информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Infosec-сообщество не поддержало... 
 Расово верная чистка IT-терминологии 
 ГПБ vs TV 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Терморектальный криптоанализ хорош, да, но это если юзер досягаем ;-) 18.11.04 13:47  Число просмотров: 1766
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
<miscellaneous>
Давайте устроим маленький конкурс на лучший словарь паролей для взлома по словарю? :))) 17.11.04 13:05   [Ktirf]
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Кто не прочь поделиться, постите линки с указанием размера (кол-ва слов), и языка.
Весьма приветствуются русские словари.

Всем огромное спасибо за участие.
На кой это фсе надо. 17.11.04 16:14  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Кто не прочь поделиться, постите линки с указанием размера
> (кол-ва слов), и языка.
> Весьма приветствуются русские словари.

Просто словари нужны, что ли? Хочется много разных словарей? Хочется собрать один большой словарь, в котором будут все слова из остальных?

А это все для чего - взлома подбором по словарю? Для взлома словарики совсем другие надо.

> Всем огромное спасибо за участие.

А что, кто-нибудь еще использует словарные слова в пароле?

Давайте конкурс: "Кто придумает лучший метод формирования паролей, отличный от словарного".

Рандом генератор не предлагать.

Транслитерацию тоже - банально.

Пользую слова с ошибками.

Есть вариант - экзотические/несловарные слова "бармаглот", например - в словарях встретить проблема.
Офтопные мысли вслух о переборе 19.11.04 02:29  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Давно в голове вертелась мысль, но всё как-то не доходил до того, что бы озвучить.

А что если разрешить ввод пароля не чаще, чем раз, скажем, в 5 секунд? То есть если ошибся - жди пять секунд и только тогда вводи ещё раз. Имхо, любой передор тогда не страшен..
Я почти не всетречал систем, в которых не было предусмотрена... 19.11.04 12:41  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Давно в голове вертелась мысль, но всё как-то не доходил до
> того, что бы озвучить.
>
> А что если разрешить ввод пароля не чаще, чем раз, скажем,
> в 5 секунд? То есть если ошибся - жди пять секунд и только
> тогда вводи ещё раз. Имхо, любой передор тогда не страшен..

Я почти не всетречал систем, в которых не было предусмотрена защита от перебора при регистрации. Причем от временной блокировки учетной записи на "вход" после определенного количества неудачных попыток в течение определенного времени (Новель) до небольших пауз после каждой попытки (автомобильные сигнализации). При обычной регистрации пауза от 0.1 до 1 секунды малозаметна, а для перебора всего милиарда раз - очень долго (32 года).

Так что это не ново и в серьезных проектах должно быть предусмотренно.
Когда? Если сервер по сети ломаешь, то да... А если брутфорсом «подбираешь» MD5, причём твоя собственная программа и сервер, и клиент, сам себе задержку будешь делать? :) 19.11.04 06:12  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 19.11.04 06:13  Количество правок: 1
<"чистая" ссылка>
Он уже придуман - прога pwgen, есть почти во всех дистрах... 18.11.04 12:16  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Давайте конкурс: "Кто придумает лучший метод формирования
> паролей, отличный от словарного".
Он уже придуман - прога pwgen, есть почти во всех дистрах линуха.
Выдает асолютно бессмысленные сочетания букв/цифирей, но если их читать по правилам английского языка, то они вполне произносимы. А значит, их вполне можно запомнить, вместе с тем довольно сложно подобрать.
Примеры:
Oh3iehai beit7Cei Eiboo2uo Ohph0aes Dib5zahk aeZei2uw Coog8ace Jiegh7uu
kay3Nief sheiY6ae iG8voixa eY2keezo aKu4ieth oosush6U oowigh6W quaree7T
zas9Deic saeL6pah ofo9iZai Dei2thae ohCh2gah veija9Oo av8Baeba iu2eeneD
queeT7ae Hahvoh0z Jaizia6e Ahsait0s juBoh0ie foh1Eeli Eew5axoh kaibo7Ch
Maingei5 buuPain0 ohv3Paif Cei4joru iD5aecoo aez6eZai eegh6saH pax1ahMe

Иногда, правда, не совсем приличные сочетания для русского уха получются :)
Ух ты 18.11.04 13:01  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> > Давайте конкурс: "Кто придумает лучший метод
> формирования
> > паролей, отличный от словарного".
> Он уже придуман - прога pwgen, есть почти во всех дистрах
> линуха.
> Выдает асолютно бессмысленные сочетания букв/цифирей, но
> если их читать по правилам английского языка, то они вполне
> произносимы. А значит, их вполне можно запомнить, вместе с
> тем довольно сложно подобрать.
> Примеры:
> Oh3iehai beit7Cei Eiboo2uo Ohph0aes Dib5zahk aeZei2uw
> Coog8ace Jiegh7uu
> kay3Nief sheiY6ae iG8voixa eY2keezo aKu4ieth oosush6U
> oowigh6W quaree7T
> zas9Deic saeL6pah ofo9iZai Dei2thae ohCh2gah veija9Oo
> av8Baeba iu2eeneD
> queeT7ae Hahvoh0z Jaizia6e Ahsait0s juBoh0ie foh1Eeli
> Eew5axoh kaibo7Ch
> Maingei5 buuPain0 ohv3Paif Cei4joru iD5aecoo aez6eZai
> eegh6saH pax1ahMe
>
> Иногда, правда, не совсем приличные сочетания для русского
> уха получются :)

Ну это собственно, о чем я говорил ниже, только готовое...

Но, смори-ка че! Это ж если заранее известно, что чел пользовался такой прогой, то злоумышленник может гораздо ускорить перебор: длина - по большому счету ограничена, частоты букв известны... кажись, перебор будет не медленнее, чем по словарю. Вопрос только в догадливости злоумышленника.

Но, если этой проге скормить другое (не известное всем подряд) распределение вероятностей, то безопасность повысится, имхо.
Э нет 18.11.04 15:36  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Но, смори-ка че! Это ж если заранее известно, что чел
> пользовался такой прогой, то злоумышленник может гораздо
> ускорить перебор: длина - по большому счету ограничена,
По какому счету ограничена? :)

> частоты букв известны... кажись, перебор будет не
> медленнее, чем по словарю. Вопрос только в догадливости
> злоумышленника.
Медленнее, заметно медленее. Количество вариантов "слов", которые можно попытаться прочитать по правилам английского языка, много больше, чем количество реальных слов с учетом очепяток и тому подобных ухищрений.
Re 18.11.04 16:00  
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 18.11.04 16:46  Количество правок: 2
<"чистая" ссылка>
> > Но, смори-ка че! Это ж если заранее известно, что чел
> > пользовался такой прогой, то злоумышленник может
> гораздо
> > ускорить перебор: длина - по большому счету
> ограничена,
> По какому счету ограничена? :)

Ограничена запоминаемостью. Пример: возьмем слово vergeltungswaffe :) Запомнить сгенеренное прогой словой той же длины будет очень трудно запомнить. Все равно оценить длину с большой вероятностью можно, имхо

> > частоты букв известны... кажись, перебор будет не
> > медленнее, чем по словарю. Вопрос только в
> догадливости
> > злоумышленника.
> Медленнее, заметно медленее. Количество вариантов "слов",
> которые можно попытаться прочитать по правилам английского
> языка, много больше, чем количество реальных слов с учетом
> очепяток и тому подобных ухищрений.

Вариантов-то больше, но ведь есть более встречаемые сочетания букв => и слов, согласноизвестномураспределению, в то время как в словаре все слова равнозначны. Не факт, что перебор такого пароля будет намного медленнее. Хотя, настаивать не буду - считать надо...
А теперь я хочу отметить, что слово "Брандашмыг", или, на... 18.11.04 19:22  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> > > длина - по большому счету ограничена,
> > По какому счету ограничена? :)
>
> Ограничена запоминаемостью. Пример: возьмем слово
> vergeltungswaffe :) Запомнить сгенеренное прогой словой той
> же длины будет очень трудно запомнить. Все равно оценить
> длину с большой вероятностью можно, имхо
А теперь я хочу отметить, что слово "Брандашмыг", или, на том же английском, Jabberwocky, до некоторого времени в словарях найти было нельзя и если его как-либо можно было получить, то только машинной генерацией либо (как случилось на самом деле) фантазией автора. Читается неплохо, и длинное...

> Вариантов-то больше, но ведь есть более встречаемые
> сочетания букв => и слов, согласноизвестному
> распределению, в то время как в словаре все слова

> равнозначны. Не факт, что перебор такого пароля будет
> намного медленнее. Хотя, настаивать не буду - считать
> надо...
Вообще говоря, речь об средних значениях. Я утверждаю, что средняя "сложность подбора" на множестве всех слов из словаря плюс производных от них будет существенно меньше, чем средняя "сложность подбора" по всевозможным читаемым сочетаниям букв.
В каком-то переводе я видел перевод этого слова как... 19.11.04 13:13  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 19.11.04 13:14  Количество правок: 1
<"чистая" ссылка>
> А теперь я хочу отметить, что слово "Брандашмыг", или, на
> том же английском, Jabberwocky, до некоторого времени в
> словарях найти было нельзя и если его как-либо можно было
> получить, то только машинной генерацией либо (как случилось
> на самом деле) фантазией автора. Читается неплохо, и
> длинное...

В каком-то печатном варианте я видел перевод этого слова как "Бармаглот".
Поздравляю, этот метод и написание с ошибкой резделят первые места!
Исключен словарный перебор и слова простые - словарные.
Правда исключен до тех пор, пока это слово не появится в художественном произведении, а затем, спустя продолжительное время, появится в словаре.
В любом случае вероятность попадания составного слова, тем более глупого, в словарь мала.
"Jabberwocky" состоит из двух вполне нормальных слов. Дословный перевод неблагозвучен, а вот Бармаглот - ончень неплохой вариант неологизма.
В отношении генерации паролей надо отдать должное Агнии Барто - слово "АвтоМотоВелоФотоРадиоЛюбитель" вряд ли когда-то попадет в словарь (даже электронный для подбора паролей). Даже если научить брютфорсную программу генерить составные слова, на генерацию этого слова у него уйдет уйма времени.

Еще вариант использовать непристойности, точнее их производные - от них очень много производных, их генерить проблематично и в словаре это не распространено.
Оффтопик, но А.Барто по многим отраслям "зачот" :) 19.11.04 14:33  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> В отношении генерации паролей надо отдать должное Агнии
> Барто - слово "АвтоМотоВелоФотоРадиоЛюбитель" вряд ли
Оффтопик, но А.Барто по многим отраслям "зачот" :)
Стих про "резиновую Зину":
/Агния Барто
//Резиновая Зина
Купили в магазине
Резиновую Зину,
Резиновую Зину
В корзинке принесли.
Она была разиней,
Резиновая Зина,
Упала из корзины,
Измазалась в грязи.
Мы вымоем в бензине
Резиновую Зину,
Мы вымоем в бензине
И пальцем погрозим:
Не будь такой разиней,
Резиновая Зина,
А то отправим Зину
Обратно в магазин.

http://www.lukoshko.net/barto/barttp2.shtml

Тогда еще секс-шопов не было :)
Хм.. с этим глупо спорить 18.11.04 22:05  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> > > > длина - по большому счету ограничена,
> > > По какому счету ограничена? :)
> >
> > Ограничена запоминаемостью. Пример: возьмем слово
> > vergeltungswaffe :) Запомнить сгенеренное прогой
> словой той
> > же длины будет очень трудно запомнить. Все равно
> оценить
> > длину с большой вероятностью можно, имхо
> А теперь я хочу отметить, что слово "Брандашмыг", или, на
> том же английском, Jabberwocky, до некоторого времени в
> словарях найти было нельзя и если его как-либо можно было
> получить, то только машинной генерацией либо (как случилось
> на самом деле) фантазией автора. Читается неплохо, и
> длинное...

Вот, чую каким-то своим задним местом, что длинное слово из головы будет гораздо секурней, чем генеренное общедоступной прогой :)

> > Вариантов-то больше, но ведь есть более встречаемые
> > сочетания букв => и слов, согласноизвестному
> > распределению, в то время как в словаре все слова
> > равнозначны. Не факт, что перебор такого пароля будет
> > намного медленнее. Хотя, настаивать не буду - считать
> > надо...
> Вообще говоря, речь об средних значениях. Я утверждаю, что

> средняя "сложность подбора" на множестве всех слов из
> словаря плюс производных от них будет существенно меньше,
> чем средняя "сложность подбора" по всевозможным читаемым
> сочетаниям букв.

С этим глупо спорить :) Но, ведь у нас немного больше апприорной инфы, чем просто всевозможные читаемые сочетания букв, не так ли? Поэтому сложно сказать, что так уж это долго перебирается. Хотя, видимо-то, дольше, но может оказаться, что не слишком... - это надо проверять на досуге.
Так проверьте, исходник-то доступен. Например, здесь: 19.11.04 10:57  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> долго перебирается. Хотя, видимо-то, дольше, но может
> оказаться, что не слишком... - это надо проверять на
> досуге.
Так проверьте, исходник-то доступен. Например, здесь:
http://ftp.debian.org/debian/pool/main/p/pwgen/pwgen_2.01.orig.tar.gz
вот такой метод... 18.11.04 04:09  
Автор: Korsh <Мельников Михаил> Статус: Elderman
Отредактировано 18.11.04 04:14  Количество правок: 2
<"чистая" ссылка>
> Давайте конкурс: "Кто придумает лучший метод формирования
> паролей, отличный от словарного".
В игре Counter Strike есть чат, но он не поддерживает русский шрифт, писать можно только по английски. Но наше же не дятлы, с помощью спец символов и сочетаний английских букв делают русские слова:

DA HE roHu Mo}|{HO.TAKO|` napo/\b HEno,/\,bepe||


:)
Метод формирования пароля 18.11.04 02:13  
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 18.11.04 02:18  Количество правок: 1
<"чистая" ссылка>
> Давайте конкурс: "Кто придумает лучший метод формирования
> паролей, отличный от словарного".
>
> Рандом генератор не предлагать.

Можно написать эргодический генератор.

Если взять такой Марковский генератор глубины m, т.е. с зависимостью следующей буквы от m предыдущих, набрать статистику встречаемости букв и таким образом задать распределение, то где-то при m=3 можно получать читаемые но бессмысленные слова: попак, дурсмана, наконепно

http://asstu.narod.ru/files/lec/lec_tes_3.pdf

ЗЫ Правда, при переборе пароля это тоже можно учитывать...
Для того, чтобы сердце было спокойно, перед тем как начинать подбор чистым брутфорсом. А то будет лабать полмесяца, а потом окажется, что пароль был «йцукенг» ;-) 17.11.04 19:35  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
И что на этом конкурсе сравнивать? 17.11.04 16:43  
Автор: Deviator <n/a> Статус: Member
Отредактировано 17.11.04 16:44  Количество правок: 1
<"чистая" ссылка>
[...]
> Давайте конкурс: "Кто придумает лучший метод формирования
> паролей, отличный от словарного".
>
> Рандом генератор не предлагать.
>
> Транслитерацию тоже - банально.
>
> Пользую слова с ошибками.
>
> Есть вариант - экзотические/несловарные слова "бармаглот",
> например - в словарях встретить проблема.

Так вариантов-то не шибко много (IMHO), кроме уже названных:

- перестановка слогов: "Панголин" -> "линПанго";
- замена некоторых букв (сочетаний букв) на ассоциирующиеся символы: "дилижанс" -> "д|жанс";
- смена регистра;
- "неправильная" раскладка.

При совместном использовании и в сочетании с преднамеренными (а иногда и нет :)) ошибками и транслитирацией, по крайней мере словарной атаки можно не опасаться. Опять же IMHO
Методы. Критерий - невозможность словарного подбора плюс... 17.11.04 17:30  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 17.11.04 17:33  Количество правок: 1
<"чистая" ссылка>
> Так вариантов-то не шибко много (IMHO), кроме уже
> названных:

Методы. Критерий - невозможность словарного подбора плюс удобство запоминания.
Чего уж там сравнивать - пользовать надо.
Поясняю: Есть прописная истина - легче всего запомнить в качестве пароля слово. Подавляющее большинство употребимых слов находятся в словаре. В "словаре взломщика" можно встретить даже "qwerty", "admin", "sys", и пр., которых в обычных словарях не найти.
Самый простой метод кодирования слова так, чтоб его нельзя было найти в словаре написан на самой клавиатуре - можно просто вводить слово, не переключаясь на другой язык (благо подавляющее большинство клавиатур имеют одинаковую раскладку). Но, совсем недавно я пытался ломануть свежей ломалкой Виндовый пароль, так вот она, падла, предложила туеву хучу опций - тут и перепробовать каждую букву в разных регистрах, и в латиннице, и используя стандартную раскладку, и еще какую-то, можно свою задать, можно несколько букв окончания разных приписать/поменять. Это, конечно, увеличивает время подбора, но и сильно увеличивает вероятность успеха.
Несловарное слово она не нашла, так и запустила потом полный перебор.

> - перестановка слогов: "Панголин" -> "линПанго";
> - замена некоторых букв (сочетаний букв) на ассоциирующиеся
> символы: "дилижанс" -> "д|жанс";
> - смена регистра;
> - "неправильная" раскладка.

Гимор это все.

> При совместном использовании и в сочетании с
> преднамеренными (а иногда и нет :)) ошибками и
> транслитирацией, по крайней мере словарной атаки можно не
> опасаться. Опять же IMHO

Ошибки же учесть в брютфорсе тяжелее.
русский словарь охренительных размеров на раз делается скриптом из локальной копии библиотеки Мошкова 17.11.04 14:13  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Правда, до кучи со всеми возможными словоформами, но в этом тоже можно найти плюсы :)
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach