Comments 20
Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных
Вообще, здесь и обратная сторона медали есть. Пользователи, пароли которых имеют короткий срок действия, практически всегда их шаблонизируют. При этом злоумышленнику достаточно поменять одну-две цифры, чтобы получить новый пароль. Ещё хуже слишком длинные пароли и парольные фразы, они во многих случаях просто записываются на бумажках, независимо от того, какие кары вы пообещали пользователям за это в вашей корпоративной инструкции по безопасности.
Ещё хуже слишком длинные пароли и парольные фразы,Можно просто долбить в английской раскладке любимые слова/стихи
Пропробуйте подобрать «CtvbLtcznbGznbVbkkbvtnhjdsQ»?
А это всего лишь классический «СемиДесятиПятиМиллиметровыЙ».))
А есть еще А.С.Пушкин, который «наше всё» — что мешает забить в пароль «Мой! Дядя@Самых#Честных$Правил»? Ну и добавить еще туда пару памятных цЫфр — типа номер первой квартиры, школы, группы в институте.
Фактически, имея профиль привычек пользователя (Он делает большими первые буквы слов пароля и последнюю), подобрать пароль становится не сложнее, чем если бы он использовал одно единственное словарное слово.
Это и есть шаблонизация. Да ещё все слова словарные.Ну так-то все слова из словаря, кроме некоторого набора «олбанских».
Фактически, имея профиль привычек пользователяЧтобы иметь профиль пользователя надо быть с ним достаточно близким, это уже уровень «Джеймса Бонда».
Кончено есть любители все отправлять в инет, но, как правило, такие люди не имеют доступа к инфе имеющей серьезную ценность.
Предположим в нашем словаре 10000 слов. Если пароль из одного слова — 10000 вариантов. Предположим что в 3 слова… 10000^3 вариантов… Не сложнее, говорите? Я уже не говорю про перебор по радужным таблицам (количество вариантов экспоненциально зависит от количества символов). Ну и битовую энтропию пароля вроде тоже ещё никто не отменял.
Когда громогласно заявляют о нестойкости коротких паролей к перебору нынешними средствами, неявно приравнивают ее к нестойкости системы к несанкционированному доступу. Простые меры по блокировке возможности доступа на некоторое время после нескольких неудачных попыток (а то и с баном по ip) сильно меняют картину.
Тут я с вами согласен. Но когда шифруют диск/файл, как правило, отдают отчет в ценности информации и пароль подбирают соответственно. Впрочем под ударом могут быть давние архивы, когда короткий по нынешним меркам пароль считался приемлемым.
Файлы шифруют обычно коротким симметричным ключом, который уже зашифрован функцией от пароля, возможно, с использованием асимметричного шифрования — зависит от реализации. При смене пароля заново шифруются только ключи доступа к файлам, чаще всего их один на всю ФС с шифрованием. Т.е. политика все-таки поможет, но атаковать можно ещё пароль recovery, который пусть обычно и длиннее, но не подлежит устареванию.
Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»Ну как бы «стащить» уже подразумевает наличие доступа, не?
Реально — ну уведут у меня аккаунт от магазина, карта не привязана, ну я особо не расстроюсь, что же говорить о более «простых» сервисах.
Отдельно бесят пароли в Win10 (где пароль под звездочками можно увидеть пока держишь нажатой кнопку глазика — «поубывал бы...».
Поясните пожалуйста, если даже у вас не веб-сервис, а программа, например WinRar, насколько я помню там при вводе пароля его правильность сверяется с многократным хешом (вроде sha(sha(sha(...sha(psrw)...). Можно ли свести многократный хеш к одному? Радужные таблицы в этом помогают? Может есть специально заточенные функции, которые дорого подбирать.
Рекомендации Microsoft по отключению срока действия паролей: следствия и выводы