Komentarze
Komentarzy na stronę
1 2
Kaworu (2013.10.25, 11:57)
Ocena: 9
#1

0%
'Sami przyznacie, że hasło, choć długie, do bezpiecznych nie należy.'

A ja bym poprosił o rozwinięcie, czemu to nie jest bezpieczne hasło?
maxpower (2013.10.25, 12:34)
Ocena: 0
#2

0%
Dlaczego stwierdzono że to hasło jest mało bezpieczne?
Przecież można zbudować hasło składające się tylko z małych liter i tak będzie bezpieczniejsze niż 'skomplikowane' 8 znakowe
marcin_kg (2013.10.25, 12:35)
Ocena: -4
#3

0%
Kaworu @ 2013.10.25 11:57  Post: 697452
'Sami przyznacie, że hasło, choć długie, do bezpiecznych nie należy.'

A ja bym poprosił o rozwinięcie, czemu to nie jest bezpieczne hasło?

Ponieważ składa się z popularnych i nieskomplikowanych fraz. Metodą brute force takie hasło zostanie ujawnione dosyć szybko.


Co do konferencji:

To ma być ta cenna wiedza, za którą trzeba było niemało zapłacić?
*Konto usunięte* (2013.10.25, 12:48)
Ocena: -3
#4
Kaworu @ 2013.10.25 11:57  Post: 697452
'Sami przyznacie, że hasło, choć długie, do bezpiecznych nie należy.'

A ja bym poprosił o rozwinięcie, czemu to nie jest bezpieczne hasło?


Bo jest słownikowe.
Kaworu (2013.10.25, 13:15)
Ocena: 3
#5

0%
Misti @ 2013.10.25 12:48  Post: 697476
Bo jest słownikowe.
Bzdura właśnie. Słownikowe hasło to 'Mike', 'Warszawa', ewentualnie 'cycki77'. Podany przykład zawiera 9 słów. Słów w języku angielskim jest około 171476, czyli możliwych kombinacji słów (nie uwzględniając wariacji wielkości liter) jest w podanym przykładzie:
1,2818*10^47

11 znakowe hasło składające się z małych, dużych liter, cyfr i znaków specjalnych ma
2,6956*10^20 kombinacji, czyli 27 rzędów wielkości mniej.

Lepiej, hasło z samych małych liter mające 11 znaków to:
3,6703*10^15

A popularne minimalne wymagania dla bezpiecznego hasła (8 znaków, wielkie małe litery, znaki specjalne, cyfry):
7,2220*10^14

Podany wyżej przykład jest bardzo bezpiecznym hasłem mimo tego, że składa się z bardzo popularnych angielskich wyrazów (a to zakładając TYLKO zmienianie w nim wyrazów). Nie da się go 'odgadnąć' nie wyciągając o nim informacji od osoby która je stworzyła. I jest proste do zapamiętania.

PS: Podany wyżej przykład, łamany brute-force (zakładając że atakujący wie z czego się składa, a skąd miałby wiedzieć?) to:
1,7067*10^89 kombinacji
hegemondev (2013.10.25, 13:32)
Ocena: 3
#6

0%
Kaworu @ 2013.10.25 13:15  Post: 697484
Misti @ 2013.10.25 12:48  Post: 697476
Bo jest słownikowe.
Bzdura właśnie. Słownikowe hasło to 'Mike', 'Warszawa', ewentualnie 'cycki77'. Podany przykład zawiera 9 słów. Słów w języku angielskim jest około 171476, czyli możliwych kombinacji słów (nie uwzględniając wariacji wielkości liter) jest w podanym przykładzie:
1,2818*10^47

Podany wyżej przykład jest bardzo bezpiecznym hasłem mimo tego, że składa się z bardzo popularnych angielskich wyrazów (a to zakładając TYLKO zmienianie w nim wyrazów). Nie da się go 'odgadnąć' nie wyciągając o nim informacji od osoby która je stworzyła. I jest proste do zapamiętania.


Dokładnie. Dla tych co nadal uważają, że to hasło jest łatwe do złamania, polecam korepetycje z matematyki. Najlepiej zacząc od http://pl.wikipedia.org/wiki/Wariacja_z_powt%C3%B3rzeniami
.
Poprawcie to zdanie: 'Sami przyznacie, że hasło, choć długie, do bezpiecznych nie należy', szkoda się kompromitować.
Telvas (2013.10.25, 14:09)
Ocena: 0
#7

0%
Lol, przecież to jest hasło wręcz wzorcowe ;p Długie, zawiera coś więcej niż małe litery, dość łatwe do zapamiętania. Jakby wszyscy takich używali, to bruteforce przestało by istnieć.
Xvim (2013.10.25, 17:54)
Ocena: 7
#10

0%
Jakas dziwna matematyka.

1) 10000^8 = 10^32 a nie 10^24
1a) nawet jesli tak liczysz to jak juz bylo napisane slow nie jest 10000 tylko 150000 (okolo) 150000^8 to 10^32*15^8 = ~2.5*10^43
2) Dla 30 znakow (zakladamy 26 znakow x2 bo duze litery i 10 cyferek ) to 62^30. Nawet jesli liczysz 93 rozne znaki to nadal 93^30 a nie 30^93 ( a to duuuza roznica). 62^30 to okolo 10^53 czyli istotnie 30 roznych znakow jest lepsze, ale juz 23 znaki sa gorsze.

A koncowy przyklad to juz smiech na sali

10 znakow wybranych z 93 znakow asci to 93^10 - czyli mniej niz 10^20. A co do tych slow to jak juz mowilismy to okolo 10^44 (pewnie wiecej bo slow jest wiecej niz 150000)

Minusuje cie nie dlatego ze kwestionujesz sile hasla, tylko dlatego ze pod haslem 'jakas dziwna ta matematyka' przedstawiasz obliczenia za ktore bys dostal pale w liceum :).
HitmaNeK (2013.10.25, 18:42)
Ocena: -3
#12

0%
Kaworu @ 2013.10.25 11:57  Post: 697452
'Sami przyznacie, że hasło, choć długie, do bezpiecznych nie należy.'

A ja bym poprosił o rozwinięcie, czemu to nie jest bezpieczne hasło?


może łatwiej jest podejrzeć i zapamiętać taki 'wierszyk' niż łamańca z podmienionymi znakami.
Kaworu (2013.10.25, 19:38)
Ocena: 4
#14

0%
ogotay @ 2013.10.25 18:50  Post: 697585
Misti i Piobzo już wyjaśnili. Hasło jest łatwe do złamania metodą ataku SŁOWNIKOWEGO.
Czy Ty przeczytałeś mój post? Ze zrozumieniem? Liczba kombinacji w pierwszym wyliczeniu to liczba kombinacji SŁÓW nie znaków. 1,2818*10^47 to ilość kombinacji tej zlepki słów języka angielskiego. I to bierze po uwagę tylko ilość kombinacji 9 wyrazowej zlepki.
Nie bierze pod uwagę tego że atak zacznie się od jednego słowa, bo wtedy to jest nie proste 170k do 9 potęgi, a (170k ^ 1) + (170k ^ 2) + ... + (170k ^ 9).

Hasło słownikowe jest względnie proste do złamania jak składa się z jednego wyrazu. Przy 2 słowach poziom jego skomplikowania rośnie z trywialnych 170k (dla języka angielskiego) do 28900000k, przy trzech 4913000000000k (170k ^ 3).

Szybko możesz 'łamać' hasła jak masz dostęp do niezasolonego, pojedynczego hasha z hasła. Jak masz łamać hasło przez sieć to, załóżmy sobie prędkość 1k haseł na sekundę. Złamanie hasła trój-wyrazowego, używając metody słownikowej: 155790,20 LAT. (((4913000000000 / 3600) / 24) / 365).

PS: w polskim mamy około 150k wyrazów.
Kaworu (2013.10.25, 23:23)
Ocena: 4
#16

0%
It is encouraging that users try to make their passwords more secure by using passphrases. [...] They need to make some sort of sense to the user. That is what makes them vulnerable.
Cały sens tego artykułu co podlinkowałeś to 'nie używaj fraz mających sens' (bo teraz za słowniki używamy zdań wziętych z wiki i podobnych źródeł) nie neguje tego co napisałem a jedynie wskazuje (na coś co pominąłem) że ożywanie oczywistych zdań może nie być bezpieczne. Problem z tym artem polega tez na tym, że też jest teoretyczny, a wszystkie rozważania są oparte na prędkości hashowania algorytmu MD5, który już od dawna nie jest uznawany za zbytnio bezpieczny.

Jak i z frazami, tak i z hasłami - jeśli dobierzesz coś głupiego jak 'aaaaaaA1' albo 'litwoojczyznomojatyjestesjakzdrowie'* - jesteś mniej więcej podobnie (nie)zabezpieczony. Ale jak użyjesz 'zwrotnopowietrznacyrkulacjademona' jesteś lepiej zabezpieczony niż używając 'adHjw6Kt$$'.

* - aczkolwiek jak sam art wskazuje, ta technika raczkuje. Zanim będzie się nadawała do poważnych ataków minie jeszcze trochę czasu. Póki więc nie trafisz na NSA, inwokacja jest bezpieczniejsza o wiele rzędów długości niż 10 znaków hasła ze wszystkiego.

Metoda ataku opisana w artykule ma jedną zasadniczą wadę, wzięto 860,000 * 0,4 hashy, wenerowano słowniki i to co wypluł hascat podstawiali do bazy danych sprawdzając czy coś tam pasuje. Innymi słowy - nie usiłowano złamać konkretnego hasła. Fajnie działa jak wykradniesz komuś db (jeszcze z hasłami w MD5 bez soli). Ale tak sobie to zadziała na 'to konkretne hasło' (o którym nic nie wiesz).

Swoją drogą fajne hasła tam połamali 'kocham cie misiu'. ;D
cdarek (2013.10.25, 23:24)
Ocena: -4
#17

0%
Kaworu @ 2013.10.25 19:38  Post: 697601
ogotay @ 2013.10.25 18:50  Post: 697585
Misti i Piobzo już wyjaśnili. Hasło jest łatwe do złamania metodą ataku SŁOWNIKOWEGO.
Czy Ty przeczytałeś mój post? Ze zrozumieniem? Liczba kombinacji w pierwszym wyliczeniu to liczba kombinacji SŁÓW nie znaków. 1,2818*10^47 to ilość kombinacji tej zlepki słów języka angielskiego. I to bierze po uwagę tylko ilość kombinacji 9 wyrazowej zlepki.
Nie bierze pod uwagę tego że atak zacznie się od jednego słowa, bo wtedy to jest nie proste 170k do 9 potęgi, a (170k ^ 1) + (170k ^ 2) + ... + (170k ^ 9).

Hasło słownikowe jest względnie proste do złamania jak składa się z jednego wyrazu. Przy 2 słowach poziom jego skomplikowania rośnie z trywialnych 170k (dla języka angielskiego) do 28900000k, przy trzech 4913000000000k (170k ^ 3).

Szybko możesz 'łamać' hasła jak masz dostęp do niezasolonego, pojedynczego hasha z hasła. Jak masz łamać hasło przez sieć to, załóżmy sobie prędkość 1k haseł na sekundę. Złamanie hasła trój-wyrazowego, używając metody słownikowej: 155790,20 LAT. (((4913000000000 / 3600) / 24) / 365).

PS: w polskim mamy około 150k wyrazów.


Chodzi o to, że hasło zawiera postacie z tego samego kontekstu, więc faktycznie nie był to atak na coś o równoważnej złożoności jak hasło z przypadkowymi dziewięcioma literami.

Wymaganie ośmiu liter jest spowodowane tym, że brute force gdzieś tam w okolicy 6-7 znaków daje radę, czyli zmniejszenie złożoności nastąpiło przez znalezienie się w słowniku sklejek wyrazów z tego samego kontekstu np. DonaldGoofy albo MickeyMinnie i już jest zamiast 9 wyrazów tylko 7. Mogłby nawet nie być potrzebne żadne specjalne metody poza zwykłą słownikową, jeśli te zbitki już były w jakiejś liście haseł.
Kaworu (2013.10.25, 23:34)
Ocena: 3
#18

0%
cdarek @ 2013.10.25 23:24  Post: 697645
Wymaganie ośmiu liter jest spowodowane tym, że brute force gdzieś tam w okolicy 6-7 znaków daje radę
Zależy: jaką droga następuje atak, i czym jest łamany.

cdarek @ 2013.10.25 23:24  Post: 697645
czyli zmniejszenie złożoności nastąpiło przez znalezienie się w słowniku sklejek wyrazów z tego samego kontekstu np. DonaldGoofy albo MickeyMinnie i już jest zamiast 9 wyrazów tylko 7.
Owszem, ale 7 to wciąż wielka entropia.

cdarek @ 2013.10.25 23:24  Post: 697645
Mogłby nawet nie być potrzebne żadne specjalne metody poza zwykłą słownikową, jeśli te zbitki już były w jakiejś liście haseł.
Mało prawdopodobne, ale nie niemożliwe.

Oraz jeszcze jedna rzecz, wszystkie tego typu ataki zakładają, że o haśle coś wiadomo. Mav podlinkował art gdzie zrobiono coś w rodzaju 'zbudujemy zdania i podstawimy je do całej masy hashy, które wyciekły' - znalazły się, a jak. Ty też analizujesz przypadek kiedy już hasło znasz. A jak nie nasz? I chcesz złamać to konkretne hasło?
=-Mav-= (2013.10.26, 02:12)
Ocena: 0
#20

0%
Łamanie haseł podobnych do tego z artykułu stało się prostsze właśnie dzięki wyciekom kilku wielkich baz danych z hasłami tworzonymi przez internautów; dzięki temu okazało się że wcale nie trzeba się siłować z długimi hasłami, do rozgryzienia tych dłuższych niż 8 znaków wystarczy zwykle odpowiedni słownik i algorytm który jeszcze po drodze pozamienia duże litery z małymi, o z 0, e z 3 itd a łatwo dostępna moc obliczeniowa załatwi resztę. Zgadza się że sprawę w duże mierze skomplikowałoby stosowanie bardziej czasochłonnych funkcji skrótów, ale dziś zwykle stosuje się do tego md5, który nawet posolony nie jest wystarczającym zabezpieczeniem. I w ten sposób padają hasła takiej jak to wyżej oraz correcthorsebatterystaple które jest już chyba w każdym słowniku :E
Zaloguj się, by móc komentować
Aktualności
Specyficzny sprzęt dla najbardziej wymagających. 9
Serwis streamingowy nie dał rady konkurencji. 21
Czyżby firma myślała o wejściu na nowy segment rynku? 13
Czyżby firma i na tym polu chciała przegonić Samsunga? 3
Zmiana, o którą nikt nie prosił. 17
Premiera karty coraz bliżej. 18
Sony zadowolone ze sprzedaży mocniejszego modelu. 76
Specyficzny sprzęt dla najbardziej wymagających. 9
Serwis streamingowy nie dał rady konkurencji. 21
Wszystko przez kolejny wyciek danych. 8
Ciekawe znalezisko. 17
Miły prezent na mikołajki. 8
Sony zadowolone ze sprzedaży mocniejszego modelu. 76
Jest dobrze, chociaż spodziewałem się większej liczby. 31
Gala obfitująca w ciekawe ogłoszenia. 29
Facebook
Ostatnio komentowane