Komentarai Prisijungti
Viršuje: Seniausi | Naujausi
conjurer 2021-11-19 18:07
galimų slaptažodžių. Aišku taip beveik niekas nedaro, žodynai yra daug efektyvesni daugumai slaptažodžių.
O ir žodyne tai nebus pirmas slaptažodis. Todėl jei servisas naudoja rimtesnį hashinimo algoritmą (argon2ID, ethash, yescrypt), tai modernus procesorius sugeneruos kokius 5-10 hash'us per sekundę.
Taip pat kas čia per nesąmonė, kad slaptažodžių saugojimo servisas pats juos leak'ina?
Gedis 2021-11-20 08:44
Mano bandykit nulaužt
punktyras 2021-11-20 09:49
O tai milijonas slaptažodžių kliūtis? Skaičių žodyno sukūrimas kišeniniu peiliuku:
time echo {0..9}{0..9}{0..9}{0..9}{0..9}{0..9} > password_test
real 0m1,600s
user 0m1,518s
sys 0m0,064s
Jei slaptažodis 123456, gali kokį nori hašą naudoti
conjurer 2021-11-20 16:38
Tokiu atveju laužimas žodynu geriau veiks, ir jei šitas slaptažodis bus žodyne gana toli, o algoritmas ne per lengvas, teks palaukti daugiau nei sekundę.
punktyras 2021-11-20 19:44
Esu tikras, tokie slaptažodžiai, kaip 123456, qwerty, etc. seniausiai suhashuoti visais įmanomais būdais. Nuosekliai bruteforcinti žmogiškus slaptažodžius neefektyvu. Esu tikras, passai dar daug kur saugomi plain formatu ar md5sum
conjurer 2021-11-20 20:32
Esu tikras kad taip yra šitame projekte(t.lt), bet paskutiniame projekte naudojau argon2id, su galimybe jį pergeneruoti, kai pakeičiamas jo sudėtingumas. Argon2ID hashash neša informaciją ne tik apie saltą, bet ir kokie parametrai naudojami generavime, ir gali patvirtinti net su skirtingais parametrais sugeneruotus hashus.
Taigi jo, geriau nenaudoti to paties slaptažodžio skirtingose vietose, nes vienur bus koks bcrypt, ar argon2, o kitur nesalt'intas sha, suieškomas viešuose rainbow tables per sekundes.
Benediktas 2021-11-20 20:44
O šitam saite, kaip saugoma vartotojo informacija kažin? Ir kodėl nera SSL?
PCP 2021-11-20 21:19
O kodėl tiesiog neriboti užklausų skaičių per laiko tarpą, iki panašaus žmogui? 1 login bandymas/2sec, ir tarkim 50 neteisingų bandymų per parą. Ką hakerių 9000iq į tai a? kas iš jūsų žodynų?
Kodėl e-parduotuvė (kuri į kreditą nieko neparduoda) negali bruteforcinimo užkardyti tokiu būdu, vietoj to kad versti mane atsiminti 15 ženklų slaptažodį su būtinai 14 priebalsių, vienu skaičiumi ir 2 skyrybos ženklais?
conjurer 2021-11-20 21:55
Niekas jų nebruteforsina, tiesiog kai kurie programuotojai, nieko neišmanydami apie saugumą, prideda neadekvačių reikalavimų useriui. Pagrinde į tokias vietas įsilaužiama, kai nuteka tam tikra duombazė, kurioje gali susieti e-mail su tam tikru lengvai nulaužiamu hashu, jį atkoduoti, ir po to bandyti per visur. Aišku jei ten nėra kredito, ar kažkokių tau aktualių duomenų (pvz žmona "isilaužia" į vyro žvejybos prekių parduotuvės paskyrą, ir sužino, kad vyras nuo visų kainų nubraukdavo nulį, kai raportuodavo išlaidas žmonai).
Realiai man net nepatinka parduotuvės, kurios reikalauja paskyros. Jei aš perku iš ten vieną kartą, tai tiesiog kliento laiko gaišinimas. Apsipirkti galima idealiai ir be paskyros. Na o jei kas nori žaisti su nuolaidų taškais, ir kitu BS, kas reikalauja nuolatinio apsipirkinėjimo, tai paskyros turėjimas tokiems bus patogiau, bet tai nereiškia, kad jis turi būti būtinas visiems. Apmokėjimo metu jau veikia rimtesnės bankų autentifikacijos sistemos, kurios naudoja tarkim slaptažodžių generatorius, ar 2FA, kas yra daug saugiau nei slaptažodžiai.
Komentuoti gali tik registruoti lankytojai.
Neregistruotiems lankytojams komentavimas uždraustas siekiant sumažinti
paviršutiniškų, beverčių ir įžeidinėjančių žinučių kiekį.
Paskelbti dažniausiai naudojami 2021 metų slaptažodžiai – tarp jų ir Lietuvos: daugumą jų galima nulaužti greičiau nei per sekundę (Foto, Video)