Комментарии 165
Вероятно, этот паттерн используется не только вами.
Так что брутфорсерам логично распарсить культурный слой с пополнить словари культовыми фразами.
Я к тому, что использовать как пароль фразу целиком, как она где то встречается — плохая идея.
С тех пор пароли у меня ещё и разные…
(на почту тот же был, её тоже сперли).
Почему ваш любимый мессенджер должен умереть
2. И по поводу Skype тоже.
Как Skype уязвимости чинил
Так что никто не подбирал к вашему Skype никакие пароли…
Эм… парольные фразы… средний словарный запас — 10 000 слов.
Парольная фраза из четырех слов — 10^4*4 = 10^16 Мне кажется, или при большей длине пароля обеспечивается меньшая защищенность(при условии правильности написания слов в парольной фразе)?
Если буквы, цифры и спецсимволы это 100 вариантов, то пароль длинной 8 это те же 10^16
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?s = !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
26+26+10+33=95 имеем 95^8=6 634 204 312 890 625 а это никак не 10^16=10 000 000 000 000 000
Конечно, речь идёт о мастер-паролях, а не о том, что внутри менеджера паролей.
Речь не про замену буквы «о» нулём, а про неформализуемые искажения, придуманные вам самим. Например, не обезьяна, а аблизяна.
1999 Год. Лукьяненко. Фальшивые зеркала.
«Сорок тысяч обезьян в жопу сунули банан.»
Нет, не надо коверкать слова, если это не помогает запомнить фразу.
Нет, не нужно делать орфографических ошибок, если это не помогает запомнить фразу.
Нет, не нужно использовать отрывки из публичных (и не публичных) текстов, известные фразы.
Нужно генерировать набор слов пока он не покажется вам отлично запоминаемым из-за своей странности, а потом много раз вводить его для запоминания и скорости в приватной безопасной обстановке (поставить на ноут — хорошая идея, если вы пользуетесь им исключительно один или у вас есть настроенный второй профиль для жены и гостей).
Неплохая идея положить его в аварийный кейчейн на случай уж очень мозговыносящего отпуска.
А вообще кейчейны — это наше всё. Я, конечно, же так не поступаю, потому что всё никак руки не дойдут навести в этом порядок, но если бы у меня спросили как лучше, то я бы ответил.
Сгенерить ОЧЕНЬ запоминаемый многословный мастер-пароль. Этот пароль вы не должны забывать никогда. Приучите себя проговаривать его мысленно каждый день перед сном по нескольку раз (если вы не разговариваете во сне=)
Мастер-перолем закрываем аварийный кейчейн с обычными многословными паролями для важных сервисов.
Везде стараемся сохранять пароли в брузере и системных кейчейнах. Это чтобы не забивать память высокоэнтропийным мусором и не запутаться. «Компьютеру-цифровое» — Юлий наш уважаемый Цезарь, кажется сказал.
средний словарный запас — 10 000 слов
А сколько с падежами/формами глаголов? Если добавить клички животных, фамилии людей?
Так что, если утащить список хешей, особенно без соли, и в каком-нибудь SHA, то скорось перебора на средненькой домашней GPU ферме будет порядка N GHash/s (~10^12) и пароли подобные correcthorsebatterystaple раскалываются за единицы минут.
средний словарный запас — 10 000 слов
Ваша оценка словарного запаса занижена в 4-8 раз, 10 000 — это ученик младших классов, ну или Эллочка.
Вот это исследование говорит о 55-90 тыс для совершеннолетних респондентов (и 90 — это не всплеск. Всплеск — это полулегендарные 180-200 тыс для «Пушкиных»).
По правилам теста слово считалось «знакомым», если респондент мог дать определение хотя бы одному его значению. Чтобы повысить точность теста и выявить респондентов, проходящих его неаккуратно, в тест были добавлены несуществующие слова. Если респондент отмечал хотя бы одно такое слово как знакомое, его результаты не учитывались. В исследовании приняло участие более 150 тысяч человек (из них прошло тест аккуратно — 123 тысячи).
Да-да-да, "согласно исследованию, проведенному на нашем сайте, 100% населения пользуются интернетом".
Выборка нерелевантна.
Во-первых, используются имена, названия с МАЛЕНЬКОЙ буквы. Как вам слово "вебер".
Во-вторых, используются общепринятые профессиональные сокращения. Больше всего покоробило "вах". То ли "ВАХ", то ли частица "вах"…
В-третьих, используется слэнг и жаргон. "укантрапопиться". "шифрануть".
В-четвертых, неустоявшиеся производные так же считаются новым словом. "обвесовочка".
Таким образом действительно легко набираются 150 000 слов(мой запас, согласно тесту).
Так вот, для пароля, по моему опыту, обычно используются легкозапоминаемые повседневные слова и фразы. Так, по своему опыту сисадминства, могу привести такой пример: "У коня четыре ноги". И каждые 90 дней менялось животное.
Отсутствие приведенных вами слов в общепринятых словарях как раз таки еще более осложняет задачу подбора, если подходить к созданию пароля грамотно, т.е. в данном случае выступает не дутым поводом для гордости своим словарным запасом, а реальным подспорьем в прикладном вопросе безопасности.
Вы меня не слышите.
Еще раз: люди ставят галочку напротив слова не потому, что они его знают и напишут при вводе пароля, а потому, что они, по правилам русского языка, догадались что значит это слово.
а вот при выборе пароля, чаще всего, будут использовать легкозапоминаемые повседневные слова и фразы.
Сильно вам поможет словарь в раскалывании такого пароля?
10000 — средний словарный запас чего? Активный словарь одного, не очень образованного, человека? Но зачем именно свой активный словарь использовать? Берем 4 случайные книги разных авторов и разных жанров, от дамского детектива до хард научпопа, открываем в случайных местах, выбираем случайные слова, отбрасывая заведомо высокочастотные. Таким образом словарь увеличивается до нескольких сотен тысяч, фактически до всех слов языка. Ну и слов может быть не 4, а побольше, не обязательно ориентироваться на умственные способности жены Джеймса Гуделоу (запомнить несколько случайных слов не сложнее, чем столько же случайных цифр, возможно даже легче).
использую LastPass (или я бы назвал его LostPass после утечек). Стараюсь генерировать пароль из 32 символов (!ldbPYMTP$7kVpGcW5NZiE1naxNskJ%A — типичный пароль). От важных мест пароль храню в голове только (почта, онлайн банкинг). На каждом сайте свой пароль. И я конечно же их не знаю :)
Заменил бы на похожий сервис но который можно поднять у себя на ВПС на рандомном порте. С клиентами под мобильные ОС и десктопные (как в ownCloud).
passbolt (но он тоже поехавший по поводу "правильности" пароля)
и обновлённый стандарт рекомендует использовать длинные парольные фразы, лёгкие для запоминания, но трудные для брутфорса.
Эти пароли должны каждый раз вводить, особенно несколько раз на дню и не давать запоминать разным программам?
MS молодцы — дали возможность подглядеть набранный пароль (часто приходится вводить длинные пароли — вероятность ошибки очень большая)
Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.
Обычно пользователь может и не догадаться что его пароль утек.
Жалко оригинал по подписке, а англояычные статьи ее упоминающие пишут в деталях отличное от Ализара
Набирать фразы быстрее, там же использует моторика, заточенная под набор обычного текста. А жуткий пароль и набирать сложнее, там каждую букву на клаве искать, да еще и спец символы...
У длинных парольных фраз есть один недостаток — их долго набирать.
Как вариант (возможно — не самый лучший) — составлять пароль не из слов целиком. Помним фразу полностью, но набираем из каждого слова, допустим, буквы с третьей по седьмую. Да, от полного перебора вариантов это защитит хуже целой длинной фразы, зато будут отсутствовать вычленяемые логичные куски (слова).
вот никогда не понимал этот идиотизм в виде ограничения максимальной длины пароля.
Чрезмерная, блин, забота о пользователях там, где не надо.
Пользователи — они же малые дети. Всё делают себе во вред и стремятся самоубиться.
Нужно обязательно за них решить, какой им пароль можно, а какой нельзя.
Вот кстати да. Давно сами пароли никто не хранит — хранят лишь солёный хэш. Т.е. длина пароля вообще не имеет значения — ну, придётся хэш посчитать от 40 символов, а не от 20 — о чём вообще речь?
Комбинаций 40 символов намного больше, чем комбинаций 20 символов. Придётся проверить больше комбинаций, чтобы найти подходящую.
Что проверить? Когда пользователь ввёл пароль — от него считается хэш. Всё, дальше пароль не используется, а хэш имеет фиксированную длину.
Если 20 символов хватает, чтобы хэш был "случайным" — то чем хуже 40? Почему нельзя позволить?
Прошу прощения, понял вопрос не в том контексте (в контексте защиты от перебора). Присоединяюсь к Вашему вопросу.
Брутфорс с 2^28 попыток применим, конечно… но только или к безграмотной системе, или к запароленным файлам или парольным хешам, которые удалось утащить. Во втором случае — более практичное применение имеют rainbow tables. Но в этом случае — никакие длинные фразы, очевидно, никак не помогают.
В WPS по сути пара из 4х цифр + 3 цифры, которые надо вводить поочереди, можно угадать первые 4 цифры, после чего подбирать оставшиеся 3. И это не в наследнии из лохматых 70х, а в стандарте 2007го года.
Эти штуки как будто специально были сделаны для того, чтобы их было как можно проще подобрать
Если речь про древние времена, то вспоминаем ограничение на длину пароля. Типа, первые N символов используются, остальные можешь набирать, но они будут отброшены при проверке. Многие системы ДЕЛАЛИ ЭТО %-)
Подсчитайте вероятность подбора, если используется только первые 6-7-8 символов из пароля. Требование использовать расширенный набор (заглавные буквы, цифры), несловарные слова и т.п. весьма логично при такой длине, иначе имеем пароль из (максимум) двух словарных слов.
Ещё похожим страдает Blizzard — их серверы не придают значения регистру символов в пароле.
Я еще смутно припоминаю, что где-то до кучи отбрасывался первый символ (х.з. почему), ну и ограничение по длине там же. Сейчас вряд ли такая система прожила бы и несколько суток без взлома… Публичные сервисы вообще постоянно на прочность испытывают. Даже на местечковой системе, ничем не примечательной, на которой был выставлен наружу порт RAdmin с супер-пупер секурным паролем — ой! Пароль не подобрали, но так старались, так старались… Пришлось фильтровать IP, т.к. недосервер начинало реально плющить, на DDoS было похоже. А тогда можно было и вот так...
Как вам компания с мировым именем Сбербанк, где пароль в Сбербанк Онлайн для физиков не зависит от регистра.
Тот же Сбербанк отказался от 2-факторной авторизации с помощью одноразовых паролей, печатаемых банкоматами. Теперь только по СМС (вспоминаем массу историй о том, как в салонах сотовых операторов легко выдают мошенникам дубликаты сим-карт по липовым доверенностям).
Сбербанк и только по СМС.
С тем же Сбербанком несколько недель назад у меня было очень весело (очень грустная рожица)
Из группы зеленых токенов для входа в Сбербанк Бизнес Онлайн один токен перестал работать, хоть он и вставлен и правильно воспринимался пин код, но на этапе авторизации по логину и паролю сайт выдавал сообщение вставьте ключевой носитель и запустить ...EXE.
Пока искал телефон техподдержки набрел на домене сбербанка на Новый Бизнес онлайна. К моему удивлению я туда зашел по логину и паролю (который вводил ранее, но не мог войти). Зашел и мог совершать просмотр движений средств БЕЗ вставленного токена и БЕЗ получения sms пароля. То есть любой узнавший пароль и логин мог это делать (это к только по СМС)
Логин не имел прав подписания и не имел сертификата, ему нужен только просмотр.
p.s. Техподдержка две недели не могла дать ответ что за дела с токеном. На прошлой неделе дошли руки пробывать снова — авторазиция заработала и на попытку входа без вставленного токена стало выходить сообщение что работать нужно только запуском файла EXE. На сайте было написано что проводили техработы.
От техподдержки никаких ответов на обращение что за дела, в том числе про такую авторизацию не получил.
подозреваю, что пароли у них хранятся не хешированные.
А у меня, почему-то, придают.
Он сейчас 8-ми символьный-то пароль набирает утром с трудом и умудряется ошибиться несколько раз подряд (вплоть до автоматической блокировки учётки).
А теперь он точно НЕ с первой, а дай бог с третьей, попытки войдёт в систему. :)
В итоге, я постоянно жму на восстановление пароля
Я тоже. И каждый раз хочу роскомнадзорнуться, когда мне пишут при восстановлении «этот пароль уже использовался за последние 10 лет!». После третьего восстановления уже проще сайтом не пользоваться, чем что-то выдумывать.
Всяким ласптассам не доверяю
используйте keepass тогда.
У вас раньше никогда небыло интернета :)?
Сама идея запоминания пароля в глобальном смысле порочна и так или иначе она уйдет в прошлое. Человек по определению не может быть быстрее и умнее компьютера.
Либо пользователь сам должен быть себе паролем (пальцы+лицо в мимике+голос+%прочие уникальные факторы%) либо мы должны полностью отказаться от конфиденциальности и перейти от секретности к ответственности за доступ к информации. Утопично, но, кажется, в Эстонии работает электронное государство именно так.
И самый, конечно, омерзительный момент в использовании длинных паролей — ограничение на максимальную длинну пароля, которое устанавливает каждый сервис как хочет. Сороктысячобез… все, длинна пароля кончилась. Запоминай на какой букве ты остановился на этом сайте.
P.S. Немного офф: причем у Origin (опять же если я их не путаю с кем-то другим) невалидными на фронтенде считались пароли "> 16", а на бекенде ">= 16". При этом у меня пароль был ровно 16 символов. И я долго не мог понять, почему я не могу зарегистрироваться (ошибка от бекенда была неговорящая — видимо, считали, что фронтенд все и так обрабатывает, как надо). Потом я как-то методом тыка догадался. И тут же написал в саппорт. Увы, но там так и не смогли понять проблему (тон вообще сводился к тому, что, мол, вы же зарегистрировались, что вам еще нужно). Так что вот, такие вот дела с длинными паролями…
Да и данный пример — просто стёбная одежда. Мне нравится.
Точнее:
— в 2003 случаев утекания паролей и выкладывания 100 500 000 000 самых популярных паролей было мало. Я не помню ни одного. Просто банально потому, что интернет был в зачаточном состоянии. В 2000 мне надо было забрутфорсить пароль к архиву. Хозяин забыл его, так я нашёл утилиту и к ней шёл словарь на 200 000 слов (включая популярные пароли липа «p@$$w0rd». Утилиту вроде наши написали. Скорость подбора была чудовищна, а он ещё и цифры добавил.
— Государственные компании США даже сейчас, а тогда тем более, работали с таким легаси, когда иногда поле ввода паролей было сильно ограничено. Скажем я встречался с продуктом, в котором пароль это скорее пинкод. 6 цифр.
— Он боролся с засильем «1234», «password» и прочим. Думаю, совершенно очевидно, что "%fU-Rt71$" гораздо сложнее боле длинного «passwordpassword». Не для брутфорса, а для запоминания, подглядывания и словарного перебора.
Так что не о чем сожалеть. Это, пусть и не идеальный, но стандард, который был принят во время. Дальше можно его развивать, но шаг был правильный.
Вообще парольная защита, как мне кажется, отжила своё. пароли в 20 случайных символов запомнить сложно, особенно если часто менять. Брутфорсить скоро их станет очень просто.
Я довольно скептически отношусь к рекомендации использовать парольные фразы. Как только такие пароли станут популярными, тут же брутфорс будет делаться и по ним. Может уже и делается — я просто не в курсе. И тогда «правильно лошадь батарея скрепка» будет не более стойкий, чем тот трубадур.
Я, помнится, какое-то время имел пароли из песенок. К примеру «IzZaOsNaStNaPrReVo» — составлен из первых букв песенки про Степана Разина. Легко запоминается, словарно не подбирается. Но потом стал сталкиваться с проблемами типа
— админы вводят требование менять пароль каждые 3 месяца. И тут как по статье — добавляем счётчик
— некоторые сервисы ограничивают длину
— некоторые требуют добавления разных символов (цифры, спец) и тут надо запоминать где ты добавил "$5" а где нет. И куда добавил — в начало или конец.
Короче, должно быть другое решение. Я его пока не нашёл, мучаюсь с KeePass.
Почему мучаюсь? Ну хотя бы в винду я его ввести не могу. Ну и некоторые сервисы не дают копипастить пароль в форму. На телефоне проще — отпечаток пальца. Или там роговицы снимок.
Для паролей такого типа стойкость посчитана же… Так что что касается брутфорса — всё упирается в количество слов. В первом приближении одно слово такого пароля заменяет два символа в пароле с буквами, цифрами и знаками препинания — если, конечно, оба сгенерили случайно. А запомнить легче.
Ну и как я упомянул, не везде ити 40-50 символов влезут.
Ввести сложнее — да (хотя как раз на экранной клавиатуре возня с переключением регистров для ввода цифр и знаков препинания тоже замедляет ввод). Теоретически — можно было бы сделать специальную «клавиатуру» для удобного ввода паролей из фиксированного набора слов. Или иметь возможность ввести пароль как в виде пачки слов (легко для запоминания), так и в «абстрактном» виде (смутно помню, что какой-то вариант OTP отдавал пароли в двух видах: N слов из словаря на 4096 элементов или 3*N 16-ричных цифр, но не могу найти, какой).
Проблема скорее в интерфейсе. Он должен работать по стандартам, которые исключают брутфорс. Как те же кредитки. 3 неправильный попытки — блок. Или помягче. 3 неправильных попытки — отдыхаем час. Потом — сутки и проч. Но это надо иметь доверенный сервис аутентификации.
«Менять пароли теперь рекомендуется только в том случае, если существует вероятность их компрометации, то есть если имеются признаки утечки.»
Т.е. можно будет зайти по кредам годичной и более давности. Так нельзя)
Т.е. можно будет зайти по кредам годичной и более давности
Вспоминается великолепная байка с Daily WTF.
Ну и лимиты на операции, явное оповещение об использовании зарубежом заранее и другие меры.
Если честно, я не помню, спрашивал ли я внутренний номер оператора, чтобы перезвонить самому. Скорей всего да, но врать не буду.
Номер карты он знает, т.к. вы его ввели на сайте. Соответственно, банк он определил по первым цифрам номера. Имя и фамилию он знает, т.к. вы их тоже вводили в форму оплаты. Представиться так, как принято в каком-либо банке, не сложно, для этого достаточно туда позвонить и выслушать приветствие оператора, то же самое и с процедурой верификации персональных данных пользователя. Детали перевода злоумышленнику известны, т.к. вы только что ему же эти деньги и перевели. Внутренний номер оператора спросит один из ста, а перезвонит по нему один из ста спросивших, т.е. практически никто. Про подмену номера звонящего говорить надо?
И вот, у злоумышленника есть не только данные карты, но и паспортные данные ее владельца, и ключевое слово.
Ghbvth_ghjcnjuj_gfhjkz_yjvth_1
Просто запоминается, словарь в общем бесполезен. Можно усложнять опечатками или изменением источника, метода создания
А еще есть транслит:
lfc_bcm_afynfcnbi
или в немецкой раскладке:
lfc_bcm_afznfcnbi
В принципе любой способ — перебор букв.
P.S.На телефоне — дело привычки.
Вот вроде неплохая статья.
типичный легко запоминаемый пароль
Автору статьи спасибо. Мне интересно было. И, кстати, первый раз узнала, что в качестве пароля применяют целые фразы из слов. Упс!;)
Получив временный пароль, успешно по нему авторизовался. Заменил пароль на постоянный. Позже, попытался авторизоваться повторно, но постоянный пароль не подходил. Допустив, хоть и незначительную, вероятность моей ошибки, позвонил в поддержку и сбросил пароль.
Теперь, на странице ввода постоянного пароля вводил посимвольно и внимательно, успешно его установил и зашел в профиль. Сразу же разлогинившись попытался войте вновь, но пароль уже не подходит. Ошибка ввода на этот раз была исключена.
Т.к. пароль довольно длинный и содержит спец символы, возможно он некорректно обрабатывается интернет банком.
на что получил довольно забавный ответ:
В ответ на Ваше обращение сообщаем, что использование специальных символов может блокироваться системой при сохранении Вашего пароля. Рекомендуем не использовать специальные символы при создании постоянного пароля.
Надеемся на Ваше понимание.
При регистрации никаких предупреждений не было.
«Не выходи из комнаты, не совершай ошибку»,
Далее выдергиваем из каждого слова по две первых буквы: не-вы-не-со-ош.
Можно для «ядрености» перевести в другую раскладку: ytdsytcjji.
Десять символов. Запоминается легко. Брутфорсится с умеренной сложностью (понятное дело, кому надо — вскроют, но это все-таки не qwerty.) В случае необходимости заменяется на вторую строчку этого же стихотворения — новые десять символов, столь же случайные, сколь и легкозапоминаемые.
И, чтоб два раза не вставать: ВТБ-онлайн сейчас в качестве пароля в личный кабинет позволяет ввести ТОЛЬКО ЦИФРЫ. Б — безопасность.
Да, я знаю, что там еще авторизация по телефону, но блин… Цифровой пароль для защиты денежной информации?!
Получается, по-моему, умопомрачительно много. Тем более, что есть масса песен, где тоже чистейший набор слов :-)
И да, повторюсь: в случае реальной необходимости будут использованы методы терморектального криптоанализа, и там уже сложность брутфорса неважна.
Вот тут как раз обсуждается вопрос про строчки из песен. В частности, указывается неочевидная на первый взгляд, но вполне очевидная на второй вещь, что если выбирать N слов подряд, то увеличение N почти никак не влияет на количество возможных паролей, даже чуть уменьшает (хотя, конечно "3, 4 или 5 слов" — это больше вариантов чем "всегда 3"). Но ведь тут есть та же опасность, что и с секретными вопросами — эту информацию можно случайно раскрыть в обычной беседе и даже не заметить.
1. Я могу вспомнить довольно большие отрывки песен на русском, украинском, английском и немецком.
2. Не пропускать знаки препинания, ведь даже если забыл правила пунктуации, то можно подглядеть в первоисточник.
3. Простые подстановки, например всегда заменять животных английскими словами, а цвета — HTML кодами.
«Жеманный cat, на печке сидя, мурлыча, лапкой рыльце мыл»
«В лесу раздавался Ctrl+X дровосека»
«Opa! Opa! #00FF00 ograda!»
Не пропускать знаки препинания, ведь даже если забыл правила пунктуации, то можно подглядеть в первоисточник.
Если под первоисточником понимается "референсный" текст, а не учебник русского языка, то автор того же вопроса разумно уточнил, что если погуглил текст, а потом поставил пароль, то с точки зрения паранойи уже не всё так хорошо. Впрочем, я бы в большей степени опасался возможности социальной инженерии. Эта байка с башорга кажется мне вполне логичной. Но, да, подстановки, на первый взгляд, делают угадывание сложнее.
(keepass почемуто иногда любит не нажимать таб при автовводе логина и пароля) то ничего страшного не случится
NIST наконец-то меняет рекомендации по паролям: теперь рекомендуются длинные парольные фразы