Блин, из-за Heartbleed-а я вчера часа два менял пароли в куче мест. Утомился. Не смотря на то, что пароли у меня везде разные, менял я их не только там, где были уязвимости, но и вообще везде.
Кстати о паролях. Я упомянул, что они у меня везде разные, но я их не записываю и все помню. Это всё потому, что я придумал для себя алгоритм формирования паролей и запомнил его.
В простейшем случае берётся фиксированная строка, которая вам больше нравится и которую легко запомнить. Например, в моём случае это могла бы быть строка “<hzycr ” (это “Брянск” в английской раскладке). К этой строке добавляется какой-нить символ. В моём случае это может быть привычный парсеристам символ “^”. Затем берутся, например, первые/вторые/последние символы доменного имени ресурса. При этом они модифицируются по какому-нить правилу, например чередуется их регистр, каждый второй символ выкидывается или они берутся задом наперёд. Для facebook.com это может сформировать строку “Cf” (первые буквы слов доменного имени “Facebook” и “Com” задом наперёд с чередованием регистра). И, наконец, добавляется число. Это может быть любимые вами число/цифра, количество символов в доменном имени без корневого домена, количество гласных/согласных в доменном имене или ещё что-либо. Например, для facebook.com это приведёт к формированию числа 8 (количество букв в “facebook”).
В результате пароль будет выглядеть как “<hzycr^Cf8”. Он оказывается достаточно сложным для подбора, его невозможно подобрать по словарю, его легко набирать и при этом не требуется его запоминать. Недостаток у такого метода тоже есть: если злоумышленники узнали ваши пароли на паре сайтов, они смогут понять алгоритм формирования ваших паролей и получить доступ к другим серверам. Именно по этой причине я менял пароли везде. Заодно я усложнил алгоритм формирования паролей.
Также алгоритмов формирования паролей у вас может быть несколько. Попроще для кучки неважных сайтов, требующих регистрацию, посложнее для более важных сайтов типа gmail и самый сложный для сайтов, связанных с деньгами (банковские сайты, paypal итд).
Я считаю этот метод гораздо лучше использования одного/двух/трёх фиксированных паролей или записывания их на бумажке/в файле. Также он гораздо удобнее, чем использование разных менеджеров паролей, защищённость которых сомнительна (кто сказал, что в них нет подобных багов?), да и возможность потерять все пароли разом не нулевая. Хотя, если считать, что защищённость менеджеров паролей хорошая, то генерируемые и хранимые ими случайные длинные пароли получаются надёжнее.
Небольшая статья о том, чем Heartbleed может грозить обычному пользователю. Там есть ссылка на сайт, с помощью которого можно проверить наличие уязвимости в настоящий момент на интересующем вас сайте.
Список популярных сайтов (ENG) с информацией о том, были-ли они подвержены уязвимости и исправлена ли она.