Здравствуйте, многоуважаемые коллеги!
Вобщем вот в чем дело, у меня в прошлом угонали номерок в ICQ...потом брутнули логин на одном очень важном для меня сайте...
Вроде и пароли были не из простых...было обидно. С тех самых пор я думал, менял пароли, писал новые, или просто наборы эхинеи, которую нельзя было запомнить...и собрал полезный инструмент, решающий эту проблему в корне
Итак, представляю Вашему вниманию, Онлайновый HASHER(калькулятор ключей доступа)!
Идея не нова, и представляет собой дополнительный барьер защиты, его часто используют "внутренне", при кодировке пароля.
Как это работает:
1 - Загадываем себе пароль(причем он может быть и самым простым словом, безо всяких заморочек!), например слово "password".
2 - идем на www.miromix.net/hash/ и вставляем задуманное слово в поле запрса.
3 - нажимаем "Generate hashes"
4 - получаем 10-11 вариантов паролей(например, самым практичным станет
Код:
cGFzc3dvcmQ=
а самым сложным
Код:
5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
).
5 - копируем желаемый вариант и вставяем его на страничку с логином.
Вашему вниманию предлагается несколько вариантов "хеш", от самого простого, до невероятно длинного.
В итоге Вам нужно будет помнить только пароль и страничку в интернете, для того чтобы его закодировать.
Я обещаю не менять алгоритм генерации хеша, ваши пароли всегда будут одинаковы и всегда безопасны.
У системы нет лога генерации ключей, вся информация введенная вами больше никем не будет видна, если Вы забудете свой пароль то его восстановление будет возможно ТОЛЬКО с сайта(или программы) где вы регистрировались.
У меня был хешер на компьютере, со времен винды, но хешер в сети это куда удобнее и практичнее!
Также, на страничке инструмента, есть ссылочка на cipherer, это немного более сложный инструмент, здесь нужно загадать пароль и слово, при помощи которого он будет закодирован, плюс в том, что зная ключевое слово, можно разкодировать полученый хеш(decoding), минус в том, что он генерирует запрещенные (на некоторых сайтах) символы. Этот инструмент предоставяет гораздо более высокий уровень защиты, здесь все зависит от вашего выбора самого пароля и его ключа, это отличный инструмент для кодировки важных паролей, например для банковских операций...или если вы просто параноик безопасности
ЗЫ:просьба не обращатся за исходником хешера, денег я на нем зарабатывать не собираюсь, но в целях безопасности его код будет скрыт. _________________ Fear is the Mind Killer.
Спасибо. Еще не пользовался, но тем не менее все равно спасибо за приглашение! _________________ Жизнь никогда не заканчивается!!!
На то, собственно говоря, она и ЖИЗНЬ...
____________________________________
http://www.coderun.ru - Блог человека
Мне трудно представить практическую ценность предлагаемого ресурса. Серьезно.
Первое - jekob, ты серьезно считаешь, что у тебя сбрутили пароль уровня cGFzc3dvcmQ= ? Ищи утечку информации у себя, вплоть до троянов-пинчей или руткитов. Или сниф твоего трафика.
Второе - подобные ресурсы должны висеть на https - однозначно.
Третье - хешер в сети - это не всегда удобно. удобно иметь и то, и то. Так сказать, online и offline версии.
Четвертое - защита к примеру, банковских операций, в той же системе клиент-банк несколько другая. Там задействован и файл-ключ, копроментация пароля без этого файла-ключа ничего не даст (или ключа без пароля). Более того, используется два комплекта таких ключей - один скажем для подписи операции, другой - для печати. Эти ключи на разных компах, у разных людей (скажем у главбуха и руководителя - бух делает проводки, руководитель их подписывает - и только с этого момента проводка идет в банк для операций). _________________ Бесплатный хостинг: Пригласительные коды.
Условия предоставления услуг бесплатного хостинга.
Как сообщить о проблеме в поддержку хостинга.
Stesh - практическая ценность в кодировании простейшего пароля, и в том что снова можно испольховать обычные, даже распространенные слова в виде паролей, предварительно их закодировав, мне кажется это элементарно понятно.
Я знаю как работают банковские системы и про безопасность знаю немало, я имел ввиду доступ к томуже paypal.com или ebay.com...места напрямую связаные с переводами денег, там всего один пароль и он должен быть "крепким".
Брутили пароль вида alex431, это было давно, на винде, сейчас я в линухе...проблем таких небыло.
HTTPS нужен при реальной передаче данных на сервер и ее хранении на онном, а не простом кодировании, там ничего не хранится и обрабатывается одним файлом, не зная содержания и метода обработки, его каким-либо образом взломать будет просто не реально. Даже в кукизах ничего не хранится.
HTTPS в данном случае нужен только как "понт" типо чтоб обезопасить на 99% соединение, его реальная необходимость в данном случае очень сомнительна.
lazutov - именно поэтому у нас есть несколько вариантов хешинга, на любой вкус, потребности и сервис. _________________ Fear is the Mind Killer.
ОК, на днях вброшу туда счетчик, если страничка Реально будет пользоватся спросом - выбью под нее HTTPS, для ограниченного круга пользователей его пока ставить по меньшей мере нет смысла. _________________ Fear is the Mind Killer.
По требованию пользователей, пароль теперь скрыт, при вводе.
Выровнял по центру таблицу.
Исправлена погрешность в одном из алгоритмов, выдававшая запрещенный знак.
Скоро выложу оффлайн версию, с закрытым кодом, для запуска на локальном компьютере.
Требуемые функции:
Запуск с портативного устройства(флеш/диск), без необходимости в установке.
Полная эдентичность онлайновой версии, в плане интерфейса и функционала.
Очень маленький вес.
Есле есть программесты в среде Delphi, желающие помочь в создании данной утилиты - прошу ко мне в личку или ICQ. _________________ Fear is the Mind Killer.
Честно говоря не вижу смысла, чтобы сделать пароль, который не переберешь и забудешь, ИМХО проще испоьзовать следующий алгоритм:
1) берем два простых слова пусть password и Sveta
2) запоминаем, порядок в каком будут использоватся эти слова, например так paSssVwoErdTA, т.е. второе слово через два символа первого, все символы второго слова с большой буквы.
3) для полных параноиков добавим одну цифру и один спец символ после каждого четвертого символа (ну или в конце - начале для простоты, или ещё как нибудь):
paSss4VwoE%rdTA
4) теперь у нас есть 15 символьный пароль который запомнить очень просто, но при этом не реально взломать не зная слов и порядка между словами (реально мы запоминаем два словарных слова, три цифры и один спец символ ).
P.S. Как мне кажется если выберешь из десяток слов вида FewDFS43^g есть большой шанс, что забудешь какой вариант выбрал и будешь каждый раз перебирать все варианты.
Использование даже двух простых слов, которые входят через один символ например ВАСЯ и ПЕТЯ, перебрать нереально так как получится ВпАеСтЯя, не сильно легкий пароль не правда ли? _________________ Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
jekob,
хм сервис довольно интересен,
воспользуюсь для своего админского пароля
Кинул в качестве призента 100 монеток...
А алгоритм вы сами придумали? _________________ Пригласительные коды
Веденин
Каждому свое, но честно-говоря, как не крути, но мой метод проще.
Используя мой сервис вам нужно всеголишь знать одно слово и адрес в сети(и перемешивать их ненадо). Выбрали алгоритм и вперед.
В Вашем случае можно просто запутатся с расстановкой символов, а если вы не пользетесь паролем несколько месяцев(в идеале следует использовать разные пароли, для каждого сайта, или сервиса) а потом попытаетесь вспомнить...пиши пропало.
Еще пароли желательно менять, раз в пол года, к примеру. Мне кажется с вашей системой вы довольно быстро запутаетесь следуя правилам безопасности.
Для себя я создал довольно простую схему, я написал фразу, имеющую смысл, каждое слово этой фразы - это пароль к отдельно взятому сайту, а начальная буква соответсвует первой букве названия сайта, даже если очень постаратся то запутатся сложно.
Я понимаю что можно параноидльно писать самому какието хеши, но не у вех на это хватит памяти, внимательности, да и просто, любому из нас проще запомнить нормальное слово, а не кашу, каким-бы методом вы не пытались ее сварить.
Александр Михалицын
Спасибо!
Отчасти он использует коренные функции ПХП, собрал по сети, добавил свое. _________________ Fear is the Mind Killer.
Веденин
В Вашем случае можно просто запутатся с расстановкой символов
Алгоритм растановки может быть всегда одинаков, а менять нужно всего одно из ключевых слов, или даже несколько букв в одном из ключевых слов, например есть базавый пароль paSss4VwoE%rdTA
для каждого нового сервиса изменяем его так первая буква пароля эта первая буква названия сайта, последняя - последняя, т.е. для сайта webmoney пароль waSss4VwoE%rdTY, поверьте даже если хакер получит два или более ваших пароля "стоимость' сравнения и анализа будет слишком уж дорогой.
jekob писал(а):
Веденин
Для себя я создал довольно простую схему, я написал фразу, имеющую смысл, каждое слово этой фразы - это пароль к отдельно взятому сайту, а начальная буква соответсвует первой букве названия сайта, даже если очень постаратся то запутатся сложно.
То же самое можно использовать и при данном алгоритме твердо запомнить одно слово и метод растоновки (собственно это слово и метод растоновки можно записать на бумагу, мобильный и т.д.), а второе слово использовать из придуманной фразы. _________________ Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
[quote="jekob"]
1 - Загадываем себе пароль(причем он может быть и самым простым словом, безо всяких заморочек!), например слово "password".
2 - идем на www.miromix.net/hash/ и вставляем задуманное слово в поле запрса.
3 - нажимаем "Generate hashes"
[quote]
Посмотрел страничку, что возникают сомнения в безопасности пароля ибо:
как я понимаю большинство алгоритмов открытые и всем известные (crc16, crc32, base64 encode, soundex, md5, sha1), поэтому использование такого пароля конечно более безопастно, чем просто слово password, но от перебора не спасет, так как совсем нетрудно написать программу, которая будет проверять не только алфавитные слова, но и алфавитные слова, закодированые основными методами шифрования (crc16, crc32, base64 encode, soundex, md5, sha1). ИМХО, лучше использовать стандартные алгоритмы дополненые своими фишками, например выдавать не crc16, а crc16 + 4, не md5, а md5 у которого изменен третий символ и т.д (если, конечно это уже не сделано). _________________ Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
Особенно для тех, кто сидит из средних и больших локальных сетей. Особенно домашних. 
).
