FirstJohn Nov 1 2022 at 11:03

Основы криптобезопасности: так ли надежны seed-фразы и при чем тут человеческий фактор

12 min

28K

Comments 9

Tarson Nov 1 2022 at 11:26

А я давно уже пин код прямо на карте пишу. Только, чтобы он сработал, к нему надо прибавить определенное, нe сильно сложное число.

Так вот насчет пароля. Если, также я его храню везде, но он отличается от настоящего, каким-нибудь логическим "И" с моим именем и фамилией, то будет ли смысл его красть?

vassabi Nov 1 2022 at 17:58

а я его не пишу, но использую числа из тех данных, которые уже есть карте (телефон, адрес банка, номер лицензии, номер заказа карты, дата выпуска, прочие служебные надписи)

типа "каждую третью из телефона" или "отюда после букв".

Насчет записи паролей - я для себя решил, что если уж кто-то добыл мой бумажный пароль, то скорее всего у такого "кто-то" нет проблем и уточнить у меня - сильно ли горяч утюг, так что нет особого смысла все усложнять.

Sau Nov 2 2022 at 15:28

Похоже на "взломать мою машину должно быть сложнее чем соседскую, но проще, чем отобрать у меня ключ силой".

vassabi Nov 3 2022 at 00:31

ммм .... ну скажем так - если я записал пароль, то он не так важен, как пароль который я не записал. Записываю же я например пароли от работы. Они все равно каждые 3 месяца меняются.

StjarnornasFred Nov 1 2022 at 13:02

При выборе паролей и подобных средств защиты нужно не забывать: если вы сами их не сольёте, то ломать их будет компьютер. А что удобно компьютеру, то не всегда удобно человеку, и наоборот. Компьютеру удобно, когда алфавит поменьше (0-9 удобнее, чем A-Z, а 0-Аа-# и того сложнее). Человеку удобнее, когда фраза осмыслена и звучит как слово.

Соответственно, надо расширить алфавит (прописные и заглавные, цифры, спецсимволы - это, кстати, обычно и так требуется) и удлинить пароль (не менее 8 символов, а лучше больше). Но при этом сохранить фразу удобной для запоминания человеком. Компьютер будет годами ломать фразу, которая для её владельца звучит как нечто понятное. При этом, конечно, стоит избегать банальностей типа Vasya_1980, они ломаются социально или по словарю. Можно придумать что-то такого же типа, понятное задумавшему, но нетривиальное с точки зрения хакера. Pozvonite_02, Sverdlovsk-19, Avtobus№953 и прочее такого же типа.

Длинных фраз это тоже касается. Легендарные "Сорок тысяч обезьян" - хороший пример. Бессмысленный набор слов, а тем более символов - плохой. Фраза с цифрами и знаками препинания - отличный, помним про величину алфавита.

efkz Nov 9 2022 at 13:26

И про это тоже есть xkcd: https://xkcd.com/936/ ))

NemoVors Nov 1 2022 at 13:36

Интересный вопрос возник: если я уберу слово из мнемонической фразы, но в файле не укажу, где оно было - насколько сложнее будет перебор? Учитывая, что длина фразы известна - видимо сильно задачу не усложнит?

Но если 2 слова, опять же без указания где они были. Мне в принципе несложно запомнить что-то типа 2office -3hawk.

old office build post crack sudden garage cheap useful hawk indoor immense

Sau Nov 1 2022 at 16:14

2048 слов, 13 позиций - 26 тысяч вариантов для одного пропущенного слова. Для компьютеров - пустяки.

nkormakov Nov 2 2022 at 19:14

Сделаю одно допущение - представлю seed пароль длиной 12 символов и словарем в 2048 символов.

Сложность восстановления 1 слова из 12 с известным положением - N, где N = 2048, то есть размер алфавита. Другими словами - надо перебрать 2048 фраз для того, чтобы сгенерировать все возможные хэши.

Сложность восстановления 1 слова без указания позиции - N*12, так как у нас N возможных слов для 1 позиции, для 2, 3... - 24576 вариантов

Cложность восстановления 2 слов с неизвестными позициями - это N^2 * количество перестановок, в данном случае 132 - 553'648'128 комбинаций