7 простых правил, чтобы смягчить большинство угроз, связанных с паролями

1. Не используйте один и тот же пароль в более чем одном месте.
2. Если вы забыли свой пароль, это, вероятно, слаб.
3. Если ваш пароль меньше, чем 12 символов долго, вероятно, слаб.
4. Если пароль не содержат цифры, прописные буквы и некоторые странные символы, это, вероятно, слабое.
5. С помощью программного обеспечения для управления паролями для хранения и генерации паролей, таких как менеджер паролей в Firefox, KeePass и т.д. ...
6. Используйте длинные мнемонические фразы проходят как мастер паролей для менеджеров паролей и учетных записей и других, которые вы должны иметь возможность доступа без использования программного обеспечения управления паролями (как Gmail счета и TrueCrypt контейнеры, например)
7. Рассмотрим написание некоторые важные пароли на бумаге и хранить его в безопасном месте.

Ваш пробег может варьироваться.

Цитата: Vladimir от 20 июня 2011, 12:42:24 PM

Вы также должны понимать, что сложность вашего пароля не имеет никакого значения. Зачем? Потому что хакеры в эти дни получить пароли через другие методы (например, кража базы данных и взлома паролей).

Единственная реальная вещь, сложный пароль защищает вас от атаки является брутфорс. Bruteforce атака работает только если ваш пароль безумно простой или веб-сервер не запрещает Ваш IP после 3-4 неудачных попыток входа в систему.

Сейчас я не говорю, что ваши правила плохо. Они хорошие правила для подражания. То, что я хочу сказать, что люди должны принять меры предосторожности больше, чем просто сделать сложный пароль и думать, что они безопасны. Вам нужно сделать так, что даже если хакер получает на свой счет, что они не могут сделать много вреда, и что у вас всегда есть верх.

Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал:

Использование SHA512 - не MD5 для хэшей
Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши
Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде
Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции
Используйте форму маркер для предотвращения CSRF атак

1. Не используйте mt.gox
2. Не используйте mt.gox

Цитата: Арал от 20 июня 2011, 12:52:05 PM

1. Не используйте mt.gox
2. Не используйте mt.gox

Да, если вы используете bitcoin7.com вместо этого, то вы, вероятно, хорошо.

Цитата: freetx 20 июня 2011, 12:51:34 PM

Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал:

Использование SHA512 - не MD5 для хэшей
Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши
Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде
Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции
Используйте форму маркер для предотвращения CSRF атак

Да безопасность веб-сервер 100x более важная.

Вы можете иметь самый сложный пароль когда-либо, но если сайт не является безопасным, то вашими болты.

Цитата: freetx 20 июня 2011, 12:51:34 PM

Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал:

Использование SHA512 - не MD5 для хэшей
Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши
Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде
Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции
Используйте форму маркер для предотвращения CSRF атак

3, 4 и 5 хорошо, но я не думаю, что вы понимаете, как работает хэш пароля система.

1) MD5 является штраф для паролей, если они используются в подсоленной системе повторного хеширования.
2) Пароли соленые с заданным количеством бит, что зависит от системы, которую вы используете, не какое-то количество символов. И соль должна быть сохранена с паролем, в противном случае вы не знаете, как их сравнивать. Если вы не говорите о имея секрет, что вы добавляемый ко всем паролям перед их отправкой через процедуру соли и хэша.

Цитата: kjj от 20 июня 2011 года, 1:00:17 PM

В идеале, используя различные соли для каждого пароля хорошо - но хранить соль в незашифрованном внутри базы данных поражения цели (только означает, что злоумышленники не могут полагаться на предварительно генерируется хэш-баз данных).

На голом минимуме, они могли бы соленая пароли внутри исходного кода и хранится только в результате хэш в базе данных.

Так, что, пароль "12345" становится "12345lkj3409ruflk30rjfsldk4lkljflkj234 %% # $ 4324", Который затем хэшированные и хранится в незашифрованном виде.

Этот простой шаг будет уже предотвратил весь вопрос MtGox, что мы видели вчера.

Ребята, этот поток не был задуман как образовательный ресурс для PHP-программистов. Это и правила обработки паролей предназначены для обычных пользователей. Как это не могло быть очевидным?

Пожалуйста, продолжайте ваш "как разрабатывать безопасные веб-приложения" обсуждение в другом месте.

Цитата: killer2021 20 июня 2011, 12:49:25 PM

Не совсем верно, так как в последнее время вопрос подтверждает. Если злоумышленник получает доступ к списку хэшей паролей, сложность пароля является важным фактором в том, как долго он принимает для того чтобы определить пароль.

Цитата: freetx 20 июня 2011, 12:51:34 PM

Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал:

Использование SHA512 - не MD5 для хэшей
Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши
Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде
Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции
Используйте форму маркер для предотвращения CSRF атак

Использование SHA512 вместо MD5 ничего не изменит.

Если это возможно, я бы предложил использовать Scrypt (http://www.tarsnap.com/scrypt.html). Если нет доступной реализации Scrypt для языка вашей помощи использования Bcrypt (http://en.wikipedia.org/wiki/Bcrypt).

Цитата: Vladimir от 20 июня 2011, 12:42:24 PM

2. Если вы забыли свой пароль, это, вероятно, слаб.

Это на самом деле это не так, хотя можно было бы думать так. Смотрите новый Reasearch Стива Гибсона: https://www.grc.com/haystack.htm

Цитата: обув от 20 июня 2011 года, 2:06:32 PM

Цитата: Vladimir от 20 июня 2011, 12:42:24 PM

2. Если вы забыли свой пароль, это, вероятно, слаб.

"исследование"? Это больше похоже на очень слабой и наивной претензии. Старик, кажется, становится путь позади кривой.

При всем уважении, Стив Гибсон и его милой идею легко запомнить пароли, я буду вынужден не согласиться с ним по этому поводу. Он утверждает, что «D0g .....................» сильнее, чем пароль «PrXyc.N (n4k77 # L! EVdAfp9». Он должен знать лучше.

Это может быть случай, когда глупая грубая сила используется, но в эти дни злоумышленники используют много гораздо более эффективные способы, чтобы уменьшить пространство ключей, чем просто перебирает все перестановки, так как Стив, кажется, верит. К ним относятся перестановки слов словаря с общими заменами букв по номерам с различными прописными / строчными буквами сценариев в сочетании с наборами одинаковых символов повторяющихся, а также других методами снижения пространства ключей, подражая различные шаблоны, которые люди используют для создания паролей они могут вспомнить. Эти методы часто уменьшают пространство ключей на много порядков.

Вот то, что я использую, чтобы держать мои пароли в безопасном месте.

1) KeyPass и KeypassX: У меня есть это на моих системах Windows, Linux систем и мой Android телефон. База данных может быть синхронизирован и используется всеми операционными системами 3.

2) Каждый сайт я посещаю имеет случайно сгенерированный пароль, используя максимальное количество знаков и символов сайта позволит мне использовать.

3) Мастер-пароли, которые я использую для баз данных являются местом в мире, и я запоминаю широту и долготу, чтобы создать свой мастер-пароль. Я использую Google карты, чтобы найти широту и долготу, и я не кликайте на самом видном месте на месте.

Например:

Если я хочу использовать Эйфелеву башню мой пароль на 48.8583N, 02.2945E мой пароль будет похож на это. Я никогда не заглавной буквы, но какое-то письмо в середине. Я также заменить некоторые буквы с Leet говорить. Теперь, если мне нужен мой пароль, прежде чем я его запомнить, я могу только думать Эйфелевой башни, а затем использовать это, чтобы запомнить мои мастер-пароли.

3iff3lt0W3r488583N022945E

GRC ставка указанному выше пароль 2,09 триллионов триллионов столетий сломаться.

-Dukejer

Цитата: обув от 20 июня 2011 года, 2:06:32 PM

Эта страница содержит серьезный недостаток. Вполне может быть, правда, что набивка увеличивает силу вашего пароля, но если злоумышленник Трещина один из ваших паролей, он будет знать, что набивка использовать для других паролей.

Независимо от того, насколько сложным ваш пароль, он все еще не может быть легко взломан, если злоумышленники получают доступ к базе данных. Гораздо более безопасным способом входа, что я хочу больше сайтов будут осуществить это процесс проверки два шага в Gmail, где необходимо ввести пароль а также введите проверочный код, отправленный на ваш телефон, чтобы войти в систему. Я думаю, что время, когда сложный пароль, который был бы невозможен перебором быть достаточно прошел. Более новые, процессы верификации многоступенчатых необходимы. Может быть, MtGox может рассмотреть вопрос об осуществлении что-то подобное. Было бы уверен, чтобы их пользователи чувствуют себя безопаснее.

Один из способов построить несколько легко запоминающийся длинный пароль, чтобы думать о песни, поэмы или сконвертировано, которые вы могли бы вспомнить во сне, а затем применить некоторый алгоритм на словах.

В качестве примера, возьмите три первые буквы каждого слова из первой строки Paranoid:

Плавникбедных и обнищавших слоев остроумиечас мой Wom «саиспользование она Коуldn't высокоэнергетический лазерп меня остроумиечас мой минd

Затем выбрать несколько символов, чтобы разграничить буквы и, возможно, начать или закончить пароль. Придумайте какое-нибудь правило, с помощью которого вы делаете некоторые из букв в верхнем регистре. Например:

3Fin.wIt.my.Wom.'Ca.she.Cou.hEl.me.Wit.mY.min%

Это 46 символов довольно легко запоминается. Половина этого будет достаточно, а на самом деле 3 буквы могут быть немного больше, так как я закончил с парой слов из словаря в там.

(Вы хотите пространство поиска перебором большим: использовать 1 или более символов из каждой группы:. Прописные, в нижнем регистре, цифры, символы)

Цитата: BinaryMage от 20 июня 2011 года, 2:57:31 PM

Независимо от того, насколько сложным ваш пароль, он все еще не может быть легко взломан, если злоумышленники получают доступ к базе данных.

Это неправда. Правильно хэшируются сильный пароль будет принимать миллионы триллионов триллионов триллионов триллионов триллионов веков сломать даже с самым нелепым хеширования кластером вы можете себе представить. Смотрите ссылку в пост Foo в выше.

Даже схема крипты Unix MD5 является очень сильной до тех пор, пока вы остаетесь далеко от словарных слов и убедитесь, "пространство поиска" достаточно велик.

Кроме того, когда злоумышленник получил доступ к базе данных, игра в значительной степени более, и пароли только приятный бонус ...

Цитата: MikesMechanix от 20 июня 2011 года, 4:42:13 PM

Я исправлюсь. Тем не менее, как вы говорите после того, как база данных взломана, вы ввинчивается в любом случае.

Кто-нибудь использовать PasswordMaker?

https://addons.mozilla.org/en-us/firefox/addon/passwordmaker/

Я имею в виду с помощью этой системы.

20 июня 2011, 12:42:24 PM	# 1
Владимир Сообщения: 812 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru 1. Не используйте один и тот же пароль в более чем одном месте. 2. Если вы забыли свой пароль, это, вероятно, слаб. 3. Если ваш пароль меньше, чем 12 символов долго, вероятно, слаб. 4. Если пароль не содержат цифры, прописные буквы и некоторые странные символы, это, вероятно, слабое. 5. С помощью программного обеспечения для управления паролями для хранения и генерации паролей, таких как менеджер паролей в Firefox, KeePass и т.д. ... 6. Используйте длинные мнемонические фразы проходят как мастер паролей для менеджеров паролей и учетных записей и других, которые вы должны иметь возможность доступа без использования программного обеспечения управления паролями (как Gmail счета и TrueCrypt контейнеры, например) 7. Рассмотрим написание некоторые важные пароли на бумаге и хранить его в безопасном месте. Ваш пробег может варьироваться.

20 июня 2011, 12:49:25 PM	# 2
killer2021 Сообщений: 84 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Получил 1806 Биткоинов Реальная история. Цитата: Vladimir от 20 июня 2011, 12:42:24 PM 1. Не используйте один и тот же пароль в более чем одном месте. 2. Если вы забыли свой пароль, это, вероятно, слаб. 3. Если ваш пароль меньше, чем 12 символов долго, вероятно, слаб. 4. Если пароль не содержат цифры, прописные буквы и некоторые странные символы, это, вероятно, слабое. 5. С помощью программного обеспечения для управления паролями для хранения и генерации паролей, таких как менеджер паролей в Firefox, KeePass и т.д. ... 6. Используйте длинные мнемонические фразы проходят как мастер паролей для менеджеров паролей и учетных записей и других, которые вы должны иметь возможность доступа без использования программного обеспечения управления паролями (как Gmail счета и TrueCrypt контейнеры, например) 7. Рассмотрим написание некоторые важные пароли на бумаге и хранить его в безопасном месте. Ваш пробег может варьироваться. Вы также должны понимать, что сложность вашего пароля не имеет никакого значения. Зачем? Потому что хакеры в эти дни получить пароли через другие методы (например, кража базы данных и взлома паролей). Единственная реальная вещь, сложный пароль защищает вас от атаки является брутфорс. Bruteforce атака работает только если ваш пароль безумно простой или веб-сервер не запрещает Ваш IP после 3-4 неудачных попыток входа в систему. Сейчас я не говорю, что ваши правила плохо. Они хорошие правила для подражания. То, что я хочу сказать, что люди должны принять меры предосторожности больше, чем просто сделать сложный пароль и думать, что они безопасны. Вам нужно сделать так, что даже если хакер получает на свой счет, что они не могут сделать много вреда, и что у вас всегда есть верх.

20 июня 2011, 12:51:34 PM	# 3
freetx Сообщений: 48 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал: Использование SHA512 - не MD5 для хэшей Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции Используйте форму маркер для предотвращения CSRF атак

20 июня 2011, 12:52:05 PM	# 4
Aral Сообщений: 42 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями 1. Не используйте mt.gox 2. Не используйте mt.gox

20 июня 2011, 12:57:32 PM	# 5
теневой финансист Сообщений: 84 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: Арал от 20 июня 2011, 12:52:05 PM 1. Не используйте mt.gox 2. Не используйте mt.gox Да, если вы используете bitcoin7.com вместо этого, то вы, вероятно, хорошо.

20 июня 2011, 12:59:13 PM	# 6
killer2021 Сообщений: 84 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: freetx 20 июня 2011, 12:51:34 PM Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал: Использование SHA512 - не MD5 для хэшей Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции Используйте форму маркер для предотвращения CSRF атак Да безопасность веб-сервер 100x более важная. Вы можете иметь самый сложный пароль когда-либо, но если сайт не является безопасным, то вашими болты.

20 июня 2011, 1:00:17 PM	# 7
kjj Сообщения: 1302 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: freetx 20 июня 2011, 12:51:34 PM Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал: Использование SHA512 - не MD5 для хэшей Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции Используйте форму маркер для предотвращения CSRF атак 3, 4 и 5 хорошо, но я не думаю, что вы понимаете, как работает хэш пароля система. 1) MD5 является штраф для паролей, если они используются в подсоленной системе повторного хеширования. 2) Пароли соленые с заданным количеством бит, что зависит от системы, которую вы используете, не какое-то количество символов. И соль должна быть сохранена с паролем, в противном случае вы не знаете, как их сравнивать. Если вы не говорите о имея секрет, что вы добавляемый ко всем паролям перед их отправкой через процедуру соли и хэша.

20 июня 2011, 1:48:37 PM	# 8
freetx Сообщений: 48 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: kjj от 20 июня 2011 года, 1:00:17 PM 3, 4 и 5 хорошо, но я не думаю, что вы понимаете, как работает хэш пароля система. 1) MD5 является штраф для паролей, если они используются в подсоленной системе повторного хеширования. 2) Пароли соленые с заданным количеством бит, что зависит от системы, которую вы используете, не какое-то количество символов. И соль должна быть сохранена с паролем, в противном случае вы не знаете, как их сравнивать. Если вы не говорите о имея секрет, что вы добавляемый ко всем паролям перед их отправкой через процедуру соли и хэша. В идеале, используя различные соли для каждого пароля хорошо - но хранить соль в незашифрованном внутри базы данных поражения цели (только означает, что злоумышленники не могут полагаться на предварительно генерируется хэш-баз данных). На голом минимуме, они могли бы соленая пароли внутри исходного кода и хранится только в результате хэш в базе данных. Так, что, пароль "12345" становится "12345lkj3409ruflk30rjfsldk4lkljflkj234 %% # $ 4324", Который затем хэшированные и хранится в незашифрованном виде. Этот простой шаг будет уже предотвратил весь вопрос MtGox, что мы видели вчера.

20 июня 2011, 1:52:33 PM	# 9
Владимир Сообщения: 812 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Ребята, этот поток не был задуман как образовательный ресурс для PHP-программистов. Это и правила обработки паролей предназначены для обычных пользователей. Как это не могло быть очевидным? Пожалуйста, продолжайте ваш "как разрабатывать безопасные веб-приложения" обсуждение в другом месте.

20 июня 2011, 1:54:47 PM	# 10
Klestin Сообщения: 494 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: killer2021 20 июня 2011, 12:49:25 PM Вы также должны понимать, что сложность вашего пароля не имеет никакого значения. Зачем? Потому что хакеры в эти дни получить пароли через другие методы (например, кража базы данных и взлома паролей). Не совсем верно, так как в последнее время вопрос подтверждает. Если злоумышленник получает доступ к списку хэшей паролей, сложность пароля является важным фактором в том, как долго он принимает для того чтобы определить пароль.

20 июня 2011, 1:59:56 PM	# 11
звездное гринвичское время Сообщений: 38 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: freetx 20 июня 2011, 12:51:34 PM Это хорошие советы, однако, я думаю, что нам нужны «лучшие практики» для веб-разработчиков. Я бы сказал: Использование SHA512 - не MD5 для хэшей Солевые пароли, по крайней мере 20 символов - НЕ ХРАНИТЬ СОЛЬ С хэши Не хранить адреса электронной почты в виде обычного текста, хранить в зашифрованном виде Используйте параметризированный вход для SQL, чтобы избежать атак SQL-инъекции Используйте форму маркер для предотвращения CSRF атак Использование SHA512 вместо MD5 ничего не изменит. Если это возможно, я бы предложил использовать Scrypt (http://www.tarsnap.com/scrypt.html). Если нет доступной реализации Scrypt для языка вашей помощи использования Bcrypt (http://en.wikipedia.org/wiki/Bcrypt).

20 июня 2011, 2:06:32 PM	# 12
Foo Сообщения: 409 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: Vladimir от 20 июня 2011, 12:42:24 PM 2. Если вы забыли свой пароль, это, вероятно, слаб. Это на самом деле это не так, хотя можно было бы думать так. Смотрите новый Reasearch Стива Гибсона: https://www.grc.com/haystack.htm

20 июня 2011, 2:22:25 PM	# 13
Владимир Сообщения: 812 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: обув от 20 июня 2011 года, 2:06:32 PM Цитата: Vladimir от 20 июня 2011, 12:42:24 PM 2. Если вы забыли свой пароль, это, вероятно, слаб. Это на самом деле это не так, хотя можно было бы думать так. Смотрите новый Reasearch Стива Гибсона: https://www.grc.com/haystack.htm "исследование"? Это больше похоже на очень слабой и наивной претензии. Старик, кажется, становится путь позади кривой. При всем уважении, Стив Гибсон и его милой идею легко запомнить пароли, я буду вынужден не согласиться с ним по этому поводу. Он утверждает, что «D0g .....................» сильнее, чем пароль «PrXyc.N (n4k77 # L! EVdAfp9». Он должен знать лучше. Это может быть случай, когда глупая грубая сила используется, но в эти дни злоумышленники используют много гораздо более эффективные способы, чтобы уменьшить пространство ключей, чем просто перебирает все перестановки, так как Стив, кажется, верит. К ним относятся перестановки слов словаря с общими заменами букв по номерам с различными прописными / строчными буквами сценариев в сочетании с наборами одинаковых символов повторяющихся, а также других методами снижения пространства ключей, подражая различные шаблоны, которые люди используют для создания паролей они могут вспомнить. Эти методы часто уменьшают пространство ключей на много порядков.

20 июня 2011, 2:30:24 PM	# 14
dukejer Сообщений: 42 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Вот то, что я использую, чтобы держать мои пароли в безопасном месте. 1) KeyPass и KeypassX: У меня есть это на моих системах Windows, Linux систем и мой Android телефон. База данных может быть синхронизирован и используется всеми операционными системами 3. 2) Каждый сайт я посещаю имеет случайно сгенерированный пароль, используя максимальное количество знаков и символов сайта позволит мне использовать. 3) Мастер-пароли, которые я использую для баз данных являются местом в мире, и я запоминаю широту и долготу, чтобы создать свой мастер-пароль. Я использую Google карты, чтобы найти широту и долготу, и я не кликайте на самом видном месте на месте. Например: Если я хочу использовать Эйфелеву башню мой пароль на 48.8583N, 02.2945E мой пароль будет похож на это. Я никогда не заглавной буквы, но какое-то письмо в середине. Я также заменить некоторые буквы с Leet говорить. Теперь, если мне нужен мой пароль, прежде чем я его запомнить, я могу только думать Эйфелевой башни, а затем использовать это, чтобы запомнить мои мастер-пароли. 3iff3lt0W3r488583N022945E GRC ставка указанному выше пароль 2,09 триллионов триллионов столетий сломаться. -Dukejer

20 июня 2011, 2:49:33 PM	# 15
fergalish Сообщения: 440 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: обув от 20 июня 2011 года, 2:06:32 PM Это на самом деле это не так, хотя можно было бы думать так. Смотрите новый Reasearch Стива Гибсона: https://www.grc.com/haystack.htm Эта страница содержит серьезный недостаток. Вполне может быть, правда, что набивка увеличивает силу вашего пароля, но если злоумышленник Трещина один из ваших паролей, он будет знать, что набивка использовать для других паролей.

20 июня 2011, 2:57:31 PM	# 16
BinaryMage Сообщения: 560 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Независимо от того, насколько сложным ваш пароль, он все еще не может быть легко взломан, если злоумышленники получают доступ к базе данных. Гораздо более безопасным способом входа, что я хочу больше сайтов будут осуществить это процесс проверки два шага в Gmail, где необходимо ввести пароль а также введите проверочный код, отправленный на ваш телефон, чтобы войти в систему. Я думаю, что время, когда сложный пароль, который был бы невозможен перебором быть достаточно прошел. Более новые, процессы верификации многоступенчатых необходимы. Может быть, MtGox может рассмотреть вопрос об осуществлении что-то подобное. Было бы уверен, чтобы их пользователи чувствуют себя безопаснее.

20 июня 2011, 4:28:57 PM	# 17
MikesMechanix Сообщений: 70 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Один из способов построить несколько легко запоминающийся длинный пароль, чтобы думать о песни, поэмы или сконвертировано, которые вы могли бы вспомнить во сне, а затем применить некоторый алгоритм на словах. В качестве примера, возьмите три первые буквы каждого слова из первой строки Paranoid: Плавникбедных и обнищавших слоев остроумиечас мой Wom «саиспользование она Коуldn't высокоэнергетический лазерп меня остроумиечас мой минd Затем выбрать несколько символов, чтобы разграничить буквы и, возможно, начать или закончить пароль. Придумайте какое-нибудь правило, с помощью которого вы делаете некоторые из букв в верхнем регистре. Например: 3Fin.wIt.my.Wom.'Ca.she.Cou.hEl.me.Wit.mY.min% Это 46 символов довольно легко запоминается. Половина этого будет достаточно, а на самом деле 3 буквы могут быть немного больше, так как я закончил с парой слов из словаря в там. (Вы хотите пространство поиска перебором большим: использовать 1 или более символов из каждой группы:. Прописные, в нижнем регистре, цифры, символы)

20 июня 2011, 4:42:13 PM	# 18
MikesMechanix Сообщений: 70 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: BinaryMage от 20 июня 2011 года, 2:57:31 PM Независимо от того, насколько сложным ваш пароль, он все еще не может быть легко взломан, если злоумышленники получают доступ к базе данных. Это неправда. Правильно хэшируются сильный пароль будет принимать миллионы триллионов триллионов триллионов триллионов триллионов веков сломать даже с самым нелепым хеширования кластером вы можете себе представить. Смотрите ссылку в пост Foo в выше. Даже схема крипты Unix MD5 является очень сильной до тех пор, пока вы остаетесь далеко от словарных слов и убедитесь, "пространство поиска" достаточно велик. Кроме того, когда злоумышленник получил доступ к базе данных, игра в значительной степени более, и пароли только приятный бонус ...

20 июня 2011, 11:39:18 PM	# 19
BinaryMage Сообщения: 560 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Цитата: MikesMechanix от 20 июня 2011 года, 4:42:13 PM Это неправда. Правильно хэшируются сильный пароль будет принимать миллионы триллионов триллионов триллионов триллионов триллионов веков сломать даже с самым нелепым хеширования кластером вы можете себе представить. Смотрите ссылку в пост Foo в выше. Даже схема крипты Unix MD5 является очень сильной до тех пор, пока вы остаетесь далеко от словарных слов и убедитесь, "пространство поиска" достаточно велик. Кроме того, когда злоумышленник получил доступ к базе данных, игра в значительной степени более, и пароли только приятный бонус ... Я исправлюсь. Тем не менее, как вы говорите после того, как база данных взломана, вы ввинчивается в любом случае.

21 июня 2011, 12:00:17 AM	# 20
явлений Сообщений: 35 Цитировать по имени цитировать ответ	Re: 7 простых правил, чтобы смягчить большинство угроз, связанных с паролями Кто-нибудь использовать PasswordMaker? https://addons.mozilla.org/en-us/firefox/addon/passwordmaker/ Я имею в виду с помощью этой системы.

Заголовок