» »

Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino

Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino

BBC - Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa ena ugotovitev, ki jo karikira tudi spodnja slika - ljudje načeloma izbira obupno slaba gesla. Vse prevečkrat namreč uporabljamo podatke, ki jih je lahko povezati z nami - razne rojstne datume, imena, naslove, hišne številke ipd. Varno geslo mora biti tako, da ga ni mogoče povezati z njegovim uporabnikom.

To pomembno vpliva tudi na lomljenje gesel. Surova sila (brute force) že dolgo ni več najučinkovitejša metoda, ampak pride na spored čisto na koncu. Bistveno enostavneje je uporabiti bolj ciljane napade, za katere pa moramo poznati nekaj osebnih podatkov imetnika. Facebook nam tu priskoči na pomoč, mnogokrat pa tudi sami uporabniki, ki gesla reciklirajo. Kar 70 odstotkov ljudi uporablja geslo za e-pošto še kod drugod.

Še dosti slabša je zgodba, ko govorimo o geslih, kjer sta dolžina in raznolikost urejena. Za štirimestni PIN imamo na voljo 10.000 kombinacij, a kar 80 odstotkov vseh gesel pripada 100 najpogostejšim kombinacijam - še huje, kot napoveduje Pareto. Lomljene gesel tako ni več matematični problem (skoraj), ampak sociološki. Yiannis Chrysanthou, ki se z varnostjo ukvarja v KPMG-ju, pojasnjuje, kako so zlomili geslo "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn". Če namreč poznamo literaturo, je entropija takega gesla 1.

53 komentarjev

«
1
2

hojnikb ::

hhahahahaha tale naslov je pa čisti 24ur style :))
#brezpodpisa

jlpktnst ::

Jap, padem čisto izven vseh statističnih kategorij.

Plus grozno me iritirajo ta varnostna vprašanja, kjer imaš ponavadi samo točno te podatke za vnest, ki naj ne bi bili v geslih. Pa vnesem nekaj drugega ali pa na kompliciran način in seveda pozabim.

mk818764 ::

Jaz imam samo eno geslo, za vse ostalo poskrbi LastPass.

bluefish ::

jlpktnst je izjavil:

Plus grozno me iritirajo ta varnostna vprašanja, kjer imaš ponavadi samo točno te podatke za vnest, ki naj ne bi bili v geslih. Pa vnesem nekaj drugega ali pa na kompliciran način in seveda pozabim.
Ja, tako radi opozarjajo uporabbike pred uporabo gesel, ki vsebujejo take ali drugačne osebne podatke, nato pa v samim "varnostnih" vprašanjih povprašujejo ravno po njih.
Tako tudi jaz ponavadi vnesem nek čisto naključen niz.

trizob ::

bluefish je izjavil:

jlpktnst je izjavil:

Plus grozno me iritirajo ta varnostna vprašanja, kjer imaš ponavadi samo točno te podatke za vnest, ki naj ne bi bili v geslih. Pa vnesem nekaj drugega ali pa na kompliciran način in seveda pozabim.
Ja, tako radi opozarjajo uporabbike pred uporabo gesel, ki vsebujejo take ali drugačne osebne podatke, nato pa v samim "varnostnih" vprašanjih povprašujejo ravno po njih.
Tako tudi jaz ponavadi vnesem nek čisto naključen niz.


+ 1, tudi jaz natipkam za vprašanje in odgovor popolnoma naključen in izjemno dolg, kolikor mi je omogočeno, niz.

KoKi ::

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost. Se pravi 10^4 ti da 10k kombinacij 4^10 pa nekaj čez 1m. Do zdaj še nobeden ni razumel.
# hackable

smash ::

Nikoli se ne ukvarjam prevec z geslim..moj najljubsi feature je "pozabil sem geslo" :)

Deluje vedno in hitro.

M.B. ::

Samo PIN koda mi pa ni jasna. Za telefon si jo lahko sam narediš za kartico pa jo tak dobiš. Al se da to spremenit?

video o tem je bil na Defconu obstaja pa že 2 del. Govori pa ravno o uganjanju gesel s pomočjo socialnih omrežij. Zanimivo je bilo tudi, da ko so naredli FB kviz z vprašanji ki so bila nekatera enaka skritim vprašanjem pri marsikateri spletni strani, so ljudje veselo odgovoraji, tudi tisti strokovnjaki za varnost. S pomočjo odgovorov pa se je zlahka prišlo do gesel.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

LitralSM ::

Če lahko posamezni ekspert, ki s sabo nosi terabajtni HDD ugotovi takšna gesla, kako lahko je potem šele za tiste, ki aktivno nadgrajuje algoritme s pomočjo leakanih baz gesel ....
Nasvet: Uporabljajte geslo, ki na internetu ne obstaja. Če se vam gre za varnost seveda.

Double_J ::

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.
Dve šivanki...

Zgodovina sprememb…

  • spremenil: Double_J ()

Relanium ::

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.


Matjaž - ne
Matjaž je šel po štruco kruha. - pa dosti bolj (pazi še piko na koncu)

Zakaj se je človeštvo naučilo izbirat lahko zlomljiva in za težko si zapomnit gesla:
Zaradi v preteklosti precej butastih strani ki so javljale:
- Vaše geslo mora biti krajše od... nevem.... 10 znakov
- geslo lahko vsebuje samo črke in številke brez presledkov

in podobne fore....
Zdaj je situacija dost boljša, navade so ostale.

Zgodovina sprememb…

  • spremenilo: Relanium ()

trizob ::

Relanium je izjavil:

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.


Matjaž - ne
Matjaž je šel po štruco kruha. - pa dosti bolj (pazi še piko na koncu)

Zakaj se je človeštvo naučilo izbirat lahko zlomljiva in za težko si zapomnit gesla:
Zaradi v preteklosti precej butastih strani ki so javljale:
- Vaše geslo mora biti krajše od... nevem.... 10 znakov
- geslo lahko vsebuje samo črke in številke brez presledkov

in podobne fore....
Zdaj je situacija dost boljša, navade so ostale.


Ne bi rekel, prepričan sem, da gre za lenobo oz. željo po udboju ter globlje pozabljivost.

techfreak :) ::

Zaradi v preteklosti precej butastih strani ki so javljale:
- Vaše geslo mora biti krajše od... nevem.... 10 znakov

Pri Live.com/Outlook.com imajo še vedno omejitev do 16 znakov.:D

BBB ::

Ali velja prva točka drugega člena pravilnika tega foruma tudi za uporabljeno geslo?

LitralSM ::

techfreak :) je izjavil:

Zaradi v preteklosti precej butastih strani ki so javljale:
- Vaše geslo mora biti krajše od... nevem.... 10 znakov

Pri Live.com/Outlook.com imajo še vedno omejitev do 16 znakov.:D

Kar je dovolj, če imaš geslo, ki ga algoritem ne najde v seznamu.

-mihaaa- ::

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.


JA PA JE ... gelso miha je najbolj varno :P !


edit: ok I'm stupid, sam otistega z entropijo ki je 1 in ctulu pa ne razumem cisto, lahko kdo prosim razlozi za neumne?

Zgodovina sprememb…

  • spremenil: -mihaaa- ()

CaqKa ::

-mihaaa- je izjavil:

edit: ok I'm stupid, sam otistega z entropijo ki je 1 in ctulu pa ne razumem cisto, lahko kdo prosim razlozi za neumne?

normalno da ne!
če pa je avtor novice v besedilu:
Yiannis Chrysanthou, ki se z varnostjo ukvarja v KPMG-ju, pojasnjuje, kako so zlomili geslo "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn". Če namreč poznamo literaturo, je entropija takega gesla 1.

pri besedi "pojasnjuje", (ali pa kjerkoli v tem stavku) pozabil dat link...

Zgodovina sprememb…

  • spremenil: CaqKa ()

66speeder66 ::

Ahhh, po naslovu in po tem portalu sm že mislu, da so tud na tem području kaj znastvenega odkril ... :D

LitralSM ::

-mihaaa- je izjavil:

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.


JA PA JE ... gelso miha je najbolj varno :P !


edit: ok I'm stupid, sam otistega z entropijo ki je 1 in ctulu pa ne razumem cisto, lahko kdo prosim razlozi za neumne?

http://www.gutenberg.org/
Tja se nalagajo številne knjige. Če iz teh knjih pobereš besede in fraze, se da zlomiti še več gesel. Omenjena fraza je bila iz knjige, ki je bila naložena na Gutenbergu.

VaeVictis ::

LitralSM je izjavil:

-mihaaa- je izjavil:

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.


JA PA JE ... gelso miha je najbolj varno :P !


edit: ok I'm stupid, sam otistega z entropijo ki je 1 in ctulu pa ne razumem cisto, lahko kdo prosim razlozi za neumne?

http://www.gutenberg.org/
Tja se nalagajo številne knjige. Če iz teh knjih pobereš besede in fraze, se da zlomiti še več gesel. Omenjena fraza je bila iz knjige, ki je bila naložena na Gutenbergu.


Dictionary attack

The H.P. Lovecraft Wiki R'lyeh

Genetic ::

In na kaksnen nacin so prisli na idejo, da so dali v dictionary ravno tisti ctulu... verz? Mislim, saj ja ne mores dati vseh verzov ali stavkov iz literature v dictionary in lepo reci: hja, dictionary attack. Pa se variante, da je kaksen poseben znak izpustil, samo male crke, samo velike, malo mesano, ...

metalc ::

M.B. je izjavil:

Samo PIN koda mi pa ni jasna. Za telefon si jo lahko sam narediš za kartico pa jo tak dobiš. Al se da to spremenit?


Jaz sem lahko spremenil PIN od svoje bančne kartice. Verjetno je pa odvisno tudi od banke.

-mihaaa- ::

hvala vsem za razlago :)... mi ni pripeljalo samo z branjem

energetik ::

metalc je izjavil:

M.B. je izjavil:

Samo PIN koda mi pa ni jasna. Za telefon si jo lahko sam narediš za kartico pa jo tak dobiš. Al se da to spremenit?


Jaz sem lahko spremenil PIN od svoje bančne kartice. Verjetno je pa odvisno tudi od banke.
Pri NLB lahko spreminjaš PIN navadne kartice, od mastercarda pa ne moreš.
Raje ne omenjam, kakšen glup PIN sem dobil pri mastercardu... ;((

Sicer pa za moja gesla skrbi Lastpass, vsako je drugačno, naključno in 20-mestno... Če pozabim glavno geslo ali ga kdo pogrunta, sem gotof.

Silver ::

Nekaj me pa le zanima ... Če v za primer vzamemo brute-force napad, torej zaporedno poizkušanje vseh kombinacij: Koliko je variacij pri npr. 8 znakov dolgem geslu, ki uporablja velike in male črke, številke ter posebne znake? Nabora vseh posebnih znakov je skoraj za eno abecedo, mogoče več? Torej bi moralo to krepko povečati moč gesla. Tu mi po občutku ne štima povsem, ne znam pa zračunat. :)

Napad s slovarjem pa lahko hitro zlomi tisto 20-mestno geslo, ki je bilo uporabno v primeru na sliki.
Da bi moral za vsako prijavo tipkat 25-mestno geslo, po možnosti še na kakem neodzivnem zaslonu na dotik. Se raje ustrelim v nogo. :D

Oddin ::

Gesla se ne sestavljajo iz smiselnih besed - kateregakoli jezika.
Corsair Obsidian 750D, i5 3570 & 4.4GHz, Sapphire R9 290 Tri-X OC,
CPU+GPU EKWB Custom Liquid-Cooling Loop, Asus P8Z77-V DELUXE, Corsair Vengeance
Pro 8gb 1600MHz, Samsung SSD 850 EVO, Corsair AX860i

Roadkill ::

Relanium je izjavil:

Matjaž - ne
Matjaž je šel po štruco kruha. - pa dosti bolj (pazi še piko na koncu)


Pika na koncu ne doda praktično nič. Pri vseh dictionary napadih se na koncu vsake kombinacije doda še vsa možna ločila, letnice in podobno.
Osebna imena so v vsakem slovarju in so prva stvar, ki se praveri.

Ponavadi tudi če se cracka dump za določen site se slovarje prilagodi za lokalni jezik (to pomeni tudi uporabljeno literaturo).

Mene preseneča folk, ki je prepričan, da nobeno od gesel v 42miljonov velikem dumpu (+32 miljonov iz rockyou.com, +par 10m iz drugih strani) ni podobno njegovemu.
Obstajajo izjeme, ampak večina bi se našla v tem sezanmu.
Ü

jlpktnst ::

Silver je izjavil:

Nekaj me pa le zanima ... Če v za primer vzamemo brute-force napad, torej zaporedno poizkušanje vseh kombinacij: Koliko je variacij pri npr. 8 znakov dolgem geslu, ki uporablja velike in male črke, številke ter posebne znake? Nabora vseh posebnih znakov je skoraj za eno abecedo, mogoče več? Torej bi moralo to krepko povečati moč gesla. Tu mi po občutku ne štima povsem, ne znam pa zračunat. :)

Napad s slovarjem pa lahko hitro zlomi tisto 20-mestno geslo, ki je bilo uporabno v primeru na sliki.
Da bi moral za vsako prijavo tipkat 25-mestno geslo, po možnosti še na kakem neodzivnem zaslonu na dotik. Se raje ustrelim v nogo. :D


Vidiš tu se pa ne strinjamo. Gesla do 15 so itak vsa v rainbow tabelah. Torej znajo tudi iz hashed podatkov dobit tvoja gesla. To je tu problem.

Dictionary brute napad, hja, to mora bit pa res glup provider, ki pusti da se nekdo logina 1000000x v tvoj acc...

Brute napad na eno samo geslo - to je zelo zelo redek dogodek. Veliko lažje je ukrast gesla ali pa hashe en-masse. S tem da če imaš kratko geslo ti čisto nič ne pomaga hashing.

Pa še glede nasilnega napada na geslo sestavljeno iz 4 besed - misliš da je to tako preprosto? Če ima slovar 100.000 besed je to 100.000⁴, zdej pa računaj.

Looooooka ::

Double_J je izjavil:

Ravno z PIN kodo poizkusim ljudem razložit, zakaj je dolžina gesla boj pomembna kot raznolikost.


Ne vem če je geslo Matjaž, kaj bolj varno od Miha.

Ce ti je ime matjaz al pa miha sta obe gesli vredni absolutno nic.

ozbolt ::

Silver je izjavil:

Koliko je variacij pri npr. 8 znakov dolgem geslu, ki uporablja velike in male črke, številke ter posebne znake? Nabora vseh posebnih znakov je skoraj za eno abecedo, mogoče več? Torej bi moralo to krepko povečati moč gesla. Tu mi po občutku ne štima povsem, ne znam pa zračunat. :)D


Recimo da vzememo ASCII znake - skupaj s presledkom, navednicami in drugimi velikokrat prepovedanimi znaki imamo 126-32 = 94 znakov. Torej v najboljsem primeru 94^8 ~ 6.1*10^15 kombinacij. Vzemimo ven znake " in ' in space (tile so najveckrat prepovedani po mojih izkusnjah), pa dobimo 4.7*10^15 kombinacij.

Roadkill ::

Stavki so kar OK gesla, samo ne če so vzeti iz poznane literature.

Če daš za geslo: "The sky above the port was the color of television, tuned to a dead channel."
Zgleda super varno, ampak če bi se jaz zares trudil, bi v slovarje dodal tudi kak impresiven seznam slavnih citatov.

Hitrost crackanja je strašljiva. ATI 7970 izrauna 2.000.000.000 SHA1 hashov na sekundo.

Vse je odvisno od slovarja. Če je vaše geslo v slovarju, ni vredno nič.
Ü

Oberyn ::

Oddin je izjavil:

Gesla se ne sestavljajo iz smiselnih besed - kateregakoli jezika.

Zakaj ne? VčerajSemBilNaObiskuPriMojiPokojniBabiciHaHaŠalimSe je geslo, odporno na vsak zamisljiv dictionary napad, odporno na povezovanje znanih podatkov o meni, odporno na rainbow tabele in ga je možno razbiti samo na brute force način, vendar ne v tem tisočletju. Pri tem pa je zlahka zapomljivo. Šibka točka je?

Roadkill ::

Oberyn: Resno vprašanje... a je tvoje s-t geslo vsaj pribljižno tako varno kot tole, ki si ga tukaj uporabil?
Ü

Oberyn ::

Roadkill je izjavil:

Oberyn: Resno vprašanje... a je tvoje s-t geslo vsaj pribljižno tako varno kot tole, ki si ga tukaj uporabil?

Ne vem. Ne poznam svojega ST gesla. Še nikoli ga nisem vtipkal. Geslo za password manager, ki ga uporabljam, pa je podobno, kot ga omenjam zgoraj. Bi bil pa hec, če bi res to pravo geslo zgoraj vtipkal, stvar navade, malo raztresen mogoče... Požrl bi se.

Roadkill ::

Enkrat ponoči sem na hitro odkucal svoje gleslo za KeePass, pa nisem imel kurzorja tam, kjer bi pričakoval.
Stisnem Enter in opazim, da sem pass do svojega pass vaulta vpisal v google search box. ;((

Sicer OK, da ni bilo nobenega zadetka, ampak sem ga vseeno zamenjal + še par pomembnih sem na novo zgeneriral.
Ü

Oddin ::

Oberyn je izjavil:

Oddin je izjavil:

Gesla se ne sestavljajo iz smiselnih besed - kateregakoli jezika.

Zakaj ne? VčerajSemBilNaObiskuPriMojiPokojniBabiciHaHaŠalimSe je geslo, odporno na vsak zamisljiv dictionary napad, odporno na povezovanje znanih podatkov o meni, odporno na rainbow tabele in ga je možno razbiti samo na brute force način, vendar ne v tem tisočletju. Pri tem pa je zlahka zapomljivo. Šibka točka je?


trol
Corsair Obsidian 750D, i5 3570 & 4.4GHz, Sapphire R9 290 Tri-X OC,
CPU+GPU EKWB Custom Liquid-Cooling Loop, Asus P8Z77-V DELUXE, Corsair Vengeance
Pro 8gb 1600MHz, Samsung SSD 850 EVO, Corsair AX860i

Oberyn ::

Roadkill je izjavil:

Enkrat ponoči sem na hitro odkucal svoje gleslo za KeePass, pa nisem imel kurzorja tam, kjer bi pričakoval.
Stisnem Enter in opazim, da sem pass do svojega pass vaulta vpisal v google search box.

Jaz sem še korak naprej - master gesla nikoli ne vtipkam s tipkovnico, vedno uporabim zaslonsko tipkovnico, katere izhoda ni možno zajeti s key loggerjem, ne uporablja odložišča in je odporna na vse podobne napade - vsaj tako jo oglašuje izdelovalec.

Sicer nisem kakšen tajni agent, take stvari so mi samo zanimive, čisto iz principa. Tudi vse diske imam šifrirane, na primer. To me pač zabava, nič drugega. Mogoče kot Matthai, ki ima telefon, ki mu ni možno prisluškovati, čeprav verjetno ni faktor, ki bi mu kdorkoli želel prisluškovati.

Oddin ::

Na mesec ali dva zamenjam master password. Uporabljam keepass in roboform. Povsod 20 mestno mešanico velikih in malih črk, številk in posebnih znakov. Če to ni dovolj, pol ga pa en klinc gleda.
Corsair Obsidian 750D, i5 3570 & 4.4GHz, Sapphire R9 290 Tri-X OC,
CPU+GPU EKWB Custom Liquid-Cooling Loop, Asus P8Z77-V DELUXE, Corsair Vengeance
Pro 8gb 1600MHz, Samsung SSD 850 EVO, Corsair AX860i

pi pawr ::

"During a recent password audit at our company, it was found that a blonde receptionist was using the following password:
MickeyMinniePlutoHueyLouieDeweyDonaldGoofySacramento
When asked why she had such a long password, she said she was told that it had to be at least 8 characters long and include at least one capital! "

MrStein ::

Roadkill je izjavil:

Enkrat ponoči sem na hitro odkucal svoje gleslo za KeePass, pa nisem imel kurzorja tam, kjer bi pričakoval.
Stisnem Enter in opazim, da sem pass do svojega pass vaulta vpisal v google search box.

Focus stealing rules!
(ni nujno, da je v tvojem primeru to bilo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

grex ::

Oberyn je izjavil:

Oddin je izjavil:

Gesla se ne sestavljajo iz smiselnih besed - kateregakoli jezika.

Zakaj ne? VčerajSemBilNaObiskuPriMojiPokojniBabiciHaHaŠalimSe je geslo, odporno na vsak zamisljiv dictionary napad, odporno na povezovanje znanih podatkov o meni, odporno na rainbow tabele in ga je možno razbiti samo na brute force način, vendar ne v tem tisočletju. Pri tem pa je zlahka zapomljivo. Šibka točka je?


Kupi 10 bitcoinov, daj to geslo v Brainwallet passphrase in boš videl, da boš brez denarja v največ 10 dneh :)

Roadkill ::

MrStein je izjavil:

Roadkill je izjavil:

Enkrat ponoči sem na hitro odkucal svoje gleslo za KeePass, pa nisem imel kurzorja tam, kjer bi pričakoval.
Stisnem Enter in opazim, da sem pass do svojega pass vaulta vpisal v google search box.

Focus stealing rules!
(ni nujno, da je v tvojem primeru to bilo)

V tem primeru je bil vzrok totalno pomanjkanje koncentracije - full on zombie mode.
Ü

Roadkill ::

Sem se že mislil lotit ljubiteljskega crackanja brainwalletov. Pa mislim, da je prehuda konkurenca. Folk ma ogromne farme, ki so jih uporabljali za minanje BTCjev dokler se je to izplačalo...

Poleg tega je folk, ki uporablja brainwallete nadpovprečno IT izobražen in je možnost za slabe passworde ustrezno manjša.

En mesec nazaj:
Just lost 4 BTC out of a hacked brain wallet. The pass phrase was a line from an obscure poem in Afrikaans. Somebody out there has a really comprehensive dictionary attack program running.

Fuck. I thought I had my big-boy pants on.


Pa še par za primerjavo:
http://www.reddit.com/r/Bitcoin/comment...

Fascinantno.
Ü

Zgodovina sprememb…

  • spremenil: Roadkill ()

Oberyn ::

grex je izjavil:

Oberyn je izjavil:

Oddin je izjavil:

Gesla se ne sestavljajo iz smiselnih besed - kateregakoli jezika.

Zakaj ne? VčerajSemBilNaObiskuPriMojiPokojniBabiciHaHaŠalimSe je geslo, odporno na vsak zamisljiv dictionary napad, odporno na povezovanje znanih podatkov o meni, odporno na rainbow tabele in ga je možno razbiti samo na brute force način, vendar ne v tem tisočletju. Pri tem pa je zlahka zapomljivo. Šibka točka je?


Kupi 10 bitcoinov, daj to geslo v Brainwallet passphrase in boš videl, da boš brez denarja v največ 10 dneh :)

Na kakšen način se lahko razbije tako hitro?

Spura ::

-mihaaa- je izjavil:


edit: ok I'm stupid, sam otistega z entropijo ki je 1 in ctulu pa ne razumem cisto, lahko kdo prosim razlozi za neumne?

Sure. Pisec opisuje izjemno pogost scenarij v katerem cracker uporabi dictionary s tocno dvema passwordoma, eden od njih je ta niz. V tem primeru je entropija tega passworda 1.

Zgodovina sprememb…

  • spremenil: Spura ()

Oberyn ::

Oh oh oh, sem bral članke o razbijanju gesel, pa to je res osupljivo. Brute force napada zgleda nihče več ne uporablja, ker res nima smisla. Dictionary napadi so pa tolk sofisticirani, da moje varno geslo "VčerajSemBilNaObiskuPriMojiPokojniBabiciHaHaŠalimSe" niti ni več toliko varno. Čeprav, ravno trivialno pa tudi ni.

Vendar se mi zdi, da je varnost gesla zelo odvisna od načina, kako lahko razbito geslo uporabiš. Na primer, za True Crypt je treba geslo generirati, iz njega izračunati ključ enako, kot ga TC (za vsako možno kombinacijo šifrirnega algoritma posebej), nato prebrati določeno vsebino z diska, jo odkodirati z vsakim od teh ključev posebej in ugotoviti, ali je smiselna. Na tak način tudi TC ugotovi, ali je vnešeno geslo pravo (kolikor se spominjam iz literature). To pa je počasen postopek, predvsem zaradi branja z diska. Zmožnost računanja 30 milijard gesel na sekundo tukaj nima nobenega pomena, če jih lahko preiskusiš vsega par deset na sekundo. Podobno umetno "bremzo" ima vgrajeno tudi KeePass pri odkodiranju svoje datoteke.

1fris ::

mk818764 je izjavil:

Jaz imam samo eno geslo, za vse ostalo poskrbi LastPass.

Moja gesla v oblaku? Ne, hvala. Na telefonu? Ne me basat!

Uporabljam KeePass na ključku, brez instalacije.

Truga ::

najslabša gesla pa bradati, neurejeni moški


`pwgen -1y 32` mi izbira slaba gesla? :(

gslo ::

1fris, lastpass je sicer online servis, vendar se enkripcija izvaja lokalno in se na njihovih serverjih sinhronizira le že kriptirana datoteka. pač, ni varijante, da ima lastpass kadarkoli tvoje passworde v plaintextu. res je, da v primeru sranja napadalci lahko pridobijo tvoj lastpass file, ki pa ga morjo še odpret z master keyem - ki ga pa imaš le in samo ti.

je pač razlika med lastpass in nekaterimi ostalimi oblačnimi servisi. uporabljam ga tudi jaz, ker mi je keepass malce dosadil. za spletne strani in sinhronizacijo čez vse naprave je lastpass top shit.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kakšna gesla so pred 40 leti imeli Unixovi pionirji?

Oddelek: Novice / Varnost
187190 (4898) jype
»

Pozabljeno geslo za Bitlocker - je možno "vdreti" na pogon

Oddelek: Pomoč in nasveti
141929 (1615) Daniel
»

webmail tuštelekom (ex. volja mail)

Oddelek: Omrežja in internet
63681 (2083) NoName
»

Analiza slovenskih gesel

Oddelek: Novice / Zasebnost
3912107 (10045) BlueRunner
»

hotmail password crack (not a joke)

Oddelek: Informacijska varnost
224379 (3038) bluefish

Več podobnih tem