Сделайте видео для людей, которые изначально нарушили все эти правила - не соблюдали анонимность вк, неверно использовали пароли, пользовались небезопасными сервисами, уже пострадали от утечки данных и т.д. Типа "как провести работу над ошибками, когда ты уже везде обос..лся"😅

Я тот человек который пренебрег всеми правилами безопасности паролей 😂 Спасибо за регулярные полезные видео 👍

Дмитрий и весь коллектив канала, традиционное спасибо за выпуск, как всегда здорово - содержательно и интересно 👍

Главная проблема с паролем - это его запоминание. Если пароль хранится где-нибудь - кроме личной памяти - от него мало толку. Только память всегда при себе (до впадения в деменцию). Но вот запомнить рекомендуемые "полностью правильные" пароли под силу только феноменам-мнемоникам. Поэтому здесь важно придерживаться принципа "разумной достаточности". Т.е. не гнаться за той многознаковой невоспроизводимой нормальным умом парольной аброкадаброй, а просто использовать длинную комбинацию букв - получаемую написанием подряд (без разделительных пробелов) максимально длинной фразы, из своего личного запаса памятных вам выражений (которые вы никогда не забудете). Да, конечно это не столь надежно, как рекомендуют профи. Но гораздо лучше других вариантов. Но ведь и вы не "шпион в тылу врага". А скорее - тот самый "неуловимый Джо" из анекдота, весь секрет "неуловимости" которого заключается в том, что его никто и не ловит - поскольку он нах...н никому не нужен)

40 лет назад я служил в армии,номер выданного автомата( там буквы и цифры) навсегда врезался мне в память,получился отличный пароль.

Дмитрий, ты забыл упомянуть "перчение" пароля. Это та фраза или набор символов которые нужно набрать в добавок к паролю, которых сохранён в хранилище пароля. Если жтого не сделать то силовики могут вскрыть ваше хранилище паролей и получить доступ ко всем паролям. А без "перца" вся база паролей становится автоматически непригодной для использования :) Другими словами, в хранилище паролей нужно хранить ТОЛЬКО ЧАСТЬ пароля а остальную часть держать в уме. Перец может быть одинаковым для всех ваших паролей, и только одному вам известно, куда его вставить (например, после 3 символа) :)

Гениально! Один пароль от всех паролей! Но постойте-ка...🤔

Требование регулярной смены пароля - анахронизм, до сих пор поддерживаемый множеством систем, который лишь усложняет жизнь пользователям, что в итоге больше вредит безопасности, чем помогает. Если пароль может быть найден перебором за сколь угодно большое, но всё же разумное время - это небезопасный пароль (или система хэширования). Регулярная смена пароля желательна лишь в случае, если кто-то боится, что его пароль узнали (например, подсмотрели), и незаметно, но регулярно используют для доступа к некой секретной информации. Очевидно, что это не та угроза, которой следовало бы в первую очередь опасаться сегодня рядовому пользователю веб-сервисов, например.

надо было добавить, что копировать пароль из менеджера паролей опасно, так как используется буфер обмена. Чтобы его избежать надо было включить Автозаполнение полей : логин и пароль.

Если время отклика серсера замедлять в зависимости и количества неправильных вводов пароля, то перебрать ничего не получится...Самый уязвимый - это человеческий фактор

Спасибо вам за расширение знаний о безопасности.

Спасибо за видео! Давно хочу перейти на менеджер паролей. Вы очень упростили выбор. На сколько я понимаю, этот зашифрованный файл с паролями можно через программы синхронизации передавать и держать в актуальном состоянии на разных устройствах. Слышал, что Syncthing хорошая программа для этого и вообще синхронизации файлов.

Программа мастер пароль - это когда твой пароль знает кто-то еще. Точка.

Комментарий в поддержку канала

Спасибо вам огромное ! За понятное доступное объяснение . Вы делаете нас умнее !

Доступно,понятно и ясно обьяснил Димон, жаль время такое дикое настало, думаю из тебя бы минимум получился бы превосходный учитель- преподователь Кибер- безопасности, немногие могут обьяснить не путая и не забегая в перед обьясняя тему этих сетей паутины к которым нас привязали почти насильно😢

Ровно с этой минуты 11:14 все то что вы делали прежде становится бессмысленно. По тому что буфер обмена умеет читать любой самый кривонаписанный вирус. А Пароли ими распознаются на раз два. осталось сопоставить с открытой страницей, и вот у вас есть и замок и ключ и вы шарик - балбес.

Это вопрос и ответ больше к Штирлицу из 17 мгновений весны.В этом то уж точно знает он толк.Сложность пароля в том что б его запомнить на всегда .Можно составить и из 100 символов,но они взламываются не тежее,чем из 10.И все эти оффлайн уже есть в базе.Их и взламывать не надо.При создании паролей никогда не пользуйтесь сторонними приложениями.Это главное правило!!!

Юнусбек, спасибо вам за полезный контент!

Достаточно сломать мастер-пароль у kepass и будет счастье тов.майору. А еще, если тов.майор захочет, то и двухфакторная ИдитеНаФекацию тоже не спасет - с заломанной рукой она легко ломается, причем - любая.

Насчет длины пароля очень спорно тк многие сервисы имеют защиты от брутфорса и мощность современных компов тут никакой роли не играет. "Гораздо безопасней" сохранять все пароли программе которая может делать несколько больше чем вы описали и главное которую не могут проверить 99% пользователей(открытый код сам по себе не панацея, не редко даже на оборот). Так что лучший вариант это обновление паролей условно раз месяц хранение его в бумажной записной книжке, но которую носите с собой или запираете в недоступной для других месте, тк врядли у нее есть бекдор или уязвимость через которую можно слить все пароли разом, ну или слить базу а после брутфорсом перебрать в оффлайне - благо тут мощность имеет значение )

А почему я должен верить, что рекламируемый менеджер сохранит мои пароли, а не напротив - отправит кому нужно ? 😁

Наличие подобного софта на устройстве демаскирует тебя полностью, а выдавить из человека мастер-пароль проще некуда. Поэтому никакого софта, хранящего пароли, быть не должно. Либо софт дрлжен стоять в скрытой системе. Если реально есть необходимость паролиться до макушки, придумывайте собственный порядок хранения пароля, хоть с использовпнием книг. А такой софт годится только простому обывателю, переживающему, что его переписку в мэйле прочитают😂

Забавно рекомендовать нулевым юзерам кейпасс, это мы одобряем) У большинства же устройство одно и оно постоянно подключено к сети, в общем еще раз спасибо, с подписями в БД гораздо легче парсить(особенно с учётом типологии их хранения в этом чуде опенсорса)

Дмитрий, огромное вам спасибо ❤

Я уже давно решаю проблему с паролями используя формулу. Т.е. я пароли вообще не запониманаю и не храню. Я просто знаю как его воссоздать. Например {фиксированная строка}+Первая буква названия сервиса/сайта(в большом регистре)+последняя буква(в маленьком регистре)+фиксированный спец.символ(например знак вопроса)+номер ревизии (просто цифра от 0 до 9 на случай если сервис принуждает менять пароль). Сложность формулы может быть любой, это просто пример. Даже если что-то изменилось, например номер ревизии не помните или название сервиса изменилось, то не проблема перебрать варианты. В итоге имеем: пароль сложный, в словаре точно не будет, на каждом ресурсе разный, нигде не хранится и не нужно запонимать.

Если после ввода неправильного пароля система в течение 5 секунд не будет принимать никакие другие пароли, то о каком быстром подборе может идти речь?

самые безопасные пароли у неграмотных людей. евойный кетчук отличный пароль .

С тех пор как начал пользоваться как раз этой программой, как-то легче стало дышать, не путаясь в паролях) Ну правда если иметь дело с вирусами, то не очень поможет. Но в других вариантах всё ещё хуже) На самом деле есть несколько неудобств с программой: - Не нашёл дополнительных полей, например когда нужно чтобы запомнил и никнейм и почту, а поле ввода только одно. Но это ещё можно в комментарий написать, но иногда нужно поместить что то закрытое, такое как ответы на вопросы или какой-то ключ восстановления, а некуда. - Нельзя нативно разбить базу на несколько частей, только костылями. Иногда нужно в потенциально опасную среду поместить файл без самых важных паролей, например. - Автоввод - прикольная фича, но рботает только с главным браузером и все эти "умные" не стандартные формы входа мешают. - Нельзя тупо скопировать URL, не войдя в редактирование. И туда же что в принципе это сделано под url, когда он даже не нужен. На самом деле, кроме первого, это просто придирки и маленькие неудобства.

Спасибо что поделились своим опытом

Давно уже пользуюсь этим менеджером) Просто суперский менеджер

Отличная понятная подача для людей. Спасибо вам за работу!

*Первый отдел, Дмитрий! Тема парольных менеджеров не закончена/не будет раскрыта, пока вы не расскажете, как обойти (чем заменить) способ ввода через буфер обмена!* _Есть же какие-то другие способы, как ещё можно сохранённый в базе пароль автоматически ввести куда надо, правильно? Сделайте, пожалуйста, аналогичный пошаговый гайд, как организовать это! (И вот ТОГДА будем считать, что тему паролей вы раскрыли)_ _Буфер обмена - это (насколько я понимаю) в "умелых" (но злых) руках может быть слабым местом и даже может помножать на ноль все супер-крутые навороты и все эти супер-сложные пароли. Буфер могут читать все, кто толко захочет (из установленных программ), буфер - это инструмент, не предназначенный для этого. Надо (по-хорошему), чтобы данные передавались напрямую из одной программы (из менеджера паролей) во ввод (в очередь ввода) другой программы, и при этом так, чтоб другие программы не могли в этот процесс свой нос совать._

Видео на этом канале, просто супер!

Реальность такова, что можно даже не заморачиваться с менеджером паролей. Ведь Ваши данные быстрее утекут с того сайта для которого Вы так старательно придумывали пароль(((

Ты реально чувак? Говоришь о паролях и сам же предлагаешь, прогу для сохранения паролей? Эта прога тоже кем то разработана! Устанавливайте! Красавчик

Лет с 10 начал сочинять сложные пароли, которые поддаются определённому алгоритму Из плюсов, этот алгоритм знаю только я Из минусов, вспоминать пароль на 30-64 символа ну такое себе (буквы с разными регистрами, юникод-символы, цыферки и т.д.) Я не помню ни один пароль, но если я сяду на 30 секунд и начну вспоминать куда, что, зачем, то привет, через 30 секунд я смогу вновь залогиниться Но ля, видео интересное, keepass тоже душка, но фу, я не хочу шифровать всё

всегда сохраняю пароли на удмуртском языке записанном арабской графикой через азбуку Морзе - ни один русский хакер не осилит!)

Менять пароли раз в три месяца -з значит гарантированно его забыть и потерять аккаунт. Хранить пароль не в голове, а в сторонней программе - это и вовсе считай отдать его кому попало, то же, что приклеить на монитор. Нет никакой сложности сделать и выучить пароль символов в сорок. И подбирайте до посинения, тем более, что после пяти попыток идет блокировка на час и дальше по возрастающей. В общем, советы у товарища так себе. Осталось понять, глупость или измена...

С этими менеджерами паролей тоже были скандалы - не обязательно официальные версии, но они сливали все пароли злоумышленникам. Пострадали миллионы человек.

В Макбуке пароли запоминаются (если хочешь) и вводятся потом с помощью отпечатка пальцев. Я считаю самое бзопасное хранилище это Эппл.

Долгие годы сидел на ЛастПасс. После изменения политики компании и урезания бесплатного функционала, перешел на Битварден. Помимо бесплатности он еще и локализирован на русский

Да -да, менеджеры паролей это прям подарок для тех, кто хочет их узнать ))). Старый добрый winrar и то безопаснее с его шифрованием.

Обычно, мало у кого "подбирают" пароль. Ну кроме случаев с ФИО или датой рождения в пароле😅. Но в большинстве случаев это использование уязвимостей системы безопасности или утечки из всяких "менеджеров", хранителей паролей ну и фишинга, когда вы САМИ вводите свой пароль

Я, блин, как-то заморочился... зашифровал флешку от девушки... пароль придумал шикарный, на символы не скупился... вроде был какой-то кусочек книжки, так ещё и заморочился с правилами написания (типа каждая первая "о" пишем как "о" каждая вторая, как нуль, а каждая третья, как ö). Саму флешку я заныкал и... месяца на три я про неё забыл. Девушка нашла флешку, безуспешно попыталась посмотреть, что на ней, устроила мне скандал. Уже пару лет, как расстались. И у меня до сих пор лежит эиа флешка, я иногда про неё вспоминаю, достаю её и думаю, как мне её распоролить... Уже не помню, что на ней, но форматировать жалко... Короче, к чему я: С любыми паролями надо продумать, что вы будете делать, если забудете пароль😂

Спасибо!

Благодарю за совет по софту менеджера паролей.

Ага, потом жесткий диск вместе с этой локально базой паролей крякнется неожиданно, и пиши пропало.

коментарий в поддержку канала

А каким алгоритмом шифруется менеджер паролей? Одобренным ФСБ же 😁 Офигенный способ слить все свои пароли разом

Спасибо за видео! Очень полезное!

Пожалуйста проверяйте хеш-сумму и или цифровую подпись файлов после скачивания чего-либо из сети, перед тем как запускать или устанавливать программу. А то какой смысл во всем этом, если ваши данные будут отправлены этой программой злоумышленникам.

Можно придумать несколько сложных, но не слишком запутанных паролей. Пароли посложнее использовать в надёжный сервисах, а полегче, в ненадёжных и не особо нужных.

Если троян сидит и смотрит ваш буфер обмена? - Надо использовать "Войти с аккаунтом Google" - это и есть мастер-пароль :) ... или менеджер в самом браузере.

Самый надёжный способ записывать пароли в тетрадь и хранить тетрадь в сейфе, так и делаю всегда.

Но ведь защита от перебора легко решается программно, нужно просто после нескольких неверных запрещать вводить пароль и отсылать уведомление. Почему разработчики так не делают??

Элитный ролик, за элитоное время

Молодец! 🎉 Подписался.

сервисы, которые позволяют перебирать пароли (принимать более 1 пароля в секунду) не должны существовать

если я способен запомнить 14 кракозябров в уме навечно + контрольную фразу, нахрена мне тогда менеджер паролей? я так же запомню и остальные.

У меня есть определенный алгоритм генерации паролей, который связан с моими когнитивными ассоциациями того или иного....в сохраненке храню только не важные пароли, несмотря на рекомендации Павловича, так вот от кошелька пароль вспоминал минут 40, а от телеги почти два дня, несмотря на подсказку. Только лишь вечером после 300гр французского бренди я вспомнил ход своей мысли и угадал пароль. Именно угадал а не вспомнил

Рахмат❤

записать на бумажке гораздо надежнее чем любая программа, читать чужие пароли, особенно удаленно и скрыто и вправду удобнее если они хранятся на компе и читаются программой. (пользователь вряд ли проверит функционал программы). перебор восьмизначного пароля для компа миллисекунды, но разве нормальный сервер позволит перебирать? наверное после какой то попытки просто заблочит или время для следующей попытки увеличит.

Это круто, но где гарантия, что автор менеджера паролей не встроил в свою программу функцию, которая все указанные пароли благополучно ему же и сливает?...

А если у меня Гугл как мастер? Со всем фаршем включая гуглаутентифкатор это норм? Ну в смысле я логинюсь часто Гуглом (если что забыла, напр на стоках, я дизайнер) есть ли негативная связь? Принцип работы клиентов мастер-паролей понимаю и Сид фразы крипты есть…,но гул атуентификатор - это надежно?

Одна баба сказала, что нейросеть даже не заметит, что вы очень старались придумывая ваш сложный пароль, телефон к паспорту привязан, а паспорт к тюрьме, спасибо Заербеку, что просвятил

Подскажите, плиз, есть ли такой менеджер паролей, который мог бы в полу/втоматическом режиме сохранить в себя те пароли, которые уже были до этого введены и сохранены, например, в браузере хром ? Кстати, насколько имеет сиысл опасать именно утечки их гугла, если речь про полит.преследование, а не "коммерческое" ?

Анекдот из 90х. Универсальная отмычка от любых паролей - паяльник известно куда... А так давнее удобное средство, слово-фраза на русском, набранная в английской раскладке. Там и символы будут при желании.

Добрый день, давно об этом думал. На работе таким пользуюсь. Но вопрос может ответите а может и нет. А как синзронизировать базу между к примеру 3 устройствами? Рабочий ПК, домашний ПК, и сотрвый? Защитив при этом от случайного удаления базу?

Попадается ролик с Первого отдела, лайкаю не задумываясь,ибо всё что смотрел поучительно и полезно для каждого пользователя интернета.

как говорил мой учитель по КопмБезопасности: "Лучшие пароли получаются у неграмотных людей" Пароли храни в голове или придумай свой язык для его получения В каждый пароль = что-то (легкое * на CAPS * !@#$) + соль причем соль + слово может быть ~= сслоолвьо => храним на листочках только соль еще можно пользоваться анатомическими особеностями (шашечная анимация. магический глаз) мало кто поймет что это.

если злоумышленник захочет забрутфорсить вам почту, он скорее всего сломает зубы об примитивную брутфорс-защиту (хотябы "вы 3 раза ввели неправильный пароль, для следующих трех попыток подождите 60 сек"), а если он утащит вашу офлайн-базу - у него таких трудностей не будет. Вроде есть некая защита в количестве циклов шифрования, что потребует большие мощности железа для перебора, но если есть желание и ресурс всеравно забрутфорсят.

А что насчет хранения паролей в текстовых файлах в защищенном паролем RAR архиве? Можно ли считать такой способ надежным? В новом RAR шифрование 256 бит, это достаточно надежно?

. Если писать пороли латинскими и вмешать в него одну русскаю буковку, то по подсчету ИИ , пароль из 8 символов будет иметь около милиярда комбинаций. . На Виндовс 10, пользуясь латинской клавой с русскими символами, есть буквы состоящие из двух нажатий - не представляю, можно ли в принципе подобрать код с такой буквой! (Не знаю, не будет ли проблем набрать такой код на другом компе!!!).

Хеш исполользуйте в качесве пароля лучше, особенно если это доступы к хостингам и баз данным

В мессенджерах пароли не лежат, там лежат их неьбратимые хэши. От подбора есть защита от брутфорса - кооичество вводов в единмцу времени.

Полезно!

Спасибо! Но вот как быть с регулярными сменами паролей, при использовании на разных устройствах? Каждые три месяца вбивать новые пароли в телефонах руками? Это может привратиться в еженедельные испытания. Пока не придумал, как это обойти

Вопрос: насколько надёжен будет пароль результат хэш-функции, к примеру, sha256? У меня есть некая идея. Придумываем мастер пароль, затем берём название сервиса, сливаем их в одну строку и эту строку засовываем в хэш-функцию, на выходе получаем длинный пароль, состоящий из рандомных букв и цифр. Насколько хороша эта идея? Чтобы можно было менять пароль раз в какое-то время, можно к изначальной строке добовлять дату смены пароля

Первый отдел решил создавать видео по первым журналам Ксакеп 20+ летней давности.

Ребята, ну как вам всем, таким продвинутым, с этим всем жить? Вы уже не просто люди! Обыкновенному человеку всегда нужно было иметь рядом любимых и надежных друзей, а не агрессоров с паяльником. Меняйте многое в этом « дивном мире», ибо чем дальше, тем НЕ ЛУЧШЕ‼️

Ну хорошо, стоит эта программа на одном устройстве, а мне нужно заходить например в почту с разных устройств. Как скопировать этот пароль с одного устройства на другое?

Как вариант парольной фразы: строчку из стихотворения без пробелов, каждое слово с большой, но набирать на русском при включенной английской раскладке

Как бы ни была матрёшка сложна и как бы ни были длинны пароли в ней, она легко вскроется мастер паролем ИЗ головы) Ведь нельзя же где-то наивно хранить в файле все пароли, его тоже надо шифровать и помнить шифр/пароль. Ну, к чему пришли? А к началу и притопали) Мастер пароль - 123. Ладно, чуть сложнее... и пздц, уже амнезия. В облаке что-то держать? Это равносильно подписать собственный каюк!

Терморектальный метод взлома паролей позволяет взломать пароли любой сложности за несколько минут. Лучше не иметь на устройстве менеджеры паролей и всякого рода шифрованные диски.

А ещё в лучше если эту программу написал ты САМ. На Си++ и у тебя есть мастер-мастер пароль, который расшифровывает все мастер-пароли:) ну суть думаю все поняли..

Мои пароли в распечатанном виде висят на стене😅 ....

Самый простой и при этом надежный способ создать и запомнить нелогичный пароль - мнемонический. Из десяти первых слов любимой песни или поговорки берете первые буквы. ЕХПЛПИВП - Если хочешь поработать ляг поспи и все пройдет.

Ректальный криптоанализ ломает все 😀

Все пароли на сервере хранятся в виде хэша. Вам не обязательно подбирать ТОТ САМЫЙ пароль, достаточно подобрать тот набор цифр и букв который даст тот же самый хэш, который получается когда вы вводите свой пароль. Эт забавно получается, когда пользователь создаёт ОДИН аккаунт с одни логином и паролем, и думает что пароль у него ОДИН, на самом деле таких паролей которым можно открыть его аккаунт может быть и 2 и 3 и даже 10. Всё дело в алгоритме который шифрует ваш пароль. Наличие нескольких паролей дающих один и тот же кэш называется коллизией. Если интересно можете почитать)

А сами эти программы для шифрования и хранения паролей не могут слить эти пароли куда-нибудь?

Роли к хорош для детей садика, а теперь для взрослых надо объяснить, как придумать пароль из четырёх цифр на вашей карточке ( банковской ) чтобы этот пароль был самым засекреченным. В Google можно придумать много вариантов, а на карточке только четыре знака так как эта система придумана американцами не вчера и менять её они не будут. Ну, где то так.

А что насчет менеджеров паролей, которые есть в каждой системе? Стоит ли ими пользоваться и как относиться?

Я не совсем понимаю как работает подбор паролей, есть же задержка передачи и обратной связи, или как взломщики получают доступ напрямую к серверу без пинга?

Как можно подобрать пароль, даже если он очень простой от Гугла например...после пары 10ков попыток ввода он начинает усложнять капчи, а то и вовсе остановит. И выдаст сообщение о подозрительной попытки входа

Поздно. Я уже забыла. Теперь уже полгода вместо смартфона - кирпич.

Если человек безграмотен , отгадать его пароль невозможно)))

Не решён вопрос с синхронизацией. Как мне потом иметь пароли на телефоне, если пароли сидят локально на компьютере…

надёжный пароль - это делаешь нужное количество md5 или shaXXX от какого то слова (лучше числа) + что то.. сколько то символов и так много раз и со смещением, можно для каждого ресурса своё количество повторов хэширования хэша и смещение везде разное разгадать легко? так множте номер своего паспорта на какое нибудь 3.14 (выберите своё) и берите от него целое плюс в том, что подобного точно нет в брутфорс словарях и в случае, если забыли - у вас будет набор вероятных паролей, рано или поздно подберетё ))

А какой менеджер паролей установить на телефон? Андроид или iOS?