Pass и готово
Есть такая небольшая утилитка. Multi Password Recovery. Весит полметра, лекарств установки не требует. Имеет ключи запуска. За несколько секунд она собирает уйму паролей, которые хранятся в системе. От 10-20 браузеров, фтп-клиентов, почтовиков, IM, звонилок, удаленных рабочих столов и т.д. Можно сделать небольшой батничек и кинуть его во флешку. После втыка флешки, через минуту можно вынимать. А дома просмотреть эту уйму паролей.
Даже я немного удивился скорости ее работы. Поэтому, друзья, будьте бдительны, не позволяйте никому ничего втыкать на своей работе.
Но не забудьте установить себе такую, показывая примеры своих работ на ноутбуке VAIO ген.дира в фирме, например, когда проходите собеседование ;).
В связи с этим хочется вспомнить свою старую статью. Написана была в ноябре 2001, но до сих пор актуальна :). Только не удивляйтесь примерам частот процессоров =).
Какой придумать пароль или Антибрутфорсная комбинация.
Я не считаю себя профессионалом в области криптографии, но наблюдая за большим числом паролей, которые до сих пор выбирают люди, я решил написать эту статью. Сейчас для множества различных сервисов существуют программы подбора паролей. По моим наблюдениям, российские пароли не так уж легко сломать по словарю, то есть последовательно проверяя различные распространенные пароли. Это происходит, по-моему мнению, в основном от плохого знания английского языка и просто из-за особенностей русского языка, допустим Вася латинскими буквами могут писать как: Vasya, Vasia, Baca и т. п. Учитывая все эти различные написания, словарь пришлось бы делать очень значительного размера, поэтому часто программы подбора пароля используют прямой перебор всех возможных комбинаций символов, то есть brute force. Возьмем среднюю длину пароля - 6 символов. Со скоростью перебора 200 000 комбинации в секунду (примерно как на сотом пентиуме) для пароля из 6 знаков время подбора можно узнать из таблички:
Набор символов
Максимальное время
только цифры
5.0 секунд
только строчные буквы
25.7 минуты
только символы
1.8 часа
строчные и заглавные буквы
27.5 часа
строчные, заглавные, цифры
3.3 дня
строчные, заглавные, цифры,
символы
42.5 дня
Сейчас уже много у кого есть компьютеры с частотой процессора превышающей гигагерц, то есть например на 1.4 ГГц цифровой пароль подберется за несколько секунд. А пароли из дат рождения или чего-то в это роде не редкость. Обычные пароли, из одних букв, которые наиболее часто встречаются, тоже подобрать много времени не займет. Средний компьютер, допустим 333Гц, подберет пароль меньше чем за сутки, начиная с количества символов 3 и заканчивая 8 (самые распространенные длины паролей среди обычных пользователей). Мало кто может и хочет запоминать такие пароли, как "h!7dbep#4vre"; доверять различным программам, которые запоминают все ваши пароли, мне кажется еще хуже. О различных известных программах есть сведения о том, где лежит вся куча паролей, то есть злоумышленнику только облегчается задача, он сразу соберет все ваши пароли, расшифровав защиту той программы. А если пользоваться малоизвестными программами опасно. Кто знает, вдруг все ваши пароли окажутся на анонимном мыле fanx4pass@yahoo.com?
Что же делать? Можно придумать один сложный пароль и пользоваться им везде, но это тоже сомнительный и спорный вариант. Я предлагаю вот какой способ. Сделать начало/середину/концовку всех паролей одинаковой, а вкрапливать в нее только, например, свои сокращения для каждого сервиса. Допустим сложная часть будет !4g8$S, шесть символов. Одна эта часть будет очень долго подбираться, а для того чтобы улучшить удобность запоминания разных паролей для разных мест, то можно сделать следующее: для почты например использовать пароль !4g8$Smail, для входа в сеть !4g8$Slgn и так далее. Здесь все равно есть проблема, если кто-то узнает сразу несколько ваших паролей, то он наверняка поймет логику. Поэтому для мест, где ваш пароль могут случайно подсмотреть или узнать, лучше пользоваться еще одной антибрутфорсной комбинацией, но, так сказать, публичной. Публичной же комбинацией можно пользоваться при регистраций в малоизвестных подозрительных сервисах, где вас попросят выбрать свой пароль. Так злоумышленник, если он знаком с вами, может пробовать этот пароль потом в других ваших сервисах, в надежде на то, что вы используете один и тот же пароль везде. Хоть это будет и не так :), но все равно, даже одну вашу антибрутфорсную комбинацию знать злоумышленнику незачем.
Я думаю, что этим способом намного проще запомнить все свои пароли и труднее когда-нибудь их забыть. А если и забыл, не составит труда подобрать самому пароль, пробую различные сокращения, приплюсовывая их к известной комбинации.
Ну вот, надеюсь любители паролей "123", "qwerty" и т.п. не замедлят сменить их, потому что даже если злоумышленник будет подбирать их не вручную, это займет очень мало времени. А уж подбор по словарю будет совершенно безопасен для паролей с антибрутфорсной комбинацией :).
А напоследок несколько советов и пожеланий:
Даже я немного удивился скорости ее работы. Поэтому, друзья, будьте бдительны, не позволяйте никому ничего втыкать на своей работе.
Но не забудьте установить себе такую, показывая примеры своих работ на ноутбуке VAIO ген.дира в фирме, например, когда проходите собеседование ;).
В связи с этим хочется вспомнить свою старую статью. Написана была в ноябре 2001, но до сих пор актуальна :). Только не удивляйтесь примерам частот процессоров =).
Какой придумать пароль или Антибрутфорсная комбинация.
Я не считаю себя профессионалом в области криптографии, но наблюдая за большим числом паролей, которые до сих пор выбирают люди, я решил написать эту статью. Сейчас для множества различных сервисов существуют программы подбора паролей. По моим наблюдениям, российские пароли не так уж легко сломать по словарю, то есть последовательно проверяя различные распространенные пароли. Это происходит, по-моему мнению, в основном от плохого знания английского языка и просто из-за особенностей русского языка, допустим Вася латинскими буквами могут писать как: Vasya, Vasia, Baca и т. п. Учитывая все эти различные написания, словарь пришлось бы делать очень значительного размера, поэтому часто программы подбора пароля используют прямой перебор всех возможных комбинаций символов, то есть brute force. Возьмем среднюю длину пароля - 6 символов. Со скоростью перебора 200 000 комбинации в секунду (примерно как на сотом пентиуме) для пароля из 6 знаков время подбора можно узнать из таблички:
Набор символов
Максимальное время
только цифры
5.0 секунд
только строчные буквы
25.7 минуты
только символы
1.8 часа
строчные и заглавные буквы
27.5 часа
строчные, заглавные, цифры
3.3 дня
строчные, заглавные, цифры,
символы
42.5 дня
Сейчас уже много у кого есть компьютеры с частотой процессора превышающей гигагерц, то есть например на 1.4 ГГц цифровой пароль подберется за несколько секунд. А пароли из дат рождения или чего-то в это роде не редкость. Обычные пароли, из одних букв, которые наиболее часто встречаются, тоже подобрать много времени не займет. Средний компьютер, допустим 333Гц, подберет пароль меньше чем за сутки, начиная с количества символов 3 и заканчивая 8 (самые распространенные длины паролей среди обычных пользователей). Мало кто может и хочет запоминать такие пароли, как "h!7dbep#4vre"; доверять различным программам, которые запоминают все ваши пароли, мне кажется еще хуже. О различных известных программах есть сведения о том, где лежит вся куча паролей, то есть злоумышленнику только облегчается задача, он сразу соберет все ваши пароли, расшифровав защиту той программы. А если пользоваться малоизвестными программами опасно. Кто знает, вдруг все ваши пароли окажутся на анонимном мыле fanx4pass@yahoo.com?
Что же делать? Можно придумать один сложный пароль и пользоваться им везде, но это тоже сомнительный и спорный вариант. Я предлагаю вот какой способ. Сделать начало/середину/концовку всех паролей одинаковой, а вкрапливать в нее только, например, свои сокращения для каждого сервиса. Допустим сложная часть будет !4g8$S, шесть символов. Одна эта часть будет очень долго подбираться, а для того чтобы улучшить удобность запоминания разных паролей для разных мест, то можно сделать следующее: для почты например использовать пароль !4g8$Smail, для входа в сеть !4g8$Slgn и так далее. Здесь все равно есть проблема, если кто-то узнает сразу несколько ваших паролей, то он наверняка поймет логику. Поэтому для мест, где ваш пароль могут случайно подсмотреть или узнать, лучше пользоваться еще одной антибрутфорсной комбинацией, но, так сказать, публичной. Публичной же комбинацией можно пользоваться при регистраций в малоизвестных подозрительных сервисах, где вас попросят выбрать свой пароль. Так злоумышленник, если он знаком с вами, может пробовать этот пароль потом в других ваших сервисах, в надежде на то, что вы используете один и тот же пароль везде. Хоть это будет и не так :), но все равно, даже одну вашу антибрутфорсную комбинацию знать злоумышленнику незачем.
Я думаю, что этим способом намного проще запомнить все свои пароли и труднее когда-нибудь их забыть. А если и забыл, не составит труда подобрать самому пароль, пробую различные сокращения, приплюсовывая их к известной комбинации.
Ну вот, надеюсь любители паролей "123", "qwerty" и т.п. не замедлят сменить их, потому что даже если злоумышленник будет подбирать их не вручную, это займет очень мало времени. А уж подбор по словарю будет совершенно безопасен для паролей с антибрутфорсной комбинацией :).
А напоследок несколько советов и пожеланий:
- В сервисах, где автоматически генирируется пароль, но потом есть возможность его изменить, меняйте пароль.
- Не используйте в паролях имена, наименования, даты, связанные с вашей жизнью, которые могут знать окружающие вас люди. Если вы никогда не слышали про социальную инженерию, не думайте, что ее не существует.
- Не записывайте свои пароли на клочках бумаги и прочих местах, которые потом смогут увидеть люди.
- Если вам необходимо набрать свой пароль, а кто-то стоит рядом и может заметить его, не стесняясь попросите этого человека отойти на должное расстояния и отвернуться.
- При возможной утечки пароля, не медля смените его везде на новый
- На всякий случай, советую иметь хотя бы одну бумажную копию всех паролей. (Хранить в недоступном для детей месте)
- Будьте параноиком во всем, что касается ваших паролей =)