29
Апр

paranoia

Итак, последнее время у меня активно развивается паранойа на тему «всего 3 пароля для разных ресурсов — мало». Меня волнует, не столько, что у меня упрут какой-либо аккаунт (хотя это тоже плохо), сколько то, что если уведут с какого-нибудь левого сайта пароль, пароль подходит к большому количеству других сайтов.

В идеале на каждый ресурс нужен свой пароль, но тут есть проблемы. Автогенерация не катит — пароли надо где-то хранить, если кто-то получит доступ к хранилищу — мы теряем всё. Помнить порядка 200-300 паролей вида 3d12enx34fgv1r87v — сложно и непрактично. В ходе ленивого поиска информации по теме, было найдено решение, вполне меня устраивающее:

md5(md5(address + username + keyphrase))

Понятное дело, что если придут с паяльником, то keyphrase узнают, но с паяльником узнают всё, что угодно :) Недостатки системы:

  1. Надо под рукой иметь херню для md5 . Онлайновые вещи категорически нерекомендую — сдаём ключевую фразу непонятно кому.
  2. Непонятно, что делать с ресурсами, которые не позволяют 32хсимвольные пароли. Тут в качестве частичного решения предложу Ascii85 — с помощью него мы можем сжать пароль до 20 символов. Проблема в том, что всякие ICQ позволяют только восьмисимвольные пароли. Что с этим делать — пока не знаю.
  3. Непонятно, что делать с ресурсами, которые принудительно заставляют менять пароль. Например, интернет-банки.

Вроде бы всё. У кого есть какие идеи/предложения?

Метки:

11 комментариев | RSS 2.0 | Прокомментировать | Обратная ссылка

 1 

В вышеуказанном примере всеравно надо иметь под рукой генерировалку MD5, следовательно ввод пароля сопряжен с некими действиями для получения онного.

Поэтому вариант используемый мной не сильно хуже:
Dropbox + TrueCrypt + Keepass

Дропбокс позволяет шарить шифрованный диск на котом лежит шифрованная база с паролями.

29 Апрель 2010 at 11:22:41
 2 

Что будет, если носитель украдут или он выйдет из строя? Как ты восстановишь пароли для себя? Или будешь везде менять?

29 Апрель 2010 at 11:26:00
 3 

Носитель — Dropbox и синхронизированные копии на: PPC, PC, flash-drive

Шанс потери достаточно низок. Кроме того еженедельный backup на Mozy (который позволяет ещ сам backup шифровать)

29 Апрель 2010 at 11:29:14
 4 

>носитель украдут
При краже носителя взлом такого количества слоев практически не реален. Поэтому, если кто-то получит копию шифрованного диска с базой или саму шифрованную базу, достаточно будет сменить пароли от базы и диска.

29 Апрель 2010 at 11:31:37
 5 

Я не о взломе, я о проблематичности получения пароля здесь и сейчас. В моём случае нужен генератор и всё.

29 Апрель 2010 at 11:32:45
 6 

Ну для того чтобы был доступ к паролю здесь и сейчас используется dropbox — фактически при наличии сети все твои пароли всегда с собой (а на чужой машине пароли к чему либо кроме сетевых ресурсов редко бывают нужны)

29 Апрель 2010 at 11:37:51
 7 

Повторю: в случае утери носителя с шифрованными паролями, в полный рост встаёт проблема — как бы их получить прямо здесь и сейчас.

В случае, если пароль генерировать каждый раз, достаточно иметь копию генератора, который хранить можно где угодно.

29 Апрель 2010 at 11:51:07
 8 

Ещё раз повторяю :)
1)Dropbox — синхронизирует содержимое некой папки по сети. Шифрованный диск с шифрованной базой паролей лежит в этой папке. Следовательно при наличии сети пароли получить довольно просто.
2)Редко где-то вне дома нужны пароли отличные от паролей на сайты (то есть тебе не нужны пароли если нет инета)
3)Да, потеряв носитель с паролями ты лишишся своих паролей до момента как сможешь добраться до сети.
4)А что будешь делать ты на чужой машине без генератора и без инета? Тоже курить или писать генератор сам (что довольно просто конечно, но таки)

29 Апрель 2010 at 12:02:56
 9 

Кроме того — твой алгоритм уже разглашенный (то есть ты о нем сказал в своем блоге), а keyphrase тоже врядли сильно сложный. В любом случае для взлома любого сайта достаточно получить твой keyphrase, который можно брутфорсить на всех сайтах по очереди где ты заведомо бываешь (что много проще чем брутфорсить 1 сайт). А получив доступ к keyphrase автоматически у меня есть доступ ко всем твоим ресурсам.

А в случае простой базы паролей — все пароли случайно генерированные. Часть самых частоиспользуемых довольно легко заучиваются.

29 Апрель 2010 at 12:05:55
 10 

Ну, можешь начинать, что. Вскроешь — молодец. Не забывай, что кроме md5 есть куча других хешалгоритмов.

А получение кейфразы равносильно получению пароля к твоему хранилищу.

29 Апрель 2010 at 12:21:45
 11 

Примерно да :)

29 Апрель 2010 at 12:30:36