Администратор
Каждую неделю в администрацию приходят письма, смысл которых: "Взламали днев!!! Памагитиии!!!"
Да-да, орфография сохранена. Пишут именно так, потому что иначе не научились. И в 99 случаях из 100 безграмотность в использовании русского языка сопровождается безалаберным отношением к паролям.
Популярные пароли:
12345 - встречается в дневниках 1482 раза
1234 - 843
123 - 900
123123 - 330
111 - 242
1111 - 493
11111 - 242
666 - 528
666666 - 374
777 - 217
qwerty - 830
Разумеется, здесь перечислены не все волшебные комбинации, незнакомые никому в мире, кроме самих владельцев паролей. Более редкие, но все же популярные в народе повторы остальных цифр, букв и подряд расположенных на клавиатуре клавиш, используются так же сотнями или десятками.
А вот и чемпионы:
пароль, совпадающий с логином - 2214
пароль, совпадающий с коротким адресом дневника (shortname) - 3224
Иными словами, даже больше, чем один пользователь из ста, считает, что пароль, совпадающий с коротким адресом его дневника использовать безопасно.
Наконец, имеется несчетное множество паролей, совпадающих с датой рождения или номером аськи, которые указаны в Профиле пользователя, а также паролей, весьма напоминающих номера собственных телефонов, имена и фамилии.
Конечно, наши пользователи не уникальны и не одиноки в этом мире. Например, здесь можно почитать о "самых лучших" паролях у американских пользователей.
Но все же, родные наши! Не вы ли у себя самый(ая) любимый(ая) и ценный(ая)? Для чего надо подвергать опасности свой дневник, регистрируя подобный пароль? Неужели вам так недорог ваш дневник, что сложно запомнить в качестве пароля любое слово, использовать в нем пару заглавных букв, цифр или знаков? Защитите себя сами и избавьте администраторов от ненужной работы по выяснению вашего авторства после того, как ваш пароль подберут и удалят списки Избранного, ПЧ, настройки дизайна и сами записи, прочтут вашу переписку по U-mail, напишут гадости вашим друзьям, разошлют от вашего имени спам...
А еще, проверьте, пожалуйста, какая почта указана в настройках Профиля? Если вы давно ей не пользуетесь, измените адрес почты на действующий.
Спасибо.
---------------------
UPD Поступили советы наших опытных пользователей %)
pash_ka: берём слово, заменяем пару букв, добавляем цифру, знак плюс, подчёркивание.
По поводу генерации паролей: генерировать случайный набор букв-цифр бесполезно. Его всё равно не запомнишь, записывать надо. Если записывать, то лучше в менеджер паролей (кому нужен free - Password Agent, KeePass) у которого и генерилка есть.
Швыня: есть хорошая программа personal passworder, которая сгенерит и сохранит все пароли, одной кнопочкой скопирует в буфер, влазит даже на дискету.
Брать по адресу: http://www.dvasoft.com/ru/passworder/
Whatze Phuck: телефон бабушки и ее инициалы, хрен подберут!
Лиилит: я рекомендую для повышения брутоустойчивости пароля и не сильного его усложнения:
1) выбрать легкое для вас слово и повысить в нем регистр второй\последней\предпоследней буквы
например, в слове password:
- passwoRd
- passworD
2) Заменить буквы "о" на цифру "ноль" а букву "S" на цифру "пять":
- pa55w0rd
Insaned: программа генерации запоминающихся паролей - http://slil.ru/24141630
Edward Nigma
Пользуюсь таким методом уже давно: хороший пароль - слово набранное в неправильном языке и регистре. Например: hJPFHBQ - Розарий, Gfhjkm - Пароль
и в обратную сторону: Дфтвысфзу - Landscape.
И ещё вариант посложнее. Смысл в том, чтобы набрать английское слово русскими буквами с включенным английским языком. Например тот же ладшафт (Landscape) Будет выглядеть так: Kfylcrtqg - Ландскейп
Такие пароли с одной стороны легко запоминаются, а с другой - тяжело подбираемы.
Да-да, орфография сохранена. Пишут именно так, потому что иначе не научились. И в 99 случаях из 100 безграмотность в использовании русского языка сопровождается безалаберным отношением к паролям.
Популярные пароли:
12345 - встречается в дневниках 1482 раза
1234 - 843
123 - 900
123123 - 330
111 - 242
1111 - 493
11111 - 242
666 - 528
666666 - 374
777 - 217
qwerty - 830
Разумеется, здесь перечислены не все волшебные комбинации, незнакомые никому в мире, кроме самих владельцев паролей. Более редкие, но все же популярные в народе повторы остальных цифр, букв и подряд расположенных на клавиатуре клавиш, используются так же сотнями или десятками.
А вот и чемпионы:
пароль, совпадающий с логином - 2214
пароль, совпадающий с коротким адресом дневника (shortname) - 3224
Иными словами, даже больше, чем один пользователь из ста, считает, что пароль, совпадающий с коротким адресом его дневника использовать безопасно.
Наконец, имеется несчетное множество паролей, совпадающих с датой рождения или номером аськи, которые указаны в Профиле пользователя, а также паролей, весьма напоминающих номера собственных телефонов, имена и фамилии.
Конечно, наши пользователи не уникальны и не одиноки в этом мире. Например, здесь можно почитать о "самых лучших" паролях у американских пользователей.
Но все же, родные наши! Не вы ли у себя самый(ая) любимый(ая) и ценный(ая)? Для чего надо подвергать опасности свой дневник, регистрируя подобный пароль? Неужели вам так недорог ваш дневник, что сложно запомнить в качестве пароля любое слово, использовать в нем пару заглавных букв, цифр или знаков? Защитите себя сами и избавьте администраторов от ненужной работы по выяснению вашего авторства после того, как ваш пароль подберут и удалят списки Избранного, ПЧ, настройки дизайна и сами записи, прочтут вашу переписку по U-mail, напишут гадости вашим друзьям, разошлют от вашего имени спам...
А еще, проверьте, пожалуйста, какая почта указана в настройках Профиля? Если вы давно ей не пользуетесь, измените адрес почты на действующий.
Спасибо.
---------------------
UPD Поступили советы наших опытных пользователей %)
pash_ka: берём слово, заменяем пару букв, добавляем цифру, знак плюс, подчёркивание.
По поводу генерации паролей: генерировать случайный набор букв-цифр бесполезно. Его всё равно не запомнишь, записывать надо. Если записывать, то лучше в менеджер паролей (кому нужен free - Password Agent, KeePass) у которого и генерилка есть.
Швыня: есть хорошая программа personal passworder, которая сгенерит и сохранит все пароли, одной кнопочкой скопирует в буфер, влазит даже на дискету.
Брать по адресу: http://www.dvasoft.com/ru/passworder/
Whatze Phuck: телефон бабушки и ее инициалы, хрен подберут!
Лиилит: я рекомендую для повышения брутоустойчивости пароля и не сильного его усложнения:
1) выбрать легкое для вас слово и повысить в нем регистр второй\последней\предпоследней буквы
например, в слове password:
- passwoRd
- passworD
2) Заменить буквы "о" на цифру "ноль" а букву "S" на цифру "пять":
- pa55w0rd
Insaned: программа генерации запоминающихся паролей - http://slil.ru/24141630
Edward Nigma
Пользуюсь таким методом уже давно: хороший пароль - слово набранное в неправильном языке и регистре. Например: hJPFHBQ - Розарий, Gfhjkm - Пароль
и в обратную сторону: Дфтвысфзу - Landscape.
И ещё вариант посложнее. Смысл в том, чтобы набрать английское слово русскими буквами с включенным английским языком. Например тот же ладшафт (Landscape) Будет выглядеть так: Kfylcrtqg - Ландскейп
Такие пароли с одной стороны легко запоминаются, а с другой - тяжело подбираемы.
27.03.2007 в 16:26
Уже довольно часто встречаю в инете сайты, где при регистрации сложность пароля обязательно проверяеться! Если пароль слишком прост, то система просто не регистрирует нового юзверя)))) Почему бы также не сделать и на дайрике? А для того чтобы у всех были пароли "не простые" проверять при входе пароль юзера и если что заставить его сменить!.. Кодинга то на полчаса!
Впирот!
27.03.2007 в 16:35
27.03.2007 в 16:46
Лиилит, а может искали часто повторяющие хеши, а уж потом их взламывали... Хм... Пожалуй нет) Хотя информация о парах логин/логин опровергает эту версию.... Но может они хешировали логин и сравнивали с паролем-хешем?)))) Но давай узнаем, что думает по этому поводу администрация ==))
27.03.2007 в 16:51
27.03.2007 в 16:58
27.03.2007 в 17:02
27.03.2007 в 17:05
Но вот чего, кажется, не было- так это идеи обойтись вообще без паролей.
Давайте каждый обзаведется клиентским SSL-сертификатом, будет носить его с собой на флэшке и использовать вместо пароля при входе в дайри.
А если ещё помечтать...
У каждого человека есть USB-брелок с чипом-процессором и зашитым в памяти этого устройства закрытым ключом. При регистрации на сайте сохраняется соответствующий открытый ключ (тоже записан в брелке).
При авторизации на сайте, сайт генерирует идентификатор сессии, посылает его клиенту. Клиент (используя USB-брелок) подписывает его своим закрытым ключом, сайт проверяет подпись (используя указанный ранее, при регистрации, открытый) и если подпись верная - использует этот идентификатор для идентификации клиента при последующих запросах.
При этом закрытый ключ хранится в брелке, брелок им подписывает и шифрует данные, но никогда не передаёт в комп. Т.о. взлом невозможен если только физически не завладеть брелком.
27.03.2007 в 17:10
у меня написано вот SyncMaster940N
Это приглашение ломать Ваш дневник?
27.03.2007 в 17:11
А чтобы обезопасить сам брелок, его можно встроить в систему залпового огня..
27.03.2007 в 17:14
27.03.2007 в 17:17
27.03.2007 в 17:17
Надо быть проще: грамм 100 тротилла внутрь и большую красную кнопку...
27.03.2007 в 17:20
А ты меня спонсируешь. Договорились!
Stina H. Andy
Так ещё интереснее: будем подбирать правильный способ написания указанной надписи...
27.03.2007 в 17:26
Позволю себе дать простой совет. Пользуюсь таким методом уже давно. Хороший пароль - слово набранное в неправильном языке и регистре. Например:
hJPFHBQ - Розарий
Gfhjkm - Пароль
и в обратную сторону:
Дфтвысфзу - Landscape.
И ещё вариант по сложнее. Смысл в том, чтобы набрать английское слово русскими буквами с включенным англиским языком. Например тот же ладшафт (Landscape) Будет выглядеть так:
Kfylcrtqg - Ландскейп
Такие пароли с одной стороны легко запоминаются, а с другой - тяжело подбираемы.
27.03.2007 в 17:39
27.03.2007 в 17:50
Если говорить о веб-сайтах, где брутфорс легко ловится админами и потому не метод, Ваши пароли хороши.
А если, например, о запароленных архивах, тогда не катит. Потому что берется словарь тысяч на 100 слов, десяток вариантов преобразований слов из словаря, и получается 1 миллион вариантов. Если скорость проверки, скажем 100 вариантов в секунуд (а это, поверьте, совсем не много) пароль будет найден за 3 часа.
27.03.2007 в 17:56
берем любое слово, пусть будет пароль.
набираем его, а потом при помощи punto switcher переключаем раскладку...
имеем: gfhjkm.
и все просто))))
27.03.2007 в 17:57
27.03.2007 в 18:02
пароль - gfhjkm
раз1два2три3 - hfp1ldf2nhb3
27.03.2007 в 18:19
Непробиваемость пароля для архива - в его не-словарности и длине. Сомневаюсь, что возможно взломать пароль из беспорядочных символов длиной эдак 50-60 за вменяемое время..
27.03.2007 в 18:20
Речь в первую очередь шла о паролях для блогов.
Если уж говорить о паролях для архивов и документов, то тут другое дело. Хорошо бы примешать ещё цифры, символы, смешать регистр, смешать языки, и длина паролей не меньше 5 символов. Например: шAm%98а/|а Гарантирую 12 дней непрерывной тчетной работы системы подбора при скорости 70 000 паролей в минуту(у меня примерно такая).
А вообще я уже не пользуюсь паролями в архиве. Легче упаковать архив чем-нибудь своим, алгоритм подбора ключа к которому известен только тебе.
27.03.2007 в 18:22
По поводу незапоминаемости случайных комбинаций букв/цифр:
у меня вот давно уже сочетания типа z5!6F_g68h*jBG набираются на автомате и, как ни странно, запоминаются.
Простые слова, наоборот, чаще забываю)
Это, конечно, не так сложно, как упомянутое в первых комментах нечто длинное-длинное, но для обычного юзера вполне терпимо.
А когда только "начинала" в Интернете, запоминала пароли пальцами - до сих пор иногда, задумавшись, набираю старые пароли - ловкость рук развивается))
pash_ka
Предлагаю вживлять что-нибудь в подушечки пальцев. Чтоб уж наверняка.
А еще бывает сканирование сетчатки...
А по поводу всяких там надписей на тетрадках, мониторах и прочем близстолалежащем - ну, не знаю...
Я вот вне дома регулярно захожу, неужто монитор с собой таскать?
Надежнее, наверное, действительно в блокнотик, блокнотик - в сейф, сейф - на дно морское.
А вообще, если администрация будет регулярно что-то такое говорить, я, как параноик знатный, доведу-таки пароль до 30 символов...
27.03.2007 в 18:25
27.03.2007 в 18:26
а теперь... 14)) прогресс налицо))
27.03.2007 в 18:30
27.03.2007 в 18:32
27.03.2007 в 18:40
Главное алгоритм запомнить
27.03.2007 в 18:49
27.03.2007 в 19:00
Вариант, конечно, но, например, у меня самое важное всегда есть с собой на флешке. Мне нужен доступ к данным и программам с любого терминала, при этом очень важно сжатие - носитель-то не резиновый
27.03.2007 в 19:02
i9LoVe7Di@ry1