Weblabor

Căutare

Parola

Din următoarele două șiruri:

a.) "TQmfz: aVLzMJ6. * b.)" Nu se poate ca atâtea inimi să verse sânge degeaba! "

care este parola mai bună? De ce?

Vrei sa vorbim despre asta? Obsesie

Vrei sa vorbim despre asta? Sau chiar nu știi?
Oricum, al doilea nu este atât de câștigător din cauza accentelor, deci primul în acest sens.
Dacă vă uitați la cât timp este necesar pentru a descifra una sau alta folosind forța brută, atunci a doua.
Problema începe cu presupusa dezvoltare lentă a primelor așa-numite computere cuantice, care accelerează complet astfel de atacuri (cu condiția să aveți fișierul cu parole hash).
Îmi pare rău, este foarte dimineață.:)

zmt, Yuvat, Sniu "1tg4t.
Cum îți place asta? Puteți observa chiar dacă chiar vreau:)

Accent

Am fost învățat acel an,

Problema este nu

Problema nu este că nu este rezolvată, ci că puteți ajunge în fața unei mașini unde, de exemplu, nu există accent. Atunci cum intri? Prin urmare, acestea nu sunt de obicei recomandate pentru ID-uri sau parole. În zilele noastre, ar trebui să aveți suficiente elemente de bază pentru a rula un UTF-8 etc. fără probleme.

Ați putea spune că de acum înainte toate UTF-8 sau orice altceva, trebuie doar să acordați atenție rezervării, cu 1 caracter nefiind sigur că se poate încadra în 1 octet și așa mai departe. Deci, dacă, de exemplu, cineva dorește să se înregistreze într-un DB codificat în maghiară cu caractere chinezești, vor exista probleme. În cazul Oracle, puteți specifica, de exemplu, dacă dimensiunea câmpului de text este în octeți sau caractere.

Oricum, parolele foarte lungi și ușor de reținut tind să fie recomandate. Spre deosebire de a avea tot felul de parole de cricket-crack.

Nu știu cât de mult în aceste zile

Tastatură

Nu eu chiar acum. Dar sunt

Astăzi: de ce nu?

Nu contează pentru stocare,

Desigur, nu cu o parolă. Cu o parolă, contează doar ceea ce contezi din ea. Cu toate acestea, puteți conta pe un ID.

Dacă este și un aspect,

Cum se dovedește că sunt

dicţionar

Nu cunosc marele hacker sau partea întunecată.:-D
Am citit - și nu cred că este imposibil - că, dacă o mulțime de hashuri de parolă ajung în mâini neautorizate (de exemplu, piesa a fost aruncată cumva), atunci există și o soluție de vocabular, dar nu au fost scrise detalii (cred nu întâmplător) și nu chiar mă ocupă atât de mult.
Dacă îmi amintesc bine, ideea este că, deși produc hash-ul de probă de dimensiune ardei iute, salvează și toate rezultatele (dacă există), iar pe baza acestora, sistemul de ghicire devine mai inteligent. Dar nu-mi amintesc matematica specifică, dar probabil că nici măcar nu este scrisă.

Sunt încă de cealaltă parte, așa că aș prefera să încerc să evoluez pentru a utiliza soluții care nu au un lucru ușor de făcut cu unul (sau mii) de hash-uri, indiferent care este parola din spatele acestuia. (Evident că nu poți fi complet independent, dar înțelegi bine.)
Poate că nu merită, dar dorm liniștit pe acest site.:-D

Atacul dicționar este despre.

Atacul dicționar este despre. înseamnă (cu excepția cazului în care îmi amintesc rău) că ați dat un set imens de date care conține parole cunoscute și hashurile asociate acestora. Dacă aveți o bază de date cu parole criptate și aveți o astfel de listă (puteți căuta exact cum se numește tabel curcubeu), puteți căuta hash-ul extins în acest tabel și puteți ști deja la ce parolă aparține.
În principiu, aceasta este oarecum protejată împotriva așa-numitei sărări, când un șir aleatoriu, chiar și ceva diferit per parolă, este adăugat la parola reală înainte de a fi stocat. Această „sare” este de obicei stocată într-o formă lizibilă lângă hash-ul parolei (vezi de exemplu parametrii funcției criptă),.
Sau, din câte știu, mai multe hash-uri (de exemplu, când retrimiteți un hash deja completat la funcția de codificare de mai multe ori) sunt de asemenea utilizate în acest scop.
Astfel, sistemul este oarecum protejat de accesul neautorizat la parole fără forță brută.

Nu știu că ar fi un rezultat parțial, de ex. forța brută în timp ce încerc, dar poate știu greșit.

In linii mari. Desigur, nu strica să protejezi dacă utilizatorul este dezactivat pentru o vreme sau definitiv după x încercări, astfel încât să nu poți intra ghicind.

Nu prea înțeleg asta

De unde este asta? Cine a facut asta?
Bine, să presupunem că presupunem că nu există nici sărare, nici n> 1-hashing, apoi chiar eu l-am generat. Dar acest lucru pare totuși prea simplu, plus că a fost rău dacă una dintre cele două condiții de mai sus a fost îndeplinită.
Și, în practică, este mai obișnuit ca yahoo să spună asta acum câțiva ani că ajung într-un fel la tabelul utilizatorilor și apoi încearcă să înceapă ceva cu el.

- Sarare: as spune astazi ca ar trebui folosita mai multa sare. Există ceva care NU este NUL, al cărui nume de coloană nu este neapărat „sare” ci (să zicem) numele de utilizator, porecla etc., ci date reale (de preferință mai multe). În plus, există cu siguranță cel puțin o sare fixă ​​care nu se află în db, ci undeva în codul sursă/config și este cunoscută doar de cine poate accesa fișierele.
- Hash: în orice caz, este multiplu, sărat între timp, iar piesele nu pot conține tehnica sau piesele de codare, pot face parte doar din software. (Și are sens să folosiți hash fv, cum ar fi cripta.)
- Protecție: dacă nu există un motor de căutare cunoscut și nici o sesiune (vizitator „nou”), atunci solicitările de la același IP sunt, de asemenea, limitate în timp. Dacă aplicația este astfel încât să poată fi utilizată doar de un utilizator autentificat, atunci o limitare suplimentară este că, atâta timp cât nu există autentificare, poate veni doar o cerere de autentificare. El își dă seama că numai y cererile de autentificare pot proveni din același timp în x timp. Sigur, puteți modifica acest lucru la nesfârșit, dar asta este baza. Prea multe încercări în locul unui utilizator prefer să le asociez cu o adresă IP, deoarece poți face rapid, să zicem, să postezi doar, să zicem, 2 pe utilizator, dar cu mii de utilizatori.

Unde? Darkweb. cel mai.

Na ugye:)

Cred că asta ar trebui să funcționeze pentru el

Da scuze

Să presupunem că nu aveți nevoie de md5

- Sare: aș spune astăzi,

Sunt în al doilea număr

În al doilea, aș înlocui vocalele accentuate cu numere: „Nu se poate ca atât de multe inimi să fie degeaba!”. Apoi, este compatibil cu tastaturile englezești, nu există probleme utf-8 și este puțin ofuscat. Deși puteți scrie sistemul pentru a converti automat caractere accentuate înainte de a încerca parola.

Ambele sunt suficient de puternice pentru putere, dar pot fi vulnerabile la un al doilea atac de dicționar. În ambele cazuri, una dintre parole poate fi deja în baza de date, deci oricare ar putea fi ruptă odată ce a fost folosită și furată. Prin urmare, ar trebui să creați o parolă unică peste tot și să o schimbați la anumite intervale. Pentru mine, cred că mi-a fost furată parola LinkedIn, cel puțin poate acum 1 an mi-au trimis o scrisoare să o schimb pentru că sistemul lor a fost compromis.

linkedin

Este greu să fii aici pe 21.

Mai întâi trebuie să definiți ce

Mai întâi trebuie să definim ce înțelegem prin drept.

Parola este

Pot exista probleme cu ambele parole:

  • Site-ul nu permite o parolă prea lungă (2)
  • Site-ul nu permite caractere accentuate în camera de semnalizare (2)
  • Site-ul nu permite caractere speciale în sala de semnalizare (1)
  • Parola nu este conformă cu propria politică de parolă a site-ului web (1, 2)
  • Parola este greu de tastat pe tastatura engleză (2)
  • Parola greu de reținut (1)

Acum nu am niciun motiv să judec care dintre aceste limită complet idiot.

Practic, josag depinde mai mult de locul în care doriți să utilizați parola.

Specific parole aleatorii de aproximativ 12 caractere și le gestionez cu un manager de parole, așa că nu întâlnesc niciodată majoritatea parolelor mele, nu trebuie să le introduc.

Pentru mine, mai precis

Ceea ce este mai ciudat pentru mine este că sistemele bancare nete nu permit parole lungi. La MKB, obișnuiam să cred că erau 14 caractere, a fost împinsă la aproximativ 20 acum câțiva ani, Paypal permite doar 20 de caractere și nu cred că pot exista spații în ea. În cazul în care o parolă lungă ar fi importantă, utilizarea acesteia este împiedicată.

Nu am atât de multă încredere în managerii de parole, doar memorez zecile de parole cu ei, precum laboratorul web, unde nu este para dacă o rup, pentru că max postează ceva stupid pe forum. Aceste parole sunt setate la aprox. sunt de așa natură încât lovesc tastatura și apoi ce iese. Îi amintesc pe cele importante și, după cum arăt, tind să aibă între 15 și 35 de caractere. Acestea sunt astfel de propoziții întregi sau jumătate, ziceri neobișnuite sau ceva de genul acesta, deci este imposibil să le ghiciți. Există în total o jumătate de duzină dintre acestea, așa că nu mi-e greu să le comentez, le pot introduce în câteva secunde, așa că nu pierd mult timp cu el, mai ales la fel de lent ca oficial, bancar etc. sunt. pagini. Ceea ce folosesc de multe ori mi-a ars atât de mult în mâini încât am 20 de caractere în mai puțin de 1 secundă. Acum am măsurat că tastarea a aproximativ 450 de caractere pe minut ar corespunde cu peste 1000. Deși așa cum arăt, nu este nici măcar o viteză record mondial.: D

Apropo, dacă vă înregistrați pe un site în limba engleză cu cuvinte maghiare și hackerul folosește un dicționar englez, ați eșuat deja cu atacul dicționar. Dacă amestecați și mai multe limbi, pentru că nu cred că majoritatea dintre voi mă gândesc la asta. Poate fi consolidat și mai mult dacă conține un nume personal mai puțin fictiv, posibil fictiv, nume de loc, cod poștal, număr de dosar, număr de telefon și așa mai departe. Dacă scrieți greșit aceste cuvinte în funcție de pronunție și/sau dialect, de ex. „Pe versanții înclinați ai Macsupicsu” (27 de caractere), parola poate fi și mai puternică. Dacă cuvintele cu prietenii tăi sunt incluse în copilăria ta, aceasta va fi de aprox. categoria incasabilă.

Pe de altă parte, cred că trebuie să vă gândiți și la cele de mai sus, că cineva tastează cu un singur deget, cu maxim doi și nici măcar fără cusur. E suficient să te uiți în jurul familiei. Parola lungă este deosebit de incomodă pentru ei.

Ceea ce îmi place în mod deosebit la parole este fraza de acces dată cheii private RSA. Adică, blocarea criptării în sine este o prostie, dar cred că principiul este minunat că criptezi cheia pe care o folosești pentru criptare cu o parolă și să nu obții cheia din parola însăși. Cred că există unele gestionare de parole care generează și stochează parole pe acest principiu și le protejează cu o parolă principală, dar cele mai multe sunt nenorocite, există/au fost și cele care au stocat parolele în text simplu.

La bancă, îmi place (de asemenea) foarte mult faptul că numele de utilizator nu este un nume, ci un id de aproximativ 10 cifre, și chiar și asta încearcă să împiedice browserul să-și „amintească” browserul.
Parola este un simbol pe care îl obțineți fie de la un dispozitiv hardware suplimentar (nu cred că se mai folosește prea mult), fie de la o aplicație mobilă, din care poate exista și una singură pentru un cont.
Desigur, nu puteți copia jetonul (sunt oarecum de acord cu asta), dar:
- doar un număr din 6 cifre pe jeton
- se află încă în câmpul de parolă de pe interfața web, deci nu o vedeți dacă tastați:-D
- Nu știu exact cât timp, dar este valabil mai mult de 30 de secunde (!).
- Poate fi interesant să folosiți singurul generator de jetoane pentru un cont de companie.

În general, cred că aceasta este o soluție foarte mizerabilă, în primul rând aș folosi în mod normal șiruri acolo ca nume de utilizator și parolă și aș cere simbolul ca al doilea factor obligatoriu.
Și doar simbolul (nou) este suficient pentru plăți.
Să presupunem că am alte probleme cu această bancă, s-ar putea să schimbați, dar este deja offtopkic.