==8 символов или больше?=
Перечитывая Криса Касперски, наткнулся на следующую фразу:
Книга вышла еще в 2001 году. Насколько актуально это утверждение для современных Linux-систем?
Перечитывая Криса Касперски, наткнулся на следующую фразу:
– Современные версии UNIX уже не ограничивают длину пароля восемью символами, но выбирать длинные пароли категорически не рекомендуется – это значительно снижает криптостойкость. К сожалению, внятные объяснения потребовали бы много места и глубоких знаний криптографии.
Книга вышла еще в 2001 году. Насколько актуально это утверждение для современных Linux-систем?
ЭЭЭ, имхо это БСК, и даже для 2001го года. Там же хэш берётся, а стойкость пароля определяется лишь его энтропией, которая растёт с ростом числа символов при прочих равных. Разве нет?
Ну годов так до восьмидесятых это могло быть и верно:
http://en.wikipedia.org/wiki/Crypt_(Unix)
Несерьёзно как-то...
Может имелось ввиду короткие?
Ну что значит несерьезно? Крис Касперски – известный авторитет, и его труды и рассуждения вызывают доверие. Может, вы чего-то упустили в этой 8-символьной тонкости?
Кстати, Крис очень наглядно и убедительно показал, как майкрософтовцы неоднократно лопухнулись при разработке своих "оригинальных" крптотехнолоий для Windows.
Несерьёзно — делать некое заявление, но не подтверждать его фактами, аргументируя сложностью возможных разъяснений. Читая такое, возникает впечатление, что автор сам не особо в курсе деталей.
Широко известный в узких кругах?
Моё личное мнение, разумеется.
Да, 8 символов максимум. Также криптонестойким будет отличный от буквенного пароль, в крайнем случае можно добавить цифры. Код функции пересмотреть, и настоятельно рекомендую удалить соль, долго объяснять, но её использование также значительно снижает криптостойкость. К сожалению, внятные объяснения потребовали бы много места и глубоких знаний криптографии, а это приводит к стрессам. Используйте только md5, но если сильно хочется, то можно и des-ом.
Выкладывайте рабочие хэши на тестирование в и-нет, бонусом приложить адрес, и доступный сервис. Это сильно увеличит криптостойкость вашей системы.
Спешу вас разочаровать. Ваш "авторитет" в своих кникгах льет много воды, часто ошибается и еще чаще идет против истины. Не читайте его бред, это вредно для вашего умственного здоровья :)
Вот ещё один устаревший метод получения пароля, когда не использовалось нормальное хэширование:
Пароль берётся только от семи битов из символа, поэтому восьмой бит из каждых семи перемещается в сторону восьмого байта
или вообще отбрасывается. Так из восьми символов формируется 56-битный ключ. Если символов больше, то образуется несколько
строк с отброшенным восьмым битом, которые объединяются операцией XOR. Если распределение каждой строки неслучайно,
то теоретически можно найти оптимальные вероятности многократных XOR-сложений и выделить наиболее вероятные
DES-ключи для перебора, которым в конце концов и шифруется пароль в этой схеме вместо обычного хэширования.
Но честно говоря, я не нашёл ссылок на эти устаревшие протоколы, которые не имеют ничего общего с современным положением дел
и необладаю столь глубокими познаниями в криптографии как у Криса Касперски, так что внятных и требующих много места
объяснений что-то в голову не приходит.
Но здесь тоже не наблюдается подкрепления фактами ваших точек зрения. Подход аналогичен – одни авторитеты дружно затоптали другого голыми руками, без всяких там фактов :-)
Если у кого-то есть немного свободного времени, просто напишите ему, покажите ссылку на сюда, предложите объяснить. Какие проблемы?
Согласен.
Ну да, просто не поняли, что хотел сказать автор и отреагировали по принципу: "не читали, но труды этого автора осуждаем" :-)
Никто никого не топтал.
Ну вот кто-то даже прочитал.
И видимо ему захотелось повторить здесь свое сомнительное отношение к авторитету данного автора безотносительно к данному вопросу ;-)
Ну что ж, каждый имеет право на своё мнение.
А зачем? Если создателю топика это интересно, пусть сам и узнаёт это у автора. На вторую половину вопроса мы ответили: для современных Linux систем это давно уже неактуально.
Было ли это актуально когда-то давно раньше именно так, как описывает Касперски, вопрос спорный, но IMHO непринципиальный и неинтересный.
Я когда-то находил и явные опечатки и мутные места у Шнайера или у Bellar & Rogaway, но мне как-то не особо было интересно докапываться и выяснять, если вопрос неинтересный.
"сомнительное отношение" – сомнительное выражение. :)
Да, иногда такое возникает. Правила хорошего тона предписывают в подобных случаях давать ссылку на подробное разъяснение – это единственное, в чём можно упрекнуть по сути самого подхода. Криса не сильно читал, но его статьи больше напоминают детские сказки для впечатлительных деток – начинающих хакеров. Написано жывым интересным языком, но есть художественный вымысел, ну если для детей... в конце концов, почему бы и нет? Красной шапочки же вродь тож не было, или я не прав? (Тимошенко и подобные не в счёт).
Конечно, если удастся списаться с автором, то прсто приглашу его прямо в этот топик.
Ведь этот вопрос я задал не ради праздного любопытства – каждый день приходится использовать эти пароли, обычно длину паролей выбираю 12, как рекомендовал SATtva в своем блоге. А теперь возникли некоторые сомнения. Хочеся их развеять.
Серые волки точно есть!
Ой ли? Я, конечно, как всякий уважающий себя писатель, плохо помню, что и где я когда-то писал, но вот чтоб именно такая цифра — 12 символов... Может напомните, где видели у меня такое? Точно не путаете с фильмом Михалкова? :-)
SATtva Конечно, помню абсолютно точно. Там еще на паранойю намекалось :)
Поиск по блогу результатов не дал. Приведёте ссылку?
Всегда пожалуйста :) Только все-таки я немного ошибся – 14 символов:
http://www.vladmiller.info/blog/index.php?year=2005
Да гон это всё! Нет у SATtva'ы жены/детей! Иначе бы он не занимался сайтом. Из всего что там упоминается максимум он имеет смарт-карты :)
Блин, люди, вы бы читали внимательнее, что цитируете вообще. :-)
А я уже себе почти моск сломал, где это я мог писать про 12-14 символов, откуда вообще такая странная цифра?
Это говорит всего лишь о том, что блог оформлен неинформативно. Где эта ремарка
я до сих в пор не вижу – статья начинается заголовком Безопасность для параноиков и заканчивается Комментарии (10).
Надо оформлять блог так, чтобы статьи были самодостаточными и не приходилось заниматься специальными изысканиями по установлению автора.
http://www.vladmiller.info/blog/index.php?year=2005
Как бы то ни было, вопрос, какую длину паролей использует уважаемый г-н SATtva, остается :)
Это говорит лишь о том, что кто-то не умеет читать. Первый класс, урок чтения. Прочитайте последний абзац над первым подзаголовком ("Безопасность для параноиков") и не страдайте ерундой.
Выслал вчера приглашение в этот топик Крису Касперски, автору бестселлера "Техника сетевых атак".
Если не отликнется – будем считать, что его сентенция о 8 символах – ляп, за который от отчитываться не желает.
Думаете вы первый, кто пытался заставить его ответить за свои бредовые фантазии? На программерском форуме wasm.ru неоднократно замечали образчики бреда от этого автора, и он всегда обходил эти топики стороной, хотя присутствует на том форуме.
Весьма занимателен его бред про дизассемблирование в уме (эта статья просто сборище ляпов), а бред про отсуствие непосредственной адресации на amd64 вобще ни в какие ворота не лезет. В общем, просто игнорируйте и не покупайте этого автора.
Это устаревшая информация, дело в том что в старых реализациях функции crypt действительно использовались 8 первых символов, остальные просто отбрасывались. Для современных дистрибутивов Linux/BSD это уже давно не так.