Comments 19
Я вот не понимаю ограничения в виде обязательного использования цифр и/или спецсимволов. Я еще в детстве придумал пароль-предложение из любимой игры, написанный с ошибкой, т.к. в 12 лет я не очень хорошо знал английский. Я уверен, что эти 18 символов никто не взломает по радужным таблицам, я не хочу запоминать что-то вида «f13r23faef32#R@Fefa», мне больше нравится «IdontWannaWorkToday». Криптостойкость, я уверен, сравнимая, а простота запоминания очевидна.
Требовтели спецсимволов в паролях должны гореть в аду.
Этот сервис подсказывает, что сочетание трех практически любых (кроме тех, что состоят из одного символа) слов дают довольно криптостойкий пароль.
К примеру, пароль «HelloDigitalSecurity» — несильно уступает «f13r23faef32#R@lo», но явно удобнее.
К примеру, пароль «HelloDigitalSecurity» — несильно уступает «f13r23faef32#R@lo», но явно удобнее.
Да, только как вы думаете, если 100 000 человек введут такие фразы, сколько одинаковых и хорошо известных мы получим? :)
Писать пароль с ошибкой в слове конечно круто, но держать в голове эту ошибку не самое приятное.
Хотя такой пароль безусловно сложный для брута, словарей с известными фразами меньше чем обычных.
UPD:
Если речь идет о полном переборе, то разницы в паролях 'HelloDigitalSecurity' и 'f13r23faef32#R@lo' нет.
Писать пароль с ошибкой в слове конечно круто, но держать в голове эту ошибку не самое приятное.
Хотя такой пароль безусловно сложный для брута, словарей с известными фразами меньше чем обычных.
UPD:
Если речь идет о полном переборе, то разницы в паролях 'HelloDigitalSecurity' и 'f13r23faef32#R@lo' нет.
Почему нет разницы между 'HelloDigitalSecurity' и 'f13r23faef32#R@lo'? Мне всегда казалось, что подключение дополнительных словарей (upper, special symbols, cyrillic + smth else) даст большую вариативность, а потому большее время на перебор, разве нет?
Просто если с точки зрения полного перебора для «HelloDigitalSecurity» — здесь 20 символов, нижний и верхний регистр и для полного перебора нужно будет около 2*10^34 операций. Для f13r23faef32#R@lo — 16 символов, нижний, верхний, числа и спецсимволы ~4*10^31. Полный перебор и для 1 и 2-ого закончится например почти никогда, даже если подключить все вычислительные мощности планеты.
С другой стороны можно просто собрать кучу книг, парсить форумы для составления словаря из написанных выражений, чтобы потом попробовать прогнать. Наверняка кто-то да напишет заветную фразу IdontWannaWorkToday ( или можно будет скомбинировать). Вообще много рекомендаций использовать предложения в качестве пароля, но со знаками пунктуации, пробелами и тп.
По поводу HelloDigitalSecurity — просто название компании скомбинированное с каким-нибудь словариком+ правила. Но вот — f13r23faef32#R@lo — не понятно что с этим делать уже.
С другой стороны можно просто собрать кучу книг, парсить форумы для составления словаря из написанных выражений, чтобы потом попробовать прогнать. Наверняка кто-то да напишет заветную фразу IdontWannaWorkToday ( или можно будет скомбинировать). Вообще много рекомендаций использовать предложения в качестве пароля, но со знаками пунктуации, пробелами и тп.
По поводу HelloDigitalSecurity — просто название компании скомбинированное с каким-нибудь словариком+ правила. Но вот — f13r23faef32#R@lo — не понятно что с этим делать уже.
Даст, вы правы. Но время постоянно меняется, а пароли остаются (в том же диапазоне).
Меня в последние годы преследует ощущение, что авторы рекомендаций насчет «f13r23faef32#R@Fefa» вот таких паролей никогда в жизни не держали в руках смартфон.
Меня как-то умилил форум (из разряда тех, где регистрируешься ради пары сообщений — я уже даже не помню его названия!), который требовал длинного и сложного пароля с цифрами, заглавными, спецсимволами… Имел хитрую капчу. Всё нужно было вводить дважды.
А в конце — сюрпрайз! — пароль приходит на почту в открытом виде.
А в конце — сюрпрайз! — пароль приходит на почту в открытом виде.
Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей.
У меня немного другое мнение. Раздражают сервисы с подобной политикой:
- ваш пароль должен содержать 8+ символов
- 8? ок, теперь в пароле должна быть заглавная буква
- есть заглавная? Теперь добавьте спец-символ
- добавили? ок, ок, теперь должна быть хотя бы одна цифра
- прошло 6 месяцев, теперь поменяйте пароль снова
Верные методы распугать всех пользователей. И такие методы чаще используются в рунете, чего не скажешь про западный рынок.
Мое утверждение такое: сервис изначально должен работать так, чтоб его было очень-очень сложно/неэффективно брутофорсить (Rate limiting, распознавание/блок опасной активности итд) и система защиты должна быть достаточно стойкой без необходимости раздражать пользователя слишком строгой парольной политикой. В итоге хорошо давать рекомендации (strong/weak), но нельзя заставлять пользователя устанавливать пароль, который он в итоге забудет.
Хорошо работающая система безопасности практически невидима для пользователя!
Защита пароля от перебора — это проблема сервиса, а не проблема пользователя!
Очень важно соблюсти баланс.
И такие методы чаще используются в рунете, чего не скажешь про западный рынок.
Статистика показывает что нет.
чтоб его было очень-очень сложно/неэффективно брутофорсить
Можно насобирать логинов (почтовых адресов) пользователей и прогнать их по одному, двум паролям. Если все сделано для удобства и нет явно каких либо правил для установки пароля, то наверняка кто-нибудь да «попадется».
(Rate limiting, распознавание/блок опасной активности итд)
И другие замечательные вещи, которые нужно долго и правильно настраивать, и которые могут в итоге только усугубить ситуацию.
И другие замечательные вещи, которые нужно долго и правильно настраивать
Какие еще есть техники/приемы применимые на практике?
Те что можно реально улучшить/как дополнительно защититься, оставив непопулярную парольную политику в качестве крайней меры?
На самом деле если посмотреть — что если сервиса, у которого пользователям можно установить пароль 1234, то любые меры по сути буду (как по мне) выглядеть так:
То есть какие-то методы, приемы чтобы прикрыть «дыру», при этом проблема сама не решается на корню. Очень хорошая статья, как не выбирая f13r23faef32#R@lo, сделать себе хороший пароль.
То есть какие-то методы, приемы чтобы прикрыть «дыру», при этом проблема сама не решается на корню. Очень хорошая статья, как не выбирая f13r23faef32#R@lo, сделать себе хороший пароль.
Проще было бы оставить классическую схему, в которой «зелёный» это хорошо/плюс, а «красный» это плохо/минус.
Аварийная остановка чего-нибудь (лифт, станок, etc) всегда, Карл, всегда, срабатывает при нажатии красной кнопки.
Аварийная остановка чего-нибудь (лифт, станок, etc) всегда, Карл, всегда, срабатывает при нажатии красной кнопки.
Sign up to leave a comment.
Тестирование парольных политик крупнейших веб-сервисов