Итак, последнее время у меня активно развивается паранойа на тему «всего 3 пароля для разных ресурсов — мало». Меня волнует, не столько, что у меня упрут какой-либо аккаунт (хотя это тоже плохо), сколько то, что если уведут с какого-нибудь левого сайта пароль, пароль подходит к большому количеству других сайтов.

В идеале на каждый ресурс нужен свой пароль, но тут есть проблемы. Автогенерация не катит — пароли надо где-то хранить, если кто-то получит доступ к хранилищу — мы теряем всё. Помнить порядка 200-300 паролей вида 3d12enx34fgv1r87v — сложно и непрактично. В ходе ленивого поиска информации по теме, было найдено решение, вполне меня устраивающее:

md5(md5(address + username + keyphrase))

Понятное дело, что если придут с паяльником, то keyphrase узнают, но с паяльником узнают всё, что угодно :) Недостатки системы:

1. Надо под рукой иметь херню для md5 . Онлайновые вещи категорически нерекомендую — сдаём ключевую фразу непонятно кому.
2. Непонятно, что делать с ресурсами, которые не позволяют 32хсимвольные пароли. Тут в качестве частичного решения предложу Ascii85 — с помощью него мы можем сжать пароль до 20 символов. Проблема в том, что всякие ICQ позволяют только восьмисимвольные пароли. Что с этим делать — пока не знаю.
3. Непонятно, что делать с ресурсами, которые принудительно заставляют менять пароль. Например, интернет-банки.

Вроде бы всё. У кого есть какие идеи/предложения?

Метки: безопасность