Trudne hasła
Ponieważ każdy kto chce być fajny musi napisać coś o wykopie i o tym że wyciekły hasła (nikt jeszcze nie słyszał, prawda?) - bez tego nie można zostać specjalistą od zabezpieczeń. Szanujący się Captain Obvious napisze że bazy danych nie powinno się wystawiać na świat, powinna mieć hasło a użytkownicy powinni mieć trudne hasła. Oczywiście z miną eksperta będą perorować na temat bezpieczeństwa i swojej zajebistości, ot, żeby z rytmu nie wypaść (XSSy na strona-ewelinki.blog.pl się skończyły?)
to i ja tu napiszę jak mieć bezpieczne, długie losowe hasła, inne dla każdej witryny i je pamiętać (!).
Rozwiązanie jest proste: generujemy 10 różnych, trudnych haseł - ważne jednak by w każdym była inna pierwsza litera i zawierały ino cyfry i literki, aby to łatwo pamiętać.
aG9fgbewjrghl
nngF93nswlksd
herreiN3bfsD3
zgsdI2Q0dG0gn
loyD83bsdpgps
Reguła jest prosta: zapamiętujemy te 5 haseł (choć warto mieć ich więcej) i pamiętamy o regule że jeśli istnieje literka przed cyfrą to zawsze jest ona wielka. Tyle.
Teraz chcemy się gdzieś zarejestrować, na podstawie tamtych haseł generujemy:
nngF93nswlksd/loyD83bsdpgps;#herreiN3bfsD3!
Znając tamte 5 haseł, aby zapamiętać powyższe trzeba pamiętać tylko takie coś:
n/l;#h!
Proste, prawda? Pierwsze litery tamtych haseł + separatory w postaci znaków specjalnych. Ba, nawet na początku można sobie zapisać takie coś i nosić w portfelu - o ile początkowe hasła są zapamiętane bezpiecznie.
Oczywiście jeśli ktoś pozna tamte hasła, lub zbierze wystarczająco dużo gotowych haseł z różnych serwisów to będzie miał ułatwione zadanie. Ale jeśli serwisy te stosują hashowanie, nie przechowują haseł w plaintext, jesteśmy bezpieczni. Rozwiązanie idealne na wszelkie fora i inne bzdety.
Jesteś szalony! ;)
Jeśli chcesz zapamiętać takie losowe ciągi znaków, to powodzenia. Znacznie lepiej użyć generatora „wymawialnych” haseł. Np:
har7hu6op4gust7ei
trewf8ut4ap4en6ol
not2dam6ud6ches1h
"nswlksd" trudniej zapamiętać niż "gust" albo "ches".
Sam sposób wydaje się strasznie skomplikowany – nie lepiej wziąć dwa hasła i wstawić między nie jakiś numer? Albo jeszcze lepiej – używać (bezpiecznego) menedżera haseł i pamiętać do niego tylko jedno hasło?
Menedzery haseł są niewygodne, w dodatku jak szlag trafi bazę danych to jesteś udupiony. Ja bez problemu pamiętam takie krótkie hasła, nawet w ten sposób losowe. Potem tylko ten "skrót" właściwego hasła i jest ok. Wymawialne hasła? Dobrze wiedzieć że takie stosujesz, bo 20-znakowe można złamać w 1 dzień.
Hm, poza tym język polski jest o tyle fajny, że zapamiętując "aG9fgbewjrghl" wychodzi "agiedziewięćefgiebewujotergiehael" - jest wymawialne, co za problem?
@groszek: Tak, szydera całkiem całkiem chociaż uderzająca wybiórczo. A przymykając oko na sarkazm - nie sądzisz, że problem wielu haseł można byłoby rozwiązać w następujący sposób:
* mamy jedno hasło główne, * na każdym serwisie mamy, co najmniej jeden login, * wystarczy, że dla każdego serwisu hasło będziemy generować w następujący sposób:
funkcja_skrótu(hasło_główne+login_w_serwisie+serwis)
Takie rozwiązanie ma jednak, co najmniej dwie wady: konieczność stosowania generatora oraz problem ze szczególnymi wymaganiami nakładanymi przez serwisy na długość hasła, jego zawartość itp.
Nie stosuję 20znakowych, ani wymawialnych – od zapamiętywania mam 1Password. Trochę jesteś paranoiczny.
Zal, umiesz w pamięci liczyć jakieś sensowne funkcje skrótu? :D
Jeśli tak to twoja metoda jest bardzo dobra, hm.
Właściwie to emdzi robił userjs do opery który w ten sposób działał, generował hasło na podstawie witryny i je używał. Jego pytać o szczegóły ;)
riddle: stosuję taką metodę od dawna, naprawdę zapamiętanie 5 haseł nie jest trudne. Za darmo mam hasła nie do złamania w sensownym czasie. Swoją drogą, mnie zawsze denerwowały menedżery haseł, bo żeby się gdzieś dostać muszę ciągle otwierać jego okienko, wpisywać hasło, potem copy/paste ... zamiast po prostu wklepać hasło które i tak pamiętam.
Wiesz, nie chcę teraz rozwodzić się nad tym co używam, ale przyznasz że software jest różnorodny – nie używałbym takiego, który kazałby mi coś kopiować z innego okna. Wszystko zależy jaki design ktoś przyjął.
Tak samo kwestia bazy danych – mam backup w co najmniej 2 różnych miejsach. Lecz tak, nie powierzam oprogramowaniu wszystkiego – hasło do maila mam robione ręcznie i zapamiętane, mimo jego poziomu złożenia.
Dobrze radzisz, ale dla zwykłych użytkowników takie martwienie się o hasła jest bardzo niepraktyczne.
@groszek: Tak, jak wspomniałem, to jest właśnie wada tego rozwiązania - konieczność stosowania generatora ;]
Z drugiej strony - Twoje rozwiązanie też posiada swoje wady, pomimo tego, iż zapewnia bezpieczeństwo. Nie wiem, na ile to miało być sarkastyczne, a na ile prawdziwe rozwiązanie, ale jest to po prostu trudne do stosowania w praktyce (lenistwo to wróg bezpieczeństwa). Wymaga mozolnego przepisywania z kartki, lub dostępu do edytora tekstu. Równie dobrze można sobie sha1sum w tym momencie zastosować :D
Co do generatora na podstawie witryny - podoba mi się idea, szkoda, że tylko pod Operę.
Generator pewnie pod jakimś greasemonkey zadziała, nie wiem. Sama metoda jest jak najbardziej poważna, stosuję ją od dawna i sobie chwalę. Przepisywania? Czy ja wiem? Na pewno na początku, ale tak jest z każdym hasłem, trzeba je kilkanaście razy użyć. W sumie nawet nie trzeba sobie tych początkowych haseł generować, bierzesz swoje stare które pamiętasz i też będzie dobrze :] można też zawsze stosować ten sam separator, np. średnik, też będzie ok. Moje hasło do truecrypta tak powstało, tyle że z haseł nigdzie indziej nie używanych i z różnymi separatorami - najpierw zapamiętałem krótkie hasła, później tylko wiedziałem jak je wpisać. 40 znaków pamiętam :]
@groszek: Mnemotechnika ;D Ja stosuję wersję z generatorem - przy czym podzieliłem serwisy na trzy grupy: krytyczne, ważne i całą resztę. Do krytycznych stosuję generator, do ważnych nieco prostsze hasła trzymane w pamięci, a do całej reszty jedno hasło.
W gruncie rzeczy, gdybyś zasugerował rozwiązanie oparte na prostszych słowach podstawowych to by i pewnie się przyjęło :D Na przykład - koń, słoń, owca, hipopotam i tygrys, a ostateczne hasła będące ich (wszystkich) złożeniem np. hipopotam:koń:słoń:owca:tygrys (5! haseł).
To jest właściwie tym samym, o czym piszesz, ale łatwiej do ludzi trafia ;]
BTW - to ma jedną wadę - niech tylko jakiś serwis stosuje zapis hasła w bazie bez używania skrótów. W takim przypadku mając takie hasło można wychwycić metodę jego generowania.
Pod warunkiem że ta sama osoba ma kilka takich haseł z różnych serwisów i w ogóle o tym pomyśli. Spójrz na hasło "sfG3hdfh#gsdN32ysdsd/sdfg@$gjsdF7" - czy naprawdę rzuca się w oczy że mogło być wygenerowane z prostych? A łączenie zwykłych słów mnie nie przekonuje, JTR ma taki miły ficzer jak "markov generator" który na podstawie słownika generuje hasła jakie mogły się pojawić :P również bardzo długie i skomplikowane.
@groszek: Racja. Ja na razie przy moim generatorze pozostanę ;D
Sposób na generowanie haseł
Widzę, że ostatnio wszyscy (patrz groszek, kUtek, Piotr Konieczny) piszą o tym, ja generować hasła do różnych serwisów tak, aby były one bezpieczne, a przy okazji łatwe do zapamiętania, lub wygenerowanie. Oto i mój sposób, o którym ju
prosta zasada/algorytm oparta na zapamiętanym haśle (salt), nazwie serwisu zmodyfikowanej na bazie adresu/salt/długości nazwy czy jakąś inną wartość - tak na mój gust optymalne rozwiązanie, oczywiście o ile zasada i podstawowe hasło nie są proste do wymyślenia na bazie 2-3 zdobytych haseł
Jak mieć bezpieczne hasło i nie popaść w paranoję?
p
Jak dla mnie wszystkie te zabawy ze skrótami itp. są nie do przyjęcia. Albo hasło jest takie, że trzeba je b pamiętać b czyli umieć wpisać z głowy , albo można sobie pozwolić na jakiś portfel haseł i wtedy nie ma się co bawi
Do generowania i przechowywania haseł używam tokena Mandylion i bardzo mi odpowiada. Tyle, że to nie jest za free.
MandylionLabs
Jeżeli chcesz zobaczyć jak można zapamiętać trudne hasło, czytaj dalej
http://PilnujSwoichDanych.pl/2010/04/jak-zapamietac-trudne-haslo/