Перейти к содержанию

Сложность пароля: длина против спец.символов


Mrak

Рекомендуемые сообщения

Приветствую. В интернете много пишут о сложности паролей. Сегодня наткнулся на интересную таблицу у мегафона: http://szkti.ru/polezno/psw

 

И если верить таблице, то пароль "вфыа фываыфв ваа", состоящий из 14 букв и 2х пробелов, является абсолютно не надёжным (сложность 0%). Пароль "*ой№15", состоящий из 6 символов, оценён как сильный на 62%, Добавляю к нему пару символов: "*ой№15ааааааа" и сложность вновь падает до нуля. 

 

Решил спросить где тут логика? 

И что лучше, длинный пароль "быть или не быть", либо короткая билеберда типа: "№1у*39." ? 

 

Длинный пароль со спецсимволами прошу не предлагать (хочется надёжности и возможности быстро набрать, а не только бешеной надёжности, которая обойдется в десятки человекочасов при наборе). 

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Компьютерная помощь"
Ссылка на комментарий
Поделиться на другие сайты

Логика мутная.

РейганСобака - 100%(очень сильный) :)

Так это правда очень сильный пароль? Круче, чем пароль в 2 раза короче, но со спец.симвлоами типа @Рейган? 

Ссылка на комментарий
Поделиться на другие сайты

 

Так это правда очень сильный пароль? Круче, чем пароль в 2 раза короче, но со спец.симвлоами типа @Рейган? 

 

Так тест выдаёт...

МамаМылаРаму - 0%, из-за повторяющихся символов, хотя

Мама - 28%

Мутная логика...

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Так тест выдаёт...

 

МамаМылаРаму - 0%, из-за повторяющихся символов, хотя

Мама - 28%

Мутная логика...

 

Тогда расскажи без теста. Я его как пример привёл, а не как истину в последней инстанции. Ведь там расписаны какие-то формулы расчёта сложности, вот и подумал - наверное он правильный. 

Ссылка на комментарий
Поделиться на другие сайты

 

 


Ведь там расписаны какие-то формулы расчёта сложности, вот и подумал - наверное он правильный.

Там бред.

Сложность прямого перебора это количество возможных символов в степени длины.


 

 


Решил спросить где тут логика? И что лучше, длинный пароль "быть или не быть", либо короткая билеберда типа: "№1у*39." ?

Если в "быть или не быть" допустить ошибку - то он, а так может найтись в словаре злоумышленника.

 

http://password.social-kaspersky.com/ru - имхо, более адекватен

  • Спасибо (+1) 1
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

И что лучше, длинный пароль "быть или не быть", либо короткая билеберда типа: "№1у*39." ?

Мутная билибирада лучше в теории, нет ни какой возможности перебирать по шаблонам, так же в пароле заглавные буквы и простые - это разные буквы.

Изменено пользователем Cosmic radiation
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Как вариант ещё использовать русское словосочентание введённое на англ языке при использовании десктопной клавиатуры, но тут правда сразу возникают сложности по поводу вводу пароля на смартфонах и планшетах. Хотя его можно сохранить там заранее

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

И что лучше, длинный пароль "быть или не быть", либо короткая билеберда типа: "№1у*39." ?

мутная билибирада лучше в теории, нет ни какой возможности перебирать по шаблонам, так же в пароле заглавные быквы и простые - это разные буквы.

 

И как она соотносится?

 

Например, одна звёздочка в пароле заменяет 2 больших буквы или 4 строчных, либо такая логика не пройдёт? 

Как вариант ещё использовать русское словосочентание введённое на англ языке при использовании десктопной клавиатуры, но тут правда сразу возникают сложности по поводу вводу пароля на смартфонах и планшетах. Хотя его можно сохранить там заранее

Ага) Задолбаешься выцеливать и сравнивать, что на месте русской "к" должна быть "r". 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Учу юзеров пользоваться примерно такой схемой..

 

1 цифра  ; <свой статик пароль> ; 2 буквы, где 1 большая  ; 2 спец символа

 

1 qwerty Ab $&  (пробелы сделал для удобства понимания)

 

Типа того..

Изменено пользователем Cybertronix
Ссылка на комментарий
Поделиться на другие сайты

Как вариант сложный пароль (сгенерированный) и база паролей. И пароль надёжный и в надёжном месте. ;)

Изменено пользователем Soft
Ссылка на комментарий
Поделиться на другие сайты

@Cybertronix, я спрашивал о другом. Не о том, как грамотно создать пароль, а о том, что надёжнее: спецсимволы, заглавные, строчные и цифры, но 8 штук (или, например, 6-9), либо строчная фраза, но 15 символов?

Ссылка на комментарий
Поделиться на другие сайты

На сегодняшний момент при переборе любой приличный сервис после 2-3 неправильных введений начнет выкидывать капчу, а то и вовсе заблокирует аккаунт до смены пароля по ссылке присланной на email, а лучше по коду из sms. Так что в основном пароли воруют физически (подсмотреть при вводе, переписать из блокнота и т.д.) либо разводят на то, чтобы пароль озвучили сами владельцы (при звонке или в письме якобы из службы поддержки и т.п.)

Я всё время придерживаюсь двух правил:

1.Пароль должен быть комбинированный (буквы+цифры) и мной не забыт, например имя тестя и номер его квартиры "СоболевМатвей84" или инициалы друга и номер его телефона "avn9653247"

2.Менять пароль вместе с зубной щеткой - раз в три месяца :).

 

Соблюдаю элементарные правила сетевой безопасности.

Пароли не записываю а храню в Sticky Password Pro,

В банковских сервисах к введенному паролю присылают дополнительно код по sms.

Пока Бог миловал :).

  • Спасибо (+1) 1
  • Согласен 3
Ссылка на комментарий
Поделиться на другие сайты

@Mrak, с точки зрения подбора словарями и т.д. я все-таки по прежнему придерживаюсь complexity over quantity.. может быть это конечно и устарело, но мне кажется что именно так верно.

Ссылка на комментарий
Поделиться на другие сайты

что надёжнее: спецсимволы, заглавные, строчные и цифры, но 8 штук (или, например, 6-9), либо строчная фраза, но 15 символов?

Вообще то при регистрации на сайтах есть подсказка что лучше использовать пароль где будут использоваться буквы как нижнего, так и верхнего регистра, а также цифры и другие символы – например, знаки препинания, не менее 8 символов. Тогда это будет считаться сложным паролем!

Вот рекомендации по придумыванию паролей на:

Изменено пользователем neotrance
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 577kar
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • K0st
      От K0st
      Здравствуйте! Обнаружили запароленные данные. Архивы по нескольку десятков ГБ. Базы 1С и всё такое. В корне файл с описанием выкупа. Как можно распаковать и всё вернуть?
    • KL FC Bot
      От KL FC Bot
      Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
      Атака на разработчиков: злоупотребление OAuth
      Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
      Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
      В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
       
      View the full article
    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      От KL FC Bot
      «Пожалуйста, прикрепите селфи с паспортом, чтобы подтвердить свою личность» —такие предложения все чаще встречаются в различных интернет-сервисах. Фото с документом в руках требуют банки, сервисы по аренде авто, а иногда — даже будущие работодатели и владельцы съемных квартир.
      Делиться своими конфиденциальными данными таким способом или нет — личное решение каждого из вас. Мы же собрали все аргументы за и против, а также подготовили советы, как обезопасить себя, если сделать подобное селфи все же необходимо.
      Стоит ли делать селфи с документами?
      Без фотографии с паспортом в руках нельзя установить на смартфон некоторые банковские приложения, зарегистрироваться в каршеринге и аналогичных популярных сервисах или быстро оформить кредит. И тут решение, делать селфи с паспортом или нет, совершенно прозрачно.
      Хотите пользоваться популярными услугами? Делайте фото. Переживаете насчет безопасности своих данных? Не делайте фото. Но тогда вы не сможете, например, быстро перевести деньги на другой счет, приехать на работу в арендованном на скорую руку автомобиле или решить финансовые проблемы микрокредитом. Риски просты и понятны: либо безопасность, либо возможность пользоваться популярными услугами.
      Популярный аргумент у сторонников делать селфи с паспортом — предположения о том, что все их данные уже и так неоднократно слиты, поэтому им якобы не страшны возможные риски безопасности. Что ж, если разбрасываться селфи с паспортом направо и налево, иметь во всех аккаунтах один и тот же пароль вроде «12345» и не менять его десятилетиями, то на самом деле можно не переживать — все данные, скорее всего, уже давно слиты.
       
      View the full article
×
×
  • Создать...