Как создавать безопасные пароли, какие рекомендации по выбору и как не забыть выбранное?

безопасность

(Анна Афанасьева) #1

Безопасно ли пользоваться автосохранением пароля в браузере?


Что такое md5 ?
(Евгений) #2

Есть хороший материал от Джефф Этвуд который после сайтов:

Начал работать над созданием этого отличного программного обеспечения, к разработке которому подключились сотни разработчиков по всему миру. Он написал статьи: Взломай себя и Хеширование скорости

Мне нечего добавить к 2 его статьям, и могу только процитировать, вырванные куски текста:


Нам попадалось множество историй о том, как эксплойты наносили непоправимый урон сообществам или вообще приводили их к краху. Начиная работу над проектом Discourse, мы помнили об уроках, которые извлекли из этих историй. Мы поставили перед собой цель создать программу с открытым кодом, которая по умолчанию обеспечивала бы безопасность всем своим сообществам — пусть даже их будет тысячи или миллионы.

хеш

Если мы хотим, чтобы Discourse мог выстоять против правительственных атак, надо придумать что-то.

Давайте лучше представим себе атаку со стороны властей, у которых хватит средств, чтобы бросить на эту задачу несколько тысяч (сокращая срок до 1.1 дня), а то и десятков тысяч (сокращая срок до 2.7 часов) графических процессоров. В таком случае… да. Даже если допустить, что минимальная длина пароля установлена в десять символов, у вас крупные неприятности.

хак

Если мы хотим, чтобы Discourse мог выстоять против правительственных атак, надо придумать что-то. У Hashcat есть удобный режим бенчмарка; вот список самых надежных хэшей из известных ему (то есть, на которые уходит больше всего времени), которые тестировались на графических процессорах 8 Nvidia GTX 1080. Из того, что я опознал, больше всего заслуживают упоминания bcrypt, scrypt и PBKDF2-HMAC-SHA512.

Результаты, который дал этот небольшой эксперимент с hashcat, убедили меня, что в организации хранения хэшей в базе данных мы не допустили грубых ошибок. Но мне хотелось быть абсолютно в этом уверенным, поэтому я обратился к услугам специалиста по безопасности и тестированию на проникновение, чтобы он (предварительно подписав соглашение о неразглашении) попытался взломать несколько наших рабочих и очень популярных форумов.


Я не буду перепечатывать тут всю статью, программные подходы, тем более переводчик из меня плохой, но на англ. материал доступ в его блоге: 1 и 2.

Я лишь показал серьезность подхода, почему надо делать пароли больше 12 символов…

Там есть расчеты, проверка, слом, методы, мощность машин для слома и т.д.

Я слишком занят, чтобы все это прочитать.

Если вы пользователь:

  • Убедитесь, что все ваши пароли имеют 12 символов и более , в идеале намного больше.
  • Пароль администратора должен содержать не менее 15 символов.

Если вы разработчик:

Используйте bcrypt или PBKDF2 исключительно для хэширования всего, что вам нужно для обеспечения безопасности.

Не используйте пароли вида:

007007bond
123password
1qaz2wsx3e
A3eilm2s2y
Alexander12
alexander18
belladonna2
Charlie123
Chocolate1
christopher8
Elizabeth1
Thirteen13
Welcome123 не говоря уже про такие: qwerqwer (их вообще не рассматривали).

В словарях есть (и они используются тут) более 10.000 паролей, скомпрометировавших себя. Пароли должны содержать Большие буквы, маленькие, цифры, спец. символы… (при соблюдении количество символов указанных выше) и т.д. Кстати в статье разбирается использования в качестве пароля UTF символы, иероглифы…

Это все касалось длины паролей. Т.к. он и еще ряд специалистов достаточно легко сломали многие пароли… Простые, длина которых была менее 10 символов…

А что касается браузера, это отдельная история. Обновления, лицензионное ПО, антивирусы и закрытые порты на компьютер… Ну это уже отдельный разговор…

Конечно встает вопрос целесообразности слома. Что сделал человек, может быть им и сломано. И тут главный вопрос, а кому, с таким уровнем знания надо ломать вас? Зачем?

ИМХО, надо следовать простым, разумным рекомендация (длина пароля, сложность) и все будет нормально…

Полная безопасность возможно только в одном случае. На охраняемой территории, в пределах контролируемой зоны, интернета вообще не должно быть. А так же средств, для съема информации, включая мониторов, зарубежной техники, эл. приборов. Все должно быть просвечено, проверено и т.д.

Интернет изначально - не особо безопасная вещь…


Что делать, если забыл логин и/или пароль от аккаунта на Тoxu?
(Sarj) #3

Вы можете использовать менеджеры паролей. Например:

LastPass
Платформы: Web, Android, iOS, macOS, Windows.

Dashlane
Платформы: Web, Android, iOS, macOS, Windows.

1Password
Платформы: Android, iOS, macOS, Windows.

Но, как говорили другие, для большинства паролей вы должны избегать необходимости запоминать их с помощью менеджера паролей. Вы должны не только помнить их, но и должны уметь ввести их на различных клавиатурах.

Общие требования такие:

  1. Помните, никогда не используйте почтовые индексы, номер дома, номера телефонов, даты рождения, номер ID карты, номер социального страхования, или любую другую персональную информацию при создании пароля.

  2. Используйте разный регист, цифры и специальные символы.

  3. Длина пароля должна быть более 9 символов.