Почему пароли никогда не были такими слабыми, как сейчас

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 21 Aug 2012.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,056
    Reputations:
    693
    Почему пароли никогда не были такими слабыми, как сейчас


    Даже 13-ти или 16-значный пароль в наше время не может считаться безопасным. Через шесть дней после утечки 6,5 млн парольных хэшей LinkedIn более 90% паролей были подобраны. Несколько лет назад такое сложно было себе представить. На сайте ArsTechnica опубликована большая обзорная статья , в которой подробно объясняются причины трансформаций, которые произошли в области взлома паролей за последние несколько лет.

    Главный тезис в том, что средний пароль в 2012 году слаб как никогда. Это объясняется несколькими причинами. Во-первых — самое очевидное: «числодробилки» GPU, на которых происходит перебор хэшей, стали гораздо мощнее в последние годы. Например, AMD Radeon HD7970 GPU способен вычислять 8,2 миллиарда хэшей в секунду. Но это не главная причина.

    Самое важное, что техника взлома паролей в 2009-2012 годы кардинально усовершенствовалась. По мнению специалистов, невозможно даже сравнивать те примитивные методы атаки по словарю, которые использовались раньше, и аналитику на базе десятков миллионов утёкших паролей, которые доступны специалистам сейчас.

    Истоки нынешних проблем лежат в 2009 году, когда произошла самая массовая в истории утечка пользовательских паролей. В результате SQL-инъекции на сайте RockYou хакерам удалось утянуть 32 миллиона паролей открытым текстом. С того момента и началась новая эпоха.

    Гигантская база данных позволила разработчикам ПО для взлома паролей полностью переработать словари, по которым осуществляется брутфорс. Вместо «теоретических» словарей у них появились настоящие словари с реальными паролями. База RockYou до сих пор остаётся уникальным, самым лучшим ресурсом для взлома.

    База 32 миллиона паролей rockyou.txt.bz2 (зеркало)

    Начиная с 2009 года, дело пошло по накатанной. После каждой новой утечки хэшей всё бóльшую долю из них удавалось подобрать по словарю, а ресурсы выделялись на анализ сложных паролей, которые затем тоже добавлялись в словарь. Например, в наше время пароль вроде Sup3rThinkers считается лёгким для взлома, потому что он подбирается по словарю с несколькими заменами, для которых существуют соответствующие правила. Для ускорения поиска по словарям из десятков гигабайт используются радужные таблицы.

    К настоящему времени сложилась такая ситуация, что при утечке с любого сервиса базы парольных хэшей по словарям мгновенно находятся 60% паролей! То есть им вообще не нужно работать — эти 60% являются результатом применения знаний, накопленных раньше.

    Таким образом, утечки становились всё чаще, и базы пополнялись. По оценкам специалистов, только за прошлый год в онлайне опубликовано более 100 миллионов пользовательских паролей.

    [​IMG]

    В относительной защищённости в наше время могут чувствовать себя только те, кто пользуются менеджерами паролей вроде 1Password или PasswordSafe.

    21.08.2012
    http://www.xakep.ru/post/59192/​
     
    _________________________
  2. Империал

    Joined:
    11 Mar 2010
    Messages:
    1,224
    Likes Received:
    58
    Reputations:
    1
    Скоро хэши вообще не придется брутить, просто будет одна большая база где к каждому набору символов будет хэш
     
  3. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    имею базу в 140 млн плейнтекстовых паролей на рабочем сервере
    пароли действительно становятся все проще и проще...
    люди теряют веру в свою защищенность!
    это логично, сервисы не уделяют должного внимания безопасности =(

    З.Ы. лично я применяю методы криптографии посложней MD5, но так сложилось что плейнтекст присутствует всегда :(
     
    #3 \/IRUS, 21 Aug 2012
    Last edited: 21 Aug 2012
  4. kastin

    kastin Elder - Старейшина

    Joined:
    6 Jul 2009
    Messages:
    528
    Likes Received:
    53
    Reputations:
    35
    Вот и спрашивается - нафига ставить сложный пароль (и куда-то его записывать или держать постоянно в памяти) когда его все равно взломаю. Их тогда поставить пароль 123456 и не парится.

    зы. У меня кстати на многих ресурсах (уже сколько лет) до сих пор стоит пароль: 123456 :D
    И я не парюсь!
     
  5. Империал

    Joined:
    11 Mar 2010
    Messages:
    1,224
    Likes Received:
    58
    Reputations:
    1
    И на этом форуме тоже? ;)
     
  6. kastin

    kastin Elder - Старейшина

    Joined:
    6 Jul 2009
    Messages:
    528
    Likes Received:
    53
    Reputations:
    35
    Ага, дерзай - бруть :D
     
  7. Doonot

    Doonot New Member

    Joined:
    27 Jun 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    у меня один очень длинный сложный пароль, храню в памяти, использую только для почты.
    остальные записываю в зашифрованный файлик. все пароли рандомные, вроде:
    !@A!%fd6@#fg%87@FFJ@*$Nf$^)_tr@&&gf@#js!$#^&12ATYfdhy21!^&$(
     
  8. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,056
    Reputations:
    693
    Да и на этом тоже есть.. где-то встречалась с год назад по популярным паролям распределение пассов отсюда.. мб в гугл осталось..
     
    _________________________
  9. tor.leo

    tor.leo Banned

    Joined:
    11 Nov 2009
    Messages:
    33
    Likes Received:
    8
    Reputations:
    -10
    лошара, почтовики не принимают пароли длиной более 22 символов, понторез тухлый, так что все твои пароли теперь типа
    !@A!%fd6@#fg%87@FFJ@*$ а тут уже куда кривая полета фантазии хэшкрякера выведет
     
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    верно, был отчёт одного мембера форума о бруте пассов на АЧ.
    то, что сделал он - повторить не сложно.

    и гугл принял нужные меры для защиты юзеров,
    двух-ступенчатая авторизация,
    при входе на мейл с другого компа - сервис сразу требует ввода 6-циферной комбинации, которая приходит по смс.
    и на своём компе, авторизация валидна лишь на 30 дней.

    в городе, каждое лето проводиться компания по информированию и напоминанию жителям о правилах личной безопасности.
    "Geef dieven geen kans/Никакого шанса ворам",
    тот же принцип - "Лучше предупредить, чем лечить"
     
    #10 altblitz, 21 Aug 2012
    Last edited: 21 Aug 2012
  11. Doonot

    Doonot New Member

    Joined:
    27 Jun 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    на гмэйле у меня пароль 26 символов. так что прикрой свой берущий рот
     
  12. shellz[21h]

    shellz[21h] Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    311
    Likes Received:
    68
    Reputations:
    6
    Использования ASCII кодов (символов) в пароле, по которым не брутят:
    SOH, STX, ETX, EOT, ENQ, ACK, SYN, BEL, etc...
     
  13. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    У мну есть слова с этими кодами в словарях, так что бручу и по ним. :)
     
  14. jasp3r

    jasp3r New Member

    Joined:
    23 Apr 2012
    Messages:
    44
    Likes Received:
    4
    Reputations:
    0
    у меня есть один пароль для не особо нужных и важных учеток, все остальные хранятся в 1password, синхронизация между всеми устройствами, удобно и надежно.
     
  15. shellz[21h]

    shellz[21h] Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    311
    Likes Received:
    68
    Reputations:
    6
    обезнадежил))
     
  16. tor.leo

    tor.leo Banned

    Joined:
    11 Nov 2009
    Messages:
    33
    Likes Received:
    8
    Reputations:
    -10
    я твой пароль труба шаталь, нахрен тебе пароль из 26 символов если у тебя на счете 3.5 бакса, и выше этой суммы никогда не было и врят ли будет?
     
  17. Doonot

    Doonot New Member

    Joined:
    27 Jun 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    может быть еще и так спросил? мозгами то пораскинь зачем он нужен. и какая тебе разница какой длинны?
     
  18. drim

    drim Member

    Joined:
    27 Aug 2009
    Messages:
    347
    Likes Received:
    33
    Reputations:
    4
    зачем юзать закрытый и платный 1password, если есть _открытый_ (т.е. 100% без закладок) KeePass с шифрованием AES-256 (у 1password - AES-128). Синхронизировать можно через ДБ, благо файл копеечный.
     
  19. jasp3r

    jasp3r New Member

    Joined:
    23 Apr 2012
    Messages:
    44
    Likes Received:
    4
    Reputations:
    0
    drim
    а что aes 128 не достаточно надежен?
    плюсов перед keepass множество, это и расширение для браузеров и файл бэкапный, который можно открыть где угодно в любом браузере, синхронизация аж тремя способами.
    да и потом keepass только под винду нормально вылизан, на os x все плохо.
     
    #19 jasp3r, 23 Aug 2012
    Last edited: 23 Aug 2012
  20. AaoiOa

    AaoiOa Member

    Joined:
    18 Jun 2012
    Messages:
    146
    Likes Received:
    7
    Reputations:
    7
    Имхо, если пароль находится на сервере, то он уже не может быть безопасен. И недавние случаи взломов серьезных ресурсов это только подтверждают.
     
Loading...