Комментарии 38
А если число комбинаций было P=n^m считать было бы значительно проще ;)
Все так как вы говорите — поправим, спасибо за комментарий!
числовой пароль 0-9 содержит 10 символов. Пятизначный пароль содержит m=5 знаков. Число комбинаций будет P=m^n или 5 в степени 10 — 9765625.

Все еще не поправили… Правильное число комбинаций тут 10^5. Для каждой из пяти позиций независимо выбирается любой из 10 символов алфавита.


Ну и дальше то же.

НЛО прилетело и опубликовало эту надпись здесь

Число комбинаций для 5-символьного числового пароля 10^5, а не 5^10, разве нет? И со вторым примером та же история.

Как тут не вспомнить классику
image
Длинна пароля сейчас, при соблюдении некой минимальной сложности, важнее алфавита.
Кто бы еще это растолковал разнообразным интернет-сервисам со своими требованиями к паролям.
Скрытый текст

Когда я был клиентом Альфа Банка у них был лимит на 16 символов пароля для интернет банкинга :(
Нет никакого смысла в максимальной длине вводимого пароля. Все равно в базе только хеш фиксированной длины. А хеш можно посчитать для любой длины.
НЛО прилетело и опубликовало эту надпись здесь
Вот только чем длиннее пароль — тем больше вариантов нужно будет проверить при подборе, соответственно подбор займет больше времени и не факт что закончится успехом
Хорошо если они хэш сохраняют. А если plaintext пишут и поэтому ограничились в 16 символов?
РЖД боится спецсимволов, Сбербанк тоже. Вопрос: почему? Чего они боятся и зачем искусственно сокращают сложность пароля? А не хранят ли они его часом в открытом виде?
Ой, парольная политика отдельных ресурсов это вообще больная тема. Может луна в козероге была, когда сайт делали, поэтому нельзя спецсимволы? Ну, по крайней мере это лучшая версия, что у меня есть.
Боятся кривого экранирования спецсимволов или действительно не осилили его нормально реализовать.

У ВТБ последний раз, когда я смотрел (несколько месяцев назад) было ограничение на 20 цифр, при этом цифры ещё не должны повторяться. Посмотрел ещё раз сегодня:

Новый пароль должен быть от 6 до 20 цифр, не менее 3-х различных цифр, не допускается введение подряд одной и той же цифры. Пароль не должен совпадать с УНК или логином.
У Банка Москвы такой лютой ереси нет, но не думаю, что их личный кабинет долго проживёт после слияния.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вам ещё повезло, что пароль был словарный. Если бы он был честным рандомом, никогда бы не смогли подобрать.
Я видел, как в течение недели с помощью двух 22-ядерных Xeon восстанавливают пароль к zip.
а какой пароль там был? Сколько символов, были ли спец символы и т.п.? Мне кажется, что сложный 16+ символьный пароль будет очень сложно подобрать
Я ведь правильно понимаю, что всегда есть крошечный шанс, что запущенный на удачу брутфорс угадает пароль за очень короткий срок, просто потому, что повезло, хотя полный перебор занял бы столетия?
Тут всё зависит от того насколько продвинутый брутфорс. Есть брутфоресеры, позволяющие ломать в несколько потоков, где возможный диапазон значений пароля разбивается на несколько сегментов и перебираются они параллельно. В таком случае да — правильно понимаете.

Если же это совершенно тупой перебор «в лоб», с нуля, а пароль пусть и какое-нибудь простое, но относительно длинное слово (например «абракадабра» и цифра в конце), тогда шанс подобрать его за короткий срок нулевой. Разве что есть словарь.
То есть брутфорсер всегда начинает, условно, с пароля десять нулей, потом на один больше и так далее? Мне казалось точка старта должна быть более-менее случайной среди всех возможных вариантов.
Дак в этом и суть брутфорса — тупой перебор. Точка старта, во всех брутфорсерах, которые мне довелось видеть, либо вообще не задаётся (читай с нуля), либо может быть выбрана, например если ты знаешь что искомый пароль строго 6 символов.

Самые продвинутые могут делить область подбора на диапазоны и подбирать в параллель, особенно если брутится файл и есть возможность открыть копию.
Получается, что пароль с первым символом, условно, «a», более уязвим к перебору, чем пароль с первым символом «z»?
Условно да. Но длина и набор символов гораздо важнее. Да и на практике, нормальные люди для подбора словари используют.

По факту пароль aA011111aaaaa гораздо сильнее zzx99, по очевидным, вполне причинам. Или, к примеру, «a_^kf2» сильнее «122suwqwd9887qqq1» хоть последний и длиннее.

Там есть же формула — количество комбинаций в зависимости от набора символов и длины. Если ничё не путаю — например для латинского алфавита из 26-ти букв, при длине 6 знаков и без капса это всего 26^6, т.е. 308915776 комбинаций.

Могу конкретные цифры путать, но математика там в целом не сложная, суть очевидна.
Не, это я понимаю. Просто никогда не задумывался об алгоритмах, который используют брутфорсы, вот и стало интересно.
В вашем примере получается, что пароль zA011111aaaaa гораздо надежнее перед лицом брутфорса, чем пароль aA011111aaaaa.
На самом деле, если учесть общее количество вариантов и скорость перебора, окажется что разница хоть и есть, но исчезающе мала.
Коллеги, CAPS символы тоже считается — будет (26*2)^6
Предполагаю, что пароль в русской раскладке будет надежнее — как минимум не у каждого она есть )
Интересно, а сколько реально будет угадываться Tr0ub4dor&3 для 7зипа, без шаблонов и словарей, перебором.
Долго. Это относительно надёжный пароль, просто его очень сложно запомнить и высоки шансы найти такой пароль на стикере на мониторе у одного из пользователей (или под клавиатурой, если пользователь подкован в ИБ).
Эх… а я архивы закрываю 255 знаками чистого рандома.
Можно спать спокойно :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
www.infowatch.ru
Численность
201–500 человек
Дата регистрации

Блог на Хабре