Проверка паролей по словарям и базам утекших данных

«Не менее 8 символов, включая цифры и заглавные буквы», — требует очередной сервис. «Gfhjkm2023», — набирает пользователь, не задумываясь, что он уже взломан.

Привет! Мы — RooX, российский разработчик веб-решений. У нас есть своя система аутентификации и авторизации RooX UIDM. И мы умеем проверять пароли по словарям и базам утекших данных.

3030

Вопрос о дизайне человека тогда)) чем надо пользоваться, чтобы не попасться в нормальной обычной жизни? на бумажке писать нельзя, простые использовать нельзя, как тогда соблюдать нужный уровень "аутентификационной гигиены" и запоминать? Использовать автогенерируемые пароли и сохранять их в учётке? Менять одну циферку? для меня это неразрешимый вопрос, и биометрию свою давать не хочу, у меня палец какой-то не такой, через раз считывается)))

5

Я использую bitwarden для генерации и хранения паролей. Он опенсурсный и его можно поднять на собственном сервере. При этом доступ на сервер извне у меня только для моих устройств.
Но, насколько я понимаю, основной метод взлома это не перебор паролей, а утечки данных. По этому не так важно иметь длинный и сложный пароль, а важно регулярно менять пароль во всех учетках. Раз в месяц, например.

4

Длина рулит. Не давая руку на отсечение, могу предложить лайфхак делать паролями модифицированные строки из любимых стихов. Но рекомендация использовать разные пароли для разных сервисов остается.
глупыйпингвинробкопрячеттеложирноевутесах - для банка, где побольше денег лежит )
умныйпингвинробкопрячеттелотощеевутесах - для того, где поменьше )

2

бесплатный менеджер паролей keepass
https://keepass.info/
естественно придётся побороть лень и пароли сохранять

Просто исходите из того, что ваша учётка уже взломана, а все данные какие были уже доступны третьим лицам и от этой мысли отталкивайтесь при взаимодействии. Это же упражнение можно проделывать и разработчикам сервисов, когда появляется нездоровый зуд запросить у пользователя что-то из перс. данных: так ли они вам нужны?; что будет делать если база утечёт?; как утечка может навредить интересам ваших пользователей?

Пальцы имеют свойство меняться (отшелушиваться, царапаться, ..../ особенно при физической работе. Если сразу все загнать в базу - на какое-то время хватит )).
Менеджер паролей - тот же битварден - сильно упрощает процесс.