Comments 113
Для пароля из 10 символов
10! = 3628800
Не так и много, если не стоит задержка не дающая быстро перебирать пароли
10! = 3628800
Не так и много, если не стоит задержка не дающая быстро перебирать пароли
Лучше, чтобы задержка была. В некоторых вариантах после второй-третьей неправильной попытки начинают капчу показывать и делать другие проверки на человечность
Согласен. Алгоритмы перебора, которые работают быстрее чем n*ln(n) я лично не видел, и даже не слышал о них. Вот если бы перебор был не быстрее чем n^n (что больше чем n! ), это уже интереснее.
Мне кажется там не факториал 10 будет… А n^m, где n — количество возможных символоф, m — длина пароля…
Если все символы известны (логгер их словил) и они все разные, то получается m!
Там будет факториал, при учете что используются все 10 символов из набора. Те пароль состоит из всех введеных 10 символов. А вот если на основе капчи ввести туда еще случайные символы(что-то вроде в этом поле нужно написать A, etc) — то будет как-то так n!/(n-k)!.. Если я правильно понимаю. Плюс ввод этого подобия salt, может так выступать в роли теста Тьюринга.
Ввод пароля превращается не в увлекательную игру, а в пытку для пользователя — надо постоянно считать, какой символ в пароле когда встречается. Если надо быстро попасть на сайт — этого сделать не получится.
Не спорю, способ не для всех, о чем и предупреждалось в самом первом предложении
а для кого? и как провести разделение между пользователями — кому какое поле предлагать?
Мне сложно представить себе человека, который так хорошо помнит свой пароль и которому это поле не надоест со второго раза.
Чтобы вводить такое поле удобнее всего себе куда-нибудь написать или впечатать пароль, чтобы посимвольно проще было его сопоставлять. В некоторой степени, это принуждение для пользователя лишний раз продублировать где-то пароль.
Мне сложно представить себе человека, который так хорошо помнит свой пароль и которому это поле не надоест со второго раза.
Чтобы вводить такое поле удобнее всего себе куда-нибудь написать или впечатать пароль, чтобы посимвольно проще было его сопоставлять. В некоторой степени, это принуждение для пользователя лишний раз продублировать где-то пароль.
UFO just landed and posted this here
UFO just landed and posted this here
Можно даже без мышки, сделать два поля рядышком, одно для пароля другое для мусора, после нажатия клавиши с некоторой вероятностью случайно перекидывать между ними…
А keylogger не отслеживает события «клик мышки».
Если в логе будет что-то типа
mysecretpa$$(left_button_pressed)alksdlkasjdlkasjdlsakjd(left_button_pressed)w0rd
То пароль явно видно.
Если в логе будет что-то типа
mysecretpa$$(left_button_pressed)alksdlkasjdlkasjdlsakjd(left_button_pressed)w0rd
То пароль явно видно.
Это если число попыток неограниченно и каждая из них занимает очень мало времени
Обычно кейлоггеры используют массово получая большие объемы данных от пользователей, и обрабатывают их тоже автоматически. Поэтому переставлять местами буковки никто не будет.
Единственный вариант если кому то понадобился конкретно ваш пароль, и этот кто то знает что вы используете при вводе пароля такой сервис. Тогда мб и попробуют перебирать.
В тоже время люди которые заботятся о безопасности и знают свой пароль не только тактильно (а я его знаю только так, а N-ую букву только высчитать могу) могут позаботиться о защите от кейлоггеров более эффективными способами.
Единственный вариант если кому то понадобился конкретно ваш пароль, и этот кто то знает что вы используете при вводе пароля такой сервис. Тогда мб и попробуют перебирать.
В тоже время люди которые заботятся о безопасности и знают свой пароль не только тактильно (а я его знаю только так, а N-ую букву только высчитать могу) могут позаботиться о защите от кейлоггеров более эффективными способами.
Или пользуйтесь *nix операционными системами.
«На каждую хитрую задницу найдется болт с резьбой»
Пожалуй, имеет смысл пронумеровать ячейки. Потому что даже если пользователь точно помнит 9-ый символ своего пароля — ему придётся ещё поискать нужное поле.
Виртуальная клавиатура удобнее.
UFO just landed and posted this here
По-м всплывающая клава на экране при входе в клиент-банк ситибанка удобнее…
Сегодня человек 5 сели за написание маускликлогеров :)
хорошая альтернатива той же самой виртуальной клавиатуре для использования в публичных местах типа интернет-кафе.
Ой да ну ладно альтернатива…
ВиртКлава позволяет вообще не дотрагиваться до клавиатуры… и следовательно кейлогер не спалит.
А этот способ чем хорош? Это классно если пароль Sjhj3pcS@
А если у человека пароль: apple? или microsoft? хакер получит lpape, tisrocofm, поберебирал пару вариантов и нашел нужное слово и вперед
ВиртКлава позволяет вообще не дотрагиваться до клавиатуры… и следовательно кейлогер не спалит.
А этот способ чем хорош? Это классно если пароль Sjhj3pcS@
А если у человека пароль: apple? или microsoft? хакер получит lpape, tisrocofm, поберебирал пару вариантов и нашел нужное слово и вперед
у меня например пароли хранятся в keepass и на сайт вставляются горячей клавишей…
И тут получается что я должен буду свой пароль в 12 символов вручную вбивать 5 минут…
Проще найти другой ресурс :)
И тут получается что я должен буду свой пароль в 12 символов вручную вбивать 5 минут…
Проще найти другой ресурс :)
UFO just landed and posted this here
Недостатки многократно перекрывают достоинства. Уж лучше автозаполнением по комбинации клавиш\кнопке.
«При отправке формы пароль собирается в одну строку»
Вот тут то его и словят :) Не одними кейлоггерами достаются пароли.
Вот тут то его и словят :) Не одними кейлоггерами достаются пароли.
От дырки в браузере (а как еще вытащить пароль из Javascript-переменных?) спасет разве что смена браузера.
Это и к вопросу о доступе к критиным данным из интернет-кафе, кто знает как там браузеры пропатчены…
Это и к вопросу о доступе к критиным данным из интернет-кафе, кто знает как там браузеры пропатчены…
Почему обязательно дырка в браузере? Перехват частей движка javascript или инжект своего javascript кода в нужную страницу. Это не какие-то запредельные вражеские технологии, такое есть и уже давно.
отпугнет среднего пользователя от ресурса.
qreywt
UFO just landed and posted this here
ни какие хитрые средства не помогут пока у 70 % прользователей будут пороли типа: sex, god, qwerty, 123, (день.месяй.год моего рождения). Тем более таике бредовые :)
В банковских системах просят ввести не весь пароль, а X, Y, Z-ные буквы пароля. При неправильном вводе X,Y и Z не меняются, т.е. перебор невозможен. Если кейлогер получил эти буквы, то для его сессии X, Y и Z будут свои и перехваченные буквы бесполезны.
меняются, наверное вы хотели сказать?
А как интересно это происходит. Ведь по-хорошему у банка должен быть хеш пароля.
А получается, что там пароль в открытом виде, раз они могут сравнивать посимвольно…
А как интересно это происходит. Ведь по-хорошему у банка должен быть хеш пароля.
А получается, что там пароль в открытом виде, раз они могут сравнивать посимвольно…
хотя им видимо и в открытом виде нормально хранится. Все равно если база утечет, то звездец.
Обычно банки сами выдают пароли, поэтому дата рождения и прочие легко подбираемые варианты не прокатит. А вдобавок еще часто используется таблица переменных кодов, с ней вообще нет шансов взломать вход…
Естественно, но крупный банк ВТБ24 выдает пароль в виде 6 ЦИФР!!! (Который, конечно, сменить можно, причем как на сложный символьный, так и на дату рождения)
а просто войти в систему и посмотреть на состояние счетов и выписки по карте можно без кода со скретч карты. Если опять-таки не сменить дефолтный вход по одному логину на ввод кода с карты.
а просто войти в систему и посмотреть на состояние счетов и выписки по карте можно без кода со скретч карты. Если опять-таки не сменить дефолтный вход по одному логину на ввод кода с карты.
нет, именно не меняются. Если бы менялись, то при конечном количестве переборов можно было получить весь пароль.
он у них даже в бумажном виде есть :) я его в договоре в клеточки вписывал. Так что я думаю ничего не мешает им хранить его в открытом виде. К тому же системы информационной защиты в банках серьезные, а пока до базы паролей не добрались злые руки всем без разницы что там хэш или сам пароль
Хранят хеши всех символов пароля по отдельности? ;-)
Обычно хранение пароля «в открытом виде» на сервере (возможно, на отдельном kerberos-сервере) позволяет сделать более безопасную аутентификацию.
И это нормально.
И это нормально.
хм. хорошая штука. возьму ка на вооружение, авось пригодится=))
Одноразовые пароли — более хорошее решение для банковских систем.
UFO just landed and posted this here
Уже сделали на ноутбуках. Только защиту быстро взломали, показав фотографию владельца при авторизации.
Если вас вечером попросят подкурить на улице, а потом Ваше ебло средство идентификации разукрасят так, что мама не узнает — как логиниться будете? :)
UFO just landed and posted this here
кликать на кнопках и ссылках будете морганием? тогда не накликайте лишнего) ибо специально моргнуть просто, а несознательне моргание не замечается) прогуляетесь на отличьненько по баннерам когда дым от сигареты или солнечный зайчик в глаза попадет.
кстати, если курсор будет управляться взглядом, то он (курсор) будет постоянно мешать, ибо будет находиться как раз в том месте, которое вы читаете)
На гора ещё анти-кейлог идея:
По хоткею расширение в браузере рандомно ремапит клаву.
По хоткею расширение в браузере рандомно ремапит клаву.
N! фигня. При правильном подходе любой человек с головой предложит оптимизацию слепого перебора.
Например букв, которые как бэ стоят рядом чаще всего (Т и Ь, Ъ и Е) опять же отсекать слова, где подряд больше 3х согласных или двух гласных. При этом количество попыток перебора сокращается в разы. Конечно и процент правильного подбора из стопроцентного превращается в 80% процентный, но в крупных масштабах это мелочи :)
Я конечно грубо сказал, к примеру, но думаю суть ясна.
Например букв, которые как бэ стоят рядом чаще всего (Т и Ь, Ъ и Е) опять же отсекать слова, где подряд больше 3х согласных или двух гласных. При этом количество попыток перебора сокращается в разы. Конечно и процент правильного подбора из стопроцентного превращается в 80% процентный, но в крупных масштабах это мелочи :)
Я конечно грубо сказал, к примеру, но думаю суть ясна.
Кто сказал, что пароль это осмысленное слово. да ещё и на русском? :) Тогда уж и по словарю можно перебрать, зная длинну. А для более сложных паролей — ни словарь, ни оптимизация слепого перебора — не помогут особо.
Ну само собой что логики в пароле ADYw7sgcg7679 не проследишь :)
Просто случай был. Писал знакомый переборщик паролей
Пароли были такого типа:
ab0eacd8
18fe0aad
Не вооруженным глазом видно что для их генерации используются только входящие в 16чную систему символы. Он же написал чтоб перебиралось по всему алфавиту. С моей подсказки сократили время перебора с 17 лет до 6 месяцев.
Просто случай был. Писал знакомый переборщик паролей
Пароли были такого типа:
ab0eacd8
18fe0aad
Не вооруженным глазом видно что для их генерации используются только входящие в 16чную систему символы. Он же написал чтоб перебиралось по всему алфавиту. С моей подсказки сократили время перебора с 17 лет до 6 месяцев.
Метод хороший, но его можно улучшить: по ходу ввода пароля дополнительно вводите ненужные символы. Потом просто удалите эти символы из поля пароля. Как результат — кейлогер перехватит много лишних символов, это сильно усложнит процесс перебора пароля злоумышленником.
обожаю параноиков )))
В KeePass есть автоматическая функцая Auto-Type для вставки паролей. Вызывается горячей клавишей, то же запутывает кейлоггеры.
Я что-то подобное давно применяю ) ввел 5-6 символов, курсором мышки переместил фокус, ненужное стер, ввел парочку знаков из пароля… вторую букву выделил мышей и нажал еще что-то, чтобы заменить… еще пару раз так перевел мышкой фокус и готово ) кейлоггеры отдыхают
UFO just landed and posted this here
как вариант: после случайного n-символа пароля, попросить ввести случайную x-символьную последовательнось, потом продолжить пароль
Если данные, защищенные этим паролем действительно настолько ценны, что приходится вот так вот извращаться, то гораздо разумней на мой взгляд организовать аутентификацию не по знанию, а по владению (сертификат, смс на телефон, ОТР, итп).
А так, — да, прикольно =). Но не более. В реальной жизни — неприменимо имхо.
А так, — да, прикольно =). Но не более. В реальной жизни — неприменимо имхо.
Показывать нормальное поле и кнопку «Я параноик!» — после неё поле рассыпается на такие вот кусочки.
UFO just landed and posted this here
У меня есть авторизация на одном извратном сайте — там прилагается карточка с двумерной таблицей а-ля шахматная доска с символами латинского алфавита в клетках, сайт выдаёт набор полей с подписями типа E2, E4, F5, G3 — надо смотреть по таблице, какие символы в соответствующих клетках и вводить их туда. А уж насколько это всё секьюрно — х. з.
P. S.: сайт не мой!
P. S.: сайт не мой!
Sign up to leave a comment.
Пароль для гиков — смешать, но не взбалтывать