля теперь не только подбор по словарю плюс всяческое искажение полученных слов и словосочетаний, но и еще применение хеширования. Да, большая разница. Кстати - если тебе так легко запоминать sha хеши - какие пароли ты запомнить не можешь? Или как, ты собираешься каждый раз, когда тебе нужен пароль генерить его заново, лол? Проще уж запомнить.

alex4
()
Ответ на: комментарий от alex4

>Или как, ты собираешься каждый раз, когда тебе нужен пароль генерить его заново, лол?

Я думаю мой вариант, т.е. запомнить слово, число и действие как раз легче.

yurikoles ★★★
() автор топика

А не проще взять KWallet, запомнить один зубодробительный пароль, а потом в качестве всяческих паролей dmesg | tail | md5sum использовать?

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Это менее безопасно, имхо. К тому же, ты не на всех терминалах его запустишь.

yurikoles ★★★
() автор топика

>человеческую память для запоминая пароля
вполне себе храню в голове где-то десяток паролей от 8 символов и более.

и вообще, чего только люди не делают, чтобы не использовать менеджеры паролей..

PS: у мя keepassx

xydo ★★
()
Ответ на: комментарий от redgremlin

>dmesg | tail | md5sum
один пароль на все "форумы"?
а если какой сервис захочешь в disable на долгое время отправить?

xydo ★★
()
Ответ на: комментарий от xydo

Ещё раз, у тебя есть манагер, который ты можешь запустить на любом терминале? Тебе нужно носить с собой "бумажник". Если кто-то узнает главный пароль?

yurikoles ★★★
() автор топика
Ответ на: комментарий от yurikoles

>Базовый пароль конечно же должен быть посложнее.

это убивает весь смысл програмы..

И вообще, давно известно, что лучше иметь длинный и сложный пароль, записанный на обоях над монитором, чем простой, который хранишь в голове, и как бы ты с ним не извращался.

mono ★★★★★
()
Ответ на: комментарий от mono

Из одного базового пароля можно насоздавать туеву хучу паролей, внешне ни как не связанных, же.

yurikoles ★★★
() автор топика
Ответ на: комментарий от yurikoles

Хм.. действительно. Не подумал.. Но что будет, если злобный хакер Петя из соседнего подъезда узнает базовый пароль и будет брутфорсить его алгоритмами на своем Mac Pro с двумя четырехъядерными процессорами..

mono ★★★★★
()
Ответ на: комментарий от xydo

>один пароль на все "форумы"?

dmesg вообше-то на десктопе статику выдает только при большом желании
>а если какой сервис захочешь в disable на долгое время отправить?

iptables

redgremlin ★★★★★
()
Ответ на: комментарий от mono

Вот тем и хорош вольет - кроме терморектального криптоанализа требуется еще и физический доступ к машине, ибо поциент и сам не знает, какой где у него пороль.

redgremlin ★★★★★
()
Ответ на: комментарий от mono

Ну не считая архивов, против брутфорса везде есть защита.

yurikoles ★★★
() автор топика

На практике вы можете использовать что угодно. Хоть фамилию вашей мамы + 3 числа.

vasily_pupkin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.