Перейти к содержанию

Сложность пароля: длина против спец.символов


Mrak

Рекомендуемые сообщения

@Power5d,

Злоумышленник может и изменить порядок подбора.Но все же это врят ли произойдёт,поэтому спец.символы не плохо бы использовать из-за порядка подбора,чтобы увеличить срок подбора.

@Mrak,

Я уверяют такой пароль этим методом не подобрать.Алгоритм будет сложнее чем обычный подбор и не ускорит подбор,а скорее вообще не сможет это сделать.С практической точки зрения такой пароль абсолютно случайный,но не теоретически.

 

Вот ещё пример пароля:

%16%10%2000%qeT

Дата рождения соединена знаками процентов а в конце три буквы первой строки клавиатуры,через одну.Причём последняя заглавная.Как пароль?

  • Спасибо (+1) 1
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

@Mrak,

Я уверяют такой пароль этим методом не подобрать.Алгоритм будет сложнее чем обычный подбор и не ускорит подбор,а скорее вообще не сможет это сделать.С практической точки зрения такой пароль абсолютно случайный,но не теоретически.

Значит пароль "весёлая синева" (14 символов) более надёжен, чем 8мисимвольный %kE*wP1;   ?

Ссылка на комментарий
Поделиться на другие сайты

 

Значит пароль "весёлая синева" (14 символов) более надёжен, чем 8мисимвольный %kE*wP1;   ?

 

Нет. Пароли из слов имеющих смысл (только из слов, как в примере) уступают по взломостойкости

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@Mrak,

Выше сказали,что энтропия данного пароля низка,поэтому он слабее.Это во-первых,а во-вторых алфавит используемый для первого пароля гораздо меньше,чем для второго(там только кириллица,а во втором пароле латиница со спец.символами).Однако с помощью длинны пароля можно убрать недостаток маленького алфавита

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@Mrak,

Выше сказали,что энтропия данного пароля низка,поэтому он слабее.Это во-первых,а во-вторых алфавит используемый для первого пароля гораздо меньше,чем для второго(там только кириллица,а во втором пароле латиница со спец.символами).Однако с помощью длинны пароля можно убрать недостаток маленького алфавита

Так пароль из строчных 16ти букв сильнее, чем супер крутой 8мисимвольный (в 2 раза короче)? Увеличение длины в 2 раза позволяет не заморачиваться со спец.символами и большими буквами+цифрами?

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Надо ещё точно знать сколько спец.символов используется в алфавите?И латинские и цифры?

Если Ваш пароль меньше 16 символов то он не должен быть только из букв,если больше можете заменять таким паролем восьмисимвольный крутой пароль.Только он должен быть хотя бы относительно случайным.Опять же напоминаю про порядок подбора используемый злоумышленником.

Ссылка на комментарий
Поделиться на другие сайты

Надо ещё точно знать сколько спец.символов используется в алфавите?И латинские и цифры?

Экзотику типа китайского алфавита предлагаю не рассматривать :) Остановимся на стандартной русско-английской раскладке и прилагаемых к ней по умолчанию спец.символах. 

Ссылка на комментарий
Поделиться на другие сайты

Так пароль из строчных 16ти букв сильнее, чем супер крутой 8мисимвольный (в 2 раза короче)? Увеличение длины в 2 раза позволяет не заморачиваться со спец.символами и большими буквами+цифрами?

 

 

Тут математика надо. Капрала спроси. 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Использовал все символы и все равно пароль в два раза больший(состоящий из русских букв) оказался сильнее в два раза меньшего навороченного пароля.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Все это х......нь. Все "нормальные парни" знают, как "уходят" пароли.

Вы бы видели глаза админа, у которого "угнали" пароль от Винды более 20 символов (не лень же ему набирать).

Чаще меняйте, и будет вам счастье.

  • Улыбнуло 2
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@ACIK,

Это да.Но тут проблема больше о шифровании данных и использовании паролей для этой цели.Лучше шифровать винт и поэтому можно не боятся потерять пасс винды.

Ссылка на комментарий
Поделиться на другие сайты

Если было время запилил бы адекватный скрипт для определения времени подбора пароля на обычном компе,на сервере и ботнете.А также он вычислял бы количество всевозможных паролей для данной длины и данного алфавита.Естественно он бы проверял энтропию и указывал,на то что используются слова и т.д

Но времени нет!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      «Пожалуйста, прикрепите селфи с паспортом, чтобы подтвердить свою личность» —такие предложения все чаще встречаются в различных интернет-сервисах. Фото с документом в руках требуют банки, сервисы по аренде авто, а иногда — даже будущие работодатели и владельцы съемных квартир.
      Делиться своими конфиденциальными данными таким способом или нет — личное решение каждого из вас. Мы же собрали все аргументы за и против, а также подготовили советы, как обезопасить себя, если сделать подобное селфи все же необходимо.
      Стоит ли делать селфи с документами?
      Без фотографии с паспортом в руках нельзя установить на смартфон некоторые банковские приложения, зарегистрироваться в каршеринге и аналогичных популярных сервисах или быстро оформить кредит. И тут решение, делать селфи с паспортом или нет, совершенно прозрачно.
      Хотите пользоваться популярными услугами? Делайте фото. Переживаете насчет безопасности своих данных? Не делайте фото. Но тогда вы не сможете, например, быстро перевести деньги на другой счет, приехать на работу в арендованном на скорую руку автомобиле или решить финансовые проблемы микрокредитом. Риски просты и понятны: либо безопасность, либо возможность пользоваться популярными услугами.
      Популярный аргумент у сторонников делать селфи с паспортом — предположения о том, что все их данные уже и так неоднократно слиты, поэтому им якобы не страшны возможные риски безопасности. Что ж, если разбрасываться селфи с паспортом направо и налево, иметь во всех аккаунтах один и тот же пароль вроде «12345» и не менять его десятилетиями, то на самом деле можно не переживать — все данные, скорее всего, уже давно слиты.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.
      Первая приманка
      Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.
      Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
    • kushnarenkoa
      От kushnarenkoa
      Добрый день! Зашифровали файлы в формат le0 и файлы с базами данных на Postgre SQL положили в архив с паролем. Как можно восстановить данные? И что нужно скинуть для понимания?
×
×
  • Создать...