Comments 22
Очень информативно.
Жесть.
А не проще энтропию посчитать? :)
А не проще энтропию посчитать? :)
близкое с вероятностью 0.6 — как-то подозрительно звучит. если имеется в виду редакционное расстояние, то еще можно понять.
а вообще словарь какой-то небольшой, достаточно просто проверить не содержатся ли самые частые триады символов (хотя в таком случае пользователю будет сложнее придумать пароль).
а вообще словарь какой-то небольшой, достаточно просто проверить не содержатся ли самые частые триады символов (хотя в таком случае пользователю будет сложнее придумать пароль).
Блин, вместо выдумывания велосипедов есть тесты специализированные, FIPS-140, которые разрабатывали профессионалы.
К сожаления, я в этом вопросе не специалист. Судя по Wikipedia, там есть тестирование криптографических алгоритмов и ключей. Это правильно, что «взрослые» системы авторизации паролями пользоваться и не должны — для этого придумали сертификаты и аппаратные ключи.
А что там есть по поводу стойкости обычных паролей?
А что там есть по поводу стойкости обычных паролей?
Нагенерили пароль, прогнали через FIPS, поняли на сколько он стойкий.
А где-то онлайн проверка по FIPS есть? Я погуглил и не нашел…
Нигде, разве что опенсорсовые библиотечки.
Если реализовывать самому — работы на день, не больше
Если реализовывать самому — работы на день, не больше
Вот нагуглил FIPS 112 — использование паролей. Так там еще меньше требований, чем в этом алгоритме.
Чувак с паролем «incomprehensible» явно подсел на измену.
ничего не понял, но карму поднял :)
Ну, я надеюсь от этой статьи кто-то получит пользу:
- Задумается о стойкости своих паролей.
- Узнает, как можно проверить стойкость онлайн на сайте Microsoft.
- Посмотрит вариант словаря для брутфорс атак на пароли.
- Увидит исходники на js для организации словаря, поиска по словарю и поиска близких слов по словарю.
- Вдруг еще какие умные мысли придут — и напишет статью на Хабр...
Я один совершенно случайно увидел слово condom? =)
Проверка от microsoft на стойкость.
Check your password—is it strong?
Смотрим исходный код и находим:
А вот, если глянуть внутрь кода этого скрипта, то видим вышеупомянутый в статье пример
«Пожалуйста пользуйтесь!» — говорит microsoft
Check your password—is it strong?
Смотрим исходный код и находим:
script src="assets/scripts/passwdcheck.js" language="javascript" type="text/javascript"А вот, если глянуть внутрь кода этого скрипта, то видим вышеупомянутый в статье пример
«Пожалуйста пользуйтесь!» — говорит microsoft
Все правильно. Я давал эту ссылку в Части 1.
Оу, да. Хотя тот, что приведен в этой теме, и считается старым, он все же в действительности работает адекватнее. Советую его ибо сам же им и пользуюсь, т.к. он не пропускает пароли в которых, допустим, один символ «A» повторяется 40 раз и в результате — best. Можно спорить о том, что пароль в 40 символов тяжело перебрать брутом, но представьте как юзер будет его вводить. ))
Спасибо автору. Возьму немножко описания к диплому с вашего позволения.
Прикрутил к полю ввода пароля валидатор, который проверяет сложность пользуясь этим алгоритмом, пусть люди сочиняют. ))
Спасибо автору. Возьму немножко описания к диплому с вашего позволения.
Прикрутил к полю ввода пароля валидатор, который проверяет сложность пользуясь этим алгоритмом, пусть люди сочиняют. ))
Решил опробовать описанный в топике алгоритм и навоял следующее.
Для того, чтобы его потестить и ощутить/увидеть разницу пришлось егосворовать позаимствовать без спроса. Валидаторы мои — это для чистоты, а то все знакомые сразу русские пароли туда тулят почему-то.
Разница, как видим сравнивая с этим вариантом, имеется.
Для того, чтобы его потестить и ощутить/увидеть разницу пришлось его
Разница, как видим сравнивая с этим вариантом, имеется.
Неплохой сервис проверки стойкости и генерации паролей.
Sign up to leave a comment.
Алгоритм оценки стойкости пароля от Microsoft (Часть 2)