Оптимальная длина и состав пароля
 

Введение.

На фоне многочисленных постов о паролях решил провести небольшое исследование.

В настоящее время парольная защита является самым распространённым и, к сожалению, самым не надёжным методом защиты. Существует много статей на тему «Как составить стойкий пароль», но мне не встречались статьи, где приводятся реальные данные о надёжности паролей.

В исследовании проводится оценка надёжности паролей противостоять атакам грубой силы. Наиболее эффективный метод грубой силы при переборе паролей для хеш-функций является составление радужных таблиц.

Расчёты проводятся для трёх хеш-функций md5, sha1 и sha2 (модификация sha512). В расчёт не берутся данные о коллизиях в данных хеш-функциях, так как с практической точки зрения в реальном подборе пароля они не помогут, да и достойных реализаций в ПО на настоящий время в открытом доступе нет. В исследовании принимают участия пароли длиной 7, 8, 10 и 12 символов трёх различных алфавитов.

Для наглядности результатов приводятся данные о количестве паролей, объёме дискового пространства для хранения радужных таблиц и ориентировочном времени построения радужных таблиц.

Инструментарий.

- Компьютер с процессором Pentium 4 2.6 GHz и оперативной памятью 512 МБ;

- Утилита winrtgen, входящая в состав Cain&Abel;

Промежуточные расчёты.

Количество комбинаций паролей равно (количество символов в алфавите)^(количество символов в пароле)

В исследовании принимают участие 3 алфавита:

А1={abcdefghijklmnopqrstuvwxyz0123456789} 36 символов
А2={abcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_+="} 51 символ
А3={abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUV WXYZ0123456789!@#$%^&*()-_+=} 77 символов

Результаты.

http://i037.radikal.ru/1001/cd/7bdbaf398e4b.png

http://s44.radikal.ru/i106/1001/77/8ddfe1810368.png

http://s43.radikal.ru/i099/1001/77/33d605961ab9.png

Прочерк там, где программа решила, что с неё хватит подсчётов.

Выводы.

Длину и состав паролей каждый должен выбрать для себе сам, от себя могу лишь сказать, лучше выбрать пароль до 12 символов и периодически его менять, нежели взять пароль 20 символов и чувствовать себя в полной безопасности.

Copyright © 2010.

root_sashok Статейка класс ! +

приму к сведению спс.

Не забывайте, что статейка не моя, а товарища ttf, сюда запостил ради интереса :)

Задумайтесь о стойкости своих паролей!

P.S.: Нашел неплохой ресурс для генерации пароля нужной длины, состоящего из заданных символов.

А я использую KeePass и LastPass, почти всегда генерирую пароли (за исключением тех случаев, когда аккаунт никому нафиг не нужен, кроме меня).
KeePass использует английский алфавит, цифры и простые символы (которые можно набрать клавиатурой), число символов стараюсь использовать 10-14.
LastPass использует те же знаки, что и KeePass, и настроен на 12 символов.
Разве что не меняю пароли. Но непонятно: зачем периодически их менять, если везде, где нужна защита, 10-14 очень разных символов, а?

Вообщем, при грамотной периодичности смены пароля и соответствию длительности перебора можно вполне защититься, исключая, конечно, трояны, и прочие способы получения пароля кроме перебора.

На Mac OS X использую 1Password - очень удобная утилита, синхронизирующаяся с iPhone (1Password Touch). Генерация паролей, хранение заметок, данных, логинов, прочего.

Учитывая, что подбор брутфорсом 12-значного пароля с третьим алфавитом (Aa-Zz, 1-9, !"№;...) займёт несколько лет, можно и не менять.
Защищаюсь DrWeb'ом, и папка ещё в своём Gentoo (как говорит) поставил крутой фаервол (с) 8-)
1Pass, конечно, красивый, но не мультиплатформенный. А мне нужна мультиплатформенность - я то там, то здесь - короче, не привязан к ОС.

Лучшая кросплатформенная утилита, по моему мнению - KeePass.

Улыбнуло :) Спасибо хорошая статейка, часто бывает просто лень сменить пароль, за что в дальнейшем и жалееш...
P.s. с наступающим Рождеством ;)

indeed.
работает без малейшего упрёка.

Master Password - стоит глянуть world.std.com/~reinhold/diceware.html