http://habrahabr.ru/blogs/infosecurity/118788/

А старый параноик Розенфельд постоянно путался под ногами и непрерывно советовал всем окружающим: "Храните, пожалуйста храните ВСЕ(!) свои пароли и прочие учетные данные со всех(!) имеющихся аккаунтов на сторонних сервисах, ибо только(!) их разработчики смогут обеспечить вашу надежную защиту и безопасность критичных данных! Это удобно и надежно!".

скрытый текст

P.S. А такой же старый и дряхлый негодяй Агасфер ему постоянно поддакивал!
P.P.S. Он еще всем винду рекомендовал поставить!

Надёжный мастер-пароль, символов на 20, с цифрами, буквами в разных регистрах, и спец.символами - это как прописная истина. И пусть ломают SHA-256, даже если скачали часть базы.

olle
У таких паролей есть только одна проблема — их сложно не только взломать, но и вспомнить.

07-05-2011 01:42:25
Rosenfeld

Сколько-сколько символов? ... Надежный, говорите?

Более надежнее вычислять свои пассы по формуле, которую знаешь только ты. И у каждого сайта будет свой уникальный набор символов. MD5 хорошо эту "уникальность" обеспечивает. Советую именно MD5, потому что его везде можно вычислить. Даже на JavaScript - http://md5x.ru (код проверил: ничего никуда не передается).

07-05-2011 13:53:11
P.S. При вычислении MD5 нужно использовать только латинский алфавит, потому национальные символы в разных кодировках выдадут разный хеш MD5.

Если символы случайные, с нескольких раскладок (то есть подобрать возможно только с использованием почти всех диапазонов юникода), то да, надёжный. На подбор с использованием суперкомпьютера типа «Эльбрус» теоретически уходит более трёх миллиардов лет.

10-05-2011 15:18:11
Keepun
Не понял, что именно Вы предлагаете.

Пусть для достижения маскимальной совместимости используются только символы с кодами до 128. Но т.к. символы с кодаим до 32 особо не понабираешь, получаем, что нам доступно 96 символов. Предположим, что представляет собой некоторое размещение с повторениями 10 таких символов. Всего таких размещенй будет 96^10. А теперь посчитаем, симметричному ключу какой длины это соответствует: log(96^10)/log(2) ~= 65 бит.
Качественную оценку делайте сами.

Это зависит от числа слагаемых в уравнении. Сколько их?

Билли

Что? я и не писал, что 10-11 — ненадёжный, а написал то, что примерно знал. Или если 10-11 символов — надёжный, то 20 — ненадёжный? И ещё хозяйке на заметку. Не помню, за сколько времени подбирается именно 10 символов одной раскладки «со спец-символами и разным регистром», но если, допустим, все варианты пароля какой-нибудь сложности (не говорю, что именно такого) можно перебрать за несколько лет, то нельзя не учитывать вероятность того, что случайно он будет подобран значительно раньше, например, уже через несколько дней.

Так это понятно.

Положим, что это не 1000$, а шестиядерный Intel Core i7-995X - он как раз столько пока и стоит
Если верить его бенчмаркам, то он должен убрутфорсить такой пароль лет за 6-8. Полгода не хватит.

Кстати, по поводу паролей - вчера на хабре была статейка о достаточно лёгком способе создания и запоминания достаточно сложных многосимвольных паролей. Способ конечно не самый надёжный с точки зрения приваси (как любит говорить Розенфельд), но для простого пользователя достаточно удобный - пароли всё же будут посложнее, чем "1111" или "пароль" )))
http://habrahabr.ru/blogs/infosecurity/119008/

Я собственно к тому же. Эти биты для оценок удобны. Можно просто выбрать нужную длину пароля в зависимости от нужной эквивалентной стойкости.

Кстати, в данном случае sha-512 не сильно надёжнее. Она всего раза в 3-4 медленнее.

Пользуйтесь не онлайн хранителем паролем, взломать который - заветная мечта хакеров, а локальным хранителем, типа Roboform. Я пробовал LastPass - не очень то и прога. Roboform мне нравиться больше. И я не переживаю, что кто то кого то взломает.

Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.

hydrolizer, Ваш пример говорит лишь о том, что исходники никто не смотрит

Отнюдь. Он как минимум говорит о том, что стеганография - тоже достаточно неплохая альтернатива обычной криптографии Ну, или о такой очевидной для каждого, кто сталкивался с действительной необходимостью защиты информации (а не просто "шоп аську не увели") штуке, как соизмеримость рисков, связанных с потерей информации, и мер, направленных на предотвращение этих потерь.

Тут вы правы. Но все таки как то надежнее думать, что хранишь пароли на своем компе, а не в онлайн.

Хочешь хорошо спрятать - прячь на самом видном месте (кто то из мудрых)

Есть такое выражение. Только с учетом нынешней автоматизации и учетом возможностей взломщиков - не совсем актуальна. Да даже если ты все пароли в голове держишь, все равно впихнуть тебе какой нить троян, который считывает все, что ты вводишь на клаве и пиши пропало.

Да ну... К чему такие трудности? уж если кому-то очень понадобится - то будет как в той разбаянистой истории про главного сисадмина ЮКОСа. Главного, но наивного.

Использовать символы из MD5 в качестве пароля.
Формула может быть любая.

Например формула: MD5(домен 2 уровня + слово) = 3-13 символы -  пароль
MD5(mozilla-russia.org love) = 4be1d97bca8cd16b5234a8bfad078ab8 = e1d97bca8c - пароль от этого форума
MD5(google.com love) = 3e1dd6be106a2530a60a757257deca18 = 1dd6be106a - пароль от Google

У каждого сайта получается свой уникальный пароль

Жаль только, у каждого пользователя не получается уникального пароля.

Это еще почему?
Ну, добавь еще логин в генерацию.

Формула может быть любая.

Пароль он для того и нужен, чтобы его украли)))