Моя практика назначения таких паролей показывает, что пароль не запоминают только те, кто вводит его раз в неделю и реже.
Кстати да — давно заметил, что даже если меняешь пароли на что-то новое в одночасье, то первый день путаешься и пытаешься набрать старый (или комбинацию из обоих, если это несколько слов), а на второй и далее уже автоматом печатаешь и не задумываешься.
Я имел в виду подбор пароля к роутеру. Или подбор пароля при известной жертве — взлом под заказ, так сказать.
Ну, «жертва на заказ» наверняка будет использовать что-то серьёзное и не словарное, хоть 8-символьное, хоть 20-ти.
у 50% людей стойкость пароля оказывается эквивалентной 30-битному паролю (2^30 чуть больше миллиарда).
Тут уже ничего не сделаешь, статья действительно доказывает, что какие люди — такие пароли, в смысле что в любой системе человек — самое слабое место. На мой взгляд пока люди сами не поймут, что такое слабый пароль и как он влияет на их жизнь — так и будут выбирать «harry potter». Видимо мало сайтов взломали…
словарный запас любого номера газеты Times — 200 слов
На самом деле 600, исследовали New York Times. Это число теперь считают достаточным, чтобы выучить язык до уровня бытового. Не то что это сильно меняет ваш расчёт, конечно.
Но, как я уже сказал, можно с любой системой напортачить, если иметь на это установку. «Алгоритмы создания паролей» есть и сейчас (один даже по xkcd), есть и менеджеры паролей — да только ими пользуются малый процент от всех людей.
Давно уже нужно сформулировать алгоритм создания по настоящему стойких паролей.
Как это по вашему будет выглядеть и чем отличаться от уже имеющихся случайных генераторов? И чем случайный генератор слов сюда не подходит? По настоящему стойкий — возьмёт оксфордский словарь и вперёд, подбирай полмиллиона слов в одном английском. Причём необычные слова поди и запомнить будет проще, чем обычные.
Ведь не составит труда добавить «соль» и в пароль — значок "#" «где-то» в середине одного из слов пароля
А потом как в комиксе — «где же я её поставил и не была ли это собака?» :) На самом деле всё, чего достигли рекомендации/требования наличия спецсимволов, цифр и заглавных букв — того, что люди ставят в конце точку, первую букву делают заглавной, а цифры добавляют в конец как год своего рождения или просто единицы. Особо пространство ключей это не расширяет. hashcat вообще умеет все эти пермутации проводить на лету. А вот народ уже путается и подбирает собственные пароли, когда забыл, сколько единиц добавил.
А пока у нас только чудесная картинка «correct horse battery stapple»
Это всё равно лучше, чем просто набор букв и цифр. Сейчас, когда в паролях используют только латиницу и спецсимволы в случайном порядке — их можно перебрать брутфорсом, гарантированно. А вот со словами не понятно: здесь и словари нужны особые, и слова могут быть исковерканы очень разными способами, и языки разные — это как минимум требует информации о том человеке/ресурсе, от которого пришёл хэш. А если это массовая дыра, как на Adobe? Как вы определите, кто из пользователей кем работает и где?
Как раз нет, я свои специально подбираю как комбинация пробелов и латинских букв в обоих регистрах так, чтобы можно было легко набирать даже на iOS, где на цифры и спецсимволы надо переключаться. Таким образом 8-мизначный пароль со звёздочками набирается дольше, чем 16-20-значиный.
Я использовал AMI и ещё какую-то сборку из репозитория AWS, где yum шёл в комплекте, для меня он привычней. Что касается make install — это был чисто тестовый запуск, вопрос о поддержке не стоял. Хотя за ссылку спасибо, кое-что для себя прояснил.
За адекватную — вряд ли. Облачные сервисы есть, но стоят они $5-20 в час, что на мой взгляд может быть хорошо для пентеста (если у вас нет своего кластера), но для частого применения слишком накладно.
Мне известны такие: cloudcracker.com, pwaudit.com (ещё не запущен), gpuhash.me (есть бесплатный прогон, но мои пароли он ни разу не подобрал — видимо словарь маленький). Основная проблема сервисов, если не считать стоимость — нет гибкой настройки атаки, то есть если я могу запустить hashcat тысячей и одним способом с разными словарями и масками, то здесь фиксированный набор каких-то непонятных словарей, которые они даже не показывают.
Это легко подсчитать. Допустим, у нас 100 000 возможных слов. В пароле используется 4. Тогда это (10^5)^4 = 10 в 20 степени — аналогичен 20-значному цифровому паролю (см. статистику в статье). Конечно, люди могут использовать только какие-то 10 000 из этого точно так же, как сейчас выбирают qwerty и princess вместо других слов, но всё же пространства для фантазии с многословными словами больше — ведь большинство людей знают не только английский, плюс эти слова можно коверкать. В итоге «moy super sekret» можно будет очень долго и безуспешно пытаться подобрать по словарям.
Естественно, в любом деле есть возможность накосячить и даже 64-значный пароль, состоящий из единиц вас не сильно спасёт (вероятно). Основная идея, которую выразили на xkcd — более сложные для запоминания пароли совсем не обязательно более сложные для подбора. Проявите фантазию, выберете себе какую-нибудь секретную фразу-девиз на 2-3 языках — и такой пароль можно будет ломать вечно.
А какой это подарок для хакеров — теперь все данные в одной корзине.
На самом деле это серьезная проблема, с сожалением наблюдал, как рынок КПК во главе с Palm/WinMobile окончательно закатился. То ли было время…
Кстати да — давно заметил, что даже если меняешь пароли на что-то новое в одночасье, то первый день путаешься и пытаешься набрать старый (или комбинацию из обоих, если это несколько слов), а на второй и далее уже автоматом печатаешь и не задумываешься.
Ну, «жертва на заказ» наверняка будет использовать что-то серьёзное и не словарное, хоть 8-символьное, хоть 20-ти.
Тут уже ничего не сделаешь, статья действительно доказывает, что какие люди — такие пароли, в смысле что в любой системе человек — самое слабое место. На мой взгляд пока люди сами не поймут, что такое слабый пароль и как он влияет на их жизнь — так и будут выбирать «harry potter». Видимо мало сайтов взломали…
На самом деле 600, исследовали New York Times. Это число теперь считают достаточным, чтобы выучить язык до уровня бытового. Не то что это сильно меняет ваш расчёт, конечно.
Но, как я уже сказал, можно с любой системой напортачить, если иметь на это установку. «Алгоритмы создания паролей» есть и сейчас (один даже по xkcd), есть и менеджеры паролей — да только ими пользуются малый процент от всех людей.
Как это по вашему будет выглядеть и чем отличаться от уже имеющихся случайных генераторов? И чем случайный генератор слов сюда не подходит? По настоящему стойкий — возьмёт оксфордский словарь и вперёд, подбирай полмиллиона слов в одном английском. Причём необычные слова поди и запомнить будет проще, чем обычные.
А потом как в комиксе — «где же я её поставил и не была ли это собака?» :) На самом деле всё, чего достигли рекомендации/требования наличия спецсимволов, цифр и заглавных букв — того, что люди ставят в конце точку, первую букву делают заглавной, а цифры добавляют в конец как год своего рождения или просто единицы. Особо пространство ключей это не расширяет. hashcat вообще умеет все эти пермутации проводить на лету. А вот народ уже путается и подбирает собственные пароли, когда забыл, сколько единиц добавил.
Это всё равно лучше, чем просто набор букв и цифр. Сейчас, когда в паролях используют только латиницу и спецсимволы в случайном порядке — их можно перебрать брутфорсом, гарантированно. А вот со словами не понятно: здесь и словари нужны особые, и слова могут быть исковерканы очень разными способами, и языки разные — это как минимум требует информации о том человеке/ресурсе, от которого пришёл хэш. А если это массовая дыра, как на Adobe? Как вы определите, кто из пользователей кем работает и где?
Опечатка, «none» приходится печатать чаще, чем «nonce». +1 за внимательность.
Верно, исправил.
Тоже верно подмечено, при копировании стоило удалить эту часть.
Спасибо.
Я использовал AMI и ещё какую-то сборку из репозитория AWS, где yum шёл в комплекте, для меня он привычней. Что касается make install — это был чисто тестовый запуск, вопрос о поддержке не стоял. Хотя за ссылку спасибо, кое-что для себя прояснил.
Мне известны такие: cloudcracker.com, pwaudit.com (ещё не запущен), gpuhash.me (есть бесплатный прогон, но мои пароли он ни разу не подобрал — видимо словарь маленький). Основная проблема сервисов, если не считать стоимость — нет гибкой настройки атаки, то есть если я могу запустить hashcat тысячей и одним способом с разными словарями и масками, то здесь фиксированный набор каких-то непонятных словарей, которые они даже не показывают.
Естественно, в любом деле есть возможность накосячить и даже 64-значный пароль, состоящий из единиц вас не сильно спасёт (вероятно). Основная идея, которую выразили на xkcd — более сложные для запоминания пароли совсем не обязательно более сложные для подбора. Проявите фантазию, выберете себе какую-нибудь секретную фразу-девиз на 2-3 языках — и такой пароль можно будет ломать вечно.