Как проверить стойкость пароля?

Как безопасно и по возможности точно можно оценить стойкость придуманного пароля?

На страницу: 1, 2, 3, 4, 5, 6 След.

Комментарии

—	*Гость* (06/01/2014 03:59) <#>

> Да.. а можно еще проанализировать клавиатуру на часто используемые кнопки.

Это классика народного жанра:

— в 12 лет йа взламывала пароли BIOS с помощью шерстяного носка и ножниц!!!
— мне даже страшно спрашивать алгоритм… ><
— дергаешь ворсинки из носка, режешь их на части по 4 мм и раскладываешь по всей клаве. если не присматриваццо — не заметишь. дожидаешься, когда батя включит комп и наберет пароль, и под любым предлогом вызываешь его из комнаты. находишь клавиши, на которых ворсинок не осталось. йа так на взломанном компе 2 года по ночам гамала, а предки не знали

В отсутствие родителей я разбирал клавиатуру и подкладывал под каждую кнопку кусочек пластилина. Позже, когда меня допускали к компьютеру, отец вводил пароль, и я запускал какие-нибудь гонки типа Test Drive, пользуясь только стрелочками, чтобы не помять пластилин. Как только оставался один, снова разбирал клавиатуру, выяснял, какие кнопки были нажаты, и пытался из их комбинации составить пароль. Глубокие дыры в пластилине означали, что кнопка была нажата несколько раз, так что проблем с подбором обычно не возникало.

—	тестерТьюринга (10/05/2014 07:57) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

При установке linux-дистрибутива(Fedora) инсталлятор может предупредить о слабом пароле. Если такой пароль был установлен, означает ли это, что его возможно восстановить штатными средствами(библиотека cracklib, например)? Или предупреждение формируется по каким-то формальным признакам(не достаточно длинный, отсутствуют разнообразные символы и т.д.)?

—	SATtva (10/05/2014 10:48) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

В PAM для оценки стойкости паролей обычно и используется cracklib. Оценка может производиться как по формальным параметрам (длина, наборы символов), так и по базе распространённых паролей.

—	тестерТьюринга (12/05/2014 13:31) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

Да, я проверил – парольная фраза имеется в словарях cracklib, т.е. восстановление пароля не займет много времени. И что дальше – какими штатными средствами восстановить пароль в читабельном виде имея права root?

—	SATtva (12/05/2014 13:49) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

JtR, например.

—	тестерТьюринга (12/05/2014 15:47) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

О, а не мало в репозитории ломалок паролей. Запретил их использование.

—	unknown (12/05/2014 16:29, исправлен 12/05/2014 16:30) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Запретили использование слабых паролей, которые могут быть сломаны ломалками, имеющимися в репозитории? ;)

—	SATtva (12/05/2014 16:37) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

[йумор]
Если тестерТьюринга является субъектом законодательной инициативы, то может внести Думу законопроект о запрете использования ломалок из репозитория для взлома паролей.
[/йумор]

—	тестерТьюринга (13/05/2014 07:04) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

Когда SATtva будет наделять или лишать тестерТьюринга свойствами законодательной инициативы, я рассмотрю Ваши предложения, соблюдая все юридические формальности. А т.к. даже таких формальностей никогда не будет, то [йумор] – самокритика, требующая фрейдистских анализов.

—	*Гость* (13/05/2014 14:07) <#>

Средства взлома паролей (и не только) нужно не запрещать, а пропагандировать, изучать в школах. Когда народ дремуч, заводятся паразиты обещающие "защищить" от плохих людей. Устанавливают монополию на право оказания защиты. Препятствуют развитию навыков и средств самообороны, объявляя всех потенциальными злодеями (кроме самих себя). Чем больше уровень дремучести, тем благоприятней среда для паразитов. Поэтому пусть лучше вломает кто-нибудь и послужит уроком, чем этим будут систематически заниматься банды "защитников" под легендой о всеобщей безопасности.

—	ZAS (13/05/2014 20:21) <#>

Как безопасно и по возможности точно можно оценить стойкость придуманного пароля?

1. Вычислить пик/среднее автокорелляционной функции от пароля как последовательности битов.
2. Проверить что соседние символы не идут подряд по рус/лат алфавиту и не находятся рядом на клавиатуре.

Результат легко представить в виде количественной оценки.
Получается легкая и несложная функция, отсекающая большинство тривиальных паролей.

—	*Гость* (13/05/2014 21:01) <#>

Не слушайте ZAS, он как всегда врёт. Случайность можно приписать выбору элемента из множества, или, если проще, методу генерации. Приписать случайность непонятно откуда взявшемуся паролю нельзя. Он может выглядеть сколь угодно случайно, но при этом быть неслучайным и легко подбираться, если противник догадается до метода генерации. Все сколь-нибудь распространённые методы генерации паролей в уме, которые легко запомнить, уже давно используются в ломалках паролей.

Гость (13/05/2014 14:07) |sed 's/паразит/патриот/g' |less
И смысл сохраняется.

—	ZAS (14/05/2014 01:06) <#>

Есть конкретные предложения, как написать функцию, которая бы количественно оценивала стойкость пароля? Нет?
"Лечите собственную импотенцию повторением чужих манр" ©

Случайность можно приписать выбору элемента из множества, или, если проще, методу генерации.

Cлучайность можно приписать только случаю. Труднопредсказуемость != cлучайность.

ZAS Communicator Project
http://www.zas-comm.ru

—	тестерТьюринга (14/05/2014 06:49) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

Дума := Гость;

—	тестерТьюринга (15/05/2014 08:20) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

тестерТьюринга:
[type_checking]
Дума <smiley> Гость<smiley>
[/type_checking]

На страницу: 1, 2, 3, 4, 5, 6 След.

Ваша оценка документа [показать результаты]