В комментариях тут зашла тема про мышечную память (на пальцах). С ней, с
её чудовищной силой, не считая слепого метода печати, я столкнулся после
поездки в Иран. Почему-то в блоге не нашёл про это упоминания, а ведь
событие в моей жизни важнейшее.
Две недели находился вдалеке от компьютеров, не притрагиваясь ни к одной
клавиатуре. И когда ехал в электричке домой, уже в Московской области,
то начал думать про бытовые дела. Как я дома включу компьютер (хотя он
наверное и не выключался, чтобы помогать distributed.net), введу свои
парольные фразы... и тут я начал вспоминать свои парольные фразы. Две
основные у меня: одна на ~100, другая на ~120 символов. И в электричке
осознаю что я толком не помню ни одной. Бросает в пот, ведь у меня же по
большей части всё зашифровано, а потеря "ключа" равносильна потери
информации всей. Моё настроение резко упало ниже плинтуса.
Но сев за клавиатуру, я просто отрубил свой мозг, не стал задумываться о
конкретных символах вводимых, и с первого же раза ввёл все эти 120
символов. Пальцы сами делали своё дело. Выдохнул, потому что, как
минимум, я уже мог делать бэкапы данных, после ввода пароля, если
считать что мне просто повезло и я только один раз это смог успешно
ввести. Несколько раз введя фразу ещё, уже вспомнил (глядя на клавиатуру
и что на ней нажимают пальцы) и конкретные символы/фразы. С остальными
фразами тоже проблем не возникло. Сознание/мозг не помнят, а пальцы
набрать могут. У коллег тоже встречал такое что они не знают пароля (не
могут его сказать), но могут залогиниться без проблем.
Брюс Шнайер относительно недавно признавал что рекомендация о частой
смене паролей является плохой:
https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
https://www.schneier.com/blog/archives/2016/08/frequent_passwo.html
точнее эта рекомендация актуальна была именно для "паролей", тогда как
сейчас, уже давно, необходимо использовать парольные фразы. Если фраза
сильна, имеет много энтропии, то не надо париться. Смена фразы может
обернутся её потерей (забыли, как я почти) или сильным упрощением
(ослаблением) или утечкой (где-нибудь записали) -- риски неоправдано
высоки, опять же, если фраза является хорошей и сильной. Или, как
показывают исследования в его ссылках, люди для галочки могут чуть-чуть
изменять существующий пароль/фразу, делая это для галочки, но не внося
никакой дополнительной энтропии, превращая это в бессмысленное занятие.