Полезная информация

Пользователи не любят читать документацию. Станьте оригинальным, будьте не как все. Ознакомьтесь с нашей базой знаний.

№116-11-2008 16:14:08

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
UA: Firefox 3.0
Веб-сайт

О стойкости паролей

Интересует вопрос, насколько более/менее стойким является пароль вида DQGI5p8VRk (случайным образом сгенерированный) по сравнению со, скажем
Jlyf;lsdcnel`ye.pbvy..gjhezbpktcedsitk,skcbkmysqvjhjp (Однажды в студёную зимнюю пору...)
более запоминаемым.
Есть ли на этот счёт какое-нибудь авторитетное мнение ?

Отредактировано Anton (16-11-2008 16:14:33)


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№216-11-2008 16:56:37

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 9.6
Веб-сайт

Re: О стойкости паролей

По моему, безусловно авторитетному, мнению, в данном случае сказать сложно. Ибо слишком сильно различаются длины паролей. Но имейте в виду: в библиотеках для подбора паролей есть русские слова "в неправильной раскладке" и много других интересных вещей.


Ядрёная консоль делает меня сильней!

Отсутствует

 

№316-11-2008 17:00:09

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1297
UA: Firefox 3.0
Веб-сайт

Re: О стойкости паролей

Anton
Стойкость напрямую зависит от энтропии. В первом случае эта степерь выше (хотя тут еще надо принимать во внимание источник генерации).


Все микробы умрут

Отсутствует

 

№416-11-2008 17:08:59

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4331
UA: Firefox 3.0

Re: О стойкости паролей

По идее, пароли, имеющие какой-либо смысл, ломаются перебором значащих слов.

DQGI5p8VRk
[a-zA-Z0-9]
26*2 + 10 = 62 вариантов
Итого: 62^10 = 839 299 365 868 340 200 = 8.39 * 10^17 разных паролей
Предположим, что можно проверять 100 000 паролей в секунду (что на самом деле сомнительно), получим: ~265958 лет на гарантированный подбор =)
И это с учетом того, что точно известна длина пароля.
В общем случае
62^1 + 62^2 + ... + 62^10 = 853 058 371 866 181 900 = 8.53 * 10^17

Для второго случая надо знать язык фразы.
Допустим, точно известно, что это русский.
В имеющимся у меня под рукой орфографическом словаре ~110 000 слов (и это без словоформ, как я понимаю).
Часть из них, конечно, редкие.
Если не учитывать возможность генерации «разумных» фраз (хотя есть прецеденты =)), впрочем, по идее, запоминать можно и не связанные напрямую слова:
1 – 9 слов, всего 50 000 разных слов.
Получаем:
50000^1 + 50000^2 + ... + 50000^9 = 1.95 * 10^42
При возможности набора в другой раскладке количество вариантов удвоится.
По сути все упирается в возможность перебора не всех слов подряд, а только фраз со смыслом (а оцифровать ассоциативный смысл, по-моему, весьма проблемно). И оценить это проблематично.

Вот такая ни на что особо не претендующая арифметика =)

Хотя я предпочитаю случайные буквоцифры разного регистра – их быстрее набирать (а на память я пока не жалуюсь :)).
Вообще, была одно время идея запоминать один «базовый» пароль, а дальше к нему прибавлять некое несложное (производимое без особых затруднений в уме) преобразование от домена и никнейма.

P.S. http://s58.radikal.ru/i162/0811/e5/497fd8a6f6de.jpg :D


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№517-11-2008 14:47:14

Anton
Участник
 
Группа: Extensions
Откуда: от верблюда
Зарегистрирован: 14-12-2004
Сообщений: 3057
UA: Firefox 3.0
Веб-сайт

Re: О стойкости паролей

Благодарю за предложенные мнения.
Немного расширил представление о предметной области.
Несколько укрепился в априорном убеждении о большей стойкости первого варианта, несмотря на то, что расчёты свидетельствуют в пользу второго. Просто, подразумевались осмысленные легкозапоминаемые тексты.
Идея использования неосмысленного набора слов кажется перспективной с точки зрения запоминания (слова - это "крючочки" за которые цепляются мысли, а буквы с цифрами ещё не слова), но чёрт его знает.

P.S. http://s58.radikal.ru/i162/0811/e5/497fd8a6f6de.jpg

И в этом случае первый вариант кажется более стойким. Его напрочь забыть проще )

Отредактировано Anton (17-11-2008 14:48:14)


Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!

Отсутствует

 

№617-11-2008 19:23:04

retid
Участник
 
Группа: Members
Зарегистрирован: 15-11-2008
Сообщений: 11
UA: Opera 9.5

Re: О стойкости паролей

зачем такие сложные пассы?!,...такие ломаются пинчем...зачем насиловать свой мозг? пинча проще подкинуть;)

Отсутствует

 

№717-11-2008 20:45:56

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4331
UA: Firefox 3.0

Re: О стойкости паролей

memini пишет

На CUDA для mysql4 хэша - проверяется на тачке за 1000$ нескольско сот миллардов пассов/сек. Для мд5 - 1 миллиард можно сделать.

Ну, еще все зависит от времени, которое затрачивается на определение, подошел пасс или нет.
Скажем, для большого запароленного архива это время должно быть больше, нежели для мелкого.
А с паролем к сайту надо еще затратить время на отправку запроса.

Я сомневаюсь, что меня будут пытаться «вскрыть» серьезные дяди, так что пока моя паранойя развилась только до 12-ти случайных буквоцифр разного регистра. :) Точнее, почти случайных – из сгенерированного набора выбирается более «благозвучный».

Anton пишет

Идея использования неосмысленного набора слов кажется перспективной с точки зрения запоминания (слова - это "крючочки" за которые цепляются мысли, а буквы с цифрами ещё не слова), но чёрт его знает.

Я имел в виду, что ассоциативные и прочие нелинейные связи навряд ли можно успешно оцифровать в виде алгоритма подбора.
Соответственно, есть смысл использовать «нелогичные» комбинации.

P.S. Из справки к 7-Zip (подчеркивание мое; переводить лень):

Here is an estimate of the time required for an exhaustive password search attack, when the password is a random sequence of lowercase Latin letters.

We suppose that one user can check 10 passwords per second and an organization with a budget of about $1 billion can check 10 billion passwords per second. We also suppose that the processor in use doubles its performance every two years; so, each additional Latin letter of a long password adds about 9 years to an exhaustive key search attack.

The result is this estimate of the time to succeed in an attack:

Выделить код

Код:

Password Length  Single User Attack  Organization Attack
10               37 years            4 hours
11               46 years            4 days
12               55 years            4 months
13               64 years            4 years
14               73 years            13 years
15               82 years            22 years
16               91 years            31 years
17               100 years           40 years

Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№817-11-2008 22:47:48

Erik
Рупор народной культуры
 
Группа: Members
Откуда: Бавария, Бюргерстан
Зарегистрирован: 25-09-2006
Сообщений: 1341
UA: Konqueror 4.1

Re: О стойкости паролей

Сегодня почувствовал себя блондинкой — менял пароль и два раза одинаково опечатался. Пароль поменялся, а войти не могу, потому что не знаю, какую именно букву неправильно набрал. Пришлось идти на поклон к администратору. Бывают случаи, когда слепой набор — зло.

Отсутствует

 

№902-02-2009 19:52:55

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4331
UA: Firefox 3.0

Re: О стойкости паролей

И еще одна картинка на тему =)

Отредактировано Infocatcher (02-02-2009 19:55:03)


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№1003-02-2009 00:51:13

Erik
Рупор народной культуры
 
Группа: Members
Откуда: Бавария, Бюргерстан
Зарегистрирован: 25-09-2006
Сообщений: 1341
UA: Konqueror 4.2

Re: О стойкости паролей

Отсутствует

 

№1103-02-2009 01:16:43

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4331
UA: Firefox 3.0

Re: О стойкости паролей

Erik
Ну, да, но не все могут. К тому же, в переводе есть ссылка на оригинал, тогда как обратное неверно. =)


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№1203-02-2009 10:12:58

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 9.6
Веб-сайт

Re: О стойкости паролей

Erik
Зачем? Если перевод нормальный (-:Е
Сам-то я подписан на родное RSS, но не из принципа, а потому что раньше и полнее.


Ядрёная консоль делает меня сильней!

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]