| |
| 2.12, Аноним (12), 06:43, 23/02/2021 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Во-первых, ты хочешь жить в антиутопии?
Во-вторых, её как раз-таки и развивают.
| | |
| 2.14, Аноним (-), 09:01, 23/02/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
Биометрия легко воруется, как отрубить палец. Кроме того на этом уровне технологии легко подделывается. А пароль забыл и все.
| | |
| 2.48, YetAnotherOnanym (ok), 11:26, 23/02/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Не забудь задать этот вопрос, когда в дивном грядущем мире с твоей карточки снимут деньги просто подойдя к банкомату в пластическом гриме с твоим лицом, которое возьмут с твоей фотки в фб или вк.
| | |
| |
| 3.57, Аноним (57), 12:24, 23/02/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
С такой сетью камер его можно автоматически вести до места, где он снимет грим (а если он грим на снимет, то у первого полицейского на его пути возникнут вопросы), и после навесить ему обвинений не только в мошенничестве и воровстве, но и в невыполнении обязательств по биометрической идентификации себя на улицах и в неавторизованном доступе и в использовании заведомо ложных биометрических данных и в самзванстве и ещё до кучи специально придуманных законов, чтобы хватило на 100 пожизненных или 1 смертную казнь.
| | |
| |
| 4.63, YetAnotherOnanym (ok), 16:20, 23/02/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
Пффф... Делов-то - доехать (на каршеринговой машине, за которую тоже заплатишь ты) до неблагополучного района, где камеры вроде бы должны быть, но разбиты местной шпаной. Тачка там же пропадёт, и отвечать за неё тоже придётся тебе.
Не забывай, что киберпанк - это не только хай-тек, но и лоу-лайф.
| | |
|
|
| 2.56, Vitto74 (ok), 12:12, 23/02/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
 А как давно ты менял отпечатки пальцев, ДНК или рисунок радужной оболочки?
| | |
|
| 1.15, Аноним (15), 09:15, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
> набора инструментов для контроля
> сложности паролей и парольных фраз
Здорово. А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети. В последнее время перешёл на анализ силы паролей в спец. программах. Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях. Что-то в духе:
box~$
box~$ pwgen -ys 60 1
vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl
box~$
box~$
Проверяю:
Length: 60
Strength: Very Strong - More often than not, this level of security is overkill.
Entropy: 324.3 bits
Charset Size: 94 characters
324 бита более чем.
| | |
| |
| 2.16, RomanCh (ok), 09:21, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
 > А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети.
Так вот откуда появляются файлы "pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB"...
| | |
| |
| |
| 4.31, RomanCh (ok), 10:19, 23/02/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А вот и невероятно серьёзные эксперты 9999lvl, которые от увиденных знакомых слов в статье начали "просвещать" всех остальных. Но в исходном комментарии написано "проверка паролей" а не хешей. И да, базу хешей для pwned-passwords-ntlm-ordered-by-hash-v7.txt можно получить так же и из открытых паролей присылаемых "на проверку". Ну и наконец - расслабтесь, не только лишь все мои комментарии написаны серьёзно.
PS https://ru.wikipedia.org/wiki/%D0%A1%D0%B0%D1%80
| | |
| |
| 5.33, Аноним (33), 10:40, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> можно получить так же и из открытых паролей присылаемых "на проверку"
Так можно ничего никуда не присылать, а энтропию высчитывать локально. Благо любой парольный менеджер сейчас определяет всё в автоматическом режиме. Поэтому можно сразу "прицениться" и определить силу парольных фраз и энтропии. Парольные фразы хороши когда учётных записей 2-3 и их легко держать в памяти. Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.
> https://ru.wikipedia.org/wiki/Сарказм
Ок. Я не понял, что ваша реплика была саркастическая.
| | |
| |
| 6.47, Аноним (57), 11:22, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.
Авторизация по публичным ключам же.
| | |
| 6.52, RomanCh (ok), 11:55, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> можно получить так же и из открытых паролей присылаемых "на проверку"
> Так можно ничего никуда не присылать, а энтропию высчитывать локально
Да что же такое-то... Чукча во истину не читатель что-ли?
Ведь мой комментарий исходно относился к словам некоего анонима (вас?) о том что он ранее отправлял свои *пароли* для проверки каким-то сервисам в интернет. Из чего я сделал саркастическое замечание с намёком на то, что все эти пароли тут же можно считать скомпрометированными. А у вас понеслось - энтропия, хеши...
> От маршрутизаторов, машин, виртуалок, криптоконтейнеров ... , то без генерируемых устойчивых паролей не обойтись.
Да вот тут уж действительно авторизация/дешифрование по ключам лучше подошли бы.
| | |
|
|
|
| 3.18, Аноним (15), 09:28, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вас должно интересовать Future-proof Safety и Post-quantum Secure.
Ну и вообще всё почитайте ради образовательных целей ради.
| | |
| |
| 4.58, анон (?), 13:16, 23/02/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
При шифровании на решетках останутся те же пароли, а твои кпк уже их не осилят, максимум, где они понадобятся, так это расшифровать изъятые данные, или зашифрованные в облаках.
| | |
|
|
| 2.20, Аноним (20), 09:35, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях.
> pwgen -sy 60 1
Как его запомнить?
Хранить на компе в текстовом файле не предлагать.
| | |
| |
| 3.22, Аноним (15), 09:41, 23/02/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Как его запомнить?
Запоминать не надо. Все пароли и учётные записи я храню в криптоконтейнере, к которому осуществляется доступ по мастер паролю + usb токену.
| | |
| |
| 4.32, Паролик (?), 10:38, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
А потом потерял USB token или нужно срочно войти на определённый ресурс, а под рукой только смарт без возможности подключения USB token и все - приплыли.
| | |
| |
| 5.37, Аноним (33), 10:50, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А потом потерял
Ну потерял так потерял. Да и восстановил из резервной копии, которая сама по себе бесполезна без мастер фразы. Критически важные данные резервирую всегда на нескольких физически отдельных друг от друга носителях. Кто-то использует закачку зашифрованных криптоконтейнеров в облака - я лично обхожусь без третьих лиц и ресурсов.
| | |
|
| 4.35, Аноним (35), 10:44, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Защита крыптоконтейнера паролем и USB-токеном это хорошо. Желательно этот "крыптоконтейнера" держать на отсоеденяемом USB.
Как вы защищаете расшифрованы в память компа крыптоконтейнер от ptrace?
И при взломе крыптоконтейнера украдут ВСЕ пароли.
| | |
| |
| 5.40, Аноним (33), 11:00, 23/02/2021 [^] [^^] [^^^] [ответить] | +5 +/– | Это универсальный вопрос Такой же вопрос можно задать и вам, а что если против ... большой текст свёрнут, показать | | |
| |
| 6.70, Аноним (70), 17:52, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Даже стесняюсь задать вопрос. А каким порядком денег ты вертишь в месяц с таким уровнем безопасности?
| | |
| |
| 7.80, плуто (?), 12:00, 24/02/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Даже стесняюсь задать вопрос.
а причём здесь деньги? хранить можно и сканы простых документов...
фоточки, которые вам дороги... и всё прочее... или типа если без денег то и флэшку нельзя зашифровать?
> с таким уровнем безопасности?
с каким таким? очень примитивный уровень безопасности на самом деле, очень простой, но очень эффективный. а те, кто ворочуют миллиардами у них многофакторные системы.
> Даже стесняюсь задать вопрос.
не стеснейся, товарищ майор или кто ты там по званию... если тусуешься на опеннете, то сам должен быть в курсе новостей/технологий/методик... косящих под дурaчкoв тут видно за километр...
| | |
|
|
|
|
| 3.24, An O Nim (?), 09:44, 23/02/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Есть одноразовые пароли роботов. Бывает много паролей и пароль никто из людей не знает. Так делают и это нужно.
| | |
| |
| |
| 5.42, Аноним (-), 11:10, 23/02/2021 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> Бумажке в закрытом сейфе верю больше.
Если ваша информация действительно важная и если эти пароли будут ещё кому-то интересны кроме вас (например спецам), то все эти ваши сейфы ни от чего не спасут. Вот вам пример:
«У одного из них руки были в белых медицинских, резиновых перчатках, он достал динамо-машину и поставил на стол, канцелярским ножом зачистил два провода, сказал мне, чтобы я оттопырил большой палец ноги. Другой потрогал мне на шее пульс рукой, в дальнейшем он делал это не раз, он контролировал мое состояние. Он удивился, что пульс спокойный и у меня нет волнения, — это было оттого, что я вначале не понимал происходящее.
Затем [человек] в перчатках стал крутить ручку „динамо-машины“. Ток пошел до колен, у меня стали сокращаться мышцы икровые у ног, меня охватила паралитическая боль, я стал кричать, начал биться спиной и головой о стену, между голым телом и каменной стеной они подложили куртку. Все это продолжалось примерно 10 секунд, но во время пытки мне это показалось вечностью. <…>
«С меня сняли носки, стянули штаны и трусы до колен. На голову надели плотно прилегающий убор типа подшлемника и застегнули под подбородком. Конвойный обмотал большие пальцы моих ног проводами. В рот пытались засунуть кляп, но я не открыл его, потому кляп примотали скотчем. В прошлый раз от кляпа обкололось много зубов. В процессе борьбы мы почти не говорили. Когда меня перестали бить по лицу и в живот, меня ударили током».
Ну как, нравится? Вот ваши сейфы... всё это до поры, до времени... Так что лучше уж зашифрованный котейнер, который (по крайней мере) сразу же вас не дискредитирует и не сдаст со всеми потрохами, чем ваш чистый плэйнтекст на вашей бумажке, где все данные будут вот на блюдечке выложены.
| | |
| |
| 6.67, YetAnotherOnanym (ok), 17:18, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
Как будто мудрёные криптоконтейнеры на USB-носителях в такой ситуации помогут.
> В рот пытались засунуть кляп, но я не открыл его
Как будто для таких людей это препятствие.
| | |
| |
| 7.69, Аноним (-), 17:45, 23/02/2021 [^] [^^] [^^^] [ответить] | +5 +/– | Если допустить, что вам в принципе могут принести ущерб, то - безусловно Но на ... большой текст свёрнут, показать | | |
| |
| |
| 9.79, Аноним (79), 10:37, 24/02/2021 [^] [^^] [^^^] [ответить] | +/– | Можете подписываться под чем угодно Это и будет поводом для дальнейшей специф... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.21, Аноним (21), 09:35, 23/02/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации че... большой текст свёрнут, показать | | |
| 2.59, Аноним84701 (ok), 14:26, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Что-то в духе:
> vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl
*реально пользующиеся генерируемыми паролями скептично смотрят на автора комментария, хорошо представляя себе все "прелести" ввода в планшете или телефоне*
| | |
| |
| 3.60, пох. (?), 16:04, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
как будто у тебя в телефоне какой-то другой copy/paste?
Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.
Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!
| | |
| |
| 4.64, Аноним84701 (ok), 16:22, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– |
> как будто у тебя в телефоне какой-то другой copy/paste?
> Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.
> Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!
Откуда копипастить, если, цитирую "криптоконтейнер" и "без третьих лиц и ресурсов"?
Тем более, что-то куда-то подключать для введения пароля одноразовой учетки всяких сервисов или того же wifi пароля ... особенно к какому-нибудь FireStick (а стандартный ввод там еще более у*бищен -- стрелочками выбираются буковки виртуальной клавиатуры)
| | |
| |
| 5.76, пох. (?), 21:53, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Откуда копипастить, если, цитирую "криптоконтейнер" и "без третьих лиц и ресурсов"?
а я знай?
Это у любителя "генерируемых паролей" спрашивай, откуда он копипастит свой любимый
> vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl
- но руками его набрать ты не сможешь ни на чем. Где-нибудь да опечатаешься. Все пять раз, или сколько там надо для блокировки учетки ;-)
Вот так макаки и сводят всю безопастность к х-ю, все пароли клиртекстом в клипборде.
А я за свой 123465 совершенно спокоен.
| | |
| |
| 6.78, Аноним (78), 09:46, 24/02/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> 123465
о! да тут у нас клиент мамкиных хакеров, которые пишут самопальные брутеры в одном потоке, перебирая всевозможные комбинации цифр.
| | |
|
|
|
|
|
| 1.19, Аноним (20), 09:29, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Чем сабж лучше/хуже cracklib ?
Классический путь:
Собираем pam и pambase с поддержкой cracklib
Устанавлеваем словарь слабых паролей в /usr/share/dict/...
Настраиваем требуемую сложность пароля в /etc/security/pwquality.conf
В /etc/pam.d/ добавляем использование pam_cracklib.so
| | |
| |
| 2.66, solardiz (ok), 17:15, 23/02/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
 passwdqc лучше CrackLib, в частности, тем что он хорошо работает и без внешних файлов и его эффективность была подтверждена тестированием на реальных (не) подобранных паролях (см. ссылки из текста новости). По моему опыту, CrackLib и pam_cracklib работали плоховато, что собственно и послужило началу разработки passwdqc в 2000 году. Насколько я знаю, с тех пор CrackLib не развивался, а в pam_cracklib лишь вносились небольшие изменения по инициативе дистрибутивов. Кроме эффективности, есть еще отличия по качеству кода и производительности. К сожалению, CrackLib и pam_cracklib не были включены в исследование от 2013 года (две из ссылок из новости), несмотря на мой совет автору исследования их туда включить, поэтому независимых численных результатов у нас сейчас нет.
| | |
|
| 1.26, Аноним (57), 09:54, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Подобная проверка выбираемых пользователями паролей по известным утечкам рекомендуется NIST. А для проекта Openwall это потенциальная возможность финансирования разработки passwdqc (и не только) через продажу готовых фильтров, при этом не ограничивая пользователей в возможности создавать фильтры самостоятельно используя выпущенную под свободной лицензией программу pwqfilter.
>Например, создание кукушкиного фильтра с коэффициентом загрузки 98% из файла pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB (22 GB) и содержащего более 613 миллионов строк занимает около 8 минут на процессоре Core i7-4770K. Получающийся фильтр занимает 2.3 GiB (2.5 GB) и имеет уровень ложных срабатываний около 1 на 1.15 миллиардов.
Кто будет покупать ваши фильтры, если можно свои создать?
| | |
| |
| 2.62, solardiz (ok), 16:15, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Кто будет покупать ваши фильтры, если можно свои создать?
Возможно, и не будут. А возможно найдутся организации, где сотрудникам (например, администраторам ИБ) запросить такую покупку проще, быстрее, надежнее и корректнее (например, с точки зрения их специализации, должностных обязанностей и ответственности за результат). С учетом стоимости времени квалифицированного сотрудника (включая налоги на зарплату), не отвлекать его на повторение нашей работы косвенно еще и дешевле для работодателя. А еще это возможность для такого сотрудника поддержать наш Open Source проект ничего не тратя из своего кармана. Выгодно всем.
| | |
| |
| 3.73, Аноним (73), 21:24, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>А еще это возможность для такого сотрудника поддержать наш Open Source проект, ничего не тратя из своего кармана. Выгодно всем.
Ну работодателю не выгодно. Работодателю выгодно
1. наладить у себя инфраструктуру для построения базы. Чтобы он сам решал, что в неё попадёт. Если это можно сделать на обычном ноутбуке, то выбор очевиден.
2. если он хочет вас поддержать, кинуть вам денег можно, проведя это как услугу по профессиональной настройке инфраструктуры на аппаратуре клиента посредством удаленного SSH-доступа.
| | |
|
|
| |
| |
| 3.83, Michael Shigorin (ok), 21:23, 25/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Кстати, жду помощи от кого-нибудь из ALT по issues 3 и 4
> тут: https://github.com/openwall/passwdqc/issues
Гм, по #3 у меня:
- make update_pot update_po ничего не делают (хотя будто должны);
- xgettext -o po/passwdqc.pot --join-existing *.c лишь дату
в pot-файлике обновляет, но не добавившиеся строки;
- с -a ругается уже на не-ASCII в passwdqc_filter.c:151.
Отправил почтой патч с добавлением новых строк вручную -- давно не брал в руки gettext, оказывается. Принимать ли без починки обвязки -- смотрите сами.
> (они связаны с добавлением поддержки русскоязычных сообщений в 1.4.0+,
> которая пришла из ALT и я хочу чтобы и далее поддерживалась ALT'ом).
Резонно.
| | |
|
|
| 1.34, Аноним (34), 10:43, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Мой пароль "99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга." Можно его подобрать?)
| | |
| |
| 2.38, Аноним (35), 10:51, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Подобрать нет. А если пару лет не использовать то можно и забыть.
| | |
| |
| 3.41, Аноним (34), 11:04, 23/02/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
За несколько лет неиспользования пароля его можно легко забыть. И тут не важно он 8 символов или это парольная фраза из 20 слов.
| | |
| 3.61, пох. (?), 16:06, 23/02/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Пару дней, вы хотели сказать?
Пару лет - это если у вас вообще только один пароль от всего.
| | |
|
| 2.55, Аноним (-), 12:08, 23/02/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> 99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга.
В ближайшие несколько десятков лет - нет. А что будет после Post-Quantum Cryptography (PQCrypto) и какие технологии появится через ~1000 лет никто не знает.
https://www.whonix.org/wiki/PQCrypto
| | |
|
| |
| 2.43, Аноним (34), 11:17, 23/02/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Причём тут обычная утилита, которая выдаёт случайную последовательность символов? Какое она имеет отношение к теме?
| | |
| |
| 3.54, Аноним (-), 12:04, 23/02/2021 [^] [^^] [^^^] [ответить]
| +8 +/– | |
> Какое она имеет отношение к теме?
Кажется, что вещи разные, но на самом деле, зная, что устойчивость парольная начинается от Estimated Brute-force Time (Classical Computing) размером ~26,405,295,715,806,668,059,525,829,264 x age Universe, то можно сразу выработать такой подход - использовать спец. утилиту и генерировать как минимум ~194 Bits of Entropy.
Что касается passwdqc, то да - это скорее комплексное решение, но, при этом, таковое решение некоторые могут посчитать избыточным, если, чисто аналитически, мы знаем, что для генерации устойчивого пароля нам требуется около/свыше 200-х бит энтропии. То есть мы можем не тратить кучу времени на все эти фильтры, бд и прочие танцы с бубнами.
То есть всё это можно трактовать с разных точек зрения. На практике ситуации разные. Да, согласен, иногда нужны и комплексные решения.
| | |
|
|
| |
| 2.53, Аноним (-), 11:57, 23/02/2021 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> длины пользуетесь?
Чтобы спокойно спать, энтропия должна быть выше 200-х бит (на ближайшие несколько десятков лет):
В зависимости от корреляции с энтропией:
"be or not to be that is the question"
Казалось бы целых 36 символов! Но это 132.8 бит.
Та же строка, но со спецсимволами, уже 148.7 бит:
"b3 0r n0t t0 b3 th4t !s th3 qu3st!0n"
Ещё немного и парольную фразу превращаем в:
"be or not to be that is the question am i right???"
Сколько это у нас? 220.1! Всё как Эдвард Сноуден завещал. Учитывая, что сама парольная фраза очень проста для запоминания - её можно использовать уже как мастер-фразу для парольных менеджеров, где генеровать устойчивые случайные, каждый раз уникальные, цепочки:
O6g<fhHd;^:KKU"7>|ez]FU2+K1p~[4{On-%jbQ8wgz2n4_drLjJb"]6>7VZ - 316.5
g\<[|u5@w_EZP'[=Az,''[jP*25s]Sx.mS2;x?X9!WE&'VM->wzMR-(mmm!g - 305.2
IHmcP<Vbfa^]*tR?K,;{7.b0UL4l"-W#4b3*1!D4=t+Z&{w|a&+?-@7<\RG* - 304.2
Ну и так далее. Сами понимаете никакое АНБ/ЦРУ/ФБР/ФБС/МИ6 тут близко не пройдёт со всеми своими квантовыми супер-компьютерами.
А вообще да, интересно, что Солар на счёт всего этого думает.
| | |
| |
| 3.75, solardiz (ok), 21:38, 23/02/2021 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> А вообще да, интересно, что Солар на счёт всего этого думает.
Одним словом: путаница.
Путаница в том что такое энтропия. Это свойство распределения случайной величины, а не одного ее значения.
Путаница в отношении энтропии к сложности подбора пароля. Энтропия по Шеннону подходит для такой оценки только когда распределение равномерное, что для придумываемых пользователем фраз не соблюдается. Будет правильно сказать, например, что пароль, выданный pwqgen соответствует распределению с энтропией 47 бит по Шеннону и обеспечивает соответствующий уровень защиты от подбора (пока он не оказался как-либо скомпрометирован). Но будет ошибочно сказать что в "be or not to be that is the question" сколько-то бит энтропии, не зная как именно эта фраза была выбрана (какие еще были возможны варианты и с какой вероятностью они могли быть выбраны). "132.8 бит" получены в каком-то предположении об этом, которое в данном случае, вероятно, ошибочно. Также, ошибочно считать что эти биты, сколько бы их ни было, обеспечивают защиту от подбора. Например, если мы с вероятностью 1/2 выбираем пароль 123456 (энтропия которого ноль, так как других вариантов не было), а с вероятностью 1/2 запускаем идеальный генератор паролей с высокой энтропией, то итоговый поток паролей (половина которых - 123456) имеет высокую энтропию, но каждый второй пароль подбирается с первой попытки.
Путаница в моделях угроз. Для типичных паролей к веб-сайтам и т.п. важнее всего их уникальность, а не то удастся ли их подобрать из хеша после утечки. Конечно, всё равно используя менеджер паролей можно кодировать туда и 300 бит, но хватит и гораздо меньшего. А реально сложными должны быть только парольные фразы, используемые для шифрования чего-либо (в том числе "мастер-фраза для парольных менеджеров", это верно), а не лишь для контроля доступа.
Возможно, путаница в (подразумеваемом) назначении passwdqc. Оно в первую очередь в снижении доли и скорости успешного подбора паролей в масштабе организации. При этом успешный подбор паролей без доступа к их хешам (то есть попытки подсоединиться по сети) удается практически исключить, а с доступом к хешам (в случае их утечки) снизить и замедлить в разы или на порядки (в зависимости от типа и настроек хешей и настроек passwdqc). Для конечного пользователя же наиболее полезна утилита pwqgen (и аналогичная выдача случайных фраз в pam_passwdqc и программах под Windows), а также, в случае применения passwdqc в организации или на системе, выдача описания требований к паролям (в pam_passwdqc) и причины отказа пропустить конкретный пароль (в pam_passwdqc, libpasswdqc и программах).
| | |
|
|
| 1.50, Аноним (50), 11:40, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
созданными пальцем правой ноги пароли заведомо надёжные и крайне секьюрные. Читал про админа который генерил пароли пяткой, а тут под момент начальство входит.) По-моему даже отгул получил.)
| | |
|
