LINUX.ORG.RU
ФорумTalks

Надежность паролей

 


0

2

Есть ли хоть доказанная эффективность от использования абсолютно незапоминаемых паролей из цифр, букв и спецсимволов, которые придется записывать на бумажку? Или эффективнее пароли из нескольких слов из словаря?

★★★★★

Последнее исправление: cvs-255 (всего исправлений: 1)

я давно ещё предлагал отказаться от паролей, и переложить эту головную боль на плечи почтового сервиса.

сделать 3rd-party авторизацию посредством e-mail. вводишь e-mail для авторизации, тебе на него приходит одноразовая ссылка, переходишь по ней и «привет!».

не придётся хранить, запоминать пароли. почта может быть расположена на твоём серваке под кроватью, доступ в т.ч. физический только у тебя.

на всяких пустяковых сайтах, где у меня т.н. аккаунты-однодневки (торрент-трекеры и прочая), там пароли не запоминаю, а просто каждый раз нажимаю по ссылке «забыль пароль», в конечном счёте это абсолютно та же самая 3rd-party авторизация посредством e-mail. сколько можно с этими паролями возиться?

пароли следует оставить только для локальной авторизации, вот у меня на root пароль Spoofing + Voglea = <3, и что толку что он всем известен, если для этого надо нарушить УК РФ.

ящитаю вопрос надо ставить совсем иначе: зачем продолжать использовать пароли в 2к21 году для авторизации на удалённых сервисах. это ненадёжно! пароль — это костыль, от которого веб-макаки почему-то не спешат избавляться.

Spoofing ★★★★★
()
Последнее исправление: Spoofing (всего исправлений: 1)

Толку от параноидального соблюдения чистоты, если тебя собьет машина ?)

По своему опыту работы (а повидал я этого немало на фрилансе), скажу тебе так что брутфорсят с успехом уж самые примитивные пароли типа 12345, либо совпадающие с логином.

Успешные попытки логина с чужим паролем в основном базируются на УЗНАВАНИИ КОНКРЕТНОГО ПАРОЛЯ. Сливом базы. Или по социальной инженерии.

Меня больше бесит когда говносайты на которые я зайду раз в жизни, настойчиво предлагают зарегистрироваться, и видишь ли «x7d/*j7» они считают простым паролем, зато «Temp12345» - вери секьюрным.

windows10 ★★★★★
()
Последнее исправление: windows10 (всего исправлений: 1)

от использования абсолютно незапоминаемых паролей из цифр, букв и спецсимволов, которые придется записывать на бумажку

у меня есть рандомный пароль из цифер-буков-спецсимволов, который я помню наизусть, хотя использую хорошо если раз в полгода. сейчас посчитал - 37 символов.
еще несколько других, покороче - тоже каша из символов.
при этом хорошей памятью не отличаюсь, могу через 5 минут забыть что угодно

PerdunJamesBond
()
Ответ на: комментарий от Korchevatel

Толку со сложности пароля, если его хакерам сольют.

Толку от сложности пароля если пароль забыл, а бумажку потерял.

torvn77 ★★★★★
()

Пароли являются самой надежной системой защиты, поэтому сейчас пароли активно выдавливают отовсюду (например, в банках) и пытаются насадить биометрию, которой уже во всю приторговывают в этих ваших даркнетах.

boris_delaet_site
()

Всё лишь же зависит от уровня паранойи

neocrust ★★★★★
()
Ответ на: комментарий от aidaho

Зато OAuth теперь много где используется. Жаль, что (хотя это не обязательно, о чем постоянно напоминает один ЛОРчанин топящий за OAuth) практически всегда выбор из Google, Facebook, иногда Github, в России ВК и ОК, итд., вместо произвольного сервера. (как это было принято в OpenID)

token_polyak ★★★★
()
Последнее исправление: token_polyak (всего исправлений: 1)

Или эффективнее пароли из нескольких слов из словаря?

Словарные пароли - это высокая вероятность их подбора при наличии хэша. Нужно тогда несколько слов чтобы было, где-то примерно 4-5 самый минимум.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Этот бред распространяют англоязычные авторы. Посчитайте на досуге, сколько вариантов записи 2-х слов на всех языках мира и в разных раскладках, с разными разделителями.

next_time ★★★★★
()

Эффективнее из словаря. Т.к. программы для брутфорса как правило не умеют нормально работать с кириллицей.

next_time ★★★★★
()
Ответ на: комментарий от windows10

«x7d/*j7» они считают простым паролем, зато «Temp12345» - вери секьюрным.

ФБР рекомендует: вместо коротких сложных паролей лучше перейти на простые парольные фразы ©.

P.S. Им так легче работать :)

quickquest ★★★★★
()
Ответ на: комментарий от next_time

Зачем для всех языков мира? Вот и подсчитай, ну будет порядка 10^12 - это реально брутится в большинстве случаев. Если не у кулхацкера на компе, то у компании, которая может заказать для этого ресурсы. Конечно тут еще неуловимый Джо, если, но все-равно.

praseodim ★★★★★
()
Ответ на: комментарий от cvs-255

Проведи исследование. Это не так сложно, как кажется. Рандомные пароли (по настоящему рандомные, а не то что ты наберёшь ударившись лицом по клавиатуре надёжнее всего).

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

личность культовая для ЛОР-а, а вроде как в игнор надо вносить

Культовые шизики всё равно остаются шизиками. Если у тебя есть практика блокировки шизиков, то зачем делать исключения?

commagray ★★★★★
()
Ответ на: комментарий от commagray

Ну в игноре (не считая взаимного) я стараюсь держать тех кто вот прямо совсем неадекватен, так что даже умного слова не встречал несколько месяцев или весёлой клоунады. Спуф всё же большую часть времени адекватен. Но вот это отношение к ИБ просто, ну даже не знаю, очень тревожный звоночек.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)

Я использую генератор паролей, который я лично для себя написал. Ключом к паролю является секретная фраза (общая для всех паролей) и название сайт. В получаемом пароле чередуются гласные и согласные, потому их легче запомнить если часто пользоваться. А так ввожу ключ и название сайта и получаю пароль.

Aber ★★★★★
()
Последнее исправление: Aber (всего исправлений: 1)
Ответ на: комментарий от praseodim

порядка 10^12

ну да, ровно столько же, сколько у незапоминаемого пароля аналогичной длины, так и чего тогда напрягаться?

Зачем для всех языков мира

затем, что вы заранее не знаете, на каком языке я пароль написал: русском, англ. или арабском

next_time ★★★★★
()
Ответ на: комментарий от Spoofing

тебе на него приходит одноразовая ссылка,

которую палит товарищ майор или почтовый сервис

cvs-255 ★★★★★
() автор топика

Вообще, сложность пароля (и время его подбора) можно посчитать, все формулы известны. Использование слов из словаря сложность снижает, существующие брутфорсеры используют словари для подбора.

Но, если пароль приходится записывать на бумажку - это проблема, и тоже создает угрозы. Если уж так хочется сделать все по уму, почитай NIST SP 800-63.

CaveRat ★★
()
Ответ на: комментарий от targitaj

Ну, во-первых, не всем уязвимостям все-равно, а во-вторых, сейчас очень часть внутри сети атака распространяется с использованием встроенных механизмов, что требует знания логинов/паролей.

CaveRat ★★
()
Ответ на: комментарий от next_time

ну да, ровно столько же, сколько у незапоминаемого пароля аналогичной длины, так и чего тогда напрягаться?

Слова еще можно ранжировать по частоте встречаемости. В общем, не все так просто, выбор словарных слов - это совсем не то же, что даже pwgen.

Я встречал рекомендации, что если уже выбирать слова, то использовать не два, а минимум четыре слова, а также кроме них другие символы - только тогда что-то еще относительно надежное.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

ну, да, но смысл в том, что предложение из 5 слов запоминается легче, чем пароль из 5 сложных символов, а сбрутфорсить такое предложение практически нереально

next_time ★★★★★
()
Ответ на: комментарий от CaveRat

Использование слов из словаря сложность снижает, существующие брутфорсеры используют словари для подбора.

они все обламываются на предложениях русского языка и словарных словах типа штеуд

next_time ★★★★★
()
Ответ на: комментарий от Spoofing

You will own nothing and be happy

SSO это клево, но учитывая особенности работы нынешних интернет гигантов, можно остаться без штанов без права апелляции. Вот например, забаненный вроде не последний человек (модератор /r/cpp, а не лора какого-нибудь).

Midael ★★★★★
()
Последнее исправление: Midael (всего исправлений: 2)
Ответ на: комментарий от Spoofing

сделать 3rd-party авторизацию посредством e-mail. вводишь e-mail для авторизации, тебе на него приходит одноразовая ссылка, переходишь по ней и «привет!».

Спек на email прочти, особенно часть про рекомендуемые тайминги. Мессенждер ещё пойдёт, но не мыло.

upcFrost ★★★★★
()
Ответ на: You will own nothing and be happy от Midael

SSO это клево

И очень сцук больно, особенно social login. Там каждый свою сову на глобус натягивает. Яббел вон вообще выкинул пипиндр с «прокси-мылом» и их собственным user id, запарился этот костыль прикручивать. Saml2 тож не очень весёлый, если сходу под него система не сделана - костыли на костылях.

upcFrost ★★★★★
()

Увеличение алфавита усложняет брутфорс линейно, увеличение длины пароля — экспоненциально. Несколько слов из словаря считается надежным паролем. Выбери слова не из 5000 наиболее употребимых и подумай над пробельными символами.

filosofia
()
Ответ на: комментарий от next_time

Нет, особенно если ты знаешь жертву которая флудит в сети. Собираются все слова, сортируются по частоте, погнали.

peregrine ★★★★★
()
Ответ на: комментарий от token_polyak

Имплементации OAuth не юниксвейны.
Аутентификация, спаренная с размещением контента, резко повышает шансы словить бан за нарушения, или стать жертвой набега.
И тогда все связанные сервисы досвидания.

С другой стороны OpenID жив столько, сколько жив конкретный сервер.

И то и то шляпа, короче.

aidaho ★★★★★
()
Ответ на: комментарий от peregrine

особенно если ты знаешь жертву которая флудит в сети. Собираются все слова, сортируются по частоте

индивидуальный подход ко взлому влетит в копеечку

я могу для примера выложить сюда md5 сумму от своего пароля. никто не подберёт.

next_time ★★★★★
()
Ответ на: комментарий от peregrine

1b421fd577240ac8a35596af3fdc7cc7 - вот, пожалуйте - даже не посолёный

next_time ★★★★★
()

Ни то ни другое. У русскоязычных есть отличный лайфхак в виде другой раскладки. Ну и если что-то сложное, на стенке за шкафом записать. И не прочитает никто удалённо, и не потеряется никогда.

yu-boot ★★★★
()
Ответ на: комментарий от peregrine

Я исследовал этот вопрос. Попробуй придумать алгоритм перебора по словарю с неизвестным разделителем(-ми) слов, и ты поймёшь, что он деградирует до брутфорса по символам, а это, ещё раз, экспоненциальный рост сложности по длине.

filosofia
()
Ответ на: комментарий от filosofia

У тебя нет статистики по парольным фразам и популярности символов разделителей. У авторов такого алгоритма она скорее всего будет. Им не надо ломать всё подряд, достаточно каждого сотого легко ломать и всё.

peregrine ★★★★★
()
Ответ на: комментарий от Spoofing

вопрос надо ставить совсем иначе: зачем

Утверждаю, что не стоит учитывать мнение того, кто в конце 2k2k-ого года не знает, что следующий год надо обозначать как 2k2i-ый.

frob ★★★★★
()
Ответ на: комментарий от praseodim

Словарные пароли со случайным разделением и добавлением цифр (до, между, после) и спецсимволов вполне так безопасны. Главное, чтобы не было дублирования на группу алгоритма добавление этих цифр и символов.

One ★★★★★
()
Ответ на: комментарий от aidaho

OpenID же. Но увы, после стартового успеха он захлебнулся, и потихоньку идёт на дно

А что с ним случилось-то? Жил-жил, а потом как-то пропал.

byko3y ★★★★
()
Ответ на: комментарий от byko3y

Затрудняюсь сказать, что пошло не так.

aidaho ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.