Адрес для входа в РФ: exler.wiki

Почему вам нужен более длинный пароль

20.08.2024 09:00  6367   Комментарии (175)

Полезная статья в издании How-To Geek о том, почему мы должны использовать длинные пароли. Вещи вроде бы общеизвестные, но при этом огромное количество людей до сих пор использует пароли вида Password123, а потом они начинают жаловаться, что их почту взломали, их учетку в соцсетях взломали, вообще все взломали. А ведь пароль "Svetlana2005Love" казался таким устойчивым...

Ну и не устану повторять: не надо придумывать пароли, доверьте это дело соответствующей программе. Придумайте один единственный устойчивый пароль, а для всего остального пароли пускай для вас создает и хранит хороший менеджер паролей.

Но статью ниже - гляньте, она полезная. Нужно хорошо понимать, какие пароли являются устойчивыми, а какие нет, и что такое "энтропия пароля".

Всем нам знакомо раздражение при создании нового аккаунта в Интернете: вы вводите нужный пароль, а потом сервис задирает вам нос по поводу минимальной длины и использования специальных символов. Однако на это есть своя причина, и в этой статье я расскажу, почему вам нужен длинный пароль.

Короткий ответ - энтропия пароля. Этот термин звучит гораздо сложнее, чем есть на самом деле, если вы не знакомы с криптографией, поэтому давайте рассмотрим, что такое энтропия пароля.

Что такое энтропия пароля?

Энтропия пароля - это показатель того, насколько непредсказуемым и случайным является ваш пароль. Энтропия пароля измеряется в битах - основной единице измерения информации в вычислительной технике. Больше бит - лучше, и большинство экспертов сходятся во мнении, что энтропия должна составлять не менее 64 бит, хотя это число является спорным. Более высокая энтропия означает, что ваш пароль является более случайным. Когда речь идет о защите, случайность - это хорошо.

Давайте немного объясним это. Когда злоумышленник хочет проникнуть в вашу учетную запись или устройство, он обычно пытается подобрать пароль, так как это часто единственное, что его защищает, если только у вас не включена двухфакторная аутентификация. Поскольку многие люди не заботятся о включении двухфакторной аутентификации, это превращает пароли в так называемую единую точку отказа.

Лучший способ атаки на пароль - атака по словарю, то есть программа, которая пытается «угадать» пароль, перебирая распространенные слова и фразы. Это почти буквальное перебирание всего словаря, а также распространенных вариаций пароля. Как только пароль угадан, злоумышленник получает доступ.

Грубая сила и случайность

Атаки по словарю - эффективны: большинство атак позволяют взломать простой пароль за несколько секунд (компания Hive Systems, специализирующаяся на кибербезопасности, ведет несколько таблиц с подробной информацией об этом).

Поскольку атаки по словарю основаны на предсказуемости (слова, которые уже существуют), единственным хорошим способом борьбы с ними является добавление случайности в пароли. Многие люди знают об этом, поэтому они добавляют несколько символов к существующим паролям, чтобы создать что-то вроде «p@ssword» или «password123».

Однако это не работает, поскольку не является случайным. Злоумышленники могут легко учесть такое изменение, и им потребуется на наносекунду больше времени, чтобы получить доступ к учетной записи. Чтобы приблизить пароль к действительно случайному, необходимо полностью исключить человека из уравнения и использовать компьютер для создания случайного пароля. Лучшие менеджеры паролей - программы, которые создают и хранят пароли за вас, имеют такую функцию.

Как энтропия влияет на длину пароля

Большая энтропия создает лучшие пароли, но что именно делает энтропию лучше? Есть четыре фактора, которые следует принять во внимание:

  • Длина пароля
  • Использование специальных символов
  • Использование заглавных символов
  • Использование цифр

Все эти факторы важны, но длина играет особую роль, для объяснения которой нам понадобятся некоторые математические выкладки.

Как рассчитать энтропию пароля

Как уже говорилось, энтропию можно измерить, а значит, ее можно и вычислить. Формула для этого выглядит следующим образом:

E = log2(RL)

  • E означает энтропию и является результатом, который мы вычисляем. Чем выше, тем лучше
  • L - это длина пароля, то есть сколько в нем символов.
  • R - это диапазон, сколько символов у вас в распоряжении, о чем я расскажу чуть позже.
  • log2 - это математическая формула, которая позволяет вычислить необходимое количество бит - для наших целей нам не нужно ее понимать.

Как только мы разберем ее на части, эта формула окажется не такой уж страшной, но нам все же придется перейти к диапазону. При использовании обычной американской раскладки клавиатуры у вас есть 26 букв. Если бы вы создавали пароль, используя только строчные буквы, то ваш диапазон был бы равен 26. Если использовать калькулятор энтропии, предполагая длину в восемь символов, то энтропия составит 37,60 бит, что просто ужасно.

Если мы добавим заглавные буквы, то удвоим ваш диапазон до 52, поскольку заглавные буквы считаются отдельными для наших целей. Это даст вам энтропию в 45,60 бит. Это все еще не очень хорошо, но мы продвигаемся вперед.

Если мы добавим цифры 0-9, то получим диапазон 62, а если добавим 33 символа, то диапазон увеличится до 95. Используя всего 8 символов, мы получаем энтропию 52,56 бит, что все еще намного меньше 64 бит. Единственный способ еще больше увеличить энтропию - сделать пароль длиннее.

Какой должна быть минимальная длина пароля?

Остается вопрос о том, какой длины должен быть пароль. Для этого нужно решить, сколько бит энтропии нам нужно. Хотя общепринятым ответом является 64, с учетом скорости развития технологии взлома, о которой говорилось в статье Hive Systems, мы, возможно, захотим проявить осторожность и остановиться на 100 битах энтропии.

Учитывая это, мы можем перевернуть формулу и получить длину в 16 символов, предполагая, что мы используем все 95 символов. Это даст нам энтропию в 105,12 бит. 15 символов тоже подойдут, так как это даст нам 98,55 бит, но ниже этого значения вы окажетесь на опасной территории. Конечно, если вы работаете с количеством символов меньше 95, вам в любом случае придется использовать более длинный пароль.

20.08.2024 09:00
Комментарии 175

Сколько будет эноропия у пароля ThisIsMyVerySecurePassForThisSite$999?
20.08.24 20:45
0 0

Сколько будет эноропия у пароля ThisIsMyVerySecurePassForThisSite$999?
со знаком вопроса в конце - 87, без - 78
21.08.24 07:21
0 0

А я перешел на memorable password пароли которые генерирует 1Password типа таких

summons-barber-scar
prior-citation-kept
llama-yummy-them

ChatGPT подсчитал что энтропия скажем "prior-citation-kept" это log2(27^19) = 89 бит,
что довольно много, и например даже чуть больше чем у пароля "CETEd8xBRymw37" (84 бит), при этом вводить намного легче, особенно на мобилке и упаси боже смарт-тиви.
20.08.24 17:49
0 2

Надо же, как похоже на концепцию what3words!

ChatGPT подсчитал что энтропия скажем "prior-citation-kept" это log2(27^19) = 89 бит,
а вот KeePassXC считает, что энтропия prior-citation-kept = 48 бит... в это я верю гораздо больше.
при этом энтропия mZun3WPmybE7QSQygrnD (тоже 20 символов, даже без спец) = 101 бит.
21.08.24 07:23
0 0

Верю - не верю -- это для гуманитариев) точная формула же есть в тексте
89 = log2(27^19) где 27 это кол-во символов в алфавите + черточка, 19 это кол-во символов в пароле. энтропия mZun3WPmybE7QSQygrnD = log2(62^20) = 119 бит
21.08.24 17:01
0 0

Верю - не верю -- это для гуманитариев)
Вы совершенно правы. Если считать по формуле, приведенной в тексте.
но оценка сложности пароля - это задача немного более разноплановая. С точки зрения формулы в тексте энтропия паролей 1111111111, aaaaaaaaaa и pj4EpZsdu9 совершенно одинаковая (если смотреть со стороны взломщика, который не имеет вводных насчет используемых алфавитов).
есть другие подходы для расчетов сложности пароля.
тыц раз - там много текста, но стоит сразу переходить в пункт про Пароли Придуманные Людьми и рекомендации Национального института стандартов и технологий (США).
тыц два, тут не много умного текста и внутри есть ссылка на:
тыц три (очень много умного текста)

а дальше чисто по человечески делать выбор чему больше доверять - простой формуле, которая обещает вам, что у пароля из двадцати букв А сложность более чем 100 бит, или оценщику, который такому паролю дает 10 (Все тот же KeePassXC).
21.08.24 17:38
0 1

Верю - не верю -- это для гуманитариев)
И про гуманитариев, кстати, вы удивительным образом прям в корень!
все в той же ссылке на ВиКи все в том же разделе про пароли придуманные людьми приводится немного статистики по оценке использования различных букв. Ну там ".. буква «e» была использована в паролях 1,5 миллиона раз, в то время как буква «f» — только 250 000 раз " . и оказалось, что если в вашем словесной фразе начинать менять буквы на другие - сложность начинает удивительным образом меняться:
prior-citation-kept - 48 бит
przor-cztatzon-kept - 91 бит. ( 4 i на z)
prior-citation-kfpt - 61 бит (одну e на f)

но, повторюсь, с точки зрения формулы из текста - вы совершенно правы.
21.08.24 17:49
0 1

Спасибо за ссылки. Мэйкс сенс. И слова про гуманитария беру назад 🤝 😄
22.08.24 03:07
0 1

Тут ещё такая проблема: хорошая защита нужна не всегда.
Например, я зарегистрировался на сайте магазина, где я не вводил кредитку. Или авиакомпании, гостиницы или круизной компании, где у меня нет миль / денег и т.д.
Кому нужен доступ на эти сайты? Хакеры даже не заморачиваются взломом такого. Если воруют, то сразу всю базу и только, чтобы стащить оттуда пассворд.
gab
20.08.24 17:35
0 2

А что за идиотия с вайбером последних пару недель происходит? Регулярно залетает уведомление о попытке открытия новой сессии. Если что - симка контрактная с запретом перевыпуска кому попало, мультифакторка включена, акк для восстановления привязан.

Как эти клоуны себе это все представляют?
20.08.24 16:24
0 3

Тут вспоминается как в древние времена зашифровали кошелек с 10 биткоинами с помощью нового стандарта который использует scrypt и как следствие требует почти секунду на одну попытку. Пароль был из трех букв и ломали его больше месяца, да. И да, буквы были русские и они были именно теми что вы подумали.
20.08.24 14:21
0 0

требует почти секунду на одну попытку. Пароль был из трех букв и ломали его больше месяца, да
3 произвольных буквы кириллицы = 33^3 = 35937 вариантов = 10 часов перебора по 1 с/попытку. Откуда больше месяца?
20.08.24 14:31
0 2

раскидываешь на ботсеть по варианту на юнит - и через две секунды получаешь результат.
Зачем 10 часов?
20.08.24 14:49
0 0

3 произвольных буквы кириллицы = 33^3
Ваша математика совершенно верна, если:
1) изначально было известно, что все буквы в одном регистре. иначе уже 66 в кубе, а это уже 80 часов
2) изначально было известно, что буквы были именно русские. иначе... 33*2+26*2+10 (это если только буквы двух языков плюс цифры) в кубе.. . а это уже 582 часа...
20.08.24 14:54
0 1

раскидываешь на ботсеть по варианту на юнит - и через две секунды получаешь результат.
20.08.24 14:55
0 6

неплохец!
20.08.24 15:53
0 2

Понятное дело никто не говорил что там кириллица или китайчина
20.08.24 18:32
0 0

В Юникоде ооочень много букв
20.08.24 18:34
0 2

Было известно что там три символа и дело было на bitcointalk форуме
20.08.24 18:35
0 0

Пароль был из трех букв и ломали его больше месяца
Как-то пришлось взломать WEP (WiFi), запустил на ночь программу, она генерировала трафик, долго мучилась, и каково было моё разочаровние, когда к утру выдала: 1234567890.
20.08.24 18:46
0 2

Как-то пришлось взломать WEP (WiFi), запустил на ночь программу, она генерировала трафик,
с взломом WPA не путаете? с WPA/WPA2 действительно только через брутфорс/словари можно. WEP-же мгновенно ломается.
когда баловался с взломом WPA2 в многоквартирном доме, то подобные вашему пароли через словари вскрывались. время - единицы минут на бюджетном ноуте 8ми летней давности. на штук 30 сетей, до которых "дотягивалась" чувствительность роутера (у меня на первом этаже в подсобке оборудование стояло) около пяти оказывались с паролями из достаточно простого словарика.
20.08.24 20:26
0 1

с взломом WPA не путаете? с WPA/WPA2 действительно только через брутфорс/словари можно. WEP-же мгновенно ломается.
Не путаю. В данном контексте слегка offtop, согласен.
Во-первых, это было много лет назад. Во-вторых, мгновенно ломается при наличии трафика, а вот если только ты и никого другого, то этот трафик надо сгенерировать.
20.08.24 20:31
0 1

Мой вайфай wpa2 пассворд - 122333444455555666666
20.08.24 20:43
0 0

А потом я захожу на сайт, чтобы ввести туда скажем 18-значный пароль, а мне сайт такой "не, чувак - это слишком длинный пароль, придумай что покороче".

Я уже не помню, какой это был сайт - потому что я изумился и не стал там регистрироваться.
20.08.24 14:05
0 4

Мне регулярно отказывают в "специальных символах" -- низззззя.
20.08.24 14:06
0 3

При этом списка разрешённых символов нет, да?
Как я это люблю, игра в угадайку.
21.08.24 12:50
0 1

"Перебор по словарю паролей к онлайн сервисам" это ведь DoS-атака с признаком "логин"... или нет?

Рубится при 3 попытках с одного IP или с после 10 с разных "несовпадающих с предыдущими подсетями и успешными входами"

Или таки спертыми "базами + алгоритмом соленья" что еще прикольнее...
20.08.24 13:49
0 3

"Почему вам нужен более длинный" (c) exler.ru
20.08.24 12:42
1 2

Как спрашивалка у Наки.
20.08.24 14:07
0 1

Дык, любая нормальная online система пошлет в недалекое путешествие с эротическим уклоном, после N неправильно введенных паролей, какой там перебор, без доступа к зашифрованному файлу или базе данных паролей.
20.08.24 12:21
0 3

Да потому что это фигня и страшилки. Никто уже давно пароли не ломает ни брутфорсом, ни словарями, ни радугами.

Ищут уязвимости в ПО и сливают базу целиком. Потом, конечно, могут покуражиться, но тут самое сложное, чтобы сопоставить юзера с паролем и с реальным человеком.

А потом надеяться, что человек использует одинаковый пароль.

Не используйте одинаковые пароли и будет вам щасте.
20.08.24 12:36
0 3

12:28
Ну и меняешь их по кругу. Старый на новый, потом обратно на старый.
12:36
Не используйте одинаковые пароли
[Анекдот про фосфор для могза в рыбьей голове.txt]

Да потому что это фигня и страшилки. Никто уже давно пароли не ломает ни брутфорсом, ни словарями, ни радугами.
ну как вам сказать.. откройте SSH или RDP всему миру на каком-то хосте где-то в датацентре и понаблюдайте количество попыток к вам залогиниться с разных адресов со всего мира. Понятное дело, что делать так нельзя (открываться всему миру), но если попробуете - удивитесь количеству гостей, перебирающих варианты паролей.

Поэтому уверенность что никто не ломает перебором - она далека от реальности.
20.08.24 13:11
0 3

Никто уже давно пароли не ломает ни брутфорсом, ни словарями, ни радугами.
Ищут уязвимости в ПО и сливают базу целиком.
Вы, видимо, слышали звон. "Радуга" (радужные таблицы) - это способ подбора пароля по уже слитой базе. Брутфорс тоже, естественно, никто не применяет прямо на сервисе авторизации, потому что брутфорс пароля даже в 6 симолов длиной - это DDoS атака, но "радугу" в принципе невозможно применить, не имея слитой базы.

А почему, имея слитую базу, мы не имеем сразу всех паролей? Да потому что никто не хранит в базе пароли (кроме совсем уж идиотов и систем безопасности уровня "чат жильцов подъезда, написанный на каникулах Васей из третьей квартиры"). В базе хранят именно хэши паролей.
20.08.24 13:15
1 2

откройте SSH или RDP всему миру на каком-то хосте где-то в датацентре и понаблюдайте количество попыток к вам залогиниться с разных адресов со всего мира.
Это так, но не совсем. На проверку пароля и паузу для следующей попытки уходит несколько секунд, таким образом перебором ничего не достичь в разумное время. Поэтому, в случае с SSH, идёт перебор всевозможных комбинаций username/password, которые по умолчанию устанавливают производители всевозможных роутеров, модемов, NAS и прочих сетевых устройств ― в надежде, что пользватель, открывший доступ всему миру ничего не менял.
Достаточно поменять порт SSH с 22 на другой, интенсивность попыток падает на 2 порядка, хотя выяснить новый порт с помощью nmap ззанимает несколько секунд. Логика проста: если кто-то поменял номер порта, то уж пароль-то и подавно.
20.08.24 14:32
0 5

12:28 12:36 [Анекдот про фосфор для могза в рыбьей голове.txt]
Я понимаю, что сложные логические выводы не для тебя, все нужно разжевывать буквально как пятилетнему ребёнку.

"Не используйте одинаковые пароли на разных сайтах" - это вполне очевидно.

А то, что в пределах одного сайта ты сменил пароль А на пароль В, потом опять на А - это никак не влияет на безопасность, если они оба нигде, кроме этого сайта не встречаются.

Тупо 40 тысяч обезьян меняем на 30 тысяч. Ферштейн?

Поэтому уверенность что никто не ломает перебором - она далека от реальности
А что нынче можно безлимитно стучаться на любой сервак и это никак не контролируется? Смысл перебора в бесконечно большом количестве запросов, что скорее приведет к DDoS, чем к успешному результату.

Ну либо будет пресекаться на взлете.
20.08.24 14:40
0 0

Вы, видимо, слышали звон. "Радуга" (радужные таблицы) - это способ подбора пароля по уже слитой базе
Блин, я именно это и написал:

сливают базу целиком. Потом, конечно, могут покуражиться
В чем проблема понимания простой фразы на русском языке?
20.08.24 14:45
1 0

В чем проблема понимания простой фразы на русском языке?
В том, что это только часть фразы. Полностью фраза звучит "никто уже не использует брутфорс и радугу, сливают базу целиком". Эта фраза безграмотна, потому что "слив базы" не только не делает применение "радуги" избыточным, а напротив, является необходимым предварительным условием для применения "радуги".
20.08.24 14:50
1 0

То есть вам только слово радуга не понравилось? И ради него вы написали вот ту целую простыню? 🤭

Смысл то в другом. Пофиг на силу вашего пароля, если атака все равно будет не на вас, а на сервис/сайт/приложение. Которые должны защищать специально обученные люди. И длина и сложность вашего пароля тут мало что решает.

А если нужно провести атаку на конкретного человека, то в ход пойдут другие способы: от социальной инженерии до ректального криптоанализа.

И опять же, сложность пароля мало поможет, если человек отдает свои деньги по звонку из Сбербанка или если ему в данный момент ломают пальцы.
20.08.24 15:00
2 0

Это так, но не совсем. На проверку пароля и паузу для следующей попытки уходит несколько секунд, таким образом перебором ничего не достичь в разумное время.
и да и нет 😄
сканят с разных адресов, с очень разных и очень большого количества. и, уверен, не брутфорсят а просто перебирают по словарям - и в словарях явно не только те самые умалчиваемые пароли от производителя, на лабах ради интереса открывали порты и заводили простые пароли типа pass123321 - минут за 10-15 подбирали.
да, смена порта меняет картину кардинально. но, уверен, вопрос не столько в резко возросшем уважении со стороны потенциального взломщика, сколько в том, что сам провайдер блокирует сканеров (по крайней мере у хетзнера так).
20.08.24 15:14
0 1

смена порта меняет картину кардинально. но, уверен, вопрос не столько в резко возросшем уважении со стороны потенциального взломщика, сколько в том, что сам провайдер блокирует сканеров
Мои данные основаны на большом количестве устройств с фиксированными (public) IP-адресами от мобильного оператора. Не уверен, что мобильный оператор как-то мониторит и что-то блокирует в таком случае.
20.08.24 15:20
0 0

А что нынче можно безлимитно стучаться на любой сервак и это никак не контролируется?
Это может быть, к примеру, сотовый модем. Или ещё какое сетевое устройство.
И да, ломятся только так, сам видел и изучал неоднократно.
20.08.24 15:26
0 1

Тупо 40 тысяч обезьян меняем на 30 тысяч. Ферштейн?
39 999, 39 998, 39 997...
20.08.24 16:26
0 2

То есть вам только слово радуга не понравилось?
Если часы пробили тринадцать раз, доверять нельзя не только тринадцатому удару, но и предыдущим двенадцати.

И длина и сложность вашего пароля тут мало что решает.
Опять-таки, если ваш пароль password123, то его хэш уже есть во всех радужных таблицах мира. Если ваш пароль sdfk071263!@*(^@Y~LFHI!, вероятность этого существенно ниже.
20.08.24 17:02
2 0

Это может быть, к примеру, сотовый модем. Или ещё какое сетевое устройство.И да, ломятся только так, сам видел и изучал неоднократно.
1. Вам нужно было, чтобы я в ответе перечислил все виды устройств?
2. Очевидно, что вопрос сложности паролей нужно объяснять простым юзерам. Те кто настраивает и управляет множеством разных сетевых устройств сами знают что и как и рискуют тоже сами и вполне осознанно.
3. В домашний модем/роутер и т.п. можно ввести любой максимально сложный пароль и записать его на бумажке, которую наклеить на устройство - и никаких проблем с запоминанием.
4. Проблема паролей не в том, что их ломают, а в том, что их нужны сотни, если активно пользоваться всякими онлайн-сераисами. Которые иногда еще и требуют менять их регулярно.
5. Выходов из ситуации более одного, об чем весь сыр-бор. Каждому нравится свой. Это:
- менеджеры паролей
- деление на "важные и неважные" сервисы/сайты
- использование мнемонических правил при создании пароля

И т.п.
21.08.24 04:54
0 0

Опять-таки, если ваш пароль password123, то его хэш уже есть во всех радужных таблицах мира
То есть про "соль" вы не знаете*? И продолжаете всех поучать? Что там вы говорили про 13 удар часов? Вот примеряйте его на себя.

*полагаю, что все-таки знаете. Но как вы на ровном месте докопались до моих слов, так теперь я до ваших. Т.к. если их понимать буквально, то это вранье.

Нет пароля password123 в словарях, так как везде применяется соль. А где не применяется, там с таким же успехом ваш пароль может храниться вообще в открытом виде.
21.08.24 04:56
1 0

1. Вам нужно было, чтобы я в ответе перечислил все видымю устройств?
Так я разве спорю? Полностью согласен со остальными пунктами, я лишь отвечал на фразу о том, что до сих пор немало ситуаций, в которых брут-форс никак не блокируется.
21.08.24 05:26
0 0

39 999, 39 998, 39 997...
Не понял вашего коммента. Поясню свой поинт. Есть некий сайт/сервис, который требует регулярно менять пароли. У человека уже есть первый хороший пароль, который лично для этого человека удобен для запоминания.

Это могут быть как "40 тысяч обезьян...", так и " На Дерибасовской хорошая погода.. " или "Весь мир насилья мы разрушим.." и т.п.

Не обязательно именно текст и длина зависит от требований сайта, но.

Чтобы не запутаться, легко менять пароль, не пользоваться менеджерами паролей и держать все в голове достаточно завести себе правило смены паролей.

40 меняем на 30, потом обратно на 40, потом на 30. Тогда восстановить пароль из головы легко с максимумом в одну ошибку. Дерибасовскую меняем на Молдаванку. Весь мир меняем на Не весь мир.

Добавляем еще пару личных правил, чтобы усложнить пароль:
На_ДеРиБаСоВсКоЙ!ХоРоШаЯ*ПоГоДа (ставим заглавные через одну/две/три позиции, пробелы меняем на _!*% по очереди и т.п.)

Если к этому еще добавить некий признак, отличающий конкретное место пароля, то можно неограниченно генерить и запоминать пароли:

ЧеРтОв_ЯнДеКс*ХоЧеТ!НоВыЙ%ПаРоЛь_1

Естественно все это с учетом разрешенных/доступных для пароля символов и длины.
21.08.24 05:29
0 0

Так я разве спорю? Полностью согласен со остальными пунктами
Прошу пардону. Просто тут несколько товарищей цепляются за одно слово и начинают разгонять дичь. 🤝
21.08.24 05:44
1 0

И да, ломятся только так, сам видел и изучал неоднократно.
Для картинки вчера открыл SSH на одном из роутеров. Минут с 30 была тишина. потом пошли гости и в течение первого часа собралась такая картинка (две картинки для иллюстрации).
Первая картинка показывает, что одни и те же логины пробовались с нескольких айпи одновременно. Вторая картинка "наоборот", что с пары айпи (их больше, но на картинку не поместятся) перебирается совершенно одинаковый список логинов.
Если у вас (у атакующего) есть сеть из сотен-тысяч адресов, никто не мешает перебирать по словарю с достаточно высокой скоростью не сильно попадая под мониторинг атаки перебора, основанный на контроле одного source IP.
21.08.24 12:36
0 1

Поиск по username даёт интересныей результат, например, сразу 3 из них встречаются в научных публикациях одного направления, что свидетельствует об использовании слитой базы.
21.08.24 15:30
0 1

Поиск по username даёт интересныей результат, например, сразу 3 из них встречаются в научных публикациях одного направления, что свидетельствует об использовании слитой базы.
скорее всего, так и есть - в качестве источника одна база. но и под одними хозяевами ходят сканеры, так как шансы крайне малы, что несколько отдельных айпишников независимо друг от друга идут по одной базе и с поразительной синхронностью
21.08.24 16:00
0 0

Алекс, очень бы хотелось на эту тему обзор средств беспарольной аутентификации, желательно для чайников. Реально, хотел сам разобраться, но в этих YubiKey и FIDO чёрт ногу сломит.
20.08.24 11:49
0 0

На этом сайте есть статья про эти самые ФИДО. Ладно, сам нашел.
20.08.24 11:57
0 1

Посчитал, что если использовать только латиницу в двух регистрах и цифры, то длина пароля в 17 символов даст энтропию 100 (чуть больше).

А потом подумал: 40tysyachObezyanVZHopuSunuliBanan — это насколько непредсказуемый пароль? Энтропия у него ≈194,5. А если еще пробелы добавить, то немного увеличится длина, появятся спец. символы и энтропия вырастит до ≈256,2

Ну, т.е. важна длина не просто сама по себе, а вместе с непредсказуемостью присутствия символов в пароле.
20.08.24 11:37
1 1

Ну, не знаю. Мои пароли это всегда что-то такое, что знаю только я. Цифры и буквы с разным регистром. И это не год рождения и прочее, что можно вычислить. Допустим, в какой-то день-год в каком-то месте случилось нечто что мне запомнилось. Об этом никто не знает. Но я это помню даже без записи где-то. Вот и все. Сгенерировать пароль про себя, и достаточно. Ни разу не подводило.
20.08.24 11:13
0 1

Ни разу не подводило
Вопрос в количестве раз. Если у вас 2-3 пароля - вопросов нет. А двадцать?
И это еще Альцгеймер в гости не заходил...

Ни разу не подводило
Вопрос в количестве раз.
И в том, что их еще положено менять.

И в том, что их еще положено менять.
Ну и меняешь их по кругу. Старый на новый, потом обратно на старый.
20.08.24 12:28
0 0

Около десятка, некоторые варьируются.
Альц... ну, когда начнется, тогда и будем думать. Чем останется:)

Ну и меняешь их по кругу. Старый на новый, потом обратно на старый.
Угу. А потом где-то на третьем круге уже почему-то не получается. Пишет "не верный пароль". Говорит "вы же его сами сменили позавчера", вот же: из Калькуты вы заходили и сменили. Не помните? Мы вам на мыло ссылку кинули для восстановления. Только оно тоже поменялось.

Около десятка, некоторые варьируются.
около десятка... везуха вам... а если несколько сотен?
20.08.24 13:15
0 2

Старый на новый, потом обратно на старый.
Я плюнул и начал увеличивать цифру. Уже третий десяток пошел. Хеш все спишет (я так думаю).
20.08.24 14:08
0 2

И это еще Альцгеймер в гости не заходил...
Практикуя запоминание двадцати сложных паролей с их регулярной заменой, ты отодвигаешь встречу с сим достойным мужем.
Надеюсь.

Мне кажется, никто не сделал больше, чтобы люди перестали доверять менеджерам паролей, чем разработчики менеджеров паролей:

- Roboform - уже сказали, как внезапно "для вашего же блага", как обычно, всё перенесли в облако. Конечно, всё надежно, всё отлично. А потом выяснится, что ты попал в страну какой-то политической авантюры и тебе это облако-менеджер отключили. Конечно, я ведь и есть тот самый орк, да? Как это произошло с

- 1Password - которые тоже отменили покупку версии с пожизненной поддержкой, переведя всех на подписку и облако. А потом, да, заблочили мой аккаунт, ибо он был оформлен на Россию (ещё хрен знает сколько лет тому назад). ОК, мне пришлось им отправить документы и т.п. и сменить страну. Но, лично моё мнение, менеджер паролей а) должен быть максимально автономным при желании и б) не страдать херней, занимаясь политикой, простите уж мой френч.

Да, есть Bitwarden, да, другие менеджеры, но ничто не заменит Password "Password", которое и автономно, и не забывается. А что взломают - так ведь точно не меня, это случится с кем-то другим.
20.08.24 10:39
1 6

— Готов набирать ключ?
— Ага…
— Диктую… Вначале цифры. Семь. Четыре. Шесть. Ноль. Шесть. Два. Четыре. Семь. Теперь буквы. W. H. O. Все прописные. d. s. Все строчные. Снова цифры. Один. Три. Шесть. Восемь. Один. Строчная y. Прописная Z. Символ доллара. Собака.
— Которая в адресах? Или слово собака? — деловито спрашивает Пат.
— Значимые слова в шифрах используют только ламеры, — говорю я. — Знак, конечно. Теперь три открытые скобки, цифра восемь. И восклицательный знак.
— Набрал, — сообщает Пат. — Сейчас, ключ генерится…
— Ну, возвращаю Чингизу…
Темный Дайвер, оставив трубку в сторону, шепчет:
— Хороший ключ! Одобряю!
Я молчу. Это мой общий ключ. Теперь придется переупаковывать все базы данных. Темный Дайвер подносит трубку к Чингизу. Тот почему-то смотрит на меня почти с таким же негодованием, как и на Темного Дайвера. Но голос сохраняет спокойным:
— Открыл первый шифр? Хорошо. Теперь набирай … он простой… ламерский…
Вот оно в чем дело!
— Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
Чего он тянет…
Чингиз выдыхает и ледяным голосом произносит:
— Сорок тысяч обезьян в жопу сунули банан.

(с)
20.08.24 10:20
0 13

Пароли это прошлый век, двухфакторная авторизация через авторизованное устройство должна быть стандартом.
20.08.24 10:04
0 1

Двухфакторная аутентификация подразумевает, внезапно, два фактора. Классические факторы аутентичности (a.k.a. "я Вася Пупкин" - "чем докажешь?") - "что я знаю" (пароль), "что я имею" (SIM-карта), "что я есть" (биометрия). Добавим к этому что нелегальные клоны SIM-карт, вообще-то, вполне себе вектор атаки, больше некоторого полагаться на канал получения SMS опасно.
20.08.24 10:11
0 4

Второй фактор - секьюрити дивайс
20.08.24 10:15
0 0

Что делать, если авторизованное устройство (скорее всего телефон) теряется, уничтожается, попадает в чужие руки?
asa
20.08.24 10:18
0 0

При подключении oauth обычно выдают одноразовые коды, которые надо положить в несгораемый сейф и через них восстанавливать доступ.

Если еще залогинен, то обычно можно привязать новое устройство

Если все потеряли, то скорее всего доступ вы не вернете. Но у разных компаний разные политики. У нас на работе надо идти к безопасникам лично или по протоколу безопастности удаленно подтверждать личность. Пожурят, угостят чаем с крендельками и дадут привязать новое устройство
20.08.24 10:23
0 0

При подключении oauth обычно выдают одноразовые коды, которые надо положить в несгораемый сейф и через них восстанавливать доступ.
нацарапанные на бумажке ручкой производства филиала мясохладобойни имени подвала дядюшки Лю, которые через пару лет испарятся.
20.08.24 10:29
0 1

То же что и при альцгеймере.
20.08.24 13:50
1 0

Я не очень понял, но log2(26*8)=7.70.
20.08.24 10:03
0 1

Я не очень понял, но log2(26*8)=7.70.
В тексте ошибка в формуле, должно быть так:

E = log₂(Rᶫ)
20.08.24 10:09
0 5

Привычный вид формулы Хартли:
E=L*lb(R), где lb - двоичный логарифм (не знаю, как тут поставить символ снизу строки).
Хотела уже минус поставить AlexMedinski. Да вовремя сообразила, что степень из-под логарифма вытаскивается как коэффициент, т.е. это одна и та же формула )) Старею...
Плюсик поставила.
20.08.24 10:33
0 3

не знаю, как тут поставить символ снизу строки
Скопировать у AlexMedinski 😉
log₂
Однако это не символ внизу, а отдельный символ с кодом 0x2082. В текстовом файле он представлен как 0xE28282.
20.08.24 15:05
0 2

Спасибо! Что это отдельный символ, я знаю, конечно )
Я так поняла, это Юникод. А я обычно пользовалась только ASCII (через Alt) - буквально пару символов, которые мне нужны часто. А то, что можно вводить Юникод, - даже не знала. Пришлось гуглить ) Узнала, что в прогах типа ворда - вводится через alt+x. А вот в телеграм, например, не смогла ввести. Мне именно в телеграм нужны разные символы. Всякие градусы в ASCII - уже наизусть помню (ASCII везде срабатывает через alt). Может, вы подскажите, возможно ли символ Юникода ввести в телеграм?
20.08.24 17:44
0 0

И еще заодно. Где вы нашли этот конкретный код 2082? Юникодных таблиц - великое множество, не пересмотреть ))
Насчет цифр в нижнем индексе - я догадалась менять последнюю цифру кода. А вот какой код будет для символа n снизу? А какой код для символов в верхнем индексе?
В гугле не забанили. Поверьте, я перед этим искала ) Даже решилась спросить. Но не обижусь, если не ответите )
20.08.24 17:50
0 0

Где вы нашли этот конкретный код 2082?
Обычно я это делаю через Insert Symbol (кнопка с заглавной омега) в Libre Office или MS Office. В данном случае это был раздел Superscripts and Subscripts. Там код высвечивается (запомнить на будущее), а так просто скопировать на один раз.

А вот какой код будет для символа n снизу? А какой код для символов в верхнем индексе?
n снизу: 0x2099, вот: logₙ(x).
Насчёт верхних индексов: насколько я понимаю, нет какого-то специального набора символов, надо смотреть в таблице. Какие-то часто встречающиеся символы легко найти, как то: x¹²³ (0xB9, 0xB2, 0xB3) или индикаторы грамматического рода (в испанском) 1ª, 2º (0xAA, 0xBA).

Может, вы подскажите, возможно ли символ Юникода ввести в телеграм?
Если в телефоне, то точно не подскажу. А в браузере ж работает Telegram, так вот, с Вашей подачи решил найти способ. Для Firefox, к примеру, установил это расширение. В любом текстовом поле можно ввести шестнадцатиричный код (т.е. 4 символа) после нажатия Ctrl ' (апостроф). Перед короткими кодами над 00 добавлять.
20.08.24 18:30
0 2

Спасибо огромное!
Уже и сама нашла все-таки таблицу для индексов. Вот, может, вам пригодится:
www.unicode.org
Тут есть коды для цифр и в верхнем и в нижнем индексе. А буквы - только некоторые, и только в нижнем. Но мне этого достаточно.

А телеграм - приложение на десктопе под windows (не в браузере). И в нем Юникод не вводится ( Остается только копировать. Но вряд ли буду, скорость решает.
На этом сайте тоже, кстати, срабатывает быстрый ввод только для ASCII.
20.08.24 18:48
0 2

n снизу: 0x2099, вот: logₙ(x).
Последний раз спрошу ) А то это уже offtop получается...
А здесь вы этот logₙ(x) скопировали и вставили или написали, используя код? Может, я еще какой способ ввода не знаю? В том же MS-офисе можно набрать этот юникод цифрами и нажать alt+x. Здесь и во многих других местах - это не срабатывает.
20.08.24 19:01
0 0

А здесь вы этот logₙ(x) скопировали и вставили или написали, используя код?
Конкретно здесь скопировал из Libre Office-а, но все остальные последующие символы ввёл с помощью расширения браузера.

А то это уже offtop получается
Чтобы не получился offtop: а можно ли юникод-символы использовать в паролях?
Если, к примеру, сервис позволяет русские буквы в пароле, означает ли это, что любой другой символ тоже можно?
20.08.24 19:08
0 1

Чтобы не получился offtop: а можно ли юникод-символы использовать в паролях?
Если, к примеру, сервис позволяет русские буквы в пароле, означает ли это, что любой другой символ тоже можно?
В паре сервисов проверила даже )) Не взялись.
20.08.24 21:23
0 1

А здесь вы этот logₙ(x) скопировали и вставили или написали, используя код? Может, я еще какой способ ввода не знаю? В том же MS-офисе можно набрать этот юникод цифрами и нажать alt+x. Здесь и во многих других местах - это не срабатывает.
Ой как всё сложно! Я просто набрал формулу в ворде и сделал copy past сюда. Всё сработало без танцев с бубном.
27.11.24 13:22
0 0

Существует два термина:
1. what you have
2. what you know
Первое это всякие отпечатки пальцев, морда лица, карточки и прочая физическая дребедень. Второе - пароль.

Если вы отдаете этот пароль железке и благополучно забываете его (а я не знаю людей способных запомнить сгенеренный сильный пароль), то это компрометирует всю систему защиты чуть более чем полностью.
Конец истории.

Существует два термина:
1. what you have
2. what you know
я знаю что я пожалею что влез в дискусию опять но их 3:
1. Something the user has: Any physical object in the possession of the user, such as a security token (USB stick), a bank card, a key, etc.
2. Something the user knows: Certain knowledge only known to the user, such as a password, PIN, PUK, etc.
3. Something the user is: Some physical characteristic of the user (biometrics), such as a fingerprint, eye iris, voice, typing speed, pattern in key press intervals, etc.

Первый с третим рассматривать отдельно удобно только при обучении. На практике это одно.

Не согласен.
Ключ - однофакторная аутентификация: у кого ключ от склада, тот и завхоз.
Паспорт - двухфакторная аутентификация: сверяется наличие паспорта и рожа в нём, именно поэтому документы делятся на "с фотографией" и "без фотографии".
Пропуск в фирме средней руки - один фактор (обладание) для обычного использования, другой (распознавание физиономии кадровиком) для восстановления первого если посеял.

а я не знаю людей способных запомнить сгенеренный сильный пароль
Именно поэтому давно рекомендуют использовать парольные фразы. Легко запоминается, практически не подбирается.
А так запомнить 12-15 символов даже сильного пароля не сильно и сложно, если вводить его 10+ раз эври факинг дей. 😄

Не согласен.
:)
С чем? Количество факторов и тип ключа/авторизации - разные параметры.

А так запомнить 12-15 символов даже сильного пароля не сильно и сложно, если вводить его 10+ раз эври факинг дей.
Вот только тогда придётся использовать его везде - что автоматически переводит его из категории "сильный" в категорию "слитый".

Вот только тогда придётся использовать его везде
А везде я обычно использую часть от такого пароля - первые 10 или наборот последние 10 символов.
Но тут мы уходим в область того, что не все сервисы имеет смысл параноидально защищать. И уж тем более не стоит ставить типовой пароль на всякогое говно, которое требует регистрации. На мусорные сервисы я обычно ставлю рандомную хрень, которую не даже собираюсь запоминать.

А везде я обычно использую часть от такого пароля - первые 10 или наборот последние 10 символов.
Полторы сотни аккаунтов MS, полсотни сторонних сервисов и ещё по мелочи до полусотни. Все с выходом наружу - всякая хрень не подойдёт и повторяться нельзя. Сможете запомнить?
20.08.24 14:35
0 0

Лучший пароль - отсутствие пароля
20.08.24 09:48
1 0

Восемь звездочек
20.08.24 10:00
0 3

*paranoid mode on*
А где гарантия, что расчудесный менеджер паролей не пополняет те самые словарные таблицы, хотя бы и обезличенно, без привязки к логинам? А то и с...
*paranoid mode off*

У некогда пиаренной Экслером компании Roboform был чудесный продукт ToGo - зашифрованный контейнер на флешке. За который ребята собрали сколько-то денег за обещание пожизненности. И который совершенно внезапно лишился поддержки и обновлений, перестал интегрировать ся в новые браузеры, кое-как дергается в предсмертных судорогах, а кому не нравится - вот вам новый Anywhere. Который весь в облаке, которое мы в любой момент отключим - и за новые деньги, естественно.
20.08.24 09:45
1 10

*paranoid mode on* А где гарантия, что расчудесный менеджер паролей не пополняет те самые словарные таблицы, хотя бы и обезличенно, без привязки к логинам?
Он хостится у меня дома на сервере.

И код написан вами лично? Почтение! Но - какой, по-вашему, процент даже тусующихся тут имеет собственный домашний сервер и умеет кодить менеджер паролей?
Похоже, эту картинку надо на хоткей вешать...

Можно взять готовый и доступ в интернет ему файрволом закрыть, тогда гарантировано ничего не сольет

Воры, бомбы, ненадежные диски…
20.08.24 10:30
0 1

1. Это программа с открытым исходным кодом и проходила соответствующий аудит.
2. Завести собственный сервер не трудно и не дорого.

Бэкап делается по умолчанию и хранится в трех разных местах
20.08.24 10:38
0 0

расчудесный менеджер паролей не пополняет те самые словарные таблицы
Используйте оффлайновые, типа KeePassXC

Можно взять готовый
Имя, сестра, имя!!! ©

и доступ в интернет ему файрволом закрыть
И он скажет "а я так не играю!"...

А вот Мешку не трудно и не дорого откапиталить ТНВД. Но ему хватает ума не утверждать, что это будет так же нетрудно первому встречному, й-извините!..
Ей расскажите про собственный сервер! 😉

И года не прошло. Или там что-то поменялось?

А где гарантия, что расчудесный менеджер паролей не пополняет те самые словарные таблицы, хотя бы и обезличенно, без привязки к логинам? А то и с...
Ну ок, пополняет. В словарь добавился пароль ynKIpFBUF2r6J6gA - с таким же успехом, словарь мог и сам его сгенерить через рандомизатор. Удачного подбора.

Мы же про свой сервер говорим, а не их. Как они на мой сервер пролезут и отключат?

Теоретически могут закрыть код и запретить обновления, но то, что скачано из интернета не удалить, текущей версией так и буду пользоваться

1. Это программа с открытым исходным кодом и проходила соответствующий аудит.
А потом, спусят 10+ лет в них внезапно находят Zero-Day уязвимости, как это уже многократно бывало. Хотя казалось бы, аудит, опенсорс, тысячи кодопроверяльщиков.
20.08.24 11:19
0 0

И что кто будет делать с уязвимостью у меня в локальной сети?
20.08.24 11:20
0 1

А, ну тоись мы плавно возвращаемся к концепции своего домашнего сервера и допиливанию кода Битвардена? Миллионы хомячков нервно хихикают...
А Мешок нежно поглаживает робоформовскую флешку (не забыв от греха надеть антистатический браслет).

Куда возвращаемся? Вроде весь тред про селфхостед

Эээ... Нагенерить можно что угодно, но вот ynKIpFBUF2r6J6gA где-то реально используется! А это немножко меняет дело.

*paranoid mode on* А где гарантия, что расчудесный менеджер паролей не пополняет те самые словарные таблицы, хотя бы и обезличенно, без привязки к логинам? А то и с...*paranoid mode off*
Программы с открытым исходным кодом. Возьмите ту, которая сохраняет всё локально.

Ей расскажите про собственный сервер!
Вообще-то я имел в виду людей, которым подобно вам приходит в голову
А где гарантия, что расчудесный менеджер паролей не пополняет те самые словарные таблицы, хотя бы и обезличенно, без привязки к логинам?

Мешок искренне рад и за вас тоже, коль вы способны разобрать ся в открытом исходном коде.

А это немножко меняет дело.
Практически нет. Любой рандомный пароль с большой долей вероятности где-то используется или использовался.
Суть словарей же в том, что такое сочетание используется огромным количеством людей, а не единицами.

Недавно вот пин коды всех банковских карт в свободном доступе оказались. Гораздо страшнее, чем все эти ваши пароли

Недавно вот пин коды всех банковских карт в свободном доступе оказались.
Все секретные числа от 000000 до 999999?
20.08.24 14:09
0 2

ynKIpFBUF2r6J6gA
Прекрати везде приводить в пример мой мастер-пароль!

Он первый начал.

Фигассе, шестизначный ПИН???

Фигассе, шестизначный ПИН???
В Банке Америки так.

Ааа, эти... У них всё не слава богу, даже километр в 1,6 разА длиннее...

Несмотря на мили, aмериканские банки круче английских. Они действительно предоставляют некоторые "услуги", в отличие от английских, цель которых -- забрать у тебя деньги на счет и любыми способами не отдавать.

некоторые "услуги"
Неужели проценты выплачивают? 😉

Позволяют адрес иметь не в Америке, а где угодно.

в отличие от английских, цель которых -- забрать у тебя деньги на счет и любыми способами не отдавать
Поясните. Не замечал за английскими банками такого.

Интересно, насколько усложнится взлом пароля, если написать Sveltana2005Love, то есть поменять местами две буквы? Ведь это уже фактически рандомные символы, ни в каком словаре непредставленные.
И еще - ведь многие серьезные сервисы (допустим, почти все банки) просто блокируют возможность ввода пароля после n-ого количества ошибок. И как тут в подборе поможет словарь?
20.08.24 09:37
0 10

Можно даже не блокировать, а ограничивать скорость перебора. Например 100 шт/сутки. Человек явно устанет раньше чем исчерпаются попытки т. е. никакого дискомфорта не заметит. А для грубого перебора это приговор. 365*100=36500 в год, гораздо меньше чем количество слов в языке, не считая добавления перестановки букв, регистра и цифр.
20.08.24 09:54
0 3

Остается самая малость - заставить следовать этому правилу все ваши запароленные сервисы...

Ведь это уже фактически рандомные символы, ни в каком словаре непредставленные.
Шутите? Типовые опечатки включены в итерацию каждого словарного пароля. Собственно самый частый кейс, когда при обязательной смене пароля пользователь дописывает циферку или меняет местами пару букв. Это так же перебирается.
20.08.24 11:21
0 0

И как тут в подборе поможет словарь?
Элементарно. Дергается другой сервис, который не запрещает. А потом внезапно оказывается, что у типового пользователя один пароль на все сервисы и утащив его в одном месте, можно применять в другом.
Так же есть более сложные схемы когда атака идет и на сервис и на пользователя. С сервиса утаскиваются хеши паролей, и уже на ресурсах злоумышленников брутфорсятся сколько нужно - там не будет никаких лимитов на количество попыток.
20.08.24 11:24
0 1

Потом благополучно забыть пароль от менеджера паролей... Заодно не иметь доступ к бумажке где он записан.
20.08.24 09:32
1 9

Ну это вряд ли, если ты им пользуешься каждый день. Или хотя бы каждую неделю.
20.08.24 11:53
0 1

"Я же сто раз приказывал стереть код с двери! – рычал Владимир на не успевшую удрать Марию Сидоровну.– Вот, видите, к чему привело ваше разгильдяйство?! Да-да, именно ваше! Умный человек должен постоянно помнить, что окружен идиотами, и принимать соответствующие меры!
– Но код же вечно кто-то забывает! – с незамутненной уверенностью в своей правоте возмутилась аспирантка.– А вдруг забудут все сразу?
– Тогда запишите его на бумажке и спрячьте в сейф! – Владимир осекся, вспомнив, что возле сейфа (и так вечно стоящего нараспашку) имеется аналогичная надпись маркером...
После завтрака ученые, как обычно, ушли на базу, но Полина вернулась уже через полчаса и, давясь смехом, сообщила:
– У меня, похоже, выходной. Владимир пытается подобрать код из десяти тысяч комбинаций. Он его ночью со зла сменил, а сейчас вспомнить не может."(с)
20.08.24 12:42
0 2

Я не читал "Космобиолухов", даже не прикасался к книге, не знаю персонажей. Но почему-то сразу подумал что это оттуда. Как так?
20.08.24 13:29
0 0

Интуиция🙂
21.08.24 05:38
1 0

Лучший способ атаки на пароль - атака по словарю...
Лучший способ утомить такую атаку - использовать слова с грубыми грамматическими ошибками (да простит нас Рекорд)!
А вот доверять ВСЕ пароли какому-то менеджеру - это здоровая паранойя сисадмина делать не позволит! Я использую подобный менеджер, только для паролей, используемых совместно с коллегой-напарником. Для личных - никогда!!!
20.08.24 09:28
1 6

Параноидальный сисадмин просто хостит менеджер паролей на своем сервере (и делает бэкапы)
20.08.24 10:08
0 0

Именно!
20.08.24 10:12
0 0

Параноидальный сисадмин просто хостит менеджер паролей на своем сервере (и делает бэкапы)
Плохой сисадмин. Я бы даже сказал вредный. Благодаря такому Bus фактор может остановить работу целого предприятия.
20.08.24 11:26
0 0

Сколько у вас паролей? Менеджер паролей - это еще возможность не запоминать все пароли. А сейчас системы иногда запрещают ваши старые даже сложные пароли, просят не повторять, и менять раз в 3 месяца.
20.08.24 11:53
0 0

Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1грёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1грёбанаяРозоваяРозаБудетТорчать- ИзТвоейЗадницыЕслиТыНеДашьМне-ДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят
20.08.24 12:17
0 2

Это вопросы к руководству. Если оно правильное, то будет два сисадмина или более, смотря на сколько они оценивают убытки от смерти админа против зарплаты N сисадминов
20.08.24 12:21
0 2

Если оно правильное, то будет два сисадмина или более
Если оно правильное, то локальный парольный менеджер будет под управлением IT Security. 😉

И кстати, вопрос касательно бекапов. Их же тоже шифруем? А если да, то где храним пароль от бекапа сервера с менеджером паролей? 😉
20.08.24 12:38
0 2

Плохой сисадмин. Я бы даже сказал вредный. Благодаря такому Bus фактор может остановить работу целого предприятия.
Чегой-то? Бэкапы есть, информация по доступу к серверу хранится в специальном сейфе, доступном уполномоченным руководителям и Секьюрити.
20.08.24 13:23
0 0

Шутка хорошая, но ещё лучше, когда в ответ на ввод пароля: "Этот пароль уже используется пользователем Ivanov. Введите другой."
20.08.24 13:25
0 3

И кстати, вопрос касательно бекапов. Их же тоже шифруем? А если да, то где храним пароль от бекапа сервера с менеджером паролей?
А бэкапы храним в том же сейфе. На каком-то этапе придётся переходить на физическую секьюрность, иначе автобус.
20.08.24 13:26
0 0

Bus фактор
Заламинированная картонка с текстом и QR-кодом в сейфе.

И кстати, вопрос касательно бекапов. Их же тоже шифруем? А если да, то где храним пароль от бекапа сервера с менеджером паролей?
Классическая формула 3-2-1
20.08.24 14:26
0 0

Я не прав, особенно учитывая что я в айти безопасности работаю, но я делю пароли на две группы. Дико важное что создаётся с помощью специального софта и всякая ерунда. На всякую ерунду пароль - условно password, при желание подобрать можно. Но и черт с ним, ну уведут аккаунт - тут же новый сделаю. )
20.08.24 09:06
2 2

проще одну комбинацию на клаве на все неважные пароли типа - zsedcx123
20.08.24 09:22
0 0

Ну примерно так и есть ).
20.08.24 09:30
0 1

Я не прав, особенно учитывая что я в айти безопасности работаю, но я делю пароли на две группы.
Не давайте, плз, повода людям, которые не так продвинуты в сфере ИТ безопасности, относиться менее ответственно к парольной защите. Потому что легализуя в их сознании дополнительный критерий "важности" сервиса, состоящий из двух вариантов: "дико важный и все остальное", мы приведем их к варианту пароля password на все возможные варианты. а потом начинается что-то типа "а это почта для меня не очень то и важная" с паролем "1234554321", а потом к этой почте привязывается какой-то дико важный сервис, старательно придуманный очень сложный пароль для которого банально сбрасывается через "не очень важную почту". (утрировано, конечно, не судите строго.. )
20.08.24 10:10
1 5

Я не прав, особенно учитывая что я в айти безопасности работаю, но я делю пароли на две группы. Дико важное что создаётся с помощью специального софта и всякая ерунда. На всякую ерунду пароль - условно password, при желание подобрать можно. Но и черт с ним, ну уведут аккаунт - тут же новый сделаю. )
аналогично. Бесит привічка лепить регистрацию на всякую ерунду.
20.08.24 10:41
0 0

Если человек дурак, то тут ничем не поможешь. Я знаю чёртову кучу родственников и знакомым, которые не знают свой аккаунт, который к телефону привязан. И в случае потери/поломки телефона приходится ректально узнавать что у них за учетка то.
И почему я должен ради них пароль на торрент помнить, состоящий из 50 символов?))
20.08.24 12:16
1 1

И почему я должен ради них пароль на торрент помнить, состоящий из 50 символов?))
Мне тяжело ответить вам, почему вы кому-то что-то должны вообще и почему из-за нерадивых родственников ваш (или не ваш) пароль на торрент должен быть из 50ти символов в частности. но могу посоветовать воспользоваться каким-то из большого выбора как онлайн (1password, Bitwarden...), так и офлайн (KeePass, KeePassXC...) менеджеров паролей, которые позволят вам не нагружать вашу память такой информацией. Хотя, я уверен, что вы и без моих советов знаете, что это такое.
А для параноидального отношения к безопасности можно воспользоваться офлайн хранилищем для очень важных и онлайн для не очень важных паролей 😄
20.08.24 13:01
0 2

Странная у них математика. В нормальных сервисах все солится и хэшируется. Хочешь не хочешь энтропия любого пароля будет одинаковой после хэширования
20.08.24 09:03
3 5

Я так понял, дело не в том, чтобы расшифровать хранящийся на сервере захэшированный пароль, а чтобы методом перебора угадать, какой пароль вводить.
20.08.24 10:04
0 3

Методом подбора надо угадать не обязательно ваш пароль, а любой, который даст тот же хэш (коллизию). А это определяется хэш-функцией, а не изначальным паролем
20.08.24 10:10
2 0

В нормальных сервисах все солится и хэшируется.
Это спасает от кражи БД с паролями вернее хешами. От подбора это не помогает.
20.08.24 10:42
0 1

Это вы с каким тезисом спорили?
20.08.24 11:05
1 0

Странная у них математика. В нормальных сервисах все солится и хэшируется. Хочешь не хочешь энтропия любого пароля будет одинаковой после хэширования
А причем тут хэширование? Хэширование защищает, если уже получили доступ к базе. А здесь описывают атаку еще на этапе входа в систему.
20.08.24 11:51
0 1

Так сервер на этапе входа хэширует ваш пароль и сравнивает его с тем что в базе
20.08.24 12:20
2 0

Короче, даже совместными усилиями не удалось вам разъяснить вашу неправоту.
20.08.24 13:17
0 0

А без скачанной базы на руках, как многие правильно заметили, даже пятибуквенный пароль не из топ-100 не подобрать, потому что у минимально адекватных сервисов будет стоять то или иное ограничение на попытки входа.
20.08.24 14:06
0 3

а потом сервис задирает вам нос
Какой опасный сервис!
20.08.24 09:02
0 7

а потом сервис задирает вам нос
Какой опасный сервис!
Любой сервис может быть скомпрометирован, может быть утечка.
Даже самый сложный пароль может быть украден.
Я не к тому, что нужно делать легкие пароли (имхо, на все финансы от 20 символов, обязательно с цифрами и знаками), а к тому, что еще и обязательна 2х факторная аутентификация.
Без нее никуда.
20.08.24 15:55
0 0

Наверное, имелось в виду "утирает"?
20.08.24 15:57
0 0

Наверное, имелось в виду "утирает"?
Скорее, "задирает перед вами (свой) нос" / "Крутит перед вами (своим) носом".
21.08.24 15:52
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 276
авто 446
видео 4034
вино 360
еда 503
ЕС 60
игры 114
ИИ 29
кино 1584
попы 194
СМИ 2777
софт 935
США 136
шоу 6