Придумать надежный пароль и запомнить его

Главная
Придумать надежный пароль и запомнить его | Интернет без бед

Придумать надежный пароль и запомнить его | Интернет без бед -6

19.11.2020 16:44

Teutonick 95 5300 Источник

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны.

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон.

Но согласись - мало приятного, осознавать, что твой единственный пароль от всех сервисов стал известен кому-то. И теперь только вопрос времени, когда он попробует его ввести на других сайтах в связке с твоим емейлом. А там - бонусные баллы в магазинах, твои адреса доставки и другие персональные данные.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

А теперь лайфхак. 3 часть не надо придумывать или запоминать! Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM - значит будет GOO.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно.

Формулу компонуем по принципу:

или

Вот лишь некоторые примеры, что может получиться:

12Pianino?YAN
?YANPianino12
Pianino?YAN12
Pianino12YAN?

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект "Интернет без бед".

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Подробней о миссии: https://www.youtube.com/watch?v=bt6Us…

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

#internetnotbad #интернетбезбед

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Проверка VASYA123

Для аналитики могу предложить почитать статью:

Исследование на тему паролей

Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на р...

habr.com

Из которой можно взять на заметку, что обычные юзеры популярных сайтов очень часто используют лишь буквенные пароли и не заморачиваются. Знание мнемонических приемов, которыми не ограничивается приведенный в этой статье вариант, значительно помогает запоминать важную информацию, в частности - пароль.

Комментарии (95)

Spectrum-Hyena
19.11.2020 20:00
#22328438
Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома

Такой пароль даже не пытается тебя ни от чего спасти. Чем это — лучше просто взять какой стих и пароль составить по первым буквам слов, четверостиший или еще чего, и то надежнее будет, заметно менее предсказуемо
1. Teutonick Автор
  19.11.2020 20:01
  #22328446
  Пароль, содержащий в себе цифры, буквы и символы значительно усложняет подбор. А формируя его по такой формуле, ты значительно упрощаешь себе процесс запоминания, попутно делая пароль УНИКАЛЬНЫМ для каждого сайта. Составив нечитаемый пароль по первым буквам чего угодно ты не решишь ни первую, ни вторую проблему и тем более не сделаешь его надежнее.
  1. Spectrum-Hyena
    19.11.2020 20:11
    #22328500
    Пароль, созданный описанным в посте способом, вообще не спасет от банальнейшего взлома со словарем (ну да, несколько усложненного, но готовые решения уже давно существуют). Замена слова на первые буквы чего-либо избавит нас хотя бы от этого способа. И даже так, это никак не делает ваш пароль уникальным для каждого сайта, это всего лишь формула из нескольких частей. Если ваш пароль утечет куда-либо или угадают хотя бы один — то любой ваш пароль уникальный пароль перестанет таковым быть
    
    Teutonick Автор
    19.11.2020 20:18
    #22328524
    Я не спорю, что такой пароль невозможно взломать. Формулу ты можешь усовершенствовать по вкусу. Пожалуй изложенный тут метод отличается от большинства уже опубликованных лишь тем, что я советую в свои пароли вставлять частичку названия сайта где ты регистрируешься.
    
    Сомневаюсь, что среднестатистический юзер ПК будет использовать наборы букв лесенкой с цифрами и символами в перемешку. Пусть это и усилит их безопасность. А такой вариант — компромисс.
    
    Spectrum-Hyena
    19.11.2020 20:36
    #22328608
    +1
    Пожалуй изложенный тут метод отличается от большинства уже опубликованных лишь тем, что я советую в свои пароли вставлять частичку названия сайта где ты регистрируешься.
    
    Об этом способе я узнал лет 5-6 назад, уверен, что он намного старше. Проблема в том, что практически любая формула пароля известна взломщикам и криптоустойчивости они добавляют чуть больше, чем нисколько
    
    StjarnornasFred
    20.11.2020 00:36
    #22329278
    Формула-то известна, но если она достаточно сложна, а вводные достаточно нетривиальны, то фиг кто что взломает.
    
    Фактически, что требуется хорошему паролю:
    
    Длина, чтоб простым перебором не взломали. Ну меньше 8 символов сейчас обычно и не разрешают делать. А лучше 10 и больше.
    
    Несловарность и нетривиальность, чтоб не взломали по словарю.
    
    Лёгкость запоминания — случайный набор символов не подойдёт.
    
    Разные пароли на разные сайты, чтобы взлом одного не помог автоматически взломать все остальные разом.
    
    Исходя из этого думаем:
    
    Базовое слово должно быть нетривиальным. Например (латиницей): XpeHBaMAHe. Вряд ли словари для брутфорса знают что-то подобное :)
    
    Цифры и спецсимволы можно добавить с любой стороны, это чисто техническое и для балласта.
    
    Ну и название сайта в пароле, делающее его разным и не позволяющее автопарсить.
    Итого, например: 6739_XpeHBaMAHeGoogle Конечно, по итогам взлома вручную можно догадаться, какой будет пароль от Яндекса, но 1) сначала его надо взломать, а это отнюдь не тривиально, разве что базу данных сольют, 2) без ручного осмотра и догадки, то есть автоматом, не взломаешь и посторонние сервисы, а при сливах баз данных это невозможно, их там тысячи.
    
    aleksandryor
    20.11.2020 13:49
    #22330994
    Вы думаете подобрать по словарю «Pianino?YAN12» проще чем «correcthorsebatterystaple»?
    
    Fell-x27
    20.11.2020 13:58
    #22331038
    Ага. Ну почти. Тут же мемас, в мемасе упрощенный пример. Но такой подход используется, например, в криптовалютах. Почитайте про BIP39, если интересно. Так, на подбор ключа, представленного в виде всего 12 слов из 2048-словарного словаря (масло маслянное..) всеми современными мощностями, уйдет, емнип, около 40 лет.
    
    А если ключ представлен в виде 24 слов, то количество комбинаций превышает количество атомов во вселенной. То есть, буквально, каждому атому во вселенной можно присвоить личную подпись и еще неиспользованный пул вариантов останется. Вдумайтесь.
    
    Всего 24 слова, ограниченных всего 2048 вариантами каждое…
    
    cepera_ang
    20.11.2020 15:48
    #22331588
    Примерно одинаково и выйдет. Что тут у нас? Словарное слово (6000-10000 вариантов), символ (64), кусок слова зависимый от сайта (пусть переберём от нуля до 10 букв домена, каждый в 2-3 вариантах UPPER, lower, Camel итого 30 вариантов), число (год? 1-100 с большей вероятностью текущего года и листаем в обратную сторону). Итого 1 152 000 000 вариантов.
    
    correcthorsebatterystaple — стандартный словарь diceware 7 776 слов (есть другие словари, и словари длиннее, но представим, что мы знаем какой словарь использовался при составлении пароля). Итого 7 776^4= 3 656 158 440 062 976 вариантов. Позволим себе вольность и добавим между словами какой-нибудь символ — пробел, точку, дефис или другой спецсимвол или цифру для удовлетворения требованиям сложности, 40 вариантов, итого 146 246 337 602 519 040.
    
    Пусть мы будем щедры и дадим методу генерации небольшую фору — компоненты можно размещать в любом порядке (4!=120), словарь по-больше (30к слов), первая или вторая или последняя буква может быть большой или любое их сочетание (8 вариантов), число в диапазоне 0-9999, получается 552 960 000 000 000, ещё где-то надо фактор 1000 добить, пусть у нас заранее неизвестно какой "формулой" пользовался пользователь при составлении (но тут надо понимать, что фантазия людей обладает очень низкой случайностью, тут прям к гадалке не ходи, перебрать варианты генерации которые придут обычному человеку в голову — гораздо быстрее, чем этому самому человеку кажется).

pavel_raskin
19.11.2020 20:18
#22328526
Начинание отличное. Будет здорово, если не забросите.
Наверное, для большей ясности стоит уточнить, что использовать одинаковые пароли на нескольких сервисах не безопасно, хотя и удобно. А уже из такого утверждения вывести на необходимость создания уникальных паролей, рассказав как это сделать не теряя удобства и сохраняя относительную безопасность.
И да, а почему слон?
1. Teutonick Автор
  19.11.2020 20:19
  #22328528
  Спасибо за поддержку ) обязательно продолжу.
  
  Слон — потому что он сильный, большой и умный.
  1. anonymous
    20.11.2020 09:06
    #22329870
    От себя добавлю, что я использую еще градацию сложности пароля, в зависимости от сервиса. Так например самый жестокий пароль от ЭЦП в налоговой, а самый простой для ЛК ЖКХ, где максимум что мне грозит — это злоумышленник оплатит мои долги.
    
    halfhope
    20.11.2020 19:12
    #22332494
    В детстве я ОЧЕНЬ часто переустанавливал 98 винду. Приходилось часто вводить серийник и я выучил его наизусть. В последствии, создавал пароли разной длинны меняя блоки местами, добавляя или удаляя их. Иногда на цифрах нажимаю шифт и получается символ. Год назад проводил процедуру смены своего «базового» серийника. Раньше категоризировал сайты по типам (развлечения, работа и т.д.), теперь же добавил вероятность утечки пароля на всяких форумах, так что использую на таких сайтах части из старого серийника. Средний пароль у меня 128 бит.

SomeAnonimCoder
19.11.2020 20:34
#22328596
Увидев один такой пароль — немедленно взломают все, это не сильно лучше тупо одного пароля везде. Можно попробовать спрятать «соль» — константную часть пароля — за хешированием. Вариант «берем sha256(concat(login+domain+SALT))» кажется куда менее взламываемым. Хеш интерпретируем как ascii, возможно придется подумать еще и о том как гарантировать наличие спецсимвола (ну вдруг их отсутствие в выхлопе из sha256 не позволит такой пароль использовать), но это решаемо заменой например первого байта на спецсимвол из словаря типа "!@#$%^&*(", номер которого в словаре равен перый байт%длинна словаря, ну и аналогично для обеспечения большой буквы и цифры. Вот тогда получаем пароль который легко запомнить(помнить надо только соль), при этом не настолько простой для злоумышленника(для вытаскивания вашей соли придется ломать хеш). Правда, придется всегда таскать за собой sha256, но это так себе проблема — сайтов считающих его полно, если паранойя не позволяет — приложение на телефоне без доступа в сеть/консоль на ПК.
1. Teutonick Автор
  19.11.2020 20:39
  #22328624
  -1
  это точно не для бытового применения)
  
  и непонятно «Увидев один такой пароль — немедленно взломают все» — как ОНИ поймут, что все остальные с такой формулой? На что им может намекнуть пароль SOBAKAYAN2020? Может у меня имя Ян ) Это надо сильно заморочиться, провести аналитику и явно задаться целью взломать конкретного человека, чтобы вычислить что в таком пароле YAN — это первые три символа сайта.
  1. Spectrum-Hyena
    19.11.2020 20:56
    #22328682
    +1
    Для бытового применения способ, описанный в посте избыточен.
    
    На что им может намекнуть пароль SOBAKAYAN2020?
    
    логика взломщика будет примерно такая:
    — Так, это или армянская собака 2020 года рождения, или YAN как-то связано с тем, что это пароль от яндекс почты. Мне, конечно же, ОЧЕЕЕЕЕНЬ нужен доступ к всем остальным аккаунтам данного гражданина. Так, что тут у нас, тумблр, первый пост от 2018 года.
    Password: SOBAKATMB2018
    Access is allowed
    
    SomeAnonimCoder
    19.11.2020 21:00
    #22328700
    Да, примерно такую логику у взломщика я подразумевал
    
    Teutonick Автор
    19.11.2020 21:02
    #22328706
    ну вот у меня другая логика, извини, не подобрал. я бы на тумлере сделал SOBAKATUM2020, цифры не надо привязывать к году регистрации.
    
    В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов. против такого конечно формула никакая не поможет.
    
    Spectrum-Hyena
    19.11.2020 21:06
    #22328734
    ну вот у меня другая логика, извини, не подобрал
    
    О боже, теперь у нас аж ДВА варианта пароля.
    
    SOBAKATUM2020
    
    Стоп, ты пароль каждый год собрался менять? Это только все упрощает.
    
    В любом случае, тобой продемонстрирована целенаправленная атака, а не массовый подбор по базе с китайских серверов.
    
    Так от массового подбора спасет вообще любое рандомное слово с нулем на конце
  1. sergio_deschino
    19.11.2020 20:59
    #22328698
    А пароль на Хабр у Вас Elephanthab2019? И взломщик тут подумает, что зовут Вас Habib, думается мне.
    
    Teutonick Автор
    19.11.2020 21:03
    #22328712
    нет 2019Elephanthab, формула ж не у всех одна ;)

anonymous
19.11.2020 20:34
#22328598
Ни разу не подводила моя схема. Берем незабываемую фразу на своем языке и набираем ее на латинице. Пока ни разу не взломали :)))

Пример:
моя любимая фраза из фильма 1956 года! -> vjz k.,bvfz ahfpf bp abkmvf 1956 ujlf!

подбирайте :)
1. Teutonick Автор
  19.11.2020 20:41
  #22328634
  интересно узнать, как ты ее набираешь с телефона где нет двойной раскладки) я отошел от подобного приема с тех пор, как появились сенсорные клавиатуры.
  1. anonymous
    19.11.2020 21:34
    #22328802
    Проблемы нет.
    Использую мобильное приложение в которое ввожу свой пароль кириллицей, получаю результат в латинице, а дальше копипаст. Приложение написал на юнити за пол часа (сторонним не доверяю почему-то). Может выложу в сторы и кину линк позже. Тут вопрос доверия к таким прогам…
    
    А если не заморачиваться, то сайт на php с https сделать совсем просто для себя любимого.
    
    Товарищ использует для таких вещей клавиатуру с ру и лат сразу: play.google.com/store/apps/details?id=com.adastrainfo.key2lay
    
    ivan386
    20.11.2020 03:48
    #22329524
    А то что пароль продолжает лежать в буфере не проблема? Я попадал в ситуацию когда в буфере лежало не то что я ожидал.
    
    anonymous
    20.11.2020 12:03
    #22330484
    Не ставлю на рабочий телефон ничего левого.
    
    ivan386
    20.11.2020 12:48
    #22330676
    Проблема даже не в том что это могут прочитать другие приложения. Проблема в том что вместо цитаты или ссылки которую как вам показалось вы скопировали вы можете вставить и на автомате отправить свой пароль.
    
    Fell-x27
    20.11.2020 13:30
    #22330898
    +1
    А на некоторых телефонах клавиатуры хранят целую историю буфера, порой очень длинную. И казалось бы, ты буфер перебил, а не тут-то было.
    
    geher
    20.11.2020 14:06
    #22331074
    Правильный менеджер паролей подчищает буфер обмена за собой через некоторое (весьма небольшое) время.
    Иногда это даже раздражает (замешкался немного, и в поле ввода пароля вставляется пустая строка), но что поделаешь.
  1. Maxim_Q
    19.11.2020 21:45
    #22328830
    Можно даже функциональные клавиши приделать для консоли, проблем нет совсем.
1. vmkazakoff
  20.11.2020 09:30
  #22329946
  Я отошёл от этой практики, когда мне для перебронирования гостиницы в тае очень срочно был нужен интернет и моя почта на гмейле, а из всего интернета был безумно дохлый и медленный комп на ресепшн какого-то делового хостела, в котором я упросил дать мне на 5 минут им воспользоваться. Русской раскладки нет, само собой, и даже английская не такая как у нас, а сайты где можно было переконвертировать откладывались грузиться (тай, острова, дешёвый хостел).
  Я поменял пароль как только добрался до нормального интернета.
  1. Teutonick Автор
    20.11.2020 11:07
    #22330260
    Спасибо за историю, тоже в подобных бывал. По этому отказался от подобного.
  1. anonymous
    20.11.2020 13:15
    #22330812
    Частные случаи бывают у всех и разные. Всем всего на всех не хватает. :)
    Я поделился своим вариантом — меня он устраивает. Ваш случай тоже учту и обдумаю вариант его решения для себя. Вариант паролей Автора статьи тоже имеет право на жизнь, но мне он неблизок.
    
    На каждый цветной карандаш — свой гурман. :)

Hamper
19.11.2020 20:54
#22328680
Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами через syncthing, потому что тут мы точно знаем, что наши пароли зашифрованы нормальным AES, а не хранятся непонятно где в открытом виде или со слабым хешированием, так что даже утащив базу взломщику придется подбирать хороший пароль, что очень сложно, естественно этот пароль не должен использоваться нигде, кроме как для этой базы. Кому не нужна такая надежность и если кто доверяет например гуглу, то мне кажется и то более надежным создавать для сторонних сайтов случайные пароли (это даже уже браузеры умеют нативно некоторые) и сохранять их в аккаунте того же гугла (или в сервисе, которому доверяем) для автоподстановки. При таком способе практически единственным способом получить все пароли остается только "терморектальный" анализ, но от него не помогут и остальные методы. Даже в крайнем случае утери базы с паролями почти везде есть восстановление доступа, и там более важно защищать даже не хранилище паролей а почту или телефон на который код восстановления будет приходить.
1. Teutonick Автор
  19.11.2020 20:59
  #22328696
  это походит на хранение всех яиц в одной корзине. один раз забыв большой пароль или потеряв его, можно лишиться того чего еще в добавок и сам не знал) плюс это должно быть кроссплатформенным, чтобы не было дискомфорта в использовании на сайтах с ПК и мобильного. А еще одно большое неудобство в том, что не сможешь авторизоваться на гостевых ПК или мобильниках в случае необходимости.
  
  но как вариант — хорош. одобряю, частично сам подобным пользуюсь, но с осторожностью.
  
  В этом плане лично я доверяю в первую очередь своей памяти, ну и тренировать ее тоже надо) а то так совсем разучимся.
  1. ClearAirTurbulence
    20.11.2020 22:03
    #22328880
    один раз забыв большой пароль или потеряв его
    А не надо его терять. Нужно иметь его записанным в надежном месте. Можно неявным, но восстановимым образом. Человеческая память — очень ненадежный инструмент.
    
    должно быть кроссплатформенным,
    Keepass, Enpass, если порыться — еще можно найти.
    
    не сможешь авторизоваться на гостевых ПК или мобильниках в случае необходимости.
    Ничто не мешает достать свой мобильник (кто-то без него ходит еще?) и посмотреть там, а потом вбить руками. Ну и самые часто используемые пароли все равно в голове задерживаются, как правило.
    
    доверяю в первую очередь своей памяти
    Не лучшая практика. Может удивить в самое неожиданное время.
  1. polearnik
    20.11.2020 09:58
    #22330014
    у меня пинкод от карты хранится в телефоне как часть номера несуществующего контакта. Пару раз пригождался.
    Насчет этих правил вы страдаете фигней.
    использщуйте проверенные рещения. Насчет кипаса вам сказали уже. у меня база хранится в телефоне в гугл диске и на компе. мастер пароль на ней сложный и длинный. Упростил себе задачу запоминания слзданием пароля с l33t. Украсть базу можно. расшифровать нет. И не приходится страдать от того что внезапно вылетело из головы правило создания пароля.
    А мастер пароль от базы запоминается за пару дней потомучто вводить его придется постоянно пока будете туда забивать все данные
    
    ClearAirTurbulence
    20.11.2020 15:26
    #22331504
    Да, кстати, до того, как перешел на 1password, затем на enpass, как раз так и хранил пинкоды — как часть телефонного номера контактов. Но с менеджерами удобнее, а то с ростом кол-ва карт приходится задумываться, какой там на нее контакт записан… В менеджере все просто, зашел по пальцу, и вот они все в группе "Карты".
    
    А еще неоспоримый плюс менеджеров паролей в том, что они\их плагины их вводят куда надо сами, что особенно удобно на телефонах с их недоклавиатурами.
1. scrow
  20.11.2020 10:17
  #22330078
  Воистину.
  В наше время, когда у каждого по три тысячи аккаунтов, все эти «как придумать пароль» — зло и только вредят. При росте количества паролей, люди неизбежно начнут их упрощать, ибо наша память не безлимитна.
  Единственное верное решение — хранилища паролей. Их много. Есть коммерческие в облаке. Для параноиков есть опен сорс с локальной базой. Придумывай и помни только один пароль, все остальные — через генератор того самого хранилища паролей.
  Все.
1. Basokl
  20.11.2020 13:59
  #22331040
  Вот полностью согласен. Также хорошо сказано в комментариях polearnik и scrow.

dsrk_dev
19.11.2020 21:14
#22328758
Проблемы начинаются если пароль на сервисе утёк и его нужно поменять, или если сервис просит раз в какой-то промежуток времени менять пароль

Paranoich
19.11.2020 21:37
#22328810
Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO

Взлянул на очень старый список весом около гигабайта (примерно 2012 год), который когда-то скачал с файлообменника. Список вида «сайт — логин — пароль.» Уже в то время эта идея была не новой. Сочетаний «goo» и «mai» в паролях предостаточно.
Все же лучше когда «1 пароль» — «1 сайт». А дабы не париться с запоминаниями — есть KeePass и иже с ним.
Ведь если завладеют одним паролем, составленным по вами указанному методу — то догадаться, что значит «yan» в составе пароля — нетрудно, следовательно можно и для гугля пароль подобрать.
И совсем «ой» — если у человека несколько аккаунтов в почте, например. А это не редкость совсем. И все с одинаковым паролем…

geher
20.11.2020 21:49
#22328838
Возьми число твоего рождения или счастливое число, чтобы легче запоминать.
Вот этого делать точно не надо.
Если уж придерживаться такой тактики составления паролей, нужно взять число, которое с тобой никто никогда не будет ассоциировать, поскольку даже не догадывается. Но оно, несомненно, должно быть памятным.
Например, некоторым подойдет сумма, на которую нагрел особо циничным образом когда-то банк, магазин или сотовый оператор. Можно использовать год неприятного, но не связанного с тобой очевидным образом, события.
Кроме того, имеет смысл проводить неявное преобразование слова по какому либо принципу. Например, по клавиатуре обычного телефона (буковки на цифровых клавишах) можно преобразовать слово в число, число в слово, а слово в другое слово. Некоторое разнообразие раскладок букв по цифрам в разных телефонах немного усложняет возможность определить такое преобразование. Со временем преобразование запоминается и не требует постоянно смотреть на кнопочный телефон при наборе пароля.
Также можно использовать фиксированный сдвиг на QWERTY клавиатуре на строку вниз, на колонку вправо или влево.
Преобразование раскладок менее удобно, поскольку на сенсорных клавиатурах смартфонов, как уже было замечено в комментариях, могут возникнуть проблемы.

А так, когда-то баловался подобным способом. Но формула была не одна, чтобы пароли были реально уникальными.
Завязал, когда количество формул превысило разумные пределы.
1. Iwanowsky
  20.11.2020 16:21
  #22331752
  Со сложными паролями обычные пользователи заморачиваться даже вообще и не хотят. А в большой компании сисадмины очень часто сталкиваются с тем, что пользователи забывают свои пароли (привыкли люди, что браузеры и почтовые клиенты запоминают пароли за них); и приходится каждый раз сбрасывать пароли пользователей или заводить их заново (и заставлять пользователя записать в свой блокнот). А еще хуже, когда пользователи держат свои пароли на виду. В своей госбюджетной организации мы боролись с пользователями, наклеивающими стикеры с паролями на мониторы, и все равно не могли это побороть окончательно: обязательно у кого-то где-то проявится (хотя и стало значительно реже). Кто-то иконки со святыми клеит на монитор, а кто-то — стикеры с паролями и также молится на эти листочки — типа как бы не ошибиться при вводе пароля. Хотя бы листочки клали под клавиатуру, а не вешали на самом видном месте! Представьте себе, например, кабинет бухгалтера, каждый день — куча посетителей (своих сотрудников и извне), а на мониторе бухгалтерши висит стикер со всеми паролями (АД, вход в БД, Интернет, почта, банк-онлайн и т.д.) И не мудрено, что периодически какие-нибудь недохакеры (все пароли-то известны) получают нелегальный доступ к БД и пр. авторизованным сервисам, и отследить такие заходы не так просто. Не так давно зашел к одному начальнику отдела, настраивал ему компьютер, а когда он вышел, взял со стола открыто лежащий листок с паролями сотрудников его отдела и тут же отксерил на его МФУ. Потом разбирался с ними и их начальством; ведь так и любой их др. посетитель мог поступить (в т.ч. просто сфотографировать листок), т.к. посетителей к нему всегда было довольно много.

Maxim_Q
20.11.2020 21:52
#22328848
Может проще KeePass использовать? https://keepass.info/

youngmysteriouslight
20.11.2020 01:24
#22329360
Мне очень нравится идея использовать пароль, функционально зависящий от открытых статичных параметров сервиса (домен, например) и скрытых параметров. Функция составляется и запоминается единожды и не меняется во времени. О скрытых параметрах скажу ниже. Сам таким пользуюсь в половине случаев.
Из преимуществ:
— легко «вспомнить» пароль к сервису, о существовании которого ты давно забыл
— независимость от сторонних сервисов, программ, баз данных
При этом можно функцию выбрать достаточно нетривиальную, чтоб визуально не была видна шаблонность паролей (как в предложенной в статье схеме), даже если злоумышленник узнает несколько паролей от нескольких сервисов, но при этом достаточно лёгкую в практическом использовании.

Из недостатков:
— разные сервисы выставляют разные ограничения на вид пароля, иногда эти ограничения взаимно исключают друг друга. Например, один сервис требует, чтобы в пароле была хотя бы одна цифра и ~~непечатный~~ небуквенный знак, другой требует, чтобы пароль состоял только из букв латинского алфавита, третий — только из цифр, четвёртый — максимум 8 символов, пятый — минимум 6. Поэтому предложенная в статье схема не универсальна. Единственное решение — скрытые параметры. Например, добавляем некоторое число внутрь пароля, когда условия на пароль допускают наличие цифр, и не добавляем в противном случае. Очевидная проблема — нужно запоминать скрытые параметры. Скрытые параметры — зло, потому что их легко забыть и трудно подобрать, если это что-то сложнее одного-двух булевых флага.
— иногда сервисы или соображения безопасности требуют поменять пароль. Тогда номер пароля или дата смены выступает в качестве скрытого параметра, что тоже очень неудобно. Впрочем, из соображений безопасности лучше использовать специализированное ПО.
— иногда сервисы меняют название, домен или другие параметры, которые считались статичными при создании пароля. Тогда надо вспомнить старые значения этих параметров и, по возможности, поменять пароль. Неудобно.

polearnik
20.11.2020 10:05
#22330030
Предлагаю хабру содержимое статьи с новыми способами пирдумывания паролей заменять на «используйте менеджер паролей с бэкапом в облако и на телефон» и блочить автора.
ПОдобные статьи появляются чуть ли не чаще чем статьи о методах массива в яваскрипте или о возможностях console.log
1. vis_inet
  20.11.2020 10:18
  #22330082
  Зачем так сразу?
  Человек поделился с нами своим видением.
  Из статьи или из комментариев кто-нибудь да почерпнёт полезное для себя.

cepera_ang
20.11.2020 10:33
#22330130
И какая энтропия такого пароля?

coffegitanes
20.11.2020 11:08
#22330266
Зачем изобретать велосипед? ))
Вот авторское пианино:
Pianino
5K8eLYHXVTjFib16u3So — это гугл
5KF3jTHEuaFEwMazvTQ — это яндекс
лишние последующие символы убрал, чтоб не пугать длиной пароля.

В основе банальный закрытый ключ SHA256. Парольная фраза + адрес сайта. Все пароли уникальны.
1. Teutonick Автор
  20.11.2020 11:08
  #22330268
  не прокатит для рядового юзера
  1. coffegitanes
    20.11.2020 11:12
    #22330286
    прокатит. юзеру механизм не нужен, а вот инструмент есть. можно даже оффлайн пользовать.
    www.bitaddress.org
    вкладка «умный кошелек»
1. ivan386
  20.11.2020 13:21
  #22330858
  Такой способ хорош на случай если сайт хранит пароли открыто или попался фишинговый сайт. В таком случае они получат пароль только от одного сайта но не узнают образец по которому формируется данные для генерации пароля.
  
  Для некоторых сайтов нужно кодировать в base64 чтобы были буквы цифры и символы пунктуации.
  
  Но вот вопрос как сделать фишинг не возможным впринципе?
  1. Fell-x27
    20.11.2020 13:38
    #22330944
    Но вот вопрос как сделать фишинг не возможным впринципе?
    
    Никак. На то он и фишинг.
    Фишинг — эксплуатация невнимательности. Решение — патчить пользователя.
    
    Всякие криптобиржи, например, борясь с этой заразой, вешают на входе привлекающие внимание плашки, где пишут, что нужно проверять адресную строку. Один раз юзер увидит ее, второй, третий, и эта мысль, быть может, укоренится. И, быть может, повысится вероятность, что в нужный момент юзер посмотрит туда и убережет себя от слива данных злоумышленникам.
    
    cepera_ang
    20.11.2020 15:50
    #22331608
    Никак. На то он и фишинг.
    Очень даже как, называется U2F — фишинговый сайт может сколько угодно перехватывать токены для авторизации, но толку от них будет ноль, так как они имеют смысл только при правильном сочетании domain — key.

Leoncillo
20.11.2020 11:50
#22330414
Хорошие принципы заложены, спасибо. Я еще вставляю пробелы, хотя не все сайты разрешают это
1. scrow
  20.11.2020 12:15
  #22330530
  Это изначально плохие и вредные принципы. Не занимайтесь ерундой. Используйте менеджер паролей и генерируйте длинные пароли без какой-либо логики.
  1. Teutonick Автор
    20.11.2020 12:50
    #22330692
    Это изначально 2 разных подхода. Кому-то впадлу использовать сторонние приложения, например. Для кого-то это сложно изначально. Не гребите всех под одну гребенку.
  1. ivan386
    20.11.2020 13:25
    #22330882
    Ваш менеджер паролей всегда при себе? Что будет если он перестанет работать или просто будет удалён из системы?
    
    scrow
    20.11.2020 13:33
    #22330910
    Да, всегда с со мной на телефоне.
    Я пользуюсь коммерческим приложением, но оно работает и без интернета. Интернет нужен только для синхронизации и проверки лицензии. Как часто нужна проверка лицензия — не знаю, я проверял его работу без интернета только пару дней. Если же на сервера этого менеджера упадёт метеорит, то у меня все равно есть копия базы на нескольких устройствах и ничего не мешает сделать экспорт из неё хоть в текстовый файл.
    Это всяко удобнее и безопаснее чем придумывать пароли для десятки сайтов. Ведь метод данной статьи предлагает использовать паттерн. А там, где есть паттерн — там есть и возможность его подобрать. Потому длинный, уникальный рандом — наше все.
    
    ivan386
    20.11.2020 13:48
    #22330986
    Ну вот выше предложили хешировать патерн тем самым скрыв его и хеш использовать как пароль. Так нет зависимости от менеджера паролей.
    
    scrow
    20.11.2020 13:56
    #22331028
    Да, это тоже вариант.
    Только тут два нюанса:
    
    Дополнительное действие для получения пароля. Это нужно сначала в локальную консоль ввести пароль а потом получить из него хеш. Не будете же вы пользоваться левым веб сайтом, передавать туда пароль и получать из него хеш? Это надо делать на локали. Каждый раз, когда нужно ввести пароль. А человек — существо ленивое и рано или поздно это надоест.
    
    Все равно придётся полагаться на свою память и помнить пароли и свои патерны и как мы их применили для конкретного сайта. Что так же не особо удобно.
    
    Серьезно, во всех этих фичах «как легко запомнить сложную информацию» у меня больше проблем вызывает именно вспоминать этот легкий подходит и декодировать им сложную информацию. Мне проще изначально запомнить сложную инфа в ее изначально виде, чем помнить методы ее воспроизведения.
    Пример — проще зазубрить цвета радуги, чем воспоминать где сидит фазан.
    
    YouHim
    20.11.2020 22:19
    #22333148
    Телефон может разрядиться, его можно потерять, могут украсть, мастер-пароль можно забыть. Да мало ли может возникнуть проблем? Я несколько раз попадал в ситуацию, когда мне очень срочно нужен пароль, а в менеджер я зайти не могу (по разным причинам). С тех пор в менеджере у меня только неважные пароли, которые могут подождать. Паролей к критическим сайтам у меня несколько разных (да, каюсь, есть и такие, что используются для разных сайтов) но они все у меня в голове, заученные наизусть. Периодически их меняю… Пытался пользоваться способом автора, но не зашло.
    
    scrow
    21.11.2020 10:19
    #22334130
    В наше время павербанков и наличия по три зарядных устройства у каждого, довольно странно внезапно оказаться с разряженный телефоном. Заряжать телефон это как почистить зубы утром. Часть ежедневной гигиены.
    Тяжело запомнить мастер пароль? Ну, воспользуйтесь методом из статьи. Раз вам сложно запомнить всего лишь один пароль.
    Не можете зайти в менеджер? Воспользуйтесь другим. Нормальные менеджеры работаю и без интернета.
    От украденного телефона спасает другое устройство или облако, где есть копия базы паролей.
    Рано или поздно ваш мозг сломается, и вы забудете новый пароль, который вы вчера сменили, но прекрасно будете помнить неактуальные пароли, которые меняли пять итераций назад.

fn112
20.11.2020 12:48
#22330678
Все же мне кажется более удобным помнить один хороший пароль, а остальные хранить в базе, защищенной этим паролем (например keepass) которую можно хранить хоть в открытом виде в облаках или синхронизировать между разными устройствами

Несколько лет пользуюсь таким подходом и ни разу не подводил. У меня 3 хороших пароля: на KeePass, вход на 2 ноутбука (немного измененные друг от друга) и на Nextcloud потому-что туда мне надо ходить каждый день. База синхронизируется с ноутбуков на телефоны, а на базе ничего не придумываю — только сгенерированные пароли.
Подводит и память, и устройства, но подход не подводил.
1. Teutonick Автор
  20.11.2020 12:49
  #22330684
  Зачем ставить сложный пароль на ноутбук? Думаете кто то угонит ноут чтобы стырить содержимое?
  1. fn112
    20.11.2020 15:21
    #22331478
    У меня еще и диск зашифрованный. Я не считаю это излишним, потому-что на ноутбуке есть много информации, которой я никогда, ни при каких условиях не хочу поделиться с другими.

Fell-x27
20.11.2020 13:50
#22331000
Teutonick, Давая такие советы, вы берете на себя огромную ответственность. Скажите, какой у вас уровень квалификации в области криптографии и/или ИБ, раз уж вы эту ответственность на себя берете? Есть подозрение, что недостаточный. Такие советы могут стать медвежьей услугой. Возможно, сначала стоит проконсультироваться со специалистом, прежде чем их продвигать. Контентмейкер не обязан разбираться во всем, о чем говорит, но, желательно, чтобы то, что он говорит, проверялось тем, кто разбирается. Это нормальная практика.

На интуитивном уровне оно, может быть, и кажется, достаточно надежным. Но есть проблема. Интуитивное восприятие некоторых областей информатики и математики, в которые входит, в том числе, и криптография, как правило почти всегда ошибочно.
1. Teutonick Автор
  20.11.2020 13:56
  #22331030
  Я предложил формулу которая легко генерит пароль и легко запоминается. Чтобы в этом убедиться не надо иметь никакой квалификации ни в чем. Я знаю, что некоторым людям тяжело живется в современных реалиях, именно для них мой пост, чтобы хоть немного усилить их простые QWERTY пароли. Тут так же не надо быть гением, чтобы понять, что пароль по такой формуле в разы секьюрней чем VASYA123.
  Более того, я ни слова не сказал про то, что такие пароли невзламываемые или какие то супер криптографически защищенные. Не знаю с чего такие выводы?
  
  Не нравится — не пользуемся, благородные хабровчане, как это водится, предложилил уйму альтернативных вариантов в комментариях.
  1. Fell-x27
    20.11.2020 14:04
    #22331064
    Тут так же не надо быть гением, чтобы понять, что пароль по такой формуле в разы секьюрней чем VASYA123.
    
    Именно это я и имел ввиду, говоря про некорректность интуитивного восприятия таких вещей. Окей.
    
    Teutonick Автор
    20.11.2020 14:07
    #22331080
    Можно пойти от обратного. Если бы пароли со спец символами и цифрами одинаково легко взламывались на ряду с буквенными, то требования к безопасности на каждом сайте не заставляли бы их указывать.
    
    Fell-x27
    20.11.2020 14:18
    #22331124
    А это я имел ввиду уже говоря про квалификацию в ИБ…
    
    Вам говорят про то, что алгоритмически составленные пароли слабы, а вы отвечаете про «там же есть спецсимвол».
    
    Кроме символьной сложности, которая одинаковая у, например, «Vasya123» и «k7Ao4q3g», есть еще сложность семантическая. И не нужно быть гением, чтобы понять, что она у этих паролей не одинаковая.
    
    И вот алгоритмичность, увы, является ударом по семантической сложности пароля. Где алгоритмы, там паттерны, где паттерны, там оптимизации механизмов подбора. И именно такого рода пароли первыми подпадают под удар.
    
    И, в этом плане они не сильно выигрывают у «Vasya123».
    
    Teutonick Автор
    20.11.2020 14:47
    #22331296
    Если кто-то проведет анализ и докажет на цифрах опасность такого подхода, я буду только благодарен и тут же удалю статью и ролик.
    
    Мне моя компетентность действительно не позволяет предоставить доводы в пользу такого материала. Что у меня есть — личный опыт, опыт коллег девелоперов, опыт домочадцев и родственников, что привело к мысли дать обывателям простой, понятный способ генерации уникальных паролей, подходящих под самые задротские требования без дополнительного ПО. Цель усилить безопасность вторична.
    
    Пример из жизни: за 10 лет угоняли пароли по маске Aaaaaaa999, но ни разу не стырили пароли по маске Aaaaa#9. Возможно совпадение.
    
    cepera_ang
    20.11.2020 16:00
    #22331670
    Цель усилить безопасность вторична
    Цель поддержать театр безопасности, устроенный такими же клоунами со стороны разработчиков сайтов получается?
    
    Teutonick Автор
    20.11.2020 16:03
    #22331688
    то есть для вас это театр, требовать в паролях цифры и спец.символы?
    
    cepera_ang
    20.11.2020 16:07
    #22331706
    Не только для меня, это консенсус отрасли.
    
    Teutonick Автор
    20.11.2020 16:10
    #22331722
    ну вы же не надеетесь на самосознательность рядовых пользователей сервисов, что они должны беспокоиться за безопасность своих данных сами?)
    
    cepera_ang
    20.11.2020 16:24
    #22331766
    Хотите обсудить ещё и тонкости стратегии обеспечения безопасности пользователей?
    
    Конечно никакой надежды на самосознательность рядовых пользователей нет, когда у них такие инфлюенсеры под боком. Но это не отменяет того, что современные подходы к паролям (и шире, к авторизации пользователей в целом) эволюционировали с 1995 года, когда рекомендовалось заставлять пользователя использовать в качестве пароля слишком короткую кашу-малашу из символов и менять каждый месяц.
    
    Попробуйте зарегистрироваться например в гугле, он хоть и просит цифры и символы, но прекрасно продолжает без них, но не даёт сделать пароль меньше 8 символов.
    
    Teutonick Автор
    20.11.2020 16:29
    #22331784
    В то время как большие умы и высококомпетентные люди строят эти стратегии, обычные люди живут своими жизнями, набивают шишки и пользуются тем, что есть. Когда уже придумаете авторизацию, чтобы не надо было ни логин, ни пароль запоминать, и чтобы нельзя было взломать? Вот когда придумаете, тогда приходите. Ну или станьте сами инфлюенсером, за недостатком компетентных приходится хоть за кем то идти.
    
    cepera_ang
    20.11.2020 16:43
    #22331830
    Давно придумана, паспорт называется :)
    
    А для обычных людей с обычными жизнями, другие обычные люди придумали менеджеры паролей, ключевые хранилища в операционных системах, авторизацию по имейлу, смскам и пушам, аппаратные ключи, авторизующие по нажатию кнопочки. И многое из этого, если не "нельзя взломать", то гораздо, гораздо труднее взломать.
    
    Ладно спорить о бедных судьбах несчастных "обычных людей" (хоть я и не люблю вот это пренебрежительное отношение, они обычные, но это не значит, что нужно их дезинформировать и придумывать им какие-то ненужные сложности), а чего на хабре-то, среди технических специалистов, эта статья забыла? Для ютуба шикарно, там средний уровень как раз такой, даже на пикабу может быть зашло, но хабр чем провинился, чтобы в очередной раз пережёвывать чудо-формулы генерации паролей?
    
    Teutonick Автор
    20.11.2020 16:55
    #22331878
    для критики ;)
  1. cepera_ang
    20.11.2020 15:58
    #22331656
    разы секьюрней чем
    Только проблема в том, что "разов" недостаточно. Даже порядков маловато.
    
    В то время как атакующая сторона использует многомиллиардные базы паролей для прямого перебора и машинное обучение для подбора паттерном всем, чем только можно, порождающими грамматиками, рекуррентными нейросетями, да и просто из головы придумывая вот такие "логики" построения паролей (и тратит на это гораздо больше времени и усилий, чем каждый очередной пользователь, которому пришла в голову гениальная идея написать Apple!gmail2020 в качестве "невзламываемого" пароля), вы игнорируете весь накопленный стороной защиты опыт, но почему?
    
    Teutonick Автор
    20.11.2020 16:01
    #22331678
    Речи о невзламываемости не шло, почему вы так норовите мне припаять какую то ответственность и цели, которых я не преследовал и в мыслях не было туда думать).
    
    в статье все четко — формула как придумать и не забыть. ну бонусом включить туда все что можно включить и сделать пароль уникальным для каждого сайта. всё. Все остальное ваши ожидания не имеющие ничего общего с действительностью )
    
    cepera_ang
    20.11.2020 16:12
    #22331726
    Требование невзламываемости первично в пароле, как вы отнесётесь к "формуле" обеда из гранитной крошки, крысиного яда и ароматного навоза? "Лол, кек, это просто рецепт, кто сказал, что он должен быть съедобным и вкусным? Последовательность шагов есть, ингридиенты есть, бонусом красивый b-roll с кухни. ваши ожидания не имеющие ничего общего с действительностью )"
    
    И да, статья в заголовке гласит: "надёжный пароль". Надёжный, но взламываемый, да?
    
    Teutonick Автор
    20.11.2020 16:26
    #22331776
    просто передергивание и игра слов, нет смысла дальше вести диалог.

StjarnornasFred
20.11.2020 20:56
#22332858
В комментариях много советов про менеджеры паролей, хэши и прочее подобное. Но никто не ответил на вопрос: как создать такой пароль, чтобы он был элементарно ясен автору, но трудновзламываем. Автор статьи — почти дал.
1. cepera_ang
  20.11.2020 20:59
  #22332876
  Бросать кости, выбрать 4-6-12 слов, заучить наизусть. Элементарная ясность возникнет сама от постоянного использования. Использовать для менеджера паролей, в котором для каждого сайта абракадабра 32 символа хоть с какими спецсимволами и прочими усложнениями.
  1. Fell-x27
    20.11.2020 21:54
    #22333068
    На интуитивном уровне это (набор слов) воспринимается как очень слабое решение. Таким вещам разве что криптовалютчики доверяют, если даже не подкованы технически, то хотя бы просто потому что регулярно имеют дело с мнемоническими ключами и знают, что это работает.
    
    cepera_ang
    21.11.2020 09:29
    #22334070
    Это воспринимается как слабое решение только от десятилетий тренировки неправильной интуиции, когда пользователей учили всяким большим/маленьким буквам, цифрам и спецсимволам, а они хитро придумывали "переключу раскладку, вау, никто больше до такого не догадается, а ещё буду использовать часть названия сайта для уникальности, вот это я точно гениально придумал и год/дату рождения, если потребуют цифры".
    
    Интуиция вообще штука опасная в криптографических делах — совсем не интуитивно, что набор в другой раскладке даёт всего 2х к количеству вариантов перебора, а добавление одного символа к длине — 60х, ведь набирать в раскладке интуитивно труднее, а символ добавить — легко. Так же и с пассфразами — интуитивно кажется, что их слишком легко запомнить, чтобы они были надёжными, где трудности и страдание при использовании, почему так просто? Но вот так оно работает.
    
    Ещё можно генерировать осмысленную фразу (из случайных слов), добавляя предлоги, глаголы и правильные окончания, тогда запомнить будет ещё проще при той же стойкости. Есть на просторах интернета генератор. Ну и конечно, задача сайтов подталкивать пользователя к хорошим паролям — намекать краснеющими/зеленеющими прогресс барами, банить утекшие когда-либо пароли, тестировать популярные сочетания и паттерны.
    
    Опять же, спросили не "интуитивный пароль", а трудновзламываемый.
    
    Fell-x27
    21.11.2020 15:39
    #22334946
    Согласен со всем, кроме осмысленных фраз из случайных слов. Осмысленность означает соблюдение некоторого синтаксиса. А где синтаксис там паттерны и упрощение подбора за счет сужения вариантов. Особенно в английском.
    
    Вообще спецификация того же BIP39 строго запрещает генерацию мнемонических ключей человеком или в осмысленном виде. В идеале — черпаем n бит из пула энтропии, конвертируем в мнемонику. А мозг наш устроен так, что даже из набора 12 не связанных смыслом существительных способен составить для себя достаточно осмысленную картину, чтобы их запомнить без проблем.
    
    cepera_ang
    21.11.2020 16:00
    #22335026
    Требования в BIP39 для генерации кошельков всё же гораздо строже и нельзя напрямую переносить на парольную защиту. Требовать 12 полностью случайных слов — отличный способ отбить у пользователя охоту вообще связываться с этими "хорошими" паролями и вернуться обратно к Sasha@yandex2020. Всё же сид кошелька должен противостоять offline атакам неизвестной мощности и продолжительности, с потенциальным перебором триллионов вариантов. И его запоминание вообще не подразумевается. Т.е. требования совсем другие, чем к паролю, который должен хорошо противостоять онлайн атакам (100-1000 попыток, пока не заблокируют или станет очень долго перебирать), либо к массовым offline атакам, где вероятнее всего атакующий получит базу солёных паролей и будет перебирать массово, не пытаясь вскрыть конкретный триллионными переборами.
    
    Поэтому синтаксис и прочие паттерны вполне допустимы, если при этом чётко объясняется, что нужны более длинные фразы. Естественно, фраза из четырёх слов, из которых три — артикли и предлоги, не подойдёт (хотя, четыре случайных слова — вполне). Посмотрите на сайте по ссылке, там показана оценка сложности, 60 бит хватит для всех :)
1. Basokl
  20.11.2020 22:05
  #22333106
  Вот вариант.
  Придумать пароль к «KeePass» по такой схеме:
  1. Выбрать от 2 слов и более (например фраза какая-та).
  2. В пароле использовать только первые буквы слов (выбрать свое количество от 2 до 8).
  3. И между словами поставить цифры.
  Все, надежный пароль создан.
  Дальше пользуемся KeePass, где генерируется рандомные и длинные пароли.
  И голова не забита кучей паролей.
  1. SandroSmith
    23.11.2020 15:00
    #22340710
    Я бы только модифицировал. В пункте 1 — «от 5 слов» и третий пункт становится не особо нужен. Сложность практически не теряем, запомнить гораздо проще.

soul32bit
21.11.2020 11:14
#22334220
Я на том сайте, где вы проверяли надежность пароля ввел «administrator» и получил время 1 год. Выводы делайте сами.
1. Fell-x27
  21.11.2020 15:47
  #22334974
  Там и пачка нулей 7 лет выдает.