@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы

Как разработать парольную политику для себя?

У меня, как и у каждого из вас есть много учетных записей.
Для каждой из них нужен отдельный пароль, причем некоторые пароли необходимо периодически менять.
Использовать менеджеры паролей я не хочу, (не удобно\сложно\паранойя,). Предпочитаю пароли хранить в голове. Но хочется как-нибудь систематизировать.
Пример:
У меня есть несколько аккаунтов в играх, но я не игроман, и и потерять аккаунт для меня не критично, поэтому пароли можно не обновлять. Иногда я регистрируюсь на различных непопулярных сайтах, чтобы что-то скачать и забыть. Регистрирую на какой-нибудь почтовый ящик, который не использую, и на котором нет личных\важных данных. Тут можно везде ставить простой пароль.
А вот с паролями от облачных хранилищ все по другому: пароли не должны быть простыми, и должны меняться каждые два месяца.
Грубо говоря, пароли можно разделить по уровням критичности:
1) Рабочие: сложные, и меняются каждый месяц
2)
.
.
.
n)Для игр, и разовых регистрациях: Простые, и можно не менять.

Есть ли какие общепринятые рекомендации в данном случае?
  • Вопрос задан
  • 1276 просмотров
Пригласить эксперта
Ответы на вопрос 7
longclaps
@longclaps
Общепринятая практика - использовать менеджеры паролей.
"не удобно\сложно\паранойя" - сейчас все бросятся вас отговаривать, ага, разбежались.
Ответ написан
@Sing303
Использовать менеджеры паролей конечно же, больше никак.

В чём заключается ваша паранойя? Почему то не верится, что может быть сложно/не удобно в сравнении с хранением в голове.
Ответ написан
должны меняться каждые два месяца

Нужно отдавать предпочтения сервисам с двухфактороной авторизацией.
Ответ написан
Когда-то решил для себя:
логин = домен+соль (или свой)
пароль = домен+логин+соль2
соль, соль2 что-то что не забудешь: индекс, дата, кличка кота.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Хорошие и передовые сервисы имеют множество средств защиты учётной записи.

Такими средствами - лучше НЕ пренебрегать и не отказываться от их использования!

1. Проверяйте, что пароль уходит ТОЛЬКО в зашифрованном виде или через SSL!
2. Пароль (любой и можно не менять) + E-MAIL + SMS + Google Authenticator + выставить фильтр по IP-адресу/подсети + OAuth/SSH-токены ещё бывают и т.д.

А вообще - вопрос хороший: надо черкануть статью: "Учётка в сейфе"))

UPD:
Создадим функцию (формулу):
Функция: логин, hash: sha1(домен+"соль"), текущая дата создания/смены пароля, алфавит всех возможных символов в пароле, требования для формирования пароля и своя "соль".
На вход: только домен.
Затем вычисляем hash и по hash'у - находим логин и после: вычисляем пароль.
На выходе: получаем логин и готовый пароль

Т.е., не зная домена и формулы - не узнать точного логина и пароля.
А пароль - нигде не хранится.
Ответ написан
fdroid
@fdroid
press any key
Если сервис снабжен 2-факторной авторизацией, сложность пароля вообще не играет роли, можно хоть vasya123 использовать. А все серьёзные и важные сервисы уже снабжены 2-факторкой, в т.ч. и облачные хранилища. Где-то подтверждение авторизации приходит через смс, где-то используются OTP-приложения. ОТР все работают по одному принципу, использовать можно любое. Например, я использую Яндекс Ключ для Android, который прекрасно работает как с учётками Яндекса, так и Mail, Dropbox, Google, OneDrive, и даже с моим собственным Nextcloud. До повсеместного применения 2-факторки у меня время от времени всё равно угоняли учётки, и никакой роли не играла сложность пароля. Восстанавливал доступ, конечно, но нервно это всё. После внедрения 2-факторки - ни разу. Для всяких мусорных сайтов и одноразовых регистраций можно использовать одноразовую электронную почту, таких сервисов немало. Цель создания такой почты - получить ссылку для подтверждения регистрации, кликнуть по ней и забыть. Угонят учётку такого сайта - да и фиг с ней.

PS Когда я упарывался по сложным паролям, использовал самую сложную комбинацию, которую знал на память, а именно - J3QQ4-H7H2V-2HCH4-M3HK8-6M8VW =) Естественно, не в таком виде, а был определённый алгоритм. Например, для сайтов одной группы использовал такой принцип - перед каждым блоком спец. символ, первая после первой цифры в блоке буква заглавная, остальные строчные, тире пропускаем. Получалось, примерно, так - ?j3Qq4?h7H2v?2Hch4?m3Hk8?6M8vW. Для сайтов другой группы использовался другой спецсимвол и все заглавные буквы, строчная только первая после первой цифры в блоке. Для околомусорных сайтов использовал только первые два блока и упрощенный принцип формирования. И т.д. То есть, взломать такие пароли под силу только суперкомпьютеру за пару веков, и всё равно угоняли учётки. Хз (хто знает) где я прохлапывал этот момент, т.к. за системой слежу тщательно, малварей, троянов и всего прочего у меня не бывает.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы