Если вы, зная толк в теории информации и информационной безопасности, ввязались в яростный спор с тем, кто толку в них не знает (и, не исключаю, чередует прописные и строчные), я искренне извиняюсь перед вами.
Надежность пароля
Если вы, зная толк в теории информации и информационной безопасности, ввязались в яростный спор с тем, кто толку в них не знает (и, не исключаю, чередует прописные и строчные), я искренне извиняюсь перед вами.
Если вы, зная толк в теории информации и информационной безопасности, ввязались в яростный спор с тем, кто толку в них не знает (и, не исключаю, чередует прописные и строчные), я искренне извиняюсь перед вами.
о! это и будет мой пароль!
15.02.2014, 23:13
Мой куратор из ZOG попросил передать благодарность за добровольное информирование.
Твою шутку не поняли. Ты был слишком тонок для реактора.
Может быть, это он сообщил свой пароль?
Ты такой проницательный, но вот ирония для тебя всё ещё загадка.
Это был секретный план. Теперь, на подбор одного пароля будет уходить не более сеунды.
Ещё больше комбинаций! 66 букв русского алфавита, 54 английского и 10 цифр. Это уже 130^11 комбинаций. Плюс ещё спецсимволы. Поиск по словарю чисто вариантов уменьшит, конечно, но из-за мусора в конце - не на много.
Не так считаете. В основе пароля слово из словаря. Всего слов в словаре якобы 65536 (на самом деле в словарях до 10млн слов с учетом разных форм). Затем на это множество накладываются модификации замены регистра и замены букв на цифры, которые удваивают число вариантов на каждую букву замены, потом еще умножаем на варианты добавления в конец символа (одного из 16) и цифры (одной из 8). Каждое увеличение сложности эквивалентно увеличению бит в степени вариантов. Поэтому вышло 28 бит (16 по словарю + 4 на замену регистра и цифр, + 4 на символ в конце + 3 на цифру в конце).
На самом деле число вариантов намного больше. Но комикс высмеивает идею о том, что в основе лежит осмысленное слово, т.к. их очень мало по сравнению с общим числом вариантов.
На самом деле число вариантов намного больше. Но комикс высмеивает идею о том, что в основе лежит осмысленное слово, т.к. их очень мало по сравнению с общим числом вариантов.
это никогда не известно, но иногда предпологается. Есть тн. "human engineering" - программа подбора первым делом пробует наиболее распространённые пароли, такие как 12345 и qwerty, потом комбинации из возможных дат рождений, распространённых кличек животных и прочих лоховских паролей, потом начинает вводить случайные комбинации начиная с определённого количества символов, которе, вероятно, минимально необходимое для создания пароля.
Я тоже недавно посмoтрел "Now you see me"
Да, так и есть
Привет тебе, автор из девяностых. В наше непростое время вебсервера давно уже умеют блокировать попытки такого перебора примитивным баном по IP. Это нетрудно сделать через iptables буквально парой команд.
Что же до твоих странных измышлений, что пасс-фразу запомнить проще, чем пароль, то я их даже комментировать не буду особо в связи с заведомой ложностью тезиса.
Что же до твоих странных измышлений, что пасс-фразу запомнить проще, чем пароль, то я их даже комментировать не буду особо в связи с заведомой ложностью тезиса.
капча с последующей временной блокировкой аккаунта при большом количестве запросов без удачной авторизации была уже в 90- ых. Для взлома отдалённых хранилищ брутфорс никогда не был актуален, но до сих пор актуален для взлома зашифрованных архивов и запароленных жестких дисков
Или для обращения хеширования в упертой базе паролей. Это да.
Но допущения автора все равно странные - почему-то он взял слово без искажений (превед). Предположил, что регистр меняется лишь у первой буквы (пРиВеТ). Что слово не разбито спецсимволами и цифрами (при1вет), что в конце ровно два доп. символа (а как же хрестоматийное vampir666?), что не используются визуальные кодировки (привет -> ghbdtn). Что используется, наконец, слово в простейшей форме и единственном числе.
Т.е. понятно, что некоторые статистические закономерности позволяют вылавливать пароли большинства пользователей. Но большинство не имеет даже паролей такой сложности, как на картинке. И испытывает проблемы с запоминанием одного слова. Не то, что четырех, да еще и в правильном порядке. Добавь к этому проблемы опечаток и станет понятно, почему "правильнолошадьбатареяскоба" - херовая замена.
Но допущения автора все равно странные - почему-то он взял слово без искажений (превед). Предположил, что регистр меняется лишь у первой буквы (пРиВеТ). Что слово не разбито спецсимволами и цифрами (при1вет), что в конце ровно два доп. символа (а как же хрестоматийное vampir666?), что не используются визуальные кодировки (привет -> ghbdtn). Что используется, наконец, слово в простейшей форме и единственном числе.
Т.е. понятно, что некоторые статистические закономерности позволяют вылавливать пароли большинства пользователей. Но большинство не имеет даже паролей такой сложности, как на картинке. И испытывает проблемы с запоминанием одного слова. Не то, что четырех, да еще и в правильном порядке. Добавь к этому проблемы опечаток и станет понятно, почему "правильнолошадьбатареяскоба" - херовая замена.
joyreactor-000
Я использую метод "О чем видишь, то и поёшь". Крайний левый ряд ярлыков на рабочем столе, первая и последняя буква с соблюдением регистра, латинница. Хрен подберешь, зато со своего компа всегда видно.
SdSmOnO1GrKaDd. Криптоустойчиво? Да. Запоминаемо? Зачем, если всегда перед глазами![/о] i>à
д
©
MO
^SfilMOtoyai
Л
V.J**
О
l»l»IH«j4«Jl>,xkcd,Смешные комиксы,веб-комиксы с юмором и их переводы,xkcd.ru,перевел сам,и не только сам,it,безопасность,пароли](https://img2.safereactor.cc/pics/comment/xkcd-Комиксы-xkcd-ru-963185.png "xkcd,Смешные комиксы,веб-комиксы с юмором и их переводы,xkcd.ru,перевел сам,и не только сам,it,безопасность,пароли")
SdSmOnO1GrKaDd. Криптоустойчиво? Да. Запоминаемо? Зачем, если всегда перед глазами
Мастер соединения не может установить соединение. Мастер настройки не хочет выполнить его настройку. Мастер обеспечения сейчас попытается его догнать и хорошенько ему вломить. Это может занять время и неизвестно, чья возьмет. Если мастера обеспечения долго не будет, перезагрузите систему.
Никто не запрещает записать в блокнотик на всякий случай.
Однако это самый надёжный способ хранения труднозапоминаемого пароля. Да и вообще, что уж тут говорить, что множество пользователей пиринговых сетей расшаривают системный диск целиком. Вместе с папками браузеров, где собственно хранятся файлы профилей, содержащие те самые пароли. Достаточно открыть какой-нибудь крупный хаб и вбить поисковой запрос "wand.dat". Собственно криптовый файл, содержащий сохраненные в опере пароли.
А к тебе домой часто приходят кулхацкеры и роются у тебя в шкафу? У меня нет. Шанс, что кто-то увидит твой пароль на клочке бумаги (который у тебя лежит там, где ты знаешь и никогда не потеряешь) весьма мал. Шанс, что кто-то поймёт, что это пароль и тем более, откуда этот пароль - ещё меньше. Шанс, что из первых двух отсевов останется хотя бы один потенциально опасны для твоих данных человек - стремится к нулю.
Зато ты имеешь защищённую от уничтожения (исключая форс-мажоры, которые случаются значительно реже "краха систему") и несанкционированного доступа памятку с паролем, сложность которого может многократно превышать возможности твоей памяти.
Я же не предлагаю тебе носить листок с паролем в кармане джинс так, чтобы край с надписью "внутри пароль от сайта N" торчал наружу. Или как там ты собирался им светить.
Зато ты имеешь защищённую от уничтожения (исключая форс-мажоры, которые случаются значительно реже "краха систему") и несанкционированного доступа памятку с паролем, сложность которого может многократно превышать возможности твоей памяти.
Я же не предлагаю тебе носить листок с паролем в кармане джинс так, чтобы край с надписью "внутри пароль от сайта N" торчал наружу. Или как там ты собирался им светить.
Что бы потом не было мучительно больно из-за забытого пароля.
Как раз в комиксе и говорится о том, что компьютеру такой пароль будет относительно легко подобрать.
а теперь запускаем старую игру, которая идёт на 800*600, и при выходе группирует значки слева вверху на кучу.
Вот поэтому на моем рабочем столе и нет ярлыков, кроме корзины.
I know that feel bro.
у меня сложнозапоминаемый пароль из транслитерированного (на русский язык) никнейма в английской раскладке с четырмя числами не принимается большинством систем как "Слишком длинный", - 26 символов. Большинство сайтов ограничивает это число до 20, а то и до 12. Чуть позже я подправил это месиво из букв, дабы он был более благозвучным и заучил его наизусть, как скороговорку. Выкуси, система - я поимел тебя! (ну, хоть кого-то)
Ну, я предполагаю, что слово, которое "слово редко используется во множественном числе и поэтому звучит как-то непривычно. Нет, в словаре ты его не найдешь... ни в одном. Но согласно общепризнанным грамматическим правилам, множественная форма должна строиться именно так. " - это слово "пёзды".
Помню, даже конкурс был на подбор этого пароля
Помню, даже конкурс был на подбор этого пароля
Перебором вконтакт не взломать. После нескольких попыток блокирует и надо СМС ждать для смены пароля...
А ещё вконтакт запоминает все использовавшиеся тобой пароли и не позволяет снова их использовать.
Уроды параноидальные.(
А ещё вконтакт запоминает все использовавшиеся тобой пароли и не позволяет снова их использовать.
Уроды параноидальные.(
Да нет, все четко делают. Вконтактике много спамят, дофига фишинговых сайтов по типу вконтакта, дофига баз паролей. Если тебя уже поломали с этим паролем, то большая вероятность, что поломают снова. Как бы, особо эти меры не защищают, но отметут попытки хакнуть 95% школохакеров.
Ну шо же, вставлю свои пять копеек.
Я не диванный эксперт, я человек, который лично брутфорсил пароли. Я хз, откуда автор взял эти "биты энтропии", но могу сказать, что такая низкая сложность подбора - только если точно знаешь, что и где стоит. Например, в большинстве игр/сервисов требуют пароль, где не меньше 8 символов, есть заглавная буква и цифра. В большинстве случаев заглавная первая, а строчная - последняя, таким образом, есть 26^7*10, или около восьмидесяти миллиардов, вариантов паролей. Как получается эта цифра? Есть 26 вариантов первой заглавной буквы, есть 26 вариантов каждой из шести строчных букв, и есть 10 вариантов последней цифры. 26*26*26*26*26*26*26*10 вариантов всего.
Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут. Ну, если перебираете не на локальном компе, а на удалённом и по сети, делаем скидку на скорость соединения и способность удалённого компа эти пароли принимать. Тут скорость подбора вряд ли будет больше 1млн/сек, и это при ОЧЕНЬ мощном сервери и ОЧЕНЬ быстром соединении. Хотя 1000/сек - это всё-таки преуменьшение.
Рассмотрим другой пример. Те же восемь символов, также одна заглавная и одна цифра, но мы НЕ знаем, где они находятся. То есть каждый символ в пароле может быть заглавной буквой, строчной буквой или цифрой. В этом случае для каждого символа количество вариантов 26(заглавные)+26(строчные)+10(цифры)=62 варианта. На восемь символов 62^8= ок.218 ТРИЛЛИОНОВ вариантов, или примерно в 2730 раз больше. Перебирать такое количество можно несколько месяцев. Добавьте ещё один символ - и уже нельзя =)
Касательно картинки. Да, если точно знать, что формат именно такой - подобрать можно. Около 200тыс. слов при подборе по словарю, от 2 до 32 вариантов каждого слова(1-5 замен букв на символы), где-то 20 спецсимволов, если считать только те, что легко вводятся с клавиатуры, и 10 вариантов последней цифры... на самом деле действительно мало, меньше миллиарда вариантов. Но я вот, например, впервые слышу о таком формате, и никогда не использовал его для своих сайтов. К тому же, слово может быть русское в английской раскладке, например. Или имя фэнтезийного героя. Или выдуманное. Или может вообще не быть. Я бы на такой шаблон полагаться не стал, если честно. По запоминанию - 9 случайных символов после десятого ввода вручную уже помнишь без напряжения памяти =)
Вариант с четырьмя словами, кстати, неплох. 200тыс вариантов на слово, да в четвертую степень... Больше, чем может позволить перебор =)
Я не диванный эксперт, я человек, который лично брутфорсил пароли. Я хз, откуда автор взял эти "биты энтропии", но могу сказать, что такая низкая сложность подбора - только если точно знаешь, что и где стоит. Например, в большинстве игр/сервисов требуют пароль, где не меньше 8 символов, есть заглавная буква и цифра. В большинстве случаев заглавная первая, а строчная - последняя, таким образом, есть 26^7*10, или около восьмидесяти миллиардов, вариантов паролей. Как получается эта цифра? Есть 26 вариантов первой заглавной буквы, есть 26 вариантов каждой из шести строчных букв, и есть 10 вариантов последней цифры. 26*26*26*26*26*26*26*10 вариантов всего.
Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут. Ну, если перебираете не на локальном компе, а на удалённом и по сети, делаем скидку на скорость соединения и способность удалённого компа эти пароли принимать. Тут скорость подбора вряд ли будет больше 1млн/сек, и это при ОЧЕНЬ мощном сервери и ОЧЕНЬ быстром соединении. Хотя 1000/сек - это всё-таки преуменьшение.
Рассмотрим другой пример. Те же восемь символов, также одна заглавная и одна цифра, но мы НЕ знаем, где они находятся. То есть каждый символ в пароле может быть заглавной буквой, строчной буквой или цифрой. В этом случае для каждого символа количество вариантов 26(заглавные)+26(строчные)+10(цифры)=62 варианта. На восемь символов 62^8= ок.218 ТРИЛЛИОНОВ вариантов, или примерно в 2730 раз больше. Перебирать такое количество можно несколько месяцев. Добавьте ещё один символ - и уже нельзя =)
Касательно картинки. Да, если точно знать, что формат именно такой - подобрать можно. Около 200тыс. слов при подборе по словарю, от 2 до 32 вариантов каждого слова(1-5 замен букв на символы), где-то 20 спецсимволов, если считать только те, что легко вводятся с клавиатуры, и 10 вариантов последней цифры... на самом деле действительно мало, меньше миллиарда вариантов. Но я вот, например, впервые слышу о таком формате, и никогда не использовал его для своих сайтов. К тому же, слово может быть русское в английской раскладке, например. Или имя фэнтезийного героя. Или выдуманное. Или может вообще не быть. Я бы на такой шаблон полагаться не стал, если честно. По запоминанию - 9 случайных символов после десятого ввода вручную уже помнишь без напряжения памяти =)
Вариант с четырьмя словами, кстати, неплох. 200тыс вариантов на слово, да в четвертую степень... Больше, чем может позволить перебор =)
"В большинстве случаев заглавная первая, а строчная - последняя, таким образом" никогда и ничего не бывает и не мечтай.
"Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут." попизди мне тут - забыл дорисовать пару нулей к исчислению в годах.
"Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут." попизди мне тут - забыл дорисовать пару нулей к исчислению в годах.
Дофига хотел написать, но буду краток. Ты - идиот и не умеешь читать. И ты не прав.
> 9 случайных символов после десятого ввода вручную уже помнишь без напряжения памяти
Серийник от Win98 до сих пор хоть среди ночи задиктовать могу.)))
Серийник от Win98 до сих пор хоть среди ночи задиктовать могу.)))
Атака по словарю? Нет - не слышал.
На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать.
Блин, напомнило недавние попытки ломануть вафлю соседей Airslax-ом. Сколько времени то просрал...
О боже, рассказы о том как полтысячелетия будут ломать 44-битный пасс - это мощно. Автор, видимо, не в курсе, что в 2010 году (4 года назад, то есть, рост вычислительных мощностей к текущей дате рассчитайте сами), распределительная сеть из всего то 100 компов брутфорсом взяла три 768-битных ключа за два месяца.
По современным стандартам надежным для личной информации считается ключ на 1024 бита, надежным для секретной информации - на 2048 бит.
А ваши сказки про 44-символьный пасс - просто сказки студента-второкурсника.
Подбор любого пароля начинается с атаки по словарю. Активный словарный запас современного человека в среднем (активный словарный запас - это как раз те легко запоминающиеся слова, из которых составлен пароль в примере) составляет всего то 5000 слов. С хорошим запасом до 10000, плюс в ситуации с Россией, умножить на два - за счет английских слов. Можно даже на 4, за счет немецких и французских. Можно совсем нагрубить и округлить до 50000.
Перебор все равно завершится достаточно быстро.
По современным стандартам надежным для личной информации считается ключ на 1024 бита, надежным для секретной информации - на 2048 бит.
А ваши сказки про 44-символьный пасс - просто сказки студента-второкурсника.
Подбор любого пароля начинается с атаки по словарю. Активный словарный запас современного человека в среднем (активный словарный запас - это как раз те легко запоминающиеся слова, из которых составлен пароль в примере) составляет всего то 5000 слов. С хорошим запасом до 10000, плюс в ситуации с Россией, умножить на два - за счет английских слов. Можно даже на 4, за счет немецких и французских. Можно совсем нагрубить и округлить до 50000.
Перебор все равно завершится достаточно быстро.
Самая лучшая тема для паролей. Минимум 36 паролей (8 горизонталей, 8 вертикалей, 2 диагонали, плюс задом наоборот), максимум - ограничен лишь фантазией юзера в выборе маршрута движения курсора по таблице. Кому мало 8 символов в пароле - легко может создать себе таблицу 10х10.
Кроме того, тут нет ни шаблонов, ни замен, ни тем более словарных слов. И такая таблица очень удобна для предотвращения использования одного пароля на нескольких сайтах. Печатаешь, вешаешь над компом и просто запоминаешь: джой - 3 горизонталь, почта - 5 вертикаль, и т.п.
Кроме того, тут нет ни шаблонов, ни замен, ни тем более словарных слов. И такая таблица очень удобна для предотвращения использования одного пароля на нескольких сайтах. Печатаешь, вешаешь над компом и просто запоминаешь: джой - 3 горизонталь, почта - 5 вертикаль, и т.п.
а почему нет тильды!!!
хм... я просто использую норвежские маты вкупе с названиями корейских сериалов.
Чтобы написать коммент, необходимо залогиниться
