Слишком слабый пароль

Цитата (Raynor @ 26.09.2025 - 00:46)

Цитата (goodvin2030 @ 26.09.2025 - 00:26) а если нет интернета мобильного? а если гугл в моей локации забанен? что чистейшая правда. Из Сев. Кореи пишешь?

из ДНР. даже плей маркета нет, ничего гугловского нет без впн. на юнити приложение под андроид без впн не скомпилируется потому что нет доступа к библиотекам

Цитата (goodvin2030 @ 26.09.2025 - 00:47)

Цитата (Down @ 26.09.2025 - 00:46) с прошлого века я использую мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг ну так я про защиту от брутфорса и говорю, почему ее почти нигде нет? один ввод раз в минуту, все, брутфорс идет нахрен

она много где есть
начиная от провайдеров
заканчивая оперционкой микротика например

Цитата (Down @ 26.09.2025 - 00:46)

с прошлого века я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг

Пиздоболит табличка.. Числа и буквы в верхнем и нижнем регистре, с длиной пароля в 7 символов ломаются за 31 секунду... Брутфорсом. Ага, пойду охуею...

Цитата

это гениально

Это нормально....пароли должны быть разными для определённых (сайтов) будь это какие-то форумы/банковские дела/(для россиян госуслуги)...у меня для сайтов один пароль для банка другой для телефона третий....и да я использую @ вместо а.

P.s. а вообще я их даже не в вожу у меня всё на отпечатки пальца
Размещено через приложение ЯПлакалъ

Цитата (PodzaBorman @ 26.09.2025 - 00:50)

Цитата (Down @ 26.09.2025 - 00:46) с прошлого века я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг Пиздоболит табличка.. Числа и буквы в верхнем и нижнем регистре, с длиной пароля в 7 символов ломаются за 31 секунду... Брутфорсом. Ага, пойду охуею...

а по-моему это не табличка пиздаболит гг

Цитата (Down @ 26.09.2025 - 00:53)

Цитата (PodzaBorman @ 26.09.2025 - 00:50) Цитата (Down @ 26.09.2025 - 00:46) с прошлого века я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг Пиздоболит табличка.. Числа и буквы в верхнем и нижнем регистре, с длиной пароля в 7 символов ломаются за 31 секунду... Брутфорсом. Ага, пойду охуею... а по-моему это не табличка пиздаболит гг

Табличка была создана уже после того, как начали для этого современные GPU применять, или после? Как бы не "до"... Сейчас можно GPU удаленно в аренду взять, как VDS или БД, на день например. И нагрузить его задачей.
Это сообщение отредактировал taper - 26 сен 2025 в 01:15

Цитата (taper @ 26.09.2025 - 00:48)

Цитата (goodvin2030 @ 26.09.2025 - 00:41) если бесконечно усложнять пароли это решит проблему? у вас в любом случае они будут. и чем они сложнее тем дольше вероятность что они подойдут к другим сайтам, ибо запоминать все более сложное невозможно, легче использовать уже что помнишь Зачем усложнять бесконечно? Я этого не утверждал. Могу дать пару рецептов. 1. Создаете некую строку вида hreeAd10, учите навсегда и используете в качестве префикса для каждого пароля. 2. В качестве "тела" пароля используете осмысленное слово, которое проще вспомнить по контексту сайта. В идеале писать его с ошибкой, по-албански например. 3. Используете также общий суффикс для пароля, например ^3fg, который никогда не сохраняете в браузере. Чтобы пароль приходилось дописывать каждый раз. для ЯПа пароль должен получиться что-то вроде hreeAd10ЯКакал^3fg, для mail.ru: hreeAd10Мыло^3fg 4. Не используете одинаковый пароль везде. Госуслуги, телега - вообще уникальные, заказ запчастей и додо.пицца - может быть и одинаковый. Бьете сайты по тематикам, job, hobby, dacha, siski, используете как слово в группах паролей соответственно. Эта методика даст некоторую защиту от самых распространенных атак. Если как я, параноик, можно усложнить на ступень

это все работает до момента когда требует сменить пароль. тогда вся логика перестает работать

поэтому я говорил в начале о балансе безопасности и удобства пользователя, если он нарушен нарушается и безопасность
Это сообщение отредактировал goodvin2030 - 26 сен 2025 в 01:03

Цитата (taper @ 26.09.2025 - 00:48)

Цитата (goodvin2030 @ 26.09.2025 - 00:41) если бесконечно усложнять пароли это решит проблему? у вас в любом случае они будут. и чем они сложнее тем дольше вероятность что они подойдут к другим сайтам, ибо запоминать все более сложное невозможно, легче использовать уже что помнишь Зачем усложнять бесконечно? Я этого не утверждал. Могу дать пару рецептов. 1. Создаете некую строку вида hreeAd10, учите навсегда и используете в качестве префикса для каждого пароля. 2. В качестве "тела" пароля используете осмысленное слово, которое проще вспомнить по контексту сайта. В идеале писать его с ошибкой, по-албански например. 3. Используете также общий суффикс для пароля, например ^3fg, который никогда не сохраняете в браузере. Чтобы пароль приходилось дописывать каждый раз. для ЯПа пароль должен получиться что-то вроде hreeAd10ЯКакал^3fg, для mail.ru: hreeAd10Мыло^3fg 4. Не используете одинаковый пароль везде. Госуслуги, телега - вообще уникальные, заказ запчастей и додо.пицца - может быть и одинаковый. Бьете сайты по тематикам, job, hobby, dacha, siski, используете как слово в группах паролей соответственно. Эта методика даст некоторую защиту от самых распространенных атак. Если как я, параноик, можно усложнить на ступень

иди в пизду! нахуй мне так сложно? да и взломают-похуй

Цитата (Down @ 26.09.2025 - 00:53)

Цитата (PodzaBorman @ 26.09.2025 - 00:50) Цитата (Down @ 26.09.2025 - 00:46) с прошлого века я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг Пиздоболит табличка.. Числа и буквы в верхнем и нижнем регистре, с длиной пароля в 7 символов ломаются за 31 секунду... Брутфорсом. Ага, пойду охуею... а по-моему это не табличка пиздаболит гг

Ну давай посчитаем, хули... В английском алфавите 26 букв, с учётом регистра их 46...

Итого, предположим, что мы перебираем брутфорсом пароль, пусть из одних букв, нам надо поиметь (46*7)! вариантов. Это будет 2,1872467417527637514326882479987e+669 как-то то так..Пусть мы миллиард раз в секунду подбираем пароль, это будет как-то так -2,1872467417527637514326882479987e+660...

Цитата (PodzaBorman @ 26.09.2025 - 01:02)

Цитата (Down @ 26.09.2025 - 00:53) Цитата (PodzaBorman @ 26.09.2025 - 00:50) Цитата (Down @ 26.09.2025 - 00:46) с прошлого века я использую придуманное мной мнемоническое правило для запоминания паролей к разным сайтам на вопрос: сколько я помню паролей отвечаю: около пятисот никогда сбой не давало моё правило и хватит этого детского сада про "один пароль для всех сайтов" ггыг Пиздоболит табличка.. Числа и буквы в верхнем и нижнем регистре, с длиной пароля в 7 символов ломаются за 31 секунду... Брутфорсом. Ага, пойду охуею... а по-моему это не табличка пиздаболит гг Ну давай посчитаем, хули... В английском алфавите 26 букв, с учётом регистра их 46... Итого, предположим, что мы перебираем брутфорсом пароль, пусть из одних букв, нам надо поиметь (46*7)! вариантов. Это будет 2,1872467417527637514326882479987e+669 как-то то так..Пусть мы миллиард раз в секунду подбираем пароль, это будет как-то так -2,1872467417527637514326882479987e+660...

Сначала по словарю атака идет. Погугли что-то вроде "база с миллионом наиболее употребляемых паролей". Ну пусть не миллион, а десять миллиардов. Перебрать их гораздо быстрее чем тупо брутфорсить. И есть шансы что в этой базе окажется и спернутый с какого-нибудь сайта или перехваченный пароль, который ТС использует для всех сайтов. А вообще большинство даже сложных но "социальных" паролей вида 12Алеша1986 укладываются в миллион самых распространенных, поэтому раскрываются в первую секунду атаки перебором по словарю. По моему рецепту - только брутфорсом.

По этой же методике можно узнать пароль, имея только хеш. Берешь словарик, цикл, считаешь хеш от пароля, сравниваешь. Не сошлось - пошел дальше. Это быстро. Если хеш из сессии спер - можно подобрать и пароль. Для нормальных схем нужно знать еще и соль, но если хеш считается на стороне клиента до передачи сайту, она у тебя будет. А если на стороне сервера, значит пароль из сессии спереть проще
При таком методе все вычисления производятся на стороне интрудера, задержка в качестве защиты от брутфорса не может помешать. Так ищут пароли для вайфая. Сдернул хеш из эфира, на своей стороне по словарю определил пароль, к роутеру уже только один раз с правильным паролем обратился.


Это сообщение отредактировал taper - 26 сен 2025 в 01:36

Keepass офигенная штука. Менеджер паролей, русский интерфейс
Размещено через приложение ЯПлакалъ

Цитата (goodvin2030 @ 26.09.2025 - 00:32)

Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей

В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним

А на картинке - пароль из Лукьяненко.

Цитата (PixiMixi @ 26.09.2025 - 01:06)

Цитата (goodvin2030 @ 26.09.2025 - 00:32) Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним

да согласен, предложили вон мнемонические правила, это классная штука, но , то один сайт требует спецсимвол, то другой сайт его не поддерживает, вот все симвоблы поддерживает а нижнее подчеркивание не хочет к примеру. какой то сайт просит заменить пароль через время, и получается что мнемоника тоже не сильно работает или нужно держать в уме две три системы мнемоники.

свою ответственность разработчики скидывают на пользователя. у нас свои правила а ты ебись как хочешь

Цитата (xyxy @ 26.09.2025 - 01:08)

А на картинке - пароль из Лукьяненко.

ну так это же очевидно

кто напишет какой пароль был у падлы... желание исполню
Это сообщение отредактировал goodvin2030 - 26 сен 2025 в 01:12

Цитата

владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть

Всё зависит от того, как организовано хранение логинов и паролей у конкретного владельца сайта. Это могут быть и только хэши, это могут быть и реальные пароли, хотя он будет уверять, что пароли не хранит. Но хер ты узнаешь правду или проверишь, как именно у него организовано, что он как и где хранит и куда отправляет.

Цитата (goodvin2030 @ 26.09.2025 - 01:10)

Цитата (PixiMixi @ 26.09.2025 - 01:06) Цитата (goodvin2030 @ 26.09.2025 - 00:32) Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним да согласен, предложили вон мнемонические правила, это классная штука, но , то один сайт требует спецсимвол, то другой сайт его не поддерживает, вот все симвоблы поддерживает а нижнее подчеркивание не хочет к примеру. какой то сайт просит заменить пароль через время, и получается что мнемоника тоже не сильно работает или нужно держать в уме две три системы мнемоники. свою ответственность разработчики скидывают на пользователя. у нас свои правила а ты ебись как хочешь

Надо заранее предположить в мнемонике те символы, которая скушает любая система, вот и всё..

Цитата (goodvin2030 @ 26.09.2025 - 01:10)

Цитата (xyxy @ 26.09.2025 - 01:08) А на картинке - пароль из Лукьяненко. ну так это же очевидно кто напишет какой пароль был у падлы... желание исполню

сорок тысяч обезьян..))))

Цитата (PodzaBorman @ 26.09.2025 - 01:14)

Цитата (goodvin2030 @ 26.09.2025 - 01:10) Цитата (PixiMixi @ 26.09.2025 - 01:06) Цитата (goodvin2030 @ 26.09.2025 - 00:32) Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним да согласен, предложили вон мнемонические правила, это классная штука, но , то один сайт требует спецсимвол, то другой сайт его не поддерживает, вот все симвоблы поддерживает а нижнее подчеркивание не хочет к примеру. какой то сайт просит заменить пароль через время, и получается что мнемоника тоже не сильно работает или нужно держать в уме две три системы мнемоники. свою ответственность разработчики скидывают на пользователя. у нас свои правила а ты ебись как хочешь Надо заранее предположить в мнемонике те символы, которая скушает любая система, вот и всё..

если б знать заранее

Цитата (PodzaBorman @ 26.09.2025 - 01:15)

Цитата (goodvin2030 @ 26.09.2025 - 01:10) Цитата (xyxy @ 26.09.2025 - 01:08) А на картинке - пароль из Лукьяненко. ну так это же очевидно кто напишет какой пароль был у падлы... желание исполню сорок тысяч обезьян..))))

там физиологически как то не очень возможно, но фразеологически и матом вполне хорошо получается, причем удивлены такому обороту были несколько вполне достигших зрелости мужиков. о невозможности физически такое сделать падла обьяснял подростку

Цитата (goodvin2030 @ 26.09.2025 - 01:15)

Цитата (PodzaBorman @ 26.09.2025 - 01:14) Цитата (goodvin2030 @ 26.09.2025 - 01:10) Цитата (PixiMixi @ 26.09.2025 - 01:06) Цитата (goodvin2030 @ 26.09.2025 - 00:32) Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним да согласен, предложили вон мнемонические правила, это классная штука, но , то один сайт требует спецсимвол, то другой сайт его не поддерживает, вот все симвоблы поддерживает а нижнее подчеркивание не хочет к примеру. какой то сайт просит заменить пароль через время, и получается что мнемоника тоже не сильно работает или нужно держать в уме две три системы мнемоники. свою ответственность разработчики скидывают на пользователя. у нас свои правила а ты ебись как хочешь Надо заранее предположить в мнемонике те символы, которая скушает любая система, вот и всё.. если б знать заранее

Да легко - хоть виндовс, хоть юникс системы из спецсимволов скушают # и !. Этого достаточно, чтобы издеваться.

Цитата (PodzaBorman @ 26.09.2025 - 01:19)

Цитата (goodvin2030 @ 26.09.2025 - 01:15) Цитата (PodzaBorman @ 26.09.2025 - 01:14) Цитата (goodvin2030 @ 26.09.2025 - 01:10) Цитата (PixiMixi @ 26.09.2025 - 01:06) Цитата (goodvin2030 @ 26.09.2025 - 00:32) Цитата (taper @ 26.09.2025 - 00:29) Владелец любого сайта знает твой пароль к своему. Или у него могут спереть базу пользователей. Он вполне может быть добавлен в некую связку "персона - возможные пароли" и использован для попытки входа на другие сайты. Социальная инженерия нынче и не такое творит легко. Как и 1234 подбирает. владелец сайта не знает твой пароль, он знает хеш, которые при совпадении с твоим паролем даст добро на вход. это как конечное шифрование в мессенджерах. если два ключа совпадут доступ есть для госуслуг есть двухфакторная авторизация, на случай утечки. а менеджеры паролей сами при первой возможности сольют твои пароли, им доверять нельзя. и это минус усложнения паролей В словах @taper есть смысл. конкретно вы не знаете, на каком сайте кто как хранит. а может в базу засовывает и реальные пароли. а потом лезет на почту по ним да согласен, предложили вон мнемонические правила, это классная штука, но , то один сайт требует спецсимвол, то другой сайт его не поддерживает, вот все симвоблы поддерживает а нижнее подчеркивание не хочет к примеру. какой то сайт просит заменить пароль через время, и получается что мнемоника тоже не сильно работает или нужно держать в уме две три системы мнемоники. свою ответственность разработчики скидывают на пользователя. у нас свои правила а ты ебись как хочешь Надо заранее предположить в мнемонике те символы, которая скушает любая система, вот и всё.. если б знать заранее Да легко - хоть виндовс, хоть юникс системы из спецсимволов скушают # и !. Этого достаточно, чтобы издеваться.

вот поэтому теперь ! и использую, где ты был 5 лет назад, кстати, это тоже пробел в безопасности
Это сообщение отредактировал goodvin2030 - 26 сен 2025 в 01:20

*drink*
Ъять!
Я не знаю сколько там символов реально использовалось - на я реально знаком с тётушкой у которой паролем одно время была реально неслабая фраза толи из молитвы то ли из жития святых:)
Потом ей всётаки надоело часто набирать :)

Делюсь бесплатно.
Придумай длинное предложение, которое легко запомнить. В качестве пароля используй первые буквы каждого слова. Где нибудь добавь нолик.

Пример (на русском)
Мимо тещиного дома я без шуток не хожу, то ей х.й в забор засуну, то ей жопу покажу.
Пароль: Мтдябшнхтехвззтежп

P.S. Если у вас нет паранойи, это ещё не значит что за вами не следят.
Размещено через приложение ЯПлакалъ

..а от всякой социнженерии лучше всего указывать в контрольных вопросах имя собаки - пиво, хотя у тебя никогда никакой собаки не было.