[$=P=Y]

Запароль меня по-всякому!

Привет, «Игромания». После инцидента с паролями социалки «ВКонтакте» я задумался, какое количество людей создает банальные, легко угадываемые пароли и сколько же простых смертных погорает на этом? Сам регулярно ловлю себя на том, что использую какие-то банальные пароли в почте и на многих форумах. На одной доске обсуждений меня недавно даже забанили: кто-то украл мой аккаунт (пароль был банальный qwerty) и выложил ссылки на порно.
Расскажите, а какими методами паролесоздания пользуетесь вы? И что вообще нужно учитывать, создавая пароль. А то я сталкивался с ситуациями, когда хакеры запросто подбирают даже довольно длинные пароли, которые мне кажутся сложными для взлома. – Кирилл Овчинников (Москва)

Александр Макаренко (Ломал мозг над паролями)

Для начала – небольшой ликбез для тех, кто не в курсе, что случилось с «ВКонтакте». Приблизительно месяц назад, 30 июля, в интернете неожиданно появился текстовый файл, содержащий несколько тысяч логинов/паролей участников этой социальной сети. Ссылка буквально за несколько часов распространилась по многочисленным форумам, народ начал развлекаться: скачавшие файл логинились под произвольным именем и различными способами подшучивали над настоящими владельцами акков. Меняли фотографии, переписывали личные данные, оставляли сообщения на «стене» в духе «я – лох, меня взломали».
Судя по всему пароли воровал троян, кто именно собрал все это в единый файл и выложил в интернете, на момент написания мной этих строк еще не ясно. Администрация «ВКонтакте» среагировала оперативно: заблокировала доступ к страничкам с украденными данными, выслала на почту истинным владельцам новые пароли – в общем, никаких серьезных последствий не было.
Но многие интернетчики смогли узнать, что множество людей используют самые банальные пароли – чтобы их подобрать, не нужен никакой декриптор, троян или еще какая-нибудь хакерская примочка, их можно взять просто из головы. Qweerty, 12345, 98765, 1q2w3e4r и тому подобные. Попадались и откровенно стебные пароли, которые, тем не менее, довольно просто подобрать: «хочумужика», «хочубабу», «мужикикозлы», «йаблондинко».
Особенно позабавил всех следивший за событиями пароль «яломалстеклокакшоколадвруке». И вот его на самом деле очень непросто подобрать, потому что состоит он из 27 символов, даже самый продвинутый подборщик угрохает не один месяц на расщелкивание такого монстра.
Теперь давайте о конкретике. Если вы не готовы запоминать такие громоздкие фразы и хотите пароль покороче, то лучше включить голову и выключить рубильник встроенной в каждого из нас имбецильности. Сложнее всего подбираются пароли, содержащие буквы, числа и знаки препинания одновременно. Буквы при этом лучше ставить в разном регистре (большинство сервисов поддерживают эту функцию).
Я чаще всего ставил пароль по следующей схеме. Беру два мало связанных слова. Например, «опарыш» и «злобный». Из-за малосовместимости этих слов они легко запоминаются. Добавляю какую-то хорошо известную мне цифру – скажем, 1940 год, год рождения Джона Леннона. Ставлю между ними какой-то логический знак – допустим двоеточие. Получается «ЗлобныйОпарыш:1940». Осталось только написать эту забавную фразу в английской раскладке – Pkj,ysqJgfhsi:1940 – и получается пароль, подобрать который методом ненаучного тыка невозможно, спецпрограммы с таким паролем тоже не справляются.

Светлана Померанцева (Раскрывала тайные секреты)

Старпом, метод, безусловно хороший, я сама пользуюсь приблизительно таким же. Но вот незадача – когда регистрируешься на множестве самых разных сайтов и служб, запомнить все такие прикольные пароли невозможно. А использовать один и тот же – тоже не хочется, ведь если кто-то украдет базу одного сайта (как это случилось с «ВКонтакте»), то злоумышленник получит доступ ко всем другим сервисам. Ты вот говоришь, что все закончилось без последствий, а откуда ты знаешь, где еще люди использовали те же самые пароли, что и в социалке? Может хакреы уже давно используют их твиттеры, почтовые ящики и аськи?!
Записывать же каждый раз новый пароль в отдельном файле – тоже не выход, его как базу паролей с сайта можно украсть прямо с вашего компьютера. Есть, конечно, программы-шифровальщики, но после того как я однажды потеряла всю базу паролей в результате краха системы, я перестала им доверять.
Поэтому я всегда ставлю на любой новый сервис стандартный пароль, но… меняю в нем по определенному алгоритму всего две буквы. На компьютере же держу только последовательность сервисов, то есть в какое время я в них регистрировалась. Зная последовательность, я всегда знаю какие две буквы на что надо поменять, чтобы получить правильный пароль.

- Игромания №9 (144) 2009

[Bad Gateway]

Цитата:

Сообщение от vik-0306

а вот разные qwerty и прочее очень даже могут подойти)

К сожалению да, аськи на такие слова просто пачками выпиливаются.

[Кар-Карыч]

Самое простое, менеджер паролей на флешке, достаточно запомнить один пароль, ну и таскать ее с собой везде .

[Bad Gateway]

Кар-Карыч,
а затем потерять флешечку и забыть все свои пароли.

[Dead Men]

Цитата:

Сообщение от $=P=Y

ведь если кто-то украдет базу одного сайта (как это случилось с «ВКонтакте»), то злоумышленник получит доступ ко всем другим сервисам.

Ткните пальцем на сайт, в БД которого пароли хранятся в открытом виде. Суперсложный заученный 30символьный пароль вполне можно использовать на всех сайтах, и никто его не украдет.

[GDI32.dll]

Цитата:

Сообщение от Dead Men

БД которого пароли хранятся в открытом виде

охосподе, да пусть там будет хоть пицот битный хэш, многие алгоритмы открыты, а некоторые легко тырятся. Наколдует злоумышленник своих хэшей из простых паролей типа qwerty или P@ssw0rd и сравнит с теми, что в краденной БД. 1% взломанных юзеров это очень много.

Цитата:

Сообщение от Dead Men

Суперсложный заученный 30символьный пароль вполне можно использовать на всех сайтах, и никто его не украдет

Оно то так, если сайты не очень важные, а если организация серьезная... ПЭМИН программно не защищается.

[Кар-Карыч]

Цитата:

Сообщение от Bad Gateway

а затем потерять флешечку и забыть все свои пароли.

Ну а если рассеянный, то можно одну в сейфе, а другую у тещи .

[Games Мания]

я до каковото времени считал что такой пароль 12№45:78( трудно взломать оказалась не так теперь я использую на сайтах кличку кота и его дату рождение при этом время от времени в пароли используется кномка шифт

[Woozy]

Вообще как показывает практика, человек перестает использовать легкие пароли и светить везде свои почтовые ящики после первого серьезного взлома. У самого взломали почтовый ящик лет 7 назад, а вместе с ним увели аську, мсн, игровые и форумные аккаунты. Мне тогда было всего 12, так что я не сильно-то заботился о защите, однако такой взлом оказался ударом ниже пояса. С тех пор у меня несколько почтовых ящиков, каждому отведена конкретная роль и при этом в ходу находится около шести паролей, состоящих из 18-24 символов(буквы, числа, слова на т.н. Leet'е и символы). Пароли хоть и длинные, но они все имеют скрытый смысл, пусть и зашифрованный. На случай полной амнезии, они записаны в записной книжке.

Однако, если головы на плечах нету, то никакая защита не спасет. Многие люди открывают левые ссылки, вводят везде свои данные, а потом удивляются, что их взломали, ведь у них был сложнейший пароль.

[Bad Gateway]

Цитата:

Сообщение от Games Мания

я использую на сайтах кличку кота и его дату рождение при этом время от времени в пароли используется кномка шифт

Еще бы болтал на форумах об этом поменьше и все было бы просто замечательно.
Woozy,
Совсем необязательно, лень страшная сила. Бывали случаи, когда админы сайтов уже обнаружив взлом умудрялись вообще никакие пароли не менять месяцами.

[Nike]

Bad Gateway, товарисч, вы абсолютно не компетентны в вопросе. Путаете брут и словарную атакую. Плюс 6-символьные пароли при локальном самом тупом бруте ломаются в худшем случае за сутки. Да-да.

[Bad Gateway]

Nike,
Тут скорее у меня подмена понятий произошла, но не суть дела. А насчет пароля почему у меня не получалось за такой срок пробить? Там совершенно неважно какой пароль? Система обычная пойдет или мощная нужна?

[Дремлющий]

Я ввожу максимальное количество цифр и букв которых можно ввести в случайном порядке, также делаю и в нике (например в мморпг у меня ник также трудно отгадать, как и пароль, т.к. там ник не виден, но на форумах и блогах это не поможет, т.к. там твой ник все видят). Пока неразу не было случаев взлома.

Да и пароль советую хранить на бумаге, т.к. вся эллектроника может сломаться или потерятся.

[vik-0306]

Цитата:

Сообщение от Дремлющий

Да и пароль советую хранить на бумаге, т.к. вся эллектроника может сломаться или потерятся.

Я пароль советую хранить в голове, так как бумага может потеряться)

[Дремлющий]

Цитата:

Сообщение от vik-0306

бумага может потеряться)

Как и память.

А вдруг на игру вообще забьёшь, а потом через несколько лет захочешь поиграть, пароль разумеется забудется за это время.

[vik-0306]

Цитата:

Сообщение от Дремлющий

Как и память.

А вдруг на игру вообще забьёшь, а потом через несколько лет захочешь поиграть, пароль разумеется забудется за это время.

Тоже верно. Лучше симбиоз - память + бумажка (хотя существуют системы восстановления пароля, опять же).

[Ricky Pablo]

Не могу дочитать все высказывания до конца. Но я прочитал в одной книге, что можно открыть текстовый файл и просто поводить по клавишам клавииатуры. Полученную крако-зябру юзер может(надеюсь что юзер) использовать в качестве пароля. Можете сохранять в тесктовый файл. менять расширение на dll и закидывать в папку system 32. Там то точно никто не дайдет нифига. Как вам мой способ?

[GDI32.dll]

Цитата:

Сообщение от Ricky Pablo

Там то точно никто не дайдет нифига.

Старо как мир. Я так у знакомого на ноуте пароль стырил, потому что я раньше в папке system32 порнуху прятал, чтоб мама не нашла.

[<Leon>]

Скажу вам свой пороль который у меня был когда-то, сейчас у меня от всех дверей один ключ. Ну так вот мой бывший пороль: щ9999999ющдуп111йц111 . Меня не взламывали никогда и не в одной соц.сети. Сейчас у меня другой пороль, но он не менее "туповат".

[ActLine]

Цитата:

Сообщение от Дремлющий

А вдруг на игру вообще забьёшь, а потом через несколько лет захочешь поиграть, пароль разумеется забудется за это время.

Для этого на таких играх существует система восстановления паролей.

А что касается программ брутов, то если кто-то задался целью вас взломать он вас взломает. Качество работы брута зависит напрямую от скорости и стабильности интернет-соединения, например надцать миллионов комбинаций символов от 0-9 до A-Z длинной до 12 символов брут переберет скажем за несколько суток. Если хакер целеустремленный, он вас сломает. А если вы целеустремленней - вы будете менять пароли длинной 12 символов каждые 3 дня

[vik-0306]

ActLine, брутом любой пароль не меньше девятизнака, в котором есть цифры, может подбираться 32 года)