Перейти к содержанию

О сложности пароля

McARRIS

От McARRIS
в Задай вопрос Евгению Касперскому!

 Share

Рекомендуемые сообщения

McARRIS Новичок

McARRIS

Опубликовано
Опубликовано

Здравствуйте, Евгений. Мой вопрос не о продуктах Вашей лаборатории. По крайней мере, если и касается, то лишь косвенно. Так же он касается, косвенно, продукции компании Google.

Вопрос в следующем.

Мне понадобилось, для работы приложения на смартфоне получить пароль для приложений Google. У меня включена Двухфакторная аутентификация. Я запросил пароль и был удивлён. Пароль представляет собой латиницу нижнего регистра без цифр и других знаков усложняющих перебор. Я зашёл на Ваш сайт, где в одном из разделов есть форма проверки пароля.

Я прикладываю фото пароля, он уже устарел, я его отозвал.

post-17944-0-67570400-1486829502_thumb.png

Так же вот результаты формы.

post-17944-0-00901000-1486829513_thumb.png

Меня интересует вот что. Если, согласно результатам теста пароля, он достаточно стойкий, то как же тогда рекомендации по поводу внедрения в пароли верхнего регистра, цифр и спецсимволов? Насколько мне известно, методом перебора, да, сложно взломать сложный пароль. А если заранее известно количество символов в пароле, известно составляющее пароль, то есть нижний регистр, отсутствие цифр, спецсимволов? Разве это не добавляет шансы на успех при взломе? Если это и так, а я уверен, что это так, почему же в Вашей форме пробы устойчивости, нет возможности показать "зрителю" отличие пароля, скажем с цифрами и без, с присутствием спецсимволов и без? Да суть не в этом, мне интересно, Ваше мнение по поводу: всё таки это достаточно сложный пароль или при задании условий брутфорса (я их указал выше) шансы на взлом будут более успешными? Меня просто, поразила тупость разработчиков, умудрившихся впарить 16 обычных, латинских букв.

Я долго думал куда всё это написать. Из всех нормальных, умных людей, ну ей Богу, на ум пришли только Вы. Хотел написать на хабр, там нло прилетает на раз, В тостере: модерация там, жесть. В сам Google: проще съездить пешком на Марс, чем дождаться ответа на запрос.Так что вот, как то так.

С уважением, Ярослав.

post-17944-0-67570400-1486829502_thumb.png

post-17944-0-00901000-1486829513_thumb.png

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • 577kar
      Файлы заархивированы с паролем
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • K0st
      Файлы заархивированы с паролем с требованием выкупа
      От K0st
      Здравствуйте! Обнаружили запароленные данные. Архивы по нескольку десятков ГБ. Базы 1С и всё такое. В корне файл с описанием выкупа. Как можно распаковать и всё вернуть?
    • KL FC Bot
      Легитимные расширения Chrome крадут пароли Facebook*
      От KL FC Bot
      Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
      Атака на разработчиков: злоупотребление OAuth
      Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
      Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
      В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
       
      View the full article
    • adminuniscan
      KSMG как сбросить пароль через консоль
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
×
×
  • Создать...