Про пароли и секретные вопросы

Софт и Операционные Системы Безопасность
#1

Могу вот что посоветовать на тот случай, если ещё раз столкнёшься с такими сервисами, где надо менять пароль каждый месяц. Придумай один пароль. Дополни его номером и инкрементируй этот номер каждый раз , когда надо менять пароль. ну, типа
qwerty1
qwerty2
qwerty3

Думаю, так будет намного проще

P.S. qwerty — это так для примера. Конечно, надо что-то сложнее.

Ну и, раз говорим про восстановления пароля, можно поднять такую тему, как секретный вопрос и ответ на него.

Думаю, большинство выбирает банальные вопроса вида
— ваше любимое блюдо
— прозвище учителя математике в школе
— марка вашей машины
— …

Ответы используются соответствующие.

Я бы посоветовал использовать сумбурные вопросы и сумбурные ответы, иногда даже с несуществующими словами.
Например:
В: Что делает Чебурашка спиной на сосне?
О: Петётся

В: Кто такой характеристонок?
О: Характеристический мальчик

И так далее.
Возможно, способ пришёл не мне первому в голову.

Восстановление по email имеет уязвимость?
#2

не помню где последний раз видел такое кроме около-банковских сервисов типа Яндекс.Денег (точнее их банковских карт) и Payoneer.
Там его надо при обращении в саппорт говорить. В остальных случаях хз зачем он.

Ну а про пароли я уже говорил — лучше использовать менеджеры паролей.
В большинстве случаев это считается безопаснее других стандартных вариантов.

LastPass, KeePass, Bitwarden, …

#3
  • ЯндексПочта
  • У мейл ру такое вроде было, но теперь нет
  • Есть такое у моего интернет-провайдера

А почему отказываются от такой практики, как думаешь? Ненадёжно?

#4

Ну такое на самом деле… Если это в одном сервисе, то ок. А если это хотя бы в трех? Надо на каждом запоминать, какой раз я там пароль меняю? А еще у меня часто такое бывает, что я нечаянно забываю переключать раскладку, и пароль у меня русскими буквами получается - так сколько мне придется комбинаций проверять?

Но похожий подход я слышала: основное слово + количество букв в названии сайта. Как-то у меня не прижилось такое.

Тоже такое себе… Когда у тебя потеряется пароль (а на это может уйти и три года, и десять лет - ты уже забудешь, что ты хотел сказать этим вопросом. Опять же, использовала похожий способ: выбирала обычный вопрос, но в ответ на него было слово, которое вообще никаким боком к вопросу не относилось. Опять же, не прижилось, потому что использовалось редко и забывалось.

Еще был один способ: взять какое-нибудь длинное слово, например, аутентификация, и использовать как пароль, но в английской раскладке. Такой способ продержался у меня дольше, чем все остальные. Но сейчас он дико неудобен ввиду того, что на мобильном телефоне обычно раскладка лишь одного языка, и сложно вводить русское слово на английской раскладке.

Таким способом я тоже пользовалась какое-то время. Давно еще. Ну вот прекрасно в компе они у меня хранились. А потом прихожу, например, в компьютерный клуб, и надо из почты что-то распечатать. А фигушки, пароль-то я не помню. Или сломался комп / винда слетела/ диск форматнулся - че потом делать?

У меня сейчас на компе стоит автозаполнение форм, то бишь логины/пароли мои комп всегда знает, плюс я всегда залогинена. И если вдруг чего случится, то на вот эти вот сайты, на которых не стоит мой стандартный пароль, я просто так не зайду, только через смену пароля.

Эх, беда с этими паролями. Вот раньше были времена… У меня беда с логинами была. Все сайты наперекосяк: там мыло как логин, там телефон, там отдельно логин, там с пробелом, там без пробела - ужас. Я тогда пароль свой помнила, а логин - нет :joy:

Зато теперь половина сайтов предлагают войти через фейсбук. И я, конечно, пользуюсь этим. Беда в том, что теперь я забываю, где я через фб, а где я реально зарегана.

Кстати, тоже проблема была. Зашла на сайт через ФБ (еще давно), сделала заказ на товар (недавно) - все это на компе. Поехала забирать, естественно, с телефоном. А там не зайдено. Я уже не помнила, что заходила через ФБ, и ввела стандартные логин/пароль - говорит, мол, нет такого. Попыталась зайти через ФБ, а оно мне не мой аккаунт подкинуло с вопросом “Войти через этот аккаунт?”, а мой фейковый, который я на телефоне один раз сто лет назад включала (почему так получилось - не понятно, обычно же предлагается тот, который в самом ФБ зайден). Короч, поздно я заметила, что акк не тот, по инерции нажала кнопку “Зайти”. А там, естественно нет инфы о заказе. Я-то вышла из того акка. Но теперь, когда жму в телефоне на том сайте “Зайти через ФБ”, оно всегда меня запускает через фейковый аккаунт (уже не спрашивая, хочу я через него или нет) - и это реально бесит. Лучше б я зарегалась на том сайте нормально.

#5

А зачем они кроме быстрой проверки при обращении в саппорт критичных сервисов? И то это актуально только если обращаться не через интернет, иначе можно просто дать форму ввода пароля (вопросы это обычно не доп. защита, их можно менять зная пароль).

Так современные синхронизируются между устройствами либо самим сервисом (тогда еще можно и через веб зайти), либо самостоятельно дропбоксом и т.п.

#6

Обычно люди пароли на бумажке записывают.

#7

Что крайне не рекомендуется делать. Если уж записывать пароли, то в зашифрованном виде

#8

… что и делают современные менеджеры паролей :slight_smile: (расшифровка по мастер-паролю)

#9

… ну и кроме того, согласно википедии,

В качестве рекомендаций, опытные пользователи советуют, пароли особой важности хранить в LastPass в намерено измененном виде, к примеру ставить лишние символы.

Источник:

#10

Так-то не рекомендуется и вводить любые пароли в чужом месте и тем более на чужих устройствах.

#11

Но иногда бывают ситуации, когда надо войти под своими именем, а под рукой своего устройства нет. Но тогда я бы рекомендовал менять пароль после каждого такого входа…

#12

поэтому изобрели смартфоны :wink:

#13

Для этого используют одноразовые.

#14

Проблема в том, что они иногда ломаются/разряжаются/теряются/крадутся.
Поэтому совсем без паролей обойтись никак нельзя.

#15

Так его тоже нет под рукой

#16

Научиться в голове хранить сотню сложных 20-символьных паролей ))

#17

Такое сейчас редко бывает )

image

Только если разрядился :astonished:

#18

Люди снова возвращаются к часам)

И менять их каждый день

#19

Ой, все равно скоро сделают вход по сетчатке глаза. А пока можно и на бумажке хранить :laughing:

#20

Зачем вообще запоминать? У тебя же номер хранится в старом пароле. Допустим, если у тебя на трёх ресурсах пароли:

  1. hh668b78m1
  2. s-(90=_-**/21
  3. kdkj9978$%^&*56

По составить новый проблем не составит.

Поясни, что ты имеешь в виду, я не понимаю.

Мой вариант проще. Тебе надо запомнить лишь один пароль, а не составлять каждый раз основное слово.

Здесь ситуация немного сложная и необычная. Я постараюсь объяснить, и, быть может, тебе станет легче.

Когда я давал такой совет, я опирался на свой опыт. Дело в том, что я никогда не выдавливал из себя такие вопросы и такие слова. Более того, я даже их не придумывал. Появлялись они разными путями.

Первый способ
Это может быть плохо расслышанная фраза(ы) (из диалога, песни, мульфильма), которые ты могла почему-то запомнить. Вот мой случай. Очень давно я смотрел одну из серий мультика про Сильвестра и Твитти (чёрный кот, который гонялся за жёлтой канарейкой).

2020-01-28_23-46-49
2020-01-28_23-46-49508×507 145 KB

В одной из серий, когда кот при погоне оказался внутри ствола полого дерева он рассердился и “выругался”. Его ругань мне первый раз послышалась как “аси паси маси хаси”. Скорей всего, фраза звучала по-другому, но, уверен, что она представляла собой глоссолалию (тарабарщину), чтобы смотрящий интуитивно понял, что герой ругается. Так вот, вопрос можно составить так:

в: что сказал кот, когда попал в дерево?
о: аси паси маси хаси

Или ещё один источник: песня. Также давно, мне я услышал песню группы Joy под названием Touch by touch. Начало её припева тогда мне показалось как “Турут мистер Дэвид” (я всё ещё помню это, да). На самом деле, слова там были такие: «Do it, we still do it» (эта песня про секс, если что). Но ослышки уже достаточно, что составить вопрос, например,

В: Что пели три дяденьки из Джой? [группа состоит(яла) из трёх мужиков]
О: Турут мистер Дэвид

Хочу сказать, что я всё это у меня удерживается в памяти больше 20 лет. При этом я не могу похвастаться хорошей памятью. Вот так вот, эту ерунду помню, а некоторые вещи, который я изучал в институте в период с 2006 по 2011 год забыл.

Кстати, ссылка на песню: https://www.youtube.com/watch?v=6HwoS9NWM7E

Второй способ.
Иногда у тебя так бывает, что, когда я вижу некоторых людей, предметы, явления, у меня в голове самопроизвольно появляются некоторые лексические ассоциации, выраженные либо в несуществующих словах либо в шизофазийных предложениях.

Случай один.
В институте я неоднократно видел одного парня, который учился на другом факультете. У него на лице была небольшая рана, из-за чего я сразу начал “думать”, что он характеристонок (он же характеристический мальчик). Слово помню до сих пор, хотя “придумалось” оно в 2006 году. Кстати, мы с ним знакомы немного, так как жили в одном подъезде, при встрече здороваемся.

Случай два.
Когда в очередной раз пересматривал сериал “Остаться в живых”, зацепился за фрагмент, когда Сойер, после освобождения из плена Других плыл на каноэ. У него было были порваны джинсы. Сразу фраза “плывёт коленом”.

Кстати, вот этот кадр:

2020-01-29_00-33-46
2020-01-29_00-33-46362×507 57.9 KB

1 лайк