Способ не запоминать пароли

Метод, благодаря которому можно больше не запоминать пароли

Мы на каждом шагу сталкиваемся с напоминаниями, что нужно делать пароли посложнее, причём для каждого сайта и сервиса пароль должен быть уникален. Здравый смысл в этих советах определённо есть. Но кем надо быть, чтобы запомнить несколько десятков паролей ко всевозможным почтам, форумам, личным кабинетам, мессенджерами и прочим сервисам? Да ещё и длинные, с цифрами, буквами в разных регистрах, а в идеале — с дополнительными символами. Добавьте к этому совет регулярно менять пароли, и задача запоминания станет просто нерешаемой. Люди ленивы от природы, и потому мы либо делаем пароли простыми, либо используем небольшое количество паролей, либо вообще один. И зачастую их ещё куда-нибудь записываем. Вобщем, одна сплошная дыра в безопасности. Однако есть одна методика, с помощью которой можно вообще не запоминать пароли. Всё дело в алгоритме, который нужно вызубрить как Отче наш, и этого будет достаточно, чтобы сразу же восстановить свой уникальный (!) пароль для любого ресурса.

Считается, что каждый из нас оперирует в среднем 19 паролями. Естественно, чтобы их было легче помнить, мы стремимся сделать пароли проще, тем самым существенно ослабляя их устойчивость. Ещё больше ухудшает ситуацию использование одного пароля на нескольких ресурсах.

Мануэль Блюм, профессор вычислительных наук из Университета Карнеги Меллона, лауреат Премии Тьюринга 1995 года, предложил метод «вычисляемых человеком» паролей. Его преимущества в том, что пароли получаются довольно сложными, но самое главное — их не нужно запоминать. Если вы сможете запомнить сам алгоритм вычисления паролей и заранее выбранный единый ключ, то потом по адресу сайта сможете самостоятельно быстро генерировать и воссоздавать пароли.

Суть метода в том, что с помощью алгоритма и ключа каждой букве адреса сайта сопоставляется другая буква или цифра. Их комбинация и представляет собой пароль.

Например: возьмём ключ в виде матрицы 6х6, заполненной 26 буквами (английский алфавит) и 10 цифрами. Допустим, первая строка содержит буквы E, T, A, O, I, N; а остальные строки заполнены в соответствии с ETAOIN SHRDLU + цифры от 0 до 9.

Теперь нужно выбрать алгоритм, в соответствии с которым буквы адреса будут заменяться символами из матрицы. Для данного примера возьмём предложенный Блюмом алгоритм, основанный на «следовании по сторонам света».

Придумаем пароль для сайта Geektimes. находим букву G в матрице и переходим на одну клетку на «север». Буква F становится заменой буквы G. Далее находим букву Е и заменяем её на символ, находящийся на «востоке» — Т. Следующий символ берётся с «юга», то есть вторая буква Е заменяется уже не на Т, а на S. Буква К заменяется на «западный» символ — G. И так далее, последовательно проходя все стороны света по часовой стрелке: север, восток, юг, запад. Если символ, которому ищется замена, находится на краю матрицы и у него нет нужной «стороны света», то берётся тот символ, что находится ближе всего по часовой стрелке. Например, если для J нужно взять символ с «востока», то берётся 4, поскольку «юг» идёт после востока в данном алгоритме.

Получился такой пароль:

Как вы понимаете, можно использовать и множество других алгоритмов для подбора замен. Можно модифицировать алгоритм, добавляя в каждый пароль заранее выбранную комбинацию спецсимволов, например, %^&.

Конечно, этот способ не слишком удобен для случаев, когда вам нужно часто вводить пароль на каком-то ресурсе. Но, с другой стороны, скоро вы его просто запомните. Зато можно забыть про генераторы паролей, запоминание комбинаций, опасения, что кто-то узнает ваш часто используемый пароль. Главное — держать в голове алгоритм и ключ под рукой.

Любители глубокого погружения в математику могут изучить авторскую работу, в которой и был предложен данный метод.

Источник

Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их

Меня зовут Андреас, давно веду видеоблог (SunAndreas) на темы гражданской информационной безопасности, а сегодня решил в текстовом варианте поделиться со всеми полезными идеями, которые могут быть полезными даже для далёких от ИТ людей. Расскажите об этом старшему поколению, таки они смогут хранить пароли довольно безопасно, в том числе на работе, не используя дополнительные программы, менеджеры паролей.

Моим способом можно создавать очень сложные и труднозапоминаемые пароли, которые при этом не нужно будет вам хранить в своей голове. А кроме того, вы можете таким образом хранить сколько угодно паролей от скольки угодно сервисов, аккаунов. Предлагаемую мной форму хранения можно реализовывать как в цифровом виде, так и в реальном, например на бумаге, а лучше для надёжности комбинировать: хранить и виртуально, и на бумаге.

Способ 1

Для того что бы хранить прямо на своём столе рядом с компьютером пароли или же на рабочем столе операционной системы в электронном виде, необходимо сделать таблицу из случайных, а если с научной точностью говорить, то из псевдослучайных букв, цифр и различных символов.

Для удобства набор символов, таблица, желательно чтобы была равносторонней, то есть или 10х10, или 25х25, или 100х100, или иной вариант который вы пожелаете, но не обязательно, и желательно чтобы в итоге ваш пароль в итоге был не менее 20 символов. Чем больше различных букв, цифр, символов в таблице, тем безопаснее. Хорошо не забывать и про использование как строчных, так и заглавных букв в своём наборе, что усложнит попытки подбора пароля злоумышленникам. Таблицы можно легко удобно создавать в LibreOffice Calc или если вы сидите на мелко-мягкой проприетарщине, то MS Excel.

Теперь, когда перед нами по сути квадрат (или прямоугольник) с хаотичным набором, который вы создали как попало, тогда мы можем приступать к делу, а именно, мысленно рисовать какую-то фигуру или букву в нашей таблице.

И те символы, что попадают под нашу воображаемую фигуру или букву, это и будет наш пароль. Теперь нам остаётся лишь хранить такую таблицу чтобы при наборе пароля она была всегда под рукой, и лишь только вы будете знать какая последовательность нужна для правильного набора символов. При этом порядок букв и символов при вводе пароля зависит от вас, что является дополнительныс усложнением задачи подбора пароля злоумышленниками.

Для маскировки можно использовать вообще какой-нибудь детский алфавит или что-угодно, что не выглядит необычным.

Если вы хотите усложнить и вам не нравится чертить буквы или фигуры, вы можете вообще поступить таким образом, сделать большую таблицу, например, 100х100 или меньшим размером, и уже не фигуры в ней прописывать, а целые предложения. Например так.

Но уже с такой таблицей может хватить и даже всего лишь одного слова. И согласитесь, одно слово уж можно запомнить и держать в своей голове. Более того, для всех ваших аккаунтов можно запомнить всего лишь одно слово! Это же превосходно! Для этого нужно лишь создать таблицы с разным набором символов и букв. В этом случае наборы символов, таблицы, будут меняться, а воображаемое слово или фигура, или предложение будут одни и те же. Сделайте только отметки на бумажных таблицах с зади или назовите соответствующим образом файлы-картинки на компьютере, что бы не забыть какая таблица для какого аккаунта предназначена.

Так мы убиваем сразу нескольких зайцев. Не надо особо прятать пароль от посторонних глаз, можно создавать сверх сложные пароли и не надо их постоянно помнить. Если таблицы вы храните на компьютере, то можете менять расширения файлов, например, с jpg на txt. Иногда это может быть дополнительной защитой от посторонних глаз.

Классно то, что в отличие от программных менеджеров паролей, данный способ подходить как для паролей от аккаунтов, так и для полнодискового шифрования, и для иных целей, в то время, когда ещё не загружена операционная система и нельзя воспользоваться менеджером паролей.

Способ 2

Под конец ещё один простой способ иметь сложные пароли, но не запоминать их. Вы можете на компьютере создать пустой файл, виндусоводы могут создать простой текстовый файл (txt), и записать в нём малыми буквами, например, одно слово.

И это одно слово можно использовать для множества ваших аккаунтов, но рассчитывая для этого сохранённого файла разные хеш-суммы, на ваш выбор. И это не только md5 и sha256, но и множество иных.

А если вы опасаетесь, что вашему неприятелю, или мне, известен такой метод и мы можем похитить ваш файл с парольным словом, рассчитать хэш и получу доступ к вашим аккаунтам, то вы можете к полученным хеш-суммам добавлять в любое место хеш-строки ещё любой один символ или, если хотите, хоть целое слово. Таким образом вы усложните задачу в разы вашим недоброжелателям, даже если они знают мой метод хранения паролей.

При использовании хэш-сумм, вам только нужно помнить какая хэш-строка для какого аккаунта, ведь мы помним, что один и тот же пароль не следует использовать для всех аккаунтов.

А для расчёта хеш-сумм можно использовать разные утилиты. Для GNU/Linux систем можете установить GTKHash.

Для которой существуют удобные плагины для обычных файловых менеджеров. После установки плагинов вы сможете просто: 1. правой клавишей мыши нажать на файл, 2. выбрать свойcтва, 3. и на вкладке Дайджесты выбрать для рассчёта нужные вам хеш-суммы.

Минус второго способа в том, что он не подходит для дешифровки полнодискового шифрования, когда ещё не загружена ОС и нельзя воспользоваться программой для расчёта хеш-суммы.

Заключение

Озвученные мной идеи, можно развивать, это своего рода opensource. Я описал лишь фундамент. Надеюсь, что это вам пригодиться, а если не пригодиться, то это хотя бы немного разовьёт вашу смекалку. Успехов.

Источник

Сложный пароль в запоминании не нуждается

Все пароли для разных ресурсов должны быть длинными, сложными, личными и не похожими.

Но как придумать такое количество разнообразных паролей? Предположим мы нашли на бескрайних просторах Интернета нужную нам программу, генерирующую нужное нам количество знакосимволов. Но как запомнить всё это буйство букв, цифр, знаков препинания, и, не побоюсь произнести эту фразу, вообще не понятных символов в виде смайликов, стрелочек, домиков и китайских иероглифов? А как не перепутать какая «нечитаемость» от какого сайта?

Я запомнить точно не смогу. Я даже четырёхзначные PIN-коды пластиковых карт забываю на следующий день. Можно пароли записать и в самый нужный момент потерять всё, что копилось многие годы. А если у Вас паранойя? Вам же придётся Ваш шифроблокнот положить в банковскую ячейку. Но ведь Вы забудете очередную парольку от очередной бронированной дверки почти сразу.

А что если есть способ, позволяющий не придумывать, не запоминать и не записывать ключи от наших тайн? Я предлагаю способ придумывания таких паролей.

Нам понадобятся всего три вещи.
1. «Волшебная» табличка (о ней дальше) с помощью которой мы и будем создавать пароли,
2. Индивидуальная ключевая фраза,
3. Название ресурса для которого мы будем создавать пароль.

И больше ничего. Заинтригованы?

Волшебная таблица

Для начала представлю Вам «волшебную» таблицу. Это и есть ключевой элемент данного способа придумывания паролей. Сразу отмечу что это не моё изобретение. В школе я с помощью такой таблицы шифровал свои секретные записи. Я её просто немного модифицировал.

Да и не такая она волшебная. В трёх левых колонках (левое поле) расположены неповторяющиеся символы. В большом квадратном поле (основное поле) латинские символы и цифры периодически повторяющиеся по горизонтали и вертикали. В трёх верхних строках (верхнее поле) любые символы, именно из них и будут получаться пароли.

Ну что же, таблица у нас есть. Осталось придумать ключевую фразу и найти ресурс к которому мы будем придумывать пароль. Пусть первым будет слово password, а вторым — mysite. Пароль будем придумывать из шестнадцати символов. Поехали.

Создание пароля

Возьмите первую букву ключевой фразы (p) и найдите её в левом поле. Нашли? Теперь в той же строке в основном поле найдите первую букву имени ресурса (m). Тоже нашли? Поднимитесь по столбцу вверх и найдите первый символ нашего пароля (цифра 0). И далее повторите всё тоже самое для каждой последующей пары символов. В слове закончились буквы? Ничего страшного, начните с начала слова. Результат Вы увидите в таблице 1.1.

Не плохо. Даже цифры в пароле есть.

Как будет выглядеть результат изготовления пароля для Хабрахабра видно в таблице 1.2. Мы поменяли только имя ресурса (habrahabr), а пароль изменился.

Знаю что найдутся желающие видеть в пароле заглавные буквы и знаки препинания. Давайте их нарисуем.

В слове HaBRaHaBR есть согласные буквы. Вы тоже заметили? Тогда давайте в тех же позициях пароля заменим буквы на заглавные. Результат в таблице 1.3.

А теперь заменим символы пароля 4, 8 и 16 на знаки препинания (таблица 1.4), для этого они и нужны в верхнем поле «волшебной» таблички.

Хочу отметить, что если количество символов в ключевой фразе и в имени ресурса одинаковое, то символы пароля начнут повторятся. Для избежания этого можно, например, к имени ресурса добавлять буквы. Например так habrahabr+dobivka=habrahabrdobivka (таблица 1.5).

В качестве ключевой фразы Вы можете использовать всё что Вам угодно. Даже квадратное уравнение подойдёт (таблица 1.6).

Можно использовать Вашего любимого персонажа из детской книжки (таблица 1.7)

И для разнообразия в пароль можно вставить кириллические символы. В таблице 1.8 они вставлены там, где и в ключевой фразе и в имени ресурса гласные буквы.

Пока готовил материалы для публикации придумал ещё один способ использования данного метода. Дело в том, что меня тоже раздражают контрольные вопросы в системах восстановления паролей. Кто ещё кроме Вас знает девичью фамилию Вашей мамы? Думаю все. Вот Вам ещё одно слабое место в безопасности. Ваша мама не обидится если вы зашифруете её фамилию? Тогда смело можете использовать принцип из таблицы 1.9.

Создайте свою «волшебную» таблицу

Если все будут использовать одну и туже «волшебную» таблицу, то я думаю это не будет хорошо. Вот ещё одна.

Чем же она другая? Левое поле такое же. В центральном поле я поменял последовательность символов. А верхнем поле расставил русские и латинские символы не совсем в алфавитном порядке.

Вообще то Вы можете создать свою таблицу соблюдая четыре простых правила.
1. Вы должны запомнить по какому принципу Вы составляете таблицу.
2. В левом поле символы не должны повторятся.
3. В основном поле символы не должны повторятся в столбцах и строках.
4. В верхнем поле можно располагать любые символы и в любом порядке.

А теперь попробуем создать пароль с ключевой фразой и именем ресурса из нашего первого примера, но уже с использованием второй шифровальной таблицы. То что получилось видно в таблице 2.1. Почувствуйте разницу.

А для того что бы Вы могли с меньшими усилиями создать личную таблицу, здесь я выложил исходник в формате .xls.

«Вспоминаем» пароль

Предположим Вы зашли на свой любимый Хабрахабр, Вконтакте или на сайт где во всех подробностях и с картинками рассказывается как правильно пользоваться капустой в которой находят детей и пытаетесь вспомнить пароль? А пароль вспоминать не надо. Его вообще можно не запоминать. Как такое возможно?

1. Вы составили личную шифровальную таблицу по определённому и понятному Вам принципу. Тогда даже её потеря не будет большой проблемой. Восстановите её.
2. Вы помните свою личную ключевую фразу. А ведь Вы помните число π до четырнадцатого знака после запятой.
3. Вы в здравом уме и хорошо понимаете на какой сайт Вы зашли.

Это всё что Вам нужно. Создайте пароль снова, он будет точно таким-же.

«Серёженька, а я опять забыла парольку от корпоративного мыла»

Вас тоже раздражает эта фраза? Даже бесит? Как я Вас понимаю. Нужно сделать столько лишних телодвижений. А что если…

У Вас ведь есть ключевая фраза. А у Ваших «забывчивых соработников» есть табельный номер или логин. Давайте это использовать по назначению.

Правила безопасности на Вашей работе требуют менять пароль раз в месяц? Ещё чаще? Тогда при тех же условиях поменяйте ключевую фразу и пересоздайте пароли.

И конечно же никто не будет Вам запрещать автоматизировать процесс.

Вместо эпилога

Я понимаю что пользоваться бумажкой и даже картинкой шифровальной таблицы на компьютере не совсем удобно. Поэтому у меня есть просьба. Если Вам понравилась идея и Вы можете создать приложение для ПК, телефона, смартфона или коммуникатора, то дерзайте. Сам то я не местный, руки не под это заточены…

P. S. Я знаю что ключевое слово по-английски keyword. Слово password я использовал специально что-бы запутать спецслужбы всех стран, времён и народов.

Дополнено после публикации

Спасибо, iFaTaL1Ty, за ссылку на Хабрахабре с подобной идеей.
Спасибо, VasyaMobile, за почти такую же идею от Яндекса.
БОЛЬШОЕ спасибо, jursovet. Вот здесь не только подобная идея, но и практический способ её реализации.

Перенёс в тематический блог.

Критические замечания

Топик на Хабрахабре где высказываются критические замечания к данному способу придумывания паролей. А это мой ответ на критику.

Цитирую свой комментарий:
rbJJkjwqmIyLm7er — это пароль к сайту mojdomen. Восстановите ключевую фразу, и я признаюсь в том, что я идиот.

Источник