Почему пароли никогда не были такими слабыми, как сейчас Даже 13-ти или 16-значный пароль в наше время не может считаться безопасным. Через шесть дней после утечки 6,5 млн парольных хэшей LinkedIn более 90% паролей были подобраны. Несколько лет назад такое сложно было себе представить. На сайте ArsTechnica опубликована большая обзорная статья , в которой подробно объясняются причины трансформаций, которые произошли в области взлома паролей за последние несколько лет. Главный тезис в том, что средний пароль в 2012 году слаб как никогда. Это объясняется несколькими причинами. Во-первых — самое очевидное: «числодробилки» GPU, на которых происходит перебор хэшей, стали гораздо мощнее в последние годы. Например, AMD Radeon HD7970 GPU способен вычислять 8,2 миллиарда хэшей в секунду. Но это не главная причина. Самое важное, что техника взлома паролей в 2009-2012 годы кардинально усовершенствовалась. По мнению специалистов, невозможно даже сравнивать те примитивные методы атаки по словарю, которые использовались раньше, и аналитику на базе десятков миллионов утёкших паролей, которые доступны специалистам сейчас. Истоки нынешних проблем лежат в 2009 году, когда произошла самая массовая в истории утечка пользовательских паролей. В результате SQL-инъекции на сайте RockYou хакерам удалось утянуть 32 миллиона паролей открытым текстом. С того момента и началась новая эпоха. Гигантская база данных позволила разработчикам ПО для взлома паролей полностью переработать словари, по которым осуществляется брутфорс. Вместо «теоретических» словарей у них появились настоящие словари с реальными паролями. База RockYou до сих пор остаётся уникальным, самым лучшим ресурсом для взлома. База 32 миллиона паролей rockyou.txt.bz2 (зеркало) Начиная с 2009 года, дело пошло по накатанной. После каждой новой утечки хэшей всё бóльшую долю из них удавалось подобрать по словарю, а ресурсы выделялись на анализ сложных паролей, которые затем тоже добавлялись в словарь. Например, в наше время пароль вроде Sup3rThinkers считается лёгким для взлома, потому что он подбирается по словарю с несколькими заменами, для которых существуют соответствующие правила. Для ускорения поиска по словарям из десятков гигабайт используются радужные таблицы. К настоящему времени сложилась такая ситуация, что при утечке с любого сервиса базы парольных хэшей по словарям мгновенно находятся 60% паролей! То есть им вообще не нужно работать — эти 60% являются результатом применения знаний, накопленных раньше. Таким образом, утечки становились всё чаще, и базы пополнялись. По оценкам специалистов, только за прошлый год в онлайне опубликовано более 100 миллионов пользовательских паролей. В относительной защищённости в наше время могут чувствовать себя только те, кто пользуются менеджерами паролей вроде 1Password или PasswordSafe. 21.08.2012 http://www.xakep.ru/post/59192/
Скоро хэши вообще не придется брутить, просто будет одна большая база где к каждому набору символов будет хэш
имею базу в 140 млн плейнтекстовых паролей на рабочем сервере пароли действительно становятся все проще и проще... люди теряют веру в свою защищенность! это логично, сервисы не уделяют должного внимания безопасности =( З.Ы. лично я применяю методы криптографии посложней MD5, но так сложилось что плейнтекст присутствует всегда
Вот и спрашивается - нафига ставить сложный пароль (и куда-то его записывать или держать постоянно в памяти) когда его все равно взломаю. Их тогда поставить пароль 123456 и не парится. зы. У меня кстати на многих ресурсах (уже сколько лет) до сих пор стоит пароль: 123456 И я не парюсь!
у меня один очень длинный сложный пароль, храню в памяти, использую только для почты. остальные записываю в зашифрованный файлик. все пароли рандомные, вроде: !@A!%fd6@#fg%87@FFJ@*$Nf$^)_tr@&&gf@#js!$#^&12ATYfdhy21!^&$(
Да и на этом тоже есть.. где-то встречалась с год назад по популярным паролям распределение пассов отсюда.. мб в гугл осталось..
лошара, почтовики не принимают пароли длиной более 22 символов, понторез тухлый, так что все твои пароли теперь типа !@A!%fd6@#fg%87@FFJ@*$ а тут уже куда кривая полета фантазии хэшкрякера выведет
верно, был отчёт одного мембера форума о бруте пассов на АЧ. то, что сделал он - повторить не сложно. и гугл принял нужные меры для защиты юзеров, двух-ступенчатая авторизация, при входе на мейл с другого компа - сервис сразу требует ввода 6-циферной комбинации, которая приходит по смс. и на своём компе, авторизация валидна лишь на 30 дней. в городе, каждое лето проводиться компания по информированию и напоминанию жителям о правилах личной безопасности. "Geef dieven geen kans/Никакого шанса ворам", тот же принцип - "Лучше предупредить, чем лечить"
Использования ASCII кодов (символов) в пароле, по которым не брутят: SOH, STX, ETX, EOT, ENQ, ACK, SYN, BEL, etc...
у меня есть один пароль для не особо нужных и важных учеток, все остальные хранятся в 1password, синхронизация между всеми устройствами, удобно и надежно.
я твой пароль труба шаталь, нахрен тебе пароль из 26 символов если у тебя на счете 3.5 бакса, и выше этой суммы никогда не было и врят ли будет?
может быть еще и так спросил? мозгами то пораскинь зачем он нужен. и какая тебе разница какой длинны?
зачем юзать закрытый и платный 1password, если есть _открытый_ (т.е. 100% без закладок) KeePass с шифрованием AES-256 (у 1password - AES-128). Синхронизировать можно через ДБ, благо файл копеечный.
drim а что aes 128 не достаточно надежен? плюсов перед keepass множество, это и расширение для браузеров и файл бэкапный, который можно открыть где угодно в любом браузере, синхронизация аж тремя способами. да и потом keepass только под винду нормально вылизан, на os x все плохо.
Имхо, если пароль находится на сервере, то он уже не может быть безопасен. И недавние случаи взломов серьезных ресурсов это только подтверждают.