слишком слабый пароль

Привет соресурсники. Я когда то читал что должен быть баланс между безопасностью, и сложностью мер безопасности.

Обьясню простыми словами.

Пароль 1234 слишком простой, современные системы подбора пароля подберут его в считаные милисекунды.

Пароль алеша1986 чуть сложнее тут потребуется несколько часов, за счет увеличения числа символов, и добавления буквенных комбинаций.

Пароль 12алеша1986 будет сложнее подобрать, так как символов станет больше, тут уже время подбора изменяется десятками часов.

Пароль использующий заглавные буквы на пару порядков увеличит время подбора пароля 12Алеша1986 уже вполне надежный.

Можно использовать еще спецсимволы... что еще на порядок усложнит, можно увеличивать количество символов, чтоб было не менее 15, не менее 20, все более и более изощренней требования к паролям.

Но ведет ли это к безопасности?

у меня есть пароль один ко всем сайтам, и я его не забуду, но со все новыми требованиями к паролям старый уже не подходит, и приходится придумывать новый, модифицировать старый, записывать на листочках, что ведет к путанице и потере этих самых паролей. к огромному неудобству и зачастую проблемам с потерей времени.

допустим, мне нужно с другого компьютера зайти в почту гугла, вводишь логин, пароль, и тут начинается свистоплястка, да вы все правильно ввели, но подтвердите что это вы. вам на телефон придет код, или еще какой способ. блин да я не включал эту защиту, кто вас просил? а если нет интернета мобильного? а если гугл в моей локации забанен? что чистейшая правда. у меня есть пароль который соответствует вашим требованиям, дофига какой сложный уже, зачем это все если я не просил?

допустим мне нужно войти в мейл ру. корпоративная почта. с недавних пор мейл ру привязал учетки почты к учеткам вк, введите пароль от вк, даже если вы знаете пароль от мейл ру. Блядь вы дебилы? откуда я знаю пароль от вк директора учреждения? кто вас просил обьединять эти учетки? да сам руководитель уже не пользуетсявк и не помнит пароля потому что вк - дерьмище. работа предприятия на пол дня стала. ищем восстанавливаем пароли.

чем сложнее пароль, тем чаще мы его забываем. тем чаще прибегаем к схемам, записи на листочке, менеджер паролей, я кучу раз видел листик с паролями на столе или приклееным к монитору. один маленький дрон за окном и ваши пароли украдены.

Есть простой способ Сделать простые пароли неломаемыми. это отсекать частые запросы на вход. просто сделать чтоб один пароль можно было ввести не чаще чем раз в минуту. тогда пароль 1234 станет не менее надежным чем те, которые требуют сейчас.

отчет окончен, негодование слито, пойду восстанавливать старый пароль привязанный к телефону и номеру, к которому больше никогда не получу доступ

Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей.
Твой пароль вполне может быть добавлен в некую связку "персона - почта/телефон - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко, как и пароль 1234 подбирает.

Итого: все твои входы на сайты - скомпрометированы и могут быть использованы третьими лицами. Если Госуслуги, почта и подобное имеют тот же пароль - ты влетел.

Это сообщение отредактировал taper - 26.09.2025 - 00:59

владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть

для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей

Это сообщение отредактировал goodvin2030 - 26.09.2025 - 00:35

Ага. И ещё каждые полгода ентот пароль надо менять, потому как он, видите ли, устарел. И он должен быть не похож на старый.
Негодую!
Теме плюс.

Ну, значит хеш знает, какая разница, если он общий?
Некоторые владельцы сайтов, или их создатели, создают их со специальным умыслом, собрать и умыкнуть данные.
А некоторые орлы так пароль и хранят.

У меня есть база скольки-то десятков тысяч МОИХ пользователей, и когда я вижу пароль вида 12Алеша1986 могу предположить что с его почтой/телефоном и этим паролем можно пологиниться в разные места, на удачу Но мне это не надо.

Это сообщение отредактировал taper - 26.09.2025 - 01:10

Как отсекать частые запросы на вход? Ни разу не видел такой функции при вводе пароля

да даже в древних роутерах ТП линк такое реализовано, после трех вводов жди пол часа чтоб вай фаи не ломали и не раз видел на разных сайтах вы слишком часто вводите неправильный пароль, подождите

Это сообщение отредактировал goodvin2030 - 26.09.2025 - 00:37

Добавляйте три первых буквы сайта как паролю и всё.
Если менять - текущий год или полугодие.
Если пиздец склероз можно напоминалки типа "обычный, потом год рождения собаки + 3 и загогулина" или "запасной с номером машины плюс 5"

Размещено через приложение ЯПлакалъ

все бы хорошо, но попадаются сайты в котором данный спецсимвол недопустим в пароле, и вся система идет на смарку

это гениально

если бесконечно усложнять пароли это решит проблему? у вас в любом случае они будут. и чем они сложнее тем дольше вероятность что они подойдут к другим сайтам, ибо запоминать все более сложное невозможно, легче использовать уже что помнишь

Граждане, используйте менеджеры паролей, с открытым исходным кодом !

Размещено через приложение ЯПлакалъ

Скорее наоборот он нужен.
А три буквы сайта типа avi, ozo, porno.... пароли получаются и длинные и разные. Можно русскими буквами на английской раскладке

Размещено через приложение ЯПлакалъ

в связке с двойной авторизацией это вполне надежно

Это сообщение отредактировал goodvin2030 - 26.09.2025 - 00:43

Когда капча оказалась умней ТС, нет ничего сложного в создании и запоминании паролей

вообще способ хорош

Для которых есть список уязвимостей.
И да, где хранить пароль от менеджера паролей?

Размещено через приложение ЯПлакалъ

Любой пароль - говно. И ничем "1234" не лучше "Егорки2007", потому что я знаю, что у этой бабы родился Егорка в 2007 году. Кстати, у половины баб именно так. (давайте, опровергайте..))

Так что только двухфакторная..

А если невозможно - то можно придумать схему, которую сам не забудешь - например - если я сначала придумаю приставку - из даты, номера квартиры, потом поставлю апостроф, потом, например, три буквы через одну от имени сайта, чередуя с номером буквы - в данном случае "y1p3a5" получится - то и фиг забудешь, и фиг сломаешь.

Можно такую систему поломать, если только вдруг все админы сайтов сольют в одну кучу твои пароли. А сам всегда вспомнишь.

ко мне обращалсь люди которые его забыли, это звиздец, верх тупизма

с прошлого века
я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам
на вопрос: сколько я помню паролей
отвечаю: около пятисот

никогда сбой не давало моё правило

и хватит этого детского сада про "один пароль для всех сайтов" ггыг

Это сообщение отредактировал Down - 26.09.2025 - 00:48

Из Сев. Кореи пишешь?

ну так я про защиту от брутфорса и говорю, почему ее почти нигде нет? один ввод раз в минуту, все, брутфорс идет нахрен

Поддержу. Все именно так и есть.

Нуууу.
Смотри из практикуемых: конверт в сейфе, шифрованный эп архив в облаке, рутокен флеш, шифрованный архив на cd пароль от архива - серийник болванки. И т.д.

Размещено через приложение ЯПлакалъ

Зачем усложнять бесконечно? Я этого не утверждал. Могу дать пару рецептов.
1. Создаете некую строку вида hreeAd10, учите навсегда и используете в качестве префикса для каждого пароля. Типа - соль
2. В качестве "тела" пароля используете осмысленное слово, которое проще вспомнить по контексту сайта. В идеале писать его с ошибкой, по-албански например.
3. Используете также общий суффикс для пароля, например ^3fg, который никогда не сохраняете в браузере. Чтобы пароль приходилось дописывать каждый раз.
для ЯПа пароль должен получиться что-то вроде hreeAd10ЯКакал^3fg, для mail.ru: hreeAd10Мыло^3fg
4. Не используете одинаковый пароль везде. Госуслуги, телега - вообще уникальные, заказ запчастей и додо.пицца - может быть и одинаковый. Бьете сайты по тематикам, job, hobby, dacha, siski, используете как слово в группах паролей соответственно.

Эта методика даст некоторую защиту от самых распространенных атак.
Если как я, параноик, можно усложнить на ступень

Это сообщение отредактировал taper - 26.09.2025 - 01:18