IT profesionalų patarimai, kaip sukurti tikrai gerą slaptažodį - net ir „Mėgstu cepelinus“ frazė gali virsti sunkiai įveikiamu slaptažodžiu

Komentarai Prisijungti

Viršuje:   Seniausi | Naujausi

kukulis4 2021-02-22 11:49
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju. Absoliutaus saugumo nera, o tuo labiau tas saugumas nepriklauso vien tik nuo vartotojo veiksmu. Del to, geriausia, ka vartotojas gali padaryt, tai naudot password manageri, kuris jam generuos saugius, ir svarbiausia, unikalius slaptazodzius kiekvienam saitui, taip eliminuodamas vartotojo klaidos galimybe.
conjurer 2021-02-22 12:04
.
HardAxe 2021-02-22 12:05
Užsidėk slaptažodį "Mėgs1u", joks tarptautinis leak`as nesusitvarkys su ė raide. Taip, tik 6 simboliai. Bet niekas nenaudos visos UTF lentelės bruteforcinti.
Niemand 2021-02-22 12:41
Mano žiniomis, galbūt pasenusiomis, UTF slaptažodžių dauguma sistemų neleidžia...
Niemand 2021-02-22 12:43
Jei be druskos, lemia ilgis, o ne konkretūs simboliai (išskyrus UTF, dėl kurių naudojimo galimybių nesu tikras), turėtų būti bent 11 simbolių, nes dauguma vaivorykščių iki 10 simbolių.
kukulis4 2021-02-22 12:58
Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.
conjurer 2021-02-22 13:02
Jei bus 32 simbolių su druska, sunkiai tu jį nulauši.
HardAxe 2021-02-22 13:30
Klausimas ar druska nebus išsaugota šalia slaptažodžio? Jeigu taip, tai nulauši. Tik kiekvieną "Slaptazodis1" teks laužti atskirai. Populiariausių žodynas kris greitai, bet su 100`000 vartotojų tai užims 100`000x ilgiau. Vis šis tas...
conjurer 2021-02-22 14:09
Nesvarbu, 32 atsitiktiniai simboliai nėra juokas.
kukulis4 2021-02-22 14:10
Bruteforcinimo atveju - taip, bet mano mintis jau paciame pirmame poste buvo apie tai, kad druska yra beverte, jeigu paslaugos tiekejas nesugeba uztikrinti duomenu saugumo (kaip kad citybee atveju).
Niemand 2021-02-22 15:34
Slaptažodžio hashas, hasho metodas (algoritmo kodas) ir druska tipiškai saugomi viename ir tame pačiame lauke kaip blobas. Praleidžiant laužymą pagal žodyną, 32 simbolių hasho laužymas su dabartiniais kompais truks kaip minimum ne vieną dešimtmetį. Plius pvz SHA1 dydis - 20 baitų, t.y. su 32 simbolių verte (slaptažodis plius hashas) po bruteforce gausi milijonus alternatyvių sprendimų.
Stebėtojas 2021-02-22 16:15
Čia elementari matematika visur žaidžia. Jei duomenų bazė yra bevertė, tai kaip nulauši slaptažodį jei ne brute force būdu? Na ir čia slaptažodžio ilgis (ir simbolių įvairovė) yra lemiamas faktorius. O druska čia vaidina vaidmenį tik tokį, kad laužėjui apsunkina darbą jei nori nulaužti daug slaptažodžių, iš kurių keletas gali būti vienodi. Nuo to jūsų slaptažodžiui ne lengviau. Kalbant apie UTF, tai viskas priklauso nuo to ar hashinimo funkcija moka dirbti su tokiais simboliais. Kitų apribojimų kaip ir nėra.
conjurer 2021-02-22 16:48
Druska padaro ataką su "rainbow tables" sudėtingesne, arba iš vis nepraktiška, jei ją parenka korektiškai. Beje tik turint hash vertę bruteforce laužimas yra praktiškas. Daug sistemų po neteisingo slaptažodžio suvedimo uždeda laiko limitą iki kito bandymo, kas padaro online brute force atakas beprasmėmis. O nutekėjusioje DB yra daugiau naudingų duomenų: adresai, balansai, asmens kodai. Ši informacija dažai naudojama autentifikavimui, kai paslaugos tiekiamos telefonu. Tik pliusas tas kad tokiu būdu daug ko daryti negali, bet tikrai gali užblokuoti banko kortelę, pranešti kad ji pamesta. Jei gerai pamenu. Paskutinį kartą tai dariau prieš 2 metus gal.
HardAxe 2021-02-22 17:06
laužti UTF simbolių aš nematau bėdos (techniškai). Bet kokius simbolius tada įtruaksi (jei db ne lietuviška)? Lietuviškus? Rusiškus? Lenkiškus? Skandinaviškus? Tikimybė, kad tarptautinėje bazėje bus naudojama speficinė lietuviška raidė ė - gana menka. Laužiant tarkim milijoną google paskyrų lietuviško alfabeto slaptažodžiuose įvedimas turės labai didelį nuostolį, laimėsi vos kelis slaptažodžius sugaišdamas tam begalę laiko.
Stebėtojas 2021-02-22 17:15
HardAxe, aš čia gal neteisingai išsireiškiau. Turėjau galvoje, kad UTF naudojimas slaptažodžiuose yra grynai techninis reikalas. Ir taip, retai (planetos mastu) naudojamų simbolių įtraukimas į slaptažodį tik padidina jo saugumą.
conjurer 2021-02-22 17:28
Kad hashinimo algoritmams nėra skirtumo lietuiški simboliai ar ne. Jie dirba su bitais, ir gali hashinti bet kokį failą. Pvz md5 dažnai naudojamas tikrinti ar failas teisingas, nes jį galima greitai generuoti (dėl to visiškai netinka slaptažodžiams). Limitus įveda tinklapių JS kodas. Ir taip tokių simbolių naudojimas gali atitolinti žodyno arba vaivorykščių atakas.
Stebėtojas 2021-02-22 17:32
Ar tikrai? Aš žinau, kad būtų galima parinkti kažkokį tai ekvivalentą, kuris generuotų tokį patį hashą, bet tai nebus tikrasis slaptažodis.
conjurer 2021-02-22 18:01
Tada jis tiks tik toje pačioje sistemoje. Jei žmogus naudoja tą patį slaptažodį puslapyje A ir B, bet puslapis A naudoja argon2id, o puslapis B naudoja md5, tas kas turi puslapio B hashą galės atrasti kelis skirtingus slaptažodžius kuriais galima prisijungti prie puslapio B, bet ne prie puslapio A. Tik teisingas leis prisijungti prie puslapio A. Beje kol neturi hasho, nežinai kokį tau reikia sugeneruoti. Taigi bet kokiu atveju tau jo reikia.
eXpo 2021-02-23 20:11
O tai siais laikais dar yra kaskokiu paskyru ar platformu kurios leistu neribota kieki ir daznuma speliot slaptazodi? Nera "cooldown" ar paskyros blokavimo iki patvirtinimo per email? Kokia galimybe nulauzti pvz steam paskyra, kad ir su paprastu slaptazodziu "namelis25"?
conjurer 2021-02-23 20:32
Nenustebčiau jei yra. Vis tiek dėl papildomo programinio sluoksnio tas spėliojimas nebus toks greitas, kaip turint hashą, ir darant bruteforce ataką lokaliai. Steam kita vertus yra senas projektas ir turi daug apsaugos sluoksnių. Reikia turėt tavo nulaužtą e-mail, kad gauti prisijungimo kodą. O jei jį jau turi, žalos bus daugiau. Be to į jį įsilaužus viskas ką gali padaryti, tai pripirkt žaidimų. Na taip yra steam wallet, ir galima atsitiktinę kortelę parduoti labai brangiai, bet bent jau aš visada būnu su nuliniu balansu, nes moku per kreditinę.