Комментарии 38
А если число комбинаций было P=n^m считать было бы значительно проще ;)
НЛО прилетело и опубликовало эту надпись здесь
635 паролей в секунду на 1050ti — это не мало?
Число комбинаций для 5-символьного числового пароля 10^5, а не 5^10, разве нет? И со вторым примером та же история.
Был бы пароль не словарным словом, сложилось бы все иначе…
Как тут не вспомнить классику
Длинна пароля сейчас, при соблюдении некой минимальной сложности, важнее алфавита.
Длинна пароля сейчас, при соблюдении некой минимальной сложности, важнее алфавита.
Кто бы еще это растолковал разнообразным интернет-сервисам со своими требованиями к паролям.
Скрытый текст
Когда я был клиентом Альфа Банка у них был лимит на 16 символов пароля для интернет банкинга :(
Нет никакого смысла в максимальной длине вводимого пароля. Все равно в базе только хеш фиксированной длины. А хеш можно посчитать для любой длины.
Это понятно, но кто-то в Альфе решил, что больше 16 уже нельзя.
НЛО прилетело и опубликовало эту надпись здесь
Вот только чем длиннее пароль — тем больше вариантов нужно будет проверить при подборе, соответственно подбор займет больше времени и не факт что закончится успехом
Хорошо если они хэш сохраняют. А если plaintext пишут и поэтому ограничились в 16 символов?
Нижний или верхний?
РЖД боится спецсимволов, Сбербанк тоже. Вопрос: почему? Чего они боятся и зачем искусственно сокращают сложность пароля? А не хранят ли они его часом в открытом виде?
У ВТБ последний раз, когда я смотрел (несколько месяцев назад) было ограничение на 20 цифр, при этом цифры ещё не должны повторяться. Посмотрел ещё раз сегодня:
Новый пароль должен быть от 6 до 20 цифр, не менее 3-х различных цифр, не допускается введение подряд одной и той же цифры. Пароль не должен совпадать с УНК или логином.У Банка Москвы такой лютой ереси нет, но не думаю, что их личный кабинет долго проживёт после слияния.
НЛО прилетело и опубликовало эту надпись здесь
Вам ещё повезло, что пароль был словарный. Если бы он был честным рандомом, никогда бы не смогли подобрать.
Я видел, как в течение недели с помощью двух 22-ядерных Xeon восстанавливают пароль к zip.а какой пароль там был? Сколько символов, были ли спец символы и т.п.? Мне кажется, что сложный 16+ символьный пароль будет очень сложно подобрать
Я ведь правильно понимаю, что всегда есть крошечный шанс, что запущенный на удачу брутфорс угадает пароль за очень короткий срок, просто потому, что повезло, хотя полный перебор занял бы столетия?
Тут всё зависит от того насколько продвинутый брутфорс. Есть брутфоресеры, позволяющие ломать в несколько потоков, где возможный диапазон значений пароля разбивается на несколько сегментов и перебираются они параллельно. В таком случае да — правильно понимаете.
Если же это совершенно тупой перебор «в лоб», с нуля, а пароль пусть и какое-нибудь простое, но относительно длинное слово (например «абракадабра» и цифра в конце), тогда шанс подобрать его за короткий срок нулевой. Разве что есть словарь.
Если же это совершенно тупой перебор «в лоб», с нуля, а пароль пусть и какое-нибудь простое, но относительно длинное слово (например «абракадабра» и цифра в конце), тогда шанс подобрать его за короткий срок нулевой. Разве что есть словарь.
То есть брутфорсер всегда начинает, условно, с пароля десять нулей, потом на один больше и так далее? Мне казалось точка старта должна быть более-менее случайной среди всех возможных вариантов.
Дак в этом и суть брутфорса — тупой перебор. Точка старта, во всех брутфорсерах, которые мне довелось видеть, либо вообще не задаётся (читай с нуля), либо может быть выбрана, например если ты знаешь что искомый пароль строго 6 символов.
Самые продвинутые могут делить область подбора на диапазоны и подбирать в параллель, особенно если брутится файл и есть возможность открыть копию.
Самые продвинутые могут делить область подбора на диапазоны и подбирать в параллель, особенно если брутится файл и есть возможность открыть копию.
Получается, что пароль с первым символом, условно, «a», более уязвим к перебору, чем пароль с первым символом «z»?
Условно да. Но длина и набор символов гораздо важнее. Да и на практике, нормальные люди для подбора словари используют.
По факту пароль aA011111aaaaa гораздо сильнее zzx99, по очевидным, вполне причинам. Или, к примеру, «a_^kf2» сильнее «122suwqwd9887qqq1» хоть последний и длиннее.
Там есть же формула — количество комбинаций в зависимости от набора символов и длины. Если ничё не путаю — например для латинского алфавита из 26-ти букв, при длине 6 знаков и без капса это всего 26^6, т.е. 308915776 комбинаций.
Могу конкретные цифры путать, но математика там в целом не сложная, суть очевидна.
По факту пароль aA011111aaaaa гораздо сильнее zzx99, по очевидным, вполне причинам. Или, к примеру, «a_^kf2» сильнее «122suwqwd9887qqq1» хоть последний и длиннее.
Там есть же формула — количество комбинаций в зависимости от набора символов и длины. Если ничё не путаю — например для латинского алфавита из 26-ти букв, при длине 6 знаков и без капса это всего 26^6, т.е. 308915776 комбинаций.
Могу конкретные цифры путать, но математика там в целом не сложная, суть очевидна.
Не, это я понимаю. Просто никогда не задумывался об алгоритмах, который используют брутфорсы, вот и стало интересно.
В вашем примере получается, что пароль zA011111aaaaa гораздо надежнее перед лицом брутфорса, чем пароль aA011111aaaaa.
В вашем примере получается, что пароль zA011111aaaaa гораздо надежнее перед лицом брутфорса, чем пароль aA011111aaaaa.
Коллеги, CAPS символы тоже считается — будет (26*2)^6
Предполагаю, что пароль в русской раскладке будет надежнее — как минимум не у каждого она есть )
Предполагаю, что пароль в русской раскладке будет надежнее — как минимум не у каждого она есть )
Интересно, а сколько реально будет угадываться Tr0ub4dor&3 для 7зипа, без шаблонов и словарей, перебором.
Эх… а я архивы закрываю 255 знаками чистого рандома.
Можно спать спокойно :)
Можно спать спокойно :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как восстановить утерянный пароль к архиву с помощью видеокарты