Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 101
откуда дровишки данные?
На одном форуме слили валидные пароли (без аккаунтов и, собственно, доступа) от почты, вконтактов и так далее. Мне оставалось только покопаться и сделать статистику. Поэтому нет паролей от аськи в этом/прошлом году. Человек, видимо, не захотел в паблик отдавать то, что приносит ему хлеб.
Базу в студию, пожалуйста.
Интересно ведь и на другие характерные паттерны проверить.
Интересно ведь и на другие характерные паттерны проверить.
Просто одно дело, если пароли получены фишингом (высока вероятность, что технически грамотные пользователи заметили подлог), и другое, если они напрямую из БД сайта (где хранились в открытом виде).
Разнообразие источников подсказывает, что речь как раз о фишинге. В таком случае, речь не о «среднестатистических пользователях», а о братьях наших меньших, которые вводят пароли куда попало.
Разнообразие источников подсказывает, что речь как раз о фишинге. В таком случае, речь не о «среднестатистических пользователях», а о братьях наших меньших, которые вводят пароли куда попало.
90% статистики берутся от балды!
Откуда инфа такая?
По моему опыту, практически на любом сайте с регистрацией есть пользователь «qwerty» с таким же паролем.
p.s. Все таки подписи к графикам не помешали.
p.s. Все таки подписи к графикам не помешали.
Как и asdasd, но такой пароль люди используют что бы по быстрому одноразово получить доступ, а не пользоваться всегда.
Так это с башорга пошло — там объявили флешмоб, дескать чтобы не регистрироваться для того, чтобы скачать один файл/прочитать один топик. Ну и регистрировали qwerty/qwerty, BashOrgRu/чётотам и так далее.
qwewqe с qwewe или qwewqe1 если нельзя «как логин».
Есть такой сервис для этого: www.bugmenot.com/
И в гуззи есть группа: goozzy.com/group/bugmenot/notes/
И в гуззи есть группа: goozzy.com/group/bugmenot/notes/
Логин BashOrgRu и пароль Bash1234
Встречается очень много где и выручает, когда люди закрывают даже картинки под регистрацию.
Встречается очень много где и выручает, когда люди закрывают даже картинки под регистрацию.
http://bugmenot.com одобряет ваш комментарий.
Впечатлило? не впечатлило.
Пароли давно не «воруются» брутфорсом.
Тут недавно была статья об «обратном отъеме своего домена», которая очень хорошо раскрывает сложившуюся ситуацию:
пароль любого (почти любого) человека стоит ~$100 и воруется посредством фишинга.
Криптостойкость тут не очень помогает.
Пароли давно не «воруются» брутфорсом.
Тут недавно была статья об «обратном отъеме своего домена», которая очень хорошо раскрывает сложившуюся ситуацию:
пароль любого (почти любого) человека стоит ~$100 и воруется посредством фишинга.
Криптостойкость тут не очень помогает.
Как страшно жить.
поделитесь ссылой, пожалуста. поиск по «обратному отъему своего домена» ничего не дает.
Этим сообщением полностью меняется смысл статьи:
Вы еще используете пароль вроде «ED$#fd64»? Это бесполезно, не поможет.
Вы еще используете пароль вроде «ED$#fd64»? Это бесполезно, не поможет.
>Пароли давно не «воруются» брутфорсом.
Вы ошибаетесь, это один из основных способов кражи пароля.
Посмотрите хакерские форумы, хотя бы тот же Античат.
Вы ошибаетесь, это один из основных способов кражи пароля.
Посмотрите хакерские форумы, хотя бы тот же Античат.
«человека, слившего инфу у более чем 90% населения на аське»
Равномерна ли выборка, вот в чём вопрос.
Равномерна ли выборка, вот в чём вопрос.
Выборка актуальна для большинства среднестатистических юзеров, полагаю, хоть и не равномерна. Потому как те, кто догадался не вводить пасс где попало, следит за чистотой компа и соблюдает элементарные нормы безопасности, скорей всего, не держит пароль класса 12345qwe по причине наличия достаточного количества мозгов в голове.
Интересует вопрос, насколько пароли состоящие из одних цифр поддаются взлому? Если в пароле скажем 15 знаков, он легко ломается? Или есть свои пределы?
10^15 вариантов. Со скоростью 30 млн/паролей в секунду (у зип-архивов) = 25 лет
Ну значит и проблемы то нет, такой пароль действительно не возьмешь грубой силой. Значит нужно больше уделять внимания защите от всякий троянцев и клавиатурных шпионов.
на 25 машинах по 30 млн/паролей в секунду — 1 год.
С такой логикой далеко можно пойти: на 2500 машинах — 3 дня. Только вот есть такие ресурсы?
Распределенный вычислительный ботнет? :)
Учитывайте, что:
1. Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
2. Компы должны работать без прерываний
А ботнеты, конечно, и побольше бывают. И ещё: у зип-архивов огромнейшая скорость брутфорса, с рар-архивами, а тем более почтовыми аккаунтами так быстро не получится.
1. Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
2. Компы должны работать без прерываний
А ботнеты, конечно, и побольше бывают. И ещё: у зип-архивов огромнейшая скорость брутфорса, с рар-архивами, а тем более почтовыми аккаунтами так быстро не получится.
>Компы должны работать без прерываний
Ничего подобного. Каждые десять минут обработал блок — отчитался серверу.
>Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
При проведении некоторых манипуляций в ядре, процесс исчезает из списка процессов, и, как бонус, его процессорное время не учитывается в общей суме, а суммируется к бездействию системы. Если приоритет idle, а местонахождение вируса на диске скрыто фильтром ФС, то ничего не заметит даже продвинутый пользователь без специального софта.
Ничего подобного. Каждые десять минут обработал блок — отчитался серверу.
>Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
При проведении некоторых манипуляций в ядре, процесс исчезает из списка процессов, и, как бонус, его процессорное время не учитывается в общей суме, а суммируется к бездействию системы. Если приоритет idle, а местонахождение вируса на диске скрыто фильтром ФС, то ничего не заметит даже продвинутый пользователь без специального софта.
Температура процессора тоже хитрыми манипуляциями снижается?
Главное кулер сильно не включать — ничего не заметит пока проц не перегорит.
Температуру процессора можно подделать программно. Искать процесс по выполняемому файлу everest.exe/cpu-z.exe и там уже менять значения в окошках — самый простой вариант, но зачем? 90% пользователей не знают, где её посмотреть.
а как такие процессы определять?
Нужно ещё учесть что если вы брутфорсите дамп базы это одно, а если ломитесь на какой-то сервис то один перебор будет скорее всего больше секунды и нужен достаточно большой ботнет чтобы не сработала защита. Да и большое количество проваленых попыток должно свидетельствовать о том что идёт взлом.
worldcommunitygrid.org например.
Ну надо будет — найдутся. Всему есть своя цена.
Как посчитали так, простите? 10^15 / 30*10^6 = 33333333.(3), поделим на 86400 и получим 385 суток, то есть примерно год.
согласен, никогда не понимал чем плох, например, пароль: 5610210010248525510057101971015510152515110110199485455564956575255515750
Я когда-то у себя на фирме базу юзеров заносил на сервак.
Ну, думаю, пойду навстречу — пусть сотрудники сами себе придумают пароли, что б сами так сказать лучше запомнили их.
Ну, и что вы думаете? 90% были цифровые… Из них подавляющее большинство — дата рождения. Было несколько 1234
Ну, думаю, пойду навстречу — пусть сотрудники сами себе придумают пароли, что б сами так сказать лучше запомнили их.
Ну, и что вы думаете? 90% были цифровые… Из них подавляющее большинство — дата рождения. Было несколько 1234
Нужно разделять пароли, используемые в личных целях и пароли, используемые в публичных местах, например, на работе. На работе конечно никто не будет выкобениваться и придумывать сложный пароль (я и сам на работе от личного аккаунта использую не слишком защищённый) — нет особого смысла. Но вот если сотруднику сразу сказать, мол, пароль должен быть сложным, от него зависит безопасность фирмы, сотрудник и будет использовать сложный.
Ну, думаю, пойду навстречу — пусть сотрудники сами себе придумают пароли, что б сами так сказать лучше запомнили их.
Это невиданная щедрость. Уже хочу у вас работать.
А если запретить пользователям придумывать легкие пароли, то они будут записывать их на листочек и прилеплять к монитору
В нашей системе стартовый пароль для новых юзеров — init00. Я долго использовал сложный пароль для своей учетки. Потом админы решили усложнить жизнь юзерам усовершенствовать систему безопасности и ввели срок действия пароля месяц, запрет на повторное использование последних 10 паролей и наличие цифр и символов в пароле. Т.к. данные не особо критичные, мои пароли приняли следующий вид: init01, init02, init03 и т.д. А потом ввели необходимость использования символов и в верхнем, и в нижнем регистре: Init12, Init13…
Ёмае таких как я 7%
Как на счет MD5(password + salt)? Я бы делал так, разрабатывая систему хранения хешей, надеюсь приличные компании так и делают.
Да, именно так. Про соль в паролях я писал уже давно.
Год назад мне попала в руки база соленых паролей. Ничего не получилось расшифровать. Хотя если бы был известен алгоритм соления, то можно было бы по словарику прогнать.
Год назад мне попала в руки база соленых паролей. Ничего не получилось расшифровать. Хотя если бы был известен алгоритм соления, то можно было бы по словарику прогнать.
Фраза «латинские буквы разной раскладки» меня приводит в ступор. Что именно имеется в виду? Разный регистр?
Дело в том, что большинство аккаунтов не являются ценными. Ну есть у меня аккаунт на рыбацком форуме с 10 сообщениями, например. Даже если его взломают, я ничего не потеряю, да и был там последний раз два года назад. Не аську, почту, домены — пароль есть смысл ставить, безусловно. Но вот моя бабушка, использующая емейл для переписки только с одной старой подругой — вряд-ли ценит свой емейл. Украдут — заведет другой. Вопрос в ценности защищаемых данных для человека.
поддерживаю. у меня на 95% ресурсов один и тот же пароль, причем состоящий только из цифр. и никому никогда он нахрен не нужен был. а если угонят — ну и фиг с ним. что-то можно восстановить, что-то можно перерегистрировать, на что-то можно забить. действительно важные вещи — основная аська, основное мыло, хостинги всякие рабочие аккаунты — защищаются другими паролями. но отношение действительно важных регистраций к числу всех регистраций такое, что получается картина, описанная в посте.
причем гугл выдал 2177 результатов по поиску md5 моего пароля:)
С другой стороны вдумайтесь! Ведь 36% пользователей спокойно живут с цифровыми паролями. Может, это нормально? Может, брутом уже никто не взламывает почтовые ящики и можно смело ставить себе пароль «6391567»? Конечно, не стоит путать почтовый ящик и vds.
Интересная статья. Единственное предложение: распределение длин паролей нагладнее представлять гистограммой.
Люблю 1Password :)
Кроме паролей, есть такая уязвимость как «секретный вопрос». Даже если у тебя стоит пароль из 15 символов разного регистра и спец знаков, но секретный вопрос установлен на «моё любимое блюдо — пельмени/картошка/пиво», это как будто вешать 100 разных замков на основную дверь а заднюю заматывать скотчем.
Я даже статью написать хотел по этому поводу, но всё никак руки не доходят.
Я даже статью написать хотел по этому поводу, но всё никак руки не доходят.
Удобно использовать мнемоники для запоминания паролей. Вроде как, это один из самых простых способов запомнить сложные буквенные комбинации. Например, «let me speak from my heart» превращается в «lmsfmh».
Еще в 199лохматом году читал какую-то книгу о системном администрировании. И там давали следующий совет по выбору пароля: 2 слова (можно даже словарных, но не связанных друг с другом), соединенных каким-нибудь символом (#, %, whatever).
Это, конечно, «Волга впадает в Каспийское море», но похоже, совет актуален до сих пор :) А если разработчики сайта еще догадаются обильно посолить хэш… :)
Это, конечно, «Волга впадает в Каспийское море», но похоже, совет актуален до сих пор :) А если разработчики сайта еще догадаются обильно посолить хэш… :)
Последние несколько лет составляю пароли так: world.std.com/~reinhold/diceware.html
Запоминаются очень легко, и для брута неуязвимы, даже если злоумышленник имеет словарь, комбинаций слишком много.
Запоминаются очень легко, и для брута неуязвимы, даже если злоумышленник имеет словарь, комбинаций слишком много.
что-то графики не очень юзер-фриендли. заюзали бы google charts
Я так посмотрел — у меня паролей важных 5 максимум. Все остальное барахло одноразовое, в том числе на всяких одноразовых регах соц сетей и прочего.
Кроме того, сложность пароля давно уже не важна там, где важна безопасность. Потому что там безопасность начинается с ограничения количества неудачных логинов. Даже самый банальный пароль из словаря подобрать за 5 попыток — очень маловероятное удовольствие.
И как правильно уже сказали — обращайте больше внимание на секретные вопросы — неплохо туда писать второй сгенерированный пароль, ну или как минимум не имеющую отношения к вопросу комбинацию. А также на зашиту от вирусоы и троянов.
Кроме того, сложность пароля давно уже не важна там, где важна безопасность. Потому что там безопасность начинается с ограничения количества неудачных логинов. Даже самый банальный пароль из словаря подобрать за 5 попыток — очень маловероятное удовольствие.
И как правильно уже сказали — обращайте больше внимание на секретные вопросы — неплохо туда писать второй сгенерированный пароль, ну или как минимум не имеющую отношения к вопросу комбинацию. А также на зашиту от вирусоы и троянов.
Пароли можно собирать фильтруя снифферами http трафик. На стороне вашего провайдера админ может в свое удовольствие снифить пакеты. А трафик со спутникового интернета может собирать вообще любой.
Каждый раз открывая письмо с паролем, задумайтесь, по SSL протоколу ли вы получаете пакет. У российских почтовиков как то по прежнему с https не складывается. По дефолту ничего не шифруется.
Каждый раз открывая письмо с паролем, задумайтесь, по SSL протоколу ли вы получаете пакет. У российских почтовиков как то по прежнему с https не складывается. По дефолту ничего не шифруется.
А ответ просто. Вы не гикнутых товарищей попросите пароль придумать. Мне чаще всего называли цифровые пароли, ибо проще запомнить, да и много где используется, например PIN-коды те же самые.
Откуда 9-12 символов в пароле ICQ, если там поддерживается максимум 8 символов?
На заметку по теме:
Автор книги Perfect Passwords Марк Бернетт составил список 500 самых распространенных паролей среди англоязычных пользователей. На первом месте оказалась комбинация 123456. Популярностью пользуются нецензурные слова и выражения, пароли с сексуальной тематикой (sexsex -164-е место, porno — 219-е, tits — 256-е, bigtits — 267-е), названия фильмов (Matrix — на 229-м месте, StarWars — на 129-м), цвета (черный — 104-е, синий — 193-е), названия стран (Бразилия — 411-е, Япония — 413-е, Россия — 492-е).
Специалисты выяснили, что пароли дают доступ к знанию о характере использующего их человека. Добропорядочный семьянин выбирает в качестве пароля имена родных или клички домашних животных. Также большой популярностью пользуется комбинация – число, месяц и год рождения.
Болельщики и жертвы поп-культуры используют названия любимых команд, имена артистов, певцов, мультипликационных персонажей.
Автор книги Perfect Passwords Марк Бернетт составил список 500 самых распространенных паролей среди англоязычных пользователей. На первом месте оказалась комбинация 123456. Популярностью пользуются нецензурные слова и выражения, пароли с сексуальной тематикой (sexsex -164-е место, porno — 219-е, tits — 256-е, bigtits — 267-е), названия фильмов (Matrix — на 229-м месте, StarWars — на 129-м), цвета (черный — 104-е, синий — 193-е), названия стран (Бразилия — 411-е, Япония — 413-е, Россия — 492-е).
Специалисты выяснили, что пароли дают доступ к знанию о характере использующего их человека. Добропорядочный семьянин выбирает в качестве пароля имена родных или клички домашних животных. Также большой популярностью пользуется комбинация – число, месяц и год рождения.
Болельщики и жертвы поп-культуры используют названия любимых команд, имена артистов, певцов, мультипликационных персонажей.
«десять тысяч обезьян...»
Я уже давно счел за правило использовать для паролей единую систему. Работает оно примерно так:
берем за основу кусок незабываемого или легкогуглящегося английского текста, например первые три строчки из песни Celine Dion к «Титанику»:
Every night in my dreams
I see you, I feel you
That is how I know you go on.
Берем первые буквы, возможно даже с сохранением регистра.
EnimdIsyifyTihikygo
заменяем i на 1, o на 0
En1md1sy1fyT1h1kyg0
И теперь ход конем — добавляем, к примеру, 1-м и последним символом третий и предпоследний символ из адреса сайта!
для mail.ru пароль iEn1md1sy1fyT1h1kyg0i
для goggle.com gEn1md1sy1fyT1h1kyg0l
Алгоритм ввода пароля:
1) взгляд на адресную строку, печать первой буквы
2) мысленно напевая песенку, печатаем пароль, заменяя на лету нули и единицы
3) еще раз взгляд на адрес, последняя буква
Выбранный мною пример довольно громоздок, можно было взять и две строчки, я просто решил потренироваться на отличном от моего тексте ^^
Как результат — на всех сайтах пароль отличается, обладает высокой криптостойкостью, его не надо запоминать, а стишок заучить легко способны даже дети в детском саду. Визуально при наборе пароля тоже себя никак не выдаешь. Единственное палево — если увлечься и начать себе под нос напевать)))
Также хорошо и в случаях, когда рядом сидит человек, а ты случайно вбиваешь пароль в строке логина — тот не видит закономерности и влет ничего не запомнит, а даже если запомнит — это будет лишь пароль от единственного ресурса.
Минус — если один из паролей скомпроментирован, и придется его заменить на что-то другое, это будет отступление от системы и возможная путаница впоследствии.
Я уже давно счел за правило использовать для паролей единую систему. Работает оно примерно так:
берем за основу кусок незабываемого или легкогуглящегося английского текста, например первые три строчки из песни Celine Dion к «Титанику»:
Every night in my dreams
I see you, I feel you
That is how I know you go on.
Берем первые буквы, возможно даже с сохранением регистра.
EnimdIsyifyTihikygo
заменяем i на 1, o на 0
En1md1sy1fyT1h1kyg0
И теперь ход конем — добавляем, к примеру, 1-м и последним символом третий и предпоследний символ из адреса сайта!
для mail.ru пароль iEn1md1sy1fyT1h1kyg0i
для goggle.com gEn1md1sy1fyT1h1kyg0l
Алгоритм ввода пароля:
1) взгляд на адресную строку, печать первой буквы
2) мысленно напевая песенку, печатаем пароль, заменяя на лету нули и единицы
3) еще раз взгляд на адрес, последняя буква
Выбранный мною пример довольно громоздок, можно было взять и две строчки, я просто решил потренироваться на отличном от моего тексте ^^
Как результат — на всех сайтах пароль отличается, обладает высокой криптостойкостью, его не надо запоминать, а стишок заучить легко способны даже дети в детском саду. Визуально при наборе пароля тоже себя никак не выдаешь. Единственное палево — если увлечься и начать себе под нос напевать)))
Также хорошо и в случаях, когда рядом сидит человек, а ты случайно вбиваешь пароль в строке логина — тот не видит закономерности и влет ничего не запомнит, а даже если запомнит — это будет лишь пароль от единственного ресурса.
Минус — если один из паролей скомпроментирован, и придется его заменить на что-то другое, это будет отступление от системы и возможная путаница впоследствии.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пользователи применяют ненадёжные пароли? Неофициальная статистика