Криптостойкость пароля

Криптостойкость измеряется в миллиметрах. Определяется методом погружения паяльника в основание твоего ника.
Оба пароля на пару миллиметров максимум.

Минт, такой минт Ты этим смотрел? =>

https://howsecureismypassword.net

12345#!G - 3 hours
microsoftisthebestcompanyintheworld - 264 nonillion years
опять же это просто перебор, с интеллектуальным анализом по первым слогам угадывается сразу слово, и на порядок итераций станет меньше

интеллектуальным анализом по первым слогам

Как это ты себе представляешь?

t

Узнать реальную криптостойкость может только 1 метод — реальный взлом, но на это мало кто пойдёт хотя бы из временных соображений.

с интеллектуальным анализом по первым слогам угадывается сразу слово,

Вот до чего доводят фильмы про хакеров в которых пароль подбирают по одной букве.

Уже много раз говорили, что использовать даже длинные предложения, а тем более логически верные словосочетания небезопасно. Пароль не может состоять только из букв, добавив всего-лише пару чисел и несколько спецсимволов, сложность возрастает в разы.
И с этой точки зрения валидатор, конечно прав. Потому-что второе точно небезопасно.

Пароль не может состоять только из букв

А если это рандомная последовательность букв?

добавив всего-лише пару чисел и несколько спецсимволов, сложность возрастает в разы.

Так же как и если увеличить длину пароля.

что тут представлять. Вряд ли пользователь будет писать пароль типа «ватплмовталпт», он будет составлен из осмысленных слов и чисел. База слов и чисел описывающих года, месяцы например. И комбинировать не по символьно, а беря сразу блоки, где блок это слово или число.

Deathstalker, не говорю про прям стопроцентно реальную криптостойкость, но есть же методы оценки пароля, не только перебором?

anonymous_sama, почему возрастёт? Перебор по любому будет проводиться по всему спектру символов, ведь заведомо взломщик не вкурсе какие именно символы применялись.

на хабре недавно статья была
там еще комикс из xkcd фигурировал

Мимолётное напоминание: http://xkcd.ru/936/

Так же как и если увеличить длину пароля.

Нет если добавить к примеру пару слов из словаря в конец, то только пузомерка возрастет

А если это рандомная последовательность букв?

В нем не так много букв, если знать что будут только буквы, это конечно очень упростит.

ну вот суть что я имел ввиду в одной картинке
но верно ли это? если я вначале буду брутфорсить перебирая английские слова, но взломаю приведённый в комиксе пример за пару минут

Нет обычно идет брут вначале по популярным паролям и словарю, а дальше уже зависит от возможностей и хитрости атакующего.

Уж почитай про хеш функции.

Если пароль похож на то, что даёт команда

$ apg -m 41
jolWiWuCoryonsAudbobVahoonNavmoiltUkFafya
BunneywiujkatwirrIsafhyftyaHioxobricEgFom
CycsOadCybGiMuasagsyegaicemObHiVegDeyspAv
fahahyevkeuHotvusat'owAxmofupOgusGuthunbo
nusoarAkhekaykVerWuecCiciachDyk9Wrygwout:
scanyadyesotOsayncephGuftUljogshidanUmEn/

обычно? есть какие то основы или кодекс хорошего тона для брутфорса?) Это не сарказм, я серьёзно.
greenman, причём тут они? Infra_HDC, имел ввиду именно пароли. То есть применимость к людям обязательно, к простым людям. не работающим в разведке.

причём тут они?

При чём здесь хеш функции? А как проверяется, правильный или нет введён пароль, как ты думаешь?

Почитай вот это Выявлена возможная утечка хэшей паролей разработчиков Mozilla попытайся понять.

Для этого словари есть, слог==начало слова перебор слов на этот слог и так далее до победного.

Простая логика. Зачем тратить деньги на работу фермы. Если у тебя пароль и так в списке самых популярных. Поэтому идут от простого к сложному. Тем более перебор по заготовленному листу/массиву доступен каждому. Это не ферму собрать или взять в аренду у какой-то непонятной личности.

Вспомни строчку из стишка или цитату на русском и вбей её с другой раскладкой. Вот тебе и пароль хороший.

Вот тебе мд5 92f413f3974bdf3799bb6fecb5f9f2c6 11 символов, только буквы, подбирай.

Это тебе не на лор.

Придумай какую-нибудь фразу и посчитай от неё хэш. Возьми первые N символов и используй.

Мимолётное напоминание: http://xkcd.ru/936/

Плохой способ.
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Даже если взломщик знает трюк, всё равно перебор при достаточной длине пароля будет долог, если слова выбраны совершенно случайно.

всё равно не понимаю. Пароль шифруется и сравнивается его хеш. И? Что даст тебе скажем хеш пароля от моего акка тут?

anonymous_sam, ну перед брутом ведётся какой никакой анализ, что собираются брутить. Если что то важно, вряд ли пароль будет в топе популярности. Но идею я понял, да.

TDrive, ешь свой торт, читай джамп и ни кидай тут левые хеши.

эм, сорри с тегами накладка anonymous_sama

т.е. второй пароль взломать легче чем первый?

Теперь они оба одинаковой криптостойкости.

Это что выдает такой результат? 10^15 вариантов против 10^50. Зависимость от времени непрямая что-ли?

не страшно, все имена изменены, любые совпадения случайны.

Зависимость от времени непрямая что-ли?

Видимо, считается, что вычислительные мощности с годами растут.

Это тебе не на лор.

А куда? Ты сказал что пароли из букв не надежны, я предлагаю тебе подтвердить свою правоту подобрав мой пароль из 11 символов, 11 символов это же совсем не много.

TDrive, ешь свой торт, читай джамп и ни кидай тут левые хеши.

Что в нем левого?

отличный сервис по превращению криптостойких паролей в некриптостойкие

ну перед брутом ведётся какой никакой анализ, что собираются брутить.

Это только в фильмах делают всякие анализы, собирают информацию, используют брут с искусственным интелектом...

А на практике тырят базу данных с тысячами логин-хешей и тупо брутят сразу всю базу по словарям и перебором, за несколько часов набручивают с этой быза пару процентов паролей, там где пароли самые простые и збс.

man энтропия

https://www.microsoft.com/ru-ru/security/pc-security/password-checker.aspx

Чем больше твой пароль содержит информации, тем теоретически труднее его взломать, т.е. тем он более криптостойкий. Например, в слове 'microsof?' последний символ угадать легче, чем в случайной последовательности '33f6A7Ua?'. Это значит, что от добавления одной буквы количество информации в первом случае увеличится меньше, чем во втором случае. Есть специальное слово - энтропия, суть количество информации на символ.

Словарные пароли плохи тем, что состоят из слов, подчиняющихся определенным правилам языка. Например, в словах ты не встретишь больше четырех согласных букв подряд, не встретишь следующий за гласной Ъ или Ь. Некоторые буквы встречаются чаще, некоторые реже. Некоторые последовательности из букв встречаются чаще, чем остальные. Все это умешьшает энтропию, а следовательно, и криптостойкость твоего пароля.

Различные же библиотеки проверки на криптостойкость, в силу невозможности тупой машины что-нибудь сделать без четкого алгоритма, не являются последней инстанцией (хотя, тем не менее, могут давать хорошие результаты). Доверяй свое голове больше.

// Пересказал своими словами прочитанное то ли в Криптономиконе, то ли еще где-то.

В словарных паролях никому не приходит в голову считать информацию на символ. Энтропия к символам не привязана.

Плохой способ.
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Этот человек пишет про брутфорс осмысленных предложений и сразу после этого «Поэтому метод xkcd [случайные 4 слова] — говно». Логика отсутствует. Ему же в комментариях об этом напоминают.

да ты прям эксперт, где то читал обратное, что люди подбирают пароли без всяких брутфорсов, читая страничку жертвы в соц сети

Deathstalker, в микрософте фигни не посоветуют

x3al, теперь и я знаю что такое xkcd. день прошёл не зря

В словарных паролях никому не приходит в голову считать информацию на символ.

А считать и не надо. Энтропия не изменится от того, посчитаешь ты ее или нет.

Собственно, речь шла о том, насколько теоретически такой пароль будет криптостойким, а не насколько трудно практически его можно будет подобрать с учетом всех нюансов. Практика со временем поменяется, теория же - нет.

http://en.wikipedia.org/wiki/Password_strength

Почему этого не забанили до сих пор? Он же гуглит ответы. В смысле, не гуглит ответы, а гуглит ДОСЛОВНО ответы.

linux mint при установке оповестил,
что пароль 12345#!G - хороший пароль
а microsoftisthebestcompanyintheworld - слабый пароль

Это показывает только метод определения стойкости пароля linux mint

Добрый вечер, cdshines! Ты вспомнил пароль? Тут тебе ничем не помогут, напиши на sportloto@linux.org.ru, там тебе ответят.

не встретишь больше четырех согласных букв подряд

«бодрствовать»

не встретишь следующий за гласной Ъ или Ь

man чеченский.

Твой акк никому не нужен. А хеш даст то, что из 10^20 степени паролей для брутфорса, операция которого выполняется долго (расшифровка дело не быстрое) выберется скажем 10^5 паролей (на взятие хешей от них уйдёт время, но не так много, как если бы выполняли расшифровку каждый раз), а учитывая, что многие таблицы с хешами паролей уже давно посчитаны, то и брутфорсить придется мало паролей. Потому, если хеш пароля утёк, то можно очень сильно поплатиться за это.