Kaip pasirinkti saugų slaptažodį?

http://xkcd.com/936/ Taigi ką parašėte yra nesąmonė.

Šaunuoliai, daugiau tokių straipsnių. Tik deja, šie praktiniai patarimai neveikia , negaliu nesutikti. Tačiau tai visokių e-bankų problema, ne vartotojų. Žinai, kurios mano prisiloginimo sistemos kol kas niekas nenulaužė? Vietoj OK mygtuko - paspausk teisingos spalvos kvadratėlį, kuriame įrašytas žodis prasideda ta pačia raide, kaip tavo žmonos (mamos, šuniuko, et cetera) vardas.

Che, kai viena grazia diena pasijungsi i banka ir pamatys tuscia saskaita - staiga tai pasidarys ir tavo problema

Aha, kitą dieną paskambini prokurorams ir pareiški, kad niekur nesijungei. Taigi, tai bankų problema. Įrodyti, kad klientas jungėsi.

Neisivaizduoju, kaip galima prisijungti prie banko saskaitos kai naudojama 2 zingsniu autentikacijos sistema, nebent pasigauni keyloger'i. Bet jeigu naudoji generatoriu - tada is vis be sansu. Tik va nesuprantu, kodel negali bankai visi padaryt, kad generatoriai butu mobiliakuose ir butu reikalaujama slaptazodzio... Kaip kad padare blizzard ant diablo 3 - neisivaizduoju, kaip galima nulauzti, kai kodai keiciasi kas 30s.

Kaip vyksta siandienuos nulauzinejimai: nulauziamos websitu tokiu kaip tarkim technologijos.lt ar diablo3.lt duomenu bazes, paimami jusu emailai ir passwordai. (neturiu nieko pries technologijos.lt bet nepasitikiu jusu DB saugumu nes jai kas rimciau noretu tikrai nulauztu). Tuomet tie emailai ir passwordai naudojami tarkim nulauzti jusu Diablo III accounta. Dauguma turbut netiks, bet kadangi visvien yra zmoniu kurie naudoja ta pati emaila visur ir visada, kazkiek accountu taip prigaus is dideles DB. Antras budas, kadangi jie turi jusu emaila, hackeriai ji praleidzia brute force budu pro tarkim 10 000 dazniausiai sutinkamu slaptazodziu. Nors jusu slaptazodis ir nesutiko is DB, jis gali buti gana paprastas kaip ''ferrari'' porsche911'' ''blowme'' ar ''fatboyslim''. Sitas budas duoda daugiau sekmingu rezultatu nei pirmasis, kadangi zmones nepagalvoja kokius paprastus slaptazodzius uzsideda. Taigi tokiem puslapiams kaip technologijos.lt, games.lt, visokiems fanu forumams niekada nekurkit sudetingu slaptazodziu, nes siu puslapiu duomenu bazes yra ganetinai prastai apsaugotos. Taciau accountams kaip blizzard, ncsoft, steam ar dar kur duomenu baziu apsauga yra priority susikurkit stiprius ir unikalius passwordus kuriuos lengva prisiminti. Kaip daviau pavizdy auksciau, tai labai unikalus, lengvas prisiminti ir ypatingai sunkus nulauzti slaptazodzio pavizdys. Norint dar rimtesnes apsaugos, susikurti atskira email addresa kuri naudosit tik tokiems kaip Diablo III, WoW, L2 ar EVE accountams o tokius saitus kaip technologijos.lt registruokite ant iprastinio emailo. Taigi to sum up: turekit 2 emailus, viena naudokit kurdami accountus tik didelems kompanijoms, kita viskam kitam. Turekit 1 ar 2 ypac saugius passwordus patikimiems accountams, o kur negaila kad ir busit nulauzti(kad ir diskusiju forumas) naudokit paprastucius. P.S. Nenoriu izeisti technologijos.lt administracijos kad nesirupina ir jiems nerupi DB apsauga, tiesiog realybe yra tokia kad jai kas noretu, DB butu ganetinai lengvai nulauziama ir issifruota, kadangi administracija neturi tiek lesu, kurias butu galima skirti uztikrinant beprecedente vartotoju duomenu apsauga.

Arwi, turiu as vieno banko toki kompiuteriuka, tevas irgi turi, bet esme ta, galetu padaryti apps'u pavidalu - butu daug paprasciau, nes dabar tuos kompiuteriukus reikia pirkti uz 50LT. Biski brangoka individualiem asmenim + labai daug daiktu atsiranda, kuriuos sunku rasti.

Tai manau veliau bus appsai, kaip pas blizzarda ar google kai smartphonai paplis pakankamai. Pats siuo metu naudoju google ir blizzard appsus, facebook'as apsaugotas sms zinutes patvirtinimu jai is naujo device jungiamasi. Visi saitai kuriuose galiu gauti appa ar ijungti sms authentication taip padarau.

Mane tik nustebino, akd mokamą softą siūlo... Tipo koks KeyPass jau bus šūds?

LastPass yra už PwdHash? Padaryti galima viską taip pat, plius PwdHash suhešuotą slaptažodį atskleisti ne taip jau baisu (kas čia tokio, jei kažkas sužinos, kad mano Google Mail, kurio nenaudoju darbui, slaptažodis - NIPJcOym6X2Xf?), bet aš jį galiu sužinoti bet kuriame įrenginyje, kuris turi naršyklę su Javascript palaikymu nieko neinstaliuodamas ir nebijodamas, kad tikrąjį, nehešuotą, slaptažodį perims piktas tinklo adminas (nebent sektų mano pirštus ar būtų pridiegęs keyloggerių). Galų gale - net jei ir sužinos, panaudos jį dar Technologijose, kokiam Feisbuke, bet prie svarbių portalų neprieis, kadangi jiems naudoju kitą slaptažodį. Su LastPass išeina turėti kelis Master slaptažodžius vienu metu? Kas bus, jei jūsų LastPass Master slaptažodį kažkas perims jungiantis prie Technologijų?