Блоґ одного кібера

Історія хвороби контуженого інформаційним вибухом

Особистий захист особистих даних (oplop)

with 6 comments

Або, позбудьтесь втоми від паролів раз і назавжди (реклама в кінці). Це важлива проблема, і мені цікава також ваша думка, і способи її вирішення.

Пам’ятати багато паролів важко. Але куди подітись, якщо потрібно:

Майстер-ключ

  1. для домашнього комп’ютера
  2. для домашнього wi-fi
  3. для Google (яке щастя що в них unified login)
  4. для freemail
  5. для вікіпедії
  6. для цього блогу
  7. для Amazon
  8. для банківської карточки
  9. відповідь на секретне питання банку
  10. для робочого комп’ютера
  11. для робочого wi-fi
  12. PIN телефона
  13. До вікі і форуму на cybportal.univ.kiev.ua, проксі ІОЦ, bunyk.jabber.kiev.ua, linkedin, ubuntuforums, stackoverflow, github, narod.ru (в мене там досі є кусочок сайту!), і ще купи чогось що я вже не пам’ятаю паролі я забув.

А це не одна чортова дюжина паролів. І це при тому що життя неймовірно спрощують всякі там OpenId та LDAP. А ще добре допомагають забувати паролі куки браузера. Мати один пароль до всього неможливо, по перше, через несумісні вимоги, а по друге, через те що це тягне за собою величезний ризик від викрадення особистості.

Зараз я генерую паролі якоюсь фразою яка асоціюється з інформацією яку зберігає з примітивним рівнем обфускації. Наприклад:

VfqcnthGfhjkm

Плюс такого пароля – його просто запам’ятати, але важко прочитати. Мінус – можна ламати по словнику. (А якщо ви ще не здогадались як надійно запам’ятати цей пароль – вам треба частіше дивитись на клавіатуру. Вона містить реалізацію шифру Цезаря для одного постійного ключа).

В більшості серсісів є ще класна штука – відновлення паролів. Яке в більшості випадків в мене працює на freemail, що трохи страшно, бо в них алфавіт паролю обмежений лише латинськими символами та цифрами. А мої паролі, Lots Of Passwords)

Тобто беремо односторонню функцію gen_key, викликаємо її f(master_password, 'google'), і на виході отримуємо випадковий постійний пароль до google. Якщо потрібно змінити пароль, пишемо замість google google1. Основна вимога до функції – вона повинна бути функціональною, тобто для того ж майстер-пароля й назви сервісу повинна повертати один і той же пароль. Колізії хеша нас не цікавлять, нас цікавить випадковість і неможливість відтворити майстер пароль навіть дізнавшись згенерований пароль і назву сервісу. Тепер для того щоб замкнути в’язку ключів взагалі не потрібна ніяка зовнішня пам’ять крім тої що в нашій голові. Реалізується за допомогою md5 (і все ще безпечно, бо хеш береться не повністю).

Є написана на JavaScript реалізація (код обфускований і сильно орієнтований на iOS). Тест відслідковуванням запитів в браузері показав що сервер ніби не збирає ніяких колекцій майстер-паролів, але якби мені потрібно було б зашифрувати координати підводного човна навантаженого золотом, я б написав свою реалізацію. Щоб напевне.

На завершення хочу сказати що закони математики сильніші за людські закони, і в процесі підготовки до криптоанархічного майбутнього окрім того що замінити свої паролі на випадкові які ніде окрім голови не зберігаються варто було б вивчити ще пару алгоритмів. Хоч це важко. Особливо bitcoin.

Advertisements

Written by bunyk

Січень 12, 2012 at 23:54

Відповідей: 6

Subscribe to comments with RSS.

  1. ІМХО пін телефону взагалі краще не ставити. Бо як загубиться, то добра душа навіть не зможе повернути за всього бажання.

    Engraver

    Січень 13, 2012 at 00:19

    • Ну, щоб забути код 1111 треба добре так головою стукнутись. 🙂 Правда мені здається це й мається на увазі під не ставити.

      bunyk

      Січень 13, 2012 at 00:44

  2. не такий вже й обфускований http://code.google.com/p/oplop/source/browse/JavaScript/oplop.js

    особисто я маю один пароль до всього. Навіть не так, три паролі (історично так склалось – з кожним роком збільшувались вимоги до паролів, доводилось міняти). Маю від цього такі плюси:
    – якщо я зареганий дуже давно, то значить юзати перший пароль
    – десь регаєшся – юзай другий пароль
    – щось вважливе – третій

    Третій використовується тільки на довірених сайтах, які буде жаль загубити. Наприклад, блог-аккаунт важливим не вважаю, тому використовую простіший пароль. акк вконтакте зарегав давно, на ньому стоїть найпростіший пароль. на гмило недавно поставив третій, бо була підозра взлому.

    цікавіша проблема пам’ятати паролі на свої сервери і домашні компи, там мастерпароль краще не використовувати.

    danbst

    Січень 13, 2012 at 10:53

  3. Використовую KeePassX для зберігання всіх своїх паролів.
    Зручно. Мені підходить.
    http://keepassx.sourceforge.net

    Валєра

    Січень 16, 2012 at 03:34

  4. […] з KredoDirect в тому, що я коли створював для нього новий пароль, неправильно ввів майстер пароль. Вчора з другої […]


Залишити відповідь

Заповніть поля нижче або авторизуйтесь клікнувши по іконці

Лого WordPress.com

Ви коментуєте, використовуючи свій обліковий запис WordPress.com. Log Out / Змінити )

Twitter picture

Ви коментуєте, використовуючи свій обліковий запис Twitter. Log Out / Змінити )

Facebook photo

Ви коментуєте, використовуючи свій обліковий запис Facebook. Log Out / Змінити )

Google+ photo

Ви коментуєте, використовуючи свій обліковий запис Google+. Log Out / Змінити )

З’єднання з %s

%d блогерам подобається це: