?

Log in

No account? Create an account
Про пароли - Олег Етеревский [entries|archive|friends|userinfo]
Oleg Eterevsky

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Про пароли [10 August 2011|14:37]
Oleg Eterevsky
Сегодняший комик на xkcd про то, что считается надёжными паролями:



От себя хочу добавить, что меня бесят сервисы, которые не принимают в качестве пароля случайную комбинацию 8-и строчных букв и цифр на том основании что среди них нет заглавных букв и знаков препинания.
LinkReply

Comments:
[User Picture]From: kondratenko
2011-08-10 10:49 am (UTC)
А меня несколько напрягают сервисы, которые не позволяют знаки препинания в пароле.
(Reply) (Thread)
[User Picture]From: kondratenko
2011-08-10 10:52 am (UTC)
Кстати еще, как мне кажется, эта тема связано с далекими временами, когда имели значение только первые 8 символов пароля и вообще были серьезные ограничения на его длину.
Потом все привыкли, что хороший пароль должен быть коротким и запутанным.
(Reply) (Thread)
[User Picture]From: eterevsky
2011-08-10 11:10 am (UTC)
Хм. Когда ж такие времена были?
(Reply) (Parent) (Thread)
[User Picture]From: edwardahirsch
2011-08-10 11:41 am (UTC)

и тут я, весь такой седой

Таки были :)
(Reply) (Parent) (Thread)
[User Picture]From: eterevsky
2011-08-10 11:44 am (UTC)
По моим временам, году в 95-м уже с этим было всё в порядке.
(Reply) (Parent) (Thread)
[User Picture]From: edwardahirsch
2011-08-10 11:55 am (UTC)
В 1998 в ПОМИ /etc/shadow не было. Что уж говорить о длине. Кажется, это был старый Сан и Солярис на нём.
(Reply) (Parent) (Thread)
[User Picture]From: kondratenko
2011-08-10 11:57 am (UTC)
http://en.wikipedia.org/wiki/Password
Allowing passwords of adequate length. (Some legacy operating systems, including early versions[which?] of Unix and Windows, limited passwords to an 8 character maximum,[10][11][12][13] reducing security.)
Тяжелые времена были...
Некоторые вон до сих пор ограничивают длину пароля, судя по ссылкам.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2011-08-10 12:25 pm (UTC)
Разве пароль с four random common words не подбирается за секунды\минуты при словарной атаке?

У меня как-то давным-давно стояла задача вскрыть админский пароль на WinNT после уволившегося сисадмина.

Так вот брутфорс по хэшу по estimate занял бы дни. Но немного раздумий и экспериментов в с настройками и словарями - выдали мне пароль за _пару_секунд_ подбора. Оказалось русское слово, в английской раскладке с использованием капса.

И это с учетом того что занимался я тогда подобным первый раз в жизни, а интернета на месте не было (получил задачу, нашел и принес все нужное с собой заранее на дискете).
(Reply) (Thread)
[User Picture]From: eterevsky
2011-08-10 12:28 pm (UTC)
Дык в комике же все рассчёты есть — 4 слова, действительно взятые случайно (не придуманные, а выбранные рандомом из словаря) словарной атакой не вскрываются.

Смысл в том, все эти извращения с капсом, раскладкой и заменами добавляют считанные биты энтропии, в то время как лишние слова дают заметную защиту.
(Reply) (Parent) (Thread)
[User Picture]From: cavaler
2011-08-10 04:31 pm (UTC)
Есть ощущение, что все как-то проглядели вторую составляющую "хорошего пароля". А комикс-то, на мой взгляд, даже в большей части об этом - чтобы еще и запомнить можно было.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2011-08-16 07:13 pm (UTC)
Aah.., tnx, got it! :)

Но действительно все упирается в истинную рандомность выбора слов. Иначе пространство поиска паролей сильно сужается. :)
(Reply) (Parent) (Thread)
[User Picture]From: eterevsky
2011-08-16 07:22 pm (UTC)
Рэндом по словарю. К тому же, там только по 11 бит на слово, то есть выбор из 2000 самых распространённых слов. Так что должно быть легко запомнить.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2011-08-16 07:58 pm (UTC)
Ну да. Я про то что "самому придумывать нельзя" - это очень важное замечание. Важно на этом делать акцент. Неправильное понимание этой техники "мне тут говорили что если я придумаю (сам) 4 слова - это будет очень надежно" - может быть слабым местом.
(Reply) (Parent) (Thread)
[User Picture]From: kondratenko
2011-08-10 12:31 pm (UTC)
В том-то и комикс.
common words это одно из 2000 примерно слов, то есть около 211. Подбирается быстро. Ухищрения типа капса поднимают сложность не так сильно, ну еще по 1000 вариантов на каждое слово, 221, все равно не много.
4 таких слова это 244, то есть примерно как 7-8 случайных символов.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2011-08-16 07:17 pm (UTC)
Да, спасибо. Я сначала написал, а потом уже квадратики до конца досчитал )
Но все-таки словарная атака тут вполне возможна, если человек сам будет пытаться подбирать слова для своего пароля )
(Reply) (Parent) (Thread)
[User Picture]From: cavaler
2011-08-10 04:29 pm (UTC)
Признаться, верится с трудом, что не использовались какие-то дополнительные сведения. Упоминание о "раздумьях" наводит на мысль об этом.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2011-08-16 07:54 pm (UTC)
Ну дык, эта история мне как-раз и ценна, потому что я сам в тот момент был очень удивлен тому, как оказывается можно с применением интуиции быстро ломать пароли :) Это был серьезный успех, выглядело все как true-хакинг из кино. 8) Тем более что я тогда еще был совсем-молодым студентом колледжа.

Кроме слов расстроенного начальника отдела АСУ, одного из старых но значимых заводов Москвы, о том что админ уволился а сервер срочно настраивать надо - вводной информации не было.

Я хитрыми манипуляциями с загрузочными дискетами раздобыл хеш с сервера WinNT, и сначала запустил простой брутфорс. Посмотрев на прогноз времени - понял что это пустое занятие.

Затем включил было атаку по словарю и погрузился в ожидание-раздумья пока по экрану бежал прогерсс.. и тут вдруг меня осенила мысль, что в подобных организациях любят использовать пароли в виде русских слов в латинской раскладке. (чисто интуиция:) Решил в первую очередь прогнать по словарю именно в таком режиме.

Оставалось только разобраться - как добиться от брутфорсера использования словаря именно в таком режиме (довольно нетривиально). Ну и добавить опцию "проверять на капс" (это же админский пароль!8).

После этого - один клик и брутфорсер почти мгновенно выдал: "Dscjwrbq".

Радости начальника отдела АСУ - не было предела. :)

Не знаю можно ли рассматривать как дополнительную информацию: антураж завода; разброд и шатания в их IT-инфраструктуре; и память о том какого типа пароли обычно используют клерки и секретари в старых офисах СССР-style. :) ИМХО - это как-раз та часть работы которую делает человек (а не машина) в сложных многофакторных задачах - анализ ситуации. :)
(Reply) (Parent) (Thread)
[User Picture]From: smok
2011-08-11 11:58 am (UTC)
Да, остается только чертыхаться, потому что приходится отступать от своей сложной системы паролей
(Reply) (Thread)
[User Picture]From: eterevsky
2011-08-11 12:46 pm (UTC)
Да-да. Очень раздражает. Ты потрудился, придумал безопасную систему паролей, а какие-то неизвестные администраторы сайтов пристают к тебе со своими правилами.
(Reply) (Parent) (Thread)