Ответы пользователя по тегу Пароли
  • Как сделать удобнее ввод кода?

    @nirvimel
    Против буквы О существуют Base58.
    По-другому длинные числа можно представить в виде последовательности простых русских английских слов при помощи BIP39.
    В принципе можно переделать это и под русский язык, но придется серьезно поработать над словарем.
    Ответ написан
    Комментировать
  • Существует ли список самых популярных паролей рунета?

    @nirvimel
    ТОП-100 (формат - "пароль: количество_ящиков"):
    123456             : 39177
    123456789          : 13892
    111111             : 9826
    qwerty             : 7926
    1234567890         : 5853
    1234567            : 4668
    7777777            : 4606
    123321             : 4324
    000000             : 3304
    123123             : 3031
    666666             : 2807
    12345678           : 2570
    555555             : 2416
    654321             : 2299
    gfhjkm             : 1804
    777777             : 1500
    112233             : 1482
    121212             : 1432
    12345              : 1431
    987654321          : 1385
    159753             : 1172
    qwertyuiop         : 1120
    qazwsx             : 1109
    222222             : 967
    1q2w3e             : 939
    0987654321         : 874
    1q2w3e4r           : 872
    1111111            : 832
    123qwe             : 804
    zxcvbnm            : 772
    88888888           : 762
    123654             : 724
    333333             : 707
    131313             : 697
    999999             : 690
    4815162342         : 661
    12344321           : 639
    1qaz2wsx           : 633
    11111111           : 615
    asdfgh             : 609
    qweasdzxc          : 583
    123123123          : 578
    159357             : 574
    zxcvbn             : 571
    qazwsxedc          : 545
    ghbdtn             : 533
    1234554321         : 524
    1111111111         : 523
    1q2w3e4r5t         : 500
    1029384756         : 465
    qwe123             : 455
    789456123          : 448
    147258369          : 444
    1234qwer           : 439
    135790             : 428
    098765             : 426
    999999999          : 422
    888888             : 408
    12341234           : 408
    12345qwert         : 401
    qweasd             : 395
    987654             : 392
    111222             : 391
    147852369          : 380
    asdfghjkl          : 375
    789456             : 375
    samsung            : 373
    159951             : 365
    101010             : 357
    vfhbyf             : 355
    444444             : 353
    qwerty123          : 348
    nikita             : 348
    qweqwe             : 335
    q1w2e3             : 331
    fyfcnfcbz          : 328
    00000000           : 325
    qwaszx             : 325
    qazxsw             : 322
    010203             : 321
    marina             : 319
    9379992            : 316
    123789             : 316
    zzzzzz             : 308
    qqqqqq             : 308
    11223344           : 307
    dbrnjhbz           : 306
    qwertyu            : 303
    147258             : 299
    12345678910        : 298
    232323             : 296
    yfnfif             : 294
    55555              : 292
    aaaaaa             : 291
    147852             : 289
    fylhtq             : 287
    fktrcfylh          : 284
    1qazxsw2           : 279
    q1w2e3r4           : 278
    7654321            : 277


    Скрипт, которым построен топ:
    import re
    import collections
    
    regex = re.compile(r'^([a-zA-Z0-9_.+-]+)@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+:(.+)$')
    
    counter = collections.Counter()
    
    with open('yandex.txt', encoding='ascii', errors='ignore') as file:
        for line in file:
            match = regex.match(line)
            if match:
                # login = match.group(1)
                pass_ = match.group(2)
                counter[pass_] += 1
    
    for pass_, count in counter.most_common(100):
        print('%-19s: %i' % (pass_, count))


    Источник: слив базы яндекса в сентябре 2014 (точное количество ящиков == 1.261.810)
    Ответ написан
  • Надежен ли такой метод хранения паролей?

    @nirvimel
    Что только люди не придумают, чтобы не использовать KeePass.

    UPD: А теперь по существу:
    При распаковке файла из архива (даже при использовании интегрированного просмотрщика из GUI архиватора) распакованный файл в открытом виде пишется на диск. Если в этот момент убить процесс архиватора, то файл останется на диске. Даже если вы совершенно точно потом вручную его удаляете его, все равно остается возможность его восстановить, причем неизвестно в течении какого времени его остатки можно будет найти на диске, это могут быть и годы. Единственное, что может помочь - средства гарантированного стирания (файла и свободного места на диске). Но их применение еще больше усложняет процесс извлечения паролей, следовательно повышает вероятность случайной ошибки.

    Кроме того, весь софт, запущенный под тем же юзером имеет достаточно привилегий для чтения содержимого буфера обмена в любой момент (теоретически эти привилегии можно отозвать, но большая часть софта не рассчитана на такое и будет вылетать с дикими ошибками). Многие кейлоггеры очень пристально следят за изменениями в буфере, хранение и посылка на сервер всех изменений обходится им "дешевле", чем съемка скриншотов. И даже скрипты на веб-странице могут в некоторых случаях читать из буфера (в зависимости от браузера и от настроек).
    Ответ написан
    4 комментария
  • Угнали Login Data и другие пароли, стоит ли бояться?

    @nirvimel
    1. Это не вирус, а троян (вирус, как минимум, способен размножатся без участия (использования) человека).
    2. Все что он стянул из профиля, под которым сам запущен, он сможет расшифровать (потому, что это может браузер, запущенный под этим юзером).
    3. Если он был запущен из-под администратора, то он стянул и расшифровал (или прихватил все необходимое для расшифровки) все хоть сколько-нибудь интересное из профилей всех юзеров на машине.
    4. Единственный случай, когда DPAPI могло бы чем-то помочь, это если бы троян, запущенный не под администратором, каким-то образом получил доступ к профилю браузера в профиле другого юзера, но не получил бы доступ к реестру того юзера (файл в корне его профиля). Случай вообще редчайший, и может рассматриваться число теоретически, потому что по-умолчанию права доступа закрывают все содержимое профиля одного юзера от другого (не администратора).
    Ответ написан
    1 комментарий
  • Где вы храните ключевой файл?

    @nirvimel
    Не вижу преимуществ в использовании ключевого файла перед текстовым паролем. Из минусов:
    1. На всех ваших внешних/внутренних съемных и несъемных дисках лежат (в сумме) несколько сот тысяч различных файлов, что соответствует 16-20 бит различных вариантов, что соответствует трем-четырем символам текстового пароля смешанного регистра.
    2. Файл в единственном экземпляре очень легко потерять/повредить по сотне разных причин. Вы бы стали держать что-то ценное в сейфе, единственный ключ от которого сделан из сахара?
    3. Файл во множестве экземпляров - все равно, что разбросать по двору копии ключа от квартиры.
    4. Файл-ключ дает ложное чувство более высокой надежности и/или криптостойкости (ни то, ни другое неверно).


    P.S. Некоторые комментаторы, возможно, путают файл-ключ с файлом самой базы.
    Ответ написан
    6 комментариев
  • Какие системы динамических паролей вы знаете?

    @nirvimel
    dynamic_key_for_url = md5(your_secret_key + resource_url + password_variant_index)

    устойчивость к раскрытию алгоритма

    Да.

    Возможность генерации нескольких различных паролей к одному и тому же ресурсу

    Переменная password_variant_index задает номер слота пароля для конкретного ресурса.

    Отсутствие внешних средств шифрования (шифроблокнот, телефон)

    Подойдет любое вычислительное устройство: ПК, ноут, планшет, телефон (или ручка + бумага + полчаса времени).

    Невозможность (ну, хотя бы на первый взгляд) восстановления алгоритма по утекшему паролю

    Это невозможно на первый, на второй и на 100500-й взгляд.
    Ответ написан
    2 комментария