» »

Analiza pobeglih gesel: še vedno nič novega

Analiza pobeglih gesel: še vedno nič novega

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru so to fuckyou, blahblah in whatever. Razlage za monkey sicer ni. Zanimivi sta še gesli trustno1 (Mulderjevo geslo v Dosjejih X) in thx1138 (film Georgea Lucasa), poleg njiju pa še dragon, superman, princess, starwars in nintendo.

Povprečno geslo je dolgo šest znakov. Zanimive so korelacije med močjo gesel in ponudnikov elektronske pošte. Izkazalo se je, da imajo uporabniki Gmaila in Yahoo Maila nekoliko daljša in za kanček bolj premetena (passw0rd namesto password) gesla od uporabnikov Hotmaila, kar lahko razlagamo z zahtevami ponudnika elektronske pošte pri izbiri gesla in lenobo, saj ljudje ista gesla uporabijo na več koncih.

Je pa potrebno biti pri tovrstni statistiki pazljiv. Analizirana so zgolj gesla, ki so bila dešifrirana, zato vzorec ni nujno reprezentativen za celotno spletno skupnost. Nasprotno, verjetno je, da močnejša gesla niso bila odkrita.

17 komentarjev

Modiano ::

Vzorec verjetno res ni reprezentativen, je pa primer dober dokaz ali stanje, da se ljudeje premalo zavedajo nevarnosti prešibkih gesel.
...Money can't buy happiness, but neither can poverty...

Mipe ::

Moje geslo je praviloma dolgo okoli 16 črk (in številk).

Veselo ugibanje :)

element ::

Če maš istega po več straneh, boš slej ko prej naletel na neko strani, ki shrani password v plaintext obliki, ti ga kdo prestreže med prenosom al pa ga kar direktno vkrade, ko ga vpišeš. Od tam naprej so vrata odprta do tvojga FB, gmail in ST računov. V luči teh dogodkov sem se tud sam odloču malo bolj zavarovat svoje spletne identitete in sem si namestil LastPass.

V podcastu Security Now 256 ga temeljito predstavijo, če koga zanima.

PARTyZAN ::

Tvoje geslo je pravilmoa dolgo 16 znakov? In na koliko promilov strani, ki jih uporabljaš sploh podpira tako dolga gesla?

Aljaz1980 ::

V luči teh dogodkov sem se tud sam odloču malo bolj zavarovat svoje spletne identitete in sem si namestil LastPass.

Ne vidim kako si bolj varen, razen s tem da imaš več različnih gesel. Z lasspass-om pa lahko pač na njih pozabiš, saj ti jih sam vpisuje right ?

PARTyZAN ::

Če imaš neverjeten spomin, da si zapomneš randomly generated password za vsako stran, ki jo uporabljaš potem ne pridobiš ničesar, ja.

Kenpachi ::

WSJ verjetno ponuja članke v zameno za registracijo. Če na strani ne dela bugmenot, tudi sam v takih primerih izberem neko glupo geslo, samo da je. V navezi z spam mail računom seveda. Who cares. Register, read article, forget.
Zaraki Kenpachi.

Aljaz1980 ::

PARTyZAN je izjavil:

Če imaš neverjeten spomin, da si zapomneš randomly generated password za vsako stran, ki jo uporabljaš potem ne pridobiš ničesar, ja.

razen če imaš strojno rešeno:P

PARTyZAN ::

Strojno?

vorantz ::

Najbrž programsko

element ::

Kje je problem? Posamezni strani ne moreš zaupat, da bo mela tvoje geslo varno shranjeno. Predpostavimo, da je stran X zlorabljena in so napadalci dobili tvoje geslo. Če ga uporabljaš še kje, je to praktično free pass do vseh ostali strani, kjer se podvaja. Te strani se gre lahko kar ugibat. Če maš unikatno močno geslo za vsako stran, je možnosti, da ga razbijejo manj, tudi če je shranjeno samo v MD5. Če pa ga že razbijejo, dobijo dostop le do zlorabljene strani, ne pa tudi do tvojih drugih identitet. Na zlorabljeni strani zamenjaš geslo, pa je.

Kako si zapomnit n 10-mestnih gesel iz kombinacije številke, velike, male črke. Zelo težko. Zato uporabiš recimo LastPass. Če si lahko zapomniš tolk gesel na pamet, pol ni v ničemer boljši. :)

Aljaz1980 ::

PARTyZAN je izjavil:

Strojno?


http://gregag.wordpress.com/2010/12/08/...
Emuliraš tipkovnico z mikrokrmilnikom.
Tukaj pa moreš imet fizični dostop, ker deluje samo 1-way komunikacija in si remote ne more nobeden čisto nič pomagat, razen če ti da keyloger.
S tem da za razliko od bloga sem se še igral, da bi za geslo lahko imel zaporedje dovolj časovno dolgih pritiskov, ampak to je potem že zamudno.
Seveda moje izvedbe ni tam gori :P

Oziroma če si res panaroid bi lahka imel dva vezja, ki se enostavno povežeta. Enega ki emulira tipkovnico, ter drugega, ki gesla vsebuje. Tako da tudi če bi izgubil vezje z gesli, če najditelj ne ve za kaj se uporablja ali znanja mu nič ne nuca. Saj tako vezje nebi vsebovalo usb konektorja. Če pa ima znanje, pa se mu lubi jit reverse inženiring, pa imaš več kot dovolj časa da si jih spremeniš.

Seveda še tako dobra zaščita, se da zaobiti. No za razliko od LastPass se da ključek okoli nosit, je pa potem to zelo riskantno. Aja pa tak ključek ni zastonj :(

Zgodovina sprememb…

  • spremenilo: Aljaz1980 ()

element ::

Al pa uporabiš Yubikey :).

PARTyZAN ::

Aljaz1980 je izjavil:

PARTyZAN je izjavil:

Strojno?

http://gregag.wordpress.com/2010/12/08/...
Emuliraš tipkovnico z mikrokrmilnikom.


Lušno, ampak ne preveč praktično v primerjavi z Lastpass in podobnimi servisi ;).

MrStein ::

Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password,

Ni čudno, če pa obrazec pravi "Enter _password_ :" ! ;)

lenoba, ki ljudje ista gesla uporabijo na več koncih.

Syntax error!

V čem se LastPass razlikuje od v Firefox vdelanega password keeper-ja?
Da ima enostaven prenos na drug PC?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

element ::

Firefox password manager samo shranjuje gesla, če nimaš master passworda so prosto dostopni, če ga maš, jih kriptira s 3DES. LastPass po drugi strani omogoča sync med različnimi browserji (tudi na istem sistemu), telefonom, ipadom, kar je nujno, če maš random gesla. Kriptira z močnejšim AES-256, tvoj kriptirni ključ se nikoli ne pošlje nikamor. Treba je vedet, da se da master password za firefoxov manager dokaj enostavno razbit s FireMasterjem, če ni dovolj močen. LastPass geslo bo bistveno težje razbit. Pol maš pa še druge prednosti. V lastpass container lahko shraniš še kreditne kartice, forme, server dostope, ...

MrStein ::

Sem probal FireMaster. Remaining time days je ohoho cifer. Negativnih...

Me nič ne skrbi za moj master password.

Torej ostaja syncanje in da hrani vso formo in še par malenkosti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7020624 (16943) SeMiNeSanja
»

Yahoo nadaljuje odpravljanje gesel

Oddelek: Novice / Omrežja / internet
2710974 (5189) Kenpachi
»

Google bi se znebil gesel. Kaj je alternativa?

Oddelek: Novice / Omrežja / internet
4613601 (10954) Jst
»

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

Oddelek: Novice / Varnost
187159 (6449) Gandalfar
»

Varnost v praksi (1. del) oz. kaj pomeni dobro geslo

Oddelek: Novice / Varnost
325055 (2940) Brane2

Več podobnih tem