Про гром, мужика и интернет-паспорт

Если у злоумышленника есть возможность узнать мастер-пароль

Угадать. А без менеджера он угадает 1 пароль от допустим соцсети и дальше никак.

А без менеджера он угадает 1 пароль от допустим соцсети и дальше никак.

false, если пользователь использует уникальные сложные пароли везде — он гарантированно записывает их где-то. Менеджер паролей — вполне себе решение.

Если пароли уникальные и простые — угадывает все. Неуникальные или составленные по какой-либо схеме — достаточно угадать/узнать несколько. Если записывает где-то ещё — в безопасности плюсов нет.

Угадать

Удачи с угадыванием хорошей парольной фразы.

А через месяц неиспользования ты его пытаешься вспомнить и понимаешь что ЗАБЫЛ.

ЧТД, пароли нужно записывать.

Причём, если пароль «человеческий» осмысленный его реально вспомнить, как в том приколе, «пролистав словарь Ожегова». А «правильный» сложный пароль с буквами-цифрами уже всё.

http://xkcd.com/936/ — единственный правильный пароль из тех, что запоминают люди.

А с буквами-цифрами — это для менеджеров паролей.

Видел этот комикс, он тупой. С какого-то перепуга авторы подсовывают мысль, что слово не меняется, а меняются только извращения над ним. А без этого рушится весь прикол.

можно вспомнить пароль, восстановив ту обстановку, в которой он набирался, ту же клавиатуру, тот же комп ( в реале или в голове), тогда есть шанс вытянуть его из памяти по ассоциациям

Нет, они дают 15 бит на базовое слово. Это словарь из 32К слов, вполне достаточно.

Для сравнения, во втором варианте — словарь на 2к слов.

Edit: ошибся на двоичный порядок

моя мама работает дошкольным учителем в частном детском садике. На днях им сделали корпоративную почту и выдали рэндомные пароли типа «aDjiI23JIjnUJUhbn8134u», длиной в 20 символов. Они в здравом уме?

С полгода назад, чтоб зарегать человека в скайпе пришлось накатить в поле пароля полстраницы спецсимволов, иначе ругалось на простоту. Полчаса убил. Сейчас багу вроде б исправили, но периодически вижу нечто подобное на всех сервисах.

составленные по какой-либо схеме — достаточно угадать/узнать несколько

Нет. Схема может включать в себя дополнительную ключевую информацию, так что получение одного пароля может не привести к получению остальных. Я использую как раз такую схему.

Зачем усложнять задачу злоумышленнику?

wat?

Лорчую.

«не надо дрочить на безопасность везде и всюду»

«Надо, Федя, надо»

Они в здравом уме?

Да.

пароли просто устарели. Мастер пароль по лицу в вебкамеру, отпечатку пальца, смарт карте etc и кошелек паролей к сайтам/сервисам. Для хомячка ок. Люди грамотные конечно понимают что палец твой могут и отрезать или ты сам палец обрежешь пока нарезаешь салат и потому все таки текстовый пароль есть

Неуникальные или составленные по какой-либо схеме — достаточно угадать/узнать несколько.

например

echo -n "логин, адрес сайта, ещё инфа, которую невозможно забыть + соль в начале, или конце" | sha1sum | xxd -r -ps | base64 | head -c 16

Пароль уникален везде. Записывать его не требуется, требуется только помнить соль. Даже зная «схему составления» и как-то заполучив несколько паролей, не зная соли, злоумышленник не получит остальных.

Дано, естественно, для примера. Если использовать на практике, можно делать немного сложнее, а соль надо не вбивать так, чтобы она в истории ввода сохранялась, а спрашивать скриптом.

Люди грамотные конечно понимают что палец твой могут и отрезать

Если тебе скажут что сейчас будут палец отрезать, то ты свой неуязвимый текстовый пароль им сразу расскажешь ;)

Палец можно срезать и с бездыханного тела, а выбить пароль ещё надо суметь

Лишнее усложнение же. Если есть желание генерировать пароли — можно их и записывать. Тем более генерировать их так при каждом логине неудобно. На практике схемы такой сложности не применяют именно из-за наличия менеджеров паролей.

Палец можно срезать и с бездыханного тела

Вот честно, если мое тело станет бездыханным, то мне на пароль, данные, доступ и все остальное будет глубоко уже наплевать.

а выбить пароль ещё надо суметь

а вот когда пригрозят, что тело бездыханным станет, тогда я сразу пароль и скажу, и даже сам его введу и палец приложу и лицом посвечу в камеру. абсолютно добровольно ;)

man сарказм

а вот когда пригрозят, что тело бездыханным станет, тогда я сразу пароль и скажу, и даже сам его введу и палец приложу и лицом посвечу в камеру. абсолютно добровольно

а потом тебя всё равно грохнут, чтоб не оставлять свидетеля.

в шпионы тебя не возьмут

Вместо паролей нужны «электронные отпечатки» авторизуемого (физические электронные ключи, записанные на пластиковой карте или в файле на флешке совместно с: экспресс-сканированием пальца/сетчатки, быстрым анализом фрагмента ДНК, голоса, etc.). Тогда проблема потери ключей/передача их вторым и третьим лицам и, собственно, юзежа систем авторизации «не теми пользователями, за кого они себя выдают» будет решена раз и навсегда.

Но учить пользователей не давать свои пароли знакомым нужно уже сейчас, а то в новых условиях им придётся расстаться с пальцем и/или глазом. :))

Почему-то в клиент-банке есть проверки пароля не только на длину и состав символов, но и запрет использования старых паролей, смененных принудительно по тайм-ауту еще несколько лет назад.

Про накленные на монитор бумажки уже сказали, да? И про дописывание каких-нибудь символов к старым паролям.

Лишнее усложнение же. Если есть желание генерировать пароли — можно их и записывать. Тем более генерировать их так при каждом логине неудобно. На практике схемы такой сложности не применяют именно из-за наличия менеджеров паролей.

Менеджер паролей потенциальная уязвимость. Причём есть даже два вариант — к нему кто-то получил доступ, либо просто посыпался жёсткий диск и все пароли накрылись медным тазом. А при такой генерации всегда и всё можно восстановить. Ничего сложного в считании контрольной суммы от информации, уникальной для каждого сайта плюс известного только тебе ключегого слова (одного) нет.

Это получается что-то вроде менеджера паролей, но который нельзя потерять. Я имею в виду, скрипт, запрашивающий соль (аналог мастер-пароля из менеджера) и инфу о сайте. По сути, это упрощённый (а не усложнённый) менеджер паролей, только в нём не хранятся сами пароли (а значит их не получит злоумышленник, даже имея твой жёсткий диск), и вся его «база» легко «восстанавливается» хоть на другом компьютере, хоть где.

к нему кто-то получил доступ

и не смог подобрать 20-символьный пароль

посыпался жёсткий диск

и забекапленная btsync/owncloud копия осталась

Но изначальная идея в Про гром, мужика и интернет-паспорт (комментарий) мне очень нравится. Оформите это в YOBA-софтину под Lin/Шin/Gay? Или я могу попытать себя в быдлокодинге.

посыпался жёсткий диск и все пароли накрылись медным тазом

Сказочник. Про бэкапы в вашей деревне тоже не слышали?

А при такой генерации всегда и всё можно восстановить. Ничего сложного в считании контрольной суммы от информации, уникальной для каждого сайта плюс известного только тебе ключегого слова (одного) нет.

В том числе и для неавтоматизированного взломщика. Не вижу принципиальной разницы с получением доступа к менеджеру паролей. Только костыли, ухудшающие юзабельность на ровном месте.

только в нём не хранятся сами пароли (а значит их не получит злоумышленник, даже имея твой жёсткий диск)

С моим keepass не хуже.

Я имею в виду, скрипт, запрашивающий соль (аналог мастер-пароля из менеджера) и инфу о сайте

В итоге ты вводишь секретную и открытую информацию. Зачем ты вводишь её когда можно хранить и автоматизировать часть процесса — хз. Может, роботам пофиг.

По сути, это　… менеджер паролей

Ну да, это такой неюзабельный велосипед, способный выполнять функции нормального.

вся его «база» легко «восстанавливается» хоть на другом компьютере, хоть где.

В случае с давно написанными решениями — внезапно, тоже.

На практике ты велосипедишь криптографию. Объяснять, чем это плохо?

Эмм. Этот человек использует sha1 как криптохэш и намеренно обрезает больше трети от него. При том, что у атакующего есть часть плейнтекста. Ты всерьёз хочешь это?

Тут не в алгоритме дело, а в подходе.

А пользователь должен просто пользоваться.

И не забывать платить церковную десятину, по воскресеньям ходить в церковь, исправно платить налоги и работать 6 дней в неделю не меньше 16 часов в сутки.