Aen Sidhe's Weblog » безопасность http://www.aensidhe.ru Просто блог. Fri, 03 Feb 2012 10:13:03 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 paranoia http://www.aensidhe.ru/2010/04/29/paranoia/ http://www.aensidhe.ru/2010/04/29/paranoia/#comments Thu, 29 Apr 2010 07:15:59 +0000 Aen Sidhe http://www.aensidhe.ru/?p=833 Итак, последнее время у меня активно развивается паранойа на тему «всего 3 пароля для разных ресурсов — мало». Меня волнует, не столько, что у меня упрут какой-либо аккаунт (хотя это тоже плохо), сколько то, что если уведут с какого-нибудь левого сайта пароль, пароль подходит к большому количеству других сайтов.

В идеале на каждый ресурс нужен свой пароль, но тут есть проблемы. Автогенерация не катит — пароли надо где-то хранить, если кто-то получит доступ к хранилищу — мы теряем всё. Помнить порядка 200-300 паролей вида 3d12enx34fgv1r87v — сложно и непрактично. В ходе ленивого поиска информации по теме, было найдено решение, вполне меня устраивающее:

md5(md5(address + username + keyphrase))

Понятное дело, что если придут с паяльником, то keyphrase узнают, но с паяльником узнают всё, что угодно :) Недостатки системы:

  1. Надо под рукой иметь херню для md5 . Онлайновые вещи категорически нерекомендую — сдаём ключевую фразу непонятно кому.
  2. Непонятно, что делать с ресурсами, которые не позволяют 32хсимвольные пароли. Тут в качестве частичного решения предложу Ascii85 — с помощью него мы можем сжать пароль до 20 символов. Проблема в том, что всякие ICQ позволяют только восьмисимвольные пароли. Что с этим делать — пока не знаю.
  3. Непонятно, что делать с ресурсами, которые принудительно заставляют менять пароль. Например, интернет-банки.

Вроде бы всё. У кого есть какие идеи/предложения?

Метки:,
]]> http://www.aensidhe.ru/2010/04/29/paranoia/feed/ 11