Pull to refresh

Comments 93

Они забыли подпись добавить к таким мыслям:
Ну, пожалуйста.
Понятно же, что не надо вбивать свой пароль, а достаточно использовать аналогичные своему паролю символы: буква/заглавная/цифра.
Замечательный развод =). Люди сами добавляют вам в словарь свои пароли =)
UFO landed and left these words here
Нет. Сделано на JS. Можно посмотреть исходники.
Данные с сайта никак не отправляются на сторону сервера — ни через куки, ни через всевозможные get и post запросы.
Думаю, HttpFox, отслеживающий весь входящий и исходящий трафик браузера, врать не будет.
Эта штука не все символы понимает)
п.с. хоть кто-нибудь рискнул ввести туда свой настоящий пароль?
Выглядит действительно странно, не рискнул. Хотя посмотрел скрипты, вроде бы всё чисто.
Знаете, криптостойкость пароля asd123 полностью совпадает с hjk456.
Поэтому проверить реальный проблем нет абсолютно.
В данном скрипте, да.
На практике стойкость пароля admin и gjksl мягко говоря отличается. PS: я понимаю, что в данном скрипте этот функционал сделать трудно.
Да не так уж и трудно, Google:
admin — 489 000 000 результатов
gjksl — 461 результатов

Учесть «популярность» и вот Вам их реальная криптостойкость.
Кстати:
asd123 — 71 800 результатов
hjk456 — 2 920, поэтому я опроверг сам себя ;). Хотя скрипту и все равно…
Интересный способ определить популярность пароля — по Google ) В реальности идёт сначала проверка по часто используемым паролям (их не так много), затем по словарям, ну а дальше полный перебор (возможны варианты).
Мне попадалась интересная инфа о часто используемых паролях (так сказать, приведу TOP5):
Singles.org
% Pass
1.02 123456
0.61 jesus
0.41 password
0.29 love
0.2 12345678
0.2 christ

phpBB
% Pass
3.03 123456
2.19 password
1.45 phpbb
0.94 qwerty
0.82 12345

Там же есть оценка успешности брутфорсов, к примеру для phpBB:
Список Аккаунты %
First names 4602 16%
Dictionary 15739 55%
Milw0rm 20878 73%
Insidepro 19807 69%
до 73%!!!

Источник: blog.jimmyr.com/Password_analysis_of_databases_that_were_hacked_28_2009.php
Согласен, методика очень далека до идеала, но при при желании можно до неплохого состояния ее довести (Google и фразы исправляет и ошибки. Даже раскладку может помочь исправить).

А узнать реальную криптостойкость может только 1 метод — реальный взлом, но на это мало кто пойдет хотя бы из временных соображений.

Кстати, не стоит забывать, что эти все показатели — вероятностные характеристики, т.е. скажем, 2 trillion years — это в среднем столько понадобится на взлом такого пароля, а полному неудачнику так вообще могут и с 1й попытки подобрать.
— Какова вероятность встретить динозавра?
— 50%! Или встречу… или не встречу...

Не удержался, извините, от комментария относительно вероятностей.
А на взлом — идут, и довольно часто. Причём никто ж не делает этого руками, а боту всё равно, бродит и лупится.
В скрипте из топика «2 trillion years» это не в среднем, а максимальное время. Только вот скрипт скорее забавный, чем полезный для оценки сложности пароля.
Хотя кого-то может и заставить задуматься и запомнить правило: надо использовать длинные, комплексные (буквы в разных регистрах, цифры, символы) и «неосмысленные» пароли.
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях…
– «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль «Pft,bcm» подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.

(взято отсюда)
В свое время «Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками» принесли немало приятных минут ;)
Мой пароль из 15 бессмысленных символов — About 2 trillion years
будет ломать 3 квардаралиона лет…

ага уже…
UFO landed and left these words here
UFO landed and left these words here
разнорегистровый с цифрами мусор — About 565,892,495,532 nonillion years :-)
короткий — 2 часа и длинный — 417 лет. проверять на подобных сервисах — мгновенно!
А мой второй боевой, туда даже не влазит ) хехе
Чушь какая-то. Скормил дамп из apg:

DrandIn
MagFewb
HivikO
am4Dylb
cug0Gre

Ни одного пароля «больше недели» (максимум — 4дня). Я, кажется, понимаю их алгоритм, они смотрят, сколько комбинаций потребуется для перебора всех вариантов такого размера, полагая примерно 10-15 миллионов вариантов в секунду.
комментарий в коде страницы понравился.

Ни один мой пароль в поле ввода не влезает…
Они бы еще сделали выпадающим списком выбор: «аккаунт на хабре», «аккаунт google» и т.д.:)
короткий — 164 000 лет
длинный — 138 лет секстиллионов

эмм как то даже заинтриговали…
Основной пароль — 252 года. При нашем уровне развития медицины — мне всё равно.
Сгенерировал пароль в keepass. Вышло About 28 octillion years. Ну что ж, я сплю спокойно)
А вообще, смешной такой сервис, да)
UFO landed and left these words here
Это по ходу максимально возможное число — сходится до цифры (:
В js такие интересные масивчики — chronoStrengthArrayOfPasswords, и не лень было ручками прописывать?)
Для взлома пароля, похожего на тот, который я использую для финансовых сервисов потребуется:

About 1,873,469,891 nonillion years

Круто. =)
About 225 septillion years, Вскоре увидим базу паролей на каком нибудь piratbay'е
Ввёл на всякий случай аналогичный своему пароль, вышло —
About 2 thousand years
Вполне не плохо :)
It's just a bit of simple maths:
(number of possible characters to the power of length of the password) divided by calculations per second

Calculations per second is a bit more of a rough figure. On the site it's set to 10,000,000, which is an approximate number of passwords a regular computer might be able to try every second.
Короткиц — 2 тысячи лет, длинный — 633 миллиона лет
Что любопытно:
пароль из 10 цифр и одной латинской буквы — 11 лет
Пароль из тех же 10 цифр и одной буквы кириллицы — 16 минут
UFO landed and left these words here
Там за то что вы используете буквы латиницы начисляются поинты, если в пароле есть ещё и цифры +некое число поинтов. Так как кириуцу не поддерживает поинты за букву вы не получите, но это не означает, что взломать будет легче.
Вообщем смотрите source code там всё понятно.
About 8 septillion years

неплохо, но смотрю тут получше есть
Добавив 1 символ получил

About 42 octillion years
восьмисимвольный пароль из букв разного регистра и диких символов — за минуту… Они там курят, ага. А буквы нижнего регистра в количестве 14 штук — About 204 thousand years.
Про русские символы они не знают, видимо. Пароль любой длины, набранный кириллицей ломают за ноль секунд =)))
Автор, убей себя! И создателей сайта тоже =)))
Такой сервис должен учитывать эмпирическое правило Мура. Тк доступная скорость компьютеров меняется со временем

Мдя, это мой пароль для «левых» сервисов. Пароль от сервера — секстилион лет (:
Просто вводить мусор в нижнем регистре латиницы — результаты самые разные. Очень часто на пароли длиной 10-15 символов пишет «0 секунд». Фигня, в общем. Примерно как бродившая некоторое время назад «как звучит ваш ник по японски».
Полный бред.
Домашний стандартный ПК не способен перебрать 1000000 паролей (6-значный цифровой) за 0,1 секунду.
UFO landed and left these words here
Сколько времени потребуется чтобы взломать ваш пароль?
А как сильно меня будут бить?
Простой: About 13 minutes
Сложный: About 164 thousand years
Очень сложный: About 470 trillion years
It would take
About 100 sextillion years
for a desktop PC to crack your password
UFO landed and left these words here
About 1,609,824 nonillion years
ниче так, пароль от вконтактика :)
Сервис for fun. Ибо на разные алгоритмы — разные константы множителей, различающиеся колоссально. Описали бы в какой ситуации. Может brutforece via dialup? :D
Сделали бы выбор алгоритма при константной мощности машины, осуществляющей перебор. Да и мощность машин увеличивается с каждый месяцем.
UFO landed and left these words here
каждый вносит свой пароль в будущую базу для брутфорса;))
UFO landed and left these words here
А сколько это времени займёт для хакера, Зарегавшего в Amazon EC2 Облако за Карженные Креды? :lol:
скорее аккаунт карженный, карженных кред не бывают, бывают креды ворованные, на которые потом кардят. Учите матчасть
Юмор: пароль вида qwerty12345 почти 15 тыс. лет
чушь какая. на пароль 1QwErTy1 этот сервис спрогнозировал 252.
Ха-ха-ха! Капец! XDDDD Ржунимагу!
МОЙ ПАРОЛЬ: asdfasdf123123 — 5 000 ЛЕТ! ))))))))
Only those users with full accounts are able to leave comments. Log in, please.