Надежность пароля
Если вы, зная толк в теории информации и информационной безопасности, ввязались в яростный спор с тем, кто толку в них не знает (и, не исключаю, чередует прописные и строчные), я искренне извиняюсь перед вами.
Если вы, зная толк в теории информации и информационной безопасности, ввязались в яростный спор с тем, кто толку в них не знает (и, не исключаю, чередует прописные и строчные), я искренне извиняюсь перед вами.
Подробнее
ПОРЯДОК НЕИЗВЕСТЕН □□□□□□□□□□□□□□□□ В ОСНОВЕ НБРАСПРОСТРАНЁННОЕ (ОСМЫСЛЕННОЕ.) слово Tr0ub^dork,3 ЗЛГЛА8- ЧАШЕ НАЯ? ЗАМЕНЫ а □□□ л _ (можно добавить ешд. пйрч бит, ДРУГИ^СИМВОПЫ УЧИТЫВАЯ, что эхо ТОЛЬКО ОйИН ИЗ НЕСКОЛЬКИХ РАСПАЭСТРЙНеяныХ «РоРМЙТОв^ Ц^ФРА □□□ □□□□ -28 БИТ ЭНТРОПИИ □□□□□□□□ □□□□□□□а □ □□□ □□□ □□□□ о 2м= з дня при 1000 (ЮПЫТОК/сЕК ( ПКадОЛОООбНАЯ ЙТЙКв Н« СЛАБЫЙ УДАЛЕННЫЙ ВЕб'СЕРВИ* 0«, ВЗЛОМ УКРАДЕННОЕ «мА БЫСТРЕЕ, НО СРЕД-ИСХТЯТИСГИЧЕСКИЙ ПООЬЛЛАТГЛк НС домнен об этом Беспокоиться.) СЛОЖНОСТЬ ПОДБОРА: НИЗКАЯ ТАМ БЫЛ ТРОМБОН? НЕТ, ТРУБАДУР. И ОДНА «О» БЫЛА НУПБМ? I И БЫЛ КАКОЙ-ТО СИМВОЛ... СЛОЖНОСТЬ ЗАПОМИНАНИЯ: ВЫСОКАЯ (праьильно лошадь батарея скова') correct horse Ьа-fctery stople l !--------11---!--1 I 1-------1 I J 1 □□□□□□ □□□□□□ □□□□□□ □□□□□□ □□□□□ □□□□□ □□□□□ □□□□□ ЧЕТЫРЕ СЛУЧАЙНЫХ ОБЫЧНЫХ СЛОВА - ЧЧ БИТА ЭНТРОПИИ □□□□□□□□□□□ □□□□□□□□□□а □□□□□□□□пега □□□□□□□□□□□ 244 "550 ЛЕТ ПРИ 1000 ПОПЫТоК/СЕК СЛОЖНОСТЬ ПОй б ОНА: ВЫСОКАЯ СЛОЖНОСТЬ ЗАПОМИНАНИЯ: ВЫ ЕГО УЖЕ ЗАПОМНИЛИ ЗА 20 ЛЕГ СТАРАНИЙ МЫ НАУЧИЛИ ВСЕХ ИСПОЛЬЗОВАТЬ ПАРОЛИ, КОТОРЫЕ ЧЕЛОВЕКУ ЗАПОМНИТЬ СЛОЖНО, А КОМПЬЮТЕРУ ПОДОБРАТЬ ЛЕГКО.
xkcd,Смешные комиксы,веб-комиксы с юмором и их переводы,xkcd.ru,перевел сам,и не только сам,it,безопасность,пароли
Еще на тему
![ЗАПОМНИ, В СЛОВЕ «ИОПАНДА» НЕТ «Я».
И ПРАВДА. ЗАТО В СЛОВЕ СТЫДНО НЕ ПОНИМАТЬ РАЗНИЦЫ МЕЖДУ ОРФОГРАФИЕЙ И СПЫСЛОМ» ЕСТЬ «ТЫ».
\](http://img2.reactor.cc/pics/thumbnail/post-2190258.jpg "ЗАПОМНИ, В СЛОВЕ «ИОПАНДА» НЕТ «Я».
И ПРАВДА. ЗАТО В СЛОВЕ СТЫДНО НЕ ПОНИМАТЬ РАЗНИЦЫ МЕЖДУ ОРФОГРАФИЕЙ И СПЫСЛОМ» ЕСТЬ «ТЫ».
\")
![НЕАШ1ЕЕР, ДОЛЖНО БЫТЬ, ХУДШАЯ ДЫРА В БЕЗОПАСНОСТИ ЗА ВСЮ ИСТОРИЮ.
ЭТО ТОЛЬКО ПОКА.
ТО ЛИ ЕЦЕ БУДЕТ.
НУ ПРАВДА, ВЕДЬ ЭТОТ
БАГ - НЕ ПРОСТО ОШИБКА
ШИФРОВАНИЯ.
\
ОН ПОЗВОЛЯЕТ ПОСЕТИТЕЛЯМ ВЕБ-САЙТОВ ПОЛУЧАТЬ С СЕРВЕРА ПРОИЗВОЛЬНОЕ СОДЕРЖИМОЕ ПАМЯТИ.
)
это не: только ключи.
ЭГО ВЕСЬ ТРАФИК. ПИС](http://img2.reactor.cc/pics/thumbnail/post-1271413.jpg "НЕАШ1ЕЕР, ДОЛЖНО БЫТЬ, ХУДШАЯ ДЫРА В БЕЗОПАСНОСТИ ЗА ВСЮ ИСТОРИЮ.
ЭТО ТОЛЬКО ПОКА.
ТО ЛИ ЕЦЕ БУДЕТ.
НУ ПРАВДА, ВЕДЬ ЭТОТ
БАГ - НЕ ПРОСТО ОШИБКА
ШИФРОВАНИЯ.
\
ОН ПОЗВОЛЯЕТ ПОСЕТИТЕЛЯМ ВЕБ-САЙТОВ ПОЛУЧАТЬ С СЕРВЕРА ПРОИЗВОЛЬНОЕ СОДЕРЖИМОЕ ПАМЯТИ.
)
это не: только ключи.
ЭГО ВЕСЬ ТРАФИК. ПИС")
На самом деле число вариантов намного больше. Но комикс высмеивает идею о том, что в основе лежит осмысленное слово, т.к. их очень мало по сравнению с общим числом вариантов.
P.S. Теперь я чуточку ближе, даже не знаю, хорошо ли это
Что же до твоих странных измышлений, что пасс-фразу запомнить проще, чем пароль, то я их даже комментировать не буду особо в связи с заведомой ложностью тезиса.
Но допущения автора все равно странные - почему-то он взял слово без искажений (превед). Предположил, что регистр меняется лишь у первой буквы (пРиВеТ). Что слово не разбито спецсимволами и цифрами (при1вет), что в конце ровно два доп. символа (а как же хрестоматийное vampir666?), что не используются визуальные кодировки (привет -> ghbdtn). Что используется, наконец, слово в простейшей форме и единственном числе.
Т.е. понятно, что некоторые статистические закономерности позволяют вылавливать пароли большинства пользователей. Но большинство не имеет даже паролей такой сложности, как на картинке. И испытывает проблемы с запоминанием одного слова. Не то, что четырех, да еще и в правильном порядке. Добавь к этому проблемы опечаток и станет понятно, почему "правильнолошадьбатареяскоба" - херовая замена.
SdSmOnO1GrKaDd. Криптоустойчиво? Да. Запоминаемо? Зачем, если всегда перед глазами
А не светить где попало.
Зато ты имеешь защищённую от уничтожения (исключая форс-мажоры, которые случаются значительно реже "краха систему") и несанкционированного доступа памятку с паролем, сложность которого может многократно превышать возможности твоей памяти.
Я же не предлагаю тебе носить листок с паролем в кармане джинс так, чтобы край с надписью "внутри пароль от сайта N" торчал наружу. Или как там ты собирался им светить.
Вот восстановить пароль Падлы - это был квест.
Наверняка жопоебля упоминалась(иначе с чего там темному краснеть было), но и всё, нипавасстанавливать.
Помню, даже конкурс был на подбор этого пароля
- Я придумал такое слово, которого никогда не существовало ни в одном языке, и сделал своим паролем!
- И как ты узнал об этом?
- Вбил в поиск.
- Поздравляю, теперь весь интернет знает это слово.
- У меня есть кот, Вася
- А у меня собачка Жучка ^_^
- О, у тебя 4 непрочитанных сообщения!
А ещё вконтакт запоминает все использовавшиеся тобой пароли и не позволяет снова их использовать.
Уроды параноидальные.(
Вопрос: сколько "бит энтропии" в пароле вида 12345678987654321 ?
Я не диванный эксперт, я человек, который лично брутфорсил пароли. Я хз, откуда автор взял эти "биты энтропии", но могу сказать, что такая низкая сложность подбора - только если точно знаешь, что и где стоит. Например, в большинстве игр/сервисов требуют пароль, где не меньше 8 символов, есть заглавная буква и цифра. В большинстве случаев заглавная первая, а строчная - последняя, таким образом, есть 26^7*10, или около восьмидесяти миллиардов, вариантов паролей. Как получается эта цифра? Есть 26 вариантов первой заглавной буквы, есть 26 вариантов каждой из шести строчных букв, и есть 10 вариантов последней цифры. 26*26*26*26*26*26*26*10 вариантов всего.
Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут. Ну, если перебираете не на локальном компе, а на удалённом и по сети, делаем скидку на скорость соединения и способность удалённого компа эти пароли принимать. Тут скорость подбора вряд ли будет больше 1млн/сек, и это при ОЧЕНЬ мощном сервери и ОЧЕНЬ быстром соединении. Хотя 1000/сек - это всё-таки преуменьшение.
Рассмотрим другой пример. Те же восемь символов, также одна заглавная и одна цифра, но мы НЕ знаем, где они находятся. То есть каждый символ в пароле может быть заглавной буквой, строчной буквой или цифрой. В этом случае для каждого символа количество вариантов 26(заглавные)+26(строчные)+10(цифры)=62 варианта. На восемь символов 62^8= ок.218 ТРИЛЛИОНОВ вариантов, или примерно в 2730 раз больше. Перебирать такое количество можно несколько месяцев. Добавьте ещё один символ - и уже нельзя =)
Касательно картинки. Да, если точно знать, что формат именно такой - подобрать можно. Около 200тыс. слов при подборе по словарю, от 2 до 32 вариантов каждого слова(1-5 замен букв на символы), где-то 20 спецсимволов, если считать только те, что легко вводятся с клавиатуры, и 10 вариантов последней цифры... на самом деле действительно мало, меньше миллиарда вариантов. Но я вот, например, впервые слышу о таком формате, и никогда не использовал его для своих сайтов. К тому же, слово может быть русское в английской раскладке, например. Или имя фэнтезийного героя. Или выдуманное. Или может вообще не быть. Я бы на такой шаблон полагаться не стал, если честно. По запоминанию - 9 случайных символов после десятого ввода вручную уже помнишь без напряжения памяти =)
Вариант с четырьмя словами, кстати, неплох. 200тыс вариантов на слово, да в четвертую степень... Больше, чем может позволить перебор =)
"Восемьдесят миллиардов паролей - это немного. При переборе хотя бы 30млн/сек(интерпретируемый язык вроде пхп, мощный процессор i5 о четырёх ядрах) это около 45 минут." попизди мне тут - забыл дорисовать пару нулей к исчислению в годах.
Во-вторых, если речь идет о вебсервере, то тебе и 1000 запросов в секунду никто сделать не даст.
Серийник от Win98 до сих пор хоть среди ночи задиктовать могу.)))
По современным стандартам надежным для личной информации считается ключ на 1024 бита, надежным для секретной информации - на 2048 бит.
А ваши сказки про 44-символьный пасс - просто сказки студента-второкурсника.
Подбор любого пароля начинается с атаки по словарю. Активный словарный запас современного человека в среднем (активный словарный запас - это как раз те легко запоминающиеся слова, из которых составлен пароль в примере) составляет всего то 5000 слов. С хорошим запасом до 10000, плюс в ситуации с Россией, умножить на два - за счет английских слов. Можно даже на 4, за счет немецких и французских. Можно совсем нагрубить и округлить до 50000.
Перебор все равно завершится достаточно быстро.
Кроме того, тут нет ни шаблонов, ни замен, ни тем более словарных слов. И такая таблица очень удобна для предотвращения использования одного пароля на нескольких сайтах. Печатаешь, вешаешь над компом и просто запоминаешь: джой - 3 горизонталь, почта - 5 вертикаль, и т.п.
хотя я стараюсь на незнакомых компах пароль не вводить