Не вижу вопроса

//чёрт, рано ответил, вопроса-то нету :(

Делаю себе пароли через pwgen длиной от 16 до 32.

Да пароли должны быть сложными.
Но насколько.

Настолько, насколько это возможно.

Имя пользователя тоже длинное 32 символа?

Нет.

Подберет бот такую комбинацию и как скоро
пользователь пароль
ПетровИванИванович 1
ВасечкинаИринаМихайловна bhjxrf(ирочка в русской)
Да пароли должны быть сложными.
Но насколько? В данной ситуации.

Чтитали бот

Кто тебя научил ставить перенос строки после каждой точки? Ударь его разок.

По теме: bhjxrf(ирочка в русской) — плохой пароль. 1 — ещё хуже. Боты перебирают не последовательно каждый байтик, а по словарю. А переключение раскладки — настолько частый приём (как и з@мен@ букв на цифры и символы), что это они тоже всегда учитывают. Важна не столько длина пароля (хотя в конечном итоге она решает), а его случайность. Пароли должны быть случайно сгенерированными. И желательно только такими. Тогда, скажем 16 символов вполне хватит, а от обычных ботов, в принципе даже 8. Но тут тоже чем длинней, тем лучше. Другой вариант — очень длинные пароли из слов. Например целых 5–10 слов. Можно добавить к этому «не ту раскладку», но реально это всего один бит для бота, так что толку мало, даже одна случайная буква в конце — эффективнее этого.

Настолько, чтобы пользователи не записывали их на бумажках, а помнили.

А админу вообще отключить удаленный вход по паролю, пусть по ключу заходит.

Т.к. имя пользователя — инфа de-facto публичная, то твой пароль «1» подберётся ну очень-очень быстро.

С этим я согласен, но в данном вопросе имя пользователя играет тоже не последние место.

apg лучше — их хоть запомнить можно.

Имя пользователя узнать (не перебором) проще. Да и по словарю подобрать тоже (если не очень редкая фамилия). Я бы не надеялся на имя пользователя вообще. Пароль есть пароль, защищать должен именно он. Имя просто для идентификации, защите оно не служит.

У меня все пароли в keepassx хранятся.

Если делать пароли из слов то обязательно в словах делать опечатки или менять порядок букв.

Откуда бот знает что на этом сервере есть ИвановГенадийПавлович?

Согласен.

Если делать пароли из слов то обязательно в словах делать опечатки или менять порядок букв.

Это запомнить будет сложнее, чем пароль из 16 случайных символов. Помнишь, что где-то опечатка, а где — хрен её знает. Да ещё и сами слова помнить. Вся суть паролей из слов так теряется. Хотя если предполагается, что пользователи будут эти пароли гарантировано использовать каждый день (не будет перерывов по месяцу-паре), то прокатит.

Соль в том, что узнать список пользователей — дело в общем-то на раз два. Или система сама тебе этот список выплюнет, или вот по смежным каналам, как ты только-что сделал.

Итак, что мы знаем? username — это ФамилияИмяОтчество. Кто работает в конторе инфа не очень то и секретная. Т.ч. ты сам только-что спалил котрору.

Откуда бот знает

Боты, если и чешут, то только зелёных неофитов.

Откуда бот знает что на этом сервере есть ИвановГенадийПавлович?

Мало ли через какую дыру эту информацию можно достать. Я не работал с 1С, но суть в том, что пароли шифруются и направо-налево не передаются. Имена пользователей в принципе так параноидально не охраняются. Ну и опять же, может подобрать. Будто такие редкие имена-фамилии. Словарь русских имён и вперёд. Не всех, да кого-то можно.

P.S. упс, пропустил, что там не 1с, а на rdp пароль (ну так уж написан пост здорово), но сути это особо не меняет.

ps: ОБСУЖДАЕТСЯ только БОТ (добавил)

Сори за написание. 3 4 строка.

И тут он мне задает вопрос.
Какой длинны теперь пароли делать на вход в win по rdp.

Забавно, что никто не спросил: какого хрена имена пользователей не в ASCII? Это как вообще понимать-то?

Ну, если не ошибаюсь, за_сколько_бот_подберёт_логин_и_пароль считается по формуле: ((кол-во символов, которые могут быть частью слова)^(кол-во символов в слове)) * (время, за которое бот генерирует одно слово)
Но тут не учитывается, что пароль и логин могут быть разной длины и что если \0 есть в конце слова, то после него уже не может быть симоволов.

считается по формуле: ((кол-во символов, которые могут быть частью слова)^(кол-во символов в слове)) * (время, за которое бот генерирует одно слово)

Ерунда какая-то. А количество слов не влияет? А «кол-во символов в слове» на «время, за которое бот генерирует одно слово» не влияет?

Боты бывают очень разные. Тупо брутфорсом пароли обычно не подбирают, тем более при каких-то рандомных атаках. Подбирают по словарям. Здесь важна распространённость. Пароли типа 123456 и password или зфыыцщкв подбираются моментально, «D1maB1l@n» — чуть чуть дольше, «градусник майонез поехали депутаты зажигалка любовь» — очень намного дольше, «gBVMhxF1XN-R2kCVk6-oXueSQsaKaeNu» — не подбираются за обозримое время вообще.

А к случайно сгенерированному паролю да, похожая формула применима: сколько разных символов вообще бывает * сколько символов в пароле. Правда первого бот не знает. Но такие пароли и не ломают, разве что при целенаправленной атаке.

И тут он мне задает вопрос.

Правильным ответом на который является следующий: чувак, твои пароли - твоя зона ответственности.

Хотя я могу и ошибаться, я в этом всём отнюдь не спец.

А количество слов не влияет?

Логин в любом случае это одна строка, и даже если там можно вводить пробел, то это просто символ.

А «кол-во символов в слове» на «время, за которое бот генерирует одно слово» не влияет?

За кол-во символов в слове можно брать максимальную длину пароля. А как учесть формуле, что

если \0 есть в конце слова, то после него уже не может быть симоволов

не знаю.

А количество слов не влияет?

Логин в любом случае это одна строка, и даже если там можно вводить пробел, то это просто символ.

Ну а зачем тогда в той формуле какие-то «слова»?

В любом случае, формула не верна. Боты подбирают пароли (обычно) не посимвольно, а на основе словарей, стандартных подстановок и объединений, и больше всего влияет не длина, а распространённость. Пароль из пяти случайных символов будет значительно надёжнее, чем «q1w2e3r4t5y6u7i8o9», хоть последний и намного длиннее.

А если брать перебор не по словарю (так обычно не делают, разве что ломают кого-то конкретного и целенаправленно), то формула будет примерно «кол_во_возможных_разных_символов**кол_во_символов_в_пароле * время_одной_попытки * время_перебора_ВСЕХ_более_коротких_вариантов», да и то только в том случае, если бот уже знает кол_во_возможных_разных_символов.

Чет типа этого. Не рассматриваем пароль только имя.

login="КимЧинИр" // 8 длина 32 русских * 2 ВеРхний нижний = 64  
koll_1 = 8^64 = 6 277 101 735 386 680 000 000 000 000 000 000 000 000 000 000 000 000 000 000,00 
koll_2 = 64^8 = 281 474 976 710 656,00

В любом случае надо всегда исходить из того, что имя пользователя известно нападающему.

Согласен. На все 100%.

пожалуй воздержусь

А что, rdp не блочит каждые m попыток на n секунд?

P.S. Отличный пароль — 4-5 случайных простых слова. Легко запомнить, легко ввести (особенно на мобильнике), очень сложно подобрать. Странно, что ЛОР этого не понимает.

Ну а зачем тогда в той формуле какие-то «слова»?

Ну если ты про «кол-во символов, которые могут быть частью слова», то там слОва, а не словА

Боты подбирают пароли (обычно) не посимвольно, а на основе словарей, стандартных подстановок и объединений, и больше всего влияет не длина, а распространённость. Пароль из пяти случайных символов будет значительно надёжнее, чем «q1w2e3r4t5y6u7i8o9», хоть последний и намного длиннее.

Ок, понял. Давай теперь формулу обсуждать. Почему это она не верна. Если боту известны все нужные для величины и он подбирает пароль случайно, то почему бы ей не быть верной.

Недавно настроил знакомому 1С програмеру-админу-win роутер с пробросом портов ну и другие плюшки.(Контора маленькая)

5 чел которые ходят по rdp. Да именно бот ее и знает. Причем всех по списочно и со СНИЛС и ИНН не говоря о паспортных данных. Это же бот он все знает.

You are doing it wrong.

Не о ботах надо беспокоиться. Боты — это так, белый шум на линии. А вот конкуренты (или недоброжелатели) с такой политикой поимеют фирму не вставая с кресла.

Нужно только 64^8

Пользователю «Администратор» стоит уберать пароль совсем.
При умолчальных политиках беспарольному администратору удалённый вход запрещён.

Ещё раз — имена пользователей — это публичная информация. И именно из этого надо исходить при оценке безопастности. То, что ты поменял порт — тоже ноль целых, ноль десятых на массу. Де-факто это тоже публичная информация.

Правильным решением было бы например поднять VPN, а не светить попой (rdp) в сеть.

TL;DR: вон из профессии.

Ну если ты про «кол-во символов, которые могут быть частью слова», то там слОва, а не словА

Я не понимаю, причём здесь вообще какие-то слова, ежели речь идёт о посимвольном переборе. Там действительно что пробел, что нет, без разницы. Если «слОва» заменить на «пароля» или «строки», то будет правильнее. Видимо, это и имелось в виду. Но всё равно не совсем так, потому что если бот перебирает сначала трёхбуквенные, потом четырёхбуквенные и т. д., то прежде чем угадать пятибуквенный, ему нужно все более короткие перебрать. Если же бот уже знает и какие символы бывают и сколько в пароле символов, а «слово» это весь пароль, тогда да, формула верна.

Ещё раз — имена пользователей — это публичная информация.

НЕТ

То, что ты поменял порт — тоже ноль целых, ноль десятых на массу.

Тоже знаю так захотел win-админ

НЕТ

Ну если ты такой умный, то вообще не ставь пароль. Зачем он? Чего было вопрос задавать? Положись на одни только имена пользователей :D

Удачи! Точнее удачи твоему этому админу, если он тебя послушает

Спасибо. Он читает эту ветку дал ему ссылку. Угорает говорит.
Но всем «Спасибо» тоже говорит за оперативность.

Автор! попробуй научиться миспользованиюспециального знака ?, коорый означает, что предыдущее предложение имело вопросительный смысл. А то ты говоришь, «прочтите вопрос», когда текст сообщения не содержит вопроса.

Сделай всем vpn и не трахай мозг.

А еще можно раскидать грабли по огороду, завязать всем глаза и отправить со словами «твои ноги — твоя зона ответственности».

очень сложно подобрать

(размер словаря) ^ 5

Напиши бота под эти условия и делов то, расчитаешь среднее время подбора пвроля и сделаешь смену пароля раз в период времени который в раза 2 меньше времени на подбор пароля.

Тоесть если пароль терпимо менять раз в месяц, то делай пароль такой сложности чтобы его при всех неизвестных подбор занимал месяцпри условии что колличество попыток ввода бесконечно но....

Проще тупо блочить если ведено 3 раза невено и всё. тогда даже 12345 надёжно будет.

Нельзя разбрасывать грабли в зоне чужой ответственности.