В ночные сборки (https://nightly.mozilla.org/) Firefox, на базе которых 3 сентября будет сформирован релиз Firefox 69, добавлена (https://bugzilla.mozilla.org/show_bug.cgi?id=1548387) реализация генератора паролей, для включения которой в about:config необходимо установить параметр "signon.generation.available". После активации в разделе управления паролями в конфигураторе, помимо опции для включения запроса на сохранение паролей, появится опция, позволяющая при заполнении форм регистрации выводить подсказку со сгенерированным автоматически надёжным паролем.
Подсказка пока выводится только для полей с атрибутом "autocomplete = new-password", но в дальнейшем рассматривается (https://bugzilla.mozilla.org/show_bug.cgi?id=1548391) возможность её вывода и для других полей с паролями, например, через добавление вызова генератора паролей через контекстное меню.
Из других улучшений, развиваемых в процессе разработки Firefox 69,
отмечается (https://techdows.com/2019/06/firefox-69-allows-to-block-both...) расширение возможности блокировки авоспроизводилисьвтоматического воспроизведения мультимедийного контента. Помимо ранее добавленной функции приглушения звука в автоматически воспроизводимом видео реализована (https://bugzilla.mozilla.org/show_bug.cgi?id=1543812) возможность полной остановки воспроизведения видео, не ограничиваясь отключением звука. Например, если раньше рекламные видеоролики на сайтах показывались, но без звука, то в новом режиме, они без явного клика даже не начнут воспроизведение.Для включения режима в настройки автовоспроизведения (Options > Privacy and Security > Permissions > Autoplay) добавлен новый пункт "Block audio and video", который дополнил собой выставляемый по умолчанию режим "Block audio".
Режим может быть выбран в привязке к конкретным сайтам через контекстное меню, выводимое при клике на кнопку "(i)" в адресной строке.
URL: https://www.soeren-hentzschel.at/firefox/passwort-generator-.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50891
Народ, отпишитесь, кто не в состоянии пароль себе придумать? Хочется узнать, сколько таких людей здесь, например?
Я не придумываю пароли. У меня ласспасв старается.
Есть люди, вроде меня, которым просто не упало выдумывать длинные пароли, да ещё и состоящие из букв разного регистра, цифр и спецсимволов. Кто-то использует для генерации, например, /dev/urandom, кто-то — встроенные генераторы из менеджеров паролей, кто-то какие-то иные способы.
Гораздо интереснее, кто себе пароли придумывает, зачем он так делает, и что это за пароли такие.
— Стой! Скажи пароль!
— Пароль!
— Проходи!
Мой пароль всего одна emoji
> emojiКстати, я проверяю, и к сожалению многие не поддерживают ввод паролей в качестве Emoji.
Хотя тема гениальная, это такое многообразие 👍
Жаль что модификаторы (волосы, цвет кожи, пол...) только к людям 😒
>Жаль что модификаторы (волосы, цвет кожи, пол...) только к людям 😒Это понифашизм! 😱
А, так вот для кого все эти бесконечные сервисы восстановления забытых паролей прикручены везде!
И для кого же?
Так быстрее )
pwgen -s 16 1
> pwgen -s 16 1
$ pwgen -s 16 1
bash: pwgen: команда не найдена
$ tr -cd [:alnum:] </dev/urandom | fold -w 15 | head
BMlrxBh7pXkd9zJ
xLPxLhs6NKuc2IX
u666iI93TNnDZjw
OtJPZkkUssLlQgS
HwlgrcvIR3pLJPr
YiCCSsSb4XUmmYi
LNNVhYvaJl48wvk
TixSo9SGOsuWquW
LP65jjZLxzVN2Wh
5qotRmDRrXGOB8I
$ _(c)пасибо dq0s4y71, http://www.opennet.me/openforum/vsluhforumID3/101457.html#182
[///] Танцуют все! http://www.opennet.me/openforum/vsluhforumID3/111714.html#19...'s/printf/& --/
> [///] Танцуют все! http://www.opennet.me/openforum/vsluhforumID3/111714.html#19
> += 's/printf/& --/'Да, блин... столица Ирландии. //учкудук, два пробела http://www.opennet.me/openforum/vsluhforumID4/416.html#5
# ёлка-brick, 316, Aug 25 2017, b3b51fa6a785e8d67e56638843fb457d25e2a709
#!/bin/bashif read -t 0 && read mm && mm=`type -p ${mm}sum`|| mm=sha224; then
mm="${mm}sum"
watch -d -n1 "bash -c 'S=\"\$(date +%s|${mm})\";M=;L=25;while let L-- && [ \"\$S\" ];do M=\"\${S:0:1}\";S=\"\${S:1}\";printf \"- \" \$L;${mm} <<<\"\$S\$M\";done'"
else
echo 'md5, sha1, 224, 256, 512??...'
fi
function passgen()
{
$s = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$l = strlen($s)-1;
for($p='',$n=16; $n>0; --$n)
$p .= $s[random_int(0,$l)];
return $p;
}
<?=passgen()?>
Да хоть вот так, смысл не меняется. :-)
echo "пароль для opennet.ru" | sha512sum
8)
> echo "пароль для opennet.ru" | sha512sum
> 8)128 16-ричных цифр?
>> echo "пароль для opennet.ru" | sha512sum
>> 8)
> 128 16-ричных цифр?Это был прикол вообще то. ;)
Надёжного машынного генератора не существует.
> echo "пароль для opennet.ru" | sha512sum
> 8)~/.bash_history не забудь спрятать получше:
$ echo -n 'Введи мой секретный парол: '; head -1|sha512sum
Введи мой секретный парол: 12345
f2dc0119c9dac46f49d3b7d0be1f61adf7619b770ff076fb11a2f61ff3fcba6b68d224588c4983670da31b33b4efabd448e38a2fda508622cc33ff8304ddf49c -
$ history |tail -2
3382 echo -n 'Введи мой секретный парол: '; head -1|sha512sum
3383 history |tail -2
$ _
Ты потерял еще ключи -y и -B
> Ты потерял еще ключи -y и -BНет не терял.
1 Использовать -y и -B одновременно это большая глупость, так как они взаимно нейтрализуют приемущества друг-друга.
2 -B не нужен, так как снижает стойкость, а пользователь всё равно будет копипастить пароль.
3 -y использовать не желательно, так как может попасться символ который помешает нормально скопипастить или сделает не возможным набор с клавиатуры. (Я знаю лично людей которые не знают как с гей-фона ввести _ , так что это не выдумки!)
[Reflection.Assembly]::LoadWithPartialName("System.Web")
[System.Web.Security.Membership]::GeneratePassword(12, 3)7o(g!}wM;i7?m@r;Ss
18, 4
○ % apg -a 0 -m 16 -t; apg -a 1 -m 10 -t ; openssl rand -hex 6 ; openssl rand -hex 4
DegOcNagrytGodJu (Deg-Oc-Na-gryt-God-Ju)
yakeenVolCipObNo (yak-een-Vol-Cip-Ob-No)
wigUvegitViwiOl8 (wig-Uv-eg-it-Vi-wi-Ol-EIGHT)
LebakEyGlyrumcac (Leb-ak-Ey-Gly-rum-cac)
KoudRingiab1gres (Koud-Rin-giab-ONE-gres)
Wodlotsyialeiros (Wod-lots-yial-eir-os)
6HI2n.4ifw
.Tl]DKuO1a
.1i_.OomSP
awjU)u;mv@
gJ_lefl$1)
]lGZqp\:BI
755c5284fdd2
c69503b6
Я в состоянии придумать себе пароль. Но последние лет десять мне лень было придумывать, и я пользовался генератором паролей, так что может быть и разучился придумывать самостоятельно.
> Я в состоянии придумать
>и я пользовался генератором паролей, так что может быть
> и разучился придумывать самостоятельно.Безопасники учат нас, что в придумывании паролей таки _думалка_ -- главная уязвимость. Белковые, вишь ты, исключительно плохо (=не случайно, предсказуемо и пр.) придумывают "случайные" пароли....
Но всё это не интересно и такой "прошлый век"...
| 1 | password | 123456 | 123456 | 123456 |
| 2 | 123456 | password | password | password |
| 3 | 12345678 | 12345 | 12345678 | 123456789 |
| 4 | qwerty | 12345678 | qwerty | 12345678 |
| 5 | abc123 | football | 12345 | 12345 |
| 6 | monkey | qwerty | 123456789 | 111111 |
| 7 | 1234567 | 1234567890 | letmein | 1234567 |
| 8 | letmein | 1234567 | 1234567 | sunshine |
| 9 | trustno1 | princess | football | qwerty |
| 10 | dragon | 1234 | iloveyou | iloveyou |- https://en.wikipedia.org/wiki/List_of_the_most_common_passwo...
Зачем что-то придумывать самому? Есть BitWarden, который мне их генерирует, а в консоли есть pwgen.
После генерации strong пароля, он проверяется на сайтах, с утекшими базами паролей (что уже встроенно в mozilla), чтобы таким образом гарантировать уникальность созданного сложного пароля?
Или чтобы гарантировать, что запрос пароля в базе данных сам собой поставит под вопрос целесообразность использования пароля, раз он был передан третьим лицам?
При проверке пароль не передаётся, отправляется лишь _несколько_байт_ от его хэша, после чего сервис возвращает полные хэши всех частичных совпадений и клиент уже на своей стороне сверяет полный хэш.
> После генерации strong пароля, он проверяется на сайтах, с утекшими базами паролейпока нет, эта фича в процессе разработки. в настоящий момент он просто отправляется вместе с остальной телеметрией для ручной проверки разработчиками на уязвимости (вдруг генератор неправильный и генерит неправильные пароли! Мы же должны это иметь возможность проверить!) - заодно они его и по базе пробьют.
Там проверяется логин, а не пароль. Ни один подобный сайт никогда не спрашивает пароль, если он не мошеннический.
Кажется у вас сбоит /dev/humordetect, обновите прошивку.
Я думаю, что детектор сбит у того, кто шутит такие шутки. Шутка иногда выглядит как глупость, но не любая глупость -- шутка.
Ну вот и капец безопасности. Это же сколько одинаковых паролей нагенерит такой генератор?И + (скорее -) к этому: у взломщика будут те же нагенерённые пароли.
Ты ведь знаешь, что такое случайные числа, да? Скажи, что это неумелый троллинг?
Гуманитарий с богатым внутренним миром?
Это зависит от конкретной реализации этого генератора.
Сайты сами должны генерировать надёжные пароли и отправлять их регистрируемому пользователю на мыло! ИМХО!
Харвестеры гугля, яндекса и мейлру радостно приветствуют вас.
> ХарвестерыПричём тут Dune2?
> гугля, яндекса и мейлру
Это дело каждого пользователя кому доверять свою почту, и генератор параля встроенный в браузер им ничем не поможет!
Просто Mozilla делает то, до чего другие никогда бы даже не дотрагивались бы по серьёзке. Проблема людей в том, что им впарили придумывать пароли вроде 72kind3r1971. Понятно, насколько они надежны. Мазиза _массово_ внедряед фичу создания сложных паролей, которые сложны именно для машинного перебора. Пользователю далеко по-барабану до юниксвея, когда пароль у тебя генерится из /dev/urandom.
Короче нормальная фишка, главное продолжать поддержку этой штуки и сделать возможность замены этого самого генератора, так, чисто на всякий пожарный случай
Я прекрасно понимаю зачем это делает Мозилла, но она не решает проблему!
Это проблема говно-сайтов, которые, вместо генерации надёжных паролей, перекладывают это на пользователей!
> Я прекрасно понимаю зачем это делает Мозилла, но она не решает проблему!Почему "не решает"? Пароль сгенерирован? Сгенерирован. Причём открытым генератором, в код которого заглянет сотня человек и найдёт все очевидные косяки, а не каким-нибудь сляпанным васяном на коленке генератором, который нечаянно генерит предсказуемые пароли.
> отправлять их регистрируемому пользователю на мыло! ИМХО!
Это же менее удобно. Ну то есть, во-первых, при таком раскладе мы дадим гуглу возможность снифать пароли. Он конечно же никогда-никогда до такого не опуститься, точно-точно. Но основной принцип безопасности -- ограничивать распространение информации и выдавать ровно столько информации, сколько необходимо. Гуглу не нужно знать пароль, чтобы сделать авторизацию на сайте? Значит от гугла этот пароль надо скрывать.
Но, во-вторых, отправлять пароль на почту, это значит что пользователю потом этот пароль из почты надо будет копировать и засовывать в менагер паролей. Лишние телодвижения. Здесь же эти телодвижения снимаются посредством автоматизации.
То есть, подход Мозиллы решает проблему! ИМХО!
Пароли большинству вообще не нужны.* Можно отправить одноразовую ссылку для входа на почту.
* Можно использовать мобильник. Смс или программу с ключами.
* Всякие openID
* и т.д. и т.п.Все эти пароли прошлый век. Самое просто решение, потому самое массовое.
double facepalm (Riker and Picard).jpeg
> Пароли большинству вообще не нужны.честному человеку вообще нечего скрывать, да
> * Можно отправить одноразовую ссылку для входа на почту.
я не хочу светить свою почту одноразовому сайту
> * Можно использовать мобильник.
новая таджик-симка стоит мне уже 250 рублей (нет, я не собираюсь светить васян-сайту какую-то другую)
> * Всякие openID
я не хочу светить свой openid. не говоря уже об отсутствии оснований доверять чужим сайтам, таковой предоставляющим.
btw, наколеночный openid сервер внезапно не так просто собрать. (было, я лет десять не пробовал уже) Разумеется, он будет на "надежном" и "безопастном" php.
> Все эти пароли прошлый век.
да, в этом веке принято жить в доме со стеклянными стенами.
Одно только не понятно, нафига ты светишь свой пароль/логин/email/ip на опеннете. Ты так безоговорочно доверяешь этому сайту? А по стилю коментариев и ошибкам любой гугл идентифицирует тебя в любом уголке инета. И рептилоиды придут за тобой...
> Одно только не понятно, нафига ты светишь свой пароль/логин/email/ip на опеннете.околовладельцы опеннета и так знают, кто я.
гугль - примерно (очень примерно, ибо специально накормлен дерьмом) - догадывается. К счастью, он успешно прое..имел базу, где можно было все вплоть до домашнего телефона найти, и восстановлению она вряд ли подлежит, они очень старались все испортить.
т.е. если захочется ляпнуть что-нибудь совсем уж антигосударственное - мне достаточно сменить ip и запустить б-жественного йожа, как все.
пароля у меня тут нет, email'а нет, и вообще ничего кроме ip - нет. Именно потому, что они ненужно.
>гугль - примерно (очень примерно, ибо специально накормлен дерьмом) - догадывается.Дайка угадаю, ты говоришь про очередной хипстерский AdNauseam? Тот самый которые позволяет гуглю и прочим Curse зарабатывать ещё больше?
> Пароли большинству вообще не нужны.Что значит не нужны, когда нужны? Сайт запрашивает пароль, и как ты мне предложишь обойтись без пароля?
> * Можно отправить одноразовую ссылку для входа на почту.
То есть отправлять пользователя с сайта в почту, чтобы он потом вернулся обратно. UX на грани фантастики.
> * Можно использовать мобильник. Смс или программу с ключами.
UX ещё "лучше", теперь чтобы войти на сайт мне надо найти мобильник. И у меня на это три минуты, потому что через три минуты срок действия пароля истечёт. Да ещё и номер телефона этому сайту раскрывать придётся.
> * Всякие openID
Это те, которые централизованно получают возможность отслеживать куда и когда я вхожу?
> Все эти пароли прошлый век. Самое просто решение, потому самое массовое.
Даже если это и так, то это проблема не под контролем мозиллы. Гравитация вот меня тоже достала, она постоянно тянет меня к земле, и с десятого этажа приходится спускаться на лифте, вместо того, чтобы сойти вниз по стене дома. Но гравитация не подконтрольна инженерам, поэтому те проектируют лифты да эскалаторы, вместо переписывания законов гравитации.
> * Можно использовать мобильник. СмсА потом левый чувак берёт в салоне у вовремя замотивированного сотрудника дубликат вашей симки и привет.
1 Пароль, как и ключ, это ответственное дело, и мозила в этом плане, ни чем не лучше гугла.
2 Я уже писал ранее, что если Вы используете Гмыло, это не значит что его используют все. А если пользователь его использует и доверяет ему - то это его личное дело и выбор, так как он ему доверяет!
3 То есть Вы даже не хотите использовать менеджер хранения паролей в браузере?
Это как, сгенироировал, забыл, попросил через мыло ссылку на генерацию нового пароля, сгенирировал, забыл...
Отлично просто!
3-й вариант идеален. Особенно если хватает ума сделать так чтобы второй раз генерировать не потребуется. Ну разве что одна генерация на одно устройство.
> 1 Пароль, как и ключ, это ответственное дело, и мозила в этом
> плане, ни чем не лучше гугла.Лучше, ей больше доверия. Гугл ловили на том, что он в почту смотрит, мозилу -- нет.
> 2 Я уже писал ранее, что если Вы используете Гмыло, это не
> значит что его используют все. А если пользователь его использует и
> доверяет ему - то это его личное дело и выбор, так
> как он ему доверяет!Гмыло использует большинство. А этот технарский антигуманистический подход, мол, софт такой какой есть, и пускай люди сами с ним справляются -- ну это технарский подход. Именно поэтому технарей не пускают рисовать GUI.
> 3 То есть Вы даже не хотите использовать менеджер хранения паролей в
> браузере?Хочу. Использую.
>Причём открытым генератором, в код которого заглянет сотня человек и найдёт все очевидные косякиКак мы могли забыть про миллиарды глаз, которые еженаносекундо проверяют любой открытый софт
Много поназаглядывали?
А что ж 0-day уязвимость не нашли?
>>Причём открытым генератором, в код которого заглянет сотня человек и найдёт все очевидные косяки
> Как мы могли забыть про миллиарды глаз, которые еженаносекундо проверяют любой открытый
> софт
> Много поназаглядывали?
> А что ж 0-day уязвимость не нашли?Мне вот интересно, что вынуждает людей обсуждать одни и те же темы тысячи раз? Ну вот смотри, ты, судя по используемой лексике, знаком с этими обсуждениями, ты в результате сформировал какое-то своё мнение. Зачем ты снова пытаешься инициировать это обсуждение? У тебя есть основания что что-то может вынудить тебя изменить своё мнение? Или ты просто так, из-за нехватки общения берёшь безопасную тему, с которой ты знаком, развитие которой предсказуемо и поэтому не вызывает зашкаливающей тревожности? Но этот второй вариант наводит за соображения, что тебе лучше к психотерапевту обратиться, какой-нибудь там когнитивно-бихевиоральной ориентации -- они очень хорошо умеют справляться со страхами и тревогами.
>> Харвестеры
>Причём тут Dune2?Мда..
На почти 100 процентах сайтов, где есть регистрация, она нафиг не нужна.
> На почти 100 процентах сайтов, где есть регистрация, она нафиг не нужна.А кто заставляет Вас регистрироваться на сайтах, где, по Вашему мнению, регистрация не нужна!
P.S. На OpenNET-е Вы же зарегистрированы, хотя это один из немногих сайтов на которых регистрация не обязательна!
>А кто заставляетНикто не заставляет. А что?
> На OpenNET-е Вы же зарегистрированы, хотя это один из немногих сайтов на которых регистрация не обязательна!Ну так бывают темы, когда пишут - только для зарегистрированных и всё тут.
Особенно это ценно для гугла и других почтовых сервисов. которые думаю что в автоматическом режиме собирают базу данных паролей из чтения вашей почты.
Одноразовые ссылки на вход спасут.
Вместо генерации киллометровых паролей сайты могут короткие одноразовые кодики ограниченные по времени
Ни разу не слышал?
И если не хочется получать их по смс или почте можно генерировать их на устройстве зная изачальное число дату создания и текущую дату...
> Вместо генерации киллометровых паролей8-16 это километровые?
> сайты могут короткие одноразовые кодикиКороткие это по-вашему 1234, которые можно на раз два перебирать постоянно, и таки попасть, и такие воспользоваться им даже раньше Вас?
Садитесь ДВА!
> Ни разу не слышал?Да, такого бреда я ещё не слышал!
> И если не хочется получать их по смсОчень не хочется платить минимум 2 рубля за отправку каждого СМС, в лучшем случае
> или почте можно ...кому угодно
> генерировать их на устройстве зная изачальное число дату создания и текущую дату...
С целью улучшения качества ПО, все сгенерированные пароли отсылаются на наш сервер.
Все участники сгенерированных паролей автоматически проверяются с таким же участниками сгенерированных паролей, чтобы гарантировать безопасную генерацию уникальных паролей с помощью данного генератора.
Использую генератор в самом топовом и лучше менеджере паролей - KeePassXC!!!
Главное не забывать что в браузере хрен пойми чёА это от меня вам посхалка, просвещайте русские
Для генераций пароля не используйте pwdhash by stanford
Используйте PwdHash by Cambridge
Объяснение во втором абзаце https://github.com/quassy/pwdhash#pwdhash-sidebar и https://security.stackexchange.com/questions/52355/how-secur...
> добавлена реализация генератора паролей, для включения которойДелаю скрин вкладки с сайтом и использую как пароль контрольную сумму картинки. Обычно MD5 или SHA1, а если надо спараноить то SHA256, как надо поменять пароль то новый скрин и сохранение его в тайничке, пока хватает такого...
Есть специальные хэши для паролей, которые требуют либо много памяти для перебора, либо много циклов. Шашки вроде достаточно быстро считаются, не говоря уже про md5, который создан для быстрого создания хэшей
Для надёжности к контрольной сумме ещё и добавки вставляются, она используется лишь как удобная напоминалка-хранитель, а выданное генератором паролей записывать/сохранять приходится, всякими странными менеджерами паролей пользоваться, зачем усложнять сущности? Причём, про контрольную сумму, да ещё какую именно использовал, не всякий додумается.
Сложные пароли - иллюзия безопасности
>Помимо ранее добавленной функции приглушения звука в автоматически воспроизводимом видео реализована возможность полной остановки воспроизведения видео, не ограничиваясь отключением звука.Охренеть, как это удобно (нет). Спасибо Файрфоксу за наше счастливое детсво. Что приходится первым делом идти отключать эту киллерфичу, чтобы нормально пользоваться браузером.
Вопрос: разве длинный пароль, состоящий, например, из нескольких простых слов подряд не будет надёжнее более короткого, в котором присутствуют буквы двух регистров, цифры и специальный символ?
Будут только никому об этом не говори, а то понаставят длинных паролей а ты сиди их подбирай.
будет, но я уже выделил под пароль статический буфер в двенадцать (мне сказали что это очень секьюрно!) символов.Но уже запилил проверку, чтобы в нем непременно были буквы, цифры, $!@$@%^ и парочка эмодзи. Как ты будешь это запоминать (да и набирать) - моего менеджера не колебет, а таск я закрыл вовремя.
Это сложный вопрос. Комикс на xkcd[1] не совсем понятным образом считает энтропию, он полагает что четыре слова -- это 44 бита энтропии, то есть 11 бит на слово. Я предположу, что он исходит из того, что средний словарный запас человека ~2k слов, и вхождение любого из этих слов в пароль равновероятно. Но, во-первых, не равновероятно (что снизит энтропию), а, во-вторых, даже если каждый человек знает 2000 слов, то разные люди знают разные 2000 слов (что повысит энтропию). В качестве грубой оценки энтропии 44 бита пойдёт, но я не удивлюсь, если будет возможно построить предсказательную модель, которая не насчитает в таком пароле и 30 бит. Но ведь мало того, сейчас пароли часто перебирают по базам, подбирая в первую очередь самые слабые, скажем по словарю, но если мы возьмём 1M паролей из четырёх слов, словарик из, допустим, 256 самых частоиспользуемых слов, сгенерим хеши для 256^4 паролей, а потом поищем эти хеши среди 1M паролей из базы, то сколько хешей совпадёт? 50%? 10%? 1%?На такой вопрос о силе пароля из нескольких слов невозможно ответить, не зная как люди подбирают слова. Но если люди выбирают слова из головы, полагаясь на случайность протекаемых в их психике процессов, то есть основания полагать, что такой длинный пароль не будет содержать особо много энтропии. Впрочем, для проверки этой гипотезы надо набрать несколько сотен человек и попросить их придумать по нескольку случайных слов, а потом посмотреть на результаты. Если не удастся построить хорошую предсказательную модель для таких результатов, то можно будет осторожно сделать осторожный вывод, что человек может сгенерить хороший пароль (осторожный, потому что если в пароле энтропии больше 10 бит, то а) сотни паролей может оказаться недостаточно, для того, чтобы подметить закономерности, затем б) возможна ведь ситуации "не каждому дано" генерить хороший пароль, и её тоже надо учесть и попытаться оценить как много тех, кому не дано, и наконец, в) если мы не заметили закономерности, то это может у нас интеллекта или терпения не хватило заметить). Но даже если человек может генерить хорошие пароли, останется висеть в воздухе вопрос: а будет ли человек пользоваться своей способностью и генерить хорошие пароли? Ведь сгенерировать плохой гораздо быстрее и проще. Одно дело, когда пароль генерит участник эксперимента, который добровольно зажёгся энтузиазмом и которого мы (для чистоты эксперимента) прямо и недвусмысленно попросили хорошенько постараться придумать самые непредсказуемые слова, и другое дело, когда пароль генерит пользователь, которому не терпиться получить доступ к ресурсу, но для этого ему надо придумать пароль.
Короче: я не полагаюсь на свои способности придумывать рандомные слова. Я это использую в качестве фоллбека иногда, когда мне не добраться до моего генератора паролей, но с гораздо большей готовностью я полагаюсь на генератор паролей, который выуживает сколько-то там бит энтропии из /dev/(u?)random, и на основании этого генерит пароль. Я не помню сколько именно бит он берёт из /dev/random, и пользуется ли он девайсом random или urandom, но я помню, что я втыкал в код растового крейта rand, с тем чтобы выяснить это, и я помню, что ответ меня удовлетворил. А вот заглянуть в код моей психики и посмотреть как она генерит (псевдо)случайные слова я не могу, и поэтому она меня не устраивает в качестве генератора случайных слов для паролей.
Откуда атакующий будет знать какой алгоритм ты использовал? Он в лучшем случае пройдется по словарю слабых паролей и всё. И пройдется перебором по коротким паролям. Добавь любой спецсимвол и твою фразу никто уже не переберет.
> Откуда атакующий будет знать какой алгоритм ты использовал? Он в лучшем случае
> пройдется по словарю слабых паролей и всё. И пройдется перебором по
> коротким паролям. Добавь любой спецсимвол и твою фразу никто уже не
> переберет.Добавление спецсимвола действительно может добавить несколько бит энтропии. Но добавление спецсимволов это шаг обратно к сложнозапоминаемым паролям вида _OtKI0;RRjmN. Может не стоит вообще тогда заморачиваться на слова?
Почему же? Можно, например, такой использовать: vse_menya_celuyut*v*zad!
> Почему же? Можно, например, такой использовать: vse_menya_celuyut*v*zad!celuyut v zad -- это расхожее выражение, которое можно включить в словарь всё целиком, вместе со всеми возможными вариациями: записано кириллицей/транслитом, используемый разделитель между словами (или отсутствие его), разные возможные модификации в рамках грамматики (он/она/они/..., времена, числа, лица). Сколько тут бит, с точки зрения взломщика оценить сложно, поскольку это зависит от его модели для пароля, того правила которое он использует для генерации паролей.
vse и menya -- это местоимения, которые в тексте вообще очень часто попадаются, которые тоже по-любому будут в словаре.
И тут встаёт вопрос: ты готов под каждый сайт запоминать новый пароль такого вида? Ты уверен, что не запутаешься во всех этих различных последовательностях различных разделителей? Замучаешься ведь подбирать, если забудешь.
Тут понимаешь какая фишка. Словарный перебор он словарный, есть какое-то правило генерации словаря, и до тех пор пока твой пароль не правильный, с точки зрения этого правила, ты в безопасности. И в принципе, нет никаких проблем, придумать что-нибудь эдакое. Но как только ты начинаешь рассказывать всем про своё правило генерации пароля, как сразу возникает шанс, что кто-нибудь это правило инкорпорирует в своё правило генерации паролей для словаря.
Рассказывать не обязательно: если твоё правило не уникально и используется достаточно широкой группой людей, то рано или поздно кто-нибудь обратит внимание на такие пароли, увидит правило и тут дело закончится. Это security through obscurity. Это работает, пока никому до тебя дела нет.
Когда у меня пароль содержит 72+ бита энтропии, потому что это 12 символов выбранных случайным образом из набора размером 64+ символа (6+ бит), то это 72+ честных бита энтропии. Когда же ты пользуешься правилами, то всё упирается в целесообразность для взломщика учитывать твои правила.
Ждём в скором новость:
"Слиты сгенерированные пароли пользователей Firefox"
Пароли длиные предложения гораздо проще запомнить и сложнее подобрать.
Лучше бы свой генератор позволили прикрутить
Лучше бы что-нибудь сделали с этим адским диалоговым окном для ввода мастер-пароля! Уже 2 раза писал им, чтоб поглядели как удобно сделано в яндекс браузере.
Я бы на их месте за слово яндекс на три буквы послал.
Уверен что они адекватные. В яндекс браузере работа с мастер-паролем сделана очень удобно.
Они же пытались новый менеджер паролей делать... потом его на андройд утащили как отдельное приложение
> в новом режиме, они без явного клика даже не начнут воспроизведениеНу, слава йайтцы! Дождались!
Хотя, лучше было бы таких уеб-дезигнеров на фонарях вешать, но сцк, до всех не дотянешьсыя...
Дык вроде уже есть, правда для всех без разбора
media.autoplay.default;1
media.autoplay.allow-muted;false
в соседней новости cloudflare генератор сделал, можно туда обращаться если пароль забыл и ключницу с собой таскать не надо.
Пусть они тебе еще и пароль сохраняют.
А ты думал это в Мозилле что ли таких умных держат?
Конечно же это всё идёт с подачи подобных "корпораций добра"