Pull to refresh

Comments 121

я не очень понял, это мы коллизию найдем за это время для выбранного метода подсчета хэша?
нет, за это мы построим радужную таблицу с хешами для всех возможных паролей заданной длины и алфавита. в данном случае таблицы строятся для 99% вероятности найти пару хеш-пароль.
это метод тотального перебора с составлением таблиц для быстрого поиска.
Очень наглядно. Спасибо.
Но лучше всё-же подпишите «Время подсчёта» чего мы ищем.
А еще есть так называемые RAINBOW таблицы — где уже все просчитано. Можно тупо запрашивать пароль по md5 и другим хэшам.
А чем ваши так называемые RAINBOW таблицы отличаются таблиц, которые автор статьи называет «радужными»?
Толи читаете невнимательно, толи английский плохо знаете, толи пишете посты глубокой ночью.
Очень хотелось бы увидеть статистику для алфавита {0123456789}, так как некоторые любят ставить пароль свой день рожденье, счастливое число или идентификационный номер налогоплательщика :)
оффтопик:
один я не понимаю почему те кто пишут впервые считают что тут всех авторов топиков пинают, бьют и всячески издеваются?
это фишка такая, мягко заявить что впервые написал) ну и чуток кармы срубить))
это риторический прием такой, самокритика косвенная
UFO landed and left these words here
я разок написал, ничего не просил, но заминусовали. Теперь страшно что-то писать. :)
Было тоже самое… Про маки пошутил… Но мир не без добрых людей — спасибо всем кто мне тогда помог. И сам помогать теперь стараюсь. Особенно новичкам.
Извините, Вы об этом посте? Я, конечно, не претендую на истину в последней инстанции и уж тем более не хочу показаться грубым, но если «лучше горькая — но правда, чем приятная — но лесть» (© Л. Филатов), то пост был заминусован совершенно заслужено (уж не знаю, насколько сильно пошатнулось «то-чего-нельзя-называть»). Тянет на твит (длинный такой твит :)), но никак не на статью на хабре.
Сугубо имхо.
На статью тот пост не претендует однозначно. Но цель была выяснить масштабы сбоя.
торжественно клянусь себе — сегодня ( а не как обычно когда-нибудь ) перепроверить все важные пароли по вашей таблице. Спасибо.
Читал, что 3-4 nVidia Tesla может расшифровывать на мноооого быстрее…
Ну и про гаражи с десятком Sony PS3 тоже, наверное, слышали. Но вы уверены, что тем, у кого такое оборудование есть, нужны ваши пароли?
Просто вы не параноик, вам не понять ;-}
Да половина параноиков с двадцатисимвольными паролями, на самом деле — неуловимые Джо.
я помню только 5 паролей — два из них на основную почту, второй на 1password контейнер. для паролей я выставил 30 символов дефолт. 10 больше, 10 меньше, уже нет разницы :)
>Но вы уверены, что тем, у кого такое оборудование есть, нужны ваши пароли?

Думаю, слегка наоборот: те, кому понадобятся мои пароли, без проблем обзаведутся подобным оборудованием.
Десяток PS3 это, конечно слегка экзотика. Но в офисах многих организаций по ночам простаивают вполне достойные вычислительные ресурсы, так что построить эти таблицы можно в десятки раз быстрее без вложений в оборудование.
Пара видях с CUDA на порядок сократят время построения таблиц.
Миллион лет сократится, допустим, до 100 лет. Вопрос: А кому нужен ваш пароль через 100 лет? Внукам?
Понятно что, используя вычислительные мощности суперкомпьютеров и их самодельных аналогов (видео карты, приставки и т.д.), время генерации таблиц серьёзно сократится, но вопрос в том где хранить столько информации?.. Вы готовы потратить 100 ТБ на хранение информации ради спортивного интереса?
Я пока не слышал о радужных таблицах объёмом больше одного ТБ и то это для нескольких хеш-функций.
UFO landed and left these words here
тут и прикол был
Не прикол, а обычное ворьё, спёрло всё до чего руки дошли, для того и стул. Хороший стул был наверное.

Кстати тут уже раз *дцать упомянули паяльники, а хоть один хакер брал его на вооружение? Если человек промышляет паяльником (хочется услышать реальные истории тут), то он уже не хакер ни разу, потому что сильно светится.
UFO landed and left these words here
Мне нравится система с интернет подтверждением, как, например, а альфа банке.
Именно, думал об одном, написал другое. Странно :)
вся «радуга» идет лесом при использовании соли…
а на всех серъезных проектах salt используется, по край не мерее я так сужу по своему опыту и хочется так думать, что поступают и все остальные
Соль для того и служит, что бы увеличить длину пароля до значений, исключающих возможность тотального перебора.
Не совсем. Без соли можно сгенерировать огромную таблицу хеш → пароль и быстро дехешировать. С Солью придётся строить эту таблицу заново для каждого проекта.
Что-то типа универсальной супер хеш таблицы, в которой задача сведётся к обычному поиску по дереву?
А если использовать разный salt для каждого пароля, то и таблицу придется строить для каждого нужного пароля
По-моему, дехеширование — не лучший способ оценить надёжность пароля. Поможет ли это подобрать мой пароль на Хабр? ;)
> мне не встречались статьи, где приводятся реальные данные о надёжности паролей.
ваш компьютер с этого момента можно считать реальным

во-вторых, tsya.ru
>во-вторых, tsya.ru

А Вы сходите туда, сходите. Заодно узнаете, что автор написал совершенно правильно: «приводятся».
Ляп был в другом предложении. Исправлили уже.
«Вы», кстати, с маленькой буквы пишется :-)
>Ляп был в другом предложении.

Звучало так, как будто претензия была к процитированному. Раз не так — прошу прощения.

>«Вы», кстати, с маленькой буквы пишется :-)

Нет.
Вы сами читали это?

Последний абзац:

>… можно рекомендовать написание вы, ваш при обращении к читателям / посетителям страницы в Интернете со строчной буквы.

Впрочем, как обращаться с незнакомыми людьми — личное дело каждого. Правила нет, есть моветон.
>Вы сами читали это?

Разумеется.

"… можно рекомендовать написание вы, ваш при обращении к читателям / посетителям страницы в Интернете со строчной буквы".

Рекомендовать, понимаете?

>Впрочем, как обращаться с незнакомыми людьми — личное дело каждого. Правила нет, есть моветон.

Если «правила нет» и «личное дело каждого», то как тогда понимать Ваше "«Вы», кстати, с маленькой буквы пишется"? Раз Вы сами говорите, что чёткого правила нет — почему в предыдущем посте поправляли меня так, как будто оно есть?

«То-то пишется с маленькой буквы» и «то-то рекомендуется писать с маленькой буквы» — два совершенно разных утверждения.

И уж чем-чем — а моветоном это точно не является. См. определение «моветона» :)
Разница между «рекомендуется» и «запрещается» лишь в наличии формальной стороны.

Не мне вам объяснять, что сам ввод формальности дело хлопотное и, как правило, вызывает яростное бурление в массах. Поэтому его стараются, по возможности, не применять, а ограничиваться лишь предписывающими рекомендациями.

Вы можете посмотреть в Википедии современное использование слова «моветон» и убедиться, что это именно тот случай — я посчитал ваше написание не соответствующим рекомендации.

Отдельно выражаю вам симпатию, как к вдумчивому и адекватному собеседнику.
>Не мне вам объяснять, что сам ввод формальности дело хлопотное и, как правило, вызывает яростное бурление в массах.

Можно подумать, кого-то это бурление смущает %)
«Пролил своё кофе на дОговор — что теперь делать....»

Процитированная Вами рекомендация (в конце статьи по ссылке), является, как я понимаю, неким резюме, обобщённым из существующих правил (перечисленных в статье). Однако этот вывод — всего лишь частное мнение одного специалиста (я надеюсь, именно специалиста :)), которые, как Вам известно, порой весьма расходятся во мнениях.

В одном из источников правило написания звучит следующим образом (цитата из статьи по ссылке):
1. «С прописной буквы пишутся местоимения Вы и Ваш для выражения вежливого обращения к одному лицу, например: Прошу Вас, уважаемый Сергей Петрович… Примечание: При обращении к нескольким лицам эти местоимения пишутся со строчной буквы, например: Прошу вас, уважаемые Сергей Петрович и Павел Иванович...» (Розенталь Д. Э., Джанджакова Е. В., Кабанова Н. П. Справочник по правописанию, произношению, литературному редактированию. М.: Московская международная школа переводчиков, 1994, § 28. Условные имена собственные, п. 3, стр. 30).

Тут, как Вы видите, не делается никакого разделения, где именно пишется обращение: в личной переписке или же публичной, а следовательно использование заглавной буквы при написании комментариев на Хабре вполне попадает под данную статью, т.к. я как раз «вежливо обращаюсь к одному лицу».

Это, кстати, не является ни «невоспитанностью», ни «поступком, не принятым в хорошем обществе», а следовательно не может быть названо моветоном ;)
«В одном из источников» звучит как «Один мой хороший знакомый».

ru.wikipedia.org/wiki/Моветон
> Таким образом, недалёкий субъективизм, основанный на недостаточном знании предмета или явления, — это частный случай моветона.
> В одном из источников правило написания звучит следующим образом (цитата из статьи по ссылке)

Прошу прощения, скобочки проигнорировал.
Да, действительно, один мой хороший знакомый Д.Э. Розенталь %)

>Таким образом, недалёкий субъективизм, основанный на недостаточном знании предмета или явления, — это частный случай моветона.

Цитата из трудов известнейшего советского и российского лингвиста — «недалёкий субъективизм, основанный на недостаточном знании предмета»? Однако…
Розенталь жил еще при царе и без интернета. И язык тогда был заметно другой. Язык изменился и именно это отображено в рекомендациях.

Такое написание — архаизм. Если вам это нравится, то пишите так, но это «недалёкий субъективизм», то есть моветон.

И хватит цитировать страничку, написанную неизвестно кем и с неработающей ссылкой на источник. Посмотрите шире.
>Розенталь жил еще при царе и без интернета. И язык тогда был заметно другой.

Прошу покорнейше простить, но это цитата из справочника издания 1994 года. И это явным образом указано в цитате.

>Язык изменился и именно это отображено в рекомендациях.

В каких рекомендациях? В тех самых, со «странички, написанной неизвестно кем и с неработающей ссылкой на источник»? © ;)

>Такое написание — архаизм. Если вам это нравится, то пишите так, но это «недалёкий субъективизм», то есть моветон.

Снова прошу прощения, но пока что это именно Вы пока что не привели ни одной ссылки в подтверждение Ваших слов (а воспользовались моей, которую, впрочем, сами же только что отвергли как «страничку, написанную неизвестно кем и с неработающей ссылкой на источник»).
Моя же цитата — из вполне объективного источника, а именно из «Справочника по правописанию, произношению, литературному редактированию» издания 1994 года. И при небольшом желании данный источник находится и скачивается (например, тут) на раз-два. Следовательно, ни о каком «субъективизме» речи идти не может.
Вы же, в свою очередь, никакого источника не привели, поэтому прошу покорнейше простить ещё раз, но если где-то и наблюдается «недалёкий субъективизм», то он (давайте будем честными друг перед другом и перед самим собой) — в Ваших словах.
… но пока что это именно Вы пока что не привели....


Одно «пока что», разумеется, лишнее.
Апелляция к источнику важна и именно это я подчеркнул сомнением, оставив выбор на ваше усмотрение. Позволив себе при этом пройтись даже и по нему.

Ваш источник меня не устраивает, даже если это Розенталь. Потому что он устарел.

Даже если его перевыпустили позже, то я сомневаюсь, что в 94 году господа редакторы именно в этом вопросе сильно пересматривали свои взгляды в контексте специфики общения в интернете. Хотя бы потому, что .ru именно с 94 года и существует.

Если всё сводится к предоставлению источника, то давайте примем, что:
1) мы выбираем наиболее современный источник;
2) это наиболее авторитетный источник с зарекомендованным именем.

Я нашел оригинал на gramota.ru: www.gramota.ru/spravka/letters/?rub=rubric_88
Он, кстати, несколько иной, чем в вашем случае, а значит со временем его корректируют, что, согласитесь, отражает динамику языка.

Если вы начнете читать, то вскоре увидите, что ГОСТ (позвольте, я не буду искать ссылку на его закачку) перечёркивает Розенталя и говорит только об официальных отношениях и письмах. И так далее со всеми последующими справочниками.

Таким образом, местоимения Вы, Ваш пишутся с прописной буквы при обращении к одному лицу в текстах следующих жанров:

(а) личное письмо (адресат – конкретное лицо; при этом само по себе употребление местоимения Вы вместо ты является выражением вежливости по отношению к адресату);

(б) официальные документы, адресованные конкретному лицу;

(в) анкеты (адресат – неконкретное лицо).


Что касается использования в интернете, то оно не попадает ни под один из этих пунктов. И не говорите, что люди в gramota.ru про это не думали.

С другой стороны, я допускаю, что робот Хабрахабра от вашего имени шлет мне письма, где написано «Вы». Тогда всё ok и давайте на этом закончим :-)
>Ваш источник меня не устраивает, даже если это Розенталь. Потому что он устарел.

Это превосходный образчик того самого «субъективизма», в котором Вы пытались обвинить меня. Не устраивает — и всё. Потому что устарел. Потому что гладиолус. И в ответ приводится ссылка на другой источник (грамота.ру), который (внимание!) в качестве одного из источников использует того самого Розенталя, который Вас почему-то не устроил.
Насчёт того, что он якобы «устарел» — пожалуйста. 2009-й год.

>Он, кстати, несколько иной, чем в вашем случае, а значит со временем его корректируют, что, согласитесь, отражает динамику языка.

Вот только содержание конкретной статьи ни капли не изменилось, если Вы заметили.

>Если вы начнете читать, то вскоре увидите, что ГОСТ (позвольте, я не буду искать ссылку на его закачку) перечёркивает Розенталя и говорит только об официальных отношениях и письмах.

Если Вы дочитаете до конца, то вскоре увидите, что «Русский орфографический словарь» 1999 года выпуска (последний источник в списке) ничего не говорит об официальных отношениях и письмах, а т.к. Вы же сами настаивали на наиболее свежем источнике, то ГОСТ является более старым источником, нежели этот словарь. Предпоследний источник (опять таки орфографический словарь, и опять таки 1999 года выпуска) говорит «С прописной буквы пишутся местоимения Вы, Ваш как форма выражения вежливости при обращении к одному конкретному лицу в письмах, официальных документах и т. п.». Т.е. одними письмами и официальными документами дело не ограничивается. Обращение к одному конкретному лицу в комментарии на форуме вполне попадает под это «и т. п.»

>И так далее со всеми последующими справочниками.

А вот это, извините, неправда, и в предыдущем абзаце это чётко показано.

>Что касается использования в интернете, то оно не попадает ни под один из этих пунктов.

Пункты довольно странные, особенно ввиду того, что в наиболее свежих источниках чёткого ограничения «письма, официальные документы и анкеты», как мы только что увидели, нет.
Тут возможно 2 варианта: либо а) эти пункты выводил довольно странные человек, которого не смутило их противоречивое только что перечисленным источникам, либо б) в понятие «личное письмо» был вложен несколько иной смысл, нежели «пришедшее по почте послание». Нечто более общее, например «личное послание/обращение».
Вам какой из вариантов кажется наиболее вероятным?
Мы говорим об одном и том-же. Мои слова «и так далее со всеми последующими справочниками» следует понимать как «и так далее, перекрывая друг-друга».

По-вашему, разработчики ГОСТ и прочих справочников — тоже недалёкие субъективисты, посмевшие покуситься на светлый труд Дитмара Ильяшевича.

Розенталь, если вы вдруг не в курсе, давно уже умер и к его работам остались причастны лишь люди, спекулирующие на его имени. Именно поэтому он устарел.

Переиздать книгу под его именем можно в любом году. Как и остальные словари. Однако от этого более новые не станут более важными.

Показательна именно агрегация существующих знаний и мнений, их актуализация на сегодняшний день. Этим и занимается грамота.ру.

Резюме от грамота.ру можно (и нужно) признать объективным.
Если вы с ними не согласны — вам лучше написать письмо им.
>Показательна именно агрегация существующих знаний и мнений, их актуализация на сегодняшний день. Этим и занимается грамота.ру.

Согласен. Если бы не одно «но»: в Вашем толковании этой агрегации получается, что вывод, сделанный специалистами грамоты.ру, противоречит процитированным ими же источникам (если они, как Вы утверждаете, ограничивают употребление только личными письмами, официальными документами и анкетами).
В моём понимании «личное письмо», о котором они говорят в своём выводе, имеет более широкий смысл, нежели «приватное сообщение одному адресату», и включает в себя в том числе и личное обращение на форуме. Личное, прошу заметить.
В этом случае вывод специалистов грамоты.ру следует из процитированных источников вполне логичным образом.
Что, кстати, косвенно подтверждается и этой статьёй:
Общая рекомендация

Местоимения Вы и Ваш пишутся с прописной (большой) буквы при обращении к одному лицу; при обращении к нескольким лицам следует писать вы и ваш со строчной буквы.

Далее снова следует уже знакомое нам перечисление источников, потом тот самый «вывод», к которому Вы апеллируете, а далее идут «Заметки на полях»:
Вообще употребление Вы при вежливом или официальном обращении к одному лицу («форма вежливости») – самое характерное употребление этого слова в русском языке (см.: Русская грамматика. Т. 1. М.: Наука, 1980, стр. 535). Употребление Вы вместо ты при обращении к одному лицу само по себе уже представляет проявление уважительного отношения к этому лицу.

Как видите, «при вежливом или официальном обращении к одному лицу» — и снова никаких ограничений на то, что это обязательно личное письмо.

Довольно странно с их стороны было бы написать статью таким образом, что разные её части противоречили бы друг другу, не находите? Поэтому перечитайте, пожалуйста, ещё раз «Общую рекомендацию» и давайте на этом закончим.
Ну и ещё одна заметка, на закуску. Цитата оттуда:
Правило о написании Вы с прописной буквы при вежливом обращении к одному лицу не является строго обязательным и применяется по желанию пишущего. Написание вы со строчной – вовсе не ошибка (и уж тем более не грубая).

Понимаете? Об этом правиле (без ограничений в виде личного письма или официальных документов) говорят как о безусловной вещи. Но это правило, однако, не является обязательным, и Ваша манера написания — тоже верная, и ошибкой не является. А следовательно Ваше замечание о том, что нужно писать со строчной буквы, было ошибочно.
вот за это я и люблю хабр)
Процессор крайне не серьезный для вычислений.
В исследовании проводиться оценка надёжности паролей противостоять атакам грубой силы.

грубая сила -> brute force -> метод полного перебора
мне кажется у вас неправильное представление о минимальном времени подбора пороля, т.к. сейчас радужные таблицы не самый лучший вариант перебора
я дома на видеокарте nvidia gtx260 ~1500 паролей md5 из 7 символов из набора mixalpha-numeric-all(95симв) расшифровываю за ~2дня, при этом еще сидя в интернете иногда, но уж никак не за 2 года ;-)
а если расшифровывать популярный loweralpha-numeric, то за это время можно и 9-ти значные расшифровывать
а если еще расшифровывать только 1 конкретный пароль, то будет еще раза в 1,5-2 быстрее
а если прикупить пару radeon hd5870, то можно и 10-ти значные пароли ~ за неделю расшифровывать ;-)
Какое ПО для расшифровки используете, если не секрет?
раньше nvCUDA использовал, сейчас ighashgpu
Люблю читать не параноиков (но параноиков тоже люблю), хотя может быть вы для интереса.
Я со стороны чайника хочу сказать что улучшению качества моих паролей мешают сами ресурсы. Одним наплевать на регистр, ещё парочка сайтов насмерть отказывается принимать {!@#$%^&*()-_+="}, так и получается что везде только 36 символов.
Я с прошлого топика подцепил supergenpass, там пароль создаётся через base-64 и MD5 по названию сервиса: мастерпасс (google.com:pass), не подскажите, исходный пасс можно высчитать теоретически?
в разумное время скорее всего это будет сделать сложно, однако даже в публичных базах нередко встречаются 15-20 значные стойкие пароли, из чего можно сделать вывод, что пароли не всегда узнаются полным перебором
у этого способа также есть некоторые минусы относительно безопасности, которые уже сказаны в комментариях к тому топику
Ага, а еще пару велосирапторов, чтоб не тормозить, и пару двухтеррабайтных хардов, чтоб хранить файлы.
забыл сказать — я данные не о построении радужных таблиц написал в посте, а о переборе «на лету»
поэтому необходимость в хардах полностью отпадает :)
Железо, прямо скажем, не самое новое.

На облаке из мощных серверов реально в приемлимые сроки расколоть короткие (до 10 символов) или простые (A1 алфавит) практически любые пароли.

Да и готовые базы уже существуют, хотя и не полные. Самое крупное, что я видел сам — 85GB база md5-хэшей паролей буквы+цифры, продавалась она за что-то около 50$. Думаю, есть и больше, тем более нужды с тех пор не возникало и темой этой не интересовался.

Хотя на самом деле — это ерунда. В 99% случаев получить этот пароль социальными методами проще в разы. А зачастую проще взломать само хранилище через уязвимость, чем подбирать пароль. Да и терморектальный криптоанализ еще не отменяли.

Особенно если мы говорим не о БД Bank of America и не пультах управления военными спутниками, а об обычных ПК и веб-сервисах.
UFO landed and left these words here
UFO landed and left these words here
То есть, Вы хотите сказать, что пароль «sex» уже не надежен? Не?
Используйте более безопасные пароли! Как минимум 8 символов длиной, например, abcd1234.
а как насчет распределенных вычислений? Если компьютер не один а 1000 или 10000.
Не уверен, что 3,95008е+003 лет сильно лучше, чем 3,95008е+006 лет
А подскажите пожалуйста, а как в взломе пароля участвует видео карта? ИМХО важен же проц и количество оперативы
На видеокарте (сюрприз!) тоже есть проц и оператива. :)

А фреймворки вроде nvidia CUDA позволяют их использовать.
Более того, хочу добавить, что там не один процессор, а несколько сотен графических ядер, а задача перебора ну уж очень хорошо распараллеливается.
Т.е. получается как бы 2 процессорная система?
В видео карте куча ядер. Это уже сотнипроцессорная система получается
Несколько ядер (=вычислительных единиц), способных с большой скоростью считать простые арифметические задачи. Снаружи это выглядит как любимый Half Life, внутри же — тригонометрия, перспектива и т.п. Программа даёт ядрам задания считать 1+2, 7*4, 52-6 и подобные простые вещи, только итог расчёта интерпретируется не как положение объекта в виртуальном трёхмерном виде, а просто как результат вычисления.
Видеокарта по сути является спайпроцессором обработки матриц в несколько потоков. Задачи вроде вычисления кучи значений одной формулы для нее подходят очень хорошо.
Можно заметить, что мощность алфавита сильнее влияет на время перебора, чем количество символов.
А на запоминаемость это не так сильно сказывается, итого лучше юзать более короткий пароль, но с большим алфавитом.
В качестве вывода больше напрашивается использовать А3 для стойкости от brute-force.
Взломаю за сутки, любая сложность. Из оборудования — только паяльник.
У меня, конечно А4, 4 строка… но паяльник сотворит чудеса, мне его даже вставлять не надо будет ))
О да, терморектальный криптоанализатор издавна является один из самых эффективных способов получения паролей =).
кстати по этому поводу — termorect.narod.ru/
улыбнуло :=)
Основная теорема терморектального криптоанализа — время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.

Супер!:)
UFO landed and left these words here
а мой пароль вы бы не угадали =) в нем есть символ "?", о котором вы просто забыли во всех алфавитах =))
а ещё там нет ни тильды, ни различных кавычек, ни слешей, ни скобочек фигурных и квадратных
А еще есть символы ☺☻♥♦♣♠•◘○•. Ну и вся ascii-таблица + юникод… Некоторые сайты позволяют регистрироваться с таким паролем.
Можно использовать бот-сети как аналог параллельных вычислений.
А вы какой софт для этого используете?)))
а где главный вывод: не ограничивайте пользователя в символах при вводе пароля
Либо большая длина и простой алфавит, либо сложный алфавит и средняя длина. И тут уже кому как удобнее.
просто много где практикуется валидация на определённые символы для пароля, хотя можно разрешить весь спектр утф.
В винде семёре кроме непосредственно символов байтами пароля служат коды системных клавиш — стрелочки там, backspace… Перебрать словарь из 64к символов нереально.
При использовании всех символов появляется опасность, связанная с коллизиями, так как их длина и состав по теории вероятностей будет отличен от стандартных представлений о паролях.
Паранойя лучший друг безопасника…
UFO landed and left these words here
это паранойя. лучше отключить компьютер от интернетов, поставить его в сейф, а сейф захоронить в Марианской впадине.
в статье как раз ищется баланс между длинной и сложностью. у вас сложность и неудобство валит через край.
Лично для меня первое что из этой таблички видно, это то, что гораздо важнее длина, чем алфавит. Поэтому как раз использовать всякие хитрые символы (с которыми пароль ещё и хрен запомнишь) смысла большого нет, полькольку можно элементарно придумать пароль из простого алфавита, но очень длинный и легкозапоминающийся.
Есть отличная ломалка паролей, которая перебор сокращает до 12 минут (максимум, 2 часа) — Паяльник.
UFO landed and left these words here
UFO landed and left these words here
почему для md5 и sha получается одинаковое дисковое пространство?
В радужных таблицах хранятся не пары хеш-пароль, а результат выполнении специальных функций над хешами и паролями. Более подробное описание есть в википедии.
Думаю, стоит добавить, что для подбора конкретного пароля не нужно перебирать абсолютно все комбинации, т.е. к моменту нахождения пароля будут проверены далеко не все комбинации. Само собой, если 600 лет изменятся на 200, это мало кому поможет, но упомянуть в вычислениях об этом не помешает.

P.S. Ваши вычисления станут справедливы если для алфавита A1 пароли будут состоять только из девяток, для A2 — из кавычек и для А3 — из знаков равно. ;)
UFO landed and left these words here
А это уже интересно. Наверняка программы типа nvCUDA буду выбирать самые используемые символы (типа английской «e») чаще?
Пошёл менять все «e» на «z» (wiki: y — 1.974%, z — 0.074%).

Все упомянутые буквы полностью вымышлены, любое сходство с моими паролями чистая случайность.
А чУвствитеЛьнОсть к регИстРу учитывается?
Учитывается в алфавите А3.
Выбираем простенькую фразу или даже четверостишие собственного сочинения и вуаля — пароль символов из 30+, легко запоминается и даже на А1-алфавите подбирается более тысячи лет.
если я правильно понял, ето время нахождения всех вариантов перебора. далеко не факт что ваш пароль будет «последним».

7символов — 1год
8символов — 90,2года.
Все таки есть вероятность что 8символьный пароль подберется через 2года?..
В таблицах указано время создания радужных таблиц для 99% подбора пароля по хешу, то есть, сначала 90 лет строим таблицу, потом вводим в программу хеш и по прошествии времени необходимого для поиска получаем пароль или не получаем, если попали в 1%.

При создании радужных таблиц можно указывать их размер, то есть 1 таблица в 10 МБ или 10 таблиц по 1 МБ. Поиск по готовым таблицам можно осуществлять, не дожидаясь готовности остальных таблиц.

Так что вероятность найти пароль раньше есть, как есть вероятность того, что злоумышленник наберёт необходимый пароль на клаве с закрытыми глазами или ваш пароль встречается в словаре.

К сожалению, имея дело со статистическими изысканиями нельзя быть уверенным в утверждении на 100%.

>> sha2 (модификация sha512)
sha2 — это множество алгоритмов sha256, sha512 и их модификаций, а не самостоятельная хэш-функция. ru.wikipedia.org/wiki/SHA-2
Под модификацией я подразумевал хеш-функцию sha512, входящую во множество хеш-функций sha2.
> В настоящее время парольная защита является самым распространённым и, к сожалению, самым не надёжным методом защиты.

Ненадёжным. Исправьте. Дальше не читал.
Рекомендую использовать системы защиты, в которых имплементирована поддержка стандарта PKCS5 (PKCS #5 v2.0 Password-Based Cryptography Standard). Грубо говоря, это эдакая защита от перебора паролей, благодаря которой на проверку валидности одного пароля может тратится достаточно существенное время.
Суть в том, что пароль используется в «key derivation functions» для получения «ключа». Это на порядки надёжнее, чем банальное использование хешей от паролей. Обычно, в этих самых «key derivation functions» используются хеш алгоритмы вроде SHA1, SHA2, но вычисление хешей производится очень много раз, на что требуется достаточно много вычислительных ресурсов.
К сожалению, весьма мало систем разработано с учётом стандарта PKCS5.
www.rsa.com/rsalabs/node.asp?id=2127
а практически как это реализовать?
Only those users with full accounts are able to leave comments. Log in, please.