Такие пароли действительно безопасны

[Nikolay Lazarenko]

Ученые из Georgia Tech Research Institute считают, что пароли длиной менее семи символов, используемые для авторизации на веб-сайтах, уже в ближайшее время будут считаться абсолютно ненадежными. Исключением не станут даже самые хитроумные комбинации цифр, букв и специальных знаков. Опираясь на результаты проведенных исследований, специалисты рекомендуют современным Интернет-пользователям использовать пароли, состоящие как минимум из 12 символов.

 

По мнению исследователей, угроза связана с появлением программных инструментов для аудита и восстановления паролей, которые используют ресурсы современных графических процессоров для повышения производительности. Ричард Бойд (Richard Boyd) из Georgia Tech Research Institute утверждает, что по скорости «перемалывания» чисел современные видеокарты вполне можно сравнивать с суперкомпьютерами, сконструированными всего лишь 10 лет назад. Можно с большой степенью вероятности предположить, что эти технологии рано или поздно привлекут к себе внимание кибер-преступников.

 

Длинные пароли более устойчивы к атакам типа «brute force», которые заключаются в переборе всех возможных символьных комбинаций, однако надежность пароля далеко не всегда определяется его длиной. Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов. И ни один из паролей не может считаться надежным в случае заражения компьютера вредоносным приложением-кейлоггером.

 

Практические проблемы, связанные с использованием паролей для аутентификации интернет-пользователей, стали достаточно популярной темой академических исследований. В прошлом месяце Джозеф Бонно (Joseph Bonneau) и Серен Прейбух (Sцren Preibusch) из Кембриджа выступили на конференции WEIS 2010 с любопытным докладом. Темой выступления стали распространенные ошибки и недочеты, обнаруженные в системах защиты современных сайтов. В отличие от своих коллег из Georgia Tech, кембриджские исследователи обеспечили взгляд на актуальную проблему со стороны веб-администраторов.

 

Подвергнув анализу защитные механизмы, присутствующие на 150 популярных коммерческих, новостных и почтовых ресурсах, ученые пришли к выводу, что многие сайты пренебрегают даже повсеместно распространенными мерами предосторожности, такими как использование хэша паролей и блокирование пользователя после нескольких неудачных попыток ввода ключевого слова.

 

Эксперты также уверены, что сайты с неэффективной защитой могут скомпрометировать даже хорошо защищенные ресурсы, если принимать во внимание любовь современных интернет-пользователей к универсальным паролям, которые используются для входа на большинство защищенных сайтов.

 

По материалам сайта The Register.

 

Сообщение от модератора zell

Перемещено в соответствующий раздел.

Изменено 17 августа, 2010 пользователем zell

[Stopvirus]

у меня к примеру пароли к почте состоят как минимум из 21 символа, как максимум 86 для моего бывшего сайта! Думаю на пока они еще актуальны! Долго брутить придется!

[Omnividente]

у меня к примеру пароли к почте состоят как минимум из 21 символа

У меня всегда 4 было, щас ограничение гады на 6 сделали( ниразу ничего не ломали)

[Stopvirus]

У меня всегда 4 было, щас ограничение гады на 6 сделали( ниразу ничего не ломали)

Значит ты им не интерен! или просто наверно нигде не светился)

[Nikolay Lazarenko]

У меня обычно 12-16 символов...но предпочитаю когда более 16

[Chimera-Syber]

У меня обычно 12-16 символов...но предпочитаю когда более 16 cool.gif

 

Тоже самое. Но если что-то очень серьезное могу и 25 символов на пароль поставить. Вопрос ко всем. Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

[Stopvirus]

но предпочитаю когда более 16

Тоже нормально.

 

Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

цифры + буввы + изменение регистра = пароль

[Nikolay Lazarenko]

На это стоит обратить внимание:

Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов

[Stopvirus]

Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов

Это всем известно, обычный брут с хорошим словарем.

[F_Sergeant]

Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

При создании пароля от какого-нибудь аккаунта всегда поступаю по следующему плану:

1) Открываю текстовый редактор, например Notepad.

2) Совершенно хаотично ввожу комбинацию из цифр, букв (в верхнем и нижнем регистре) и специальных символов ($, %, ^, &). Соответственно, никакой логики в моей комбинации (привязанности к именам, названиям и пр.) и быть не может.

3) Копирую получившуюся комбинацию и вставляю ее в специальное поле для ввода пароля.

При этом совершенно не забочусь о том, как такую комбинацию мне запоминать - все это складываю на плечи менеджера паролей, встроенного в браузер.

4) На всякий случай копирую файл с паролем на съемный носитель. В системе такой файл не держу.

[Cosmic radiation]

а я использую матерные частушки в качестве паролей, причем намеряно с ошибками ... и дополнять можно числовыми комбинациями которые можно востановить по какой нибудь простой арифмитической формуле или еще проще разделит пару чисел друг на друга по десятичной системе что бы получился длинный результат ....

Изменено 1 сентября, 2010 пользователем Космическое излучение PRO!

[Мизантроп]

как минимум из 21 символа, как максимум 86

А вот это уже паранойя... 86 знаков? может будем весь толковый словарь рус-яз в пароль копировать и каждый день менять слова местами? Так то надёжнее, а то толпы хакеров в секретных лабораториях с черно-синей матрицей на экране так и норовят украсть ваш логин от какого нибудь форума и н@ср@ть от вашего имени в комментах RELAX! 8-10 символов (хаотично расположенных) более чем хватит для почты например (для эл. денег не грех перестраховаться в 15-20 символов), ну а если вы любитель xxx.com и скачиваете все подряд,а потом ещё и открываете, то никакой пароль не поможет.

Изменено 1 сентября, 2010 пользователем antihack

[JIABP]

У меня в ноуте, штука забавная, утилита от HP - можно входить в почту, и другие сайты - проведя по сканеру отпечатков. Вообще, эта утилита аналог Kaspersky Password Manager, с той лишь разницей, что манагер паролей от HP работает с биометрическими устройствами, в моём случае - со сканером отпечатков.

 

З.Ы. Она работает походу с любыми окнами, где есть поля авторизации.

[zell]

У меня в ноуте, штука забавная, утилита от HP - можно входить в почту, и другие сайты - проведя по сканеру отпечатков. Вообще, эта утилита аналог Kaspersky Password Manager, с той лишь разницей, что манагер паролей от HP работает с биометрическими устройствами, в моём случае - со сканером отпечатков.

 

А подробнее можно, что это за утилита?

[JIABP]

Кстати:

 

Второй важный вывод заключается в том, что не имеет смысла использовать пароли длиннее 16 символов. Действительно, при длине пароля в 16 символов мы имеем 2128 возможных комбинаций, то есть ровно столько же, сколько и возможных комбинаций хэш-функций, а дальнейшее увеличение длины пароля не приведет к увеличению числа хэш-функций.

 

Теперь давайте попробуем сосчитать, сколько же времени потребуется для последовательного перебора всех наших 2128 хэш-функций. Учитывая, что скорость перебора составляет 107 паролей в секунду, получим, что для перебора всех комбинаций потребуется 1024 лет!

 

Пруфлинк

 

Кстати-2:

 

Более того, одно маленькое обстоятельство, открытое Urity на SecurityFriday.com, состоит в том, что если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.

Принимая это во внимание, использование паролей более 14 символов могло бы быть хорошим советом.

 

Пруфлинк

 

zell,

 

Сама утилита:

 

 

Как выглядит на деле: