Имя: Пароль:
IT
 
Интернет, секурность и теория заговора
0 Злопчинский
 
29.11.17
01:20
Количество оналйан-ресурсов растчет
(я неграмтный)
как правильно коннектится к этойтуевой хуче всяких личных кабинетовЮ, логинов-пароле итд..?
.
за мной хоть и не особо следяь, но от этого яне параноиком не становлюсь...
.
везде логиниться под одним логином-паролем - стремновато как-то...
(что такое войти через фейсбук или гугл? - я неграмотный)
.
в итоге работаю по стоаринке - на куче ресурсов куча автономных логинов-паролей. РЕСУРСОВ МНОГО.
.
ВОПРОС1-как делать правильно для снижения трудоемкости логинов-паролей?
.
ВОПРОС2-где каталогизировать ресурсы-логины-пароли..? в свое время давно типа пару раз поюзал KeePass - вроде норма.. полез сейчас развернуть и навести порядок - https://ru.wikipedia.org/wiki/KeePass

"Проблемы с безопасностью[править | править вики-текст]
возможность скрытого экспорта базы из запущенного KeePass [1]
возможность подмены обновлений [2]"
.
не, понятно, что никому не нужен, но - напрягся...
.
итого: что делать? что юзать? эксели и текстовые файлы - хорошо, но мы же не секретарши... ;-)
1 jsmith82
 
29.11.17
01:59
Придумай алгоритм генерации пароля для ресурса
2 Злопчинский
 
29.11.17
02:09
а потом вспоминать что нагенерил с этим алгоритмом
те же грабли
3 art commander
 
29.11.17
02:34
(0) Вход "через..." как раз для таких, как ты страдальцев и придуман. Один логин, один пароль, например, в fb  и ходи, куда хочешь.
4 Злопчинский
 
29.11.17
02:47
(3) а это как?
ну есть у меня логин и пароль в фейсбук.
и дальше что - вводить его при посещении других ресурсов, указав вход через ФБ?
5 art commander
 
29.11.17
02:55
Да, но если ты на этом устройстве уже авторизовался, то вводить пароль повторно не надо.
6 Злопчинский
 
29.11.17
03:04
(5) как-то это мне не нравится...
Один пароль на все?
И доступ к моей учетке на фб если че..
Или я неправильно понимаю?
7 art commander
 
29.11.17
03:09
(6) Неправильно понимаешь. Ты когда вводишь пароль fb всегда взаимодействуешь только с fb. Сторонний сайт тебя отправляет на сервер fb. А потом получает от fb что-то типа "ну знаем мы этого Сергея". Кури OAuth.
8 Злопчинский
 
29.11.17
03:12
(7) допустим я захожу через фб
Допустим мой аккаунтив фбьнакрылся
Для входа в свой ресурс теперь что - по какому логина паролю?
9 Злопчинский
 
29.11.17
03:12
(7) спсб за пояснения
10 art commander
 
29.11.17
03:16
(8) Есть такая проблема. Накрылся fb, заходишь через twitter, но это будешь уже другой ты )))
Поэтому и предлагают для входа такие ресурсы, где вероятность лишиться аккаунта минимальна.
11 art commander
 
29.11.17
03:19
(10) Наиболее изощренные предлагают возможность привязать аккаунт сразу к нескольким ресурсам.
12 Prog111
 
29.11.17
03:34
Скоро будут предлагать авторизоваться через ЭЦП, вот тогда заживём - флешку вставил - и никаких логинов и паролей. Вот только сразу будет видно, какое твоё Ф.И.О.)))
13 torgm
 
29.11.17
06:36
(0)  у меня есть базовый алгоритм создания паролей . глядя на название сайта, я точно знаю какой пароль.
14 vis_tmp
 
29.11.17
06:42
(13)А если сайт переехал?
15 nordbox
 
29.11.17
06:46
(12) ага, или через УЭК, я когда ее получал мне сбербанк даже кардридер подарил )) серьезно.
16 vis_tmp
 
29.11.17
11:55
(15)Вроде, эту тему уже прикрыли?
17 aka AMIGO
 
29.11.17
11:58
Храню логины и пароли в блокноте на планшете.
Отдублировано в такой-же блокнот на смарте.
18 Fragster
 
гуру
29.11.17
11:59
(8) заходи не через буржуйский пейсбук, а через родной ЕСИА
19 aka AMIGO
 
29.11.17
12:01
Не было ни одного случая взлома ресурсов.. Кроме одного раза, да и то взломан был не мой доступ, а сайт, если кто помнит, Одинэсия, Беловых, но там вообще хакер мог постить от имени вех :)

Так что следят-не-следят.. фигня это всё, кому мы нужны-то? :)
20 aka AMIGO
 
29.11.17
12:01
* от имени всех
21 Cyberhawk
 
29.11.17
12:04
Храню все пароли в самом браузере конечно же
22 Asmody
 
29.11.17
12:05
(0) Есть же разные 1password, LastPass и др.
23 aka AMIGO
 
29.11.17
12:13
(21) У меня такая-же паранойя, как у Злобчинского, потому пароли в браузере не храню, работаю только в режиме привата, без сохранения истории и куков
24 Cyberhawk
 
29.11.17
12:18
(23) И сайты в закладках не хранишь? :) Почему настолько готов терпеть неудобства?
25 Йохохо
 
29.11.17
12:28
(8) это какой то выверт логики. Хранить всё на фб, который создан чтобы тебя продать, и не доверять браузеру, которому плевать. Доверить фб агрегировать все данные о себе и беречь пароль. Чтобы от твоего имени ни кто не постил? Бесплатно ни кто и не будет от тебя постить) А все потроха у них и без пароля есть, сам сдал
26 Borteg
 
29.11.17
12:36
(0) kaspersky password manager
27 YFedor
 
29.11.17
12:41
Хранить пароли в браузере не всегда хорошо. Они (пароли) из хранилища в браузере бывает пропадают, причем не понятно по какой причине.
28 Базис
 
naïve
29.11.17
12:44
Вот прямо даже не знаю, кому я доверяю меньше - Цукербергу или Касперскому. Про "оба ваши дома" вспомнилось.

Так что OAuth (там нолик или O) не годится для мало-мальски серьёзного.

Пароли, безусловно, должны быть разные и по набору "сайт-логин-пароль" не должны подбираться такие же к другим ресурсам. Видимо, только аппаратный ключик с выбором ресурса с клавиатуры этого ресурса, + одна почта с 2-факторной авторизацией только для регистраций на ресурсах.
29 Fish
 
29.11.17
12:46
(28) Если ты вводишь пароли в винде, они всё равно в Майкрософт сливаются :))
30 Oftan_Idy
 
29.11.17
12:48
(0) У меня крутой пароль (он сложный и там много символов) для важных аккаунтов, который тупо помню наизусть, нигде не записан ни на какой бумажке.
И есть пароль для средней важности ресурсов, типа мисты, попроще
И есть пароль для всякого шлака, простейший.

Три пароля из которых помнить надо только один
31 Feunoir
 
29.11.17
12:48
(0) >возможность подмены обновлений [2]
Уже неактуально с переходом keepass.info на https

по поводу
>возможность скрытого экспорта базы из запущенного KeePass [1]
Эта "уязвимость" присутствует у любого ПО. Разработчик KeePass про это явно пишет тут https://keepass.info/help/kb/sec_issues.html
От инъектирования DLL защититься [практически] невозможно.
32 Волшебник
 
модератор
29.11.17
12:49
Пароли должны быть длинными, сложными, уникальными для каждого сайта, легко запоминаемыми, с восстановлением по номеру телефона и основному e-mail.
33 Asmody
 
29.11.17
12:51
Одно время я пользовался вот такой штукой https://www.passwordcard.org/ru
34 Fish
 
29.11.17
12:56
(33) "Все что вам надо сделать, это запомнить комбинацию символа и цвета, и затем прочесть цифры и буквы оттуда. Не может быть ничего проще!" - сомнительная простота. По мне, так это сложнее, чем запомнить пароль.
35 Новиков
 
29.11.17
13:23
(21) >>Храню все пароли в самом браузере конечно же

Если у тебя гугл-хром и ты ставишь мазиллу, то в процесс то ли установки, то ли первого запуска, она спросит - подлить все пароли из гугла хром ко мне? Да - все пароли подлиты и все уже сохранено в ее базе.
36 vis_tmp
 
29.11.17
13:27
(33)И как?
37 Злопчинский
 
29.11.17
16:38
ну так что.. заюзать KeePass...?
38 Cyberhawk
 
29.11.17
16:50
(35) Очень удобно. Ты намекаешь, что это может сделать любой софт?
39 Волшебник
 
модератор
29.11.17
17:04
(37) Конечно. Слей все свои пароли Большому Брату в подарочной обёртке.
40 Злопчинский
 
29.11.17
17:05
(39) а как тогда?
тупо в текстовом файлике?
41 art commander
 
29.11.17
17:09
(28) Почему OAuth не годится? Потому что тебе лень разбираться?
42 Злопчинский
 
29.11.17
17:10
(26) ни, платная
43 Злопчинский
 
29.11.17
17:12
чувствую придется трахаться с текстовым файликом в зашифрованом зипе. файлик - в облаке.

осталась совсем фигня - чтобы при просмотре файлика - не оставалось следов на компе (бо могут быть чужие компы)
44 Волшебник
 
модератор
29.11.17
17:15
(40) в голове
45 Злопчинский
 
29.11.17
17:16
(44) если у некоторых голова как }|{опа - надо делать как я - записывать
46 DGorgoN
 
29.11.17
17:38
(45) Сделай пароль по своему нику с добавкой циферок о которых думаешь каждый день и не забудешь никогда
47 Базис
 
naïve
29.11.17
17:42
(45) И после взлома одного ресурса будет раскрыт на всех.

Пароли И НИКИ должны быть разные для разных ресурсов. На углу экрана - наклейку "Исполнение секретных документов на этом рабочем месте запрещено", на другом "Всё, что вы скажете, может быть использовано, и вы даже не узнаете кем и для чего".
48 art commander
 
29.11.17
17:59
(47) Если я никогда не узнаю: "кем и для чего", то не пофиг ли?
49 Базис
 
naïve
29.11.17
18:02
(48) Предлагаю протестировать. Пиши 12 средних цифр с карты, дату окончания подберём, ФИО и CVV. Я использовать не буду, таким образом вопрос "кем" не ракроем. Для чего - тоже, вероятно, не узнаешь.
50 Злопчинский
 
29.11.17
18:52
(46) я таким образом знаешь скольо паролей позабывал?
"этот пароль я никогда не заьуду!"
а как только выпал на меясц-полтора из процесса общения с компом - все....
у меня в свое время аська была красивая типа 74741515 - год не было инета и просто пароль забыл... а восстановить - никак
51 Лефмихалыч
 
29.11.17
21:14
(0) много лет пользовался кипассом, но недавно переехал на ластпасс, ибо задолбало синхронизировать базы на ноуте, компе, работе, телефоне и т.д. вручную. Ластпасс эти вопросы все решает из коробки, кроме того он выглядит на всех устройствах практически одинаково.
Ластпасс, короче, рулит, но премиум ему оплачивать я, конечно же, не буду.
52 Лефмихалыч
 
29.11.17
21:18
+(51) а! ну, и везде, где можно, авторизуюсь по oauth.
53 Волшебник
 
модератор
29.11.17
21:19
(51) Я вам подскажу фишку. Не надо в кипассе хранить собственно пароли. Там можно сохранять имя алгоритма, по которому сформирован пароль. Тогда взлом кипасса не приведёт к взлому вашей цифровой личности.
54 Лефмихалыч
 
29.11.17
21:22
(53) сложное оверусложнение. Взлом кипасса не приведет к потерям, если у тебя нет кипасса.
55 Demasiado
 
29.11.17
22:19
(0)kaspersky password manager
56 Злопчинский
 
30.11.17
00:23
(55) симпатичненький
Но платно
57 Demasiado
 
30.11.17
00:27
(56) Если покупаешь продукты линейки каспера, то в некоторые лицензии он входит бесплатно + продление антивируса потом на 30% дешевле
58 Злопчинский
 
30.11.17
15:07
(51) есть бесплатная версия ?
59 Шурик71
 
30.11.17
22:19
Я давно задушил в себе параноика и пользуюсь ластпассом.
Удобно. Пару лет даже оплачивал премиум из-за смартфона, но нынче в яндекс браузере для андроида вполне себе работает расширение - фриварный вариант. В браузере пароли не сохраняю.
Периодически делаю экспорт в csv и архивирую с паролем на случай всемирных катастроф.
На днях посмотрел в очередной раз keepass - ну...  нуегонафиг.
60 Шурик71
 
30.11.17
22:20
И да, все основные функции для компа - бесплатно.
61 Лефмихалыч
 
30.11.17
23:07
(58) есть. Крепко на ней сижу. От платной отличается отсутствием ненужных наиух фич. Очень удобно.
62 Лефмихалыч
 
30.11.17
23:08
(59) а откуда инфа, что для девайсов надо премиум покупать? У меня бесплатно работает почему-то
63 Шурик71
 
30.11.17
23:34
(62) Да, сейчас посмотрел - нынче дают бесплатно.
Когда я на него подсел - функция "Access on all devices " была только в премиум. Нынче из того, чем я пользовался - в платной осталось только "LastPass for applications", но она работала так несколько мутновато - и я быстро отказался.
64 Aleksey
 
30.11.17
23:54
(51) а где хранить пароль на вход в lastpass?
65 Злопчинский
 
01.12.17
01:22
(60) Понял, спасибо за пояснения
66 Злопчинский
 
01.12.17
01:36
хм.. как-то не очень с ходу понятно про ластпасс - то есть если у меня нет выхода в интернет - накрылась тазиком моя коллекция паролей?
67 Злопчинский
 
01.12.17
01:57
Забыл пароль от вайфая - в инет, чтобы посмотреть пароль на ластпассе - не зайти...
какая-то сомнительная концепция...
68 bse
 
01.12.17
05:43
Таскаю с собой флешку с двумя разделам. На одном обычном трукрипт. На втором зашифрованном портабельные фаерфокс с сохранены в нем паролями, ттелеграмм, скайп. Периодически делаю архив на случай потери...
69 kubera
 
01.12.17
09:54
keepersecurity.com - удобно (ПК и мобильное приложение), но немножко платно (1150 р. в год) + защищенное хранилище файлов (с отдельной оплатой, если нужно)
70 kubera
 
01.12.17
09:56
(69) есть и бесплатный вариант, но он стремный (только на одном мобильном девайсе)
71 Staffa
 
01.12.17
10:01
(59) я так понял, что если нет инета, доступа к базе паролей тоже нет?
72 Злопчинский
 
01.12.17
10:37
(71) вот и я о том же
73 Веселый собака
 
01.12.17
10:40
В чем бы пароли не хранили, лучше бумажки ничего нет. И все равно слямзят рано или поздно, даже без всякой социальной инженерии. Ибо сами сайты через раз дырявые.
74 Еврейчик
 
01.12.17
10:43
(0)Пользуюсь программой Roborofm уже более 10-ти лет. На каждый сайт свой пароль притом мегасложный. Она сама позволяет генерировать пароль любой длины. Есть функция автоматического входа в сайт. Можно заводить неограниченное число аккаунтов для каждого сайта.  С любого компьютера можно зайти в Robororm Everywhere и получить доступ ко всем паролям.
75 Еврейчик
 
01.12.17
10:44
(50)неужели нельзя восстановить? там же емейл привязан к аське.
76 Адинэснег
 
01.12.17
10:45
запили конфу со справочником Учетные записи
Реквизиты Логин и пароль
туда же  генератор паролей прикрути
77 Адинэснег
 
01.12.17
10:45
в наименовании - ресурс
78 aka AMIGO
 
01.12.17
10:46
(76) Хватит и Excel"я
79 Адинэснег
 
01.12.17
10:48
генратор паролей на VBA устанешь писать, +фишки такси типа поиска с клавиатуры
80 arsik
 
гуру
01.12.17
10:50
(39) Гонево. Во первых код KeePAss открыт. Был аудит безопасности. База хранится локально.
81 Адинэснег
 
01.12.17
10:51
82 Вафель
 
01.12.17
10:53
(79) а теперь еще расширение для браузера доделать и можно юзать
83 Demasiado
 
01.12.17
10:54
(81) сам пароль в базе шифруешь или в открытом виде хранится?:)
84 Адинэснег
 
01.12.17
10:59
вечером допишем :-) мастер-пароль какой-нибудь придумаем
85 Адинэснег
 
01.12.17
11:00
(83)при входе
градус парании повысим... :-D
86 Адинэснег
 
01.12.17
11:02
стоит ли доверять пареметрам сеанса?  
https://cs5.pikabu.ru/post_img/2015/12/19/6/14505162121145931.jpg
87 Ц_У
 
01.12.17
11:04
(0) У меня есть начальный набор секретного пароля вроде:
LfOft34nFS  и все пароли к сайтам строятся по виду
СекретноеСлово+ИмяСайта
Например на гугле
LfOft34nFSgoogle
88 Ц_У
 
01.12.17
11:04
(87) +
И когда я захожу на сайт я даже не задумываюсь, что там за пароль :)
89 Вафель
 
01.12.17
11:08
(88) а если нужно поменять пароль?
90 Fish
 
01.12.17
11:08
(89) А тут засада :)
91 Ц_У
 
01.12.17
11:16
(89) зачем? взломали? или политика? тогда можно добавить
google_ru googleru, давно я не встречал сервисов, которые требуют смены пароля
92 Otark
 
01.12.17
11:17
(87)Тот кто узнал начальный набор, узнал пароль от всех сайтов. Чем отличается просто от одного пароля для всех сайтов?
93 Fragster
 
гуру
01.12.17
11:17
(91) ну вот интернет-банки балуются тем, что пароли заставляют раз в год менять
94 Вафель
 
01.12.17
11:22
(91) Тут самый главный вопрос: как потом помнить что ты менял.
А менять например нужно из-за того что пароли утекают иногда
95 Ц_У
 
01.12.17
11:22
(92) Да ничем, утюг и паяльник творят чудеса в криптоанализе.
96 Ц_У
 
01.12.17
11:22
(94) Ну три попытки то есть без домена с доменом и с подчеркиванием
97 Ц_У
 
01.12.17
11:23
(92) (94) Можно иметь три начальных набора символов
98 Джо-джо
 
01.12.17
11:23
(91) а потом заходишь на сайт и начинаешь брутфорсить свой пароль
LfOft34nFSgoogle
LfOft34nFSgoogleru
LfOft34nFSgoogle_ru
LfOft34nFSgoogle.ru
99 Ц_У
 
01.12.17
11:23
(92) И, не поверишь, ни разу не взломали, кому я нужен то?
100 Ц_У
 
01.12.17
11:24
(98) ну бывает иногда :)
101 Адинэснег
 
01.12.17
11:26
(87) то есть, любой ВР, зная твой ящик и пароль, может зайти на любой сайт под тобой?)
102 Ц_У
 
01.12.17
11:27
(101) Да, как и у всех
103 Fish
 
01.12.17
11:29
А у меня всё просто: пароль - это легко запоминаемая русская фраза латинскими буквами, типа Gfhjkm{eqrjulfDpkjvftim1234.

Единственно, что неудобно на мобильных устройствах вводить - надо на компьютерную клавиатуру смотреть.
104 _Дайвер_
 
01.12.17
11:31
Это вообще проблема,паролей тьма, кроме них еще логинов половина, даешь руские фразы на латинской раскладке)
105 Вафель
 
01.12.17
11:32
(103) но сайтов то не 1 и не 2
106 Fish
 
01.12.17
11:34
(105) У меня есть набор из двух-трёх фраз, если забыл, какая нужна для именно для этого ресурса - то быстро подбираю :))
107 Волшебник
 
модератор
01.12.17
11:35
(103) Это решающее неудобство
108 Вафель
 
01.12.17
11:36
(106) а зачем на английском? что случайно кто-то не понял?
109 _Дайвер_
 
01.12.17
11:47
(108) 1 из причин, 2-я, не все сайты пароли на кириллице принимают)
110 Fish
 
01.12.17
11:58
(108) Затем, что при этом пароль может быть легкозапоминаемым и при этом трудноподбираемым.
111 Вафель
 
01.12.17
12:03
(110) это не так
https://geektimes.ru/post/291907/
112 Адинэснег
 
01.12.17
12:41
(111) вот вот, но если пароль вида
правильно лошадь батарея скоба mista.ru
правильно лошадь батарея скоба yandex.ru
правильно лошадь батарея скоба mail.ru
однажды попадет
правильно лошадь батарея скоба хэловордфорум.ru
где будет храниться открыто (да и закрыто, если есть доступ к ключу) - то владелельцу хэловордфорум.ru не нужно быть семи пядей во лбу в области криптографии чтобы брутануть популярные ресурсы по этой маске, имя лишь ключ "правильно лошадь батарея скоба " и адрес почты
113 Вафель
 
01.12.17
12:43
(112) никто про такой вариант не говорил
114 Адинэснег
 
01.12.17
12:45
так что локальный файлик эксель надежнее, ну а если ты его сохранность не можешь обеспечить - значить не судьба, кому суждено быть повешенным, не утонет
115 Вафель
 
01.12.17
12:45
(114) а шифровать как его?
116 Вафель
 
01.12.17
12:46
А хотя в екселе есть же пароль
117 Адинэснег
 
01.12.17
12:58
(116) да хоть в архив с паролем суй...
если параноить - то держать на компе с шифрованием, и без доступа в интернет... вводить без копипаста, ведь буфер тоже может вирусяка какая перехватить
118 Адинэснег
 
01.12.17
13:00
просто когда ты свой пароль (еще и повторяющийся) хранишь на 100500 сайтов, то ты должен как минимум быть уверен в этих 100500 сайтах... а если локально и все пароли разные - то уверенным только в localhost...
119 Вафель
 
01.12.17
13:01
(117) надо чтоб было не только секурно, но и удобно
120 Адинэснег
 
01.12.17
13:06
(119) тогда самому проанализировать исходный код популярной удобной проги, собрать её самому, закрыть все порты брандмауэром, и пользоваться :-)
но если ты носитель таких суперсекретов, что так шифруешься, то вероятность применения к тебе терморектального криптоанализа перекрывает все методы шифрования...
121 Demasiado
 
01.12.17
13:09
(120) я просто почему спросил - есть мысль тоже такую базу написать, но если там пароли звездочками будут - то отчетом или консулью все равно все выведется. А в самой платформе есть крипто возможности, хочу еще и шифровать на лету, только чувствую руки не дойдут
122 Адинэснег
 
01.12.17
13:12
(121) так шифровать, при входе запрашивать мастер-ключ для шифрации/дешифрации, сохранять в параметре сеанса, использовать когда надо расшифровать
123 Адинэснег
 
01.12.17
13:13
ну и если к базе есть прямой доступ левых персонажей, консолью ли, физически ли - то эти вопросы тоже продумать
124 Demasiado
 
01.12.17
13:14
(122) при создании на сервере например у списка элементов
125 Demasiado
 
01.12.17
13:14
вошел, авторизовался, вышел, пароль сбросился. Причем да, в параметрах сеанса хранить, чтобы никто не достучался
126 Aleksey
 
01.12.17
13:17
(121) не храни пароли в открытом виде. К примеру есть мастер ключ 123 и есть пароль 324. Придумываешь свой алгоритм как из ключа и пароля получить хэш и храни хэши. Т.е. храни не 324, а  201 (324-123). И тогда когда нужен будет пароль ты просто применишь свой алгоритм, а если кто-то сопрет базу, он увидит пароль 201. И практически технология блокчена готова
127 Demasiado
 
01.12.17
13:18
(126) Криптография в институте у меня отдельным предметом была, так что, спасибо, я знаю
128 Fish
 
01.12.17
13:19
(111) Как раз в твоей ссылке написано, что это так:
"обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса." :)))
129 Адинэснег
 
01.12.17
13:19
с списках пусть хэша отображаются, хоть со звездочками хоть без, а когда надо извлечь пароль - в команде открытия формы дишифруй ключом
130 Вафель
 
01.12.17
13:20
(128) там трудность не в том что они на другом языке набраны, а в том что они "очень" длинные
131 Вафель
 
01.12.17
13:21
А я и спрашивал зачем язык менять
132 Вафель
 
01.12.17
13:21
(126) А алгоритм в голове держать? или отдельной базой?
133 Адинэснег
 
01.12.17
13:22
(128) вопрос в том, что твоя супер хитрая парольная фраза и емайл рано или поздно будут скопрометированы на одном или нескольких гов*осайтах
134 Fish
 
01.12.17
13:22
(130) "Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса."

В моем примере ТРИ слова плюс число. А перевод в латиницу усложняет брутфорс на порядок, если не больше.
135 Волшебник
 
модератор
01.12.17
13:23
(132) В отдельной базе паролей, зашифрованной супер-паролем, который хранится в файле, закрытом мастер-ключом, хранящимся на флешке с блокировкой от записи и обмотанной синей изолентой.
136 Адинэснег
 
01.12.17
13:25
(132) алгоритм в базе, пароль в голове
137 Fish
 
01.12.17
13:25
+(134) Оттуда же:
"В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B."

А я эти стандарты уже лет 10 использую, получается :))
138 Адинэснег
 
01.12.17
13:26
Стас, скажи его пароль, щас мы все его сайты за 10 лет расчехлим :-D
139 Fish
 
01.12.17
13:27
(138) Хе-хе. Для мисты у меня исключение :))
140 Адинэснег
 
01.12.17
13:28
(139)то есть доверия только к ней нет?)) а к какому-нибудь bb-форумику есть?
141 Вафель
 
01.12.17
13:28
(134) перевод в латиницу НЕ усложняет брутфорс
142 Fish
 
01.12.17
13:29
(140) Всё проще. Просто на мисте я зарегистрировался раньше, чем придумал такую систему для паролей.
143 Адинэснег
 
01.12.17
13:30
(141)даже на китайские иероглифы
144 Адинэснег
 
01.12.17
13:32
(142) и к администраторам сайтов (тех. спецам,  тех. спецам их провайдеров, etc) больше доверия чем к администратору localhost?
145 Адинэснег
 
01.12.17
13:33
+(144)да половина их используют скрипты на своих сайтах, которые сделают всю работу и без их ведома
146 Волшебник
 
модератор
01.12.17
13:34
(138) В базе мисты не хранятся пароли. Romix всё переделал. Теперь там хранятся хэши от паролей.
147 Адинэснег
 
01.12.17
13:34
один пароль - один ресурс
148 Fish
 
01.12.17
13:34
(141) По твоей ссылке написано:
"Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов."

А если фраза на одном языке, а пароль записан латиницей, то словарь сочетаемости тут уже не поможет, а сделовательно, это усложнение.
149 Адинэснег
 
01.12.17
13:34
(146) ну соль то в скрипте лежит
150 Адинэснег
 
01.12.17
13:36
+(149)серверном
Основная теорема систематики: Новые системы плодят новые проблемы.