Комментарии 20
Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных

Вообще, здесь и обратная сторона медали есть. Пользователи, пароли которых имеют короткий срок действия, практически всегда их шаблонизируют. При этом злоумышленнику достаточно поменять одну-две цифры, чтобы получить новый пароль. Ещё хуже слишком длинные пароли и парольные фразы, они во многих случаях просто записываются на бумажках, независимо от того, какие кары вы пообещали пользователям за это в вашей корпоративной инструкции по безопасности.
Ещё хуже слишком длинные пароли и парольные фразы,
Можно просто долбить в английской раскладке любимые слова/стихи
Пропробуйте подобрать «CtvbLtcznbGznbVbkkbvtnhjdsQ»?
А это всего лишь классический «СемиДесятиПятиМиллиметровыЙ».))
А есть еще А.С.Пушкин, который «наше всё» — что мешает забить в пароль «Мой! Дядя@Самых#Честных$Правил»? Ну и добавить еще туда пару памятных цЫфр — типа номер первой квартиры, школы, группы в институте.
Эта идея хороша всем, кроме одного — попробуйте ввести такой пароль с мобильного устройства.
— Можно! Я, правда, не знаю, как они будут действовать. Но человека можно напоить.
— Угу.
— Усыпить.
— Угу.
— Оглушить. Ну, в общем, с бесчувственного тела. Наконец, с трупа…
— Угу. С чьего трупа?!
— Ну, я уверен, что до этого не дойдёт!
Просто не надо выпендриваться вещами типа «вводим русский текст в английской раскладке». Вводить текст в правильной раскладке ничего не мешает. Словарный подбор предотвращают намеренные опечатки или часть пароля, не являющаяся словом.
Ну общем-то вход с мобильного устройства априори не может быть безопасным, какой бы пароль не использовался.
Это и есть шаблонизация. Да ещё все слова словарные. То что словарь не английский, а русский увеличивает количество вариантов для перебора всего в два раза.

Фактически, имея профиль привычек пользователя (Он делает большими первые буквы слов пароля и последнюю), подобрать пароль становится не сложнее, чем если бы он использовал одно единственное словарное слово.
Это и есть шаблонизация. Да ещё все слова словарные.
Ну так-то все слова из словаря, кроме некоторого набора «олбанских».
Фактически, имея профиль привычек пользователя
Чтобы иметь профиль пользователя надо быть с ним достаточно близким, это уже уровень «Джеймса Бонда».
Кончено есть любители все отправлять в инет, но, как правило, такие люди не имеют доступа к инфе имеющей серьезную ценность.
кроме некоторого набора «олбанских»
А они — из олбанского словаря.

Предположим в нашем словаре 10000 слов. Если пароль из одного слова — 10000 вариантов. Предположим что в 3 слова… 10000^3 вариантов… Не сложнее, говорите? Я уже не говорю про перебор по радужным таблицам (количество вариантов экспоненциально зависит от количества символов). Ну и битовую энтропию пароля вроде тоже ещё никто не отменял.

Когда громогласно заявляют о нестойкости коротких паролей к перебору нынешними средствами, неявно приравнивают ее к нестойкости системы к несанкционированному доступу. Простые меры по блокировке возможности доступа на некоторое время после нескольких неудачных попыток (а то и с баном по ip) сильно меняют картину.

Ну так под перебором вообще не подразумеваются попытки аутентификации. Отзывчивость любой системы хотя бы в десяток миллисекунд достаточна, чтобы сделать перебор даже восьмисимвольного пароля таким способом нереальным. Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»

Тут я с вами согласен. Но когда шифруют диск/файл, как правило, отдают отчет в ценности информации и пароль подбирают соответственно. Впрочем под ударом могут быть давние архивы, когда короткий по нынешним меркам пароль считался приемлемым.

А чем поможет политика смены пароля, если файл был зашифрован год назад? Или при смене пароля все архивы шифруются заново?

Файлы шифруют обычно коротким симметричным ключом, который уже зашифрован функцией от пароля, возможно, с использованием асимметричного шифрования — зависит от реализации. При смене пароля заново шифруются только ключи доступа к файлам, чаще всего их один на всю ФС с шифрованием. Т.е. политика все-таки поможет, но атаковать можно ещё пароль recovery, который пусть обычно и длиннее, но не подлежит устареванию.

Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»
Ну как бы «стащить» уже подразумевает наличие доступа, не?
Если говорить не не логине в систему, а о каком-то сервисе, не стоит забывать, что к вам может прийти пользователь, которому ваш сервис нужен один раз — не стоит его грузить сложным паролем. Помню когда открывался магазин jd.ru я пытался там зарегистрироваться, но там были дебильные настройки, не позволяющие скопировать поле «пароль» в поле «повтор пароля» (это кстати отдельный вопрос, неужели они действительно думали я этот пароль буду пытаться запомнить), взбесили и я не стал регистрироваться.

Реально — ну уведут у меня аккаунт от магазина, карта не привязана, ну я особо не расстроюсь, что же говорить о более «простых» сервисах.

Отдельно бесят пароли в Win10 (где пароль под звездочками можно увидеть пока держишь нажатой кнопку глазика — «поубывал бы...».

Поясните пожалуйста, если даже у вас не веб-сервис, а программа, например WinRar, насколько я помню там при вводе пароля его правильность сверяется с многократным хешом (вроде sha(sha(sha(...sha(psrw)...). Можно ли свести многократный хеш к одному? Радужные таблицы в этом помогают? Может есть специально заточенные функции, которые дорого подбирать.

Свести можно, но тогда будет слишком быстро вычисляться.

Можете меня запинать, но на мой взгляд постоянная смена пароля в современном мире не имееет смысла от слова вообще, ибо перебором паролей занимаются только боты, реально нужные пароли в 99% уводятся либо через фишинговый сайт либо человек сам его скажет. А если пароль уже утек то какой смысл его менять через месяц? на том же серваке злобный хацкер уже сделал себе backdoor и ты хоть обменяйся этими паролями
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Информация
Дата основания

1 мая 2005

Численность

1 001–5 000 человек

Дата регистрации

4 февраля 2015

Блог на Хабре