Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Рад, что хоть чем-то... 16.11.07 10:21 Число просмотров: 3948
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 16.11.07 10:33 Количество правок: 3
|
> Спасибо!!
Рад, что хоть чем-то...
> Его словари очень похожи на обэчные словари, не парольные. > Например, там нет "qwerty" и пр. Там совсем нет акронимов > типа "pwd4r00t".... На openwall, кажется, нашел неплохой > именно парольный словарь Solar Designer'a, но там всего > чуть больше 3000 слов... Успеха он не дал....
Идеальных словарей нет.
> По пользователям я искал словарь типа: > > alexey > alexey.k > alexeyn > sasha > admin > root > guest > anonymous > ..... > > По крайней мере русские имена в транслитерации + по букве в > конце и начале... Пока не придумал ничего лучше как искать > имена персонала компании в инете и на их сайте и составлять > свой словарь для данной компании.... Муторно... > > Не уверен... В одной знакомой компании, например, приняты > логины типа <name>.<second > name>@<department> -- в качестве пароля эту шнягу > применять тяжко, учитывая, что каждые 3 месяца пароли все > обязаны менять.
А, вот, на это не мог не ответить.
Понятно, что все комбинации перебрать тяжело, а слов в словаре всего несколько тысяч.
Хитроумные же пользователи стараются использовать не словарные пароли. Но, всем понятно, что полную абракадабру использовать в качестве пароля сложно, а, ведь, пароль должен быть и удобным, его же набирать постоянно и не с бумажки а по памяти. Как сочетать эти требования? Очень просто, нужно комбинировать, использовав склейку словарных слов, транслитерацию и пр.
Согласитесь, раздуть словарь в два раза, заменив прописные буквы строчными, а затем еще в два раза, использовав транслитерацию, а затем все это еще в два раза, применив замену раскладки клавиатуры совсем бессмыслено.
Во сколько раз раздуется словарь, если использовать склейку слов? - возведем полученое количество слов во вторую степень. Во сколько раз раздуется словарь, если к именам добавим букву отчества через точку, или подчеркивание, или через другой символ. На сотню еще помножим. Посчитайте пожалуста размер словаря, который вы хотите получить в чистом виде! Зачем это делать, если та же самая LCP это делает в процессе работы? Это я все к "alexeyk" и "aleksey.n", а так же к <name>.<second_name>.
Что касается "qwerty" и "pwd4r00t". Вы словарь имен просили. Я ж говорил про подмножества. "qwerty" в качестве пароля - да, в качестве имени - ??? Использует ли простой пользователь или даже суперпродвинутый в пароле замену "О" нулем или "Ч" четверкой? В конце концов в транслитерации можно прописать любое соответствие, и "Ч"="4", и "Ч"="ch".
В любом случае (Я САМ ПРОВЕРЯЛ) более 99% легких паролей LCP находит быстро по словарю, а это порой более 90% от всей массы паролей, что увы плачевно. Остальные же либо "zxc", либо словарное, но выходит за пределы того словаря, а это 1% того, что должно быть, но нет, либо 10%, которые, к счастью вряд ли когда либо попадут в словарь из-за своей индивидуальности типа "автомотовелофоторадиолюбитель".
Так что воспользовавшись словарем для проверки наличия логина в словаре вам будет вполне достаточно любого трехтысячного словаря плюс несколько функций замены/склейки при проверки в проверяющей программе для 99% уверенности в том, удовлетворит ли оно вашим треования или нет.
А вообще-то не ориентируйтесь на логин, лучше чтоб пароль был стоек, а еще лучше применять функции цифровой подписи или хотя бы шифрования, хранив ключик на соответствующем носителе.
|
|
|