blogrecenzjeulubione programykomentarze

Dr House: "Każdy kłamie" - czyli o haseł swoich zapisywaniu

Potoczna mądrość ludowa, zbyt często i bezmyślnie powtarzana głosi, że haseł/pinów etc nie wolno zapisywać. Mimo to każdy je gdzieś/jakoś zapisuje...

Jeśli się nad tym zastanowić to hasła zapisane na papierze są znacznie mniej narażone na atak dokonany przez Internet niż hasła zapisane w menadżerach haseł lub na witrynach webowych. Krótko mówiąc - jeśli z jakiś przyczyn musimy zapisać hasło - zróbmy to na papierze. Poniżej przedstawię prostą metodę bezpiecznego zapisania hasła na kartce wielkości wizytówki, którą możemy mieć zawsze przy sobie.

Co to znaczy "bezpiecznie zapisane hasło"? To taka forma zapisu, która uniemożliwi odczytanie hasła w przypadku zgubienia kartki na której jest ono zapisane.

Jak to może wyglądać w praktyce? Potrzebna nam karteczka wielkości wizytówki, z taką tabelką:

Grafika

Załóżmy, że nasze hasło to: kyX0w:Xg - wpisujemy je w znaną nam lokalizację pól w tabeli - dodatkowo przyjmujemy założenie, że pole koloru czerwono-różowego pomijamy. Resztę pól wypełniamy losowymi znaczkami. Wtedy nasza karta z zakodowanym hasłem wygląda tak:

Grafika

Jeśli kartkę zgubimy, to dla kogoś kto ją znajdzie będzie wyglądać tak:

Grafika

W podobny sposób możemy bezpiecznie zapisać numer PIN - wtedy tabelkę wypełniamy samymi cyframi. Proste i skuteczne rozwiązanie dla wszystkich, którzy z różnych przyczyn muszą mieć przy sobie zapisane piny lub hasła.
 

Komentarze (30)

avatar
Ryan (redakcja)
| 06.09.2011 16:45
Widziałem patent tego typu bez kolorów. Tamten mnie nie przekonał, ten jest genialny w swej prostocie. :)
avatar
kawka78
| 06.09.2011 16:48
Ewentualnie zawsze można utkać sobie kawałek płótna z włóknami odpowiednio ułożonymi ponad, bądź pod spodem splotu oznaczającymi ciąg zer i jedynek... Przepraszam... Taki głupi żart sprowokowany (mało)ambitnym kinem. :P
avatar
Banan
| 06.09.2011 16:52
Mi także bardzo przypadł do gustu.
avatar
kawka78
| 06.09.2011 16:53
Sam sposób jest istotnie bardzo intrygujący i godny polecenia np. mojej żonie.
avatar
januszek
| 06.09.2011 17:10
Proszę, oto 'źródełko' tabelki w Corel Draw: http://42.pl/u/2EIp :)
avatar
djfoxer
| 06.09.2011 17:13
Świetne! Chyba lepsze od haseł mnemonicznych.
avatar
przemo_li
| 06.09.2011 17:41
Genialne!!!

Choć najlepszym rozwiązaniem jest tworzenie haseł z kilku wyrazów.
Takie:
koń bateria lizak naprawdę?
dużo łatwiej zapamiętać, a dużo trudniej złamać.
(A zapamiętać można np. przez śmieszną historyjkę)
avatar
Ryan (redakcja)
| 06.09.2011 17:57
Nie, nie jest najlepszym rozwiązaniem. To, ze opisano je na XKCD nie czyni go (niestety) najlepszym.
avatar
webnull
| 06.09.2011 18:20
@Ryan (redakcja) | 06.09.2011 17:57
W takim razie przynajmniej ja jestem zainteresowany lepszym sposobem generowania, zapisywania i zapamiętywania hasła.
avatar
jajek46 (niezalogowany)
| 06.09.2011 18:38
Najlepszym zabezpieczeniem jest nasz mózg. Ja pamiętam wszystkie swoje hasła.
avatar
jonny0208 (niezalogowany)
| 06.09.2011 18:56
Pomysł całkiem fajny! Wręcz był powiedział: "Genialny w swojej prostocie". Przyda się osobom które mają problem z zapamiętywaniem haseł. Osobiście korzystam z różnego rodzaju mnemotechnik, a z zapamiętywaniem haseł takich jak w przykładzie radzę sobie dzięki pamięci do dźwięków. Tak czy inaczej z chęcią będę polecał tę technikę znajomym.
avatar
Tomasz Wołoszyński
| 06.09.2011 19:32
Wszystko pięknie tylko, że dla mnie jest to rozwiązanie co najmniej mniej praktyczne od menadżera haseł. Co zrobić jeśli posiadam kilkanaście różnych kont i do każdego inne hasło. Wiele karteczek? Jedna karteczka i różne sposoby odczytywania haseł? Zapamiętanie kierunku odczytania hasła i połączenie go z konkretnym kontem jest chyba nawet trudniejsze niż zapamiętanie całego hasła.
avatar
GBM
| 06.09.2011 19:36
Nie no sprawa bardzo fajna, warte zastosowania w praktyce :) - Dzięki Januszek za uświadomienie o takim patencie :P
avatar
Tomasz Wołoszyński
| 06.09.2011 19:37
Tak jak mówie wszystko zależy od tego czy korzysta się z tego samego hasła do wszystkiego czy nie.
avatar
januszek
| 06.09.2011 20:24
@Tomasz Wołoszyński: Zaproponowana tu karteczka nie jest uniwersalnym remedium na wszystko - ma pomóc w pewnych, (ale konkretnych sytuacjach), które wymuszają zapisanie hasła i noszenie go przy sobie (swoją drogą dobrze określił sprawę kawka, pisząc, że to dobre rozwiązanie dla żony, wujka, babci etc).

W każdym razie mając kilkanaście różnych kont i do każdego inny login i hasło de facto i tak musisz używać jakiegoś menadżera haseł. Nic jednak nie stoi na przeszkodzie aby na karteczce ukryć np: główne hasło dostępowe do tego menadżera ;)

Z drugiej strony (i czysto teoretycznie) można prosto stworzyć na bazie karteczki np 23 hasła ;) Wybieramy stały człon: kyX0H do którego dopisujemy 3 znaki z każdej kolumny (bez czerwonych) czyli: kyX0HV2f, kyX0HWaG, kyX0HY5^ etc ;)
avatar
jonny0208 (niezalogowany)
| 06.09.2011 20:28
Nie trzeba korzystać z żadnych menadżerów haseł! Wystarczy trochę poćwiczyć pamięć - to wszystko...
avatar
jonny0208 (niezalogowany)
| 06.09.2011 20:28
Nie trzeba korzystać z żadnych menadżerów haseł! Wystarczy trochę poćwiczyć pamięć - to wszystko...
avatar
sla17
| 06.09.2011 20:33
Świetne, genialne i proste - to lubię najbardziej :)
avatar
tfl
| 06.09.2011 21:42
dlaczego na blogach nie ma +1 ? ode mnie +2
avatar
cephei.
| 07.09.2011 2:45
Januszek, jesteś genialny!

Do tej pory zapisywałem wszystkie hasła zwykłym tekstem (w tym do konta bankowego oraz pin do karty) na jednej kartce, którą nosiłem złożoną na kilka części w portfelu. Utrata portfela mi nie grozi, kradzież karty również nie, bo bardzo rzadko ją przy sobie noszę.

Od dwóch lat mam prawie takie samo hasło do każdego serwisu - pierwszy stały człon, drugi pochodzi od kilku liter nazwy serwisu. Dzięki temu muszę pamiętać jedynie kilka haseł a nie kilkanaście.
avatar
b4 (niezalogowany)
| 07.09.2011 8:35
@ cephei

Nosiłeś hasło do banku i pin do karty w portfelu?! Nic tylko pogratulować...
avatar
Ostatni Mohikanin
| 07.09.2011 9:04
@januszek - ten sposób zapisywania haseł jest wymyślony przez Ciebie, czy też zmodyfikowałeś jakąś pierwotną wersję?
avatar
reemer
| 07.09.2011 9:17
Sposób niezły, ale jedno hasło można bez problemu zapamiętać bez karteczki. A zapis więcej niż jednego hasła tą metodą ktoś już podał w wątpliwość.

W wersji dla hardkorów można by zastosować bardziej skomplikowane metody. Np. zaczynamy w jakimś punkcie (musimy ten punkt zapamiętać, albo wymyślić sposób na tajne zapisanie jak się go wyznacza ;-) ), po napotkaniu czerwonego pola skręcamy w prawo (pomijając wartość danego pola), zielone pole odbija w lewo (bez pominięcia wartości), żółte nie zmienia kierunku (ale wartość jest pomijana). Miłej zabawy. :-)

@cephel.
Ten sposób też kiedyś używałem, jednak po załamaniu jednego z haseł, nawet średnio rozgarnięta osoba zobaczy zależność hasła od nazwy serwisu.
avatar
sensssei (niezalogowany)
| 07.09.2011 9:50
Pomysł co najmniej ciekawy, jednak czy zapisywanie w ten sposób jest bezpieczne? W kryptografii trzeba liczyć na najgorsze możliwe przypadki.

Z punktu widzenia ochrony pinu/hasła działa jak uproszczony tokenizator, więc jesteśmy bezpieczni przed atakami via pc.

Przy ewentualnym przechwyceniu karteczki, haker ma w ręku mocno ograniczony w stosunku do języka zbiór wejściowy (~200 znaków, powtarzających się), który przy odrobinie znajomości algorytmów np grafowych przerobi na słownik.

Banki już od dawna wprowadziły bardziej zaawansowane metody weryfikacji haseł w postaci tokenizerów, zarówno w wersji fizyczne jak i aplikacyjnej na platformę Android.

Hasło w takim wypadku hasło może być słabsze, a nawet wykradzione ale bez tokenu haker nic nie zdziała. Do poczytania:

http://inteligo.pl/pomoc/pytania-i-odpowiedzi/bezpieczenstwo/token/

Na koniec jeszcze drobiazg. Zakaz zapisywania haseł ma znaczenia w firmach/korporacjach, gdzie do biurka pracownika jest swobodny dostęp.
avatar
Tomasz Wołoszyński
| 07.09.2011 9:52
http://www.dobreprogramy.pl/233912,Tomasz-Woloszynski,Blog.html

Zapraszam , postarałem się trochę poddać w wątpliwość metodę zaproponowaną przez Januszka i Ziggurad'a.

Metoda zaprezentowana przez Januszka to metoda analogiczna (właściwie identyczna, jeśli nie zwracać uwagi na kolor pól) do zaproponowanej przez firmę Savernova.
avatar
januszek
| 07.09.2011 9:58
@Ostatni Mohikanin: Zmodyfikowałem rozwiązanie z którym zetknąłem się przy okazji korzystania z karty paliwowej ;)
avatar
mmm777 (niezalogowany)
| 11.09.2011 19:35
https://lastpass.com/

;)
avatar
daroPL
| 12.09.2011 8:32
Spodobało mi się to. Ciekawy pomysł.

Tutaj możecie wygenerować sobie taki szablony http://phpbb.pl/szablony.php
avatar
Canaletto
| 12.09.2011 10:16
"Hasło...hmmm...gdzie to się zaczynało?" :D
Dodaj komentarz