Изпечатай

[mavar]

Да това е добра идея. Пишеш българска фраза използвайки червените букви на клавиатурата (по БДС), а пък тя е включена на английско QWERTY, или пък както преди време бях чел за една идея на М$ да накарат потребителите на един от сайтовете им да прегледат серия от картинки с мастилени петна (доказано е че всеки човек вижда различен обект в едно мастилено петно, но ако едно и също петно го покажеш на един и същи човек след време, той ще види същия обект, който е видял и преди) и да въвеждат първата и последната буква от всяка дума. Така показвайки едни и същи картинки на всички, всеки един човек си въвежда неговата парола.

[shadowx]

^ Каза, човекът, който ползва МАС за другите какво остава ?

Мамка му, задавих се от смях

Лично аз следвам едни простички правила:
* паролата винаги е сбор от поне 2 думи (по възможност да ги няма в повечето речници...жачгон rulz!)
* паролата задължително трябва да има букви,цифри и някакъв друг символ (ако някой ще bf - нека му е трудно)
* паролата никога не се записва някаде физически (изумявам се като видя някой да си носи всички пароли в портвейла. и пин-ове на карти и тнт ......) 
* паролата никога не се записва в plantext на компютъра (това за MacOSX юзърите незнам дали важи, те знам,че са супер подсигурени и защитени.... от електромагнитни бури, урагани, жълт вятър, внерически болести... та там може и да не е проблем.... http://apple.slashdot.org/story/14/01/10/1415248/many-mac-os-users-not-getting-security-updates?utm_source=rss1.0mainlinkanon&utm_medium=feed  ако си плащаш)
* Никога не използвам една и съща парола на две места (с дребни изключения за игри и други неща за които реало не ми пука, те всичките са с една мега лесна парола ... подарявам ги на които ги иска!)
 ^ Т.е. използвам 6-7 различни пароли за повечето неща, но реално всяка от тях е модифицирана точно за мястото (образно казано, имат общ корен, но се различават по няколко символа)


п.с. тук говорим само за личните пароли,.... за служебните нещата стоят по съвсем друг начин.

[BRADATA]

...

Та как каза, че ги помниш? Или ползваш некоя програмка?

[edmon]

Аз имам две домашни пароли, една важна и една маловажна. Две служебни , важна сложна и маловажна не чак толкова!
И трета парола , с която редувам със сложната важна!:)
Да слагаш различни пароли на всякъде е параноя и психясване.
Зависи и от средата де!

"Sorry, your password has been in use for 30 days and has expired — you must register a new one."
roses
"Sorry, too few characters."
pretty roses
"Sorry, you must use at least one numerical character."
1 pretty rose
"Sorry, you cannot use blank spaces."
1prettyrose
"Sorry, you must use at least 10 different characters."
1fuckingprettyrose
"Sorry, you must use at least one upper case character."
1FUCKINGprettyrose
"Sorry, you cannot use more than one upper case character consecutively."
1FuckingPrettyRose
"Sorry, you must use no fewer than 20 total characters."
1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow!
"Sorry, you cannot use punctuation."
1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow
"Sorry, that password is already in use."

Но щом тази парола се използва вече от някой?!?! Не може ли да пробвам 10000 потребителя с нея... хехехе

[gat3way]

По принцип, паролите са лоша технология и трябва да бъдат елиминирани или най-малкото да не остават единствения фактор за автентикация. Сега разбира се идва спора как точно трябва да се подходи и дали е възможно и тук няма да давам мнения, защото съм пристрастен, предвид местоработата си.

Password manager-ите са частично решение, стига да не създават повече проблеми, отколкото решават. Преди време установих примерно че един от най-разпространените софтуери за това, определено създаваше повече проблеми, отколкото решава и ми стана доста...смешно. В случаят, малоумно реализирана криптография водеше дотам master пароли от 14 символа да се трошат с подръчни средства за 2-3 дена (същата парола прекарана през прост алгоритъм като md5 ще има да я брутфорсваш няколко милиона години със същия хардуер).

Аз лично не ползвам такъв софтуер, защото не съм толкова склерозирал (все още), но не бих се изказвал против този вариант. Иначе имам подарък безплатен платен акаунт за LastPass, от фирмата (свързаха се с мен тогава да им обясня как атакувам offline базата и накрая не знам защо се зарадваха и ми го подариха) - за жалост не го ползвам.

Малко е тъпо, не всеки има време да тръгне да анализира сигурността на password manager-а, който ползва и като цяло, няма много хора които да се занимават да го правят ей така от добро сърце.

[4096bits]

Разбираемо е. Докато има опасност то неоторизиран достъп, ще има и бизнес, който се храни от всичко това. Имам различни пароли за всичко. Може някой да го нарича параноя, може и да е параноя. Не ми пука, ако някой пъпчив тийнейджър ми чете пощата. Пука ми когато властта го прави. Нашата или нечия чужда. Това не е редно. Ясно ми е, че ако ме нарочат за нещо, няма как да се защитя. Не разбирам чак толкова. Но се дразня супер много от цялото това напъване да "можем" да бъдем следен и то законно. Дразня се, че се оказва натиск, когато се разработват криптографтски алгоритми, за да се остави нещо недогледано и недоправено, та да не е чак толкова сигурно. Все пак, когато ни следят, не е нужно да хвърлят пари като за една малка война в някоя арабска държава.  Quantum communication networks може и да променят нещата. Тогава вече ще съм любопитен, как ще се пробие и това. Може да е невъзможно.

[gat3way]

"властта" ако реши да ти чете пощата, това доколко силна ти е паролата е последното нещо, което би я притеснявало...не можеш да излезеш на глава с този, който държи инфраструктурата, това трябва да е ясно Криптографията може да е най-силната брънка във веригата, но всичко си има някакви граници. Криптографията не може да решава неща, които не е предвиждана да решава. Криптосистемите обикновено fail-ват заради странични неща, които нямат много общо с криптографските алгоритми. На "властта" й е лесно, защото има всички средства (легални включително) да си играе с избрани attack vector-и, нещо което за тийнейджъра или криминалните типове е по-скоро невъзможна опция.

Най-добре е човек да не ги мисли тези неща.

[stealth01]

параноята е хубаво нещо, но все пак в известни граници
човек трябва да знае кое може да му свърши някава реална работа и нещо, което ще усложни ненужно процеса... и аз ползвам малко криптиране, но по-скоро, защото ми е интересно, а не, че имам някаква свърх нужда от защита на някакви данни.

[gat3way]

Това в по-източните географски ширини май се наричаше "терморектален криптоанализ", с предполагаем произход на израза от Русия. Типичен пример за side-channel атака дам

Иначе светът е голям, възможности за пакости много и вече е трудно да се впечатляваш вече. Последното извращение leak-нало с поредната порция документи от Сноудън беше горе-долу следната постановка: всеки лаптоп има микрофон, който е активен без значение дали се ползва. Някой умник се е сетил че като облъчи лаптопа с достатъчно мощен предавател и насочена антена на честота в някакъв подходящ за целта диапазон, ставало горе-долу следното: микрофонът отразявал вълните като върху носещата честота модулирал  приетият в стаята звук, един вид ставал като радиостанция, оттам това било прекрасен начин за подслушване и NSA доразработили идеята и си произвели custom hardware за целта. Мен ми звучеше доста невероятна цялата работа, но там очевидно не мислят така, след като са финансирали цяла програма за целта и са си произвели хардуер по въпроса, следователно очевидно работи.

[4096bits]

Ясно е, че паролите не са средство. Има не един и два начина да се бръкне там, където не трябва. Ама, ма____та им, в САЩ мисля, че беше, дори е противозаконно за използваш твърде силни ключове. Не разбирам, как ще ми налагат, колко силно да са ми защитени личните неща и комуникацията! Тъпото е, че заради разтоянията и времето сме принудени да изпозваме преносна среда, която осигурява твърде много възможности за такива пакости. Много съм за, да започнем пак да си пишем писма и да лепим марки. Може някой да ми слуша трафика кабела, ама простичките може да се окажат и по-надеждните.

[gat3way]

В САЩ (и не само, дори в България има) експортни ограничения върху криптографията, но това е различно. Не знам да има ограничения върху дължини на ключа или използвани алгоритми за domestic цели.

Разбира се, днес това е далечен отзвук от това което е било едно време, но все още съществува. Като си правиш проект на sourceforge примерно и който има нещо свързано с криптография, ходиш да попълваш едни формуляри.

Марките и писмата не мисля че ще решат проблема.

[4096bits]

Биха могли. Може всякакви начини да се измислят, за да изпратиш едно съобщение. Можеш да принтираш някакво писмо и незабележими за окото отклонения в сивото на някои символи да носят истинското съобщение. Трябва само да го сканираш. Всякакви подобни щуротии могат да се измислят. С електронните съобщения също.  Неща, които нямат нищо общо с алгоритми, протоколи и прочее. Нещо като да вложиш текст в картинка и да изпратиш нея. Установени и обикновени неща. Не картинките, щото това е елементарно, но нещо достатъчно простичко. Обикновено се оказва, че простите неща вършат доста по-добра работа. Дори току що ми хрумна , как наистина да имам различна парола за всяко място, без да ми се налага да я помня. Просто ще си я сметна.

[Naka]

Биха могли. Може всякакви начини да се измислят, за да изпратиш едно съобщение. Можеш да принтираш някакво писмо и незабележими за окото отклонения в сивото на някои символи да носят истинското съобщение. Трябва само да го сканираш. Всякакви подобни щуротии могат да се измислят. С електронните съобщения също.  Неща, които нямат нищо общо с алгоритми, протоколи и прочее. Нещо като да вложиш текст в картинка и да изпратиш нея. Установени и обикновени неща. Не картинките, щото това е елементарно, но нещо достатъчно простичко. Обикновено се оказва, че простите неща вършат доста по-добра работа.

Да обаче за много кратки неща- фраза - максимум 1-2 изречения. За дълги работи и документи няма как да минеш без криптиране.

[4096bits]

Не съвсем. Относително големи обеми от данни могат да се съберат в един ред. Понякога насистина големи обеми. Нарича се Гьоделизация. Само, че се съмнявам, че има машини способни да се справят с това. Все още.

[Naka]

Нарича се Гьоделизация.

  А на Английски?