вот именно такие пароли и не нужно ставить, что я пытался донести. ломаются моментально за счет того что все комбинации вроде qaz, xdr, qwerty уже в словаре.
как-то грубовато на счет «не видит разницы». вообще-то мы здесь не о шифровании, а о хешировании, плюс достаточно частный случай: один уровень защиты. навесим еще соли, шифрование данных и какое-нибудь хитрое медленное преобразование и получим другую картину.
не совсем, ибо нам нужны не редковстречающиеся, а те которые не содержат частовстречающихся при разумной декомпозиции. таких будет бесконечность — очень много = бесконечность. понятно, что в частностях все сложнее, конечно.
вопросами добычи хешей я не занимался. но почему-то рано или поздно с многих ресурсов кому-то удается слить базу — так что видимо относится к реальной жизни это, хоть и косвенно.
тут подразумевается то что в пароле не должно быть «неслучайных» закономерностей, машина вполне в состоянии это проверить. получается в ущерб математической случайности (страдает распределение), но уменьшается вероятность взлома гибридными техниками.
не совсем, у меня в набор релевантных попали «625» (красивое число?)
kiy (русское окончание?),
sj, qC — не знаю почему.
итого 4 метасимвола + смены регистра.
1. абсолютно верно. но требуется поддержка со стороны сервиса, а не все этим обеспокоены. вот такие «бестолковые» статьи, возможно, кого-то и подтолкнут.
2. вот с этим сложность. да, есть много замечательных программок-запоминалок, однако собрав все пароли в одном месте возникает другая опасность — кража хранилища вместе с мастер-пассвордом, например трояном. записывать на бумажке — тоже едва ли вариант.
+ все больше людей пользуются мобильными «помощниками» (планшеты, телефоны), набрать на которых 20+ случайных символов не так-то легко.
вероятностью коллизии для MD5, по крайней мере, можно пренебречь, запас большой. пока этим любят пугать, но даже, в сущности, при вероятности коллизии 2^-50 необходимы сотни вычисительных лет.
чисто ради интереса сливаю дамп. уверен что можно снести 60% за пол дня без видеокарт если применять частотный анализ. если что интересное выйдет напишу топик.
ага, а модельные тесты и диаграммы «неотставания» джавы обычно делаются на каких-то совсем простых примерах, где в действительности можно просто «научить» VM справляться с ними по-особому. когда сам экспериментировал с джава-кодом получал более чем десятикратное отставание, но задача была связана с очень активным использованием памяти, а на джаве я вряд ли пишу хорошо, но вот так.
да, перебирал на одной машине (причем лет 5 назад было, так что мощности соответствующие), а проценты от слитой, например с форума базы хешей. причем половина паролей подбирались буквально за пару минут.
но он слишком короткий.
тут подразумевается то что в пароле не должно быть «неслучайных» закономерностей, машина вполне в состоянии это проверить. получается в ущерб математической случайности (страдает распределение), но уменьшается вероятность взлома гибридными техниками.
kiy (русское окончание?),
sj, qC — не знаю почему.
итого 4 метасимвола + смены регистра.
2. вот с этим сложность. да, есть много замечательных программок-запоминалок, однако собрав все пароли в одном месте возникает другая опасность — кража хранилища вместе с мастер-пассвордом, например трояном. записывать на бумажке — тоже едва ли вариант.
+ все больше людей пользуются мобильными «помощниками» (планшеты, телефоны), набрать на которых 20+ случайных символов не так-то легко.