Перейти к содержанию

Такие пароли действительно безопасны


Nikolay Lazarenko

Рекомендуемые сообщения

Ученые из Georgia Tech Research Institute считают, что пароли длиной менее семи символов, используемые для авторизации на веб-сайтах, уже в ближайшее время будут считаться абсолютно ненадежными. Исключением не станут даже самые хитроумные комбинации цифр, букв и специальных знаков. Опираясь на результаты проведенных исследований, специалисты рекомендуют современным Интернет-пользователям использовать пароли, состоящие как минимум из 12 символов.

 

По мнению исследователей, угроза связана с появлением программных инструментов для аудита и восстановления паролей, которые используют ресурсы современных графических процессоров для повышения производительности. Ричард Бойд (Richard Boyd) из Georgia Tech Research Institute утверждает, что по скорости «перемалывания» чисел современные видеокарты вполне можно сравнивать с суперкомпьютерами, сконструированными всего лишь 10 лет назад. Можно с большой степенью вероятности предположить, что эти технологии рано или поздно привлекут к себе внимание кибер-преступников.

 

Длинные пароли более устойчивы к атакам типа «brute force», которые заключаются в переборе всех возможных символьных комбинаций, однако надежность пароля далеко не всегда определяется его длиной. Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов. И ни один из паролей не может считаться надежным в случае заражения компьютера вредоносным приложением-кейлоггером.

 

Практические проблемы, связанные с использованием паролей для аутентификации интернет-пользователей, стали достаточно популярной темой академических исследований. В прошлом месяце Джозеф Бонно (Joseph Bonneau) и Серен Прейбух (Sцren Preibusch) из Кембриджа выступили на конференции WEIS 2010 с любопытным докладом. Темой выступления стали распространенные ошибки и недочеты, обнаруженные в системах защиты современных сайтов. В отличие от своих коллег из Georgia Tech, кембриджские исследователи обеспечили взгляд на актуальную проблему со стороны веб-администраторов.

 

Подвергнув анализу защитные механизмы, присутствующие на 150 популярных коммерческих, новостных и почтовых ресурсах, ученые пришли к выводу, что многие сайты пренебрегают даже повсеместно распространенными мерами предосторожности, такими как использование хэша паролей и блокирование пользователя после нескольких неудачных попыток ввода ключевого слова.

 

Эксперты также уверены, что сайты с неэффективной защитой могут скомпрометировать даже хорошо защищенные ресурсы, если принимать во внимание любовь современных интернет-пользователей к универсальным паролям, которые используются для входа на большинство защищенных сайтов.

 

По материалам сайта The Register.

 

Сообщение от модератора zell
Перемещено в соответствующий раздел.
Изменено пользователем zell
Ссылка на комментарий
Поделиться на другие сайты

у меня к примеру пароли к почте состоят как минимум из 21 символа, как максимум 86 для моего бывшего сайта! Думаю на пока они еще актуальны! Долго брутить придется!

Ссылка на комментарий
Поделиться на другие сайты

у меня к примеру пароли к почте состоят как минимум из 21 символа

У меня всегда 4 было, щас ограничение гады на 6 сделали( ниразу ничего не ломали)

Ссылка на комментарий
Поделиться на другие сайты

У меня всегда 4 было, щас ограничение гады на 6 сделали( ниразу ничего не ломали)

Значит ты им не интерен! или просто наверно нигде не светился)

Ссылка на комментарий
Поделиться на другие сайты

У меня обычно 12-16 символов...но предпочитаю когда более 16 cool.gif

 

Тоже самое. Но если что-то очень серьезное могу и 25 символов на пароль поставить. Вопрос ко всем. Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

Ссылка на комментарий
Поделиться на другие сайты

но предпочитаю когда более 16

Тоже нормально.

 

Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

цифры + буввы + изменение регистра = пароль

Ссылка на комментарий
Поделиться на другие сайты

На это стоит обратить внимание:

Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов

B) :D :P

Ссылка на комментарий
Поделиться на другие сайты

Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов

Это всем известно, обычный брут с хорошим словарем.

Ссылка на комментарий
Поделиться на другие сайты

Обычно Вы все символы используете в пароле или ограничиваетесь изменением регистра и цифрами?

При создании пароля от какого-нибудь аккаунта всегда поступаю по следующему плану:

1) Открываю текстовый редактор, например Notepad.

2) Совершенно хаотично ввожу комбинацию из цифр, букв (в верхнем и нижнем регистре) и специальных символов ($, %, ^, &). Соответственно, никакой логики в моей комбинации (привязанности к именам, названиям и пр.) и быть не может.

3) Копирую получившуюся комбинацию и вставляю ее в специальное поле для ввода пароля.

При этом совершенно не забочусь о том, как такую комбинацию мне запоминать - все это складываю на плечи менеджера паролей, встроенного в браузер.

4) На всякий случай копирую файл с паролем на съемный носитель. В системе такой файл не держу.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

а я использую матерные частушки в качестве паролей, причем намеряно с ошибками ... и дополнять можно числовыми комбинациями которые можно востановить по какой нибудь простой арифмитической формуле или еще проще разделит пару чисел друг на друга по десятичной системе что бы получился длинный результат ....

Изменено пользователем Космическое излучение PRO!
Ссылка на комментарий
Поделиться на другие сайты

как минимум из 21 символа, как максимум 86

А вот это уже паранойя... 86 знаков? может будем весь толковый словарь рус-яз в пароль копировать и каждый день менять слова местами? Так то надёжнее, а то толпы хакеров в секретных лабораториях с черно-синей матрицей на экране так и норовят украсть ваш логин от какого нибудь форума и н@ср@ть от вашего имени в комментах :D :lol: RELAX! 8-10 символов (хаотично расположенных) более чем хватит для почты например (для эл. денег не грех перестраховаться в 15-20 символов), ну а если вы любитель xxx.com и скачиваете все подряд,а потом ещё и открываете, то никакой пароль не поможет.

Изменено пользователем antihack
Ссылка на комментарий
Поделиться на другие сайты

У меня в ноуте, штука забавная, утилита от HP - можно входить в почту, и другие сайты - проведя по сканеру отпечатков. Вообще, эта утилита аналог Kaspersky Password Manager, с той лишь разницей, что манагер паролей от HP работает с биометрическими устройствами, в моём случае - со сканером отпечатков.

 

З.Ы. Она работает походу с любыми окнами, где есть поля авторизации.

Ссылка на комментарий
Поделиться на другие сайты

У меня в ноуте, штука забавная, утилита от HP - можно входить в почту, и другие сайты - проведя по сканеру отпечатков. Вообще, эта утилита аналог Kaspersky Password Manager, с той лишь разницей, что манагер паролей от HP работает с биометрическими устройствами, в моём случае - со сканером отпечатков.

 

А подробнее можно, что это за утилита?

Ссылка на комментарий
Поделиться на другие сайты

Кстати:

 

Второй важный вывод заключается в том, что не имеет смысла использовать пароли длиннее 16 символов. Действительно, при длине пароля в 16 символов мы имеем 2128 возможных комбинаций, то есть ровно столько же, сколько и возможных комбинаций хэш-функций, а дальнейшее увеличение длины пароля не приведет к увеличению числа хэш-функций.

 

Теперь давайте попробуем сосчитать, сколько же времени потребуется для последовательного перебора всех наших 2128 хэш-функций. Учитывая, что скорость перебора составляет 107 паролей в секунду, получим, что для перебора всех комбинаций потребуется 1024 лет!

 

Пруфлинк

 

Кстати-2:

 

Более того, одно маленькое обстоятельство, открытое Urity на SecurityFriday.com, состоит в том, что если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.

Принимая это во внимание, использование паролей более 14 символов могло бы быть хорошим советом.

 

Пруфлинк

 

zell,

 

Сама утилита:

 

804dd07bf824.jpg

 

Как выглядит на деле:

 

03cb8fde6c17.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • MadMess
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Good2000
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • Acteon_927
      От Acteon_927
      Для банков Сбер и ВТБ в безопасных платежах в полях ввода данных исчезли значки вызова экранной клавиатуры. Это нормально или это ошибка? Используется браузер Google Chrome.  Windows 10.
       

×
×
  • Создать...