> В отношении генерации паролей надо отдать должное Агнии > Барто - слово "АвтоМотоВелоФотоРадиоЛюбитель" вряд ли Оффтопик, но А.Барто по многим отраслям "зачот" :)
Стих про "резиновую Зину":
/Агния Барто
//Резиновая Зина
Купили в магазине
Резиновую Зину,
Резиновую Зину
В корзинке принесли.
Она была разиней,
Резиновая Зина,
Упала из корзины,
Измазалась в грязи.
Мы вымоем в бензине
Резиновую Зину,
Мы вымоем в бензине
И пальцем погрозим:
Не будь такой разиней,
Резиновая Зина,
А то отправим Зину
Обратно в магазин.
Давайте устроим маленький конкурс на лучший словарь паролей для взлома по словарю? :)))17.11.04 13:05 [Ktirf] Автор: HandleX <Александр М.> Статус: The Elderman
Давно в голове вертелась мысль, но всё как-то не доходил до того, что бы озвучить.
А что если разрешить ввод пароля не чаще, чем раз, скажем, в 5 секунд? То есть если ошибся - жди пять секунд и только тогда вводи ещё раз. Имхо, любой передор тогда не страшен..
Я почти не всетречал систем, в которых не было предусмотрена...19.11.04 12:41 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> Давно в голове вертелась мысль, но всё как-то не доходил до > того, что бы озвучить. > > А что если разрешить ввод пароля не чаще, чем раз, скажем, > в 5 секунд? То есть если ошибся - жди пять секунд и только > тогда вводи ещё раз. Имхо, любой передор тогда не страшен..
Я почти не всетречал систем, в которых не было предусмотрена защита от перебора при регистрации. Причем от временной блокировки учетной записи на "вход" после определенного количества неудачных попыток в течение определенного времени (Новель) до небольших пауз после каждой попытки (автомобильные сигнализации). При обычной регистрации пауза от 0.1 до 1 секунды малозаметна, а для перебора всего милиарда раз - очень долго (32 года).
Так что это не ново и в серьезных проектах должно быть предусмотренно.
Когда? Если сервер по сети ломаешь, то да... А если брутфорсом «подбираешь» MD5, причём твоя собственная программа и сервер, и клиент, сам себе задержку будешь делать? :)19.11.04 06:12 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 19.11.04 06:13 Количество правок: 1
> Давайте конкурс: "Кто придумает лучший метод формирования > паролей, отличный от словарного". Он уже придуман - прога pwgen, есть почти во всех дистрах линуха.
Выдает асолютно бессмысленные сочетания букв/цифирей, но если их читать по правилам английского языка, то они вполне произносимы. А значит, их вполне можно запомнить, вместе с тем довольно сложно подобрать.
Примеры:
Oh3iehai beit7Cei Eiboo2uo Ohph0aes Dib5zahk aeZei2uw Coog8ace Jiegh7uu
kay3Nief sheiY6ae iG8voixa eY2keezo aKu4ieth oosush6U oowigh6W quaree7T
zas9Deic saeL6pah ofo9iZai Dei2thae ohCh2gah veija9Oo av8Baeba iu2eeneD
queeT7ae Hahvoh0z Jaizia6e Ahsait0s juBoh0ie foh1Eeli Eew5axoh kaibo7Ch
Maingei5 buuPain0 ohv3Paif Cei4joru iD5aecoo aez6eZai eegh6saH pax1ahMe
Иногда, правда, не совсем приличные сочетания для русского уха получются :)
> > Давайте конкурс: "Кто придумает лучший метод > формирования > > паролей, отличный от словарного". > Он уже придуман - прога pwgen, есть почти во всех дистрах > линуха. > Выдает асолютно бессмысленные сочетания букв/цифирей, но > если их читать по правилам английского языка, то они вполне > произносимы. А значит, их вполне можно запомнить, вместе с > тем довольно сложно подобрать. > Примеры: > Oh3iehai beit7Cei Eiboo2uo Ohph0aes Dib5zahk aeZei2uw > Coog8ace Jiegh7uu > kay3Nief sheiY6ae iG8voixa eY2keezo aKu4ieth oosush6U > oowigh6W quaree7T > zas9Deic saeL6pah ofo9iZai Dei2thae ohCh2gah veija9Oo > av8Baeba iu2eeneD > queeT7ae Hahvoh0z Jaizia6e Ahsait0s juBoh0ie foh1Eeli > Eew5axoh kaibo7Ch > Maingei5 buuPain0 ohv3Paif Cei4joru iD5aecoo aez6eZai > eegh6saH pax1ahMe > > Иногда, правда, не совсем приличные сочетания для русского > уха получются :)
Ну это собственно, о чем я говорил ниже, только готовое...
Но, смори-ка че! Это ж если заранее известно, что чел пользовался такой прогой, то злоумышленник может гораздо ускорить перебор: длина - по большому счету ограничена, частоты букв известны... кажись, перебор будет не медленнее, чем по словарю. Вопрос только в догадливости злоумышленника.
Но, если этой проге скормить другое (не известное всем подряд) распределение вероятностей, то безопасность повысится, имхо.
> Но, смори-ка че! Это ж если заранее известно, что чел > пользовался такой прогой, то злоумышленник может гораздо > ускорить перебор: длина - по большому счету ограничена, По какому счету ограничена? :)
> частоты букв известны... кажись, перебор будет не > медленнее, чем по словарю. Вопрос только в догадливости > злоумышленника. Медленнее, заметно медленее. Количество вариантов "слов", которые можно попытаться прочитать по правилам английского языка, много больше, чем количество реальных слов с учетом очепяток и тому подобных ухищрений.
> > Но, смори-ка че! Это ж если заранее известно, что чел > > пользовался такой прогой, то злоумышленник может > гораздо > > ускорить перебор: длина - по большому счету > ограничена, > По какому счету ограничена? :)
Ограничена запоминаемостью. Пример: возьмем слово vergeltungswaffe :) Запомнить сгенеренное прогой словой той же длины будет очень трудно запомнить. Все равно оценить длину с большой вероятностью можно, имхо
> > частоты букв известны... кажись, перебор будет не > > медленнее, чем по словарю. Вопрос только в > догадливости > > злоумышленника. > Медленнее, заметно медленее. Количество вариантов "слов", > которые можно попытаться прочитать по правилам английского > языка, много больше, чем количество реальных слов с учетом > очепяток и тому подобных ухищрений.
Вариантов-то больше, но ведь есть более встречаемые сочетания букв => и слов, согласноизвестномураспределению, в то время как в словаре все слова равнозначны. Не факт, что перебор такого пароля будет намного медленнее. Хотя, настаивать не буду - считать надо...
А теперь я хочу отметить, что слово "Брандашмыг", или, на...18.11.04 19:22 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> > > длина - по большому счету ограничена, > > По какому счету ограничена? :) > > Ограничена запоминаемостью. Пример: возьмем слово > vergeltungswaffe :) Запомнить сгенеренное прогой словой той > же длины будет очень трудно запомнить. Все равно оценить > длину с большой вероятностью можно, имхо А теперь я хочу отметить, что слово "Брандашмыг", или, на том же английском, Jabberwocky, до некоторого времени в словарях найти было нельзя и если его как-либо можно было получить, то только машинной генерацией либо (как случилось на самом деле) фантазией автора. Читается неплохо, и длинное...
> Вариантов-то больше, но ведь есть более встречаемые > сочетания букв => и слов, согласноизвестному > распределению, в то время как в словаре все слова > равнозначны. Не факт, что перебор такого пароля будет > намного медленнее. Хотя, настаивать не буду - считать > надо... Вообще говоря, речь об средних значениях. Я утверждаю, что средняя "сложность подбора" на множестве всех слов из словаря плюс производных от них будет существенно меньше, чем средняя "сложность подбора" по всевозможным читаемым сочетаниям букв.
В каком-то переводе я видел перевод этого слова как...19.11.04 13:13 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 19.11.04 13:14 Количество правок: 1
> А теперь я хочу отметить, что слово "Брандашмыг", или, на > том же английском, Jabberwocky, до некоторого времени в > словарях найти было нельзя и если его как-либо можно было > получить, то только машинной генерацией либо (как случилось > на самом деле) фантазией автора. Читается неплохо, и > длинное...
В каком-то печатном варианте я видел перевод этого слова как "Бармаглот".
Поздравляю, этот метод и написание с ошибкой резделят первые места!
Исключен словарный перебор и слова простые - словарные.
Правда исключен до тех пор, пока это слово не появится в художественном произведении, а затем, спустя продолжительное время, появится в словаре.
В любом случае вероятность попадания составного слова, тем более глупого, в словарь мала.
"Jabberwocky" состоит из двух вполне нормальных слов. Дословный перевод неблагозвучен, а вот Бармаглот - ончень неплохой вариант неологизма.
В отношении генерации паролей надо отдать должное Агнии Барто - слово "АвтоМотоВелоФотоРадиоЛюбитель" вряд ли когда-то попадет в словарь (даже электронный для подбора паролей). Даже если научить брютфорсную программу генерить составные слова, на генерацию этого слова у него уйдет уйма времени.
Еще вариант использовать непристойности, точнее их производные - от них очень много производных, их генерить проблематично и в словаре это не распространено.
Оффтопик, но А.Барто по многим отраслям "зачот" :)19.11.04 14:33 Автор: cybervlad <cybervlad> Статус: Elderman
> В отношении генерации паролей надо отдать должное Агнии > Барто - слово "АвтоМотоВелоФотоРадиоЛюбитель" вряд ли Оффтопик, но А.Барто по многим отраслям "зачот" :)
Стих про "резиновую Зину":
/Агния Барто
//Резиновая Зина
Купили в магазине
Резиновую Зину,
Резиновую Зину
В корзинке принесли.
Она была разиней,
Резиновая Зина,
Упала из корзины,
Измазалась в грязи.
Мы вымоем в бензине
Резиновую Зину,
Мы вымоем в бензине
И пальцем погрозим:
Не будь такой разиней,
Резиновая Зина,
А то отправим Зину
Обратно в магазин.
> > > > длина - по большому счету ограничена, > > > По какому счету ограничена? :) > > > > Ограничена запоминаемостью. Пример: возьмем слово > > vergeltungswaffe :) Запомнить сгенеренное прогой > словой той > > же длины будет очень трудно запомнить. Все равно > оценить > > длину с большой вероятностью можно, имхо > А теперь я хочу отметить, что слово "Брандашмыг", или, на > том же английском, Jabberwocky, до некоторого времени в > словарях найти было нельзя и если его как-либо можно было > получить, то только машинной генерацией либо (как случилось > на самом деле) фантазией автора. Читается неплохо, и > длинное...
Вот, чую каким-то своим задним местом, что длинное слово из головы будет гораздо секурней, чем генеренное общедоступной прогой :)
> > Вариантов-то больше, но ведь есть более встречаемые > > сочетания букв => и слов, согласноизвестному > > распределению, в то время как в словаре все слова > > равнозначны. Не факт, что перебор такого пароля будет > > намного медленнее. Хотя, настаивать не буду - считать > > надо... > Вообще говоря, речь об средних значениях. Я утверждаю, что > средняя "сложность подбора" на множестве всех слов из > словаря плюс производных от них будет существенно меньше, > чем средняя "сложность подбора" по всевозможным читаемым > сочетаниям букв.
С этим глупо спорить :) Но, ведь у нас немного больше апприорной инфы, чем просто всевозможные читаемые сочетания букв, не так ли? Поэтому сложно сказать, что так уж это долго перебирается. Хотя, видимо-то, дольше, но может оказаться, что не слишком... - это надо проверять на досуге.
Так проверьте, исходник-то доступен. Например, здесь:19.11.04 10:57 Автор: cybervlad <cybervlad> Статус: Elderman
> Давайте конкурс: "Кто придумает лучший метод формирования > паролей, отличный от словарного". В игре Counter Strike есть чат, но он не поддерживает русский шрифт, писать можно только по английски. Но наше же не дятлы, с помощью спец символов и сочетаний английских букв делают русские слова:
DA HE roHu Mo}|{HO.TAKO|` napo/\b HEno,/\,bepe||
:)
Метод формирования пароля18.11.04 02:13 Автор: whiletrue <Роман> Статус: Elderman Отредактировано 18.11.04 02:18 Количество правок: 1
> Давайте конкурс: "Кто придумает лучший метод формирования > паролей, отличный от словарного". > > Рандом генератор не предлагать.
Можно написать эргодический генератор.
Если взять такой Марковский генератор глубины m, т.е. с зависимостью следующей буквы от m предыдущих, набрать статистику встречаемости букв и таким образом задать распределение, то где-то при m=3 можно получать читаемые но бессмысленные слова: попак, дурсмана, наконепно
ЗЫ Правда, при переборе пароля это тоже можно учитывать...
Для того, чтобы сердце было спокойно, перед тем как начинать подбор чистым брутфорсом. А то будет лабать полмесяца, а потом окажется, что пароль был «йцукенг» ;-)17.11.04 19:35 Автор: HandleX <Александр М.> Статус: The Elderman
[...]
> Давайте конкурс: "Кто придумает лучший метод формирования > паролей, отличный от словарного". > > Рандом генератор не предлагать. > > Транслитерацию тоже - банально. > > Пользую слова с ошибками. > > Есть вариант - экзотические/несловарные слова "бармаглот", > например - в словарях встретить проблема.
Так вариантов-то не шибко много (IMHO), кроме уже названных:
При совместном использовании и в сочетании с преднамеренными (а иногда и нет :)) ошибками и транслитирацией, по крайней мере словарной атаки можно не опасаться. Опять же IMHO
Методы. Критерий - невозможность словарного подбора плюс...17.11.04 17:30 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 17.11.04 17:33 Количество правок: 1
> Так вариантов-то не шибко много (IMHO), кроме уже > названных:
Методы. Критерий - невозможность словарного подбора плюс удобство запоминания.
Чего уж там сравнивать - пользовать надо.
Поясняю: Есть прописная истина - легче всего запомнить в качестве пароля слово. Подавляющее большинство употребимых слов находятся в словаре. В "словаре взломщика" можно встретить даже "qwerty", "admin", "sys", и пр., которых в обычных словарях не найти.
Самый простой метод кодирования слова так, чтоб его нельзя было найти в словаре написан на самой клавиатуре - можно просто вводить слово, не переключаясь на другой язык (благо подавляющее большинство клавиатур имеют одинаковую раскладку). Но, совсем недавно я пытался ломануть свежей ломалкой Виндовый пароль, так вот она, падла, предложила туеву хучу опций - тут и перепробовать каждую букву в разных регистрах, и в латиннице, и используя стандартную раскладку, и еще какую-то, можно свою задать, можно несколько букв окончания разных приписать/поменять. Это, конечно, увеличивает время подбора, но и сильно увеличивает вероятность успеха.
Несловарное слово она не нашла, так и запустила потом полный перебор.
> При совместном использовании и в сочетании с > преднамеренными (а иногда и нет :)) ошибками и > транслитирацией, по крайней мере словарной атаки можно не > опасаться. Опять же IMHO
Ошибки же учесть в брютфорсе тяжелее.
русский словарь охренительных размеров на раз делается скриптом из локальной копии библиотеки Мошкова17.11.04 14:13 Автор: dl <Dmitry Leonov>
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
