+7 (812) 677-17-05

Как хранить пароли если ты параноик?

#

Здарово!

Недавно мне на глаза попадалась публикация на Хабре про сервер взлома паролей с кучей GPU.

Ссылку я добросовестно где-то профукал, но помню, что в статье говорилось про феноменальную скорость перебора паролей на этом "девайсе". Что 8-значный пароль по полной раскладке клавиатуры и всем регистрам ломался чуть ли не за 5‑10 секунд, аж GPU нагреться не успевали.

Вот тут-то меня и посетила мысль: а как вообще при современных вычислительных мощностях оберегать свои пароли от компрометации?

Собственно, и решил поделиться двумя методами, которые использую лично я:

  1. Парольная фраза
  2. Двойной слепой пароль.

Парольная фраза

— А откуда ты узнала пароль? — А я и не знала… — То есть? — опешил я. — А то и есть. Он слишком часто повторял фразу "Мы лишь тени на ветру", и я понадеялась, что это и будет паролем. А вводить его можно лишь единожды. — Судьба с нами играет, — мимо воли резюмировал я.
Сознание отказывалось до конца поверить в происходящее.

Синто. Чужие звезды. – Пушкарева Л.М.

Как вы уже могли догадаться из названия, суть метода заключается в том, чтобы вместо 8, 12 … N-значных паролей использовать некие осмысленные фразы или выражения из своих любимых произведений: кино, книг, философских трудов или просто житейских мудростей.

Было время, когда моей любимой заменой паролю в различных системах была фраза "YouShallNotPass!-Said_Gandalf".

Можно использовать русское написание в сочетании с английской раскладкой.

Так, легко и непринужденно парольная фраза "Платон_мне_друг_но_истина_дороже" превращается в "Gkfnjy_vyt_lheu_yj_bcnbyf_ljhj;t".

Основной плюс этого метода — мы с легкостью выходим за привычные значения паролей (8‑12 символов).

Из минусов следует отметить, что достаточно хорошо вас знающий человек сможет просто угадать эту фразу. Хоть это и не будет просто, но вероятность всё же есть.

Двойной слепой пароль (Double Blind Password)

К своему удивлению, я не встречал статей по описанию этого метода защиты пароля в русскоязычных источниках. Не помню уже даже, где и как получил знание этого метода, но, на мой взгляд, он весьма хорош для защиты паролей. Особенно в тех случаях, когда вы не готовы доверять даже менеджерам паролей!

Этот метод применим только в связке с каким-либо менеджером паролей, благо сейчас их не использует только ленивый.

Суть метода: вы генерируете некий сложный пароль и сохраняете его в менеджере паролей под соответствующей записью.

Пример: пароль для ВКонтакте – ERTnmm@#dkf901

Далее добавляете к нему уникальную ключ-фразу. Ну, например, Pushistik777.

Получившуюся комбинацию — ERTnmm@#dkf901Pushistik777 — устанавливаете в качестве пароля для ВКонтакте в самой соц. сети.

Таким образом, даже если злоумышленник сумеет получить доступ к вашему менеджеру паролей, то он всё равно не завладеет искомым паролем и не сможет зайти в ваш аккаунт ВКонтакте.

У него будет только первая часть пароля, ERTnmm@#dkf901, которая хранится в менеджере. А вторую часть, Pushistik777, вы держите исключительно у себя в голове и никому и никогда не говорите.

Ну и, как вы уже догадались, для каждого следующего сервиса вы генерируете новую уникальную первую часть пароля и заносите её в менеджер паролей, а вторая часть остается той же (Pushistik777).

Оргвыводы

Выводы, выводы… А, собственно, нет их) Если знаете ещё какие-либо методы защиты паролей в этом бешено прогрессирующем IT-мире, поделитесь в комментариях.

Надеюсь, рассмотренные мною 2 метода будут кому-то полезны и смогут повысить вашу безопасность.

15.07.2021 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Владимир М. Владимир М. junior pentester

Специалист по фишингу, OSINT и социальной инженерии. Имеет высокие навыки по сбору и анализу информации из открытых источников. Опытный пользователь фреймворка Maltego.

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных