Личная защита личных данных

Или, избавьтесь от усталости от паролей раз и навсегда. Это важная проблема, и мне интересно также ваше мнение, и способы ее решения.

Помнить много паролей трудно. Но куда деваться, если нужно:

- для домашнего компьютера
- домашнего wi-fi
- для Google (какое счастье что у них unified login)
- для freemail
- для википедии
- для этого блога
- для Amazon
- для банковской карточки
- ответ на секретный вопрос банка
- для рабочего компьютера
- для рабочего wi-fi
- PIN телефона
- К вики и форумам, прокси, jabber, linkedin, ubuntuforums, stackoverflow, github, narod.ru (у меня там еще есть кусочек сайта!), и еще к куче чего-то, что я уже не помню и пароли я забыл.

А это не одна чертова дюжина паролей. И это при том, что жизнь невероятно упрощают всякие там OpenId и LDAP. А еще хорошо помогают забывать пароли кукисы браузера. Иметь один пароль ко всему невозможно, во-первых, из-за несовместимых требований, а во-вторых, потому что это влечет за собой огромный риск кражи личных данных.

Сейчас я генерирую пароли какой-то фразой, которая ассоциируется с информацией, которую хранит с примитивным уровнем обфускации.

Плюс такого пароля – его просто запомнить, но трудно прочитать. Минус – можно ломать по словарю. (А если вы еще не догадались как надежно запомнить этот пароль – вам надо чаще смотреть на клавиатуру. Она включает реализацию шифра Цезаря для одного постоянного ключа).

В большинстве серсисов есть еще классная штука – восстановление паролей. Которое в большинстве случаев у меня работает на freemail, что немного страшно, потому что у них алфавит пароля ограничен только латинскими символами и цифрами. А мои пароли, Lots Of Passwords)

То есть берем одностороннюю функцию gen_key, вызываем ее f (master_password, ‘google’), и на выходе получаем случайный постоянный пароль в google. Чтобы изменить пароль, пишем вместо google google1. Основное требование к функции – она ​​должна быть функциональной, т.е. для того же мастер-пароля и названия сервиса должна возвращать один и тот же пароль. Коллизии хэша нас не интересуют, нас интересует случайность и невозможность воспроизвести мастер пароль даже узнав сгенерированный пароль и название сервиса. Теперь для того чтобы замкнуть брелок вообще не нужна никакая внешняя память кроме той что в нашей голове. Реализуется с помощью md5 (и все еще безопасно, потому что хэш берется не полностью).

Есть написанная на JavaScript реализация (код обфускований и сильно ориентирован на iOS). Тест с отслеживанием запросов в браузере показал, что сервер вроде не собирает никаких коллекций мастер-паролей, но если бы мне нужно было бы зашифровать координаты подлодки груженой золотом, я бы написал свою реализацию. Чтобы наверняка.

В завершение хочу сказать, что законы математики сильнее человеческих законов, и в процессе подготовки к криптоанархичному будущему, кроме того, что заменить свои пароли на случайные которые нигде кроме головы не сохраняются следовало бы изучить еще пару алгоритмов. Хотя это трудно. Лучше немного расслабиться и подыскать интересные игры для android, в которые еще не играли.