The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от opennews (??), 22-Фев-21, 22:46 
Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54636

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +13 +/
Сообщение от Аноним (1), 22-Фев-21, 22:46 
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –1 +/
Сообщение от Аноним (2), 22-Фев-21, 22:58 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 22-Фев-21, 22:59 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. Скрыто модератором  +/
Сообщение от Аноним (1), 22-Фев-21, 23:09 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +2 +/
Сообщение от Аноним (8), 23-Фев-21, 00:50 
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. Скрыто модератором  +4 +/
Сообщение от Аноним (13), 23-Фев-21, 07:06 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  –4 +/
Сообщение от Аноним (-), 23-Фев-21, 00:45 
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +2 +/
Сообщение от Аноним (9), 23-Фев-21, 01:41 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  +2 +/
Сообщение от Аноним (9), 23-Фев-21, 01:42 
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –8 +/
Сообщение от Аноним (11), 23-Фев-21, 04:43 
Почему бы просто не развивать биометрию?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +5 +/
Сообщение от Аноним (12), 23-Фев-21, 06:43 
Во-первых, ты хочешь жить в антиутопии?

Во-вторых, её как раз-таки и развивают.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от An O Nim (?), 23-Фев-21, 09:42 
В документации написано, что она менее безопасная. О так вот...
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +4 +/
Сообщение от Аноним (-), 23-Фев-21, 09:01 
Биометрия легко воруется, как отрубить палец. Кроме того на этом уровне технологии легко подделывается. А пароль забыл и все.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

48. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +2 +/
Сообщение от YetAnotherOnanym (ok), 23-Фев-21, 11:26 
Не забудь задать этот вопрос, когда в дивном грядущем мире с твоей карточки снимут деньги просто подойдя к банкомату в пластическом гриме с твоим лицом, которое возьмут с твоей фотки в фб или вк.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

57. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –3 +/
Сообщение от Аноним (57), 23-Фев-21, 12:24 
С такой сетью камер его можно автоматически вести до места, где он снимет грим (а если он грим на снимет, то у первого полицейского на его пути возникнут вопросы), и после навесить ему обвинений не только в мошенничестве и воровстве, но и в невыполнении обязательств по биометрической идентификации себя на улицах и в неавторизованном доступе и в использовании заведомо ложных биометрических данных и в самзванстве и ещё до кучи специально придуманных законов, чтобы хватило на 100 пожизненных или 1 смертную казнь.
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +4 +/
Сообщение от YetAnotherOnanym (ok), 23-Фев-21, 16:20 
Пффф... Делов-то - доехать (на каршеринговой машине, за которую тоже заплатишь ты) до неблагополучного района, где камеры вроде бы должны быть, но разбиты местной шпаной. Тачка там же пропадёт, и отвечать за неё тоже придётся тебе.
Не забывай, что киберпанк - это не только хай-тек, но и лоу-лайф.
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +4 +/
Сообщение от Vitto74 (ok), 23-Фев-21, 12:12 
А как давно ты менял отпечатки пальцев, ДНК или рисунок радужной оболочки?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

15. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +6 +/
Сообщение от Аноним (15), 23-Фев-21, 09:15 
> набора инструментов для контроля
> сложности паролей и парольных фраз

Здорово. А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети. В последнее время перешёл на анализ силы паролей в спец. программах. Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях. Что-то в духе:


box~$
box~$ pwgen -ys 60 1
vy`2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw`-Ozj(|XTa+TmC;gl
box~$
box~$

Проверяю:


Length: 60
Strength: Very Strong - More often than not, this level of security is overkill.
Entropy: 324.3 bits
Charset Size: 94 characters

324 бита более чем.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от RomanCh (ok), 23-Фев-21, 09:21 
> А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети.

Так вот откуда появляются файлы "pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB"...

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (15), 23-Фев-21, 09:26 
Там об энтропии, а не о хэшах. Просвещайтесь:

https://www.whonix.org/wiki/Passwords

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –1 +/
Сообщение от RomanCh (ok), 23-Фев-21, 10:19 
А вот и невероятно серьёзные эксперты 9999lvl, которые от увиденных знакомых слов в статье начали "просвещать" всех остальных. Но в исходном комментарии написано "проверка паролей" а не хешей. И да, базу хешей для pwned-passwords-ntlm-ordered-by-hash-v7.txt можно получить так же и из открытых паролей присылаемых "на проверку". Ну и наконец - расслабтесь, не только лишь все мои комментарии написаны серьёзно.

PS https://ru.wikipedia.org/wiki/%D0%A1%D0%...

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (33), 23-Фев-21, 10:40 
> можно получить так же и из открытых паролей присылаемых "на проверку"

Так можно ничего никуда не присылать, а энтропию высчитывать локально. Благо любой парольный менеджер сейчас определяет всё в автоматическом режиме. Поэтому можно сразу "прицениться" и определить силу парольных фраз и энтропии. Парольные фразы хороши когда учётных записей 2-3 и их легко держать в памяти. Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.

> https://ru.wikipedia.org/wiki/Сарказм

Ок. Я не понял, что ваша реплика была саркастическая.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (57), 23-Фев-21, 11:22 
>Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.

Авторизация по публичным ключам же.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от RomanCh (ok), 23-Фев-21, 11:55 
>> можно получить так же и из открытых паролей присылаемых "на проверку"
> Так можно ничего никуда не присылать, а энтропию высчитывать локально

Да что же такое-то... Чукча во истину не читатель что-ли?

Ведь мой комментарий исходно относился к словам некоего анонима (вас?) о том что он ранее отправлял свои *пароли* для проверки каким-то сервисам в интернет. Из чего я сделал саркастическое замечание с намёком на то, что все эти пароли тут же можно считать скомпрометированными. А у вас понеслось - энтропия, хеши...

> От маршрутизаторов, машин, виртуалок, криптоконтейнеров ... , то без генерируемых устойчивых паролей не обойтись.

Да вот тут уж действительно авторизация/дешифрование по ключам лучше подошли бы.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

18. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (15), 23-Фев-21, 09:28 
Вас должно интересовать Future-proof Safety и Post-quantum Secure.
Ну и вообще всё почитайте ради образовательных целей ради.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

58. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –1 +/
Сообщение от анон (?), 23-Фев-21, 13:16 
При шифровании на решетках останутся те же пароли, а твои кпк уже их не осилят, максимум, где они понадобятся, так это расшифровать изъятые данные, или зашифрованные в облаках.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +3 +/
Сообщение от Аноним (-), 23-Фев-21, 17:53 
> а твои кпк уже их не осилят

Вы пьяны? Причём тут кпк?

Report on Post-Quantum Cryptography, National Institute of Standards and Technology  -
https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от анон (?), 23-Фев-21, 19:01 
квантовыеПК
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (20), 23-Фев-21, 09:35 
> Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях.
> pwgen -sy 60 1

Как его запомнить?

Хранить на компе в текстовом файле не предлагать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +4 +/
Сообщение от Аноним (15), 23-Фев-21, 09:41 
> Как его запомнить?

Запоминать не надо. Все пароли и учётные записи я храню в криптоконтейнере, к которому осуществляется доступ по мастер паролю + usb токену.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Паролик (?), 23-Фев-21, 10:38 
А потом потерял USB token или нужно срочно войти на определённый ресурс, а под рукой только смарт без возможности подключения USB token и все - приплыли.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (33), 23-Фев-21, 10:50 
> А потом потерял

Ну потерял так потерял. Да и восстановил из резервной копии, которая сама по себе бесполезна без мастер фразы. Критически важные данные резервирую всегда на нескольких физически отдельных друг от друга носителях. Кто-то использует закачку зашифрованных криптоконтейнеров в облака - я лично обхожусь без третьих лиц и ресурсов.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +3 +/
Сообщение от Ordu (ok), 23-Фев-21, 17:22 
Либо безопасность, либо удобство.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

35. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (35), 23-Фев-21, 10:44 
Защита крыптоконтейнера паролем и USB-токеном это хорошо. Желательно этот "крыптоконтейнера" держать на отсоеденяемом USB.

Как вы защищаете расшифрованы в память компа крыптоконтейнер от ptrace?

И при взломе крыптоконтейнера украдут ВСЕ пароли.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

40. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +5 +/
Сообщение от Аноним (33), 23-Фев-21, 11:00 
Это универсальный вопрос.

Такой же вопрос можно задать и вам, а что если против вас применяется атаки по анализу памяти и иные уязвимости? Тогда вы не будете в принципе использовать пароли?

Наличие рисков не должно провоцировать пользователя "опускать руки" и перестать защищаться.
Или будете на бумажке рядом с компьютером хранить все длинные 50-60-ти символьные пароли, вводя их по 30 минут каждый, перепроверяя каждый раз введённый символ? Ну тут рисков ещё больше. Особенно если против вас будут работать конкурирующие фирмы, шпионаж и тп.

А если у вас используется FDE, вы будете 256-битные и 512-битные ключи хранить распечатанными листингами на A4? Ну и так далее. И это хорошо, если ваши ключи состоят из 0-9, a-z, A-Z, !@#$%^&*()_+. А как будете работать с иными символами?

Наличие рисков не должно провоцировать пользователя "опускать руки" и перестать защищаться и использовать спец. средства.

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (70), 23-Фев-21, 17:52 
Даже стесняюсь задать вопрос. А каким порядком денег ты вертишь в месяц с таким уровнем безопасности?
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +2 +/
Сообщение от плуто (?), 24-Фев-21, 12:00 
> Даже стесняюсь задать вопрос.

а причём здесь деньги? хранить можно и сканы простых документов...
фоточки, которые вам дороги... и всё прочее... или типа если без денег то и флэшку нельзя зашифровать?

> с таким уровнем безопасности?

с каким таким? очень примитивный уровень безопасности на самом деле, очень простой, но очень эффективный. а те, кто ворочуют миллиардами у них многофакторные системы.

> Даже стесняюсь задать вопрос.

не стеснейся, товарищ майор или кто ты там по званию... если тусуешься на опеннете, то сам должен быть в курсе новостей/технологий/методик... косящих под дурaчкoв тут видно за километр...

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +2 +/
Сообщение от плуто (?), 24-Фев-21, 12:18 
кенесары передавай привет )
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

24. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –2 +/
Сообщение от An O Nim (?), 23-Фев-21, 09:44 
Есть одноразовые пароли роботов. Бывает много паролей и пароль никто из людей не знает. Так делают и это нужно.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

25. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +4 +/
Сообщение от anon11 (?), 23-Фев-21, 09:49 
> Хранить на компе в текстовом файле не предлагать.

прогресс ушёл далеко вперёд...

https://www.keepassx.org/

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

36. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (35), 23-Фев-21, 10:47 
> прогресс ушёл далеко вперёд...
> https://www.keepassx.org

Консервативен. Бумажке в закрытом сейфе верю больше.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +9 +/
Сообщение от Аноним (-), 23-Фев-21, 11:10 
> Бумажке в закрытом сейфе верю больше.

Если ваша информация действительно важная и если эти пароли будут ещё кому-то интересны кроме вас (например спецам), то все эти ваши сейфы ни от чего не спасут. Вот вам пример:


«У одного из них руки были в белых медицинских, резиновых перчатках, он достал динамо-машину и поставил на стол, канцелярским ножом зачистил два провода, сказал мне, чтобы я оттопырил большой палец ноги. Другой потрогал мне на шее пульс рукой, в дальнейшем он делал это не раз, он контролировал мое состояние. Он удивился, что пульс спокойный и у меня нет волнения, — это было оттого, что я вначале не понимал происходящее.

Затем [человек] в перчатках стал крутить ручку „динамо-машины“. Ток пошел до колен, у меня стали сокращаться мышцы икровые у ног, меня охватила паралитическая боль, я стал кричать, начал биться спиной и головой о стену, между голым телом и каменной стеной они подложили куртку. Все это продолжалось примерно 10 секунд, но во время пытки мне это показалось вечностью. <…>

«С меня сняли носки, стянули штаны и трусы до колен. На голову надели плотно прилегающий убор типа подшлемника и застегнули под подбородком. Конвойный обмотал большие пальцы моих ног проводами. В рот пытались засунуть кляп, но я не открыл его, потому кляп примотали скотчем. В прошлый раз от кляпа обкололось много зубов. В процессе борьбы мы почти не говорили. Когда меня перестали бить по лицу и в живот, меня ударили током».

Ну как, нравится? Вот ваши сейфы... всё это до поры, до времени... Так что лучше уж зашифрованный котейнер, который (по крайней мере) сразу же вас не дискредитирует и не сдаст со всеми потрохами, чем ваш чистый плэйнтекст на вашей бумажке, где все данные будут вот на блюдечке выложены.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от YetAnotherOnanym (ok), 23-Фев-21, 17:18 
Как будто мудрёные криптоконтейнеры на USB-носителях в такой ситуации помогут.
> В рот пытались засунуть кляп, но я не открыл его

Как будто для таких людей это препятствие.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +5 +/
Сообщение от Аноним (-), 23-Фев-21, 17:45 
> Как будто мудрёные криптоконтейнеры на
> USB-носителях в такой ситуации помогут.

Если допустить, что вам в принципе могут принести ущерб, то - безусловно. Но на практике мы имеем две разные ситуации:

Первая - 1) Вы имеете скрытый криптоконтейнер, так называемое plausible deniability, то бишь шифрование, само использование которого нельзя доказать. Вообще нет ничего, повода даже нет никакого. Вообще ничего нет. Очень развиты подобные подходы к шифрованию в Великобритании, где есть законы против шифрования. Или стеганография, например (учётки/пароли вы криптуете в музыкальных медиа-файлах или в видео медиа-файлах).

Вторая - 2) Компроментирующая вас информация в чистом виде - на бумажке, в записной книжке/блокноте или где угодно в тетрадке в сейфе, который просто вскроют, что будет поводом для дальнейших "мероприятий". Шанс "приключений" в этом случае у вас многократно возрастает. Возьмут вас с вашими записями из сейфа, а там "Навальный" - "номер телефона такой-то", "Ходорковский" "номер телефона такой-то", "контакт из НАТО" "номер телефона такой-то", "учётная запись почты для связи с китайскими военными" "пароль такой-то", "рецепт лекарства вечной молодости" "формула такая-то", "схема вечного двигателя"... И привет. Вы логику поняли, да?

Скрытая информация априори лучше явной.

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (77), 24-Фев-21, 05:26 
– С позволения Вашего Величества, – сказал Валет, – я этого письма не писал, и они этого не докажут. Там нет подписи.
– Тем хуже, – сказал Король. – Значит, ты что-то дурное задумал, а не то подписался бы, как все честные люди.
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (79), 24-Фев-21, 10:37 
Можете подписываться под чем угодно. Это и будет поводом для "дальнейшей" специфической работы с вами. А тех, у кого ничего нет - ну если отвечать вам в вашем же духе - то есть призказкой на присказку, то как известно:

На нет и суда нет. Да? На нет и суда нет.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –1 +/
Сообщение от Аноним (21), 23-Фев-21, 09:35 
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.

– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?

Нет, – ответил мастер Инь, – это словарный пароль.

– Но такого слова нет в словарях...

– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.

– А пароль "Pft,bcm" подойдёт?

– Вряд ли. Он тоже словарный.

– Но как же? Это же...

– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.

– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

45. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –1 +/
Сообщение от Аноним (57), 23-Фев-21, 11:20 
+15 баллов лояльности.
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +3 +/
Сообщение от Anonumka (?), 23-Фев-21, 11:40 
Знатно пoдлuзнул. Молодчина.
Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним84701 (ok), 23-Фев-21, 14:26 
> Что-то в духе:
> vy`2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw`-Ozj(|XTa+TmC;gl

*реально пользующиеся генерируемыми паролями скептично смотрят на автора комментария, хорошо представляя себе все "прелести" ввода в планшете или телефоне*

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

60. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от пох. (?), 23-Фев-21, 16:04 
как будто у тебя в телефоне какой-то другой copy/paste?

Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.

Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним84701 (ok), 23-Фев-21, 16:22 
> как будто у тебя в телефоне какой-то другой copy/paste?
> Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.
> Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!

Откуда копипастить, если, цитирую "криптоконтейнер" и  "без третьих лиц и ресурсов"?
Тем более, что-то куда-то подключать для введения пароля одноразовой учетки всяких сервисов или того же wifi пароля ... особенно к какому-нибудь FireStick (а стандартный ввод там еще более у*бищен -- стрелочками выбираются буковки виртуальной клавиатуры)

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от пох. (?), 23-Фев-21, 21:53 
> Откуда копипастить, если, цитирую "криптоконтейнер" и  "без третьих лиц и ресурсов"?

а я знай?

Это у любителя "генерируемых паролей" спрашивай, откуда он копипастит свой любимый
> vy`2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw`-Ozj(|XTa+TmC;gl

- но руками его набрать ты не сможешь ни на чем. Где-нибудь да опечатаешься. Все пять раз, или сколько там надо для блокировки учетки ;-)

Вот так макаки и сводят всю безопастность к х-ю, все пароли клиртекстом в клипборде.

А я за свой 123465 совершенно спокоен.

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –1 +/
Сообщение от Аноним (78), 24-Фев-21, 09:46 
> 123465

о! да тут у нас клиент мамкиных хакеров, которые пишут самопальные брутеры в одном потоке, перебирая всевозможные комбинации цифр.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (20), 23-Фев-21, 09:29 
Чем сабж лучше/хуже cracklib ?

Классический путь:
Собираем pam и pambase с поддержкой cracklib
Устанавлеваем словарь слабых паролей в /usr/share/dict/...
Настраиваем требуемую сложность пароля в /etc/security/pwquality.conf
В /etc/pam.d/ добавляем использование pam_cracklib.so

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +3 +/
Сообщение от solardiz (ok), 23-Фев-21, 17:15 
passwdqc лучше CrackLib, в частности, тем что он хорошо работает и без внешних файлов и его эффективность была подтверждена тестированием на реальных (не) подобранных паролях (см. ссылки из текста новости). По моему опыту, CrackLib и pam_cracklib работали плоховато, что собственно и послужило началу разработки passwdqc в 2000 году. Насколько я знаю, с тех пор CrackLib не развивался, а в pam_cracklib лишь вносились небольшие изменения по инициативе дистрибутивов. Кроме эффективности, есть еще отличия по качеству кода и производительности. К сожалению, CrackLib и pam_cracklib не были включены в исследование от 2013 года (две из ссылок из новости), несмотря на мой совет автору исследования их туда включить, поэтому независимых численных результатов у нас сейчас нет.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (57), 23-Фев-21, 09:54 
>Подобная проверка выбираемых пользователями паролей по известным утечкам рекомендуется NIST. А для проекта Openwall это потенциальная возможность финансирования разработки passwdqc (и не только) через продажу готовых фильтров, при этом не ограничивая пользователей в возможности создавать фильтры самостоятельно используя выпущенную под свободной лицензией программу pwqfilter.
>Например, создание кукушкиного фильтра с коэффициентом загрузки 98% из файла pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB (22 GB) и содержащего более 613 миллионов строк занимает около 8 минут на процессоре Core i7-4770K. Получающийся фильтр занимает 2.3 GiB (2.5 GB) и имеет уровень ложных срабатываний около 1 на 1.15 миллиардов.

Кто будет покупать ваши фильтры, если можно свои создать?

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Michael Shigorinemail (ok), 23-Фев-21, 10:04 
Обдумайте внимательно свой завтрак, с вероятностью не менее 98% получите достаточный ответ.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от solardiz (ok), 23-Фев-21, 16:15 
> Кто будет покупать ваши фильтры, если можно свои создать?

Возможно, и не будут. А возможно найдутся организации, где сотрудникам (например, администраторам ИБ) запросить такую покупку проще, быстрее, надежнее и корректнее (например, с точки зрения их специализации, должностных обязанностей и ответственности за результат). С учетом стоимости времени квалифицированного сотрудника (включая налоги на зарплату), не отвлекать его на повторение нашей работы косвенно еще и дешевле для работодателя. А еще это возможность для такого сотрудника поддержать наш Open Source проект ничего не тратя из своего кармана. Выгодно всем.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

73. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (73), 23-Фев-21, 21:24 
>А еще это возможность для такого сотрудника поддержать наш Open Source проект, ничего не тратя из своего кармана. Выгодно всем.

Ну работодателю не выгодно. Работодателю выгодно

1. наладить у себя инфраструктуру для построения базы. Чтобы он сам решал, что в неё попадёт. Если это можно сделать на обычном ноутбуке, то выбор очевиден.

2. если он хочет вас поддержать, кинуть вам денег можно, проведя это как услугу по профессиональной настройке инфраструктуры на аппаратуре клиента посредством удаленного SSH-доступа.

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Michael Shigorinemail (ok), 23-Фев-21, 10:00 
Спасибо!

http://altlinux.org/upstream#совместно_с_Openwall :-)

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от solardiz (ok), 23-Фев-21, 16:36 
Кстати, жду помощи от кого-нибудь из ALT по issues 3 и 4 тут: https://github.com/openwall/passwdqc/issues (они связаны с добавлением поддержки русскоязычных сообщений в 1.4.0+, которая пришла из ALT и я хочу чтобы и далее поддерживалась ALT'ом). Спасибо!
Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Michael Shigorinemail (ok), 25-Фев-21, 21:23 
> Кстати, жду помощи от кого-нибудь из ALT по issues 3 и 4
> тут: https://github.com/openwall/passwdqc/issues

Гм, по #3 у меня:

- make update_pot update_po ничего не делают (хотя будто должны);
- xgettext -o po/passwdqc.pot --join-existing *.c лишь дату
  в pot-файлике обновляет, но не добавившиеся строки;
- с -a ругается уже на не-ASCII в passwdqc_filter.c:151.

Отправил почтой патч с добавлением новых строк вручную -- давно не брал в руки gettext, оказывается.  Принимать ли без починки обвязки -- смотрите сами.

> (они связаны с добавлением поддержки русскоязычных сообщений в 1.4.0+,
> которая пришла из ALT и я хочу чтобы и далее поддерживалась ALT'ом).

Резонно.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (34), 23-Фев-21, 10:43 
Мой пароль "99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга." Можно его подобрать?)
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (35), 23-Фев-21, 10:51 
Подобрать нет. А если пару лет не использовать то можно и забыть.
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +2 +/
Сообщение от Аноним (34), 23-Фев-21, 11:04 
За несколько лет неиспользования пароля его можно легко забыть. И тут не важно он 8 символов или это парольная фраза из 20 слов.
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от пох. (?), 23-Фев-21, 16:06 
Пару дней, вы хотели сказать?

Пару лет - это если у вас вообще только один пароль от всего.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

44. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +3 +/
Сообщение от Аноним (57), 23-Фев-21, 11:18 
Можно: теперь он словарный.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

55. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +2 +/
Сообщение от Аноним (-), 23-Фев-21, 12:08 
> 99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга.

В ближайшие несколько десятков лет - нет. А что будет после Post-Quantum Cryptography (PQCrypto) и какие технологии появится через ~1000 лет никто не знает.

https://www.whonix.org/wiki/PQCrypto

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

39. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от user90 (?), 23-Фев-21, 10:55 
Всегда pwgen хватало))
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (34), 23-Фев-21, 11:17 
Причём тут обычная утилита, которая выдаёт случайную последовательность символов? Какое она имеет отношение к теме?
Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от user90 (?), 23-Фев-21, 11:41 
При том, что на ней можно и остановиться, а не городить ЭТО.
Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +8 +/
Сообщение от Аноним (-), 23-Фев-21, 12:04 
> Какое она имеет отношение к теме?

Кажется, что вещи разные, но на самом деле, зная, что устойчивость парольная начинается от Estimated Brute-force Time (Classical Computing) размером ~26,405,295,715,806,668,059,525,829,264 x age Universe, то можно сразу выработать такой подход - использовать спец. утилиту и генерировать как минимум ~194 Bits of Entropy.

Что касается passwdqc, то да - это скорее комплексное решение, но, при этом, таковое решение некоторые могут посчитать избыточным, если, чисто аналитически, мы знаем, что для генерации устойчивого пароля нам требуется около/свыше 200-х бит энтропии. То есть мы можем не тратить кучу времени на все эти фильтры, бд и прочие танцы с бубнами.

То есть всё это можно трактовать с разных точек зрения. На практике ситуации разные. Да, согласен, иногда нужны и комплексные решения.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

46. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Аноним (34), 23-Фев-21, 11:20 
Пользуясь случаем, а вы парольными фразами какой длины пользуетесь?
Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +9 +/
Сообщение от Аноним (-), 23-Фев-21, 11:57 
> длины пользуетесь?

Чтобы спокойно спать, энтропия должна быть выше 200-х бит (на ближайшие несколько десятков лет):
В зависимости от корреляции с энтропией:

"be or not to be that is the question"

Казалось бы целых 36 символов! Но это 132.8 бит.

Та же строка, но со спецсимволами, уже 148.7 бит:

"b3 0r n0t t0 b3 th4t !s th3 qu3st!0n"

Ещё немного и парольную фразу превращаем в:

"be or not to be that is the question am i right???"

Сколько это у нас? 220.1! Всё как Эдвард Сноуден завещал. Учитывая, что сама парольная фраза очень проста для запоминания - её можно использовать уже как мастер-фразу для парольных менеджеров, где генеровать устойчивые случайные, каждый раз уникальные, цепочки:

O6g<fhHd;^:KKU"7>|ez]FU2+K1p~[4{On-%jbQ8wgz2n4_drLjJb"]6>7VZ - 316.5
g\<[|u5@w_EZP`[=Az,``[jP*25s]Sx.mS2;x?X9!WE&'VM->wzMR-(mmm!g - 305.2
IHmcP<Vbfa^]*tR?K,;{7.b0UL4l"-W#4b3*1!D4=t+Z&{w|a&+?-@7<\RG* - 304.2

Ну и так далее. Сами понимаете никакое АНБ/ЦРУ/ФБР/ФБС/МИ6 тут близко не пройдёт со всеми своими квантовыми супер-компьютерами.

А вообще да, интересно, что Солар на счёт всего этого думает.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +6 +/
Сообщение от solardiz (ok), 23-Фев-21, 21:38 
> А вообще да, интересно, что Солар на счёт всего этого думает.

Одним словом: путаница.

Путаница в том что такое энтропия. Это свойство распределения случайной величины, а не одного ее значения.

Путаница в отношении энтропии к сложности подбора пароля. Энтропия по Шеннону подходит для такой оценки только когда распределение равномерное, что для придумываемых пользователем фраз не соблюдается. Будет правильно сказать, например, что пароль, выданный pwqgen соответствует распределению с энтропией 47 бит по Шеннону и обеспечивает соответствующий уровень защиты от подбора (пока он не оказался как-либо скомпрометирован). Но будет ошибочно сказать что в "be or not to be that is the question" сколько-то бит энтропии, не зная как именно эта фраза была выбрана (какие еще были возможны варианты и с какой вероятностью они могли быть выбраны). "132.8 бит" получены в каком-то предположении об этом, которое в данном случае, вероятно, ошибочно. Также, ошибочно считать что эти биты, сколько бы их ни было, обеспечивают защиту от подбора. Например, если мы с вероятностью 1/2 выбираем пароль 123456 (энтропия которого ноль, так как других вариантов не было), а с вероятностью 1/2 запускаем идеальный генератор паролей с высокой энтропией, то итоговый поток паролей (половина которых - 123456) имеет высокую энтропию, но каждый второй пароль подбирается с первой попытки.

Путаница в моделях угроз. Для типичных паролей к веб-сайтам и т.п. важнее всего их уникальность, а не то удастся ли их подобрать из хеша после утечки. Конечно, всё равно используя менеджер паролей можно кодировать туда и 300 бит, но хватит и гораздо меньшего. А реально сложными должны быть только парольные фразы, используемые для шифрования чего-либо (в том числе "мастер-фраза для парольных менеджеров", это верно), а не лишь для контроля доступа.

Возможно, путаница в (подразумеваемом) назначении passwdqc. Оно в первую очередь в снижении доли и скорости успешного подбора паролей в масштабе организации. При этом успешный подбор паролей без доступа к их хешам (то есть попытки подсоединиться по сети) удается практически исключить, а с доступом к хешам (в случае их утечки) снизить и замедлить в разы или на порядки (в зависимости от типа и настроек хешей и настроек passwdqc). Для конечного пользователя же наиболее полезна утилита pwqgen (и аналогичная выдача случайных фраз в pam_passwdqc и программах под Windows), а также, в случае применения passwdqc в организации или на системе, выдача описания требований к паролям (в pam_passwdqc) и причины отказа пропустить конкретный пароль (в pam_passwdqc, libpasswdqc и программах).

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  –3 +/
Сообщение от Аноним (50), 23-Фев-21, 11:40 
созданными пальцем правой ноги пароли заведомо надёжные и крайне секьюрные. Читал про админа который генерил пароли пяткой, а тут под момент начальство входит.) По-моему даже отгул получил.)
Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +1 +/
Сообщение от Аноним (73), 23-Фев-21, 21:28 
P.S. Как LKRG поживает? Скоро ли в дистрах?
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Michael Shigorinemail (ok), 25-Фев-21, 21:28 
> P.S. Как LKRG поживает? Скоро ли в дистрах?

http://packages.altlinux.org/kernel-modules-lkrg-std-def

Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров"  +/
Сообщение от Fractal cucumber (ok), 11-Мрт-21, 13:20 
> миллиард миллиардов

genius, bld.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру