Символы, которые можно использовать при вводе имени пользователя и пароля
Какие знаки и символы можно или нельзя использовать в паролях?
Как придумать надежный пароль
Только полноправные пользователи могут оставлять комментарии. TM Feed Хабрахабр Geektimes Тостер Мой круг Фрилансим. Хабрахабр Публикации Пользователи Хабы Компании Песочница. Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны. Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста: Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю. Только один процент паролей содержал небуквенно-цифровые символы. В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем. Распределение символов Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов. В базе паролей существуют 78 уникальных символов. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Заглавные буквы не входят в топ двадцатку. Мы также можем построить график суммарной вероятности для символов. В этом графике, красные точки показывают ожидаемый паттерн при использовании настоящих случайных паролей ссылка на график побольше. Ясно, что пароли не так случайны как бы хотелось. Порядок символов Давайте рассмотрим порядок символов в пароле. Для простоты возьмем только 8-символьные пароли. Если бы её расположение было случайным, то мы бы ожидали равномерное распределение. Но вместо этого мы получаем: Distribution of "1" over eight character passwords 0. Ясно, что люди любят ставить единицу в конце пароля. Число символов необходимых для угадывания пароля Предположим, мы соберем все возможные пароли используя первые N самых популярных символов. Сколько паролей мы покроем в нашей выборке? Следующий график показывает пропорцию паролей покрытых в нашем списке используя первые N символов: Помните, что эти пароли не поддались атаке по словарю. Также, в последнее время много систем заставляют пользователей выбирать различные типы символов в паролях. А это так просто добавить циферку в конец. Я не хочу рассматривать эффективные техники подбора паролей, но понятно, что брутфорс не тот метод. Лично, я забросил попытки запомнить пароли давным давно и просто использую менеджер паролей. Например мой Wordpress пароль длинее ти символов и состоит из совершенно случайных цифр, букв и спец. Конечно, вам лишь нужно держать свой менеджер паролей защищенным… От переводчика: Да, я таки попал в категорию людей приписывающих единички и восклицательные знаки для обхода настырных сайтов. Информационная безопасность 2,4k авторов , 6,4k публикаций. Open source 1k авторов , 2,3k публикаций. Высокая производительность авторов , 1,2k публикаций. Программирование 2,9k авторов , 6,5k публикаций. Разработка систем передачи данных 62 автора , публикаций. Разработка под Linux автор , публикация. Алгоритмы 1,3k авторов , 2,3k публикаций. Системное программирование авторов , публикации. Тестирование веб-сервисов автор , публикаций. Анализ и проектирование систем авторов , публикации. Добавить в закладки Задумывался раньше об этом, но руки не доходили поискать информацию о частоте и распределении символов, очень познавательно. Скорее всего предположение, что символы встречаются независимо друг от друга тоже не верно. Возможно, 2 следует сразу за 1, более часто, чем скажем 6. А яндекс тем временем все еще запрещает использовать спец. Его же все равно не зафорсить. Наверное это сделано для того, чтобы меньше людей внезапно забывали мудреный пароль так как мало использовали Я. Деньги , что в случае отсутствия привязки мобильного и проживания не в Москве фактически означает потерю доступа к сервису. Хм, у меня спецсимволы и в основном, и в платёжном. Они этот запрет давно ввели? Один мой товарищ нет, не я сам любил использовать МД5-хэши в качестве паролей. Выглядели они по-настоящему зубодробильными: Однако при первом включении мозга стало понятно, что алфавит символов ограничен , A-F , а длина фиксированная, что сильно уменьшает диапазон символов для перебора злоумышленнику, знающему принцип формирования пароля. А почему 16я степень? Так, я что-то не понимаю. Каждая цифра в 16ричной системе — это 4 бита. Так что бит — это 16ричное число длиной 32 символа. По сути, md5 дает бит, которые принято представлять в таком виде. Естественно, что перебирать всевозможные строки из 32 символов из этого диапазона — это примерно то же самое, что и битные числа. Их все перебрать нереально… Другое дело, что, если кто-то знает этот метод, то его применение ничем не поможет: Перебор действительно будет снова по обычному читабельному словарю. С учетом того, что современные алгоритмы вычисления хэша по паролю усиливаются десятками сотен дополнительных хэширований, добавление одного лишнего md5 погоды не делает. Согласен, что выручает длина. Но произвольный символьный пароль был бы более стойким. Обоснуйте, что это даст? Помимо уменьшения длины с 32 до символов? В статье определенно не хватает формул. По списку паролей все утверждения статьи легко проверяются. При этом они более-менее независимы. Рассматривается всего один пароль: Я как-то использовал односимвольный пароль в одной игрушке: Вот где сами пароли: Провел свой анализ тут: Постоянно встречаются рекомендации использовать разные символы в разных регистрах, или даже русские слова латинскими заместителями. Вроде бы это выглядит правильным. Но что показывает практика? В обоих — пароли, сгенерированные KeePass, случайные и стойкие до безобразия 20 символов. Запомнить их, естественно, нельзя, надо где-то хранить. В случае с доступом через браузер с персоналки всё прекрасно — KeePass даёт возможность и в клипбоард положить пароль, и автоввод запустить. Вариант 1 — у нас есть сотовый телефон. Так как раскладка русских букв на нём не соответствует раскладке на клавиатуре компьютера, запомнить куда нажимать при вводе паролей с русскими буквами малореально. И что делать в таких ситуациях? Кроме уменьшения длины пароля и использование простого набора символов решения мне не видится. Использую пароли с заменой русских символов английскими правда не слова, но тут это значения не имеет длиной 10 символов. Где-то за полгода использования экранной клавиатуры на планшете привык набирать стилусом символы английскими без временного переключения на русский, правда сами символы наизусть не помню, нужна кверти-клавиатура — помню взаимное расположение клавиш с нужными символами. Думаю, если буду постоянно пользоваться телефонной клавиатурой, то тоже запомню. Меня ещё при использовании менеджера паролей смущает зависимость от базы с паролями: Для себя решил так: ПО, либо посчитать онлайн я для удобства себе сайтик сделал ; — используются стандартные символы a-f, то есть нет проблем с вводом на нестандартных клавиатурах и операционных системах. Но так как мастер-пароль длинный, то на практике нереально. Ну такой метод вообще не криптостойкий — подсмотреть мастер пароль, который постоянно набирается, просто. Это во-первых, а во-вторых для вычисления пароля для каждого сайта надо привлекать какую-то программу — так почему бы ей не быть тем же KeePass? У KeePass есть только один недостаток — если к нему получить доступ, все пароли улетают. И при нынешнем беспорядке с android market это совсем не фантастика. Подсмотреть — это типа через плечо? Ну так и пароль к KeePass можно подсмотреть, а пока Вы отлучитесь за кофе стянуть базу. Программу для удобства я использую, но она не является необходимостью. MD5 можно и в терминале посчитать, и онлайн. И база с собой не нужна. Я не агитирую, но для меня этот способ удобнее. Для этого анализ можно было не делать, это очевидно для тех, кто понимает, что буквы в словах естественного языка распределяются неравномерно и что подавляющее большинство паролей являются не рандомной последовательностью символов из допустимого алфавита, а чем-то осмысленным, мнемоничным и так или иначе коррелирует с естественными языками, а обычно просто совпадает. Не радует, что цифры в конце будут прежде всего подбирать: В начало их что ли во всех паролях перенести ;. Конечно, это существенно облегчает вскрытие. Надеюсь, в алгоритмах взлома паролей это можно учесть и использовать. По сути, эта информация может помочь при атаке брутфорсом. То есть если со словарём — пролёт, выставляем параметры длина от 6 до Правда всё равно, время это не сильно сэкономит. Единственное, странно, что пароли хранились в открытом виде, а не в виде хэша. Если храняться в виде хэша — можем еще и на коллизию нарваться. Шансы случайно нарваться на коллизию пренебрежимо малы естественно, полагая хеш-функцию хорошей. При брутфорсе это сильно облегчит жизнь. Я не смешиваю, я говорю, что если система не выдерживает атаки на символьный пароль, значит эта система напрасно хочет пароль, она должна использовать другие средства аутоидентификации. Можете привести пример любой системы выдерживающей атаку брутфорсом на 4 символа? Любая железка, уходящая в несознанку при бруте. Если я правильно понял amarao, он имеет ввиду, что для онлайновых сервисов, например, неплохо помогает задержка между группами попыток скажем, по три пароля в 10, 20 и т. Вообще-то благодаря лавинному эффекту в криптографических хэш-функциях распределение бит в выходном множестве должно быть равномерным. Скажите пожалуйста, не является ли буфер обмена слабым местом, при использовании супер сложных паролей с менеджером паролей? Ведь как я понимаю, сложный пароль никто не запоминает и вручную не переписывает. Могут ли зловреды и сайт втихую съесть ваш буфер обмена? И на сколько буфер обмена вообще защищен? Метки лучше разделять запятой. Сейчас Вчера Неделя Уязвимость ВКонтакте: Первая российская материнская плата массового сегмента 27k Интересные публикации Хабрахабр Geektimes. Запуск Java классов и JAR-ов не по учебнику. Критическая уязвимость механизма аутентификации BIND позволяет похищать и изменять DNS-записи серверов. Во льдах Плавучего Континента: Новый подход к кэшированию процессора GT. Стабильность нейтрона в атомном ядре GT. Разделы Публикации Хабы Компании Пользователи Песочница. Информация О сайте Правила Помощь Соглашение Конфиденциальность. Услуги Реклама Тарифы Контент Семинары.
Включите JavaScript для лучшей работы сайта. Еда Hi-Tech Дом Здоровье Компьютеры Хобби Все разделы Отзывы Ответы Все рубрики Все эксперты Все статьи Реклама Стать экспертом! В настоящее время системы контроля доступа к информационным ресурсам на основе паролей имеют самое широкое распространение благодаря своей простоте и удобству. Однако от надежности используемых паролей зависит сохранность информации, которую они призваны защищать. Злоумышленники пользуются незнанием и легкомыслием многих пользователей, взламывая их пароли и осуществляя несанкционированный доступ к информации. В связи с этим критически важно создавать пароли, пресекающие противоправные посягательства и обеспечивающие состояние защищенности важных сведений. Несколько советов о том, как сделать свои пароли более безопасными и избежать лишних проблем. Пароль представляет собой буквенно-цифровую последовательность определенной длины. Также пароль может включать знаки пунктуации и специальные символы! Надежность пароля напрямую зависит от его сложности меры эффективности, с которой он может противостоять угадыванию или перебору. Используйте пароли достаточной длины. Старайтесь создавать пароли с минимальной длиной в восемь символов. Это сильно усложнит его взлом, поскольку злоумышленнику потребуется гараздо больше времени. Используйте цифры, буквы и специальные символы. Чем больше алфавит символов, тем выше надежность пароля. Пароли, состоящие только из чисел или только из букв, уже не отвечают современным требованиям. Сочетайте в паролях буквы, цифры и специальные символы. Также полезно использовать различный регистр букв например, а и А. Постарайтесь не использовать в качестве пароля словарные фразы. Как правило, первое, что делают злоумышленники при парольной атаке, - это осуществляют перебор по словарю. Энтропия пароля — это степень сложности пароля, выраженная в терминах информационной энтропии. Рассчет энтропии сводится к вычислению логарифма от числа возможных комбинаций по основанию два число возможных комбинаций равно степени, в основании которой размер алфавита, а показатель степени — длина пароля. Затем полученное значение количество битов энтропии можно оценить по таблице значений энтропии паролей и сделать вывод о его сложности. Чем выше значение энтропии пароля, тем, соответственно, надежней пароль. Не получили ответ на свой вопрос? Добавить комментарий к статье. Honor 6X Premium новая премиальная версия.
Рецепт тестадля чебурековв хлебопечке мулинекс
Можно париться в бане при температуре 37
Как испечь торт развалина
Истории про умерших детей
Css v34 карта de tuscan