Надежность пароля для ЛА2

[petty]

Заранее прошу прощения у администрации, если мои навыки использования системы поиска находятся не на должном уровне.

Информация о длине пароля мне доступна только в момент регистрации на форуме при возникновении ошибки, т.е. вводе некорректного количества символов? И еще один вариант - ответ на форуме приблизительно следующего содержания - "кажется 16, попробуй". Так же обстоит дело и с опытами по допустимости используемого набора символов?

У меня вопрос-предложение к администрации - разместить в соответствующей информационной ветке форума ответы на следующие вопросы:

1. Какова минимальная и максимальная длинна пароля используемого для входа в игру на сервере.

2. Каков возможный состав пароля? Можно ли использовать наряду с цифрами и буквами различного регистра символы, типа - ~!@#$%^&*()_+|}{><?[],./`

(тоже, кстати, касается и логина - какие символы можно использовать при его назначении)

Далее у меня вопросы. Предполагая, что моя информация верна и длина пароля максимально 16 символов, причем использовать можно только цифры, латинские буквы в разном регистре и знак "_", интересует стойкость подобного пароля к Brut-Force подбору с использованием современных вычислительных мощностей компьютеров.

Вопрос назрел с появлением в сети инета, в изобилии, тем по надежности пароля и увеличивающейся мощности систем по подбору пароля с помощью брутфорса.

Я не явлюсь большим специалистом в области криптографии, поэтому интересуюсь у знатоков. Если администрация сайта рекомендует к использованию при регистрации аккаунта почтовые системамы на доменах hotmail.com и gmail.com, которые, в своем сервисе допускают использование длины последовательности символов, в качестве пароля, значительно выше 16, то почему сами используют 16?

Ну, и совсем уже конкретный вопрос - если технически не сложно внедрить систему позволяющую использовать от 10 до 64 символов в качестве пароля (цифры, буквы разного регистра и спец. символы - 1Hgy(Gj54GNBbD_&^g@!`), то, возможно есть смысл это сделать? Или же нет в этом никакого смысла и, как я где-то слышал (тоже способ получения информации), если в базе данных есть пароль из 6 цифр и пароль из 64 всевозможных символов, то, узнав особенности шифрования шестициферного пароля, злоумышленнику не составит труда в течении короткого промежутка времени "восстановить" и 64значный пароль?

[HeadMaster]

Больше 16 это для параноиков. С симовлами мудрить тоже не стоит, поставь один-два которых пройдут проверку.

[Amygdala]

мои навыки использования системы поиска находятся не на должном уровне.

Ознакомьтесь --> http://forum.asterio...ndpost&p=686123

Про пароли там тоже есть.

[Arilen]

проще слить всю базу, чем брутить по 1-2 акк не беспокойся за безопасность

[Animator]

Предполагая, что моя информация верна и длина пароля максимально 16 символов, причем использовать можно только цифры, латинские буквы в разном регистре и знак "_", интересует стойкость подобного пароля к Brut-Force подбору с использованием современных вычислительных мощностей компьютеров.

Верна. При длине пароля более 8 символов и использовании в нем цифр и букв в различном регистре уже достаточно стойкие.

то почему сами используют 16?

Насколько я знаю, более длинные пароли не позволяет использовать клиент игры, серверу отправляются только первые 16 введенных символов.

узнав особенности шифрования шестициферного пароля, злоумышленнику не составит труда в течении короткого промежутка времени "восстановить" и 64значный пароль?

"Восстановить" и расшифровать не получится, даже зная алгоритм шифрования, который кстати общедоступен, но в том то и соль, что обратный ему создать невозможно.

[petty]

Ознакомьтесь --> http://forum.asterio...ndpost&p=686123

Про пароли там тоже есть.

Разумеется я этот раздел прочел, прежде чем задавать вопросы:

Не использовать простые пароли. Хороший пароль — минимум 8 символов, не словарный, с буквами и цифрами.

Вопрос - сколько максимум - ответа нет.

(иные символы кроме цифр, английских букв и знака подчеркивания недопустимы)

Каюсь - пропустил

Animator

Верна. При длине пароля более 8 символов и использовании в нем цифр и букв в различном регистре уже достаточно стойкие.

Я параноик - признаю. Вопрос насколько стойкие? Допустим у злоумышленника есть суперсовременное вычислительное оборудование и база данных с моим паролем (периодически сливаемая), с какой скоростью он сможет "сломать" 16-ти символьный пароль при условии его сложности (44_HDk4YR9N6gr)?

Не нужно выдавать ответ с точностью в часах - важно день? Месяц? 8 лет?

"Восстановить" и расшифровать не получится, даже зная алгоритм шифрования, который кстати общедоступен, но в том то и соль, что обратный ему создать невозможно.

Настораживает как раз-таки http://forum.asterios.tm/index.php?showtopic=11374&st=0&p=686123&#entry686123

- имеются вполне стойкие пароли, например "1,47852E+11", "GeForce7800Duo". Стойкие в обычных условиях, а не в данном печальном случае, когда рядом захешированы пароли типа "7777777" или "1010100".

Ваш ответ и ответ админа - немного разнятся. Или я чего-то не допонял.

Изменено 29 августа, 2011 пользователем petty

[HeadMaster]

Я параноик - признаю. Вопрос насколько стойкие? Допустим у злоумышленника есть суперсовременное вычислительное оборудование и база данных с моим паролем (периодически сливаемая), с какой скоростью он сможет "сломать" 16-ти символьный пароль при условии его сложности (44_HDk4YR9N6gr)?

Не нужно выдавать ответ с точностью в часах - важно день? Месяц? 8 лет?

Настолько много времени, что этим будет заниматься полный кретин. Точную цифру не скажу, но больше 10 лет точно

[petty]

Настолько много времени, что этим будет заниматься полный кретин. Точную цифру не скажу, но больше 10 лет точно

Не хочу вас обидеть, но вопрос о вашей компетентности остается открытым. Доказательства или хотя-бы ссылку на расчеты компетентного лица, или лица разбирающегося в данной теме.

[Animator]

Допустим у злоумышленника есть суперсовременное вычислительное оборудование и база данных с моим паролем хешем пароля (периодически сливаемая), с какой скоростью он сможет "сломать" 16-ти символьный пароль при условии его сложности (44_HDk4YR9N6gr)?

Выше ответ. Важно подтвердить ссылкой?

Настораживает как раз-таки http://forum.asterio...23

Ваш ответ и ответ админа - немного разнятся. Или я чего-то не допонял.

Указанные пароли подобрали, т.к. они уже где-то использовались либо являются осмысленным (не рандомным) набором.

upd: http://ru.wikipedia....%B1%D0%BE%D1%80

Изменено 29 августа, 2011 пользователем Animator

[HeadMaster]

Кхм > никто не брутит пароли такой длины, это бесполезно. Брутят по словарям, кускам и всяко, но не полным перебором.

Хорошо, считаем подсчитаем:

16 симовлов, используем все буквы 24+24+12 и всякие знаки, 60 разных символов.

60^16=2,821109907456e+28 вариантов.

Брутим по 2кк паролей в секунду - нормальная такая скорость.

140000000000000000000000 - секунд.

1600000000000000000 - дней.

Пароль нам попадется где-то посередине, делим на 2 и делим на 365 дней в году.

2200000000000000 - лет.

P.S. Почему злобный смайлик не работает!

[petty]

Выше ответ. Важно подтвердить ссылкой?

Указанные пароли подобрали, т.к. они уже где-то использовались либо являются осмысленным (не рандомным) набором.

upd: http://ru.wikipedia....%B1%D0%BE%D1%80

Не обязательно ссылкой, важно знать о чем говоришь и для этого таким как я, объяснять или как-то иначе указывать свою компетентность. Не обижайтесь - не пытаюсь обидеть.

Лично я слова админа понял иначе - если подбран "ключ" к хешу с паролем "восемь восьмерок", то по антологии не составит труда подобрать тот же "ключ" к сложному паролю.

Рассудите нас.

HeadMaster, да приблизительно этого расчета я и ждал, но есть одно "но", откуда информация о скорости перебора?

Брутим по 2кк паролей в секунду - нормальная такая скорость.

две видеокарты GeForce GTX 570 в конфигурации SLI работают со скоростью около 1,5 миллиардов паролей в секунду

http://www.thg.ru/graphic/hack_password_gpu/hack_password_gpu-03.html

А это, пардон, в в разы больше, того, что вы описали. А если говорить про многоядерность? Тут какова будет скорость? Вспомните конфигурации оборудования, на котором установлены серверы Asterios'а?

Где правда?

[canis]

проще слить всю базу, чем брутить по 1-2 акк не беспокойся за безопасность

Вот только в базе пароли пароли не в чистом виде. Удачи расшифровать в базе нормальный пароль 16+ знаков)

[HeadMaster]

HeadMaster, да приблизительно этого расчета я и ждал, но есть одно "но", откуда информация о скорости перебора?

http://www.thg.ru/gr...ord_gpu-03.html

А это, пардон, в в разы больше, того, что вы описали. А если говорить про многоядерность? Тут какова будет скорость? Вспомните конфигурации оборудования, на котором установлены серверы Asterios'а?

Где правда?

Там речь идет о zip-архивах. Не беда, дели 2200000000000000 лет на 1000, и на 10, пускай у тебя 10 таких карт. Сколько получилось?

Изменено 29 августа, 2011 пользователем HeadMaster

[petty]

HeadMaster, да нет, я не спорю - несколько лет для перебора пароля это уже надежно, не говоря уже о десятках лет НО, вопрос в другом - вам известна скорость работы системы - в 2кк паролей в секунду, мне уже в 1,5ккк паролей в секунду. Чего мы еще не знаем? Нет ли уже систем и алгоритмов позволяющих перебирающих пароли со скоростями равными 1кккк? А это уже совсем другие циферки. Я лично с трудом представляю себе производительность системы с 24 ядерным процессором и с десятком видеокарт, для вычислительных нужд. Но ведь скудность моего воображения не отменяет наличия такой системы уже в реальной, почти повседневной, жизни!

[HeadMaster]

Количество времени настолько огромно, что даже скорость 1кккк не сделает брут рентабельным. И тем более никто не будет занимать огромные мощности, жечь сотни килловат энергии для брута какого-то пароля от аккаунта ла2.

[petty]

Количество времени настолько огромно, что даже скорость 1кккк не сделает брут рентабельным. И тем более никто не будет занимать огромные мощности, жечь сотни килловат энергии для брута какого-то пароля от аккаунта ла2.

Если все так и есть, подобное положение вещей успокоила бы мою паранойю.

[petty]

А ответ администрации все же хотелось бы получить

[azbuka]

А ответ администрации все же хотелось бы получить

Ввиду того что личный кабинет у нас выключен скорость перебора пароля ограниченна и на определенном этапе слишком быстрый или количество неудачных введет ип адрес взломщика в ддос таблицу.... Итог если без слива базы то в случае наших серверов 8+ знаков имхо достаточно.... сам использую 12 символьные пароли наделенные смыслом только для меня очень часто из набора букв слов которые не несут никакой логической нагрузки. В случае слитии базы на ц4 использовался мд2 для взлома можно заранее построить раинбов таблицы НО увы только при правильном применении мозга таблиц и оборудования взлом вашего защищенного пароля ограничен во времени, иначе вы получите достаточно приличный промежуток времени даже на современном оборудовании... К администрации не имею отношению высказываю лиш то знаю сталкивался, вижу....

Пытаюсь сказать следующее если у вас рандомный пасс 8+ символов не повторяющихся больших малкньких +цифры то до вашего акка доберутся не скоро

Изменено 29 августа, 2011 пользователем azbuka

[petty]

azbuka, дык хотелось бы чтобы воообще не добрались и даже желания такого не испытывали ввиду сложности пароля.

[he11fire]

Скажем так - взломать теоретически можно абсолютно все так как абсолютная защита - это полная инкапсуляция машины и отсутствие исходящей информации.

Есть, так сказать, пропорция - с увеличением надежности защиты некоторой системы прямо пропорционально падает удобство работы с ней.

Факт этот известный уже давно и нынешняя борьба за безопасность это вычисление некоего оптимума, баланса между надежностью и удобством.

Второе - как я уже выше написал взломать можно любую защиту. Это не столько вопрос времени как написали некоторые товарищи выше (вспоминаем суперкомпьютеры, бот сети, улучшение алгоритмов брута, да много ли еще примеров... да не в этом суть дела), а банально рентабельности. Насколько окупится та или иная акция по взлому Вашего оборудования.

Как вы считаете - стоит ли ваш аккаунт теоретически задействованных средств?

Нет, нет и еще раз нет - это не корпоративная база данных, не промышленный шпионаж и даже не видеоролики интимной жизни Президента (примеры от балды ).

Посему спите спокойно никто Ваш пароль брутить не станет.

Гораздо легче переслать Вам кейлоггер, выманить пароль обманом, втереться в доверие и т.д.

P.S. Будьте бдительны и приятной игры.

[Adventurer]

HeadMaster, да нет, я не спорю - несколько лет для перебора пароля это уже надежно, не говоря уже о десятках лет НО, вопрос в другом - вам известна скорость работы системы - в 2кк паролей в секунду, мне уже в 1,5ккк паролей в секунду. Чего мы еще не знаем? Нет ли уже систем и алгоритмов позволяющих перебирающих пароли со скоростями равными 1кккк? А это уже совсем другие циферки. Я лично с трудом представляю себе производительность системы с 24 ядерным процессором и с десятком видеокарт, для вычислительных нужд. Но ведь скудность моего воображения не отменяет наличия такой системы уже в реальной, почти повседневной, жизни!

как будто такое железо специально для взлома твоего пароля установят =))

чем - то на паранойю уже смахивает

P.S всегда пароли были не более 8 символов - не ломали ни разу за 5 лет игры

[PlamPlam]

Очень поможет длинный пароль если ломают даже привязанные по железу акки. Фильтруют наверно входящие и сходящие и входящие пакеты Астэриоса

Изменено 30 августа, 2011 пользователем PlamPlam

[Admin]

Я параноик - признаю. Вопрос насколько стойкие? Допустим у злоумышленника есть суперсовременное вычислительное оборудование и база данных с моим паролем (периодически сливаемая), с какой скоростью он сможет "сломать" 16-ти символьный пароль при условии его сложности (44_HDk4YR9N6gr)?

Не нужно выдавать ответ с точностью в часах - важно день? Месяц? 8 лет?

Насчет "периодически сливаемая" - это слухи от конкурентов, взламывали только 2 раза, причем второй был последствием первого. И с промежутком в 2 месяца. А работаем мы уже 6 лет.

Но даже если предположить что базу украдут, то пароль "44_HDk4YR9N6gr" сломать в короткие сроки все равно не смогут, для этого не хватит мощности даже суперкомпьютера. Даже полтора года назад его бы не сломали, а сейчас у нас более сильные хэши. Теперь трудно будет сломать даже не очень сложные пароли. Исключение составляют лишь "словарные" пароли. Но мы теперь иногда пробуем брутить собственную базу (с помощью 48 ядерной машины, вряд-ли у взломщиков есть такие) и находим слабые пароли, заставляя игроков сменить их при первом входе в игру.

Что касается обычного брута без "слива" базы - у нас от этого надежная защита, перебирать могут лишь с очень маленькой скоростью. И будьте уверены, вас вряд-ли взломают через брут.

Основная причина взломов последнее время - это трояны и фишинг. Не качайте никаких программ, размещенных на l2 ресурсах, или ресурсах хотя-бы косвенно связанных с l2. Либо если все-же хотите запустить такую программу - делайте это из под виртуальной машины. Пользуйтесь антивирусом. Не вводите логин/пароль в выскакивающие неожиданно окна, даже если это произошло на нашем форуме.

[petty]

Ну, что же - спасибо за ответы: вопрос надежности длинны пароля понятен.

[xFILIMONx]

Насчет "периодически сливаемая" - это слухи от конкурентов, взламывали только 2 раза, причем второй был последствием первого. И с промежутком в 2 месяца. А работаем мы уже 6 лет.

Но даже если предположить что базу украдут, то пароль "44_HDk4YR9N6gr" сломать в короткие сроки все равно не смогут, для этого не хватит мощности даже суперкомпьютера. Даже полтора года назад его бы не сломали, а сейчас у нас более сильные хэши. Теперь трудно будет сломать даже не очень сложные пароли. Исключение составляют лишь "словарные" пароли. Но мы теперь иногда пробуем брутить собственную базу (с помощью 48 ядерной машины, вряд-ли у взломщиков есть такие) и находим слабые пароли, заставляя игроков сменить их при первом входе в игру.

Что касается обычного брута без "слива" базы - у нас от этого надежная защита, перебирать могут лишь с очень маленькой скоростью. И будьте уверены, вас вряд-ли взломают через брут.

Основная причина взломов последнее время - это трояны и фишинг. Не качайте никаких программ, размещенных на l2 ресурсах, или ресурсах хотя-бы косвенно связанных с l2. Либо если все-же хотите запустить такую программу - делайте это из под виртуальной машины. Пользуйтесь антивирусом. Не вводите логин/пароль в выскакивающие неожиданно окна, даже если это произошло на нашем форуме.

   В другой теме был ответ, что кража паролей в основном самих пользователей "Астериос".

   Я согласился бы с админами в том случае если бы пользователи сами:

   1. Выкладывали пароли

   2. Давали пароли третьим лицам

   и т. д.

   То что взламывают пароли 90% вина администрации "Астериос"! Так как администрация должна следить за безопасностью, что бы игра была комфортной.

[GM-Himba]

Читайте http://forum.asterios.tm/index.php?showtopic=11374#entry686123

[xFILIMONx]

Читайте http://forum.asterios.tm/index.php?showtopic=11374#entry686123

Генератором пар. знаем что это. Все равно хочется гарантий, что завтра твой ак не сломают.

У пацаненка был пар. из 10 знаков (буквы мал.+ большие и цифры). Сегодня утром его ак сломали.

[canis]

Генератором пар. знаем что это. Все равно хочется гарантий, что завтра твой ак не сломают.

Ты из того линка прочитал только первый абзац, а дальше ниасилил? 

То что взламывают пароли 90% вина администрации "Астериос"!

Пусть на компе зоопарк, но во всём виноват сервер? Да?

[xFILIMONx]

Ты из того линка прочитал только первый абзац, а дальше ниасилил?  Пусть на компе зоопарк, но во всём виноват сервер? Да?

Если ты непользуешься "Генератором паролей" - твои проблемы.

В том числе с зоопарком на твоем компе. Я в отличии от тебя х...ню в компе не развожу :D

[canis]

Я в отличии от тебя х...ню в компе не развожу :D

Если это действительно так, то почему ноешь о взломах именно ты, а не я.