Пароль из 27 символов: как сегодня защищать себя и свою компанию?

[JordanCpp]

Пароль из 27 символов: как сегодня защищать себя и свою компанию?

Да, да и ещё раз да. DYB3T-F2QYQ-9CRXR-DBC4V-CC4YG

[Ds02006]

Этот пароль не подходит - нет строчных букв.

[3ycb]

Как тут не вспомнить недавнюю новость о том, что 8 видеокарт RTX 4090 могут взломать почти любой 8-мизначный пароль всего за 39 минут! Пятизначный пароль можно подобрать еще быстрее — всего за 24 секунды. Наша рекомендация — устанавливать пароль минимум в 27 символов.

Или я тупой? Объясните. Как это сделать за 24сек/39мин? Надо же еще проверить подошло ли. Ввести в браузер, в аппликацию. Какие 39мин? А там обычная блокировка после нескольких неудачных попыток. ОК, значит пытают утекшую базу данных. Так ее еще спи@дить надо сначала. Далее, когда/у кого, вы в последний раз видели базу с паролями открытым текстом? Если такая и найдется, то эта контора ССЗБ и вообще не заслуживает, чтобы она существовала. Где я не прав? Обоснуйте.

[BadHandycap]

Меня больше удивляет безосновательная рекомендация увеличить пароль на 19 символов. Такое чувство что у них по офису бегает какой-то хомяк и каким-то образом выбирает случайные цифры, которые они потом складывают в числа и используют там где "подойдёт".

[kkorsakov]

Речь о подборе пароля имея на руках хеш.

[3ycb]

Еще сложнее. Надо его(хеш) поиметь. А он небось соленый. А он небось хэш от хэша, раз так 20. И что это меняет? Надо же еще проверить в системе, подошел ли вскрытый пароль. А если в системе задержка встроена между попыток?(это же элементарное, что приходит в голову даже полному профану в ИБ, как я) Я вообще не понимаю, как хакеры умудряются взламывать хоть что-то. Уверен, в большинстве историй, либо все в открытом виде было(что странно), либо социальная инженерия и фишинг(где жертва сама все выкладывает), либо, вообще инсайд(засланный казачок).

[KOCTALEM]

Не обижайтесь, но вы, по-видимому, действительно профан. Вы путаете 2 разные тактики -- подбор пароля в реальной системе (brute force, password spraying и другие подобные техники) и взлом пароля по имеющемуся хэшу. Например, хэши паролей из Active Directory имеют совершенно определённый формат, без всяких "небось". И для оффлайн-взлома NTLM-хэшей есть известные инструменты, как, впрочем, и для других форматов хэширования/шифрования.

В пассаже про "39 минут" авторы ссылаются на дискуссию по следам твита одного из авторов hashcat Сэма Кроули, где он опубликовал ссылку на результаты тестирования неразогнанной видеокарты nVidia RTX 4090 для взлома разных видов паролей. Полные результаты бенчмарка можно увидеть здесь: https://gist.github.com/Chick3nman/32e662a5bb63bc4f51b847bb422222fd
Кстати, об этом на Хабре писали.

Исходя из этих результатов, один из комментаторов оценил время, необходимое для взлома пароля произвольного из 8 символов в наборе из 95 символов (большие и маленькие буквы латиницы, цифры, спецсимоволы) при помощи стойки из 8 видеокарт RTX 4090 в 39 минут. Насколько я знаю, в реале таких тестов не проводилось. Зато проводились тесты на RTX 3090.

Рекомендацию использовать 27-символьные пароли я комментировать не стану, хотя замечу, что при помощи менеджера паролей это делать совсем не сложно.

[pae174]

Надо же еще проверить подошло ли.

Браузер тут ни при чём. Скорости "взлома пароля" могут быть даны для случая взлома WiFi c WPA/PSK. В таком случае проверка сводится к поиску нескольких заранее известных байт в расшифрованном фрагменте "рукопожатия". Если байты после расшифровки найдены - значит это подходящий пароль, если нет - переходим к следующему паролю из словаря.

[3ycb]

Скорости «взлома пароля» могут быть даны для случая взлома WiFi c WPA/PSK

Aаа, я понял. Как в анекдоте: Правда ли, что Рабинович выиграл в рулетку в казино Лас-Вегаса миллион долларов? Правда. Но не в казино, а в очко и не в Лас-Вегасе, а в Одессе и не миллион, а тысячу и не долларов, а рублей и не выиграл, а проиграл. Взлом WiFi это да, это оч серьезный кейс. В догонку вопрос к обсуждаемому случаю: Если взломать 5-и значный пароль берет 24с, 8-и уже 39мин(т.е. в 100 раз медленнее), то сколько времени возьмет 11-и значный? 14-и значный? Чувствуете скорость замедления достижения результата? Может уже можно не волноваться, может пароль 27 чаров, черезчур?

[pae174]

может пароль 27 чаров, черезчур

Хорошего пароля мало не бывает.

[3ycb]

Хорошего пароля мало не бывает.

Так чего тогда стесняться, почему не 100 символов? ;)

[ilya_pu]

Начиная с некоторого размера пароля, добавление новых символов не даёт рост защищённости. Скажем, у сложного пароля в 100 символов может оказаться "брат-близнец" в 32 символа с таким же хешем.

[kvazimoda24]

Странная статья. Смешали цели/результаты атак с механизмами достижения этих целей.

[Firsto]

8-мизначный пароль 

8-осьми же.

P.S.: Не удержался.

[Gedeonych]

Наша рекомендация — устанавливать пароль минимум в 27 символов

Не выдерживает никакой критики. На чём основана эта "рекомендация"? Криптостойкость пароля не достигается только бОльшим количеством символов, есть ещё масса других факторов. Интересен уровень "Команды Министерство цифрового развития Татарстана", если она на голубом глазу выдаёт такие необоснованные статьи.

Ну и хотя бы просто включим здравый смысл и вобьём в поисковик запрос. Смотрим. И видим навскидку первое попавшееся: рекомендации Microsoft для админов 365 - пароли не менее 14 символов. Вот это уже гораздо ближе к современным реалиям (без учета других факторов). Я даже не буду приводить ссылки на авторитетные в сфере криптографии источники, достаточно и вышеуказанного.

К примеру, благодаря Anti DDoS решениям «атаки типа отказ в обслуживании» перестали представлять серьезную угрозу компаниям.

А вот это уже совсем какие то розовые пони, извините меня. Даже слов нет, немое изумление. Это что, так серьёзно считают в "Центре противодействия киберугрозам"? Теперь я кажется начал понимать, почему так легко ложатся госресурсы постоянно, и чего на самом деле стоят госструктуры с такими пафосными названиями.

Принципиально не занимаюсь минусаторством и плюсаторством, но вот прямо-таки захотелось минус поставить.