Взлом аккаунтов: всё проще
26 Сен 2007
Заметка Дениса Болтикова «Топ 30 наиболее часто используемых паролей» натолкнула меня на некоторые размышления.
Итак, есть сервис, требующий авторизацию. Имена пользователей в большинстве случаев известны. Так же известно, что 4-5% пользователей в качестве пароля используют имя пользователя (там, где это разрешено). Ещё 10-15% используют один из паролей вроде этих:
| 12345 | 123456 | 11111 | 55555 | 77777 |
| qwerty | 111111 | 00000 | 666666 | 123456789 |
Составить список таких паролей — не проблема, тем более, что 20-30 штук, как видно, вполне хватит. Таким образом можно довести до 20% вероятность взлома пароля пользователя быстрым тупым брутфорсом по сверхмаленькому словарю.С учётом того, что полно сервисов, вешающих на единую систему авторизации все свои сервисы (в том числе и финансовые), эта дыра является критической. Более того, 75% пользователей используют единый пароль доступа на все ресурсы.Так что, люди, совет один: используйте хорошие пароли.
- длинный (8-12-15 символов).
- содержит как заглавные так и прописные латинские буКвЫ.
- содержит цифры.
- не найдется в словаре, это не имя и не слово (ckjdj) в латинской раскладке.
- никак не связан с владельцем.
- меняется периодически и по мере надобности.
- не является любимым — разные пароли для разных входов.
- его возможно запомнить.
Я в основном использую пароли длиной 15-20 символов. Большинство указанных пунктов соблюдаю.
Прально :-)
Я не думаю, что чстая смена пароля повысит его безопасность. Скорее наоборот.
Не частая, но периодическая. Раз в 45 дней рекомендуется, если не ошибаюсь.
Все равно считаю это лишним. Лучше надежный сложный пароль и на долго.
Отснифят, заруткитят =)
/me вспомнил свои пароли и решил что пора менять — лет 5 уже прошло…
Последний пункт, при выполнении предыдущих, становится просто крайне трудновыполнимым :(
Жизнь трудна… 8-)
Давно юзаю везде уникальные пароли и храню их в KeePass :) а вот самый достойный (ИМХО) паролегенератор — http://www.pctools.com/guides/password/
Правильно, но по необходимости не стоит её так уж усложнять, и пользоваться для не сверх важных паролей KeePass или аналоги =)
Честно говоря, пароли от всякой фигни у меня сохранены в программах (TC, FF) и продублированы в текстовых файлах на Gmail.
Ничего умнее пока не придумал. А ставить какой-то софт — не очень-то удобно: хочется онлайновость, а доверять не хочется.
Владимир, попробуйте Password Commander (http://www.pascom.ru/). Имеется и автозаполнение логин/пароль, и крутой генератор паролей.
Надо будет на KeePass посмотреть повнимательнее, пока пользуюсь Password Commander’ом, а тут еще и под GPL программа.
Лично я считаю, что таким хранилкам можно доверять (если это не любительская поделка), с одной стороны появляется возможность хищения шифрованной (!) базы паролей, с другой — резко снижается вероятность пароль забыть.
с последним пунктом проблемы пользуюсь Password Commanderом до недавнего времени пользовал робоформ
Это конечно все правильно, но ведь в параноика превращаться никто не собирается, особенно те люди, которые ничерта не секут в компах…
Пара ссылок по теме:
1. Password Strength Meter — оценка качества пароля.
2. — генерация паролей для сайтов на основе мастер-пароля и адреса сайта. Очень удобно, сам пользуюсь.
А у меня туго с паролями…
Стараюсь придумывать, но очень сложно запоминать. Есть 2 больших буквенно цифровых, но в основном небольшие.
И хранил я их раньше набумажке, которую благополучно выкинули в мусор(объяснив что там всё равно хрень какая-то)
Вот теперь храню в txt файлике. Банально… Но никакой конфиденциальной инфы на компе у мну нет.
Да, меня тоже заинтересовало. Весьма.
С учётом того, с какой легкостью вирусные модули выгрызли пароли из компьютеров нескольких известных мне сетей, хранение в plain text всё ещё суицидально. Буду пробовать KeePass.
Кстати, а если пароли хранить в телефоне/кпк/смартфоне??? Есть такие программы???
Хотя если кто-либо узнает что пароли именно там, могут и прибрать к рукам дивайсик…
У меня в сониэрикосн т630 это стандартная функция.
В мотороллах тоже есть такое приложение, но не совсем удобное.
Я думал может есть какие-то более удобные варианты.
KeePass имеет J2ME версию
Загляните в Contributed/Unofficial KeePass Ports and Builds на оф.сайте
Спасибо, очень пригодится. 8)
Грусно! хотя так и есть !
Очень грустно… Домодедово осталось без ссылки… Не мучайтесь. 8-)
[…] пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже […]
[…] Взлом аккаунтов: всё проще. […]
Храните пароли в KeePass?? ну ну ))