Когда мы вводим логин-пароль, то пароль хорошо бы сделать нетривиальным, хорошо бы — нечитаемым, а еще лучше — незапоминаемым. Я тут вот чего подумал… почему бы вместо пароля «sobaka» не вносить md5(«sobaka»)? Если не принимать во внимание, что некоторые системы такую длину пароля не осилят — насколько проще подбор md5-хеша vs «девятисимвольный набор букво-цифр»? На первый взгляд, md5 подбирать сложнее, но уверенности в этом что-то нет.

Но вот идея использовать message digest для генерации пароля мне нравится. Т.е. вместо зазубривания ненормальной последовательности букв можно взять обычное слово или фразу, прогнать его через алгоритм «ужимания» (не md5; и желательно, чтобы он охватывал весь надор букв и цифр) — и получить пароль. Т.е. технология получается такой: на своем сайте (или прямо у себя на компе) в формочку вносим «обычное» слово, а в ответ получаем «шифрованное», которое и используем в качестве пароля. Который запоминать собершенно необязательно.

ps. Кстати, а почему не один из публичных сервисов не поддерживает регламент одноразовых паролей? Иногда приходится пользоваться интернет-кафе или не своим компом. А кто может поручиться, что там нет кейлоггера или записи трафика?

добавить комментарий:

Удобнее вносить не «обычное слово», а домен сайта. Если, конечно, запомнить нужно именно такие аутентификационные данные.

ArtReal: в таком случае нужно разрабатывать уникальный (для каждого) алгоритм. А оно надо?

Firefox + GreaseMonkey + Password Composer ([link])
Впрочем, он и к IE прикручивается.

Осуществляет примерно то же самое, что описано выше.

Недостаток: неудобно работать с чужих машин.
А про одноразовые пароли — надо Ивану Сагалаеву мысль подкинуть. Пусть в план включит. :)

ArtReal: md5 — это, все же, не лучшая штука для «кодирования» паролей
Что же касается Password Composer — то привязка к master password и домену — неудачное решение

Имелось в виду, что писаться будет это для себя и работать только авторизировавшись.

Или лучше так: на основе одного пароля генерируется новый под каждый сайт. Т.е. реально нужно помнить только один пароль и URL сайта.

> Или лучше так: на основе одного пароля генерируется новый под каждый сайт.
> Т.е. реально нужно помнить только один пароль и URL сайта.

Упомянутый мною выше Password Composer именно так и делает.

> Упомянутый мною выше Password Composer именно так и делает.
А как он справляется с несколькими юзерами в пределах одного домена?
Сам я давно пользуюсь утилитой KeePass. Пока она удовлетворяет все мои требованиям в этом плане.

ArtReal: Замешивает с master password. Как именно, можно посмотреть по тексту скрипта для bash (link)

ARTREAL'S README

personal unreality: точка пушистости

Парольная конспирация

добавить комментарий:

Comments

Infinus

StraNNicK

Infinus

Infinus

StraNNicK

Infinus

StraNNicK

Comments

поиск