LINUX.ORG.RU
ФорумTalks

А вы знаете, что компания SplashData в исследовательских целях брутфорсит ваши пароли?

 ,


0

1

Названы худшие пароли 2018 года

Уходящий год показал, насколько важна интернет-безопасность. Несмотря на это, миллионы пользователи игнорируют эту тему и продолжают пользоваться простыми комбинациями цифр или букв.

Каждый год компания SplashData их изучает и публикует список самых худших и небезопасных паролей. В этом году ей удалось собрать список целых 100. Среди них есть как старые и узнаваемые 11111, qwerty и password, так и новые, например, неожиданно в списке появилось имя президента США donald.

Приводим 25 самых популярных (новые комбинации выделены жирным):

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

Источник https://news.mail.ru/society/35708444/?frommail=1.

И под новостью камент:

антон аркатов 10 часов назад

!@#$%^&* - фига простой и запоминающийся,поставлю пароль на вайфай

Человек хочет, чтоб и его сломали.

Ответ на: комментарий от KRoN73

Человек хочет, чтоб и его сломали

Леонард-Хофстедтер.jpg

А почему он? Я посмотрел, кто это такой, но сериала не смотрел.

aureliano15 ★★ ()
Ответ на: комментарий от t184256

Где-то еще разрешены пароли в 6 символов?

Ну вот сейчас посмотрел на сервисе mail.ru, там пишут, что пароль должен быть не менее 6 символов и содержать цифры и буквы. А на gmail.com уже не менее 8 символов и содержать цифры, буквы и спец. символы. Впрочем, т. к. 8-символьные тоже легко брутфорсятся, разница невелика.

UPD: Там и пятисимвольные есть. :-)

aureliano15 ★★ ()
Последнее исправление: aureliano15 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Это очень плохая идея иметь словарный пароль. Потому что его стойкость равна по порядку величины количеству слов в словаре, содержащем такой пароль.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

Согласен, если использовать предложение из книги,без дополнительных телодвижений, то идея плохая. Но не все так просто)

Deleted ()
Ответ на: комментарий от Deleted

Есть еще алгоритмы мутаций, применяемые к словам. Увеличивает стойкость, но всего раз в 10, ну в 100. Этого тоже может оказаться мало. Понимаешь штука какая, та хитрость, что ты придумал, может оказаться, что о ней давно знают и учитывают.

praseodim ★★★★★ ()
Ответ на: комментарий от t184256

Возможно, потому что это наиболее популярные из тех, что им удалось подобрать.

xdimquax ★★★★ ()
Последнее исправление: xdimquax (всего исправлений: 1)
Ответ на: комментарий от t184256

А почему за пользователя решают какой длины у него должен быть пароль? Ставя короткий пароль, только пользователь принимает на себя ответственность за надёжность такого пароля. Тчк.

deep-purple ★★★★★ ()
Ответ на: комментарий от deep-purple

Что, как ни странно, не мешает ему не только этого не осознавать, но и вообще мозгов не включать.

t184256 ★★★★★ ()
Ответ на: комментарий от praseodim

Это очень плохая идея иметь словарный пароль. Потому что его стойкость равна по порядку величины количеству слов в словаре, содержащем такой пароль.

Это лучше, чем 8-10 символьный произвольный набор цифробукв.

kirk_johnson ★☆ ()
Ответ на: комментарий от praseodim

Если у него там суммарно получается 32 символа, например, с мешаниной цифр и спецсимволов - такой пароль можно брутить только зная схему его составления.

Ну например - safari генерирует мне пароли - каждые 3-5 символов стоит -. Но при брутфорсе тебе это ровным счётом ничего не даёт - тебе надо вскрыть пароль в 20 символов длиной, и ты даже не знаешь его шаблон.

ekzotech ★★★★ ()
Ответ на: комментарий от praseodim

Если только с точки зрения, чтобы самому не забыть.

Ещё с той точки зрения, что пароль из книжки - 16-30 символов, и рассчитанных хешей для него ещё нет :)

kirk_johnson ★☆ ()
Ответ на: комментарий от praseodim

Дак пусть учитывают, главное что такой пароль много затратнее сломать чем 10-16 значный набор из букв и цифр.

Deleted ()
Ответ на: комментарий от praseodim

Если только с точки зрения, чтобы самому не забыть.

Какой размер словарей? Около 80 символов для случайного пароля? Словарь среднего англоязычного автора порядка 10-25 тысяч слов, хорошего — 30к и больше. В русском языке примерно 30к наиболее употребимых словоформ, а общий словарный запас к окончанию школы превышает 50к, к сорока годам — 70-90к в зависимости от образования.

Случайный пароль длиной 10 символов — это около 80^10 ≈ 10^19 комбинаций, «словарный» пароль в восемь случайных слов из бульварной книжки (10к слов) — 10000^8 = 10^32 комбинаций. Добавь хотя бы просто регистр букв, и 10^40 не предел. Это ещё не учитывая варианты паролей, в которых глокая куздра штеко будланула бокра и курдячит бокрёнка.

Так что «восемь случайных слов из книжки» сильнее полностью случайного пароля длиной 17-20 символов.

baka-kun ★★★★★ ()

имя президента США donald

А может это фанаты "Утиных историй" или TeX, зачем тут политическая окраска?!

micronekodesu ★★★ ()
Ответ на: комментарий от kirk_johnson

Ещё с той точки зрения, что пароль из книжки - 16-30 символов, и рассчитанных хешей для него ещё нет :)

Ни в коем случае не оспаривая утверждения, что пароль из 8 слов сильнее пароля из 8 случайных символов, всё-таки скажу, что хэши не актуальны, когда есть соль. А соль есть везде. А если её нет, то там и пароли могут лежать открытым текстом, и уже ничего не спасёт.

aureliano15 ★★ ()

На самом деле это всё фигна. Просто не надо давать доступ к хешам паролей, как в первых UNIX, и даже такие пароли будут вполне себе безопасны. От требований придумывать длинные пароли с обязательным содержанием специальных символов только хуже. Люди не запоминают пароли или используют одни и теже почти везде. А вот это уже действительно опасно.

bbk123 ★★★★★ ()

ХЗ. Всегда везде юзаю пароли вида:

GHs39&2%lkJd
Если что это не один из моих активных паролей, так что можете не надеяться что это пароль от ЛОР-а. В важных паролях разброс символов больше, как и их количество.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от bbk123

Люди не запоминают пароли или используют одни и теже почти везде.

Нужно помнить только 2 пароля: от комплюктера и от менеджера паролей. С тех пор, как АW научились разлочивать мак, хватает и одного.

ptarh ★★★★★ ()
Ответ на: комментарий от ptarh

Какой ещё менеджер? На бумажке записывают, со всеми спецсимволами, которые якобы должны прибавить безопасность, а на деле наоборот.

bbk123 ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Если бы соль и хеши паролей не утекали бы через индексации гуглом дырявых вордпрессов.

Так смысл соли как раз в том, что она уникальна для каждого пароля. А значит нельзя заранее создать таблицу хэшей, учитывающих эту соль. А то, что утекает, конечно плохо.

aureliano15 ★★ ()
Ответ на: комментарий от aureliano15

Так смысл соли как раз в том, что она уникальна для каждого пароля.

Ты удивишься, узнав, сколько людей используют одну для всех паролей. А сколько не используют вообще :)

kirk_johnson ★☆ ()

z t,fk dct[ d hjn - давайте, брутфорсите. Модераторам, это не мой пароль от учётки, а от пользоватоля локалхоста, не надо меня банить =)

DELIRIUM ☆☆☆☆☆ ()
Ответ на: комментарий от kirk_johnson

Так смысл соли как раз в том, что она уникальна для каждого пароля.

Ты удивишься, узнав, сколько людей используют одну для всех паролей. А сколько не используют вообще :)

Мы точно говорим об одной и той же «соли»? Если что, то я имел в виду ту, которая генерится случайным образом без участия человека и пишется вместе с хэшем в /etc/shadow, а при расчёте хэша добавляется к паролю, и уже из получившейся строки рассчитывается хэш, благодаря чему даже если пользователи kirk_johnson и aureliano15 создадут на одной машине одинаковые пароли 12345, их хэши всё равно будут отличаться благодаря случайной соли, сгенерированной без их прямого участия командой passwd, и заранее создавать таблицу хэшей для всевозможных паролей, в т. ч. и для 12345, без учёта случайной соли будет бессмысленно.

aureliano15 ★★ ()
Последнее исправление: aureliano15 (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

я знаю как минимум одну контору с солью 'salt' на все пароли.

Ужас. Чего только не услышишь. Теперь всю ночь спать не буду.

aureliano15 ★★ ()
Ответ на: комментарий от aureliano15

Ужас. Чего только не услышишь. Теперь всю ночь спать не буду.

И я абсолютно уверен, что они не одни такие :))

kirk_johnson ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.