Pull to refresh

Comments 27

Интересно было бы посмотреть результаты вашего алгоритма для других сайтов, например Mtgox, там люди должны были ставить пароли посерьезнее. Или для базы индийского группона.
да, мне тоже было бы интересно. где можно взять базу?
ой, а там соленые хеши. придется-таки это реализовать…
обычно так: $1$E1xAsgR1(соль)$vPt0d/L3f81Ys3SxJ7rIh(хеш)/
хеш — md5(password + salt) или в другом порядке.
UFO just landed and posted this here
> Скачать исходники (да, мне их не жалко)

1. Лицензия? Без лицензии никто не имеет права даже смотреть на ваши исходники.

2. Положите, пожалуйста, файлы в каталог. (опять ~/src чистить)
еще мейкфайл попросите.
А я бы не отказался, сейчас сижу, смотрю как это собрать, линуксоидам тоже охота поиграться.
если у Вас получится раньше чем у меня — расскажите, я пока не пробовал сам собирать под линукс.
Судя по тому, что на GTX460 всего 80 миллионов, а BarsWF на 9600GT даёт 350, есть поле для оптимизации. Я так думаю, скорость должна быть порядка 800 миллионов.

Исходники BarsWF: 3.14.by/forum/viewtopic.php?f=8&t=1333&p=8907
оптимизировать несомненно можно, и по грубым прикидкам раза в 2-3, больше — вряд ли.
я бегло взглянул на исходники, если я верно понял, то оно подбирает один хеш по фиксированному набору символов.
а у меня — множество хешей по фиксированному набору метасимволов (на каждой позиции может стоять слово из словаря из нескольких символов), отсюда существенное замедление (но вовсе не линейно зависящее от количества хешей / длины словарных слов).
На счет паролей для всяких таких сайтов — откуда там взяться хорошим и стойким паролям?
У меня например система примерно такая. Для всяких не важных сайтов — один общий пароль, короткий и простой. Мне абсолютно безразлично, если его кто-то взломает.
Для всяких соц. сетей/форумов/IM — три разных пароля. Тут уже случайный набор букв и цифр, но без спец-символов и в одном регистре и не очень длинный.
Отдельный пароль для основной почты — длинный, сложный со спец. символами.
Еще один отдельный пароль, примерно такой же, как для почты — мастер пароль для всего остального.
Эти пароли я просто помню на память.

И для действительно важных сервисов — хостинг, банк-клиент, etc. — очень длинные(30+) случайные пароли, хранящиеся в keepass.

Собственно я это к чему. Этот antichat — просто какой то форум, у меня бы там был пароль в духе «слегка искаженное словарное слово из 6 букв и цифра». Какой смысл беспокоится о безопасности аккаунта на форуме?
>>И для действительно важных сервисов — хостинг, банк-клиент, etc. — очень длинные(30+) случайные пароли, хранящиеся в keepass.

Я сегодня плакал, увидев, что PayPal не умеет пароли более 20 символов. :(
Полностью поддерживаю. Исследователи слишком категоричны в заявлениях о том, что с паролями все плохо, так как они исходят из идеи, что пользователь не хочет взлома своего аккаунта, забывая о тех, чьи пароли попросту никому не нужны, а если и нужны, то владелец сильно переживать не будет.
Долго смотрел на картинку чтобы понять, что это сломанный замок. Мысли были самые разные, вплоть до какашки (сзади). Простите
А словарик 05_relevant.txt выложите, пожалуйста :)
на работу приеду — выложу. так он же генерится в зависимости от уже найденных, хотя согласен с тем что готовый хороший может пригодиться.
вот что у меня с ачата получилось,
dl.dropbox.com/u/243445/md5h/_relevant.txt

но в целом он не очень хорош — слишком много изначально было цифровых комбинаций.
Нашел для себя один плюс во всех этих взломах + циклу статей от sic:
1) Буду себе генерить пароли позаковыристей
2) Буду у себя строить хитромудрые схемы для защиты чужих паролей.
эм… эта штука собирает пароли для спам-рассылок? :)
Вы хотели сказать — e-mail адреса? По моему скромному мнению, миф о том, что онлайн-формы собирают адреса для спама не выдерживает никакой критики. Простейший парсер за минуту найдет больше адресов, чем форма соберет за день. Особенно с учетом того, насколько халатно владельцы всевозможных движков социальных сетей относятся к защите пользовательских данных.

Ссылку нашел на Hacker News, этому источнику я доверяю.
да, опечатался.
почему нет, за то введенные адреса более валидны, чем собраные откуда попало.
А без разницы от чего хэши? Просто есть линуховый хэш, надо бы его поломать, да есть доступ к железке, но пароль надо не менять, а именно узнать :)
Only those users with full accounts are able to leave comments. Log in, please.