Кстати, да!

Короткие полезные советы,
основанные на личном жизненном опыте,
иногда печальном.

Войдите

или зарегистрируйтесь!

Это вам пригодится, когда вы решите поделиться с нами советом, проголосовать за совет или оставить комментарий. И заодно пропадёт этот надоедливый текст!

Например, лекарства

Если уж записываете логины и пароли в блокнот, то непременно, непременно записывайте пароли не буквально «как есть», а в шифрованном виде!…. +1+14/-13, 199 прочитавших

С одной стороны, как только интернетчик регистрируется на паре-тройке-другой десятков сайтов, запомнить логины и пароли ко всем им становится невозможно даже для обладателя недюжинной памяти.

С другой стороны, использование одного и того же логина и пароля ко всем (или хотя бы к некоторым) сайтам — это огромная дыра в безопасности. Получается, что взломщик, получив доступ к учётной записи на одном из сайтов (или просто будучи администратором на нём), автоматически получает доступ к действиям от имени этого пользователя на многих других сайтах.

С третьей стороны, если иметь различные логины и пароли ко всем сайтам, но не наизусть запоминать их, то поневоле придётся завести для этой цели какой-нибудь блокнот. А блокнот, начинённый готовыми к употреблению записями логинов да паролей — опасная штука: достаточно кому-нибудь выкрасть его (или найти случайно потерянным или забытым), чтобы явилась простая возможность «кражи сетевой личности», причём всей целиком.

Однако эта опасность легко устраняется, если записывать пароли в блокнот в таком виде, который не готов к непосредственному употреблению, но может легко использоваться хозяином блокнота. Для такой записи может использоваться целый ряд шифров и других приёмов, которые нетрудно применять «на лету» в уме во время записи пароля и при его последующем употреблении:

→   Подстановочный шифр. Каждая буква пароля заменяется на некоторую другую букву алфавита по некоторому правилу — например, просто по порядку буквы в алфавите (скажем, «a» на «c», «b» на «d», «c» на «e»… «y» на «a», «z» на «b»). Это простой пример. Более сложный шифр также учитывал бы позицию буквы в слове, а не только в алфавите, или учёл бы форму буквы (например, «S» → «5», «O» → «0», «I» → «1», «Z» → «2», «B» → «8»).

→   Перестановочный шифр. Буквы пароля должны употребляться не в записанном порядке, а в некотором другом (например, в обратном порядке, или же они переставлены попарно, или переставлены только те соседние гласные, первая из которых стоит на нечётном месте).

→   Мнемонические приёмы. Индивидуальные замены, обращающиеся к однозначным соответствиям, заложенным в память владельца блокнота, а другим о них трудно догадаться. Например, слово «карга» означает для него число «69», потому что одна из его любовниц была уродливою на лицо, так что заниматься с нею сексом он мог только в этой позе. Или фамилия «Лукьяненко» означает для него число «33», потому что это количество букв в пароле «сороктысячобезьянвжопусунулибанан», имеющемся в одной из книг этого литератора. И так далее.

Все эти шифры и приёмы могут употребляться одновременно.

Большинство современных сайтов ограничивают число попыток ввода пароля в единицу времени, так что атакующему будет не слишком просто подбирать шифр, используемый в блокноте, даже если у него есть некоторые догадки на этот счёт.

Код для вставки в блог Ой, нет, я лучше руками
×

Получится вот так
...

Написал Mithgol очень давно, 31 декабря 2010 в 11:18

Комментарии (25)

  1.   13
    Поставила kashtanka-net 31 декабря 2010 в 11:20¤
  2.   2
    Поставил Mithgol 31 декабря 2010 в 11:21¤
  3.   0
    Поставил Mithgol 31 декабря 2010 в 11:22¤
  4.   3

    Все, наверно, в детстве играли в шпионов и придумывали свои шифры, но давайте подумаем здраво: а кому мы вообще нужны со своими паролями? (я про реальных людей, которые могу выкрасть (О_о) блокнот)

    Написала kashtanka-net 31 декабря 2010 в 11:23¤
  5.   2

    Во-первых, есть спамеры самых разных мастей (например, поисковые и социальные оптимизаторы), которые с удовольствием выкупят готовую живую («активную») стародавнюю («раскрученную») учётную запись у любого подонка, который похитит её.

    Во-вторых, есть маниаки с патологическим стремлением к убийству. Возможность назначить девушке свидание от имени её парня или отца, а затем похитить её, отвезти в безлюдный подвал, связать, медленно вспарывать ей живот, обматываться окровавленными кишками и дрочить — это смысл жизни таких нелюдей. Не нужно думать, что это никак не угрожает владельцу похищенной учётной записи: в компьютере жертвы останутся убедительные свидетельства о том, что свидание назначил именно парень или отец, так что современное российское следствие будет заинтересовано в том, чтобы попытки отговориться утратою пароля воспринимались как пустые отговорки подозреваемого, а признание вины добывалось любой ценой. Отбитые почки, травмированный позвоночник, пытки удушением, выбитые и вывихнутые суставы (с растяжением, непременно с растяжением, да под грузом), применение химических спецпрепаратов во время следствия почти гарантируются, тем более что задержанного непременно будут принуждать ко взятию на себя ещё пары-тройки-другой десятков нераскрытых убийств, чтобы улучшить отчётность «убойного отдела». (Например, за убийства, которые совершал Чикатило, одного арестованного успели приговорить и расстрелять, а другой человек сам повесился.)

    В-третьих, есть родные и близкие с патологическим стремлением контролировать. Те же люди, которые роются в шкафах, тумбочках и дневниках у детей и любимых, с наслаждением доберутся и до их учётных записей в социальных сетях и для почты.

    В-четвёртых, у каждого человека может завестись преследователь (то самое, что в Штатах называется термином «stalker»): тайный враг или тайный воздыхатель, которому доставляет удовольствие следить за жертвою и заглядывать в интимные уголки её жизни.

    Написал Mithgol 31 декабря 2010 в 11:45¤
  6.   2

    Mithgol, еще раз "парноики юнайтед"
    да, и "как страшно жить"

    Написала kashtanka-net 31 декабря 2010 в 11:58¤
  7.   1

    Mithgol, ооо, прочтение доставило, спасибо=)

    Написала Neonila 31 декабря 2010 в 12:54¤
  8.   4

    Сценарии для триллеров писать не пробовали?

    Написала frustration 31 декабря 2010 в 13:26¤
  9.   2
    Поставил lvx 31 декабря 2010 в 11:33¤
  10.   1
    Поставила Budur 31 декабря 2010 в 11:47¤
  11.   5
    Написал UDAV 31 декабря 2010 в 12:15¤
  12.   -1

    Да, это в ту же тему.

    Написал Mithgol 31 декабря 2010 в 14:18¤
  13.   1
    Поставил(а) Neoki 31 декабря 2010 в 13:06¤
  14.   1

    смысл в совете есть. но немного покритикую.
    подстановки подойдут лишь для паролей из букв. к тому же отгадать их будет просто.
    перестановки вы вряд ли запомните. простые перестановки у вас, скорее всего, легко вскроют, если пароли имеют некоторые лексический смысл.
    мнемонические, может, и подойдут, но если вы так хорошо запомнили выражение, вас не затруднит его просто запомнить как пароль.
    я считаю, что оптимальная политика паролей такова: на важных сайтах, в im-системах пароли различные, в не совсем важных случаях — какой-то стандартный пароль.

    Написал rusher 31 декабря 2010 в 13:21¤
  15.   -2

    Если пароли имеют некоторый лексический смысл — это не кончится добром в любом случае. Поэтому, если без этого никак не обойтись (например, для целей запоминания), а пароль шифруется перестановкою — тогда, чтобы о пароле нельзя было догадаться, лучше пускай записанная в блокноте последовательность имеет лексический смысл, а пароль получается её перестановкою.

    Написал Mithgol 31 декабря 2010 в 14:30¤
  16.   1

    кстати, администратор (быдло)сайта вряд ли сможет получить пароль, если он использует какой-либо движок в чистом виде, потому что парли обычно хранятся в виде md5-хешей.

    Написал rusher 31 декабря 2010 в 13:23¤
  17.   0

    rusher, да, администратор обычно может сменить пароль кому-то из пользователей, но не узнать какой был.

    Написал Stormmaster 31 декабря 2010 в 13:33¤
  18.   0

    Stormmaster, нет, админ на некоторых движках может узнать пароль в оригинальном виде, и юзер не будет ничего подозревать. 100%
    и в чатах тоже

    Написал stama 31 декабря 2010 в 13:59¤
  19.   1

    rusher, это только если он "права купил, машину купил, а водить не купил". если есть администраторские права, то при минимальном желании и минимальном скилле пароли в чистом виде выковыриваются абсолютно откуда угодно

    Написал kstatida.ru 31 декабря 2010 в 14:23¤
  20.   1

    kstatida.ru, при минимальном — не всегда. Если в базе данных сайта хранится, скажем, SHA-256 отпечаток пароля, вскрывать его слишком долго. А модифицировать скрипт так, чтобы при входе пользователя в систему он куда-нибудь скидывал его пароль, или так, чтобы в базе данных пароль хранился в открытом виде, может уже не каждый.
    Если в открытом виде, то, конечно, просто. Кстати да, а кстатида в каком виде хранит пароли внутри себя? ;)

    Написал omich1990 31 декабря 2010 в 15:30¤
  21.   0

    omich1990, ну попробуй восстановить пароль, узнаешь, хеш или прямой текст.
    вот написал подобный коммент в ветке выше, потом увидел этот. удалил свой.
    но добавить несколько строк кода не так уж и сложно, я думаю, создать таблицу с попытками логина :)

    Написал rusher 31 декабря 2010 в 20:31¤
  22.   0

    rusher, всё чаще вместо восстановления встречается переустановка пароля. Кстати да, мы тут про форумы, а у других служб, использующих challenge-аутентификацию, в базе данных вынужденно хранятся пароли открытым текстом.
    К тому же для Invision Power Board (движок форума), я так понял, знание MD5 от пароля позволяет сгенерировать cookie, якобы я уже вошёл в систему — но не узнать или изменить пароль.

    Написал omich1990 1 января 2011 в 10:55¤
  23.   1

    omich1990, у меня другое мнение насчёт простоты "модифицировать скрипт так, чтобы при входе пользователя в систему он куда-нибудь скидывал его пароль", ну да ладно. в бд кстатиды пароли хранятся в виде солёных хэшей

    Написал kstatida.ru 31 декабря 2010 в 21:49¤
  24.   0

    Я давно собираюсь зашифровать свой листочек с паролями. Впрочем, я его с собой не таскаю, а исправлений в нём так много, что я порой сам не могу понять, где что там искать, что из этого действует, а что устарело (зачёркнуто почти всё) и что всё это значит. Частоиспользуемые пароли знаю наизусть, чему способствует использование простых комбинаций (<10 символов) в не особо критичных местах, где нет ни данных обо мне, ни каких-либо "друзей" и т.п. А т.к. социальными сетями я не пользуюсь в принципе, число "критичных" областей очень невелико, а контактов в них очень мало.

    Написал Stormmaster 31 декабря 2010 в 13:32¤
  25.   -4
    Написал kas 3 января 2011 в 00:10¤
  26.   3

    kas, стратегической внезапно может оказатся личная переписка хотя бы. Или учётные записи на разных Интернет-ресурсах, "доброе имя", что называется.

    Написал omich1990 3 января 2011 в 00:26¤
  27.   0

    А не проще ли записывать в сам комп и файл шифровать? Лично у меня это все записано в простом документе блокнота.

    Написал(а) Alias 6 февраля 2011 в 12:38¤
  28.   4

    Alias, проще, надёжней и удобней пользоваться программами для хранения паролей типа KeePass. Они имеются для всех платформ, в том числе и мобильных. Под Android пользуюсь его портом Keepass2Android, тоже очень удобно, особенно в смартфоне. Файлы базы данных можно синхронизировать с облаком и иметь доступ отовсюду.

    Написал JavInn 30 ноября 2013 в 22:37¤
  29.   2

    Кстати, вдруг кому пригодится. У паролей, зашифрованных мастер-паролями, есть один недостаток — мастер-пароль тоже можно забыть. Даже многократное ежедневное повторение не всегда поможет: удар головой, отключение нужной области в мозгу, и привет. Однако есть метод, позволяющий разделить секрет (например, мастер-пароль) на n частей, при этом для восстановления секрета потребуются любые t из них. Значения n и t произвольны и выбираются в момент разделения (t < n). В Ubuntu реализуют данный метод программы ssss (для секретов до 1024 бит, подходит для паролей) и gfshare (пакет libgfshare-bin, ограничений на длину нет). Допустим, мы хотим разделить пароль по схеме 2 из 3. Запускаем

    ssss-split -t 2 -n 3 -w servicename

    Вводим пароль и получаем нечто типа этого:
    servicename-1-3b83189327f4418b13c9aba5de557b112f5ae91e79b0163aacfc3ae1636531ce9f2fc73828658f09d2f72422636d91dbb19d45e3cb611b950b9496783ded50971ec6e8a24cff7644d7c605f9344fde9763e2d02955c0e5

    servicename-2-8f9927b6ab4b17a6103bb48170c8a95ad8097f0e33e15755441ea659e07bddb42bfbf7e433770f3154d6eefeee37f5637f14c4d8631f6bb63f970c8864b5bcd11f22a6edc50a4c42ec8791a5c702e8b65dd8efbefc093a

    servicename-3-1c6f32aa2f21da42ee95be62eabc189c75380d01f5d1978fe3bf2dce6171866247b7e7afc5868f26d6c9a8b56afe290b3a93bbcefb3544572c698527ac7de7131f816328bda6a5bf05b8e26e69c60556b7cefacc1b4d8e


    Эти три строки записываем на разные носители (флешку, диск, облако, бумагу, можно на камне высечь) и прячем в разных местах.
    Для восстановления запускаем
    ssss-combine -t 2

    и вводим любые две строки из трёх ранее полученных. При этом только одной строки для восстановления секрета будет недостаточно, так что компрометация отдельно взятой части не критична.

    P.S. Конечно, ударившись головой, можно и расположение нычек забыть, но некоторую защиту от частичной амнезии обеспечить можно :)

    Написал yum 16 апреля 2014 в 20:46¤
  30.   -2

    Блокноты останутся с нами еще очень надолго, это та вещь, которую тяжело вытеснить компьютерами или планшетами. Они бывают очень разные http://www.bloknot.su и на пружине и клею. На выставках и конференциях и в офисах клиентам вы не дадите планшет, чтобы записать информацию, а вот блокнот даже очень будет уместен.
    А маленький блокнот http://bloknot.su/bloknot_A6.html можно всегда носить с собой.

    С уважением, Компания "ФАБРИКА БЛОКНОТОВ"

    Написал(а) indar 15 июля 2016 в 16:35¤
  31.   0

    А я вот юзаю LastPass и в хуй не дую.
    Конечно, вполне возможно, что они пиздят мои пароли, но вроде пока что не один из них не открывает доступ к моим деньгам, так что срать. :)

    Написал Crescendo 21 июля 2016 в 21:57¤

Незарегистрированные пользователи не могут оставлять комментарии.
Хотите зарегистрироваться? ?