Хранение паролей на бумаге

клал я на безопасность

Уже второй раз на этом форуме от тебя это слышу. Ты как будто специально провоцируешь потенциального взломщика. Имхо, хуже хранения ключей под ковриком могут быть только рассказы первым встречным, где они лежат и что замок вообще отвёрткой открывается, если вдруг случайно ключей в нужном месте не окажется. Дело, конечно, твоё...

Лежал, думал :) А если не добавлять свои пароли в файл а использовать уже имеющиеся в нем строчки, например открыть фотографию, даже не свою, а найденную в интернете в блокноте и использовать первые 10-20 символов на первой строчке в качестве пароля от одного емейла, со второй строчки ко второму и.т.д. Еще лучше если это например постер какого-то фильма в определенном разрешении, который легко найти в поисковике. Или все равно не прокатит? :)

И еще раз про бумажку :) Что если сделать так, например у меня пароль от почты qwerTY, но на бумажке написать wertYU, или пароль 1111, а на бумаге написать 2222, разумеется пароль намного сложнее или взломщик может взять такой пароль в качестве шаблона?

Прохладная: у меня такое было, а потом конкурент кинул коктейль Молотова в окно, теперь нету бизнеса и паролей. Восстановить, разумеется, ничего нельзя. Не веришь? Гугли стори за прошлый год, место действия Сибирь.

Обои, конечно, не горят, а квартиры не затапливаются. Жены «от скуки» не делают ремонты и т д... Смешно.

Распечатывать предполагается, лол.

Почему бы не уточнить в гугле о таком способе хранения паролей? А чтобы 2 раза не вставать, то и рекомендации о лучшем способе получить. «В мире очень мало вопросов, на которые человек не может ответить сам.» (с) Кто-то из ми5

pwgen -nc 16 100 >passwords.txt

и пользоваться, никаких бумажек не надо, а соответствие логин-пароль храним в уме.

Использовать стеганографию, чтобы записи мог расшифровать только ты. Ну и для долговечности предлагаю выбить пароли каменной на стене, ей не страшны ни мыши, ни пожары, инфа сотка.

придумай свой алфавит и на лбу себе набей. пусть взломщики мучаются

Пробовал загуглить, но конкретно про этот способ ничего не нашел :( Просто интересно насколько он безопасен, ведь как говорят, если хочешь что-то спрятать, оставь это на видном месте :) Тут как раз этот случай, допустим это постер фильма, его легко найти в поисковике, сохранить себе на жесткий диск и открыть в блокноте, при этом в нем не будет никаких лишних символов и.т.п.

Спасибо, но даже с моей паранойей это уже перебор :)

И какой поисковый запрос ты вводил, что тебе не дал гугл ссылок на ответы?

Вообще язабан, это же надо такой бред отправить в этот раздел форума, тебе в General.

В google, было несколько результатов о том, как спрятать текст в картинку с помощью rar, но мой способ не нашел.

патентуй

https://ru.wikipedia.org/wiki/Стеганография

https://lurkmore.to/Rarjpeg

Ты чего, чудик? Ты тему с каким постом создал? Какая картинка? Ты спрашивал про бумагу. Откуда вы беретесь только?

Извиняюсь, понесло не в ту степь :) На самом деле большое всем спасибо за помощь и извините если что не так.

Школьный аттестат, понимаешь? Не диплом.

Да пофиг.

1)Я не думаю что ты так просто откроешь в текстовом формате картинку. И если откроешь, то я думаю, бинарные пароли тебя не устроят (и сервис где ты их будешь использовать). И нет гарантий того что в интернете не исчезнет картинка из которой ты берешь пароли.

2) Если паролей будет много, то ты всё напрочь перепутаешь. И от паяльника не спасёт.

Вообще, какой у тебя вектор угроз?

1) Да я уже попробовал открыть несколько своих фоток и картинок из сети, но там уж слишком абракадабра, с запрещенными для паролей символами, поэтому этот способ уже не рассматриваю.

2) Не перепутаю :) Сейчас попробовал изменить один из своих паролей таким образом туда и обратно, получилось с первого раза, просто интересно надежно ли это?

Это на самый крайний случай, пожар, потоп, землятресение и.т.п :) Понимаю звучит как паранойя, просто был случай, в детстве мы с братом остались дома, точнее решили один денек прогулять школу и на балкон с этажа сверху залетела сигарета, огонь заметили не сразу, но сумели все потушить, если бы в тот день пошли в школу, то боюсь, что вся квартира полностью выгорела. И с тех пор в голове что-то изменилось :)

Если защищаемся от форсмажора, то лучшим решением будут облака. И не надо придумывать велосипед думая что ты всех обхитришь. В первую очередь - самого себя и «обхитришь» (забудешь их).

Идеально - KeePass база с ключ-файлом (ddшчкой сгенерированным) и классическим паролем как можно большей длины, причём не обязательно использовать случайные символы.

А если в облаке, то каким образом лучше всего это сделать? Просто все пароли на компьютере храню в архиве, с шифрованием и сложным паролем, читал что на взлом такого архива уйдет лет 10 и если это не компьютер пентагона и.т.п, то никто этим заниматься не станет, но все равно пока побаиваюсь заливать его в облако :(

TrueCrypt ещё очень долго будет актуален.

Так-то да

Нет, в нём нашли дыры, а обновлений, ясно, не будет.

Пруфы? Там были слабые уязвимости.

KeePass2! Я второй раз говорю.

Нет, в нём нашли дыры, а обновлений, ясно, не будет.

Описание дыр в студию. Уже много раз слышал эту байку. Единственное что кажется подтвердилось, что нашли ошибки в коде версии 7.1а не влияющие на приватность шифруемых данных. И то кажется только в виндовой версии.

Там были слабые уязвимости.

Кажется пару лет назад где-то читал про потенциальную уязвимость AES которая позволяет процентов на 50, кажется, снизить время требуемое на расшифровку, и то шанс появления уязвимости какой-то совсем уж ничтожный. Не об этом речь?

https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_True...

Тут 11 проблем с безопасностью, самая главная из готорых - это возможность утечки ключа заголовка тома => злоумышленник имея сам том, с помощью атаки по словарю, может определить какой ключ шифрует заголовок тома. И уже с этим ключом открыть весь том.

Такого не слышал.

возможность утечки ключа заголовка тома

Меня не пугает. У меня трюкрипт скорее для того чтобы при необходимости иметь возможность прочесть левый том. Свои данные на Люксе все.

Такого не слышал.

Это от математиков пробегало. Практической значимости даже с математической точки зрения пока не имеет.

Спасибо за помощь!

pwgen -nc 16 100 >passwords.txt [skip] а соответствие логин-пароль храним в уме.

Ага. А если мне удастся украсть твой passwords.txt, то для взлома любого отдельно взятого аккаунта мне достачно сделать максимум wc -l passwords.txt переборов, а в среднем wc -l passwords.txt / 2. Имхо, qwerty12345 и то надёжнее.

если эта бумажка попадёт к кому-то в руки, то пароли будут взломаны за считанные минуты что бы там ни понапридумывал.

Как бы самому через Х лет не всё в таких бумажках ясно, если записано недостаточно конкретно.

Идеально - KeePass база с ключ-файлом (ddшчкой сгенерированным) и классическим паролем как можно большей длины, причём не обязательно использовать случайные символы.

Как раз случайность символов очень важна. Любая система даже в длинном пароле делает его на порядки более уязвимым. Другое дело, когда запоминаешь пароль (а особенно несколько паролей), то этот компромисс может быть нужен просто, чтоб не забыть. Но когда всё равно где-то хранишь (а это дополнительная уязвимость в любом случае), усугублять её ещё и не нужной в данном случае системой в генерации паролей не вижу смысла. В этом случае пароль тем более должен быть полностью случайным и длиной не меньше 15 символов.

Кстати, и расшифровать файл со случайными символами сложнее, чем файл со словами. Ведь при переборе результат сравнивается с чем-то осмысленным, а если осмысленного ничего нет, то останется ориентироваться только на пробелы или нью-лайны, разделяющие парольные подстроки более менее равномерно.

А теперь смотрите, у меня пароль - обычные фразы на английском. Длина пароля = 47 символов = ~200 бит энтропии. И даже при 1млн попыток подбора в секунду примерое время исчиляется десятилетями. Чем не надёжно?

Или вот, допустим, ваш пароль - 21 случайных символа = ~131 бита энтропии. Ваш пароль вскроют быстрее. Да и попробуйте сами, без бумажек, запомнить это: dci34aw/a~sql7Z*(YLj6 . Уже запомнили? А я свою фразу (которая нигде не встречается) запомнил почти сразу. Да и связка пароля + ключ-файла + TOTP делает мою базу с паролями почти непробиваемой.

Длина пароля = 47 символов = ~200 бит энтропии. ваш пароль - 21 случайных символа = ~131 бита энтропии. Ваш пароль вскроют быстрее.

Понятно, что при прочих равных более короткий пароль вскроют быстрее. Но если мой пароль будет такой же длины, как у вас, но а абсолютно случайным, то его и вскрывать будут дольше.

Тут ещё важно использовать программу генерации паролей, использующую истинно случайные числа, а не псевдослучайные. Потому что при использовании псевдослучайного генератора с 16-битным истинно случайным зерном инициализации последовательности, например, каким бы длинным пароль ни был, достаточно максимум 65536 переборов для его вскрытия, если известен псевдослучайный алгоритм. А при использовании в качестве инициализатора последовательности текущего времени, эту величину можно локализовать определённым более узким диапазоном. На таких мелочах часто горят криптографические системы.

Да и попробуйте сами, без бумажек, запомнить это: dci34aw/a~sql7Z*(YLj6 . Уже запомнили? А я свою фразу (которая нигде не встречается) запомнил почти сразу.

Так я же абсолютно то же самое и сказал: если запоминать самому, то это одно, а если хранить в зашифрованном файле, то совсем другое.

использующую истинно случайные числа, а не псевдослучайные

Так все генераторы чисел являются псевдослучайными.

Так я же абсолютно то же самое и сказал: если запоминать самому, то это одно, а если хранить в зашифрованном файле, то совсем другое.

Вот допустим, у Вас есть парольная база которая открывается по паролю. Вы выбрали пароль dci34aw/a~sql7Z*(YLj6 и Вы теперь будете ещё и его засовывать в шифрованный файл? А как Вы расшифруете шифрованный файл? И опять и опять пароли.

Так все генераторы чисел являются псевдослучайными.

Не все. В Linux есть устройство /dev/random, которое генерит истинно случайные числа из каких-то случайных событий (движений мышкой, нажатия клавиш на клавиатуре и т. д.), но если никакого ввода долго нет, то это устройство может заблокироваться до активации одного из источников случайных чисел. А есть /dev/urandom, который тоже по возможности генерит случайные числа, но если что, то может генерить и псевдослучайные, зато никогда не блокируется.

Ну и ещё существуют библиотеки, способные извлекать случайные биты из шума звуковой карты. А ещё есть специальные микросхемы, генерирующие случайный шум. Но эти решения менее универсальны.

Вот допустим, у Вас есть парольная база которая открывается по паролю.

Пароль для самой базы сделаю запоминающимся, но не слишком лёгким, а пароли внутри базы — полностью случайными.

Спасибо за пояснения насчёт urandom/random.

Пароль для самой базы сделаю запоминающимся, но не слишком лёгким, а пароли внутри базы — полностью случайными.

Вот. Теперь понял что Вы хотели сказать. У меня так же: большой запоминающийся пароль для всей базы + ключ + TOTP и рандомные пароли от 21 символа для элементов базы.

и оседать в незашифрованном виде в кеше браузера? что за тупь?

https://www.passwordstore.org/

Не кэшируй. В чём проблема?

В общей дебильности плана. Не кешируй, чисть буфер обмена, не запускай на недоверенных компа, закрой сертификат на пароль, помести все в гит... Может сразу нормальное решение взять?

Как я и писал - способ для извращенцев. ТСу дал KeePass.

Насколько я понял, нынче пароли хранить не нужно. Ибо они теперь могут быть простые для запоминания, долгоживущие и одинаковые.

Как раз случайность символов очень важна. Любая система даже в длинном пароле делает его на порядки более уязвимым.

Формально да. На практике - нет. Тут главное не докатиться до имен любимого кота если конечно его имя не #8iuoircgjx,p20IHYFG. Ну и естественно не о каких 15 символах пароля в случае его осмысленности речь не идет. Думаю что даже классику взломать со словарем будет достаточно сложно. Например: Nhblwfnmdjctvmj,tpmzyd;jgecetekb,fyfy Переводить надо? :)

А вот запомнить логичный пароль на много проще. А такие пароли надо именно запоминать и никак иначе.

Но если мой пароль будет такой же длины, как у вас, но а абсолютно случайным, то его и вскрывать будут дольше.

Не обязательно. Словарные алгоритмы работают хоть и быстрее, но только на простых паролях. Если речь идет о длинном пароле, то вероятность вскрытия его по словарю близка к нулю. Так что остается только старый добрый брутфорс.

Насколько я понял, нынче пароли хранить не нужно. Ибо они теперь могут быть простые для запоминания, долгоживущие и одинаковые.

Если это не шутка то могу только посочувствовать.

Ну и естественно не о каких 15 символах пароля в случае его осмысленности речь не идет.

Согласен. 15 символов годится для случайного или на худой конец частично случайного пароля.

Но если мой пароль будет такой же длины, как у вас, но а абсолютно случайным, то его и вскрывать будут дольше.

Не обязательно. Словарные алгоритмы работают хоть и быстрее, но только на простых паролях.

Почему? Что мне мешает забить в словарь всего Ожегова + Даля + Ушакова + словарь матерных слов + ещё несколько специализированных словарей + несколько сот слов типа abc123, qwerty и т. д. + ещё кучу словарей разных языков? Или просто создать словари из нескольких гигабайт текстов на разных языках? Что мешает написать небольшую программку, которая будет переводить «привет» в «ghbdtn», а также в «privet», а «hello» в «руддщ» и в «хелло»? Что мешает автоматически записать все эти слова строчными и прописными буквами + 1-ую сделать прописной, а остальные — строчными? У меня получится всего несколько сот тысяч, ну от силы порядка миллиона вариантов. А на составление такого мега-словаря я тоже потрачу не так много времени, т. к. большая часть работы будет делаться автоматически, не говоря уже о том, что такие словари уже есть. Что такое перебрать миллион или даже десяток миллионов вариантов в наше время? Разумеется, ваш пароль длиной 37 символов и 7 слов длиннее моего случайного 15-символьного. Но речь идёт о паролях одинаковой длины. Если бы вы создали пароль из 2 слов длиной примерно 15 символов, каждое из которых с учётом разных вариантов написания попадало бы в словарь из 100 тысяч слов, то получилось бы максимум 10 млрд переборов, что возможно сделать за разумное время, если использовать ботнет.

Так что остается только старый добрый брутфорс.

8-символьный пароль — запросто. Но уже 15-символьный полностью случайный пароль не сломает ни брутфорс (даже при наличии ботнета или супер-компьютера), ни радужные таблицы.