15.01.2026 10:53
jobi8 19 3800 Источник

Слабое место современных систем аутентификации это пароли.
Если пароли короткие и примитивные то велик шанс взлома.
Если хранить куча разных длинных и сложных паролей, то идет сильная нагрузка на память.

Решение есть, и оно не такое очевидное на первый взгляд.

Шаг I: Создаем самые важные пароли для самых важных сервисов

Нам нужны множество разных, не связанных паролей, чтобы узнав один пароль зломошеник не вошел в другие аккаунты. Также пароли должны быть сложные, запутанные и т.д

У нас есть гугл и яндекс почты, они наш ключ к восстановлению любого аккаунта.
Пароли для этих сервисов лучше запомнить, потому что хранение в менеджере паролей или где-то на бумажке обрекает нас на то, что все аккаунты связанные с этими почтами будут взломаны.

Это в большей степени касается Google почт, потому что есть множество приложений, в которых мы авторизируемся напрямую через Google.

К счастью в гугле очень хорошая защита и взломать аккаунты в нем не так-то просто, поэтому делаем средней длины хорошо запоминаемый пароль под разные почты и ставим двухфакторку (но не короткий, и не простой!).

Забрутфорсить пароль от гугл почты нереально, главное чтобы стояла двухфакторка и пароль был не qwerty123 и не password1487. Делать длинные 100 символов пароли необязательно.

Телеграм

Для телеграмма лучше сделать отдельный пароль, потому что вход по телефону в сервис, в котором все ваше общение и жизнь это ненормально.
Поставьте хоть какой-то пароль для входа в телеграм и запомните его.

Даже если телеграм забанят, введут белые списки, которые невозможно будет обойти, а мы все дружно сядем на мессенджер макс, то переписки из телеграмма все еще могут слить и использовать против вас.

Шаг II: Скачиваем менеджер паролей

У нас есть миллион сервисов, которые вроде важные, а вроде если их взломают это не будет трагедией всей жизни.

Нужно понимать, что даже примитивные пароли или one_password_for_everything редко взламывают, но это еще не значит что мы должны так делать.

Можете использовать BitWarden или KeyPassXC. У битвардена плюс, что он онлайновый и вы можете скачать его на телефон на компьютер использовать в качестве расширения, либо что более безопасно использовать оффлайновый KeyPassXC.

KeePassXC
KeePassXC

Дальше для каждого сервиса генерируем большую длинную строку, которую записываем в менеджер паролей и подписываем сервис и пароль с логином. Можете даже не писать юзернеймы и почты с логином, а просто записать название сервиса и пароль.

Не записывайте туда прям важные пароли вроде почт, а используйте как инструмент для неиспользуемых сайтов, которые может когда-то пригодятся. Таких как раз большинство


А мастер пароль от менеджера длинный запоминаем и держим в голове. Так как вы часто будете его вводить, вы набьете руку и не забудете его.
И так просто копируете и вставляете. ниче запоминать не нужно

ВСЕ новости про БЛОКИРОВКИ и РКН у нас в телеграм

KeyPassXC и битварден на момент написания статьи НИ РАЗУ за много лет не взламывали, это самые известные менеджеры паролей, но все бывает в первый раз. Мало ли, создадут квантовый компьютер, который взломает любой пароль за секунду.
Либо найдут серьезную cve в них, а вирусы которые вы скачали вместе с Adobe Photoshop 2026 с зеленого магазина украдут ваш файлик-базу с паролями и используют уязвимость нулевого дня.

Это мизерные шансы, скорее на землю упадет метеорит, но все равно, лучше самые важные пароли запоминайте и используйте двухфакторку.

Комментарии (19)


  1. K0styan
    15.01.2026 10:57
    #29386788

    Друзья, простите - вы на полном серьёзе на техническом ресурсе в качестве рекомендации по управлению паролями просто советуете использовать менеджер и двухфакторку для особо важных?


    1. jobi8 Автор
      15.01.2026 10:57
      #29386880

      Прочитайте статью, пароли для особо важных надо запомнить и если мы говорим про гугл почту, где стоит защита от брутфорса и возможность многофакторки можно не ставить прям очень длинный пароль. Я не писал, что там можно оставить простой пароль и лучше не хранить его в менеджере.

      А менеджер использовать для не очень важных паролей


    1. baldr
      15.01.2026 10:57
      #29387198

      Я напомню для тех, кто пропустил - мы находимся в платном блоге компании, которая недавно публично хвасталась что они повышают позицию себя и своих статей тем, что просто публикуют всякий шлак, но с провокационными заголовками, чтобы набрать халявные комменты (негативные тоже катят).

      Прошлому автору карму слили, а статью удалили, но почему бы с другого акка не начать писать, правда?

      Запомните этот блог и просто игнорируйте их статьи.


  1. PoganiniHot
    15.01.2026 10:57
    #29386798

    А что такое зеленый магазин? За статью спасибо - повеселился. Не иишка - точно.


    1. Vizmaros
      15.01.2026 10:57
      #29386938

      Это торренты-же. Пиратский фотошоп и так далее


  1. TheGodfather
    15.01.2026 10:57
    #29386830

    Главная проблема любой сохранялки паролей - что вы без этой сохранялки пароль не введете. Одно дело - сохранять пароли дома, да хоть в том же хроме и гуглоаккаунте, из родного браузера кликать на предложенные пароли и наслаждаться жизнью.

    Но жизнь такова, что рано или поздно возникнет ситуация:

    • Украдут телефон в поездке/отпуске и надо залогиниться (из интернет-кафе или из нового телефона из магазина) хоть куда-то и сообщить друзьям/близким/знакомым

    • На рабочем компьютере запретят пользоваться личными аккаунтами, а пароль на нужный сайт окажется только в личной учетке.

    • Через некоторое время приложение вас рандомно разлогинит в самый неподходящий момент (когда вы стоите в очереди в бизнес-зал, например).

    И примерно в любой из этих ситуаций если вы не помните пароли "в голове" (или не можете с использованием одного пароля "из головы" добраться до остальных за адекватное время - как же бесит эта мания везде пихать эту 2FA, которая этот сценарий ломает в принципе) - вы, в общем-то, обречены.


    1. ic10
      15.01.2026 10:57
      #29386906

      Так, а какая альтернатива? Везде использовать один и тот же, не сильно длинный, пароль?

      У меня, например, база KeepassXC много куда синхронизируется, так что там, где я регулярно бываю -- она есть.

      Украдут телефон в поездке/отпуске и надо залогиниться

      Если я куда-то еду, я беру флешку с базой и дистрибутивом KeepassXC. При желании залогиниться не проблема.

      как же бесит эта мания везде пихать эту 2FA, которая этот сценарий ломает в принципе

      В Keepassxc так же есть TOTP.


    1. Akina
      15.01.2026 10:57
      #29387100

      • Украдут телефон в поездке/отпуске и надо залогиниться (из интернет-кафе или из нового телефона из магазина) хоть куда-то и сообщить друзьям/близким/знакомым

      Залогинился из интернет-кафе == прощай, пароль...


      1. uranik
        15.01.2026 10:57
        #29387380

        Давно придумали всякие yubikey, google titan, feitian чтобы пароли вообще были не нужны.


        1. Akina
          15.01.2026 10:57
          #29387426

          Да такую мелкую фитюлю пролюбить - это же ж как два пальца. Я вон уже несколько раз наблюдал картинку, как чел приходит с обеда, и до конца рабочего дня ищет, куда засудобил свой смартфон, уходит сильно огорчённый (то ли протерял, то ли украли) - а завтра приходит весёлый и рассказывает, что просто утром в машине оставил. А смартфон-то поболе будет размером. А такой ключик, да чтобы он не протерялся, надо, наверное, вообще гвоздём ко лбу приколачивать.


          1. uranik
            15.01.2026 10:57
            #29387502

            Поэтому рекомендуют их по 2-3 штуки сразу подключать к сайту, если один ключ потерял - не беда, дома запасные лежат.


    1. Wesha
      15.01.2026 10:57
      #29387648

      Главная проблема любой сохранялки паролей — что вы без этой сохранялки пароль не введет

      «Брелок сущ. — маленькая штуковина, предоставляющая владельцу возможность потерять все ключи одновременно


  1. OlegZH
    15.01.2026 10:57
    #29386868

    [зануда] Способ хранения ЧЕГО? кучи паролей... [/зануда]


  1. sic
    15.01.2026 10:57
    #29386932

    украдут ваш файлик-базу с паролями и используют уязвимость нулевого дня.

    Это мизерные шансы, скорее на землю упадет метеорит

    Не наврали, а успокоили. Так может и нет тогда проблем с password528, если в таком добром мире живём?


    1. jobi8 Автор
      15.01.2026 10:57
      #29386948

      Это мизерные шансы, скорее на землю упадет метеорит, но все равно, лучше самые важные пароли запоминайте и используйте двухфакторку.


  1. YMA
    15.01.2026 10:57
    #29386966

    Для телеграмма лучше сделать отдельный пароль, потому что вход по телефону в сервис, в котором все ваше общение и жизнь это ненормально.

    Позанудствую, но завязывать "все ваше общение и жизнь" на один частный сервис в сети Интернет - это больший риск, чем использование не очень надежных паролей.

    А что, если завтра Дуров (или РКН) решат прикрыть телегу?


  1. inkelyad
    15.01.2026 10:57
    #29387014

    А мастер пароль от менеджера длинный запоминаем и держим в голове. Так как вы часто будете его вводить, вы набьете руку и не забудете его.

    Это очень оптимистично. После какого-нибудь двухмесячного нахождения в больнице - можно и забыть.
    Поэтому встает вопрос как безопасно забакапить мастер-пароль.

    У меня кроме как разрезать его по шамиру или чем-то похожим и потом растолкать кусочки по разным надежным углам и людям - ничего не придумывается.


    1. shasoftZ
      15.01.2026 10:57
      #29387140

      О да! Как из отпуска выхожу приходится лезть в менеджер паролей чтобы вспомнить пароль от рабочего ПК. Хотя когда работаешь набираешь его практически вслепую


  1. shasoftZ
    15.01.2026 10:57
    #29387134

    У битвардена плюс, что он онлайновый

    В KeePass можно хранить на Ядиске или другом облаке. Файл хранения шифруется