Cam cea mai prost aleasa parola din toate timpurile
Tuesday, 06 September, Year 3 d.Tr. | Author: Mircea Popescu
Reguli pentru a alege parole bune (sau macar acceptabile) :
- Nu folositi cuvinte din dictionar. Din nici un dictionar, romanesc, englez, turkmen sau swahili nu conteaza, cuvintele nu pot face parte din parole.
- Nu folositi caracterele speciale cu rol semantic. Ce inseamna asta ? Pai inseamna ca T=v1q_-67| e o parola buna, dar Jos|Boc|PDL e o parola proasta. Foarte, foarte proasta.
- Nu folositi numere care sunt ani. Indiferent daca-s anu' nasterii catelului iubitei vecinului sau data aselenizarii, oricit de obscure sau misterioase v-ar parea, anii si datele in format numeric sunt niste componente la fel de slabe precum sunt si cuvintele de dictionar.
- Intre o parola de 6 caractere formata corect si o parola de 60 de caractere formata din colectii de cuvinte despartite prin caractere speciale cu niste ani aruncati la deruta, prima este mai tare decit ultima.
- O parola de 8 caractere se poate sparge de catre intreprinzatorul mediu cu acces la internet si competente acceptabile in criptografie intr-un interval cuprins intre citeva minute si citeva zile, functie de cit de buna se gaseste.
Cam asta. Si da, am avut in viata asta ocazia sa folosesc parole de 512 caractere. Stiu ca nu-i un placut. Asta nu schimba absolut nimic.
Sursa foto : Nigel Parry.
Category: 3 ani experienta
Tuesday, 6 September 2011
Nu vezi nici o discrepanţă între #4 şi #5?
Diferenţa de lungime a devenit excesiv de importantă din momentul în care oamenii au început să folosească GPUs în loc de CPUs pentru operaţiunea de spargere. Indiferent cât de bine aleasă este o parolă, totuşi spaţiul de căutare la 6-8 caractere este minuscul din câte înţeleg.
ref.: http://mytechencounters.wordpress.com/2011/04/03/gpu-password-cracking-crack-a-windows-password-using-a-graphic-card/
Tuesday, 6 September 2011
Pai nu vad o contradictie, dat fiind ca 4 ilustreaza cit de slaba e de fapt parola cea lunga creata prost.
PS. GPU se folosesc pentru spart parole de vreo zece ani asa. Doar ca nu de catre public.
Tuesday, 6 September 2011
http://xkcd.com/936/
Tuesday, 6 September 2011
#4 afirmă, nu ilustrează. Ai un link?
Tuesday, 6 September 2011
Nu imi explic cum a fost posibil asa ceva, dar iti raspunde gheorghe din trecut ?
Problema pe care n-o ia in considerare e bineinteles ca nimeni sanatos nu incepe cu bruteforce. Intii atacuri de dictionar.
Tuesday, 6 September 2011
Mda, nici eu nu prea sunt atat de convins de parola de 4 cuvinte. Am pe lista de todo sa invat despre entropie si sa calculez cam cata poti sa scoti din niste banale cuvinte in limba engleza + alte cateva limbi mai cunoscute, dar probabil ca o sa-mi mai ia cativa ani in ritmul actual.
Totusi, sunt destul de multe cuvinte, plus combinatii plus diferiti separatori, cel putin ochiometric mi se pare mult mai secure decat o parola de 6-8 caractere.
Tuesday, 6 September 2011
fuck yea, telenovela e si cu tradatori, cu de toate.
mai fac si astia bani din hartie printata.
Tuesday, 6 September 2011
@gheorgheAiurea entropie mei. Uite pseudocod :
$a = file(dictionar.txt);
$b = array ("[","]","|",...);
test_hash($a[$i] . $b[$j] . $a[$k].....);
Mare chestie.
@Jew S-a vindut aproape la fel de prost ca poezia romaneasca.
Tuesday, 6 September 2011
@mp : posibil pentru ca respectivii cretini cu "facultate" de marketing aveau impresia ca din google analytics si alte rahaturi dinalea ca vizitele primite de wikipedia sunt de persoane adulte care chiar cauta ceva acolo.
desigur realitatea e ca pe wikipedia colaboreaza doar profesori rupti de plictiseala de invatamant public si ruptii de elevi din invatamant care dau print screen la tot ce e acolo.
si implicit realitatea este ca atunci cand faci un proiect comercial numit "wikileaks" o sa vanda pula pentru wiki e un cuvant dubios fara vreun echivalent in vocabular de care nu a auzit nici p'lea.
Tuesday, 6 September 2011
Ca si Ipad. Sau Vuiton. Sau Ferrari. Sau Coca-Cola. Nici macar n-or scris Kola corect.
Tuesday, 6 September 2011
Pai mah, deci ascii are 128 de caractere, ca nu cred ca foloseste cineva diacritice in parole, sau daca folosesc, si chiar le suporta softul ai cu indulgenta vreo 200 de caractere, MAXIM.
Pe cand cuvinte sunt... mii? Si trebuie sa faci combinatii intre cateva mii de cuvinte pentru fiecare separator posibil, care poate fi oricare din cele 128 de caractere sa keep it simple, deci eu zic ca e relativ ok.
Tuesday, 6 September 2011
Cuvinte sunt mii, da' se incepe cu fondul lexical de baza.
De-asta zic ca-i foarte problematica abordarea bazata pe entropie : exista euristica. Doua parole cu entropie egala, sau mai propriu spus doua metode de generat parole cu entropie egala pot varia foarte larg sub aspectul dificultatii lor reale. Da' astea-s deja chestiuni de adinca specialitate.
Tuesday, 6 September 2011
Si ce heuristica de-asta poti sa aplici? Mie de exemplu parola lui Assange mi se pare foarte buna din moment ce are vreo 6 cuvinte si cifre si etc. CHIAR DACA ai sti ca are fix 6 cuvinte si ca pe undeva pe la mijloc are un an si etc. desi ar trebui sa fii mama omida sa stii asta, tot ar fi teoretic greu de spart. Dar nu stii ca are 6 cuvinte, poate are 5, poate 4, poate ca de fapt e un carnat random, poate are case-ul caracterelor intr-un anume fel, foloseste mai multe tipuri de separatori, etc.
Tuesday, 6 September 2011
In realitate parola lui Assange a fost sparta de minim o duzina de ori de la publicarea accidentala a arhivei parolate si pina la momentul publicarii ei. Vezi Cowley, "any autocratic security service worth its salt” ca un soi de confirmare laterala.
Tuesday, 6 September 2011
Asta pentru ca el n-a spart niciodata o parola in viata lui si s-a uitat la fel ca tine ca h@h@, niste cuvinte si niste ani, ce banal, dar daca s-ar fi apucat sa faca niste socoteli nu cred ca i s-ar fi parut asa simplu. Scria si in articol ca au spart arhiva cu parola din cartea aluia.
Tuesday, 6 September 2011
Ajunge un singur caracter scris greşit intenţionat şi ai un hash diferit şi deci greu-spre-imposibil de ghicit. Pui undeva un caracter non-literal în loc de spaţiul dintre cuvinte, să zicem.
Discuţia a mers pe bruteforce tocmai pentru că tre' să fii puţin dus ca să foloseşti parole atacabile via dicţionar. Prezenţa unui singur caracter ciudat îi cere atacatorului să testeze întreg setul ASCII la fiecare poziţie (din câte-mi dau seama).
Tuesday, 6 September 2011
Apropo de parole, pentru parolele mai puțin importante există generatoare de parole. Principiul e destul de simplu: dintr-o cheie (parolă principală) și domeniului saitului se generează o parolă utilizând o funcție hash (MD5, SHA1 etc.). Câteva exemple: SuperGenPass, PassyWeb, 16s. Unele pot fi rulate și din browser, dar atenție că asta poate fi nesigur.
@dAImon: problema cu caracterele alea ciudate e că de obicei sunt previzibile: 3 în loc de e, 1 în loc de i sau l șamd, dar dificultatea crește într-adevăr. Întrebarea e cât de mult.
Tuesday, 6 September 2011
@gheorghe Daca-mi permiti, articol = povesti.
Pe de alta parte, nici Cowley nici al tau umil eu nu h@h@. In ce soi de lume intoarsa pe dos am ajuns sa traim dom'le, auzi colo prezumptii cu susu-n jos.
@dAImon Vezi tu un caracter scris gresit intentionat acolo ? Sau discutam teorii ?
TOCMAI ASTA E OBSERVATIA : tre' sa fii putin dus sa folosesti parole atacabile via dictionar. Sau care-i teza, securitate prin obscuritate, "nu s-ar fi gindit nimeni sa incerce" ? Lolz.
@Cristian Nu chiar asa de mult, dar intrucitva, nu se va sparge in al doilea etaj euristic ci-n al 3-lea sau poate patrulea depinzind exact.
Eu sincer n-am avut niciodata dificultati in a scoate din cap parole, de orice lungime arbitrara. Ma chiar socheaza dificultatile omenirii pe tema, mai frate, cit de greu e ? Asa o trista lipsa de creativitate fix la elementul care ar trebui sa ofere creativitatea! De aia sunteti voi oameni, ba, sa introduceti entropia in sistem, nu exista generator de entropie mai tare decit capatina omului, ginditi un moment! E dincolo de lume povestea asta.
Tuesday, 6 September 2011
@Mircea Popescu: nici tu n-ai bani să dai cu banul pentru a genera numere aleatoare?
Am uitat să menționez că eu sunt pentru parole lungi formate din diverse cuvinte. Sfatul din xkcd mi se pare foarte bun. Și dacă tot vorbim din clasici, completez și eu cu http://xkcd.com/538/
Tuesday, 6 September 2011
La obiect : poa' sa fie 4096 bit RSA, ca RSA e cam pielea pulii pe de-o parte si ca daca alea 4096 is zero-padded... ma rog.
E perfect adevarat ca majoritatea oamenilor nu vor avea niciodata nimic atit de interesant de facut incit sa le sparga lor NSA parolele. Pe de cealalta parte asta nu schimba criptografia.
Tuesday, 6 September 2011
Deci sunteti atat de spalati pe creier cu dictionarele voastre incat m-ati impins sa folosesc MATEMATICA. Posibil sa o fi facut gresit si le-am calculat in calc.exe, dar:
100.000 de cuvinte luate cate 6 = 1,000,000,000,000
128 de separatori luati cate 5 = 34,359,738,368
deci 34,359,738,368,000,000,000,000
mai bagi si un caracter dubios undeva in mijlocul unui cuvant si i-ai cam futut complet.
Dar trecand peste asta, la numarul ala de combinatii iti ia aprox 1,089,540,156.2658548959918822932522 de ani ca sa spargi parola la o viteza de 1mil de incercari pe sec. Stivuieste placile alea video si dai bataie.
Tuesday, 6 September 2011
Tu observi (ma intreb) cit de aproape este primul numar de al doilea ?
Citam :
De ce esti hater acu' ?
Tuesday, 6 September 2011
Auzi la el calc.exe. N-ai citit articolul lui MP despre cât de tare e Linuxul cu al său calculator de buzunar?
Care-s ăia 128 de separatori? Iar în dicționar or fi 100 de mii de cuvinte, dar naiba le știe darămite folosește pe toate.
Tuesday, 6 September 2011
Pey mey, 128 de caractere luate cate 6 au doar 4,398,046,511,104 de combinatii. Deci nu e.
Plus ca este mai greu de tinut minte, iar la faza cu parola de 256 de caractere deja e prea de tot. N-ai cum sa tii minte 256 de caractere, decat daca sunt cuvinte sau vreo functie matematica, ceea ce inseamna ca ori trebuie sa o scrii undeva unde evident o protejezi cu o parola mai slaba, ceea ce cam invalideaza scopul sau de fapt nu ai chiar asa de multa entropie in ea si poate se prinde cineva.
Tuesday, 6 September 2011
@Cristian Daca bagi nume de localitati obscure sau niste cuvinte mai custom este foarte posibil sa nu le gaseasca niciodata, daca intri in referinte culturale si alte bullshituri e posibil sa nici nu le gasesti intr-un dictionar de spart parole. Iar daca stai sa le incluzi pe toate sunt sigur ca depasesti 100.000. Cate orase are america? :D
Tuesday, 6 September 2011
@Cristian Separatorii is poate 20, cu generozitate. 100,000 de cuvinte are eventual limba maghiara. In engleza erau parca 20,000 din care fondul lexical de baza, adica ce discutam noi aici sunt poate cinci sute. In romana ceva mai multe cuvinte-n lexic cit si-n fondul de baza, da' nu chiar asa de mult mai multe.
@gheorghe Cum drac sa n-ai cum sa tii minte parole de 256 de caractere ? Eu am tinut minte si de 512. Pur si simplu, memorie functionala, nu-s capabil nici macar s-o repet nici daca stau in cap, da' cu interfata unde intra ea in fata o scriu direct fara alte dificultati.
La a doua chestie : America are foarte multe orase. De exemplu : Rome, WN, Paris, TX, London, KY scl.
Tuesday, 6 September 2011
@gheorghe: da, substantivele proprii sunt o idee bună. Și ca să dăm un exemplu de actualitate, câți au auzit de Omar Khayam? :-)
@Mircea Popescu: detaliază, te rog. Vrei să spui că te iei după diverse indicii din mediul înconjurător? Cea mai lungă parolă pe care am avut-o a fost penis și asta din cauză că pulă era prea
scurtăindecentă.Tuesday, 6 September 2011
@Mircea Popescu: ai uitat să prefixul New :-P
Tuesday, 6 September 2011
@Cristian A corect. Cita entropie este-n noutate ?
Nu ma iau dupa nici un fel de indicii, ce pleazna, hai sa vedem :
f6n{aa-Q<v1a0955JkJ|P{lams51w;dRnHa-09 cit are pina acum ? Ti-ajunge ? Ca eu am scris-o direct.
Tuesday, 6 September 2011
Îs 2 sau hai 3 posibilități: să fie lipsă („”), vechi („Old”) sau nou („New”).
wczice că-s 38 de caractere, iarbccă până la 512 mai sunt 474 de caractere.Tuesday, 6 September 2011
Pai uite cum facem, tu pui un youtub cu tine recitind astea 38 si io la schimb iti dau restu' de 474.
Tuesday, 6 September 2011
Alabama: Birmingham, Athens, Oxford, York;
Arkansas: Dover, Hamburg, London, Paris, Exeter, Plymouth, Stuttgart;
California: Dublin, Antioch, London;
Colorado: Brighton, Bristol, Lyons; Connecticut: Bristol, Danbury, Derby, Dover, Guildford, Milford, Norwich; Delaware: Dover, Smyrna; Florida: Bristol, St. Petersburg, Venice; Georgia: Athens, Bristol, Dover, Dublin, Hull, Lyons, Oxford, Rome, Smyrna, Vienna, Bremen;
Idaho: Aberdeen, Cambridge, Dover, Moscow, Oxford, Paris, Troy;
Illinois: Paris, Varna, Venice, Vienna, Warsaw; Indiana: Berne, Guildford, Warsaw, Plymouth; Iowa: Birmingham, Cambridge, Lisbon, Luxemburg, Madrid, Rome;
Kansas: Bern, Cambridge, Moscow;
Kentucky: Cambridge, Glasgow, London, Paris, Warsaw;
Maine: Belfast, Guildford;
Maryland: Cambridge, Guildford;
Massachusetts: Cambridge, Tounton, Plymouth, Sandwich, Worcester, Boston, Gloucester, Bedford;
Montana: Belgrade, Glasgow, Guildford;
Michigan: Birmingham, Troy;
Minnesota: Belgrade, Cambridge, London, Stockholm;
Mississippi: Inverness, Oxford;
Missouri: Amsterdam, Glasgow, Paris, Vienna, Warsaw;
Nebraska: Cambridge, York;
New Hampshire: Berlin, Bristol, Dover, Manchester, Troy;
New York: Amsterdam, Guildford, Rome, Venice;
North Dakota: Berlin, Lisbon, York;
Oklahoma: Prague;
Ohio: Cambridge, Dublin, London, Troy;
Pennsylvania: York, Carlisle, Lancaster;
Rhode Island: Bristol, Portsmith;
South Carolina: York;
South Dakota: Bristol;
Tennessee: Bristol, Moscow, Paris, Smyrna;
Texas: Dublin, Liverpool, Newcastle, Paris, London;
Vermont: Troy; Virginia: Bristol;
Washington: Newcastle; West Virginia: Vienna, London;
Wisconsin: Berlin, Stockholm
Tuesday, 6 September 2011
gata ba, nu va mai saturati de IT flamewars. subsolistilor.
Tuesday, 6 September 2011
@pletzalcoatl Ahahah win.
Lemme paginate for you.
Wednesday, 7 September 2011
@Mircea Popescu: tu ai zis 512 caractere, nu eu. Eu nu simt nevoia să compensez printr-o parolă lungă. Asta pe de o parte, iar pe de cealaltă parte azi nu știu de ce sunt cam răgușit. Nu că aș avea eu o voce prea grozavă. Noroc că există soluții pentru tehnologii ca mine. Intri pe http://www.cstr.ed.ac.uk/projects/festival/onlinedemo.html bagi textul și apeși pe say it! :-) Cei interesați pot folosi și varianta din linia de comandă.
Wednesday, 7 September 2011
Unul din criteriile dupa care se alege continutul de spart e nivelul criptarii.
Wednesday, 7 September 2011
@Dr.A Asta cu siguranta.
Wednesday, 7 September 2011
@Mircea Popescu Eu sunt sigur ca e mai bine sa ai o parola de 256 de caractere, sau 512, desi nu sunt prea convins ca poti sa o tii minte, ca sa nu mai zic ca nu-i tocmai usor de scris.
Zic doar ca parola lui Assange nu e chiar cea mai prost aleasa parola din toate timpurile. Chiar si cu toate heuristicile lu peste tot stai cativa ani buni ca sa o spargi.
Wednesday, 7 September 2011
Pai eu am emis judecata de "cea mai proasta din toate timpurile" luind in considerare nu doar parola in sensul formalist (unde admit ca s-ar putea sa existe mult mai proaste, "fuckobama" de exemplu), ci si criteriul importantei ei relative. Adica mai conteaza si ce continut ascunde ea.
Da' mnoa, pina la urma e doar o parere, nu-i obligatorie.