Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
06.01.2010, 05:28
|
|
Участник форума
Регистрация: 01.01.2009
Сообщений: 144
Провел на форуме:
89680
Репутация:
154
|
|
В настоящее время парольная защита является самым распространённым и, к сожалению, самым не надёжным методом защиты.
Не соглашусь. Среди методов однофакторной аутентификации парольная защита является лучшим методом при соблюдении определенных условий, таких как качество ключевого слова и способы его хранения.
Другой конкурирующий однофакторный способ – биометрический, нельзя отнести к методам строгой аутентификации по причинам вероятностных факторов и возможности частичного подделывания биометрической подписи (а также высокой вероятности ложного срабатывания оборудования).
Другое дело – использование многофакторной аутентификации, т.е. комбинации различных методов: биометрии, паролей, токенов и т.п.
|
|
|
06.01.2010, 06:42
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме:
4297091
Репутация:
2261
|
|
кроме радужных таблиц существуют еще:
1. атака с использованиием масок + видеокарты (он же прямой перебор с масками)
2. атака по словарям
3. гибридная атака по словарям (!!)
4. комбинированная атака по словарям
5. атака с попыткой подбора чередующихся клавиш на клавиатуре
6. атаки с ограниченными чарсетами (пример: может быть использован чарсет A1+ 5 самых распространенных спец-символов)
1. позволяет снимать буквенно-циферные пассы длиной до 11 символов включительно
2. слова до 14 символов, часто кажущиеся пользователю "уникальными". К примеру 100-милионный пасслист покрывает примерно 25% всех существующих паролей, многие из которых отдельные люди, прочтя такие как эта недостаточно объективные статьи могут ошибочно посчитать "хорошо защищенными"
3. пассы 12-13 символов. Часто довольно сложные.
4. пассы до 16-18 символов, как правило состоящие из двух слов + 1-2 цифр.
5. пассы до 25 символов и более. К примеру многие ошибочно думают, что 25 знаков вопроса (итд) - очень крутой небрутабельный пасс. На самом деле он (и ему подобные) примитивен и всегда снимается за 1 минуту.
6. возможно снять пассы до 10 символов, с использованием обоих регистров+цифр+спецсимволо в.
резюме:
статья ужасно неполная.
Всё, на что она способна - ввести в заблуждение пользователя.
мораль:
не знаешь темы - не пиши по ней статей.
Кидаю в автора оригинальной статьи стопицот помидоров.
ps
и да, по сабжу.
"Небрутабельный" пароль на сегодня:
а) 11 символов с использованием как минимум 2 букв верхнего регистра, 2 нижнего, 2 цифр и 2 спецсимволов.
б) 16 символов с использованием обоих регистров+цифр, при условии что последняя - не цифра.
в) осмысленная комбинация слов не короче 22 символа, в каком-либо из "мест" пасса желательно поставить цифру\загравную\спецсимвол
А то, что вы прочитали в этой статье - типо 9 и тем более 10 символов - меготру пасс - фуфел.
Пассы до 11 символов включительно - очень даже брутабельны. Длиннее - как повезет. Небрутабельны - пассы начиная с того, что я написал.
ps2. Чтобы не быть голословным:
Код:
6430a72acd881fa15f2ac268c96bc4a9:13denoviembre
03be9a6ead4bdcc7ee6db7f7df5168e0:slip09hudson
fcaeb64e9dd29ccd3ecc2f099f7d459a:1a.2b.3c.
d9ec673432de8ae96d320e163dea6558:Mt.St.Helens0
5868d71e463dc8efdb09d74551655312:shadowlily1
5fe699d3c461ab5a795505f59d5adf15:00000000000000000000000000000000000
fef143aad4baa7aea0acff763ffbe399:b.girl31
579695be8441e4de2939f06a458fc9c9:k.,k.vfvjxre
11a4aec7bfdfa7facc927d9072178430:appletruck676
3e89d34c93742d0a92d4dce69a857e2f:1111111111111111111111111111111111111
a06aef8f5491551544ddde3b28bd18e9:hppoa3anc
79ebedbbcdfdf2d0ea3a35f502081f46:qwertyuiop[]zxcvbnm,./
ddeff019463ddf0fdebcd38c09693b8b:11111111111111111111111111111111111111111
82c0382bfa3d67339f4561015c0fb720:zxc123mnb
c2055d0c1075a3fd22066397f05b69cb:qwerm,./
c5e0eb03cbb4bea95ce3f8f48fca77d5:000000000000000000000000000000000000
25741b17514173312e5dc6234a101fa0:alldayidreamaboutsex
eff429a42fde8b842e64b47736836b15:mom1948
af7407aa1aae3b93fca8f4a709f3b771:PiekielniK89
790e2c3946bde81e1b4ea4032bf1dfa9:jose22290465
dc9c99961cb44ef24591dbbfa0679791:maartenmes0
d94ee5fe7859a0bfca39c57f81afd0eb:Jf1998@7
61002fb6b6631ee9398a792e262de602:llllllllllllllllllllllllllllllllllllllll
e73d605dc76e2fdcdc676c9abb104531:skid66mark2
355c1410373ef02fff2b03844d72c7d4:0000000000000000000000000000000000000
2bd71e22bc7035a9617e34b4612b80d2:melvysayang
b1725d66b18d53937c71aacdbaf1c3a6:Amethyst010270
6dbe7af851d3a50aafcc3ed1b8f123bf:111111111111111111111111111111111111
c4fe0357f5b4c1b6051f4db76892f417:no1xptme
8e084f489f1bdf08c39f98ff6447ce6d:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
f70536652d880510c330319d688367f9:mababybu
fa99da6e54c9f93dcfed239d96426a43:gubster123
3adf0f24fd9650e8ae8a89da74052a11:0502607emp
22e7a1633dd836af70d176a032c40af6:968248quid
d207efecef1b6fd5b79c60ea2f203a32:filipundio
f7f2046672bcafebd57db1c32bd41a96:fk3lk3pk2
17b081fca2738dd4e238062db45715f2:loveyouallways
2191929b69ca3d0774dc0630336a02f0:s3u3e3q3
861461e4ba1b3771b1b0d80ec3a319e4:ivancelgroaznic
64c152f6b34fc6ab2963c40c6b83886b:!fUrl0F8d
d1fe689b2ccb9322a391d6464ea99aa3:3k0alt1oum3
2d045a8765306c77f5f0e4a138263335:111111111111111111111111111111111
ea976bb6df45484049da9f648004d62d:jikolino
2e7d81b2826843f7025e8935c79d9fcd:zimbokid05
8e810a12c5ae900f7fbab221f3d3d8e7:jh1234qaz
04eb86662c5632b1731a9de787363d3d:fp553acer
cefdcc9080290c33fee85a52220e423d:externocleidomastoideo
eead5bddf7f92c8cfa11536481f1fbe5:94liuv6a
19bdc56b72452e90ea66e0953f378e03:connor070505
02a1994bdf74fa393cf8a5b19c04a2fe:93gmcsierra
df5bae6fe3a9f3d01310d4a627e87095:miguel45272236
2c811a7e62437a92569fd97b7b76a80a:m66jdfdla
df1e8f87fec56027011fd5ef2d04f9a7:elskerdigskat
64fe3f2d8ff74078d00b8473af576a76:290488291287
9f21a14669a940723913e183aa479c16:oshja81402
497175690e8daec4e3bfbf0469f46c4b:meskalita
479ae1b968c2776369d6c441a2a6ebb7:255277bjkcrs.
417c6669fb9edcdb18b5cc9a613a0235:snowdude5k
e255dece7cd15bf495febfa15068f993:khairulazri
6fce2c28974bcd669cfe60e70e0b467a:gn001exia
f77c3417ad2981f3f3bc0b05e28d5dd2:onlyd3ofus
2cd111d613e71366cf06ae6005243366:amiromani5
прочтя статьи, подобные этой, люди 110% уверены, что перечисленные выше пароли - небрутабельны.
Однако - факт - такие пароли - не более, чем будни опытного хэшкрекера.
И все, перечисленное выше - реально снятые (всего лишь на днях) пассы.
А ты уверен, что твой мего-тру 9\10\11 -символьный пасс "круче" этих?
Уверен, что твоего пасса нет в другом таком же списке другого хэшкрекера?
Отсутствие информации - зло. Необъективная информация, вводящая в заблуждение - еще большее зло.
Последний раз редактировалось ErrorNeo; 06.01.2010 в 07:10..
|
|
|
|
06.01.2010, 09:38
|
|
Новичок
Регистрация: 04.09.2009
Сообщений: 26
Провел на форуме:
98650
Репутация:
107
|
|
Посмотри - я сейчас генерирую LastPass'ом и KeePass'ом по 3 пароля, а ты говоришь, насколько они брутабельны.
LastPass:
F^b5#jg577sq
sa6&s&KeYEA#
a&#c6fP64H6T
KeePass:
ZqlL0^5$f"ac
i@7SqLzLJ^a,
(74vas-v{_i*
|
|
|
|
06.01.2010, 10:36
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
Провел на форуме:
1585404
Репутация:
564
|
|
2Grawl ты бы md5 хеши этих 12 значных паролей скинул бы )
посмотрели бы реальные резальты распределенного брута, помоему такие комбинации не реально сбрутит за короткое время, например пароли типо password123456789!@#$ по маске сбрутились бы ....мое imho
|
|
|
|
06.01.2010, 10:40
|
|
Новичок
Регистрация: 04.09.2009
Сообщений: 26
Провел на форуме:
98650
Репутация:
107
|
|
Сообщение от shell_c0de
2Grawl ты бы md5 хеши этих 12 значных паролей скинул бы )
не имею представления, как это сделать.
|
|
|
|
06.01.2010, 10:51
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
Провел на форуме:
2764047
Репутация:
759
|
|
ErrorNeo,
собственно, почему вы переходите на личности и в порыве фанатизма,
ваша религия позволяет вам даже кидатся помидорками?
технически, статья написана верно,
и верность идей, злаоженные в её основу - подтверждает время.
независимо от root_sashok,
были выставлены пассы на сотнях уинов по маске - верхний/нижний регистр/цифры. KeePass.
и не один из них - не смогли взять брутом.
хотя и брутят их денно и нощно, с дедикейтед серверов,
и даже в момент написания сего поста)
|
|
|
|
06.01.2010, 11:57
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме:
4297091
Репутация:
2261
|
|
статья из за ужосной однобокости вводит в заблуждение, и наносит вреда дезинформацией - ничуть не меньше, чем "пользы".
"Технически" статья называется Оптимальная длина и состав пароля
и фактически она доносит до пользователя, что md5 пароли длинны 8+ символов- безопасны, а это неверно.
Около 40% всех снимаемых md5 пассов имеют длинну 9+, а многие пассы (~15%), как описано выше, имеют и длинну 10+. Где тут указано, что с виду "сложный" 10 символьный пасс типа Alexander9 (оба регистра + цифры!! Оо. Да хоть даже и Alexander88 - аж 11 символов!! - гг) ( ред. да пусть хоть Alexander1988 - аж 13 "символов"!) является не просто "простым", но сверхпростым, и будет снят не дольше, чем за полчаса (и это в худшем случае - для средне-пряморукого брутера) брута (в "лучшем" случае это займет х_сек-1-2 минуты по "предварительной атаке").
а ?
Grawl - твои пароли полностью соответствуют пункту а) "небрутабельности", который я описал. Если быть точным - пароль такой сложности (100% бред с использованием всего что есть) может быть сбручен
100%, если он состоит из 6 символов,
15% если он состоит из 7 символов, (требует много времени, но по силам даже брутеру одиночке, если сильно захочет, с вероятностью снятия 100%)
~ на удачу, если из 8 (пройти весь диапазон одиночке не по силам, или же займет более года. Но все же случайно сбручен быть может.)
~ на пределе вероятности, если из 9
~ теоретически возможно, если 10 или крайне маловероятно, если брутит Ботнет\Спецслужбы
~ 11 теоретически возможно Ботнетом\Спецслужбами, хотя вероятность бред. Можно назвать 100% небрутабельным.
12 - на такой "сложности" - принципиально невозможно сбрутить никакими существующими мощностиям, и, я думаю, будет оставаться таким же принципиально невозможным еще по крайней мере лет 10.
заметьте(!) - я говорю конкретно об алгоритме md5, а не о "бруте уинов" и прочем.
У всего скорость перебора разная, и соответственно отличается и необходимый порядок сложности.
К root_sashok претензий никаких, я всего лишь явно дал понять, что описав 1\8 "темы" автор не имеет морального права в названии указывать, что он освещает её всю, и позволять читателю на основании этой 1\8 делать ошибочные выводы.
О существовании же оставшихся 7\8 в статье даже не намекается.
Я понимаю, что автор <> хэшкрекер, но если это не так- то и нечего писать статей, наверное.
Ну та ладна 
Последний раз редактировалось ErrorNeo; 06.01.2010 в 12:40..
|
|
|
|
06.01.2010, 12:39
|
|
Новичок
Регистрация: 04.09.2009
Сообщений: 26
Провел на форуме:
98650
Репутация:
107
|
|
ErrorNeo, ты крутой.
Но..
Сообщение от ErrorNeo
Где тут указано, что с виду "сложный" 10 символьный пасс типа Alexander9 (оба регистра + цифры!! Оо. Да хоть даже и Alexander88 - аж 11 символов!! - гг) (ред. да пусть хоть Alexander1988 - аж 13 "символов"!) является не просто "простым", но сверхпростым, и будет снят не дольше, чем за полчаса (и это в хужшем случае - для средне-пряморукого брутера) брута. а?
Мне кажется, что на фоне паролей, приведённых в статье, "Alexander1988" выглядит просто смешным и даже говорить об этом не имеет смысла - ведь речь идёт о сложных и генерированных паролях.
Кстати, я раньше использовал 22 символа, до тех пор, когда начал натыкаться на постоянные ограничения до 12-ти. В своё время взбесило ограничение до ВОСЬМИ (!!!) символов на ICQ. Это была потеря потерь >.<
|
|
|
|
06.01.2010, 12:45
|
|
Moderator - Level 7
Регистрация: 02.05.2009
Сообщений: 894
Провел на форуме:
4297091
Репутация:
2261
|
|
Выводы.
Длину и состав паролей каждый должен выбрать для себе сам, от себя могу лишь сказать, лучше выбрать пароль до 12 символов и периодически его менять, нежели взять пароль 20 символов и чувствовать себя в полной безопасности.
В исходной статье не приведено ни одного образца паролей.
Что мешает поьзователю подумать, что статья распространяется так же и на пароли типа того, что я привел?
Или же одного из таких -
Код:
6430a72acd881fa15f2ac268c96bc4a9:13denoviembre
03be9a6ead4bdcc7ee6db7f7df5168e0:slip09hudson
fcaeb64e9dd29ccd3ecc2f099f7d459a:1a.2b.3c.
d9ec673432de8ae96d320e163dea6558:Mt.St.Helens0
5868d71e463dc8efdb09d74551655312:shadowlily1
5fe699d3c461ab5a795505f59d5adf15:00000000000000000000000000000000000
fef143aad4baa7aea0acff763ffbe399:b.girl31
579695be8441e4de2939f06a458fc9c9:k.,k.vfvjxre
11a4aec7bfdfa7facc927d9072178430:appletruck676
3e89d34c93742d0a92d4dce69a857e2f:1111111111111111111111111111111111111
a06aef8f5491551544ddde3b28bd18e9:hppoa3anc
79ebedbbcdfdf2d0ea3a35f502081f46:qwertyuiop[]zxcvbnm,./
ddeff019463ddf0fdebcd38c09693b8b:11111111111111111111111111111111111111111
82c0382bfa3d67339f4561015c0fb720:zxc123mnb
c2055d0c1075a3fd22066397f05b69cb:qwerm,./
c5e0eb03cbb4bea95ce3f8f48fca77d5:000000000000000000000000000000000000
25741b17514173312e5dc6234a101fa0:alldayidreamaboutsex
eff429a42fde8b842e64b47736836b15:mom1948
af7407aa1aae3b93fca8f4a709f3b771:PiekielniK89
790e2c3946bde81e1b4ea4032bf1dfa9:jose22290465
dc9c99961cb44ef24591dbbfa0679791:maartenmes0
d94ee5fe7859a0bfca39c57f81afd0eb:Jf1998@7
61002fb6b6631ee9398a792e262de602:lllllllllllllllll lllllllllllllllllllllll
e73d605dc76e2fdcdc676c9abb104531:skid66mark2
355c1410373ef02fff2b03844d72c7d4:0000000000000000000000000000000000000
2bd71e22bc7035a9617e34b4612b80d2:melvysayang
b1725d66b18d53937c71aacdbaf1c3a6:Amethyst010270
6dbe7af851d3a50aafcc3ed1b8f123bf:111111111111111111111111111111111111
c4fe0357f5b4c1b6051f4db76892f417:no1xptme
8e084f489f1bdf08c39f98ff6447ce6d:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
так же пользователь может посчитать и пасс
fPTyEbAS6UFcM:[tqltkm,thu (это дес, он даже медленнее, чем md5) - мегоприптостойким.
Мною же этот пасс был снят всего за 15 минут перебора по словарю.
И да, это всего лишь очередной реальный пример.
Программу же Каин&Абель ни 1 из 100 среднестат.пользователей даже в глаза не видел.
И упоминание о том, что пассы для тестирования создавались ей - для чуть менее, чем всех пользователей компьютерных интернетов (и даже для их более продвинутых товарищей) - не значит чуть меньше, чем совершенно ничего.
Последний раз редактировалось ErrorNeo; 06.01.2010 в 13:00..
|
|
|
|
06.01.2010, 13:00
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
Провел на форуме:
2764047
Репутация:
759
|
|
root_sashok, ErrorNeo, Grawl!
не кажется ли вам,
что мы тщетно созидаем здание "Вавилонская Башня"?
root_sashok ясно довёл идею, как нужно выбирать пассворды.
ErrorNeo продемонстрировал, как их нельзя выбирать.
и да, роли то не имеет, и с форумов линуксоидов XSS-ятся хэши))
участники Ачата прочитают, и сделают нужные выводы. надеется.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
