А ты к чему подключаешься? Ключи настроить легко не только для каких то сервисов но и тупо для связи между двумя локальными компами, если уж даже я легко нашел как делать
Важно знать к чему подключаешься, возможно тебе рецепт с ключами не подойдет
Garon, посмотри сколько пользователей подписано (число под не зачёркнутым глазом справва вверху страницы) на тег [ubuntu 22.04](/tag/ubuntu 22.04) и сколько подписано на тег ubuntu, и сравни свои текущие шансы на помощь, и потенциальные при использовании правильного тега.
По сабжу:
Мало того что само по себе использование пароля небезопасно, так ещё и echoing позволяет узнать его длину (что значительно упрощает его подбор).
Ну и само собой поддержу LINUX-ORG-RU по поводу использования ключей.
Знание длины пароля практически не упрощает перебор. Если у тебя длина пароля двенадцать символов, перебрать все пароли длиной одиннадцать символов на один-полтора порядка проще. То бишь если ты готов перебрать двенадцать символов, то перед этим перебрать все до одиннадцати — плёвое дело.
То бишь если ты готов перебрать двенадцать символов, то перед этим перебрать все до одиннадцати — плёвое дело.
Вы в порядках подчета ошиблись. Одно дело знать, что надо перебирать 12 символов, другое дело вначале перебрать 11, понять, что всё зря и начать с двенадцатого.
Знание длины пароля практически не упрощает перебор.
ХА-ХА-ХА!
Допустим, длина пароля двенадцать символов.
Зная длину, нужно перебрать только 6,831,675,453,247,426,400,256 вариантов.
Не зная длину, вариантов становится 127,316,015,002,712,725,024,996,823,827,450,919,411,351,129,158,643,807,873,318,778,077,633,686,286,816,610,254,398,613,549,028,148,573,790,434,899,358,326,117,107,662,397,756,833,529,856.
Ну предыдущая задача то на самом деле звучит так: хочу, чтобы в консоли пароль вводился так же красиво как в GUI со звездочками, иначе юзеры пугаются отсуствия реакции. :)
Предположим, что пароль из цифр, для простоты. И предположим, что пароль из 6 цифр.
Пароли от 0 до 5 цифр соответствуют числам от 0 до 99_999. Т.е. их ровно сто тысяч.
Пароли длиной ровно в 6 цифр соответствуют числам от 100_000 до 999_999. Их, как несложно подсчитать, ровно 900_000.
Иными словами паролей длиной 6 цифр в 9 раз больше, чем паролей длиной до 5 цифр включительно. И если ты перебираешь пароли длиной 6 цифр, то перебрать ещё и пароли длиной 5 цифр займёт примерно на 11% дольше времени.
Ровно те же рассуждения применимы и к любому другому алфавиту и длине и выводы получатся те же.
В латинице 26 букв, плюс столько же заглавных, плюс 10 цифр, плюс 30 символов, имеем набор в 92 возможных значений. Идём от минимальной длины пароля в два символа (но обычно ограничения на минимальную длину не позволяют устанавливать настолько короткие пароли). Один символ — 92 варианта, два символа — 92^2 (потому что на каждый символ во втором поле нужно перебрать все в первом), двенадцать символов — 92^12. Если не знать длины, придётся перебрать 92^(2+3+4+5+6+7+8+9+10+11+12) вариантов.
чтобы первый же троян разошёлся по всем известным хостам вообще без усилий?
Ключ для ssh предотвращает взлом хоста путём подбора пароля.
Защита ключа от утечки, это уже отдельная задача, вполне решаемая установкой пароля на приватный ключ.
Важно понимать, что взлом хоста через ssh, и взлом машины на которой лежит ключ для ssh - это разные задачи. Проще говоря, если для защиты ssh используется пароль а не ключ, то поверхность атаки возрастает. Для успешной атаки на соединение защищённое паролем, можно использовать как утечку пароля, так и успешную попытку подбора. Если соединение защищено ключом, то необходима утечка ключа, так как подбор исключён. Если, при этом, ключ запаролен, то возникает необходимость не только в утечке ключа, но и в поиске пароля к этому ключу. Именно поэтому, использование ключа считается более безопасным, чем защита ssh с помощью пароля.
Подписываются на теги чтобы не мониторить трекер. Я, например, в трекер хожу только когда мне скучно и нечем заняться. Но если у тебя куча свободного времени…
А это разумное замечание, ноль надо было учитывать, и можно считать более аккуратно: из 6 цифр паролей: 10^6 = 1000000 из не более 6 цифр: 10^6+10^5+10^4+10^3+10^2+10^1 = 1111110
Впрочем, результат отличается не сильно: 111110/1000000 примерно та же одна девятая, даже чуть меньше. Короче, те же 11%
Да боже мой. Неужели непонятно, что трудоёмкость увеличивается в 10 раз, а 11% это от конечной трудоёмкости, то есть если 12 символов подобрать легко, то 11 тем более - всего 11% от 12. Но не наоборот! Никак на 11% больше, как тут городят.
если 12 символов подобрать легко, то 11 тем более - всего 11% от 12
Так про это и речь. Перебирать пароли длиной строго n не сильно проще, чем перебирать все пароли длиной от 1 до n (с десятичными цифрами разница те самые 11%).
Да весь сыр-бор пошёл от дурацких оценок, хотя формула то простая. Но если вам перебирать год, то ещё один символ из 95 - значить 93 года. Как оно - «не сильно»?
Ну да, этот год по сравнению с 93 годами - не сильно. Изначальное утверждение, откуда «сыр-бор»
Знание длины пароля практически не упрощает перебор
Не понимаю, что тут можно опровергать.
Ну разве что противник по длине может прикинуть, что перебор займёт больше 100 лет и не станет начинать пытаться, а без знания длины - начнёт пробовать и зря потратит ресурсы. Но к подбору пароля в итоге это отношения не имеет
Изначальное утверждение, откуда «сыр-бор» Ну разве что противник по длине может прикинуть, что перебор займёт больше 100 лет и не станет начинать пытаться, а без знания длины - начнёт пробовать и зря потратит ресурсы.
Одно дело знать, что надо перебирать 12 символов, другое дело вначале перебрать 11, понять, что всё зря и начать с двенадцатого
«вначале перебрать 11» по трудоёмкости намного проще, чем перебирать все пароли из строго 12 символов. Т.е. если у тебя есть мощности перебрать 12-символьные пароли, то вначале перебрать 11 - сущая фигня.
Или претензия там к слову «порядок»? Ну так порядок не только десятичный бывает) Здесь основанием системы счисления очевидно следует считать мощность алфавита
Вы утомляете. Сказано конкретно, что притензии к «намного проще» «сущая фигня» «на порядок, полтора» и так далее. Не проще, а точно можно сказать сколько вероятность. Ведь ситуации бывают сильно разные, скажем у вас есть список хэшей, и есть большая разница, когда там точно есть один из паролей с 11 символами, но какой - не знаете или нет ни одного.
В латинице 26 букв, плюс столько же заглавных, плюс 10 цифр, плюс 30 символов, имеем набор в 92 возможных значений.
Удивительно, как в 2022 году всё ещё ведутся на АНБшные рекомендации придумывать пароль только из латиницы. Я вот немного выучил китайский и использую как китайские, так и кирриллические алфавиты в пароле вперемешку с латиницей, так что мой пароль вы своими латинскими брутфорсами не взломаете никогда, даже если он будет состоять из 6 символов, потому что эти символы не будут латинскими, МУА-ХА-ХА!
Вроде бы alpine (консольный почтовый клиент) отображал звёздочками. Но я давно его не видел, может и ошибаюсь. Ещё в mc пароль от ftp отображался звёздочками. Больше не знаю.