Google Passwords, Apple связка ключей - это конечная криптография, в которой сервисы только занят данные, но не имеют к ним доступ. Яблоко так хранит любые документы в iCloud даже уголок несколько лет как. Да просто образ dmg, зашифрованный aes256.
Ну или швабодный Keepass.
Иных буквально нет сейчас.
Ну или швабодный Keepass.
Иных буквально нет сейчас.
Я НЕ ВЕРЮ В СЕРВИСЫ
Чужой умеет читать?
Детерминированный генератор паролей на основе мастер-токена.
Ты запоминаешь только один сильный мастер-токен (длинную passphrase), а пароль для каждого сайта генерируется по формуле:
хеш(функция(домен,тебе известный токен))
Конкретно:
хеш - SHA256 |> base64
password = Base64(HMAC-SHA256(мастер-токен, "gmail.com"))
Понил?
Или попроще:
2ch.org:$pa$$word
gmail.com:$pa$$word
Тебе надо найти что-то между єтих двух крайностей
>Понил
нет, сложное что-то
Вопрос интересный, но...
> 100+ сайтов)
ты ебанутый? у нормального человека отсилы 10-15 важных сайтов. На остальную срань с головой хватит генерации и хранилища паролей в браузере.
> Можно не боясь расшифровки файл с паролями показывать чужому.
ты ж в голове собрался их держать, какой файл с паролями?
Имеем домен - двач, и твою мастер фразу
Предлагаю такой хеш:
Через букву вставлять символ с домена и с фразі, когда домен заканчивается заменяешь значаками на четніх цифрах. Фроде годно?
2ch.hk
e9v4wdsf
Недостает домену двух симовлов, значит вставим 2=@ и 4=$
И того
2ec9hv.4hwkd@s$f
Только в пассфразу вставь спецсимвол
>ты ж в голове собрался их держать, какой файл с паролями?
да, но это в идеале
в крайнем случае из файла, который можно показать другому, где итогового пароля не будет
напиши на бумаге квадрат 3×3 со случайными цифрами внутри. Используй в паролях комбинации из цифр типа по диагонали и тд
этоот способ признали как ненадёжный
Ля че только что придумал... но палить не буду само собой, нахуй мне это. Но метод железный, помнить нужно буквально одно слово на все пароли.
>в крайнем случае из файла, который можно показать другому, где итогового пароля не будет
Заведи менеджер паролей, генерируй полный рандом, потом можешь этот зашифрованный файл с бд хоть на сосач кидать. Отвечает пунктам, кроме ебанутого желания держать 100 паролей в голове.
мне нужно открывать текстовый файл, с него производить какие-то действия (искомые)
и после получать пароль
>Пароль для каждого сайта всегда разный.
Пароль название сайта в другой раскладке с добавление цифр и спецсимволов, который одинаков для всех паролей
>Пароль название сайта в другой раскладке
гениально
еще учитывая что русские буквы не принимаются много где
Я тебе уже 100 раз про хэш от названия сайта с солью писал, а ты все эти треды плодишь, ботохуета.
Ты только что придумал формат файлов .kdbx и парольный менеджер.
Сайт пишешь на русском в английской раскладки, pevthjr ёбанный
>3. Пароль включает в себя буквы ВЕРХНЕГО и нижнего регистра, спецсимволы, цифры.
Эм... Ты не осилил математику за дсятый класс, как и большинство "безопасников" в мире?
А знание математики как-то отменяет эти ограничения на сайтах?
>Ты не осилил математику за дсятый класс
да, я птушник, десятого класса у меня не было
Составь длинное предложение из простых слов, 40-60+ символов, никто не подберет за века. чем длинее тем надежней.
тред
У многих сайтов есть ограничение на макс. длину пароля + владелец сайта знает твой пароль на остальных сайтах.
>владелец сайта знает твой пароль на остальных сайтах
С хуяли? Он знает только тот пароль что на его сайте, на других юзай уникальные другие
Нахуй надо? Сейчас практически на любом сайте если ты заходишь с нового компа просят ввести код отправленный на почту. А на почту чтобы зайти нужно ввести код который пришел по смс.
так что даже имея твой пароль все равно зайти они не сомогут
Просто используй keepass. Зашифрованные пароли хранятся в файлике, который можно хранить локально или в облаке.
Есть клиенты для всех ОС.
Есть клиенты для всех ОС.
>Ты помнишь логин/пароль от каждого сайта в уме, не обладая феноменальной памятью.
>(100+ сайтов)
Буквально невозможно без феноменальной памяти
Если ты имеешь в виду что ты не помнишь их на самом деле, а подбираешь из формулы, которую запомнил, то это сильно уменьшает их криптографическую стойкость
А вообще этот пункт как бы ты его не представлял и не реализовывал делит на ноль смысл держать пассы в файле. Ты уж реши на каком стуле хочешь сидеть, идеального решения разложить жопу на оба всë равно не добьëшься
А вообщн просто зашифруй файл пассов и запомни мастер-пароль. Все совремеррфе брацзеры имеют такой функционал из коробки, а ты мозги ебëшь
Т.е. запоминать десятки предложений?
>А вообще этот пункт как бы ты его не представлял и не реализовывал делит на ноль смысл держать пассы в файле. Ты уж реши на каком стуле хочешь сидеть, идеального решения разложить жопу на оба всë равно не добьëшься
ничего он не делит на 0.
у тебя файл который под рукой, а в голове настоящий пароль.
непонятно?
я тебе дал свой файл там все пароли и логины
но ты нихуя ни на 1 сайт зайти с этим файлом который я тебе дал не можешь.
потому что логин и пароль у тебя в голове, а в файле лишь "болванка"
Зачем тебе файл, если все пароли в голове?
чтобы знать конечный пароль
Так он у тебя в голове же
В голове тоже не конечный как и в файле? Ты типо нормальный пароль хочешь получать из комбинации файла и инфы в голове?
Это буквально то что я под спойлером написал - мастерпасс от зашифрованного файла с паролями, что тебе ещë надо, собака?
Придумываешь свой универсальный пароль, например
Pasword!23 123 1 c шифтом
Далее придумывешь микс, например просто ставишь название домена в начала
2chPasword!23
discordPasword!23
и так далее
Можно придумать способ миска по сложнее, например миксовать друг за другом
2Pcahsword!23
Компрометация пароля не даст кому-то доступ до всех аккаунтов, так как если будут копать именно под тебя, то просто спиздят пароль от нужного сервиса. Если будет общаяя компроментация паролей сервиса, то твой пароль просто попадёт в датасет паролей, и если кто-то и будет взламывать тебя, то только в автоматическом режиме, по этому будет использовать специфичный пароль для сервиса который был скопроментирован.
Так что бы кто-то смотрел базу слитых паролей глазами. Искал там паттерны и пытался взломать всё остальное, анриал.
откуда вы вобще такие лезете шизы застрявшие в 100500 летних реалиях, когда не было нормальных менеджеров паролей. тот же кипасс открой и там в генераторе укажи свои критерии пароля, сколько символов и каких и всё такое прочее и генерируй хоть по 100 паролей для каждого из 100+ сайтов. помнить надо только один, от базы кипасса
По-моему оп сам не знает что он хочет
Задача, блядь, у которой уже сто лет в обед есть готовые решения, но он пытается изобрести колесл, при этом не шаря в теме
>Так он у тебя в голове же
в голове у тебя методика вычисления(или тоже в файле, если можно придумать так, что ты её можешь отдать не боясь) которая формирует конечный пароль.
открыл файл - видишь там пароль, болванку, сделал какое-то действие в уме условно, получается итоговый настоящий пароль и логин от сайта.
вообще в идеале ещё и сайты шифровать как-то.
типа чтобы только тебе ведомо было, что тут файл с 200 сайтами, но смотря на них никто не понимает, какой это сайт, а ты понимаешь
Он не хочет давать пароли левым людям.
Прочитай уже про хэш-функции и не еби мозги какими-то файлами и инфой из головы.
Их НЕНУЖНО никому давать Манюнь, они хранятся только у тебя в зашифраванном виде
я тупой
А если так хочется ебать мозги файлами, то в файле таскай прогу, которая вычисляет хэш.
Так это говно которое буквально уступает по криптостойкости простому мастер-паролю
Взломать твою формулу какой бы хитрой она не была легче, чем мастер пароль
Ты буквально даёшь их сторонней проге, о содержимом которой ничего не ебешь.
тогда если кто то найдет прогу он получит доступ ко всем сайтам и паролям
Не получит - он не будет знать, что в нее вводить.
> помнить надо только один
Так и взламывать надо только один. дебилы блять...
А злоумышленнику с кейлогером вообще взламывать ничего не надо и достаточно посидеть в системе один день чтобы получить доступ ко всем логинам. Я хуею с дегенератов. Еще советовать лезет, с апломбом нахуй. пиздец
Заметно
у него файл будет и прога
Какой сторонеей проге долбоеб? кипассу уже 10 лет, он с открытым исходным кодом причем
Ты, чо, нахуя помнить РозовыйСлонеЕбетРыжуюСабакуВСраку, проще же дать компу перебирать хуету типа )hKyNI_D$1K%1 которая будет записанная на бумажке перед компом
Файл и есть прога, вычисляющая хэш от введенной тобой строки. Никакие другие файлы тебе не нужны.
>он с открытым исходным кодом причем
Думаешь оп умеет проги из исходников собирать? Он даже что такое хэш не знает.
А злоумышленнику на админе сайта с идеей опа ещë проще - он знает точно один настоящий пароль + оп в открытый доступ хочет свой файл-болванку выложить
Админ смотрит пароль болванку от своего сайта, сравнивает с реальным паролем, вычисляет из этого формулу и применяет ко всем остальным паролям болванкам - pwned
>вычисляет из этого формулу
Распиши этот шаг конкретнее, а то непонятно как ты собираешься это делать.
Где ты там логинишься постоянно, гой?
на вот это говно. https://lesspass.com/
https://github.com/lesspass/lesspass
Это алгоритмический манагер паролей. Работает только во фронтенде. Нужно помнить только один пароль. Не обязательно юзать именно его, но концепция такая.
Первый пункт сразу же исключает все остальные пункты. Просто блокнот себе веди и вручную пароли записывай. Раз в месяц делай бэкап на фллешку или ещё куда.
Хотя кому ты нахуй нужен? Единственное над чем стоит трястись это банк.
Зачем что то собирать ? он в готовом виде лежит с открытым исходным кодом
1. Три радномных коротких слова через пробел, например milk bear gun.
2. Потом литспикируешь их и в части слов ставишь заглавную букву: m1lk B34r Gun
3. Для каждого сайта через пробел добавляешь четвёртое слово по ассоциации, например 2ch.hk - makaka, при обфусцировании четвёртого слова везде используешь одно правило, напримеп, меняем "a" на "@", получается: m1lk B34r Gun m@k@k@.
На обычной хардвари у тебя уйдёт несколько миллиардов лет на брутфорс такого пароля.
Блядь, если у тебя есть изначальные данные и конечные зашифрованные, то вычислить формулу по которой проходит шифровка всегда можно. Часто это даже просто, блядь, глазами видно
Если глазами не видно и формула сложная, то можно скормить нейронке, она подберëт
Только сложную формулу оп юзать не будет, ибо сам еë не запомнит, лол
> то вычислить формулу по которой проходит шифровка всегда можно
Таких формул бесконечно много, умник.
ok
Хинты:
facebook fkdj_6_Gfr1235
reddit iefnfjhhrreter2453
privat24 poriergjdfiu3264
-----
настоящий пароль к фейсбуку zuker_beRgsos_eTzas_p0s1b0
Вычисляй пароль к приватбанку.
я хочу дать тебе этот блокнотик, только чтобы ты ничего не понял, долбоёб
Сайт просто ломают через взлом кукисов где в куках(сервера) меняют id = 454545 на id = 1
Хорошее решение.
эти три слова всегда одинаковые для 100 сайтов?
Безопасник в треде. Тз говно, не обозначена угроза и каналы утечки. От чего или кого защищаешся?
или хотя бы приблизительную идею схемы построения хинтов
>Безопасник в треде
Сосешь в резинке?
Если у тебя памяти хватит, можешь менять.
Пердежоникс изобретают стейтлесс менеджер паролей, охуеть.
MasterPassword, LessPass, SuperGenPass - выбирай.
в публичном файле в каким виде хранить?
бамп
Ну так делай пароли по типу "HASWBGcgayugqwaco guiwpgcvpiugwvgcwgvege". Никто в здравом уме такую хуету не запомнит и не поймет.
Нахуй ты бампаешь, если тебе уже кучу способов это сделать предложили. Хоть и большинство разные варики одного и того же.
Берешь любую фотку с рожей с множетсвом родинок.
В редакторе изображений в центре каждой родинки ставишь один пиксель немного выделяющегося цвета (немного темнее чем сама родинка).
Замазываешь родинки на приблизительно одинаковой высоте.
Хранишь список сайтов чтобы сохранить порядок.
Каждому сайту соответствует родинка по высоте (первая по высоте - первый сайт в списке и тд)
Паролем к сайту будут координаты пикселя записанные словами с обфускацией плюс цифрами вконце (можно только цифры одной координаты).
Никто трезвый не сядет брутфорсить твой пароль, наркоман, потому твои спецсимволы несут только одну роль -- при случайном взгляде мимокрокодила на случайно показанный пароль -- мимокродил не смог запомнить/воспроизвести с клавиатуры. Идеально -- что-то уровня
Sdd22dessw2341ssw! - 0 смысла, вводится вслепую с дикой скоростью, так как буквы рядом, первая буква закрывает потребность в заглавных, последний - в спецсимволах, 3 строки и 3 ряда на клавиатуре. Удачи в запоминании, если увидел краем глаза или в попытке подсмотреть в клавиатуру.
причина тряски?
оригинально.
а как координаты пикселя чем выяснять
Почти любой открыватель картинок показывает координаты под курсором.
ты только что lesspass
Двачую
бехопасность надо доверять себе а не программам бро
zuker_beRgsos_eTzas_p0s1b0
Забудешь через минуту. Даже если каждый день везде вводить по 3 раза все равно будут ложные наборы. Потом уйдёшь в отпуск на 2 недели и забудешь окончательно. А на практике очень мало сервисов требуют постоянного ввода всего. И ты эти пароли забудешь через неделю буквально все
Бро, ты же им доверяешь данные своего аккаунта, бабла, личной информации итд. Но "пароль" это другое? С головой дружишь вообще?
>1. Ты помнишь логин/пароль от каждого сайта в уме, не обладая феноменальной памятью.
(100+ сайтов)
Только обладая феноменальной памятью.
Лучше короче используй diceware и используй блокнотик в надёжном месте. Длинные словосочетания намного надёжнее чем 1-2 слова но в обоих регистрах, с циферками и знаками, причём запомить людям их проще.
Если очкуешь забыть или хочешь СТОТЫЩ ПАРОЛЕЙ то можешь trifid или bifid или otp прогнать поверх каждого пароля. Только заранее пронумеруй ключи и пароли что бы номера совпадали и ты знал какой чем расшифровывать. Ну и получается шифрованные пароли и ключи надо хранить хотя бы на разных бумажках в разных местах в доме. Но если потеряешь то потеряешь всё сразу.
(100+ сайтов)
Только обладая феноменальной памятью.
Лучше короче используй diceware и используй блокнотик в надёжном месте. Длинные словосочетания намного надёжнее чем 1-2 слова но в обоих регистрах, с циферками и знаками, причём запомить людям их проще.
Если очкуешь забыть или хочешь СТОТЫЩ ПАРОЛЕЙ то можешь trifid или bifid или otp прогнать поверх каждого пароля. Только заранее пронумеруй ключи и пароли что бы номера совпадали и ты знал какой чем расшифровывать. Ну и получается шифрованные пароли и ключи надо хранить хотя бы на разных бумажках в разных местах в доме. Но если потеряешь то потеряешь всё сразу.
>diceware
Diceware — это метод создания паролей, фраз и других криптографических переменных с использованием обычных игральных костей в качестве аппаратного генератора случайных чисел. Для каждого слова в парольной фразе требуется пять бросков шестигранной кости.
А папроще можно? для работяг
Любой компьютер с подключением к сети и с хотя бы одной программой которую не одобрил профессиональный безопасник уровня CIA МВД это автоматически компьютер со всякими спайварями которые могут читать что происходит на мониторе и следят за тем что ты печатаешь и отправляют куда-то. Вот запросто. А уж если пиратишь игры и запускаешь exeшники то точно что-то да словишь однажды. Менеджер паролей лол. Разве что только если этот комп будет пожизненно без доступа в сеть.
Сайт diceware открываешь, так и пиши diceware pdf. Берёшь кубик с 6 сторонами (обычный). Бросаешь столько раз сколько индекс слова в словаре diceware. Они бывают разные на разных языках и даже так их несколько версий на каждый. Выпадает тебе условное 111425 - Записываешь слово под этим номером. Повторяешь процедуру. 4-5-6-7 слов и тд и тп и уже больмень пароль устойчивый к брутфорсу но не абракадабра, а нормальные слова. Кубик это настоящий труъ рандомизатор, в домашних условиях ты мало что найдёшь на уровне или лучше.
Ну и научишь кидать кубик хорошо, что бы он хорошо перемешивался при болтании и падал всегда на разные стороны.
Вшей токен крипто.про себе в задницу.
Надёжно, безопасно, секьюрно.
Если кто-то полезет к твоей жёппе - значит это либо пидор, либо хакер: от обоих стоит держаться подальше.
У тебя не смогут незаметно украсть пароли - подключение только кабелем, а беспалевно воткнуть usb-шнурок тебе в анус не сможет даже Амаяк Акопян.
Если тебя поймает злой майор - ты сможешь поднатужиться и раздавить токен своим натренированным сфинктером - твоя коллекция цопе так и останется незамеченной на скрытом разделе харда.
Идеально же.
Двачну.
Энтропия ебёт в жопу все эти циферки и спецсимволы.
Прост используем фразу подлиннее - и всё збс. И запомнить легче.
>Любой компьютер с подключением к сети и с хотя бы одной программой которую не одобрил профессиональный безопасник уровня CIA МВД это автоматически компьютер со всякими спайварями которые могут читать что происходит на мониторе и следят за тем что ты печатаешь и отправляют куда-то.
Шапочку из фольги не забыл одеть? шизик
Нет. Просто я не палю супер важные пароли на скомпроментированных компьютерах и использую для этого бумажечьку
>использую для этого бумажечьку
БЛЯ ведь реально шиз
Зашифрованный контейнер, где лежит txt-файл с паролями
Так для пароля к сайту - придумай определенный закон, по которому вычисляется пароль исходя из URL сайта. Вот прям как хэши вычисляются. И тогда надо будет помнить только этот закон.
> придумай определенный закон
да как придумать то!!!!!!!!!!!!!!!!!!!!
Рандом хуево запоминается, лучше юзать детерминированные алгоритмы.
Ебанный шизоид опять выходит на связь.
Так ты и не будешь ничё запоминать. Это просто генератор паролей которыми удобно манипулировать в отличие от ajsaho51@$@$@_nvknz,1321y967532. Я всё жи предлагаю писать их на бумашке. Элегантно и просто. Какой смысл их вообще шифровать если они и так в надёжном месте дома спрятаны?
>Какой смысл их вообще шифровать если они и так в надёжном месте дома спрятаны?
Правильно. Когда товарищ майор заглянет к тебе домой за нужной инфой ему даже не придётся разогревать паяльник, вежл все будет на стикере приклеено надёжно к монитору
Майор не телепортируется, он сначала стучится или выламывает дверь. У тебя будет достаточно времени сжечь один листочек бумаги если они будут на видном месте, рядом с зажигалкой или спичками, если бумажка будет сложена заранее гармошкой и будет огнеупорная подставочка или тарелка. Ну и мне кажется когда майор обыскивает твой дом - пароли от сайтов с китайскими мультиками и толстыми голыми тётями это последняя твоя забота.
> Майор не телепортируется, он сначала стучится или выламывает дверь.
Хакеров и прочих компьютерных преступников майор крутит когда те идут в магазин за хрючевом потому что знает что те легко уничтожат все улики (ибо они не вещественные а цифровые) если ломиться к ним в дверь.
Да вот тебе уже посоветовали использовать хэш-функции. Хэш от URL сайта уже даёт тебе определённую уникальную комбинацию символов-байт, которые соответствуют этому сайту. А впридачу, ещё засоли её. Т.е. добавь к названию сайта некую особую случайную строчку (соль), которую ты всегда будешь держать в уме. И тогда, никто даже и не сможет восстановить сгенерированный хэш от URL по самому URL (без соли). А дальше, тупо определи какой-нибудь однозначный закон, который преобразует полученный хэш в твой пароль.
А так вообще - тут правильно уже написали - есть stateless менеджеры паролей. Погугли про них.
Собственно, stateless менеджеры паролей как раз вот про такие законы, по которым вычисляются пароли исходя из названия сайта.
это конечно круто а со шкафом чо решил?
легко.
берешь первуб букву из домена и зменяешь ее
например google.com
a b c d e f g
g - седьмая буква алфавита
к любому значению прибавляешь, например такую же цифру или число
то есть если первая буква домена g, то пароль начинается с 14, далее может быть любое слово или набор слов или еще одно умножение
14х14=196
для гула получаем условный пароль - 14196fuckuall#
далее если пиздец хочешь усложнить добавляешь еще правило. например буквы похожие на цифры заменяешь цифрами из полученно числа. то есть получаешь 496fuckua11.
4-5 таких правил и подобрать будет почти нереально даже имея несколько паролей
а, ну и ты понял, что я для примера сделал так, что видно, что буква g седьмая
конечно этого в пароле быть видно не должно и тебе нужно 7 умножать на рандомное число или цифру по своему выдуманному правилу. например на свой возраст умножай
Легко
БЕРЁШЬ ДОМЕН САЙТА
@
ДОБАВЛЯЕШЬ К НАЗВАНИЮ САЙТА 9Dodik!
Всё, получаешь уникальный пароль на каждый сайт. Вот это я умный конечно, иногда сам удивляюсь.
Примерно так делал вручную для маловажных сайтов.
Мнемоника (или мнемотехника) — это искусство запоминания. Это система методов и приемов, которая облегчает запоминание информации и увеличивает объем памяти за счет образования ассоциаций (связей).
Популярные методы и приемы
Акростих: Первые буквы слов в придуманной фразе кодируют нужную информацию. Самый известный пример: «Каждый Охотник Желает Знать, Где Сидит Фазан» (цвета радуги).
Метод Цицерона (Дворец памяти): Информация «расклеивается» по знакомой комнате (например, по пути из коридора в кухню). Чтобы вспомнить факты, нужно мысленно пройтись по этому маршруту.
Метод фонетических ассоциаций: При изучении иностранных слов подбираются похожие по звучанию слова из родного языка, из которых строится короткая сюжетная история.
Рифмизация: Перевод информации в стихи, песенки или слоганы (например, правило « -тся- и -ться-» в глаголах).
Популярные методы и приемы
Акростих: Первые буквы слов в придуманной фразе кодируют нужную информацию. Самый известный пример: «Каждый Охотник Желает Знать, Где Сидит Фазан» (цвета радуги).
Метод Цицерона (Дворец памяти): Информация «расклеивается» по знакомой комнате (например, по пути из коридора в кухню). Чтобы вспомнить факты, нужно мысленно пройтись по этому маршруту.
Метод фонетических ассоциаций: При изучении иностранных слов подбираются похожие по звучанию слова из родного языка, из которых строится короткая сюжетная история.
Рифмизация: Перевод информации в стихи, песенки или слоганы (например, правило « -тся- и -ться-» в глаголах).
Но тред ведь начался с вопросом о том как делать и хранить пароли ко многим сайтам, а не шпионские игры аля эдвард сноудын
>1. Ты помнишь логин/пароль от каждого сайта в уме, не обладая феноменальной памятью.
Не помнишь.
Остальное все решаемо, конечно
Меня интересует можно ли придумать такую криптографическую систему паролей которая бы отвечала следующим БАЗОВЫМ КРИТЕРИЯМ:
1. Ты помнишь логин/пароль от каждого сайта в уме, не обладая феноменальной памятью.
(100+ сайтов)
2. Пароль для каждого сайта всегда разный.
3. Пароль включает в себя буквы ВЕРХНЕГО и нижнего регистра, спецсимволы, цифры.
4. В случае компрометации одного логина/пароля, на одном из сайтов нельзя узнать пароли от остальных сайтов.
5. Можно не боясь расшифровки файл с паролями показывать чужому.