Сложные пароли.

[B0ston]

Вот вроде как на Астериосе ввели усложненные пароли, тоесть раньше не требовали что бы в пароле были буквы цыфры маленькие большие,а теперь недает спокойно зарегатся. И созрел у меня такой вопрос, на сколько это эффективно? Да уверен я что бред это сивой кабылы и небольше. Взломы бывают в 3х случаях.

1. Аккшаринг - Дали погонять чара, итог - чара угнали/раздели.

2.Троян - Качали левый софт/регались где попало, как итог поймали червя он слил паши пароли.

3. Прога по подбору поролей, хз возможно ли даже при знание логина подобрать каким либо образом пароль? Если да то сколько времени это займет? А человеку подобрать в ручную нереально.

Вот собственно хочется узнать какая разница между " 123321" и "Z12FyfF12YF31kf" если проге всеравно пофигу какую инфу сливать или вашему драйверу если он уже знает. Или расчитано на то что с 1 раза такую хрень невведешь?)

[canis]

Сложный пароль повышает устойчивость брутфорсу и в случае, если сольют базу аккаунтов, то более сложный пароль тоже будет значительно дольше получать в исходном виде.

[stiig]

Вот вроде как на Астериосе ввели усложненные пароли, тоесть раньше не требовали что бы в пароле были буквы цыфры маленькие большие,а теперь недает спокойно зарегатся. И созрел у меня такой вопрос, на сколько это эффективно? Да уверен я что бред это сивой кабылы и небольше. Взломы бывают в 3х случаях.

1. Аккшаринг - Дали погонять чара, итог - чара угнали/раздели.

2.Троян - Качали левый софт/регались где попало, как итог поймали червя он слил паши пароли.

3. Прога по подбору поролей, хз возможно ли даже при знание логина подобрать каким либо образом пароль? Если да то сколько времени это займет? А человеку подобрать в ручную нереально.

Вот собственно хочется узнать какая разница между " 123321" и "Z12FyfF12YF31kf" если проге всеравно пофигу какую инфу сливать или вашему драйверу если он уже знает. Или расчитано на то что с 1 раза такую хрень невведешь?)

есть такая программа, которая подбирает пароли сама к мейлу, или яндексу..

но для это программы надо текстовый документ, в которов должно быть как минимум тыс так 900 паролей. но подобрать пароль программе очень сложно. но, если есть в том текстовом документе именно тот пароль, который ты поставил на почту, она его подберет. и вуаля...почта пропала..

я считаю, каким бы не был пароль, его надо меня каждый месяц. так будет надежней :mellow:

[canis]

но для это программы надо текстовый документ, в которов должно быть как минимум тыс так 900 паролей.

[stiig]

Совсем не обязательно.

ну, можно пароль и подобрать сразуже на первом пароле в тхт

[canis]

ну, можно пароль и подобрать сразуже на первом пароле в тхт

Если человек настолько убогий, что использует пароли, что есть в словарях для брута, то мне его по человечески жалко.

[stiig]

Если человек настолько убогий, что использует пароли, что есть в словарях для брута, то мне его по человечески жалко.

+

у меня есть прога для брута, которая делает трояна для кражи паролей.. и самое главное, его можна залить в любой файл. ии его не видет не один антивирус

[B0ston]

Хз что такое брут Скажу посвоему жизненному, если не качать что попало и не лазить где попало, никто и никогда вас незломают, если только вы не какае то оч ваная персона хронящая очень важные данные

[canis]

Хз что такое брут

http://ru.wikipedia.org/wiki/Марк_Юний_Брут :lol:

Если ближе к теме.

http://ru.wikipedia.org/wiki/Полный_перебор

[B0ston]

Ну так каким макаром вы собираетесь угадывать мой незамысловатый пароль,а перед тем еще и логин? Когда вы его угадаете, я уже играть брошу и внуков в садик водить начну

[canis]

Ну так каким макаром вы собираетесь угадывать мой незамысловатый пароль,а перед тем еще и логин? Когда вы его угадаете, я уже играть брошу и внуков в садик водить начну

Ага. А по поводу логина это всё зависит от давности создания акка.

[Thorvardr]

По п.3 могу немного написать.

В силу специфики работы меня интересуют вопросы безопасности. В том числе и статистика по сложности паролей пользователей и любая база с хэшами для меня ценность в смысле получения такой информации. Поэтому я провел небольшое исследование по базе логин-сервера, которая осенью 2010 года попала в сеть (вложенный в нее механизм поиска пароля оставляет желать лучшего и им можно до пенсии эту базу обрабатывать).

Итого в базе: 739502 записи.

Из них:

-----------

15460 - логин и пароль совпадают (такие аккаунты находятся в течение первого же прохода по базе и на это нужно секунд 5)

54225 - аккаунты, имеющие относительно простые пароли вида "qwerty", "123456", "123123123" и т.п. находятся так же в течение первого прохода по базе

2 - числовой пароль длиной 2 символа (даже такое есть)

4 - числовой пароль длиной 3 символа

21 - числовой пароль длиной 4 символа

5542 - числовой пароль длиной 5 символов

46210 - числовой пароль длиной 6 символов (практически одни даты, видимо, дни рождения)

22425 - числовой пароль длиной 7 символов

61253 - числовой пароль длиной 8 символов

39857 - числовые пароли длиной 9 и 10 символов

все числовые пароли длиной от 1 до 10 знаков находятся в течение 4 часов

-----------

25408 - поиск по словарю "русские слова, набранные латиницей+модификатор" - модификатор - добавление пары цифр в начало или конец слова, преобразование первой или последней буквы к верхнему регистру

12273 - поиск по словарю английских слов+модификатор

130483 - поиск по тематическим словарям и ранее наработанным словарям наиболее популярных паролей (пароли к icq, вконтакте, facebook, одноклассникам и т.п.)+модификатор

все пароли, связанные со словарями находятся в течение двух суток

-----------

1564 - полный комбинаторный перебор паролей состоящих из 5 символов, содержащий только маленькие английские буквы

8406 - тоже самое из 6 символов

6469 - тоже самое из 7 символов

9193 - тоже самое из 8 символов

переборы занимают длительное время, для пароля длиной 8 символов до суток.

-----------

1005 - полный комбинаторный перебор паролей состоящих из 5 символов, содержащий только маленькие английские буквы и цифры

4293 - тоже самое из 6 символов

6179 - тоже самое из 7 символов

-----------

5 - полный перебор разнорегистровых паролей, состоящих из 1-5 символов

223 - тоже самое из 6 символов

-----------

в результате получается:

из 739502 подобрано паролей для 450501 записей, 289001 запись имеют более устойчивый пароль. То есть, 61% паролей найден в течение, примерно, одной недели. А вы говорите, что это сложно.

ВНИМАНИЕ: никакие полученные данные в этом эксперименте результаты не были и не будут использованы для получения доступа к чужим аккаунтам. Результаты в сеть выложены не будут!

А вообще, мне кажется, что типовая схема угона аккаунта сегодня такая:

1. По этой базе видны адреса электронной почты.

2. Почтовые сервисы метят адрес как свободный если на него не заходят длительное время (бывает что всего полгода неактивности и все, адрес метится как неиспользуемый).

3. Злоумышленники проверяют занят ли адрес, если нет, то регистрируют его и с помощью системы восстановления пароля получают доступ к акканту.

Поэтому!

Ребята, заходите иногда на свои почтовые ящики! Обязательно делайте привязку по .hwid. А если играете вместе с кем то одним персонажем (хотя формально это запрещено), делайте пароль длиной не менее 12 знаков, разнорегистровый, не имеющий смысла.

[canis]

в результате получается:

из 739502 подобрано паролей для 450501 записей, 289001 запись имеют более устойчивый пароль. То есть, 61% паролей найден в течение, примерно, одной недели.

Это просто говорит о том, что 61% пользователей халатно относятся к своей безопасности. Непонятна логика людей, что тратят достаточно большое время на игру, но не желающие выделить некоторую часть своего времени на профилактическую смену паролей на акке и почте.

[B0ston]

Я правельно понемаю, что таким методом подбора можно пободрать/найти пароль только из утекшей базы? Да и как они востановят мой майл без моего участия? Там как минимум секретный вопрос есть

[canis]

Я правельно понемаю, что таким методом подбора можно пободрать/найти пароль только из утекшей базы?

Нет. Просто используя базу быстрее всего. Остальное всё гораздо дольше.

Да и как они востановят мой майл без моего участия? Там как минимум секретный вопрос есть

Если ты не заходишь и ящик был удалён за сроком давности, то злоумышленник просто создаёт новый используя адрес взятый из базы. (если его не заняли) Ну как ты понимаешь к новому ящику твой секретный вопрос ну не каким образом уже относится не будет.

ЗЫ. к слову секретные вопросы тоже слабое место

Изменено 8 октября, 2012 пользователем canis

[Thorvardr]

По секретным вопросам статистика примерно такая же.

Вопросы-ответы:

"Ты тут?" = "Нет"/"Да"

"Любимое блюдо" = "водка", "пельмени", "шашлык"...

"Девичья фамилия матери" - смотрим социальные сети

рекомендации остаются теми же, что написал в прошлом сообщении.

[Newplik]

используйте пароль:

VzlomshikEstGavno1488

[B0ston]

Ну вы же понемаете что надо быть очень сильно сильно заинтересованным в том что бы искать человека в соц сетях и смотреть девичью фамилию матери) Майл мой переодически используется и удалитяс неможет, значит это отметаем)Если база неутекала значит его никаким макаром неподберут, ну или пусть подберают пару сотен тысяч лет, так как подобрать пароль к логину я думаю мб не так долго а сгенерировать логин+пароль думаю займет много времени) А если база утекла то думаю сложность логина врядли повлияет.

[Thorvardr]

Ну вы же понемаете что надо быть очень сильно сильно заинтересованным в том что бы искать человека в соц сетях...

Само собой. Вопрос в ценности конечного результата. Для того чтобы угнать именно ваш игровой аккаунт вряд ли кто то станет задействовать серьезных специалистов и технику. Но реалии жизни другие. Угоняют сведения аутентификации для банковских систем. А это реальные и, бывает, совсем немаленькие деньги.

[B0ston]

Ну сейчас же мы говорим о игровых аккаунтах)) Так что невижу смысла убер пароля, просто бональная осторожность.

[Oxymorphone]

http://forum.asterio...howtopic=239244

в комментах про сложность перебора паролей все обсосано.

Изменено 8 октября, 2012 пользователем Oxymorphone

[Crownee]

Мне сказали, что использовать имя моей кошки в качестве пароля не стоит.

Не буду менять!

Я так привык к qZ!813_g%1...

Внаглую содрано откудато...

[canis]

Я так привык к qZ!813_g%1...

Спс... добавил в словарь. :lol: :lol:

[ЧеловекТапок]

на хабре есть простейший софт для "проверки" паролей, показывается примерное время перебора

http://habrahabr.ru/post/146068/

[Mushroomer]

а вы знали, что если написать свой пароль от акка на форуме в ВВ-коде (зелена кнопка на 1 панельке, 3я слева - Code ) то он замениться звездочками!!!!

***********

[ЧеловекТапок]

а вы знали, что если написать свой пароль от акка на форуме в ВВ-коде (зелена кнопка на 1 панельке, 3я слева - Code ) то он замениться звездочками!!!!

***********

да знали

****************