» »

Varnost v praksi (1. del) oz. kaj pomeni dobro geslo

Varnost v praksi (1. del) oz. kaj pomeni dobro geslo

Projekt9 - Ste prepričani, da je vaše geslo res tako dobro? Ste se prav ta trenutek nasmejali, ker je vaše geslo pravzaprav bedasto (abc123. asdfasdf, 123456, janeznovak1980,...). Ne bojte se, niste edini. V bistvu je vam podobnih več kot 90%. Pa kaj bi se obremenjevali, ne? Kdo bi pa ugotovil vaše geslo? Saj nima veze z vašim imenom.

Če ste tako prepričani, potem ni potrebe, da bi vam razlagali o tem, da bi geslo "123456" razbili v eni sekundi? Oziroma "abc123" v manj kot pol ure (časi so odvisni od računalniškega procesorja oz. procesorja grafične kartice). Znate prebrati naslednje besede: greg0r, m4rko, ml3ko, let@lo, mavr!ca?

Vse se začne z gesli, podatki, ki jih hranite za njimi pa NISO zaman "zaščiteni".

Tokrat vam na projekt9 predstavljamo malo šolo varnosti, pri čemer vam v prvem delu predstavljamo nekaj koristnih informacij o tem, kako izboljšati geslo, ter kako je Milan prišel do slik na vašem računalniku!

Članek lahko v celoti preberete tukaj.

32 komentarjev

war-dog ::

potem sem s šesnajstmestnim geslom varen celih 3 mesecov preden razbijejo, če "abc123" razbijejo v manj kot pol ure? :D
Object reference not set to an instance of an object.

Blinder ::

Koliko je varno geslo, sestavljeno iz 2 ali več besed, pa da zamenjaš nekaj črk? Naprimer "slo-tech-forum" v "sol-tehc-formu". To bi krneki časa rabli, da bi razbili ane? 12 znakov in te 3 besede niso v slovarju? 35¹² pride 3*10^18.
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 1080 Pismo smo stari v bozjo mater. Recesija generacija

war-dog ::

najboljše je da sploh ne uporabljaš besede, ki jih najdeš v slovarju, velike in male začetnice pomešane s številkami.
Object reference not set to an instance of an object.

lordgreg ::

@Blinder:

Obračanje črk v besedah ne izboljša moči gesla (če recimo v nobenem primeru ne uporabimo slovarja besed).

v vseh primerih gre za enako število različnih prijemov:

1. slo > sss, sll, soo, ssl, sso, lll, lls, llo, lss, loo, ooo, oss, oll, oos, ool, sol, slo, lso, los, osl, ols
2. sol > sss, sll, soo, ssl, sso, lll, lls, llo, lss, loo, ooo, oss, oll, oos, ool, sol, slo, lso, los, osl, ols

ker si v tvojem primeru uporabil le črke in en dodaten znak -, če upoštevama le angleške črke (26 črk + 1 znak) je to 27^14 različnih variacij oziroma s številom: 109,418,989,131,512,359,209.

Zgodovina sprememb…

  • spremenil: lordgreg ()

netanyahu ::

Mark Martinec, Kako izbrati dobro geslo (in si ga zapomniti), 1995, IJS

Manj balasta in reklam, več informacij.

Blinder ::

@lordgreg

Sam če bi uporabljali slovar, jim slovar nebi pomagal, če se premeša kakšno črko?
Tale stevilka, ki si jo ti dobil -> 109,418,989,131,512,359,209. pa je 109*10^18. A ni to ze kar konkretna stevilka?
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 1080 Pismo smo stari v bozjo mater. Recesija generacija

war-dog ::

Zanimivo pa je, da velik odstotek uporabnikov ima izpeljanko gesla iz uporabniškega imena
user: test
pass: test123

ali pa celo enako geslo kot uporabniško ime, predvsem opažam to pri starejši populaciji kateri si "težje" zapomnijo gesla
Object reference not set to an instance of an object.

Poldi112 ::

Neuporaben izračun. Kako boš ti preiskusil 1.000.000 gesel na sekundo, če moreš po vsakem neuspelem poiskusu čakati cca sekundo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Tomas 33 ::

Dejansko se program ne poskusi prijaviti pač pa izračuna hash besede in ga primeja z hashem gesla shranjenim v windowsih. Če se ujemata, pač pomeni, da je geslo odkrito.

Daedalus ::

Če maš fizični dostop do kište, ki nima podatkov na disku šifriranih, pol je itak trivialno dol pobrati podatke. Ti geslo ne pomeni dosti, če sploh kaj.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

ozbolt ::

Evo vam enega dobrega:

B30rN0tT0B3

McMallar ::

Rainbow tables, anyone?
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

marvin42 ::

kaj ti pomagajo dolgi passwordi, če ti pa cel kup zadev omejuje dolžino na 8 znakov.
Mostly Harmless

BlueRunner ::

Kaj ti pomagajo kompleksna gesla, če pa ti cel kup zadev dovoljujeje samo vpis [a-zA-Z0-9] in hkrati upošteva samo prvih 8 znakov?

Ideja gesel je preživeta. Kdaj bo S-T omogočil prijavo z I-Card?

Zgodovina sprememb…

techfreak :) ::

Siol ima pri internetu in emailih omejitev velikosti gesla od 6 do 8 znakov. WTF??

McMallar ::

@war-dog: tudi lahko :D
Še boljše pa bo, če pogledaš, kaj to sploh je. Wiki
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Šimpanz ::

A nimajo Winsi zaščite da lahko vpišeš geslo samo 3x potem pa se računalnik zaklene za 5 minut.

keworkian ::

Najboljse geslo je 1,2,3,4,5,6,7,8,9,10. Kar so lahko crke mesane ter cifre. Pa lahko za zapomnit.
Obscenities in B-Flat

fiction ::

Scepec soli in mavrica odpove. ;)

A nimajo Winsi zaščite da lahko vpišeš geslo samo 3x potem pa se računalnik zaklene za 5 minut.
Pri takih zadevah hitro lahko pride do DoS situacije. Smiselno je pomoje kvecjemu ene 30 sekund delaya (maksimalno). Drugace pa pred slabim geslom itak ni "zascite".

Nobeno geslo, ki je tukaj napisano (tudi ce je mogoce prej bilo dobro) kakor hitro je bilo objavljeno ni vec varno. Glavni problem je cloveska lenoba (ali izberemo enostavno geslo) ali pa reusamo gesla. Npr. ze videno geslo (ker mislimo, da je dobro) ali pa nasa prejsnja geslo oz. se huje imamo isto geslo za vec storitev. V tem primeru lahko rogue ponudnik zlorabi nas uporabniski racun drugje.

Problem je, da si za gesla izbiramo vecinoma password in ne passphrase. Recimo stavek iz ene knjige z malo random casinga in cudnimi znaki vmes je pomoje kar dober.

BaRtMaN ::

Problem se pojavi, ker je tak smiseln stavek prepogosto predolg. Bom še sem prilimal, kar sem napisal pod članek, o katerem govori novica:

http://supergenpass.com/

Gre za mini programček v JavaScriptu, ki si ga hranite kot zaznamek in na podlagi domene obiskane strani in vašega ključa izračuna zgoščeno vrednost (hash) poljubne dolžine.

Ni si treba zapomniti nekih čudnih in dolgih nizov, ampak le eno preprosto geslo, ki ga programček avtomatsko zamenja z mnogo močnejšim.

Slaba stran je, da nobenega gesla ne veste na pamet in morate na vsakem računalniku dodati zaznamek. Nekateri računalniški terminali so preveč zaklenjeni, da bi to dovolili in tudi večina programsko rahitičnih telefonov ne podpira tega programa.

Se pa v enem koraku izognete istemu geslu na vseh straneh (zelo slaba praksa!) ter tudi kratkim geslom, ki se jih da hitro uganiti.

Goldee ::

Jaz moram vsake 3 mesece spremeniti password v windowsih in lotus notesih - ker je zahtevano, da je v passwordu vsaj beseda in številka skupaj (lahko pa tudi kakšen znak) imam pač svojo politiko, da geslo tvorim takole:
beseda00beseda, čez 3 mesece spremenim v beseda11beseda, potem beseda22beseda itd.
Je to "ranljivo"?

Še sreča, da si windowsi in notesi ne "zapomnijo" zadnjih treh gesel in zato ne težijo, če spremeniš v skoraj isti password, z razliko dveh številk. Nekateri programi dejansko tudi zaradi tega najedajo.
And Now for Something Completely Different...

-two things I like about UK -Monty Python & Pink Floyd-

bluefish ::

podobno je počel nekdo v firmi, kjer sem delal kot študent, že očitno precej let. Cifre na koncu gesla je spreminjal le za eno mesto.
Sicer je pri tako veliki firmi in v pisarni itak vseeno, saj računalnike pred dostopom iz interneta varuje še en kup opreme.

Brane2 ::

Članek je bolj tko-tko. Pozabil si na najpomembnejše- orodje za generiranje in hranjenje dolgih gesel.

Če imaš geslarnico( =~ denarnico za gesla ) potem to postane stvar preteklosti.

Ko bi se rad kje registriral in te site vpraša za geslo, vnseseš novo kartico in osnovne podatke ( URL, username, comment, naslov etc) geslo pa si bodisi zmisliš, bodisi klikneš na "generate password" in stvar zahteva od nadalnji klik ( število znakov v geslu) in še enega za dovoljene znake. Nato sledi zahteva za random pomikanje miške in klikanje po tipkovnici, da si zadva ustvari random seed, ki je podlaga za novo geslo.

In to je vse. Ko imaš enkrat kartico v "geslarnici", je vpis gesla stvar enostavnega copy&paste, geslarnica pa zna tudi opravit login kar sama z "autocomplete".

Sama baza je kriptokodirana, tako da te čaka pomnjenje le enega gesla, ki mora biti solidno- za odklep geslarnice.
Vsa ostala so potem trivialna ne glede na njihovo dolžino,

Tako ni razloga za "123" in podobne neumnosti.

Evo novega gesla, zgeneriranega v nekaj sekundah in klikih, skupaj z generacijo random seed-a:

"o0El0AVMomSZNYdbLGP8RhJH"
On the journey of life, I chose the psycho path.

roli ::

Jaz bi pa rad našel nek programček kjer bi vnesel geslo on pa bi to geslo poizkušal uganiti s pomočjo brute forcanja ali pa z slovarjem oziroma kar oboje in ti na koncu izpisal rezultat.
http://www.r00li.com

Brane2 ::

Aja, pri tej zadevi je kjučno to, da bazo vsake toliko skopira na kak USB ključek ali SD kartico ali raje več.
Čisto toliko če ti disk crkne ali pa ti računalnik ukradejo, da imaš pri sebi vse bistvene skrivnosti.

Jaz zadevo uporabljam tudi za druge stvari- hranjenje pin kod etc. Zelo uporabno.
On the journey of life, I chose the psycho path.

strictom ::

Najboljš geslo je, da imaš notri en "backspace". Mora pa bit tam in ti prejšno črko zbriše. Backspace pa ne verjamem da je v kakem decifer arsenalu :P
"Violence is the last refuge of the incompetent" - Salvor Hardin

cryptozaver ::

Jaz bi se izogibal gesel ki uporabljajo značilne zamenjave kot npr p@ssw0rd. Taka gesla bodo ali že so v pass listah.

Meni se zdi najbolje izmislit si nek butast stavek ali bolje idiom. Vse skup pokombinirat s kakšnim znakom, ki je smiseln le nam in to je to. Potem najdemo še sistem po katerem si menjamo gesla tam kjer je treba (pa še pametno je) pa smo zmagali...

marsovcek ::

Brane2: lahko podaš primer takega programa?

Brane2 ::

KeePassX. Odprta koda, dosegljiv tudi za Winse.

http://www.keepassx.org
On the journey of life, I chose the psycho path.

CaqKa ::

pri keepass je jeba če uporabljaš kak clipbord manager ;)

sicer pa projekt9 očitno postaja stran ki je malo bolj dobrodošla do člankov :)

cryptozaver ::

Počasi bo treba razmišljat tudi o alternativne načinu vnosa gesla v sistem...

http://www.itworld.com/security/64193/r...

Zgodovina sprememb…

Brane2 ::

pri keepass je jeba če uporabljaš kak clipbord manager ;)

sicer pa projekt9 očitno postaja stran ki je malo bolj dobrodošla do člankov :)


Vsaj na gentooju ni videti teh problemov.

Stvar ostane v clipboardu do prvega pastea in še nekaj sekund, potem je ni več.

Sicer pa ne oporekam temu da je ranljiva, a vsekakor je veliko nad uporabo stalno enakega ali simpl passworda.
On the journey of life, I chose the psycho path.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost		8017778 (14456) BaToCarx
»

Hekerji dobili pol milijon gesel uporabnikov Yahoo! Voices

Oddelek: Novice / Varnost		166481 (5022) Iatromantis
»

Analiza Sonyjevih gesel

Oddelek: Novice / Varnost		216415 (4807) MrStein
»

Analiza pobeglih gesel: še vedno nič novega

Oddelek: Novice / Varnost		176789 (6089) MrStein
»

Večina gesel ni varnih

Oddelek: Novice / Zasebnost		464822 (3333) Jst

Več podobnih tem