Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Рад, что хоть чем-то... 16.11.07 10:21 Число просмотров: 3948
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 16.11.07 10:33 Количество правок: 3
|
> Спасибо!!
Рад, что хоть чем-то...
> Его словари очень похожи на обэчные словари, не парольные.
> Например, там нет "qwerty" и пр. Там совсем нет акронимов
> типа "pwd4r00t".... На openwall, кажется, нашел неплохой
> именно парольный словарь Solar Designer'a, но там всего
> чуть больше 3000 слов... Успеха он не дал....
Идеальных словарей нет.
> По пользователям я искал словарь типа:
>
> alexey
> alexey.k
> alexeyn
> sasha
> admin
> root
> guest
> anonymous
> .....
>
> По крайней мере русские имена в транслитерации + по букве в
> конце и начале... Пока не придумал ничего лучше как искать
> имена персонала компании в инете и на их сайте и составлять
> свой словарь для данной компании.... Муторно...
>
> Не уверен... В одной знакомой компании, например, приняты
> логины типа <name>.<second
> name>@<department> -- в качестве пароля эту шнягу
> применять тяжко, учитывая, что каждые 3 месяца пароли все
> обязаны менять.
А, вот, на это не мог не ответить.
Понятно, что все комбинации перебрать тяжело, а слов в словаре всего несколько тысяч.
Хитроумные же пользователи стараются использовать не словарные пароли. Но, всем понятно, что полную абракадабру использовать в качестве пароля сложно, а, ведь, пароль должен быть и удобным, его же набирать постоянно и не с бумажки а по памяти. Как сочетать эти требования? Очень просто, нужно комбинировать, использовав склейку словарных слов, транслитерацию и пр.
Согласитесь, раздуть словарь в два раза, заменив прописные буквы строчными, а затем еще в два раза, использовав транслитерацию, а затем все это еще в два раза, применив замену раскладки клавиатуры совсем бессмыслено.
Во сколько раз раздуется словарь, если использовать склейку слов? - возведем полученое количество слов во вторую степень. Во сколько раз раздуется словарь, если к именам добавим букву отчества через точку, или подчеркивание, или через другой символ. На сотню еще помножим. Посчитайте пожалуста размер словаря, который вы хотите получить в чистом виде! Зачем это делать, если та же самая LCP это делает в процессе работы? Это я все к "alexeyk" и "aleksey.n", а так же к <name>.<second_name>.
Что касается "qwerty" и "pwd4r00t". Вы словарь имен просили. Я ж говорил про подмножества. "qwerty" в качестве пароля - да, в качестве имени - ??? Использует ли простой пользователь или даже суперпродвинутый в пароле замену "О" нулем или "Ч" четверкой? В конце концов в транслитерации можно прописать любое соответствие, и "Ч"="4", и "Ч"="ch".
В любом случае (Я САМ ПРОВЕРЯЛ) более 99% легких паролей LCP находит быстро по словарю, а это порой более 90% от всей массы паролей, что увы плачевно. Остальные же либо "zxc", либо словарное, но выходит за пределы того словаря, а это 1% того, что должно быть, но нет, либо 10%, которые, к счастью вряд ли когда либо попадут в словарь из-за своей индивидуальности типа "автомотовелофоторадиолюбитель".
Так что воспользовавшись словарем для проверки наличия логина в словаре вам будет вполне достаточно любого трехтысячного словаря плюс несколько функций замены/склейки при проверки в проверяющей программе для 99% уверенности в том, удовлетворит ли оно вашим треования или нет.
А вообще-то не ориентируйтесь на логин, лучше чтоб пароль был стоек, а еще лучше применять функции цифровой подписи или хотя бы шифрования, хранив ключик на соответствующем носителе.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
