ArtReal's readme
personal unreality:  точка пушистости

Парольная конспирация

11.03.07 14:30 ◇ keywords: web, технологии

Когда мы вводим логин-пароль, то пароль хорошо бы сделать нетривиальным, хорошо бы — нечитаемым, а еще лучше — незапоминаемым. Я тут вот чего подумал… почему бы вместо пароля «sobaka» не вносить md5(«sobaka»)? Если не принимать во внимание, что некоторые системы такую длину пароля не осилят — насколько проще подбор md5-хеша vs «девятисимвольный набор букво-цифр»? На первый взгляд, md5 подбирать сложнее, но уверенности в этом что-то нет.

Но вот идея использовать message digest для генерации пароля мне нравится. Т.е. вместо зазубривания ненормальной последовательности букв можно взять обычное слово или фразу, прогнать его через алгоритм «ужимания» (не md5; и желательно, чтобы он охватывал весь надор букв и цифр) — и получить пароль. Т.е. технология получается такой: на своем сайте (или прямо у себя на компе) в формочку вносим «обычное» слово, а в ответ получаем «шифрованное», которое и используем в качестве пароля. Который запоминать собершенно необязательно.

ps. Кстати, а почему не один из публичных сервисов не поддерживает регламент одноразовых паролей? Иногда приходится пользоваться интернет-кафе или не своим компом. А кто может поручиться, что там нет кейлоггера или записи трафика?

 [ link ] -1
Comments   [ 7 ]
[ 1 ] Infinus  / 11.03.2007 21:11
Удобнее вносить не «обычное слово», а домен сайта. Если, конечно, запомнить нужно именно такие аутентификационные данные.

ArtReal: в таком случае нужно разрабатывать уникальный (для каждого) алгоритм. А оно надо?


[ 2 ] StraNNicK  / 12.03.2007 05:04
Firefox + GreaseMonkey + Password Composer ([link])
Впрочем, он и к IE прикручивается.

Осуществляет примерно то же самое, что описано выше.

Недостаток: неудобно работать с чужих машин.
А про одноразовые пароли — надо Ивану Сагалаеву мысль подкинуть. Пусть в план включит. :)

ArtReal: md5 — это, все же, не лучшая штука для «кодирования» паролей
Что же касается Password Composer — то привязка к master password и домену — неудачное решение


[ 3 ] Infinus  / 12.03.2007 11:59
Имелось в виду, что писаться будет это для себя и работать только авторизировавшись.

[ 4 ] Infinus  / 12.03.2007 12:03
Или лучше так: на основе одного пароля генерируется новый под каждый сайт. Т.е. реально нужно помнить только один пароль и URL сайта.

[ 5 ] StraNNicK  / 12.03.2007 12:07
> Или лучше так: на основе одного пароля генерируется новый под каждый сайт.
> Т.е. реально нужно помнить только один пароль и URL сайта.

Упомянутый мною выше Password Composer именно так и делает.


[ 6 ] Infinus  / 12.03.2007 12:13
> Упомянутый мною выше Password Composer именно так и делает.
А как он справляется с несколькими юзерами в пределах одного домена?
Сам я давно пользуюсь утилитой KeePass. Пока она удовлетворяет все мои требованиям в этом плане.

ArtReal: Замешивает с master password. Как именно, можно посмотреть по тексту скрипта для bash (link)


[ 7 ] StraNNicK  / 12.03.2007 12:17
Аллах его знает. Не пробовал.
KeePass посмотрю.

Comments   [ 7 ]