Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 113
Для пароля из 10 символов
10! = 3628800
Не так и много, если не стоит задержка не дающая быстро перебирать пароли
10! = 3628800
Не так и много, если не стоит задержка не дающая быстро перебирать пароли
Лучше, чтобы задержка была. В некоторых вариантах после второй-третьей неправильной попытки начинают капчу показывать и делать другие проверки на человечность
Согласен. Алгоритмы перебора, которые работают быстрее чем n*ln(n) я лично не видел, и даже не слышал о них. Вот если бы перебор был не быстрее чем n^n (что больше чем n! ), это уже интереснее.
Мне кажется там не факториал 10 будет… А n^m, где n — количество возможных символоф, m — длина пароля…
Если все символы известны (логгер их словил) и они все разные, то получается m!
Там будет факториал, при учете что используются все 10 символов из набора. Те пароль состоит из всех введеных 10 символов. А вот если на основе капчи ввести туда еще случайные символы(что-то вроде в этом поле нужно написать A, etc) — то будет как-то так n!/(n-k)!.. Если я правильно понимаю. Плюс ввод этого подобия salt, может так выступать в роли теста Тьюринга.
Ввод пароля превращается не в увлекательную игру, а в пытку для пользователя — надо постоянно считать, какой символ в пароле когда встречается. Если надо быстро попасть на сайт — этого сделать не получится.
Не спорю, способ не для всех, о чем и предупреждалось в самом первом предложении
а для кого? и как провести разделение между пользователями — кому какое поле предлагать?
Мне сложно представить себе человека, который так хорошо помнит свой пароль и которому это поле не надоест со второго раза.
Чтобы вводить такое поле удобнее всего себе куда-нибудь написать или впечатать пароль, чтобы посимвольно проще было его сопоставлять. В некоторой степени, это принуждение для пользователя лишний раз продублировать где-то пароль.
Мне сложно представить себе человека, который так хорошо помнит свой пароль и которому это поле не надоест со второго раза.
Чтобы вводить такое поле удобнее всего себе куда-нибудь написать или впечатать пароль, чтобы посимвольно проще было его сопоставлять. В некоторой степени, это принуждение для пользователя лишний раз продублировать где-то пароль.
Можно даже без мышки, сделать два поля рядышком, одно для пароля другое для мусора, после нажатия клавиши с некоторой вероятностью случайно перекидывать между ними…
А keylogger не отслеживает события «клик мышки».
Если в логе будет что-то типа
mysecretpa$$(left_button_pressed)alksdlkasjdlkasjdlsakjd(left_button_pressed)w0rd
То пароль явно видно.
Если в логе будет что-то типа
mysecretpa$$(left_button_pressed)alksdlkasjdlkasjdlsakjd(left_button_pressed)w0rd
То пароль явно видно.
Это если число попыток неограниченно и каждая из них занимает очень мало времени
Обычно кейлоггеры используют массово получая большие объемы данных от пользователей, и обрабатывают их тоже автоматически. Поэтому переставлять местами буковки никто не будет.
Единственный вариант если кому то понадобился конкретно ваш пароль, и этот кто то знает что вы используете при вводе пароля такой сервис. Тогда мб и попробуют перебирать.
В тоже время люди которые заботятся о безопасности и знают свой пароль не только тактильно (а я его знаю только так, а N-ую букву только высчитать могу) могут позаботиться о защите от кейлоггеров более эффективными способами.
Единственный вариант если кому то понадобился конкретно ваш пароль, и этот кто то знает что вы используете при вводе пароля такой сервис. Тогда мб и попробуют перебирать.
В тоже время люди которые заботятся о безопасности и знают свой пароль не только тактильно (а я его знаю только так, а N-ую букву только высчитать могу) могут позаботиться о защите от кейлоггеров более эффективными способами.
Или пользуйтесь *nix операционными системами.
«На каждую хитрую задницу найдется болт с резьбой»
Пожалуй, имеет смысл пронумеровать ячейки. Потому что даже если пользователь точно помнит 9-ый символ своего пароля — ему придётся ещё поискать нужное поле.
Виртуальная клавиатура удобнее.
По-м всплывающая клава на экране при входе в клиент-банк ситибанка удобнее…
Сегодня человек 5 сели за написание маускликлогеров :)
хорошая альтернатива той же самой виртуальной клавиатуре для использования в публичных местах типа интернет-кафе.
Ой да ну ладно альтернатива…
ВиртКлава позволяет вообще не дотрагиваться до клавиатуры… и следовательно кейлогер не спалит.
А этот способ чем хорош? Это классно если пароль Sjhj3pcS@
А если у человека пароль: apple? или microsoft? хакер получит lpape, tisrocofm, поберебирал пару вариантов и нашел нужное слово и вперед
ВиртКлава позволяет вообще не дотрагиваться до клавиатуры… и следовательно кейлогер не спалит.
А этот способ чем хорош? Это классно если пароль Sjhj3pcS@
А если у человека пароль: apple? или microsoft? хакер получит lpape, tisrocofm, поберебирал пару вариантов и нашел нужное слово и вперед
у меня например пароли хранятся в keepass и на сайт вставляются горячей клавишей…
И тут получается что я должен буду свой пароль в 12 символов вручную вбивать 5 минут…
Проще найти другой ресурс :)
И тут получается что я должен буду свой пароль в 12 символов вручную вбивать 5 минут…
Проще найти другой ресурс :)
Недостатки многократно перекрывают достоинства. Уж лучше автозаполнением по комбинации клавиш\кнопке.
«При отправке формы пароль собирается в одну строку»
Вот тут то его и словят :) Не одними кейлоггерами достаются пароли.
Вот тут то его и словят :) Не одними кейлоггерами достаются пароли.
От дырки в браузере (а как еще вытащить пароль из Javascript-переменных?) спасет разве что смена браузера.
Это и к вопросу о доступе к критиным данным из интернет-кафе, кто знает как там браузеры пропатчены…
Это и к вопросу о доступе к критиным данным из интернет-кафе, кто знает как там браузеры пропатчены…
Почему обязательно дырка в браузере? Перехват частей движка javascript или инжект своего javascript кода в нужную страницу. Это не какие-то запредельные вражеские технологии, такое есть и уже давно.
отпугнет среднего пользователя от ресурса.
qreywt
ни какие хитрые средства не помогут пока у 70 % прользователей будут пороли типа: sex, god, qwerty, 123, (день.месяй.год моего рождения). Тем более таике бредовые :)
В банковских системах просят ввести не весь пароль, а X, Y, Z-ные буквы пароля. При неправильном вводе X,Y и Z не меняются, т.е. перебор невозможен. Если кейлогер получил эти буквы, то для его сессии X, Y и Z будут свои и перехваченные буквы бесполезны.
меняются, наверное вы хотели сказать?
А как интересно это происходит. Ведь по-хорошему у банка должен быть хеш пароля.
А получается, что там пароль в открытом виде, раз они могут сравнивать посимвольно…
А как интересно это происходит. Ведь по-хорошему у банка должен быть хеш пароля.
А получается, что там пароль в открытом виде, раз они могут сравнивать посимвольно…
хотя им видимо и в открытом виде нормально хранится. Все равно если база утечет, то звездец.
Обычно банки сами выдают пароли, поэтому дата рождения и прочие легко подбираемые варианты не прокатит. А вдобавок еще часто используется таблица переменных кодов, с ней вообще нет шансов взломать вход…
Естественно, но крупный банк ВТБ24 выдает пароль в виде 6 ЦИФР!!! (Который, конечно, сменить можно, причем как на сложный символьный, так и на дату рождения)
а просто войти в систему и посмотреть на состояние счетов и выписки по карте можно без кода со скретч карты. Если опять-таки не сменить дефолтный вход по одному логину на ввод кода с карты.
а просто войти в систему и посмотреть на состояние счетов и выписки по карте можно без кода со скретч карты. Если опять-таки не сменить дефолтный вход по одному логину на ввод кода с карты.
нет, именно не меняются. Если бы менялись, то при конечном количестве переборов можно было получить весь пароль.
он у них даже в бумажном виде есть :) я его в договоре в клеточки вписывал. Так что я думаю ничего не мешает им хранить его в открытом виде. К тому же системы информационной защиты в банках серьезные, а пока до базы паролей не добрались злые руки всем без разницы что там хэш или сам пароль
Хранят хеши всех символов пароля по отдельности? ;-)
Обычно хранение пароля «в открытом виде» на сервере (возможно, на отдельном kerberos-сервере) позволяет сделать более безопасную аутентификацию.
И это нормально.
И это нормально.
хм. хорошая штука. возьму ка на вооружение, авось пригодится=))
Одноразовые пароли — более хорошее решение для банковских систем.
Уже сделали на ноутбуках. Только защиту быстро взломали, показав фотографию владельца при авторизации.
Если вас вечером попросят подкурить на улице, а потом Ваше ебло средство идентификации разукрасят так, что мама не узнает — как логиниться будете? :)
кликать на кнопках и ссылках будете морганием? тогда не накликайте лишнего) ибо специально моргнуть просто, а несознательне моргание не замечается) прогуляетесь на отличьненько по баннерам когда дым от сигареты или солнечный зайчик в глаза попадет.
кстати, если курсор будет управляться взглядом, то он (курсор) будет постоянно мешать, ибо будет находиться как раз в том месте, которое вы читаете)
На гора ещё анти-кейлог идея:
По хоткею расширение в браузере рандомно ремапит клаву.
По хоткею расширение в браузере рандомно ремапит клаву.
N! фигня. При правильном подходе любой человек с головой предложит оптимизацию слепого перебора.
Например букв, которые как бэ стоят рядом чаще всего (Т и Ь, Ъ и Е) опять же отсекать слова, где подряд больше 3х согласных или двух гласных. При этом количество попыток перебора сокращается в разы. Конечно и процент правильного подбора из стопроцентного превращается в 80% процентный, но в крупных масштабах это мелочи :)
Я конечно грубо сказал, к примеру, но думаю суть ясна.
Например букв, которые как бэ стоят рядом чаще всего (Т и Ь, Ъ и Е) опять же отсекать слова, где подряд больше 3х согласных или двух гласных. При этом количество попыток перебора сокращается в разы. Конечно и процент правильного подбора из стопроцентного превращается в 80% процентный, но в крупных масштабах это мелочи :)
Я конечно грубо сказал, к примеру, но думаю суть ясна.
Кто сказал, что пароль это осмысленное слово. да ещё и на русском? :) Тогда уж и по словарю можно перебрать, зная длинну. А для более сложных паролей — ни словарь, ни оптимизация слепого перебора — не помогут особо.
Ну само собой что логики в пароле ADYw7sgcg7679 не проследишь :)
Просто случай был. Писал знакомый переборщик паролей
Пароли были такого типа:
ab0eacd8
18fe0aad
Не вооруженным глазом видно что для их генерации используются только входящие в 16чную систему символы. Он же написал чтоб перебиралось по всему алфавиту. С моей подсказки сократили время перебора с 17 лет до 6 месяцев.
Просто случай был. Писал знакомый переборщик паролей
Пароли были такого типа:
ab0eacd8
18fe0aad
Не вооруженным глазом видно что для их генерации используются только входящие в 16чную систему символы. Он же написал чтоб перебиралось по всему алфавиту. С моей подсказки сократили время перебора с 17 лет до 6 месяцев.
Метод хороший, но его можно улучшить: по ходу ввода пароля дополнительно вводите ненужные символы. Потом просто удалите эти символы из поля пароля. Как результат — кейлогер перехватит много лишних символов, это сильно усложнит процесс перебора пароля злоумышленником.
обожаю параноиков )))
В KeePass есть автоматическая функцая Auto-Type для вставки паролей. Вызывается горячей клавишей, то же запутывает кейлоггеры.
Я что-то подобное давно применяю ) ввел 5-6 символов, курсором мышки переместил фокус, ненужное стер, ввел парочку знаков из пароля… вторую букву выделил мышей и нажал еще что-то, чтобы заменить… еще пару раз так перевел мышкой фокус и готово ) кейлоггеры отдыхают
как вариант: после случайного n-символа пароля, попросить ввести случайную x-символьную последовательнось, потом продолжить пароль
Если данные, защищенные этим паролем действительно настолько ценны, что приходится вот так вот извращаться, то гораздо разумней на мой взгляд организовать аутентификацию не по знанию, а по владению (сертификат, смс на телефон, ОТР, итп).
А так, — да, прикольно =). Но не более. В реальной жизни — неприменимо имхо.
А так, — да, прикольно =). Но не более. В реальной жизни — неприменимо имхо.
Показывать нормальное поле и кнопку «Я параноик!» — после неё поле рассыпается на такие вот кусочки.
У меня есть авторизация на одном извратном сайте — там прилагается карточка с двумерной таблицей а-ля шахматная доска с символами латинского алфавита в клетках, сайт выдаёт набор полей с подписями типа E2, E4, F5, G3 — надо смотреть по таблице, какие символы в соответствующих клетках и вводить их туда. А уж насколько это всё секьюрно — х. з.
P. S.: сайт не мой!
P. S.: сайт не мой!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пароль для гиков — смешать, но не взбалтывать