Follow

Ми всі чули [казочку][xkcd] про те, що в паролях обов'язково мають бути цифри, малі і великі літери, спеціальні символи, емодзі, хіраґана і арабиця. (Ну добре, останні три — необов'язково). І нас часто досі змушують додавати ці символи до паролів.

Насправді ця ідея [виявилася дурнею][verge]. І американський NIST вже [рекомендує][schneier] розробникам **не вимагати** від користувачів запихати до паролів будь-які конкретні символи, а також не змушувати нікого регулярно змінювати паролі.

Як аргументує [ґік-комікс xkcd][xkcd], паролі в стилі `iL0veyou123` насправді дуже слабкі й передбачувані. Їх важко запам'ятовувати, але легко підібрати з допомогою спеціального софту.

Натомість, надійний пароль — це **унікальний пароль** (ви його більше ніде не використовуєте) і **довгий пароль**. Чудовим довгим паролем є фраза чи речення з кількох слів — їх порівняно легко запам'ятати, але значно складніше підібрати автоматично.

З унікальністю складніше. Ви не зможете запам'ятати 150 унікальних паролів.

Тому експерти з цифрової безпеки здебільшого радять використовувати менеджер паролів. Ви придумуєте одну довгу і складну фразу-пароль, яка шифрує ваше сховище паролів. Далі менеджер паролів допомагає вам генерувати довгі й випадкові паролі для кожного сервісу і зберігати їх у шифрованій базі.

Чому погано використовувати однакові паролі? Тому що кракери використовують бази [витеклих пар email+пароль][hibp], щоб увійти за тими самим даними до популярних сайтів і перехопити доступ.

Тобто вашу пошту можна «зламати», не зламуючи її — а просто використавши «спалений» пароль з іншого сайту, про який ви давно забули.

Парольний менеджер, яким я користуюся — [KeePassXC][kpxc]. Сам по собі він не синхронізує нічого ні в яку «хмару». Якщо вам потрібна синхронізація — тут є [«короткий список»][fotpf] парольних менеджерів від Freedom of the Press Foundation.

[xkcd]: xkcd.com/936/
[verge]: theverge.com/2017/8/7/16107966
[hibp]: haveibeenpwned.com/
[schneier]: schneier.com/blog/archives/201
[fotpf]: freedom.press/training/blog/ch
[kpxc]: keepassxc.org/

@cyberkoala я не зрозумів про фрази. Хіба не за словарем у першу чергу будуть підберати пароль? З менеджером паролей зникає проблема запам'ятовування, але, на мою думку, більша загроза не у паролях, які змінити можна, а у ідентифікації по відбитках, які змінити не можна.
@think4web Хіба існує словник фраз складених з випадкової послідовності слів?
@cyberkoala

@older але ж з реально існуючих слів, а не рандомних послідовностей букв та знаків. Якщо мова про паролі що треба запам’ятовувати, то тут звичайно краще багато реальних фраз, але у решті випадків - краще менеджер паролів і рандом.

менеджер паролів - це той що вбудований безпосередньо в браузер.

Це погана ідея бо дуже легко просто скопіювати папку браузеру разом з паролями. Взагалі сучасні браузери мають надто багато доступу до файлів комп’ютеру, тому краще паролі тримати окремо. KeePassX - має відкритий код, можна йому не довіряти, але скоріше за все код проходив аудит.

@cyberkoala

@think4web
Так покажіть мені словник фраз з реально існуючих слів такий що можно застосувати для підбору паролів? @cyberkoala

@think4web Про відбитки, FaceID і подібні речі — погоджуюся на 100%, але про це буду писати окремо, бо це окрема широка тема. Щодо фраз зі слів — фразу підібрати значно складніше, ніж пароль з одного слова. З кожним додатковим словом ентропія росте майже експоненційно.

@cyberkoala @think4web Слово (пробіл) слово (пробіл) слово... типу так?

@think4web @cyberkoala це просто математика, див. xkcd (і дуже рекомендую додати сайт до улюблених — чи не єдиний справді гіківський комікс-сайт): xkcd.com/936/

pa$$vv0rd, насправді, так само легко підбирається «по словнику», як і password — тому що під «словником» мається на увазі не грінченко чи webster, лол, а перебір за збірками вже вживаних деінде паролів, лол.

@tivasyk і не словник просто слів? Саме популярні паролі?

@cyberkoala

@think4web @cyberkoala залежить від того, хто підбирає, що і де. будь-яку збірку слів можна завантажити і перебирати, намагаючись зібрати потрібний хеш =) логічно думати, що першим вибором тут буде перелік вже вживаних паролів, і лише потім — загальний словник? я би саме так вчинив, якби намагався щось підібрати =)

@cyberkoala у Enpass є така крута фішка як перевірка зливів паролів, коли у якогось сервісу базу зливають. От мені у KeePass такого не вистачає.

@tivasyk

@think4web @cyberkoala @tivasyk bitwarden теж так уміє, якщо я правильно пам'ятаю.

@think4web
@cyberkoala певен, що в keepassxc можна додати втулочок, але... ти _сам_ посилаєш хеш парооя невідомо кому? ;-) це заявка на премію дарвіна.

@tivasyk це під питанням. Скоріше пошту і сайт щоб звірити чи є вона у базі витіків.

@cyberkoala

@think4web
@cyberkoala
ні, відсилається саме хеш пароля; це, звісно, не сам пароль, але все-одно, без мене...
p.s.
keepassxc.org/blog/2018-02-24-

@tivasyk тут пишуть що за ім’ям користувача перевіряти слід.

@cyberkoala

@tivasyk
Саме тому я користуюсь https://monitor.firefox.com/ для перевірки. Та ж сама база, але там навіть немає опції для перевірки пароля. І сервіс від провайдера якому я вже довіряю, бо користуюсь firefox.
@think4web @cyberkoala
@cyberkoala До речі, вже неодноразово бачив думку що найкращій менеджер паролів - це той що вбудований безпосередньо в браузер. Це слушно, на мою думку, бо я вже довіряю браузеру яким користуюсь і не потрібно довіряти іще і розробникам іншого менеджера паролів.

@older Все залежить від вашої моделі безпеки. Окремий менеджер паролів — треба окремо довіряти, справді. З іншого боку, паролі в бравзері треба аналізувати з точки зору того, як вони зберігаються на диску, в якій формі синхронізуються, і як легко чи важко отримати до них доступ, маючи доступ до самого пристрою.

@cyberkoala Якщо хтось вже має доступ до файлів на вашому комп'ютері то у мене для вас погані новини. Але краще ніж Tavis Ormandy я все одно не напишу: https://lock.cmpxchg8b.com/passmgrs.html

@older
@cyberkoala «Things start to go wrong when you want integration with other applications» — далі можна не читати? я не користуюсь жодними додатковими «інтеграціями», а на keepass(xc/dx) перейшов від pass лише заради простого доступу на мудрофоні...

...але почитаю, цікаво написано ;-)

@tivasyk
Тобто ви не користуєтесь ніяким browser extension з keepassxc? А як паролі потрапляють в браузер із keepass?
@cyberkoala

@older
@cyberkoala copy-paste, і на додачу keepass(xc/dx) очищує «кишеньку» за декілька секунд (налаштовується). інтеграція з веб-оглядачами є, але я її вимикаю завжди.

@cyberkoala давно це знав і перейшов на фрази вже декілька років як.

@cyberkoala це найкращий короткий виклад теми паролів #українською, що я бачив. шкода, що ті, кому це справді варто було би прочитати, не зареєстровані на mastodon'і, а пасуться далі на телеграмах і твітерах у кращому випадку, на фейсбуках, тіктоках і ютюбах — у гіршому =/ тим часом, нагадало мені, що давно час було би перекласти шпаргалку про паролі, що я колись робив для співробітників тут… можливо, сьогодні якраї той день? =)

#it #безпека

Sign in to participate in the conversation
koyu.space

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!