Автор Тема: Управление на пароли - обсъждане  (Прочетена 5821 пъти)

mavar

  • Участник
  • *****
  • Публикации: 61
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #15 -: Яну 10, 2014, 15:21 »
Да това е добра идея. Пишеш българска фраза използвайки червените букви на клавиатурата (по БДС), а пък тя е включена на английско QWERTY, или пък както преди време бях чел за една идея на М$ да накарат потребителите на един от сайтовете им да прегледат серия от картинки с мастилени петна (доказано е че всеки човек вижда различен обект в едно мастилено петно, но ако едно и също петно го покажеш на един и същи човек след време, той ще види същия обект, който е видял и преди) и да въвеждат първата и последната буква от всяка дума. Така показвайки едни и същи картинки на всички, всеки един човек си въвежда неговата парола.
Активен

shadowx

  • Участник
  • *****
  • Публикации: 99
  • Distribution: Slackware
  • Window Manager: Gnome
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #16 -: Яну 10, 2014, 17:25 »
^ Каза, човекът, който ползва МАС за другите какво остава ?
Мамка му, задавих се от смях ;D ;D ;D

Лично аз следвам едни простички правила:
* паролата винаги е сбор от поне 2 думи (по възможност да ги няма в повечето речници...жачгон rulz!)
* паролата задължително трябва да има букви,цифри и някакъв друг символ (ако някой ще bf - нека му е трудно)
* паролата никога не се записва някаде физически (изумявам се като видя някой да си носи всички пароли в портвейла. и пин-ове на карти и тнт ......) 
* паролата никога не се записва в plantext на компютъра (това за MacOSX юзърите незнам дали важи, те знам,че са супер подсигурени и защитени.... от електромагнитни бури, урагани, жълт вятър, внерически болести... та там може и да не е проблем.... http://apple.slashdot.org/story/14/01/10/1415248/many-mac-os-users-not-getting-security-updates?utm_source=rss1.0mainlinkanon&utm_medium=feed  [_]3 ако си плащаш)
* Никога не използвам една и съща парола на две места (с дребни изключения за игри и други неща за които реало не ми пука, те всичките са с една мега лесна парола ... подарявам ги на които ги иска!)
 ^ Т.е. използвам 6-7 различни пароли за повечето неща, но реално всяка от тях е модифицирана точно за мястото (образно казано, имат общ корен, но се различават по няколко символа)


п.с. тук говорим само за личните пароли,.... за служебните нещата стоят по съвсем друг начин.
« Последна редакция: Яну 10, 2014, 17:27 от shadowx »
Активен

There he goes. One of God's own prototypes. A high-powered mutant of some kind never even considered for mass production. Too weird to live, and too rare to die.

BRADATA

  • Участник
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: Управление на пароли - обсъждане
« Отговор #17 -: Яну 10, 2014, 19:46 »
...
Та как каза, че ги помниш? Или ползваш некоя програмка?
Активен

edmon

  • Гост
Re: Управление на пароли - обсъждане
« Отговор #18 -: Яну 10, 2014, 20:24 »
Аз имам две домашни пароли, една важна и една маловажна. Две служебни , важна сложна и маловажна не чак толкова!
И трета парола , с която редувам със сложната важна!:)
Да слагаш различни пароли на всякъде е параноя и психясване.
Зависи и от средата де! :)

"Sorry, your password has been in use for 30 days and has expired — you must register a new one."
roses
"Sorry, too few characters."
pretty roses
"Sorry, you must use at least one numerical character."
1 pretty rose
"Sorry, you cannot use blank spaces."
1prettyrose
"Sorry, you must use at least 10 different characters."
1fuckingprettyrose
"Sorry, you must use at least one upper case character."
1FUCKINGprettyrose
"Sorry, you cannot use more than one upper case character consecutively."
1FuckingPrettyRose
"Sorry, you must use no fewer than 20 total characters."
1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow!
"Sorry, you cannot use punctuation."
1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow
"Sorry, that password is already in use."

Но щом тази парола се използва вече от някой?!?! Не може ли да пробвам 10000 потребителя с нея... :) хехехе
« Последна редакция: Яну 10, 2014, 20:26 от edmon »
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Управление на пароли - обсъждане
« Отговор #19 -: Яну 10, 2014, 20:36 »
По принцип, паролите са лоша технология и трябва да бъдат елиминирани или най-малкото да не остават единствения фактор за автентикация. Сега разбира се идва спора как точно трябва да се подходи и дали е възможно и тук няма да давам мнения, защото съм пристрастен, предвид местоработата си.

Password manager-ите са частично решение, стига да не създават повече проблеми, отколкото решават. Преди време установих примерно че един от най-разпространените софтуери за това, определено създаваше повече проблеми, отколкото решава и ми стана доста...смешно. В случаят, малоумно реализирана криптография водеше дотам master пароли от 14 символа да се трошат с подръчни средства за 2-3 дена (същата парола прекарана през прост алгоритъм като md5 ще има да я брутфорсваш няколко милиона години със същия хардуер).

Аз лично не ползвам такъв софтуер, защото не съм толкова склерозирал (все още), но не бих се изказвал против този вариант. Иначе имам подарък безплатен платен акаунт за LastPass, от фирмата (свързаха се с мен тогава да им обясня как атакувам offline базата и накрая не знам защо се зарадваха и ми го подариха) - за жалост не го ползвам.

Малко е тъпо, не всеки има време да тръгне да анализира сигурността на password manager-а, който ползва и като цяло, няма много хора които да се занимават да го правят ей така от добро сърце.
Активен

"Knowledge is power" - France is Bacon

4096bits

  • Участник
  • *****
  • Публикации: 3178
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #20 -: Яну 10, 2014, 21:10 »
Разбираемо е. Докато има опасност то неоторизиран достъп, ще има и бизнес, който се храни от всичко това. Имам различни пароли за всичко. Може някой да го нарича параноя, може и да е параноя. Не ми пука, ако някой пъпчив тийнейджър ми чете пощата. Пука ми когато властта го прави. Нашата или нечия чужда. Това не е редно. Ясно ми е, че ако ме нарочат за нещо, няма как да се защитя. Не разбирам чак толкова. Но се дразня супер много от цялото това напъване да "можем" да бъдем следен и то законно. Дразня се, че се оказва натиск, когато се разработват криптографтски алгоритми, за да се остави нещо недогледано и недоправено, та да не е чак толкова сигурно. Все пак, когато ни следят, не е нужно да хвърлят пари като за една малка война в някоя арабска държава.  Quantum communication networks може и да променят нещата. Тогава вече ще съм любопитен, как ще се пробие и това. Може да е невъзможно.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Управление на пароли - обсъждане
« Отговор #21 -: Яну 10, 2014, 21:41 »
"властта" ако реши да ти чете пощата, това доколко силна ти е паролата е последното нещо, което би я притеснявало...не можеш да излезеш на глава с този, който държи инфраструктурата, това трябва да е ясно :) Криптографията може да е най-силната брънка във веригата, но всичко си има някакви граници. Криптографията не може да решава неща, които не е предвиждана да решава. Криптосистемите обикновено fail-ват заради странични неща, които нямат много общо с криптографските алгоритми. На "властта" й е лесно, защото има всички средства (легални включително) да си играе с избрани attack vector-и, нещо което за тийнейджъра или криминалните типове е по-скоро невъзможна опция.

Най-добре е човек да не ги мисли тези неща.
Активен

"Knowledge is power" - France is Bacon

stealth01

  • Участник
  • *****
  • Публикации: 678
  • Distribution: Debian testing
  • Window Manager: KDE
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #22 -: Яну 10, 2014, 22:16 »
параноята е хубаво нещо, но все пак в известни граници :)
човек трябва да знае кое може да му свърши някава реална работа и нещо, което ще усложни ненужно процеса... и аз ползвам малко криптиране, но по-скоро, защото ми е интересно, а не, че имам някаква свърх нужда от защита на някакви данни.

Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Управление на пароли - обсъждане
« Отговор #23 -: Яну 10, 2014, 22:48 »
Това в по-източните географски ширини май се наричаше "терморектален криптоанализ", с предполагаем произход на израза от Русия. Типичен пример за side-channel атака дам :)

Иначе светът е голям, възможности за пакости много и вече е трудно да се впечатляваш вече. Последното извращение leak-нало с поредната порция документи от Сноудън беше горе-долу следната постановка: всеки лаптоп има микрофон, който е активен без значение дали се ползва. Някой умник се е сетил че като облъчи лаптопа с достатъчно мощен предавател и насочена антена на честота в някакъв подходящ за целта диапазон, ставало горе-долу следното: микрофонът отразявал вълните като върху носещата честота модулирал  приетият в стаята звук, един вид ставал като радиостанция, оттам това било прекрасен начин за подслушване и NSA доразработили идеята и си произвели custom hardware за целта. Мен ми звучеше доста невероятна цялата работа, но там очевидно не мислят така, след като са финансирали цяла програма за целта и са си произвели хардуер по въпроса, следователно очевидно работи.

Активен

"Knowledge is power" - France is Bacon

4096bits

  • Участник
  • *****
  • Публикации: 3178
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #24 -: Яну 10, 2014, 23:17 »
Ясно е, че паролите не са средство. Има не един и два начина да се бръкне там, където не трябва. Ама, ма____та им, в САЩ мисля, че беше, дори е противозаконно за използваш твърде силни ключове. Не разбирам, как ще ми налагат, колко силно да са ми защитени личните неща и комуникацията! Тъпото е, че заради разтоянията и времето сме принудени да изпозваме преносна среда, която осигурява твърде много възможности за такива пакости. Много съм за, да започнем пак да си пишем писма и да лепим марки. Може някой да ми слуша трафика кабела, ама простичките може да се окажат и по-надеждните.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Управление на пароли - обсъждане
« Отговор #25 -: Яну 10, 2014, 23:42 »
В САЩ (и не само, дори в България има) експортни ограничения върху криптографията, но това е различно. Не знам да има ограничения върху дължини на ключа или използвани алгоритми за domestic цели.

Разбира се, днес това е далечен отзвук от това което е било едно време, но все още съществува. Като си правиш проект на sourceforge примерно и който има нещо свързано с криптография, ходиш да попълваш едни формуляри.

Марките и писмата не мисля че ще решат проблема.
« Последна редакция: Яну 10, 2014, 23:58 от gat3way »
Активен

"Knowledge is power" - France is Bacon

4096bits

  • Участник
  • *****
  • Публикации: 3178
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #26 -: Яну 11, 2014, 01:20 »
Биха могли. Може всякакви начини да се измислят, за да изпратиш едно съобщение. Можеш да принтираш някакво писмо и незабележими за окото отклонения в сивото на някои символи да носят истинското съобщение. Трябва само да го сканираш. Всякакви подобни щуротии могат да се измислят. С електронните съобщения също.  Неща, които нямат нищо общо с алгоритми, протоколи и прочее. Нещо като да вложиш текст в картинка и да изпратиш нея. Установени и обикновени неща. Не картинките, щото това е елементарно, но нещо достатъчно простичко. Обикновено се оказва, че простите неща вършат доста по-добра работа. Дори току що ми хрумна , как наистина да имам различна парола за всяко място, без да ми се налага да я помня. Просто ще си я сметна.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

Naka

  • Участник
  • *****
  • Публикации: 2641
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #27 -: Яну 11, 2014, 11:43 »
Биха могли. Може всякакви начини да се измислят, за да изпратиш едно съобщение. Можеш да принтираш някакво писмо и незабележими за окото отклонения в сивото на някои символи да носят истинското съобщение. Трябва само да го сканираш. Всякакви подобни щуротии могат да се измислят. С електронните съобщения също.  Неща, които нямат нищо общо с алгоритми, протоколи и прочее. Нещо като да вложиш текст в картинка и да изпратиш нея. Установени и обикновени неща. Не картинките, щото това е елементарно, но нещо достатъчно простичко. Обикновено се оказва, че простите неща вършат доста по-добра работа.

Да обаче за много кратки неща- фраза - максимум 1-2 изречения. За дълги работи и документи няма как да минеш без криптиране.
Активен

Perl - the only language that looks the same before and after encryption.

4096bits

  • Участник
  • *****
  • Публикации: 3178
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #28 -: Яну 11, 2014, 14:24 »
Не съвсем. Относително големи обеми от данни могат да се съберат в един ред. Понякога насистина големи обеми. Нарича се Гьоделизация. Само, че се съмнявам, че има машини способни да се справят с това. Все още.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

Naka

  • Участник
  • *****
  • Публикации: 2641
    • Профил
Re: Управление на пароли - обсъждане
« Отговор #29 -: Яну 11, 2014, 14:31 »
Нарича се Гьоделизация.

 ??? ??? ??? А на Английски?
Активен

Perl - the only language that looks the same before and after encryption.