Сейчас снова стало модным обращаться к опыту прошлого. Одним из таких методов является применение карточек с кодами для обеспечения дополнительной безопасности. Например, есть метод создания криптоустойчивого, не раскрываемого пароля с помощью карточек, на которых в несколько столбцов и рядов написаны короткие коды. Они действуют, как шифр — ввести правильный пароль сможет лишь тот, кто обладает такой карточкой, да и то только в том случае, если он знает алгоритм, по которому формируется пароль. Не обязательно запоминать сам пароль, достаточно лишь запомнить номер карточки и ячейки (например, карточка 1, ячейка F6). Такой метод часто применяется в шифровании данных — помните, как Штирлиц с помощью одной книги шифровал свои послания в центр? В шифровке он указывал номер страницы, строку и порядковый номер слова.
Плагин Perfect Paper Passwords позволяет ввести дополнительную защиту для входа в блог — создает еще одну строку с проверочным кодом из всего четырех символов. Рядом с этой строкой в открытую пишется ключ, по которому можно определить этот четырехзначный пароль. Только вот ввести его сможет лишь тот, у кого есть карточки с матрицей паролей. А карточка формируется для каждого пользователя индивидуально, и пароли в ней легко можно сменить на другие, применив программный способ формирования криптоустойчивого пароля.
Таким образом не существует способа получения доступа в блог с определенным логином и паролем, если у вас нет карточки, сформированной для этого пользователя. Круг накрепко замыкается, создавая непробиваемую защиту. Для автоматического создания криптоустойчивых паролей используется набор цифр, букв и спецсимволов, формирующих случайные последовательности, лишенные какой-либо логики и алгоритма.
Подобная защита может стать не только непреодолимым препятствием для брутфорс-атак, но и гарантией того, что даже если злоумышленники узнают обычный пароль администратора, то они все равно не смогут попасть в административную часть блога, потому что ври входе нужно будет вводить еще один, индивидуальный для каждого пользователя, пароль, который меняется каждый раз при входе.
В общем, интересная идея.
Perfect Paper Passwords
Та самая “соль”. Мне о ней сегодня три админа рассказывали. Только обычно сервера у себя её хранят.