Все ругают пароли, но продолжают их вводить. Даже там, где уже есть токены, OAuth и биометрия, привычная строка «Введите пароль» никуда не делась. Кажется, мы привыкли к боли, но у этой устойчивости есть вполне рациональные причины…
Заходите, расскажу вам правдивую историю про эпоху мейнфреймов, технический долг Unix и иллюзию беспарольного доступа, а также разберу замены и поделюсь классными парольными утилитами.
Эпоха мейнфреймов и первый взлом
Свою историю я начну с того, как вообще появились компьютерные пароли. В начале шестидесятых вычислительные машины занимали целые этажи, машинное время стоило колоссальных денег, а работа с программой больше напоминала производственный цикл. Код пробивали на перфокартах, их относили операторам и потом часами ждали результата. Любая ошибка мгновенно возвращала программиста в исходную точку, где его уже поджидала новая пачка карт и новый заход.
Ситуация изменилась в 1961 году, когда Фернандо Корбато из MIT представил миру первую многопользовательскую операционку CTSS. Она впервые позволила нескольким инженерам одновременно работать с одним мейнфреймом через разные терминалы.
Однако разработчикам нужен был способ скрыть приватные данные друг от друга. Тогда Корбато и предложил простую связку из имени пользователя и секретного слова, ведь никто не думал ни о глобальной кибербезопасности, ни о фишинге, ни о социальной инженерии. Ожидаемо, первый компьютерный пароль почти сразу привёл и к первому взлому.
Докторант Алан Шир, которому хотелось проводить за общим компьютером больше времени, смог распечатать файл паролей системы и использовал «одолженные» учётные данные для входа под разными именами, чтобы продолжать работу над собственным проектом.
Позже, когда персональные компьютеры вышли из лабораторий в офисы, выяснилось, что слабое место системы находится не в архитектуре, а в человеке. Люди записывали пароли на бумажках, сообщали их коллегам и с поразительной лёгкостью сводили к нулю смысл всей этой защиты.
В 2014 году сам Корбато назовёт пароли «кошмаром». И трудно придумать более точный диагноз для технологии, которая с самого начала оказалась одновременно необходимой, уязвимой и подозрительно живучей.
Технический долг Unix и боль администраторов
Однако понять, почему пароли до сих пор не умерли, невозможно без короткого экскурса в анатомию Unix. Сисадмины и сегодня живут рядом с решениями, принятыми в семидесятых. Например, показательный артефакт эпохи — это /etc/passwd.
Изначально ядро системы требовало, чтобы он оставался доступным на чтение всем пользователям, потому что утилитам вроде ls и ps нужно было сопоставлять числовые UID с логинами. Если доступ к файлу закрывали, ОС начинала выводить цифры вместо имени владельца процесса.
Проблема была в том, что в ранних версиях Unix хеши паролей хранились прямо в этом файле. Инженеры тех лет считали, что шифрование — достаточная мера защиты, поскольку слабые процессоры не могли быстро перебирать нужные комбинации.
Когда вычислительные мощности многократно выросли, разработчикам пришлось экстренно создавать теневой файл /etc/shadow и прятать скомпилированные хеши туда. Старый файл passwd остался на месте ради обратной совместимости старого ПО.
Другая боль связана с PAM — системой аутентификации в Linux. Она задумывалась как гибкая настройка входа через разные модули, но в итоге стала клубком зависимостей из профилей, исключений и наследия старых решений.
Опытные админы знают, насколько тяжело раньше было поменять парольные политики через консольные утилиты вроде authconfig, ведь скрипты на Python охотно переписывали конфиги, а некоторые сочетания модулей система вовсе не терпела.
Сейчас похожая история есть с authselect. Даже на домашнем сервере отказ от пароля нередко требует ручной правки PAM-конфигурации.
При этом можно сколько угодно смеяться над комбинациями вроде Admin123, но даже такой «входной билет» проще, чем разбираться с биометрией, токенами и кривыми клиентами SSO. Особенно ночью, когда нужно срочно залогиниться.
Иллюзия беспарольного доступа
Сегодня БОЛЬШИЕ технологические компании с БОЛЬШИМ энтузиазмом предлагают миру токены, SSO и биометрию: «Наконец-то никакого 123456, никаких стикеров под клавиатурой, никакой человеческой слабости». Однако беспарольный доступ чаще всего означает появление ещё одного слоя над паролем. Почему?
Во-первых, в любой компании наравне работают облачные сервисы, внутренние панели, монолитные базы, древние системы и ещё несколько приложений, к которым уже никто не хочет прикасаться без уважительной причины. Убедить всё это хозяйство одинаково хорошо работать с аппаратными токенами и SSO почти невозможно.
Да, существуют платформы вроде HashiCorp Vault Enterprise, умеющие выдавать временные SSH-учётки, сертификаты SPIFFE и прочие признаки «инфраструктурной зрелости». Но вместе с ними приходят лицензии, сложное внедрение и обучение команды.
Во-вторых, есть и более ироничная проблема. Самая логическая уязвимость новомодных беспарольных концепций скрывается в механизмах резервного доступа. Аппаратные ключи банально ломаются, сканеры отпечатков пальцев загрязняются, рабочие смартфоны с приложениями для аутентификации теряются в метро. Абсолютно любая корпоративная инфраструктура обязана иметь надёжный канал для восстановления контроля — почти всегда им становится классический текстовый пароль.
В-третьих, отдельным культурным феноменом стала крайне быстрая адаптация хакеров к мультифакторной аутентификации. Злоумышленники массово и успешно применяют атаки типа MFA Bombing.
Настоящий беспарольный доступ строго требует физического удаления секретных строк кода из абсолютно всех баз данных, что для подавляющего большинства пока совершенно недостижимо.
Инструменты современной аутентификации
Если отойти от вечного разговора о том, что «пароли вот-вот умрут», выяснится, что никуда они пока не уходят. Современные методы аутентификации в основном решают не проблему секрета, а проблему его формы. Сам принцип при этом остаётся прежним — система должна понять, что перед ней именно тот человек, за кого он себя выдаёт.
FIDO2 и WebAuthn
Пожалуй, это самая зрелая альтернатива классическому паролю из тех, что реально дошли до эксплуатации. Устройство создаёт пару ключей — публичный и приватный. Приватный остаётся внутри токена или защищённого хранилища, а вход строится на подтверждении владения ключом. Сам секрет по сети не передаётся.
Однако для работы FIDO2 и WebAuthn нужна поддержка со стороны браузера, приложения или терминального агента. Если перед нами API без фронта или старая внутренняя система, такую аутентификацию можно только пристроить поверх существующей архитектуры. Насколько это надёжно — вопрос.
OAuth 2.0 и OpenID Connect
Эти протоколы не убирают пароли, а делегируют их. Пользователь логинится у своего поставщика идентичности, а сервис принимает токен — как пропуск. Хорошо для веба, плохо для CLI, ещё хуже для сетей без внешнего доступа.
SSH-ключи и брокеры аутентификации
Старое решение, которое живёт лучше всех. Публичная криптография, проверка подписи и простая интеграция. Однако есть проблема в управлении — кто выпустил ключ, кто его отозвал, кто ушёл из компании, а ключ остался, кто сгенерировал его на случайной машине, а потом сам забыл об этом.
Passkey-инициативы Google, Apple, Microsoft
Они обещают синхронизацию ключей между устройствами, избавляют от ручного ввода, но замыкают пользователя внутри экосистемы. Для личного пользования хорошо, но для корп. админов это неприемлемо, ведь нужна локальная автономия, а не зависимость от облака и его аптайма.
Криптография Ed25519 и PGP
В криптографии секрет не передаётся, а подтверждается через подпись. Решение работает, если все компоненты знают, как её проверить. Но в мире, где половина корпоративных демонов написана двадцать лет назад, внедрение этой схемы — ещё одна боль для админа.
Вместо заключения
Напрашивается инсайт (надеюсь, понятный для всех) — инструменты аутентификации стоит использовать не вместо паролей, а вместе с ними. Поэтому, как и обещал, делюсь списком годных парольных утилит для личного и корпоративного пользования.
Если хотите защитить себя, вам помогут:
KeePassXC — настольный офлайн‑менеджер паролей. Хранит базу локально, поддерживает плагины для браузера, аппаратные ключи, и удобен тем, кто предпочитает полный контроль над файлом с паролями.
Keepass2Android / KeePassDX — мобильные клиенты для KeePass‑совместимых баз. Позволяют носить зашифрованный парольный «контейнер» в телефоне и не зависеть от облака.
Proton Pass — менеджер паролей от команды Proton. Делает упор на приватность, шифрование «на стороне клиента» и простое использование.
1Password — платный, но очень удобный вариант, если хотите «поставил и забыл». Красивые клиенты, подсказки по слабым и утекшим паролям, удобная работа на телефоне и ноутбуке одновременно.
Если нужно для профдеятельности, обратите внимание на них:
Bitwarden — кроссплатформенный менеджер паролей с открытым исходником, есть и облако, и вариант самохостинга. Умеет генерацию, автозаполнение, расшаривание записей и работу на всех основных платформах.
HashiCorp Vault — один из главных инструментов для хранения и выдачи секретов. У него есть API, политики доступа и динамическая генерация временных учётных данных.
Утилита Pass (Standard Unix Password Manager) — утилита в духе старого Unix-подхода. Использует GPG и git, легко автоматизируется, хорошо живёт в скриптах и devops-сценариях.
gopass — расширенная «надстройка» над pass на Go. Добавляет удобные команды, структуру хранилища, поддержку командной работы и немного сглаживает углы классического pass.
FreeIPA — комплексное решение для Linux и Unix-аутентификации. Внутри LDAP, Kerberos, DNS, собственный центр сертификации и интеграция с Active Directory. Помимо паролей, поддерживает TOTP и FIDO2/passkey.
Passbolt — командный менеджер паролей с упором на браузер и совместную работу. Открытый код, сервер у себя, удобно раздавать доступы команде без копирования секретов в мессенджеры.
Итак, вывод. Пароли можно сколько угодно критиковать за фишинг, слабость и зависимость от человеческой памяти. Всё это справедливо, но полноценной замены у них пока нет. Именно поэтому мы до сих пор используем пароли, хотя все их ненавидят…
И мой любимый мем:
Делитесь, какие хранилища/сервисы/утилиты вы используете у себя. Как думаете, настанет ли время, когда пароли реально будут не нужны?
© 2026 ООО «МТ ФИНАНС»
Комментарии (70)
Dr_Faksov
14.04.2026 13:06Когда с предыханием говорят про биометрию, забывают одну её кошмарную особенность: в случае компрометации её невозможно заменить. В отличии от пароля.
И почему-то автор рассматривает пароль исключительно как текстовый ввод. Хотя есть другие систем ввода пароля. В том числе, рассчитанные на безопасный ввод со скомпрометированных компьютеров. Графические, к примеру.
iprs
14.04.2026 13:06А как скомпрометировать биометрию? Подделать отпечатки пальцев/сетчатку глаза (или еще что)?
Или речь о способе хранения оцифрованной биометрии, что возможно передать в интересующий сервис сразу эти слитые оцифрованные данные, минуя аппаратный блок оцифровки?
GidraVydra
14.04.2026 13:06Подделать отпечатки пальцев довольно дешево сейчас, стоит несколько долларов. Сетчатку глаза нереально сейчас массово использовать. Радужку глаза, которую вы, скорее всего, имели ввиду, говоря про сетчатку, подделать довольно дорого пока, но есть нюанс. Дешевые сканеры, вроде тех, что ставят в флагманские Гнусмасы, имеют очень низкое разрешение, и качественная подделка для них не нужна. А сканеры высокого разрешения и стоят других денег, и габариты у них совсем другие.
ropblha
14.04.2026 13:06Уже давно ломали системы с помощью сканов, 3д сканов, фото и прочей чепухи вроде резиновых накладок на пальцы
randomsimplenumber
14.04.2026 13:06Биометрия дальше сканера не ходит. А возле сканера обычно сидит специальный человек и следит чтобы не было фокусов типа отрезанного пальца.
Ilnurathome
14.04.2026 13:06Так и запишем. Рядом с каждым злоумышленником, который хочет обмануть сканер биометрии, чтобы обмануть сервис в сети интернет, должен сидеть специальный человек, а так как не все злоумышленники состоят в реестре злоумышленников, то для аутентификации к соотвествующим сервисам, всем без исключения пользователям надлежит обратиться для контроля к специальному человеку, сидящему рядом.
randomsimplenumber
14.04.2026 13:06А тут биометрия - второй фактор. Первый - обладание правильным телефоном с правильными ключами в хитром хранилище.
iprs
14.04.2026 13:06И что делать при его поломке или утере?
randomsimplenumber
14.04.2026 13:06Старый добрый пароль вспоминать ;) Или доказывать что вы действительно вы в присутствии специального человека.
Germanjon
14.04.2026 13:06В Узбекистане через биометрию (Face-ID) вы можете получить множество банковских услуг, в том числе получить кредит. Около каждого из десятков миллионов смартфонов невозможно посадить специально обученного человека
randomsimplenumber
14.04.2026 13:06КМК через face-id вы общаетесь не с банком а с телефоном. Вы можете взять новый телефон (который не обменялся с банком ключами) и просто так взять кредит?
Germanjon
14.04.2026 13:06Да. Если я установлю на телефон банковское приложение и единожды пройду идентификацию через биометрию.
randomsimplenumber
14.04.2026 13:06На новом телефоне пройдете идентификацию?
Germanjon
14.04.2026 13:06Да.
В сторону банка летит фотография (селфи), сделанная стандартной камерой смартфона. Банк или провайдер биометрии делает некоторые проверки + матчит фотографию кандидата с эталоном. БД паспортных фотографий доступна по запросу
K0styan
14.04.2026 13:06С биометрией все вечно путаются. Есть 2 схемы:
сканер собирает сигнатуру отпечатка/радужки/голоса, отправляет как есть на сервер, там происходит сверка с оригиналом;
сканер сверяет биометрию на девайсе же, в случае совпадения достаёт из хранилища ключ и подписывает им сообщение на сервер.
FaceID (если мы говорим про Apple-овский) работает по второй схеме. Биометрия там не покидает устройство. Даже сделав идеальную модель вашего лица, я не смогу со своим смартфоном от вашего имени что-то сделать - ключ есть только на вашем смартфоне, он там оказался при первичной авторизации в сервисе. И наоборот, украв ваш смартфон без вашего лица ловить мне нечего.
Так что в роли специально обученного человека выступает сам владелец.
Germanjon
14.04.2026 13:06У нас реализовано по первой схеме. В этом случае компрометация биометрии - плохо. С другой стороны, юзеры сами охотно делятся своим лицом в соцсетях
GidraVydra
14.04.2026 13:06возле сканера обычно сидит специальный человек и следит чтобы не было фокусов типа отрезанного пальца
В мой телефон почему-то забыли такого человека положить.
randomsimplenumber
14.04.2026 13:06От вашего телефона вы недалеко, зачем что то подделывать?
youngmysteriouslight
14.04.2026 13:06Палец — недалеко, остальная же часть владельца — не факт.
А если серьёзно, то телефон не всегда находится недалеко. Начиная от банальных краж. А при моём вялом взаимодействии с ним вообще могу обнаружить пропажу через неделю.
randomsimplenumber
14.04.2026 13:06Телефон весь в отпечатках пальцев хозяина. Но что то не слышно про успешные разблокировки мобильников с последующим потрошением банковского счета.
SanSYS
14.04.2026 13:06Они обещают синхронизацию ключей между устройствами, избавляют от ручного ввода, но замыкают пользователя внутри экосистемы
А использование менеджеров паролей не замыкает пользователя внутри системы?
Пароль один, а ключей в один акк добавить можно множество из разных экосистем
Мы используем пароли лишь, потому что программисты ленятся предоставить хотя бы альтернативу
RulenBagdasis
14.04.2026 13:06А использование менеджеров паролей не замыкает пользователя внутри системы?
Несколько раз менял менеджеры паролей, никакой проблемы в этом нет.
SanSYS
14.04.2026 13:06Именно!
Это лишь неудачная попытка сравнения экосистем
Если пользователь использует хром, то пересесть на иной браузер всё импортнув нет проблем
Хотя может с пасскеями и будет какой-то вендорлок
roverseti
14.04.2026 13:06Не совсем понимаю в чем сложность, создания сложного пароля и его запоминания ? Например 17МгновенийВесны на английском , используя русскую раскладку клавиатуры . Я понимаю, частотным анализом расшифровать возможно, но сложность увеличивается на порядок.
iprs
14.04.2026 13:06Сложность в необходимости иметь сотни паролей
roverseti
14.04.2026 13:06Для этого, есть кейпасс а, пароль его или несколько еще жизненно важных паролей , делаем как описано выше. Кстати тов Касперский говорил , что его система запоминания паролей ( и изобретения , полагаю) связано с местом (- географически что -ли )и временем.
iprs
14.04.2026 13:06KeyPass и у меня есть, только вот вы другой вопрос задавали, с ним вообще не связанный
ropblha
14.04.2026 13:06У меня как раз наверно сотня паролей) Но я их естественно не помню - просто вычисляю на ходу на основе имени ресурса/определенных дат/имен, который периодически меняю
igrishaev
14.04.2026 13:06Вас не пропустит сайт, который требует спецсимволы (доллар, собака, etc)
Один пароль для всех сайтов – плохо.
roverseti
14.04.2026 13:06Кто-ж говорит об одном? См выше . А, " 17Мгновений@-)Весны " Подойдет ? :))
Astartes
14.04.2026 13:06Один пароль для всех сайтов – плохо.
Лично я просто меняю численную часть пароля в зависимости от домена по одному постоянному принципу. В итоге пароли похожие, но всегда (ок, почти всегда) разные. Может не суперсекьюрно, но уже было много ситуаций, когда я благополучно логинился на сайтах, куда не заходил с десяток лет. Лично для меня это достаточно приемлемый компромисс между безопасностью и удобством.
RulenBagdasis
14.04.2026 13:06Это работает до тех пор, пока несколько ресурсов не начнут требовать регулярную смену паролей. И требования к паролям разные у всех. А ещё требуется всякие секретные вопросы запоминать. Я пробовал так, отказался в пользу менеджера паролей.
youngmysteriouslight
14.04.2026 13:06То есть (в контексте выдвигаемых в статье тезисов) мы соглашаемся с тем, что настоящие причины неудобств паролей для грамотных пользователей в неадекватных требованиях со стороны сайтов и сервисов с одной стороны?
Кстати, менеджер паролей — это альтернативный вариант управления паролями для тех, кто не доверяет своей памяти. Что всё так же в большинстве случаев лучше, чем другие рассмотренные в статье факторы.
З.Ы. а секретные вопросы — вообще боль, особенно когда их список задан жёстко сервисом. Кто в здравом уме будет ответом на секретный вопрос «Девичья фамилия матери» указывать реальную девичью фамилию матери?
event1
14.04.2026 13:06пока несколько ресурсов не начнут требовать регулярную смену паролей
Практика устарела и хвала богам почти не встречается в публичных сервисах. Во всяком случае, я такого не видел уже много лет.
RulenBagdasis
14.04.2026 13:06У меня встречается регулярно. Плюс, есть другие проблемы, я выше написал, прочитирую себя:
Я как раз лет 5 похожей системой пользовался и сдался. Кто-то хочет спецсимволы и разрешает #, кто-то хочет и запрещает #, кто-то совсем запрещает спец символы, где-то максимум 10 символов пароль и мои дефолтные 16 символов не прошли, где-то его заставляют регулярно менять и ты забываешь какой индекс кому ты присобачил и т.д. Долго боролся с системой, но, в итоге, сдался и ушел в менеджер паролей, уже третий использую, пока полёт нормальный. Но идеального тоже нет.
RalphMirebs
14.04.2026 13:06Я пароли делю на четыре категории: простейший для временных регистраций, не критичные (для форума, какой-то игры), критичные (емейлы, банк, хостинг… ) и уникальные. В каждой группе, кроме последней и первой, есть три пароля разной длины. От 8 до 23 символов с общим началом, разным для групп. Длина пароля в группе определяется личной важностью сервиса. Где требуется спецсимвол (обычно это из категории 3), просто дописываем его в задуманном месте. Уникальные пароли ставятся на аппаратные средства, часто с некой физической подсказкой.
ropblha
14.04.2026 13:06да..это логично..у меня пароли всегда больше 20 символов ..и это утомляет набирать особенно на мобиле
event1
14.04.2026 13:06добавляете название сайта в начале и спецсимвол в качестве разделителя. Выберите два, потому что есть сайты где ваш разделитель не подойдёт. Например, запятая и восклицательный знак
RulenBagdasis
14.04.2026 13:06Например 17МгновенийВесны на английском , используя русскую раскладку клавиатуры .
Наберите это с тач клавиатуры телефона. И паролей нужно обычно несколько десятков, поэтому требуется менеджер паролей. А если использовать его, то паршль может быть абсолютно любым.
aso
14.04.2026 13:06...плюс некоторые буковки заменяем на цифры - о на 0 ("ноль"), з или е - на "3" (три).
randomsimplenumber
14.04.2026 13:06Главное запомнить какие нужно менять. Ну и +1 правило в подбиралку паролей. ;)
legolegs
14.04.2026 13:06Пароль - это единственный способ подтвердить личность. Всё остальное подтверждает лишь какой-то девайс (предмет) или мясную тушку. Только пароль хранится там-же, где и личность - в голове - а лишь личность имеет ценность и её и надо защищать.
onets
14.04.2026 13:06Кстати в статье было бы интересно прочитать как работают pass key и one-time password
Guid0Fawkes
14.04.2026 13:06Все ругают пароли
Видимо, я какой-то не такой "все". И скорее ругаю, когда для аутентификации выдумывают что-то другое, отличное от тёпло-ламповой связки логина и пароля.
В моём топ "бесячести" следующие финты.1. Безусловное первое место — требование телефонного номера в качестве логина. Непременно идентифицировать вас по телефонному номеру нынче требуется чуть менее чем всем: от популярных мессенджеров до мусорных сайтов, куда вы заходите в первый и последний раз.
Помимо того неприятного факта, что в очередной раз собирают твои ПД, есть и актуальный момент, связанный с невозможностью зарегистрироваться, если блокируют ваше поделие на уровне страны. Так, например, невозможно зарегистрировать новую учётку Signal в России.1а. Разновидность-дополнение предыдущего — подтверждение входа через СМС.
2. Хитро-сделанные попытки подменить ввод пароля чем-то похожим. Хороший пример — аутентификация на mail.ru, когда нужно внимательно смотреть и не соглашаться на заботливо подсовываемый тебе способ с VK.ID
3. Попытки подменить ввод с помощью пароля чем-то НЕпохожим. Пример со входом в Госуслуги через Макс в мобильном приложении. Пользуюсь Госуслугами исключительно на десктопе. Там тоже подсовывают Макс, но вход через пароль возможен (пока?)
4. (Не совсем про логин-пароль) Раздражает, когда накладывают ограничения на используемые символы. Пример: на одном из ресурсов когда-то задал пароль с пробелом. Когда через какое-то время решил сменить пароль, то обнаружил, что использовать пробел уже нельзя! Оставил старый. Считаю, что пароли с пробелами более стойкие. Может, ошибаюсь.
myswordishatred
14.04.2026 13:064. (Не совсем про логин-пароль) Раздражает, когда накладывают ограничения на используемые символы. Пример: на одном из ресурсов когда-то задал пароль с пробелом. Когда через какое-то время решил сменить пароль, то обнаружил, что использовать пробел уже нельзя! Оставил старый. Считаю, что пароли с пробелами более стойкие. Может, ошибаюсь.
Я вот, где возможно, использую символы из юникода. Какой-нибудь password☢123, как мне кажется, решает для обычного человека проблемы с безопасностью на всю жизнь.
RulenBagdasis
14.04.2026 13:06Пример со входом в Госуслуги через Макс в мобильном приложении. Пользуюсь Госуслугами исключительно на десктопе. Там тоже подсовывают Макс, но вход через пароль возможен (пока?)
Смените второй фактор с смс на ТОТП, пепестанут маха подсовывать.
Axelaredz
14.04.2026 13:06Давно есть простой метод создания и запоминания паролей
например мы на сайте Хабр точка ком
буквы меняем на цифры, получаем что то вроде xa69070m
б = 6
р = 9
точка = 0 или _
c = 7
плюс добавляем ещё своё слово, а ещё лучше целую фразу
после или вместо точки, в общем куча разных вариаций
главное чтобы вам было удобнее самому, даже через несколько лет вспомнить каким именно образом составлялся пароль)RulenBagdasis
14.04.2026 13:06На нашем сайте _ в пароле нельзя! А ещё пароль требуется менять каждые 6 мес . Удачи!
Axelaredz
14.04.2026 13:06Слишком буквально принимаете советы) Главное подобный подход
K0styan
14.04.2026 13:06Это суровая реальность) Каждый, наверно, через подобные схемы генерации проходил, накапливал десяток-другой-пятый аккаунтов по красивой схеме. А потом налетал на сервис, где она внезапно не годилась.
Придумывал модификацию, жил с ней дальше, путаясь в 2 схемах, пока не налетал на сервис, для которого нужна была уже третья.
К четвёртой обычно сдаются и переходят на менеджер паролей.
RulenBagdasis
14.04.2026 13:06Это вы слишком буквально понимаете )) Я как раз лет 5 похожей системой пользовался и сдался. Кто-то хочет спецсимволы и разрешает #, кто-то хочет и запрещает #, кто-то совсем запрещает спец символы, где-то максимум 10 символов пароль и мои дефолтные 16 символов не прошли, где-то его заставляют регулярно менять и ты забываешь какой индекс кому ты присобачил и т.д. Долго боролся с системой, но, в итоге, сдался и ушел в менеджер паролей, уже третий использую, пока полёт нормальный. Но идеального тоже нет.
GidraVydra
14.04.2026 13:06Шифр моноалфавитной замены плюс постоянная часть? Достаточно утечки паролей с пары сайтов, чтобы похерить секрет всей этой схемы "генерации".
Если уж что-то подобное мутить, то совсем по-другому: сначала добавлять к урлу сайта соль в виде фразы, а потом прогонять всё это дело через шифр полиалфавитной замены, а лучше даже через хэширующий алгоритм. Это массовые боты уже вряд ли сломают даже при серьезных утечках.
event1
14.04.2026 13:06Достаточно утечки паролей с пары сайтов, чтобы похерить секрет всей этой схемы "генерации".
Во-первых, сайты всё-таки обычно хранят хэши, а не сами пароли. Во-вторых, кто-то займётся анализом паролей, только если кому-то будет интересен лично этот анон. Что редкость для анонов.
GidraVydra
14.04.2026 13:06сайты всё-таки обычно хранят хэши, а не сами пароли
Но утекают миллионами почему-то именно пароли.
Во-вторых, кто-то займётся анализом паролей, только если кому-то будет интересен лично этот анон
Вы многое упустили за последние лет этак 10.
event1
14.04.2026 13:06Но утекают миллионами почему-то именно пароли.
Близнец божится, что пароли воруют прямо с компьютеров пользователей из менеджеров паролей и броузеров.
Вы многое упустили за последние лет этак 10.
боты теперь в автоматическом режиме пытаются угадать мой парольный алгоритм? Во-первых, зачем. Во-вторых, интересно было бы посмотреть на подтверждение ваших слов.
GidraVydra
14.04.2026 13:06Близнец божится, что пароли воруют прямо с компьютеров пользователей из менеджеров паролей и броузеров.
Вообще унипениально, откуда именно они утекли. Факт в том, что их утечка в сыром виде накрывает всю эту вашу схему генерации паролей медной звездой.
боты теперь в автоматическом режиме пытаются угадать мой парольный алгоритм?
Нет, боты сделаны не для этого. Боты собирают всю информацию о юзере и аккуратно складывают в досье, это называется профилирование. В это досье, кстати, кто только не вкладывается, начиная от операторов связи и заканчивая рекомендательными алгоритмами.
А потом уже совсем другие программы это анализируют, но тоже в автоматическом режиме. Я провел небольшой эксперимент, и даже могу показать, как примерно это происходит:
Я ввел следующее правило, полностью удовлетворяющее вашей инструкции: буква кодируется своим порядковым номером ('а' я взял за нулевой), взятым по модулю 10, точка кодируется '_', а потом в конце добавляется pineappleappleapplepie. А потом попросил бесплатный чат гопоты проанализировать последовательность, разумеется, не спалившись про то, что это пароли. Результат налицо:
Скрытый текст
Это сделала бесплатная модель за ~10 секунд. Сами понимаете, с какой скоростью щелкают подобные "системы генерации паролей" автоматизированные агентные системы...
event1
14.04.2026 13:06Вообще унипениально, откуда именно они утекли
И да и нет. Если сырые пароли утекают из броузеров и парольных менеджеров, а не с сайтов, то надёжнее использовать схему, чем менеджер паролей. Так как броузер или менеджер паролей не могут потерять пароль, если они его не знают.
Я провел небольшой эксперимент, и даже могу показать, как примерно это происходит
Вообще не сомневаюсь что это можно сделать в принципе. Просто не очень верится, что это экономически целесообразно для базы, скажем, с десятью миллионами уникальных пользователей и, скажем, миллиардом паролей. Я, честно говоря, даже не очень представляю, как заработать на такой базе. Угнать учётку и вернуть за выкуп?
maksim_ms
14.04.2026 13:06Больше бесить когда сайты указывают мне какой должна быть сложность пароля.
Например я не могу просто указать pass123, нужно обязательно Passwooord1@3$5.
Я понимаю когда об этом предупреждает сайт банкинга, но когда это делать сайт по продаже штор для домиков кошек и категорически не приемлет первый вариант(
beswalod
14.04.2026 13:06А ещё есть Stateless Password Managers по типу LessPass, в сути которых генерация разных паролей для разных сайтов и логинов по одному мастер-паролю, т.е. помнить нужно только мастер-пароль, а пароль для сервиса получать на лету по адресу сайта и логину
RalphMirebs
Не говорите за всех, что пароль это боль. Вопрос лишь в умении их огранизовать в голове.
onets
Я uuid / guid-ы храню /s
mitzury
В один прекрасный момент можно потерять это знание… а вспомнить через несколько часов \ дней…
Либо просто что то “заклинит” в голове. Либо память пароля перетекает в машинальную память а потом бац и всё…
ropblha
Один раз создается система сборки пароля на основе определенных входов - и все.Зачем сочинять пароли - когда их можно вычислять на ходу согласно правилам,известным только тебе. Главное что бы правила периодически менялись иначе ломанув пару твоих паролей вычислят систему
K0styan
В вашем окружении, видимо, нет людей, пострадавших от потери памяти. Неважно, правило это или мастер-пароль: шанс потерять есть всегда.
Смена правил, кстати, вообще та ещё подстава, потому что приходится помнить ещё и а) когда заводил аккаунт; б) когда менял правила.