Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 46
Ушло в избранное.
Параноик внутри меня жаждет https.
Параноик внутри меня жаждет https.
Энтропия? Ахах! Загляните в Википедию. Энтропия — это мера, а не механизм или инструмент.
То что вы называете энтропией, является не более чем Биометрическим датчиком случайных чисел
То что вы называете энтропией, является не более чем Биометрическим датчиком случайных чисел
Тоже поржал над энтропией. Все эти «поводите мышкой» и «понажимайте кнопки» в данном случае могут служить только для иллюзии чего-то супер защищённого у обычного пользователя и практического смысла не несут.
Есть вполне легитимный термин в области криптографии, детали ищутся в той же википедии по сочетанию «Информационная энтропия»
Энтропия — не только мера дизорганизации системы, но еще и величина, обратная информации. С ее помощью мы можем выразить объем неизвестной нам информации. Такое впечатление, что от мыши и клавы информация не прибывает, а наоборот, утекает в них. А употребление автором этого слова тут — это влияние английского языка, в котором entropy — это еще и процесс, приводящий вселенную (или систему) к тепловой смерти, почти синоним хаоса.
Для WebKit-based browser (Chrome точно, в Safari не проверял) имеет смысл использовать на Math.random, a crypto.getRandomValues, которые возьмут энтропию из /dev/random или аналога, предоставляемого операционной системой.
wiki.whatwg.org/wiki/Crypto
jsperf.com/rng-booleans/2
Firefox тоже скоро доделает поддержку crypto.getRandomValues: bugzilla.mozilla.org/attachment.cgi?id=547820&action=diff
wiki.whatwg.org/wiki/Crypto
jsperf.com/rng-booleans/2
Firefox тоже скоро доделает поддержку crypto.getRandomValues: bugzilla.mozilla.org/attachment.cgi?id=547820&action=diff
Aingai3ohwai Upee0bahjies Kex5weithoox gahBahngu4ri Aac1oosinaes Esu1veeyiexi Uk1iepubaeda Aonaiwoogh4h Ohsie7ahnahw Paeshae1tayo Ciecaef6umei hohLao8seedo
>Стойкость одного пароля: 71 bits
А это откуда? Что такое «стойкость»?
PS
KeePass на те же пароли даёт 57-63 бита. Всегда у автора хотел спросить что имеется ввиду.
>Стойкость одного пароля: 71 bits
А это откуда? Что такое «стойкость»?
PS
KeePass на те же пароли даёт 57-63 бита. Всегда у автора хотел спросить что имеется ввиду.
Формула в топике приведена. Она часто встречается, например тут:
habrahabr.ru/blogs/infosecurity/116331/
habrahabr.ru/blogs/infosecurity/116331/
А вероятность случайного выпадания словарной комбинации? А без такой проверки вся паранойя коту под хвост, извините :)
Злоумышленник может обмануть ваш сервер, послав поддельные данный с датчика энтропии?
нажимаю на клавиши, мышь не двигаю — ничего не происходит
Браузер Chrom3 12
Браузер Chrom3 12
Даже не знаю, что сказать. Может быть JS отключен?
Тестировал работу в Chrome 12 и 13 версий под Linux и под Windows.
Тестировал работу в Chrome 12 и 13 версий под Linux и под Windows.
мышь двигаю то все работает, причем тут JS?
Попробуйте побольше понажимать клавиши. Скорость работы высока только с мышкой, генерить пароли нажатиями клавиш и ресайзом окна, долго.
P.S. Chrome 12
P.S. Chrome 12
При том, что именно код JS обрабатывает события передвижения мыши.
Так мышь работает! клава не работает, перечитайте первое сообщение
Ага, я понял наконец, сплю на ходу.
bad_guy выше верно сказал.
Просто нужно много клавиш понажимать. Мышь генерирует намного больше событий.
bad_guy выше верно сказал.
Просто нужно много клавиш понажимать. Мышь генерирует намного больше событий.
Так всё-таки, чем плох pwgen?..
Несложный код оценки энтропии событий движения мыши
if (iEventCount % 100 == 99)
{
fEntropyX = 0.0; fEntropyY = 0.0;
for (var i=0; i<=63; i++)
{
if (0<iDiffStatX[i]) { fEntropyX = fEntropyX - (iDiffStatX[i]/iEventCount)*Math.log(iDiffStatX[i]/iEventCount)/Math.log(2); };
if (0<iDiffStatY[i]) { fEntropyY = fEntropyY - (iDiffStatY[i]/iEventCount)*Math.log(iDiffStatY[i]/iEventCount)/Math.log(2); };
};
document.getElementById('stt').innerHTML = 'X: ' + fEntropyX + 'Y: ' + fEntropyY;
};
в моем браузере дает
EventCount : 2002
Statistics :
EntropyX: 3.6365715988552525 bits
EntropyY: 3.2915305203895318 bits
Как видите, движения мыши дают несколько меньший прирост энтропии Вашему генератору, чем Вы рассчитываете. 
раз уж параноидально думать о безопасности… то какой нафиг сторонний сервис для онлайн генератор паролей?
А он не сторониий, все же на JS написано, и можно взять и скопировать в любой сайт и, как уже тут говорили, работать то оно будет на стороне клиента, а не на сервере, т.е. ни какой подмены/перехвата/хитростей. Вопрос только в том, какой лицензией снабдил автор свое творение:
- genpas.js — © Peter <i@peter.am> — а лицензия не указана
- pwgen.js — © Peter <i@peter.am> — лицензия GPL
- seedrandom.js — David Bau, Peter — лицензия BSD
- jQuery — John Resig — Dual licensed under the MIT or GPL Version 2 licenses
Firefox 3.6.13. Не считывает нажатия клавиш. По крайней мере проценты не бегут.
Вопрос. А как генерируется пароль без пользовательского ввода? Ведь большинство будет делать именно так, ибо лениво.
Вопрос. А как генерируется пароль без пользовательского ввода? Ведь большинство будет делать именно так, ибо лениво.
А как ставить «галочку» для «исключать символы из набора B8G6I1l|0OQDS5Z2»?
подумал, может кому то пригодится:
Большая подборка онлайн инструментов для генерирования удобно произносимых и случайных паролей
Большая подборка онлайн инструментов для генерирования удобно произносимых и случайных паролей
Все это сложно.
www.parolik.com/ просто пароли и ничего лишнего.
www.parolik.com/ просто пароли и ничего лишнего.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Онлайн генератор паролей с энтропией