Cam cea mai prost aleasa parola din toate timpurile

Tuesday, 06 September, Year 3 d.Tr. | Author: Mircea Popescu

asange-pw

Reguli pentru a alege parole bune (sau macar acceptabile) :

  • Nu folositi cuvinte din dictionar. Din nici un dictionar, romanesc, englez, turkmen sau swahili nu conteaza, cuvintele nu pot face parte din parole.
  • Nu folositi caracterele speciale cu rol semantic. Ce inseamna asta ? Pai inseamna ca T=v1q_-67| e o parola buna, dar Jos|Boc|PDL e o parola proasta. Foarte, foarte proasta.
  • Nu folositi numere care sunt ani. Indiferent daca-s anu' nasterii catelului iubitei vecinului sau data aselenizarii, oricit de obscure sau misterioase v-ar parea, anii si datele in format numeric sunt niste componente la fel de slabe precum sunt si cuvintele de dictionar.
  • Intre o parola de 6 caractere formata corect si o parola de 60 de caractere formata din colectii de cuvinte despartite prin caractere speciale cu niste ani aruncati la deruta, prima este mai tare decit ultima.
  • O parola de 8 caractere se poate sparge de catre intreprinzatorul mediu cu acces la internet si competente acceptabile in criptografie intr-un interval cuprins intre citeva minute si citeva zile, functie de cit de buna se gaseste.

Cam asta. Si da, am avut in viata asta ocazia sa folosesc parole de 512 caractere. Stiu ca nu-i un placut. Asta nu schimba absolut nimic.

Sursa foto : Nigel Parry.

Category: 3 ani experienta
Comments feed : RSS 2.0. Leave your own comment below, or send a trackback.

43 Responses

  1. Nu vezi nici o discrepanţă între #4 şi #5?

    Diferenţa de lungime a devenit excesiv de importantă din momentul în care oamenii au început să folosească GPUs în loc de CPUs pentru operaţiunea de spargere. Indiferent cât de bine aleasă este o parolă, totuşi spaţiul de căutare la 6-8 caractere este minuscul din câte înţeleg.

    ref.: http://mytechencounters.wordpress.com/2011/04/03/gpu-password-cracking-crack-a-windows-password-using-a-graphic-card/

  2. Mircea Popescu`s avatar
    2
    Mircea Popescu 
    Tuesday, 6 September 2011

    Pai nu vad o contradictie, dat fiind ca 4 ilustreaza cit de slaba e de fapt parola cea lunga creata prost.

    PS. GPU se folosesc pentru spart parole de vreo zece ani asa. Doar ca nu de catre public.

  3. http://xkcd.com/936/

  4. #4 afirmă, nu ilustrează. Ai un link?

  5. Mircea Popescu`s avatar
    5
    Mircea Popescu 
    Tuesday, 6 September 2011

    Nu imi explic cum a fost posibil asa ceva, dar iti raspunde gheorghe din trecut ?

    Problema pe care n-o ia in considerare e bineinteles ca nimeni sanatos nu incepe cu bruteforce. Intii atacuri de dictionar.

  6. Mda, nici eu nu prea sunt atat de convins de parola de 4 cuvinte. Am pe lista de todo sa invat despre entropie si sa calculez cam cata poti sa scoti din niste banale cuvinte in limba engleza + alte cateva limbi mai cunoscute, dar probabil ca o sa-mi mai ia cativa ani in ritmul actual.

    Totusi, sunt destul de multe cuvinte, plus combinatii plus diferiti separatori, cel putin ochiometric mi se pare mult mai secure decat o parola de 6-8 caractere.

  7. fuck yea, telenovela e si cu tradatori, cu de toate.

    mai fac si astia bani din hartie printata.

  8. Mircea Popescu`s avatar
    8
    Mircea Popescu 
    Tuesday, 6 September 2011

    @gheorgheAiurea entropie mei. Uite pseudocod :

      $a = file(dictionar.txt);
      $b = array ("[","]","|",...);
      test_hash($a[$i] . $b[$j] . $a[$k].....);

    Mare chestie.

    @Jew S-a vindut aproape la fel de prost ca poezia romaneasca.

  9. @mp : posibil pentru ca respectivii cretini cu "facultate" de marketing aveau impresia ca din google analytics si alte rahaturi dinalea ca vizitele primite de wikipedia sunt de persoane adulte care chiar cauta ceva acolo.

    desigur realitatea e ca pe wikipedia colaboreaza doar profesori rupti de plictiseala de invatamant public si ruptii de elevi din invatamant care dau print screen la tot ce e acolo.

    si implicit realitatea este ca atunci cand faci un proiect comercial numit "wikileaks" o sa vanda pula pentru wiki e un cuvant dubios fara vreun echivalent in vocabular de care nu a auzit nici p'lea.

  10. Mircea Popescu`s avatar
    10
    Mircea Popescu 
    Tuesday, 6 September 2011

    Ca si Ipad. Sau Vuiton. Sau Ferrari. Sau Coca-Cola. Nici macar n-or scris Kola corect.

  11. Pai mah, deci ascii are 128 de caractere, ca nu cred ca foloseste cineva diacritice in parole, sau daca folosesc, si chiar le suporta softul ai cu indulgenta vreo 200 de caractere, MAXIM.

    Pe cand cuvinte sunt... mii? Si trebuie sa faci combinatii intre cateva mii de cuvinte pentru fiecare separator posibil, care poate fi oricare din cele 128 de caractere sa keep it simple, deci eu zic ca e relativ ok.

  12. Mircea Popescu`s avatar
    12
    Mircea Popescu 
    Tuesday, 6 September 2011

    Cuvinte sunt mii, da' se incepe cu fondul lexical de baza.

    De-asta zic ca-i foarte problematica abordarea bazata pe entropie : exista euristica. Doua parole cu entropie egala, sau mai propriu spus doua metode de generat parole cu entropie egala pot varia foarte larg sub aspectul dificultatii lor reale. Da' astea-s deja chestiuni de adinca specialitate.

  13. Si ce heuristica de-asta poti sa aplici? Mie de exemplu parola lui Assange mi se pare foarte buna din moment ce are vreo 6 cuvinte si cifre si etc. CHIAR DACA ai sti ca are fix 6 cuvinte si ca pe undeva pe la mijloc are un an si etc. desi ar trebui sa fii mama omida sa stii asta, tot ar fi teoretic greu de spart. Dar nu stii ca are 6 cuvinte, poate are 5, poate 4, poate ca de fapt e un carnat random, poate are case-ul caracterelor intr-un anume fel, foloseste mai multe tipuri de separatori, etc.

  14. Mircea Popescu`s avatar
    14
    Mircea Popescu 
    Tuesday, 6 September 2011

    In realitate parola lui Assange a fost sparta de minim o duzina de ori de la publicarea accidentala a arhivei parolate si pina la momentul publicarii ei. Vezi Cowley, "any autocratic security service worth its salt” ca un soi de confirmare laterala.

  15. Asta pentru ca el n-a spart niciodata o parola in viata lui si s-a uitat la fel ca tine ca h@h@, niste cuvinte si niste ani, ce banal, dar daca s-ar fi apucat sa faca niste socoteli nu cred ca i s-ar fi parut asa simplu. Scria si in articol ca au spart arhiva cu parola din cartea aluia.

  16. Cuvinte sunt mii, da’ se incepe cu fondul lexical de baza.

    Ajunge un singur caracter scris greşit intenţionat şi ai un hash diferit şi deci greu-spre-imposibil de ghicit. Pui undeva un caracter non-literal în loc de spaţiul dintre cuvinte, să zicem.

    Discuţia a mers pe bruteforce tocmai pentru că tre' să fii puţin dus ca să foloseşti parole atacabile via dicţionar. Prezenţa unui singur caracter ciudat îi cere atacatorului să testeze întreg setul ASCII la fiecare poziţie (din câte-mi dau seama).

  17. Apropo de parole, pentru parolele mai puțin importante există generatoare de parole. Principiul e destul de simplu: dintr-o cheie (parolă principală) și domeniului saitului se generează o parolă utilizând o funcție hash (MD5, SHA1 etc.). Câteva exemple: SuperGenPass, PassyWeb, 16s. Unele pot fi rulate și din browser, dar atenție că asta poate fi nesigur.

    @dAImon: problema cu caracterele alea ciudate e că de obicei sunt previzibile: 3 în loc de e, 1 în loc de i sau l șamd, dar dificultatea crește într-adevăr. Întrebarea e cât de mult.

  18. Mircea Popescu`s avatar
    18
    Mircea Popescu 
    Tuesday, 6 September 2011

    @gheorghe Daca-mi permiti, articol = povesti.

    Pe de alta parte, nici Cowley nici al tau umil eu nu h@h@. In ce soi de lume intoarsa pe dos am ajuns sa traim dom'le, auzi colo prezumptii cu susu-n jos.

    @dAImon Vezi tu un caracter scris gresit intentionat acolo ? Sau discutam teorii ?

    TOCMAI ASTA E OBSERVATIA : tre' sa fii putin dus sa folosesti parole atacabile via dictionar. Sau care-i teza, securitate prin obscuritate, "nu s-ar fi gindit nimeni sa incerce" ? Lolz.

    @Cristian Nu chiar asa de mult, dar intrucitva, nu se va sparge in al doilea etaj euristic ci-n al 3-lea sau poate patrulea depinzind exact.

    Eu sincer n-am avut niciodata dificultati in a scoate din cap parole, de orice lungime arbitrara. Ma chiar socheaza dificultatile omenirii pe tema, mai frate, cit de greu e ? Asa o trista lipsa de creativitate fix la elementul care ar trebui sa ofere creativitatea! De aia sunteti voi oameni, ba, sa introduceti entropia in sistem, nu exista generator de entropie mai tare decit capatina omului, ginditi un moment! E dincolo de lume povestea asta.

  19. @Mircea Popescu: nici tu n-ai bani să dai cu banul pentru a genera numere aleatoare?

    Am uitat să menționez că eu sunt pentru parole lungi formate din diverse cuvinte. Sfatul din xkcd mi se pare foarte bun. Și dacă tot vorbim din clasici, completez și eu cu http://xkcd.com/538/

  20. Mircea Popescu`s avatar
    20
    Mircea Popescu 
    Tuesday, 6 September 2011

    La obiect : poa' sa fie 4096 bit RSA, ca RSA e cam pielea pulii pe de-o parte si ca daca alea 4096 is zero-padded... ma rog.

    E perfect adevarat ca majoritatea oamenilor nu vor avea niciodata nimic atit de interesant de facut incit sa le sparga lor NSA parolele. Pe de cealalta parte asta nu schimba criptografia.

  21. Deci sunteti atat de spalati pe creier cu dictionarele voastre incat m-ati impins sa folosesc MATEMATICA. Posibil sa o fi facut gresit si le-am calculat in calc.exe, dar:

    100.000 de cuvinte luate cate 6 = 1,000,000,000,000
    128 de separatori luati cate 5 = 34,359,738,368
    deci 34,359,738,368,000,000,000,000
    mai bagi si un caracter dubios undeva in mijlocul unui cuvant si i-ai cam futut complet.

    Dar trecand peste asta, la numarul ala de combinatii iti ia aprox 1,089,540,156.2658548959918822932522 de ani ca sa spargi parola la o viteza de 1mil de incercari pe sec. Stivuieste placile alea video si dai bataie.

  22. Mircea Popescu`s avatar
    22
    Mircea Popescu 
    Tuesday, 6 September 2011

    Tu observi (ma intreb) cit de aproape este primul numar de al doilea ?

    Citam :

    Intre o parola de 6 caractere formata corect si o parola de 60 de caractere formata din colectii de cuvinte despartite prin caractere speciale cu niste ani aruncati la deruta, prima este mai tare decit ultima.

    De ce esti hater acu' ?

  23. Auzi la el calc.exe. N-ai citit articolul lui MP despre cât de tare e Linuxul cu al său calculator de buzunar?

    Care-s ăia 128 de separatori? Iar în dicționar or fi 100 de mii de cuvinte, dar naiba le știe darămite folosește pe toate.

  24. Pey mey, 128 de caractere luate cate 6 au doar 4,398,046,511,104 de combinatii. Deci nu e.

    Plus ca este mai greu de tinut minte, iar la faza cu parola de 256 de caractere deja e prea de tot. N-ai cum sa tii minte 256 de caractere, decat daca sunt cuvinte sau vreo functie matematica, ceea ce inseamna ca ori trebuie sa o scrii undeva unde evident o protejezi cu o parola mai slaba, ceea ce cam invalideaza scopul sau de fapt nu ai chiar asa de multa entropie in ea si poate se prinde cineva.

  25. @Cristian Daca bagi nume de localitati obscure sau niste cuvinte mai custom este foarte posibil sa nu le gaseasca niciodata, daca intri in referinte culturale si alte bullshituri e posibil sa nici nu le gasesti intr-un dictionar de spart parole. Iar daca stai sa le incluzi pe toate sunt sigur ca depasesti 100.000. Cate orase are america? :D

  26. Mircea Popescu`s avatar
    26
    Mircea Popescu 
    Tuesday, 6 September 2011

    @Cristian Separatorii is poate 20, cu generozitate. 100,000 de cuvinte are eventual limba maghiara. In engleza erau parca 20,000 din care fondul lexical de baza, adica ce discutam noi aici sunt poate cinci sute. In romana ceva mai multe cuvinte-n lexic cit si-n fondul de baza, da' nu chiar asa de mult mai multe.

    @gheorghe Cum drac sa n-ai cum sa tii minte parole de 256 de caractere ? Eu am tinut minte si de 512. Pur si simplu, memorie functionala, nu-s capabil nici macar s-o repet nici daca stau in cap, da' cu interfata unde intra ea in fata o scriu direct fara alte dificultati.

    La a doua chestie : America are foarte multe orase. De exemplu : Rome, WN, Paris, TX, London, KY scl.

  27. @gheorghe: da, substantivele proprii sunt o idee bună. Și ca să dăm un exemplu de actualitate, câți au auzit de Omar Khayam? :-)

    @Mircea Popescu: detaliază, te rog. Vrei să spui că te iei după diverse indicii din mediul înconjurător? Cea mai lungă parolă pe care am avut-o a fost penis și asta din cauză că pulă era prea scurtă indecentă.

  28. @Mircea Popescu: ai uitat să prefixul New :-P

  29. Mircea Popescu`s avatar
    29
    Mircea Popescu 
    Tuesday, 6 September 2011

    @Cristian A corect. Cita entropie este-n noutate ?

    Nu ma iau dupa nici un fel de indicii, ce pleazna, hai sa vedem :

    f6n{aa-Q<v1a0955JkJ|P{lams51w;dRnHa-09 cit are pina acum ? Ti-ajunge ? Ca eu am scris-o direct.

  30. Îs 2 sau hai 3 posibilități: să fie lipsă („”), vechi („Old”) sau nou („New”).

    wc zice că-s 38 de caractere, iar bc că până la 512 mai sunt 474 de caractere.

  31. Mircea Popescu`s avatar
    31
    Mircea Popescu 
    Tuesday, 6 September 2011

    Pai uite cum facem, tu pui un youtub cu tine recitind astea 38 si io la schimb iti dau restu' de 474.

  32. pletzalcoatl`s avatar
    32
    pletzalcoatlinsigna de criptograf 
    Tuesday, 6 September 2011

    Alabama: Birmingham, Athens, Oxford, York;
    Arkansas: Dover, Hamburg, London, Paris, Exeter, Plymouth, Stuttgart;
    California: Dublin, Antioch, London;
    Colorado: Brighton, Bristol, Lyons; Connecticut: Bristol, Danbury, Derby, Dover, Guildford, Milford, Norwich; Delaware: Dover, Smyrna; Florida: Bristol, St. Petersburg, Venice; Georgia: Athens, Bristol, Dover, Dublin, Hull, Lyons, Oxford, Rome, Smyrna, Vienna, Bremen;
    Idaho: Aberdeen, Cambridge, Dover, Moscow, Oxford, Paris, Troy;
    Illinois: Paris, Varna, Venice, Vienna, Warsaw; Indiana: Berne, Guildford, Warsaw, Plymouth; Iowa: Birmingham, Cambridge, Lisbon, Luxemburg, Madrid, Rome;
    Kansas: Bern, Cambridge, Moscow;
    Kentucky: Cambridge, Glasgow, London, Paris, Warsaw;
    Maine: Belfast, Guildford;
    Maryland: Cambridge, Guildford;
    Massachusetts: Cambridge, Tounton, Plymouth, Sandwich, Worcester, Boston, Gloucester, Bedford;
    Montana: Belgrade, Glasgow, Guildford;
    Michigan: Birmingham, Troy;
    Minnesota: Belgrade, Cambridge, London, Stockholm;
    Mississippi: Inverness, Oxford;
    Missouri: Amsterdam, Glasgow, Paris, Vienna, Warsaw;
    Nebraska: Cambridge, York;
    New Hampshire: Berlin, Bristol, Dover, Manchester, Troy;
    New York: Amsterdam, Guildford, Rome, Venice;
    North Dakota: Berlin, Lisbon, York;
    Oklahoma: Prague;
    Ohio: Cambridge, Dublin, London, Troy;
    Pennsylvania: York, Carlisle, Lancaster;
    Rhode Island: Bristol, Portsmith;
    South Carolina: York;
    South Dakota: Bristol;
    Tennessee: Bristol, Moscow, Paris, Smyrna;
    Texas: Dublin, Liverpool, Newcastle, Paris, London;
    Vermont: Troy; Virginia: Bristol;
    Washington: Newcastle; West Virginia: Vienna, London;
    Wisconsin: Berlin, Stockholm

  33. gata ba, nu va mai saturati de IT flamewars. subsolistilor.

  34. Mircea Popescu`s avatar
    34
    Mircea Popescu 
    Tuesday, 6 September 2011

    @pletzalcoatl Ahahah win.

    Lemme paginate for you.

  35. @Mircea Popescu: tu ai zis 512 caractere, nu eu. Eu nu simt nevoia să compensez printr-o parolă lungă. Asta pe de o parte, iar pe de cealaltă parte azi nu știu de ce sunt cam răgușit. Nu că aș avea eu o voce prea grozavă. Noroc că există soluții pentru tehnologii ca mine. Intri pe http://www.cstr.ed.ac.uk/projects/festival/onlinedemo.html bagi textul și apeși pe say it! :-) Cei interesați pot folosi și varianta din linia de comandă.

  36. Unul din criteriile dupa care se alege continutul de spart e nivelul criptarii.

  37. Mircea Popescu`s avatar
    37
    Mircea Popescu 
    Wednesday, 7 September 2011

    @Dr.A Asta cu siguranta.

  38. @Mircea Popescu Eu sunt sigur ca e mai bine sa ai o parola de 256 de caractere, sau 512, desi nu sunt prea convins ca poti sa o tii minte, ca sa nu mai zic ca nu-i tocmai usor de scris.

    Zic doar ca parola lui Assange nu e chiar cea mai prost aleasa parola din toate timpurile. Chiar si cu toate heuristicile lu peste tot stai cativa ani buni ca sa o spargi.

  39. Mircea Popescu`s avatar
    39
    Mircea Popescu 
    Wednesday, 7 September 2011

    Pai eu am emis judecata de "cea mai proasta din toate timpurile" luind in considerare nu doar parola in sensul formalist (unde admit ca s-ar putea sa existe mult mai proaste, "fuckobama" de exemplu), ci si criteriul importantei ei relative. Adica mai conteaza si ce continut ascunde ea.

    Da' mnoa, pina la urma e doar o parere, nu-i obligatorie.

  1. [...] Ati folosit vre-odata o parola care continea un cuvint din dictionar. [...]

  2. [...] De departe cea mai importanta chestiune in toata afacerea e ceea ce gpg numeste "passphrase", adica parola care va ingaduie sa va accesati cheia secreta. E o idee buna sa folositi ceva cu litere mari si mici, cifre si simboluri. G6kel{v!Qr0 e un exemplu de parola buna. Ana9are0mere e un exemplu de parola idioata. [...]

  3. [...] A New Wallet" intr-un cartus albastru. Vi se va cere sa alegeti o parola. Alegeti o parola buna, nu una proasta. Notati-o undeva si n-o pierdeti, ca-i foarte importanta. Stiti cum superbogatii au prin filme [...]

  4. [...] a revisiting of the "worst password in the world" article is in order. Using a sentence as a password as long as it's something you picked with your [...]

Add your cents! »
    If this is your first comment, it will wait to be approved. This usually takes a few hours. Subsequent comments are not delayed.