LINUX.ORG.RU

Криптостойкость пароля

 


0

2

linux mint при установке оповестил,
что пароль 12345#!G - хороший пароль
а microsoftisthebestcompanyintheworld - слабый пароль
т.е. второй пароль взломать легче чем первый?
Во общем сабж, когда пароль называют криптостойким? И какими методами это определяется?


Криптостойкость измеряется в миллиметрах. Определяется методом погружения паяльника в основание твоего ника.
Оба пароля на пару миллиметров максимум.

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от dober

12345#!G - 3 hours
microsoftisthebestcompanyintheworld - 264 nonillion years
опять же это просто перебор, с интеллектуальным анализом по первым слогам угадывается сразу слово, и на порядок итераций станет меньше

Zhopin
() автор топика

Узнать реальную криптостойкость может только 1 метод — реальный взлом, но на это мало кто пойдёт хотя бы из временных соображений.

Deathstalker ★★★★★
()
Ответ на: комментарий от Zhopin

с интеллектуальным анализом по первым слогам угадывается сразу слово,

Вот до чего доводят фильмы про хакеров в которых пароль подбирают по одной букве.

TDrive ★★★★★
()

Уже много раз говорили, что использовать даже длинные предложения, а тем более логически верные словосочетания небезопасно. Пароль не может состоять только из букв, добавив всего-лише пару чисел и несколько спецсимволов, сложность возрастает в разы.
И с этой точки зрения валидатор, конечно прав. Потому-что второе точно небезопасно.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Пароль не может состоять только из букв

А если это рандомная последовательность букв?

добавив всего-лише пару чисел и несколько спецсимволов, сложность возрастает в разы.

Так же как и если увеличить длину пароля.

TDrive ★★★★★
()
Ответ на: комментарий от greenman

что тут представлять. Вряд ли пользователь будет писать пароль типа «ватплмовталпт», он будет составлен из осмысленных слов и чисел. База слов и чисел описывающих года, месяцы например. И комбинировать не по символьно, а беря сразу блоки, где блок это слово или число.

Deathstalker, не говорю про прям стопроцентно реальную криптостойкость, но есть же методы оценки пароля, не только перебором?

anonymous_sama, почему возрастёт? Перебор по любому будет проводиться по всему спектру символов, ведь заведомо взломщик не вкурсе какие именно символы применялись.

Zhopin
() автор топика

на хабре недавно статья была
там еще комикс из xkcd фигурировал

ii343hbka ★★★
()
Ответ на: комментарий от TDrive

Так же как и если увеличить длину пароля.

Нет если добавить к примеру пару слов из словаря в конец, то только пузомерка возрастет

А если это рандомная последовательность букв?

В нем не так много букв, если знать что будут только буквы, это конечно очень упростит.

anonymous_sama ★★★★★
()
Ответ на: комментарий от quantum-troll

ну вот суть что я имел ввиду в одной картинке
но верно ли это? если я вначале буду брутфорсить перебирая английские слова, но взломаю приведённый в комиксе пример за пару минут

Zhopin
() автор топика
Ответ на: комментарий от Zhopin

Нет обычно идет брут вначале по популярным паролям и словарю, а дальше уже зависит от возможностей и хитрости атакующего.

anonymous_sama ★★★★★
()

Если пароль похож на то, что даёт команда

$ apg -m 41
jolWiWuCoryonsAudbobVahoonNavmoiltUkFafya
BunneywiujkatwirrIsafhyftyaHioxobricEgFom
CycsOadCybGiMuasagsyegaicemObHiVegDeyspAv
fahahyevkeuHotvusat'owAxmofupOgusGuthunbo
nusoarAkhekaykVerWuecCiciachDyk9Wrygwout:
scanyadyesotOsayncephGuftUljogshidanUmEn/
То наверняка он криптостойкий.

Infra_HDC ★★★★★
()
Ответ на: комментарий от anonymous_sama

обычно? есть какие то основы или кодекс хорошего тона для брутфорса?) Это не сарказм, я серьёзно.
greenman, причём тут они? Infra_HDC, имел ввиду именно пароли. То есть применимость к людям обязательно, к простым людям. не работающим в разведке.

Zhopin
() автор топика
Ответ на: комментарий от Zhopin

причём тут они?

При чём здесь хеш функции? А как проверяется, правильный или нет введён пароль, как ты думаешь?

Почитай вот это Выявлена возможная утечка хэшей паролей разработчиков Mozilla попытайся понять.

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от greenman

Для этого словари есть, слог==начало слова перебор слов на этот слог и так далее до победного.

Dron ★★★★★
()
Ответ на: комментарий от Zhopin

Простая логика. Зачем тратить деньги на работу фермы. Если у тебя пароль и так в списке самых популярных. Поэтому идут от простого к сложному. Тем более перебор по заготовленному листу/массиву доступен каждому. Это не ферму собрать или взять в аренду у какой-то непонятной личности.

anonymous_sama ★★★★★
()

Вспомни строчку из стишка или цитату на русском и вбей её с другой раскладкой. Вот тебе и пароль хороший.

Dron ★★★★★
()

Придумай какую-нибудь фразу и посчитай от неё хэш. Возьми первые N символов и используй.

Valdor ★★
()
Ответ на: комментарий от yirk

Даже если взломщик знает трюк, всё равно перебор при достаточной длине пароля будет долог, если слова выбраны совершенно случайно.

quantum-troll ★★★★★
()
Ответ на: комментарий от greenman

всё равно не понимаю. Пароль шифруется и сравнивается его хеш. И? Что даст тебе скажем хеш пароля от моего акка тут?

anonymous_sam, ну перед брутом ведётся какой никакой анализ, что собираются брутить. Если что то важно, вряд ли пароль будет в топе популярности. Но идею я понял, да.

TDrive, ешь свой торт, читай джамп и ни кидай тут левые хеши.

Zhopin
() автор топика

т.е. второй пароль взломать легче чем первый?

Теперь они оба одинаковой криптостойкости.

i-rinat ★★★★★
()
Ответ на: комментарий от Zhopin

Это что выдает такой результат? 10^15 вариантов против 10^50. Зависимость от времени непрямая что-ли?

stave ★★★★★
()
Ответ на: комментарий от i-rinat

не страшно, все имена изменены, любые совпадения случайны.

Zhopin
() автор топика
Ответ на: комментарий от stave

Зависимость от времени непрямая что-ли?

Видимо, считается, что вычислительные мощности с годами растут.

i-rinat ★★★★★
()
Ответ на: комментарий от anonymous_sama

Это тебе не на лор.

А куда? Ты сказал что пароли из букв не надежны, я предлагаю тебе подтвердить свою правоту подобрав мой пароль из 11 символов, 11 символов это же совсем не много.

TDrive ★★★★★
()
Ответ на: комментарий от Zhopin

TDrive, ешь свой торт, читай джамп и ни кидай тут левые хеши.

Что в нем левого?

TDrive ★★★★★
()
Ответ на: комментарий от dober

отличный сервис по превращению криптостойких паролей в некриптостойкие

MyTrooName ★★★★★
()
Ответ на: комментарий от Zhopin

ну перед брутом ведётся какой никакой анализ, что собираются брутить.

Это только в фильмах делают всякие анализы, собирают информацию, используют брут с искусственным интелектом...

А на практике тырят базу данных с тысячами логин-хешей и тупо брутят сразу всю базу по словарям и перебором, за несколько часов набручивают с этой быза пару процентов паролей, там где пароли самые простые и збс.

TDrive ★★★★★
()

Чем больше твой пароль содержит информации, тем теоретически труднее его взломать, т.е. тем он более криптостойкий. Например, в слове 'microsof?' последний символ угадать легче, чем в случайной последовательности '33f6A7Ua?'. Это значит, что от добавления одной буквы количество информации в первом случае увеличится меньше, чем во втором случае. Есть специальное слово - энтропия, суть количество информации на символ.

Словарные пароли плохи тем, что состоят из слов, подчиняющихся определенным правилам языка. Например, в словах ты не встретишь больше четырех согласных букв подряд, не встретишь следующий за гласной Ъ или Ь. Некоторые буквы встречаются чаще, некоторые реже. Некоторые последовательности из букв встречаются чаще, чем остальные. Все это умешьшает энтропию, а следовательно, и криптостойкость твоего пароля.

Различные же библиотеки проверки на криптостойкость, в силу невозможности тупой машины что-нибудь сделать без четкого алгоритма, не являются последней инстанцией (хотя, тем не менее, могут давать хорошие результаты). Доверяй свое голове больше.

// Пересказал своими словами прочитанное то ли в Криптономиконе, то ли еще где-то.

anonymous
()
Ответ на: комментарий от anonymous

В словарных паролях никому не приходит в голову считать информацию на символ. Энтропия к символам не привязана.

x3al ★★★★★
()
Ответ на: комментарий от yirk

Плохой способ.
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Этот человек пишет про брутфорс осмысленных предложений и сразу после этого «Поэтому метод xkcd [случайные 4 слова] — говно». Логика отсутствует. Ему же в комментариях об этом напоминают.

x3al ★★★★★
()
Ответ на: комментарий от TDrive

да ты прям эксперт, где то читал обратное, что люди подбирают пароли без всяких брутфорсов, читая страничку жертвы в соц сети

Deathstalker, в микрософте фигни не посоветуют

x3al, теперь и я знаю что такое xkcd. день прошёл не зря

Zhopin
() автор топика
Ответ на: комментарий от x3al

В словарных паролях никому не приходит в голову считать информацию на символ.

А считать и не надо. Энтропия не изменится от того, посчитаешь ты ее или нет.

Собственно, речь шла о том, насколько теоретически такой пароль будет криптостойким, а не насколько трудно практически его можно будет подобрать с учетом всех нюансов. Практика со временем поменяется, теория же - нет.

anonymous
()
Ответ на: комментарий от Deathstalker

Почему этого не забанили до сих пор? Он же гуглит ответы. В смысле, не гуглит ответы, а гуглит ДОСЛОВНО ответы.

anonymous
()

linux mint при установке оповестил,
что пароль 12345#!G - хороший пароль
а microsoftisthebestcompanyintheworld - слабый пароль

Это показывает только метод определения стойкости пароля linux mint

TheAnonymous ★★★★★
()
Ответ на: комментарий от anonymous

Добрый вечер, cdshines! Ты вспомнил пароль? Тут тебе ничем не помогут, напиши на sportloto@linux.org.ru, там тебе ответят.

Deathstalker ★★★★★
()
Ответ на: комментарий от anonymous

не встретишь больше четырех согласных букв подряд

«бодрствовать»

не встретишь следующий за гласной Ъ или Ь

man чеченский.

anonymous
()
Ответ на: комментарий от Zhopin

Твой акк никому не нужен. А хеш даст то, что из 10^20 степени паролей для брутфорса, операция которого выполняется долго (расшифровка дело не быстрое) выберется скажем 10^5 паролей (на взятие хешей от них уйдёт время, но не так много, как если бы выполняли расшифровку каждый раз), а учитывая, что многие таблицы с хешами паролей уже давно посчитаны, то и брутфорсить придется мало паролей. Потому, если хеш пароля утёк, то можно очень сильно поплатиться за это.

peregrine ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.