Paroļu nebūšanas
Otrs nosaukums rakstam ir “Nomaini savu paroli. Tagad.”.
Ja ticēt plašajiem internetiem, tad pēdīgais tvitera tārps, kurš pārņem tavu kontu un izsūta visiem sekotājsekojamajiem ziņas, izmanto to, ka daudziem cilvēkiem ir ļoti vājas paroles. Tad te būs mazs padoms. Nomaini paroli. Pretējā gadījumā turpināsi būt upuris.
Uz ko mainīt? Protams, ka nevar gaidīt, ka visi cilvēki tagad skries un mēģinās regulāri nomainīt paroles uz kaut ko no sērijas "UpJounusJur9" vai "lewmEbcoch0HibEvHewIrc7". Bet tas nav nebūt nepieciešams. Lasi vien uz priekšu. Nomaini savu paroli uz diviem, trīs, četriem normāliem vārdiem bez garumzīmēm un speciālajiem simboliem (ja sistēma to atļauj).
Sarežģītais gadījums. Tava parole ir "Y3st3rd@y_!". Tev takš arī šķiet, ka tā ir ellīgi sarežģīta, ne? Neuzminama! Ja godīgi, tas ir normāls vārds, kuram beigās piekabināti divi papildus simboli. Šādas paroles dažādi bruteforce algoritmi uzmin diezgan veikli - ejam cauri vārdnīcai, ņemam katru vārdu, aizvietojot burtus ar iespējamajiem aizvietotājiem (pamēģinām "a", tad "@") un liekot klāt priekšā un/vai pakaļā vienu vai divus populārākos simbolus. Iespējamo kombināciju skaits ir relatīvi mazs. Pie kam, šādu paroli, ja tā regulāri jāmaina, atcerēties nav dikti viegli. Nāksies arī pasvīst, ja būs jāievada uz mobilajām ierīcēm.
Un tagad apskatīsim gadījumu, kad tava parole ir "veci pliki zirgi" vai "divi ausu koku podi". Te nedarbojas vārdnīcas pārlase, jo parole sastāv no vairākiem. Iespējamo kombināciju skaits pieaug mežonīgi, jo parole ir gara. Un, jā, atcerēties arī ir gana viegli - pietiek vienu reizi iedomāties, kā parole izskatās dabā. Ievadīt var uz jebkuras klaviatūras.
Ņemiet vērā, dažās sistēmās ir iešūtas prasības pēc speciālajiem simboliem, lielajiem burtiem un cipariem. Tas nekas, piemetiet kādu klāt. "5 Pliki zirgi skrien!". Protams, ka parole "5 Pl1k_i zirgi @skr1#n -@" būs stiprāka, bet arī pirmais variants pārskatāmā laikā nav uzminams un ir vieglāk paturams prātā. Vēl viens variants, kā apiet šo, bet nezaudēt paroļu spēka cīņu, ir izdomāt vienmēr un visām parolēm izmantojamu specsimbolu virkni, kuru kabināt klāt. Paroli maini, bet specsimbolu virkni (teiksim, "!@Q") atstāj visur vienādu.
Rolands
2012. gada 4. oktobrī, plkst. 09:31
Kā reiz pirms kāda laika nomainīju uz teikumu ar vairākiem vārdiem.
Kamazs
2012. gada 4. oktobrī, plkst. 09:33
Exactly! Tāpēc mani tracina, piemēram, Apples apsēstība ar obligātajām prasībām pret speciālajiem simboliem. Saprotu labo nodomu, bet patiesība ir tāda, ka, lai cik krutu paroli es uztaisītu, tā vēl jāspēj atcerēties un speciālie simboli ir tie, kas spēj saputrot galvu. Lai gan arī bez tiem būtu gana droši.
laacz Autors
2012. gada 4. oktobrī, plkst. 09:36
Uztaisi vienmēr izmantojamu prefiksu vai postfiksu parolei. Piemēram, katrai no savām parolēm kabini klāt "!@Q" (turi shift un pēc kārtas uzraksti "12q"). Paroles maini, šo nemaini.
Aleksejs
2012. gada 4. oktobrī, plkst. 09:43
Es personīgi izmantoju šādu metodi. Uzģenerēju paroļlapiņu: http://passwordchart.net/ un tad mana vienkāršā parole: kabelis pārvēršas par ~kko tādu: F6v!A1l$3U&ap#4QI$x74j*D/1Ne
Paroļlapiņu jāizdrukā un jāglabā naudas makam ekvivalentā vietā. Ja grib ērtības, tad var uztaisīt speciālu "paroļu klaviatūras layoutu", taču tas zināmā mērā samazina drošību.
No mnemoniskajām metodēm izmantoju "pirmo burtu metodi". malktlnvttemekdssltmktdatsd ~= Miglā asaro logs...
black
2012. gada 4. oktobrī, plkst. 09:48
Pat ja parole ir par plikiem zirgiem, pastāv zināma iespēja, ka kāda mājaslapa paroli saglabās, to nešifrējot. Lai samazinātu iespēju, ka kādas mājaslapas uzlauzšanas gadījumā ļaundarim tiek pieeja pie visām citām lapām, katrai lapai vajag unikālu paroli. Visvienkāršākais ir kombinēt mājaslapas nosaukumu, piemēram, "veci pliki zirgi gle", kur g ir pirmais burts no google.com, bet le - pēdējie 2 burti. Priekš hotmail, parole būs "veci pliki zirgi hil".
Dace
2012. gada 4. oktobrī, plkst. 13:25
Nebiju iedomājusies par tādu risinājumu. Paldies!
x
2012. gada 5. oktobrī, plkst. 13:54
Man gan liekas, ka tik vienkāršu "piekariņu" varētu diezgan ātri atkost, jo viss teikums ir loģiski vārdi, bet pēdējie trīs burti konkrēti lec ārā, un turklāt visi ir ņemti no viena diezgan īsa vārda, kas "laimīgajam atradējam" arī mētāsies tur pat blakus.
Ieva
2012. gada 4. oktobrī, plkst. 09:53
Tieši šo es izgudroju pagājušajā nedēļā. Paroļu lapiņas es zaudēju, neloģiskas burtu, ciparu un zīmju kombinācijas aizmirstu, tādēļ mazliet dīvains saliktenis ar simboliem dažu burtu vietā ir ļoti ok ikdienas lietošanā.
edza
2012. gada 4. oktobrī, plkst. 09:56
Sensitīvas paroles ar random simboliem esmu iegaumējis, pārējās ģenerēju vismaz 16 simbolu garas ar lastpass. Nav nekas jāatceras.
KKTK
2012. gada 4. oktobrī, plkst. 10:09
Kāpēc gan ne KeePassX?
laacz Autors
2012. gada 4. oktobrī, plkst. 10:16
Pārāk komplicēti lietotājam parastajam.
stripe4
2012. gada 4. oktobrī, plkst. 17:17
Vēlos pareklamēt LastPass - šis jau pēc noklusējuma autentifikācijas datus tur mākonī (pieejami visur), datu šifrēšanu veic klienta pusē, un kombinācijā ar pārlūkprogrammas spraudni ir vienkārši lielisks.
Kilo
2012. gada 4. oktobrī, plkst. 10:13
Drīzāk jau vajadzētu parunāt par keyloggeriem, paroļu zagšanu atvērtos wifi utt. Boti ārvalstīs vai tad sajēdz burtsimbolu paroles no latviešu valodas?
laacz Autors
2012. gada 4. oktobrī, plkst. 10:17
Par to arī ir vērts parunāt, bet tēma ir baisi plaša. Šī ir viena no vienkāršākajām lietām, kura nozīmīgi uzlabotu vidējo drošības līmeni.
edza
2012. gada 4. oktobrī, plkst. 10:35
Starpcitu parole diezvai tika tā vienkārši minēta. Links, kuru iesūtīja man, bija īsināts 4x un gala links ir redzams šeit + virustotal tas ir atzīmēts kā malware divās datubāzēs.
https://www.virustotal.com/url/63c4105ce9517484823629dc6794bf6f32d3591428474d8863e7d00310986ab2/analysis/
Paroles maiņa ir ok. Ir ok arī nevirināt visus linkus, ko Jums iesūta. :)
Tom
2012. gada 4. oktobrī, plkst. 10:41
Autorizācija, kas balstīta tikai uz parolēm ir lemta neveiksmei jau no paša sākuma. Un ir pilnīgi vienalga vai tev pieci pliki zirgi vai ¤%&/#RTW/&.. Tas ir nedrošs autorizācijas veids, jo balstās tikai uz vienu faktoru. Otrs vājais posms visā šajā pasākumā, ir aizmirsto paroļu atgādināšanas/resetošanas process. Kaut vai pēdējais skaļais gadījums, kad kādam žurnālistam tika nahrenizēta visa info no visiem ābola devaisiem - tas varēja notikt tikai pateicoties vājajam paroļu resetošanas procesam (http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/)
Šobrīd vienīgais pareizais un drošais veids ir izmantot 2F autorizāciju visur, kur vien tas iespējams. Paroļu autorizācija nāk no pašiem datoru pirmssākumiem un tas ir jau vairāk nekā 20 gadus novecojis autorizācijas veids. Ja tev nav 2F autorizācija, vari uzskatīt, ka teorētiski tu jau esi upuris..
Vilx-
2012. gada 4. oktobrī, plkst. 10:53
Taisni gribēju ieminēties par to, ka vismaz Google un Yahoo jau labu laiku piedāvā 2-faktoru autentifikāciju. Laacz, lūdzu, uzraksti arī par to! Tas ir ne mazāk svarīgi, jo visas Tavas superslepenās paroles ir pie kreisās pakaļkājas, ja kāds dabon piekļuvi Tavam e-pastam.
Pārējiem cilvēkiem, kas varbūt nezin, kas ir 2F autentifikācija - Tu piesaisti savu mobilā telefona numuru pie sava e-pasta. Tad, kad ielogojies e-pastā, Tev uz SMS pienāk kods (bezmaksas!), kuru vēl papildus jāievada, lai varētu tikt klāt. Tagad neviens bez Tava telefona nevarēs tikt pie Taviem e-pastiem.
Lai procesu atvieglotu, vismaz GMail gadījumā, ir vēl 2 iespējas - var ielikt ķeksi "atcerēties šo datoru 30 dienas", un tad kādu brīdi kods nebūs jāievada. Tas noder uz saviem mājas/darba datoriem.
Tāpat arī, ja Tev ir smartfouns, tad var dabūt arī appu, kas šo kodu ģenerē, pat bez interneta vai telefona zonas (tas tiek rēķināts no pulksteņlaika un ir derīgs samērā nelielu skaitu minūšu).
laacz Autors
2012. gada 4. oktobrī, plkst. 10:55
Jep, es sāku jau rakstīt, bet process ir diezgan sarežģīts - vēl aizvien meklēju vienkāršus vārdus, terminus un salīdzinājumus :)
angelz
2012. gada 5. oktobrī, plkst. 19:21
A kā ar tiem kodiem caur mobilo tas pasākums darbojās teiksim caur thunderbird, vai tiem pašiem mobilajiem devaisiem?
djhurio
2012. gada 22. oktobrī, plkst. 15:12
Šiem gadījumiem ir iespēja ģenerēt application-specific passwords http://support.google.com/accounts/bin/answer.py?hl=en&answer=185833
Vilx-
2012. gada 4. oktobrī, plkst. 10:56
Varbūt iedvesmai derēs šis rakstiņš, vai kāds, uz kur tas linko: http://www.codinghorror.com/blog/2012/04/make-your-email-hacker-proof.html
Vilx-
2012. gada 4. oktobrī, plkst. 10:59
P.S. Ja vajag palīdzību rakstiņa veidošanā, es piesakos, jo arī jau sen vēlos popularizēt šo lietu. Atsūti man uz e-pastu savu Skype vārdu, varēsim diskutēt dzīvajā. :)
laacz Autors
2012. gada 4. oktobrī, plkst. 11:03
Ja nu kas, e-pasta adrese sākas ar laacz un beidzas ar laacz.lv :) Man kaut kur arī drafts mētājās.
Vilx-
2012. gada 4. oktobrī, plkst. 11:11
Ā, atradu pats. Tā iet, ja skaipā norāda savu īsto vārdu un weblapu. :)
Mazauto
2012. gada 4. oktobrī, plkst. 11:47
a man iepatikās komentos minētā pirmo burtu metode... :) Tagad pielipa dungot dziesmiņas ar pirmajiem burtiem... aaargh... :D
Lidotājs
2012. gada 4. oktobrī, plkst. 11:48
Es mēdzu izgudrot tāāādas paroles, ka jau pēc pusstundas to vairs neatceros. Pat ja es atceros, tāpat internetbankas pēc kāda laika piespiež nomainīt paroli. Tāpēc es diezgan bieži eju uz banku, lai atjaunotu savu internetbankas paroli.
Risinājums? Paroļu menedžeris, piemēram "KeePass"! Es tagad nemaz neatceros, kāda ir internetbankas parole, atceros tikai galveno (master) paroli un tālāk ir tikai CTRL+V.
Kā jau zināms, katrā vietnē jāizmanto cita parole. It īpaši jāsargā e-pasts, jo, ja to uzlauzīs, paķers līdzi VISU interneta vietņu kontus.
x
2012. gada 5. oktobrī, plkst. 14:10
Bet tu, kad maini paroli, liec to pašu veco, tikai piekabini tai galā pāris burtus (kādu īsu vārdu). tava parole pamazām kļūs arvien garāka un sarežģītāka, bet atcerēties būs viegli.
Vispār man liekas, ka reālajā dzīvē prasība regulāri mainīt paroli tikai samazina drošību. Ja to internetbanku izmantoju reti, tad paroli man jāmaina gandrīz pie katras pieslēgšanās. Ja kāds kaut kādā veidā dabūtu manu paroli, tad tūlīt pacenstos to izmantot, un neko nedotu tas, ka pēc mēneša banka man liktu paroli nomainīt. Tipa, nav jau tā, ka parole ar laiku sabojājas, līdzīgi kā piens ledusskapī. Ja nu vienīgi interneta provaideris saglabā visu datu apmaiņu starp banku un manu datoru, un mēģina no tā izlobīt manas paroles un kodu kartes cipariņus. Tad gan ar laiku viņam sakrājas vairāk piemēru.
PiRX
2012. gada 4. oktobrī, plkst. 12:30
Patiesībā "veci pliki zirgi" ir tikai nedaudz drošāks variants. Vienkārši brūtforsējot jāpārlasa nevis burtu kombinācijas, bet vārdu. Ņemot vērā, ka vidusmērā cilvēka vārdu krājums ir daži tūkstoši, tad iespējamo variantu skaits ir samērā neliels, ja tiek lietoti īsi teikumi.
Vot "zaļi rūķĪši rietošās saules staros dzēra aizvakardien@s tēJu" būs stipri smagāks variants.
Vilx-
2012. gada 4. oktobrī, plkst. 12:49
Arī ievadīšanai. :D
Pauls
2012. gada 4. oktobrī, plkst. 13:53
Raksta īsā versija.
Pret konkrētu džeku ir veikts "atentāts", kā rezultātā ir uzlauzta viņa parole. Visiem tagad nepieciešams doties un nomainīt paroles pret 30 simbolu gariem tekstiem ar prefiksiem un postfiksiem.
Neturpiniet būt upuri.
laacz Autors
2012. gada 4. oktobrī, plkst. 13:54
Pret kuru džeku?
Pauls
2012. gada 4. oktobrī, plkst. 14:43
Raksts sākas ar tēzi:
[...]Ja ticēt plašajiem internetiem, tad pēdīgais tvitera tārps, kurš pārņem tavu kontu un izsūta visiem sekotājsekojamajiem ziņas, izmanto to, ka daudziem cilvēkiem ir ļoti vājas paroles.[..]
Pievienotajā saitē ir runa par lietotāju @blanket , kuram brute force veidā it kā esot uzlauzta parole.
Vai ir kāds twitter statements par šo? Varbūt lietotājam vienkārši tika nosniffota parole kādā publiskā wifi zonā.. Un pat ja ir izmantota minētā brute force metode, tad tas ir uzbrukums ar konkrētu mērķi- tā nav nekāda masveida problēma.
Daudz lielāka problēma ir visi "autorizētie servisi", kas lietotāja vietā sūta spam ziņojumus saviem followeriem.
laacz Autors
2012. gada 4. oktobrī, plkst. 14:44
Es Tev labprāt piekristu, taču pats gāju ciemos pie diviem upuriem, kuriem nebija nevienas autorizētas aplikācijas, bet PM gāja rūkdami.
KKTK
2012. gada 4. oktobrī, plkst. 15:05
Uzmanās ar 30 simboliem! Es Un!bankā ievadīju parole virs 20 zīmēm un pie nākamā logina vairs nestrādā, jo izrādās limits un pēdējie simboli norauti. Paypal arī max ir 20 zīmju parole, tur tikai visu godīgi noķer un liek saīsināt paroli.
e-remit
2012. gada 6. oktobrī, plkst. 00:10
Man šī problēma bija, kad jaunā Swedbankas versija testējās - vecajā versijā mierīgi tiku iekšā, jaunajā netiku. Tikai pēc tam, kad supportam pierādīju, ka problēmas ir viņu pusē (jo parole no KeePass iekopēta), šamie atzina, ka jaunajau swedbank versijai mana parole ir par garu.
HIGH-Zen
2012. gada 4. oktobrī, plkst. 14:35
Pavisam nesen nolēmu ieviest kārtību paroļu lauciņā. Iepriekš bija gan vārdi ar papildus simboliem, gan pirmo burtu metode. Nebija mainītas gadus 10 :) Un zināju jau sen, ka ar brute-force tās būtu laužamas maksimāli 2 stundu laikā. Kādreiz sporta pēc atguvu XP paroles nelaimes putniem, kas tās bija aizmirsuši (vienkāršāk protams ir reset-ot uzreiz). Izvēlējos KeePass - 20 simbolu master parole un tāpat visas citas - dažādas 20 simbolu random paroles (100+ biti).
ilarions
2012. gada 4. oktobrī, plkst. 14:37
lietoju garas un sarežģītas paroles, iesaku to visiem, bet nesenā twitterspama uzrašanās nav saistīta (manuprāt) ar kādu 'brutte force", drīzāk ar kaut kādiem vīrusiem u.c. drazwāri
Normunds
2012. gada 4. oktobrī, plkst. 17:03
Domāju paranoja mazliet nevietā. Varētu padomāt, ka paroļu laušana ar bruteforce ir ikdiena. imo lielākā daļa paroļu noklīst vai nu tāpēc, ka tās ir 12345 qwerty vai ar phishing metodēm. Tādu aunu pietiek lai viņu kontus izmantotu vēl 10 gadus bez jebkādiem bruteforce.
krisha
2012. gada 4. oktobrī, plkst. 17:12
Un nez cik eksemplāriem pirms un pēc, pieminot zirgus tavā piemērā, būs MZGD garā versija? :) (kas nav no tā laika - Mans zirgs grib dirst)
crab
2012. gada 4. oktobrī, plkst. 17:48
cenšos galvā vizualizēt vecu zirgu :) nesanāk.... Bet laikam jau cenšoties vien atcerējos :)
Māris
2012. gada 4. oktobrī, plkst. 20:45
Nevajadzētu aizmirst, ka paroles maksimālā iespējamā sarežģitība ir ierobežota ar bitu skaitu, kas tiek izmantots hash funkcijā. Protams 128 vai labāk 256 biti nav maz, bet tomēr.
Pret brute force jebkura prātiga sistēma tiek aizsargāta ar mākslīgu pauzi pēc nepareizi ievadītas paroles, ir arī vietas, kur parole tiek bloķēta. Attiecīgi arī paroli "trallala" var nebūt viegli uzminēt pie šī nosacījuma. Sliktāk ir ja "aizvelk" paroļu hash failus - tad protams šāda parole ilgi neturēs.
usinss
2012. gada 4. oktobrī, plkst. 22:07
Vari kaut vai eseju ierakstīt parolē, bet ja serveris un savienojums nebūs drošs (kriptēts) tad nekādas jēgas. kas gribēs, tas nosnifos. jo īpaši LTK tīkls ir ļoti caurs... kā minimums viena mikrorajona ietvaros. un tur arī viss beidzas.
N.R.
2012. gada 5. oktobrī, plkst. 09:22
Ideja laba. Visiem raudātājiem - raksts ir domāts tiem, kas visur tur vienādu grūti atminamu paroli. Nav runa par neuzlaužamām parolēm, runa ir par veidu kā vieglāk atcerēties paroles, nezaudējot drošību. Visas paroles var uzlauzt, dažādos veidos. Par to nav runa.
Vecs pliks zirgs
2012. gada 9. oktobrī, plkst. 17:51
Jā, beidzot laacz sāk rakstīt arī kaut ko sakarīgu. Tātad, es piekrītu tiem, kas saka, ka pareizākais ir izmantot 2 faktoru autentifikācijas (tas ir, tās ir jānodrošina attiecīgajiem servisiem). Kāpēc? Ļoti elementāri, jo gandrīz vienmēr pirmais faktors ir parole jeb kaut kas, ko lietotājs zina (tātad, var arī izmuldēties vai citādi neuzmanīgi šo informāciju atklāt), taču otrais vienmēr ir kaut kas, ko lietotājs nezina un nevar ietekmēt - viņa biometrija (pirkstu nospiedumi) vai "tokens". Pat ja pārķer tokenus, nianse ir tāda, ka tas tokens ir derīgs tikai neilgu laika sprīdi un jebkādu svarīgu darbību apstiprināšanai vajadzīgs jauns tokens. Par augstas drošības nepieciešamības sistēmām cilvēki parasti uzskata internetbankas, apdrošināšanas sistēmu kontus un citus, kur glabājas "jūtīga" informācija (kā personas kods, piemēram). Bet es teiktu, ka saistībā ar e-pasta ciešos saistību ar šo visu (paroļu atjaunošana...), jāsāk arī pret e-pasta kontu izturēties kā pret paaugstinātas drošības vidi, kurai arī nepieciešama 2 faktoru autentifikācija vai vismaz iespēja to izvēlēties. Protams, ka visiem savienojumiem jābūt šifrētiem, par to pat nevar būt ne runas! Kāda jēga uzsvērt zema līmeņa servisus, kas neko no šī nenodrošina un apgalvot, ka viss ir ļoti nedroši!? Nesen bija gadījums, kad atklāja viena deputāta interneta pārlūkošanas vēsturi, kas glabājās Google kontā. Izrādās, ka šim patīk skatīties zoofīlijas aktus un šis meklē "eskortservisu Ogrē". Protams, smieklīgi, bet ņemsim vērā, ka šāda informācija tiek iegūta un ir interesanta tikai tad, ja esi politiķis, slavenība vai nodarbojies ar "lielām lietām", piemēram, biznesu. Publiskots viss tiks tikai, ja esi politiķis vai slavenība - tāds viņiem bizness! Ejot politikā, cilvēks jau pieliek sevi pie kauna staba pēc definīcijas, pat būdams krietni "tīrāks" par sabiedrības vairumu...
Vecs pliks zirgs
2012. gada 9. oktobrī, plkst. 18:01
Vēl piebildīšu, ka, manuprāt, 2F kombinācija "something, that user knows" (parole) un "something, that user is" (biometrija) ir derīga tikai iekšējā lietošanā, kur dati nelien ārā pa Firewall nemaz uz "internātu", bet interneta autentifikācijai labāk būtu "something, that user knows" un "something, that user has" (tokens).
edGars
2012. gada 10. oktobrī, plkst. 08:00
Vērtīgi.
Antons
2012. gada 10. oktobrī, plkst. 09:14
Nu kādēļ muldēt par lietām, no kurām nav ELEMENTĀRAS sajēgas?? Kāds muļķītis kaut kur Netā uzraksta, un latvju pajoliņi atkārto kā Bībeles patiesību!! Vairāku ar tukšumiem atdalītu vārdu uzminēšana ar vārdnīcas metodi NAV sarežģītāka par viena vārda uzminēšanu. Attiecīgi "pieci latvju lohi gudri muld" uzminēšana aizņem 2^5=32 reizes vairāk laika, nekā "zirgs". Un tās ir joprojām ir pāris sekundes...
laacz Autors
2012. gada 10. oktobrī, plkst. 09:15
Ignorēšu acīmredzami mazvērtību kompleksu radīto toni. Tev taisnība būtu tikai tad, ja būtu skaidri zināms, ka parole sastāv no 5 vārdiem.
Kā es vēlos sevi dēvēt? Nekā!
2012. gada 11. oktobrī, plkst. 00:08
Anton, tu tikko parādīji, ka tev ir problēmas ar elementāru loģisko domāšanu. Nav nozīmes, cik vārdu ir parolē, jo parole nezinātājam jebkurā gadījumā ir ******... (n-reizes atkārtojas zvaigznītes, pat nav svarīgi, vai n ir zināms vai nē), kurā var būt JEBKAS no atļautajiem simboliem. Tā kā vārdos ir atšķirīgi burti atšķirīgās kombinācijās, tad "AAAAA", "BBBBB", "1234567" minējumi nelīdzēs, lai atlauztu paroli (tas par vienkāršību un ātrumu). Turklāt, jo vairāk simbolu, jo grūtāk atlaužama parole, jo nav zināms, kas tajā iekšā. Ja ir droši zināms (vai iespējams "droši" nojaust), ka tajā ir vairāki latviešu vai angļu valodas vārdi, tad vēl paliek tāds "sīkums" kā noskaidrot, kādas valodas vārdi tur (varbūt pat valodas jauktas) un cik vārdu tur ir, jo vārdu garums ir dažāds, vienādā simbolu skaitā var ietilpt dažāds daudzums vārdu. Tas viss komplicē paroles atlaušanu ļoti smagi. Varbūtību teoriju esi mācījies? Ja nē, iesaku iemācīties, ja jā, tad iesaku pamatīgi atkārtot!
Lineāls
2012. gada 12. oktobrī, plkst. 14:40
Anton, tevi skolā matemātiku ar lineālu vajadzēja mācīt! [varbūtība ka uzminam cik ir vārdu] reiz [varbūtība ka uzminam ar ko atdalīti vārdi] reiz [varbūtība, ka aiz/pirms vārdiem seko vēl kādi simboli/skaitļi] reiz [1 vārda uzminēšans varbūtība] reiz [2 vārda uzminēšans varbūtība] reiz ... [ntā vārda uzminēšans varbūtība] reiz [vēl kautkādi simboli]
usinss
2012. gada 16. oktobrī, plkst. 02:02
Nu ja godīgi, tad viss atkarīgs kā paroles tiek glabāts, kādā kodējumā. Ja utf-8 tad bitu skaits uz simbolu atšķiras, ja kādā citā formātā (ANSI) tad atkal itu skaits uz simbolu atšķirās. Tāpēc ja godīgi, tad vari kaut vai prozu glabāt, bet ja zina kodējumu tekstam kādā glabājas db (letiņiem 70% UTF-8), tad aptuveni zini kā lauzt vaļā.
P.S- Te aktīvi ieska lietot atstarpi, bet nu tas ir tas pats spec simbols, kur viens simbols tiek kodēts izmantojot vairākus citus, tas pats notiek ar $#^$*@(!) simboliem. Tie neglabājas tīrā veidā. Tāpēc ir stulbi uzskatīt ka parole: "es gribu drosu paroli" būs kaut par 1 sekundi ilgāk uzlaužama par paroli: "es%gribu&drosu^paroli" nebūt nē. Bet ja a un s aizstāj ar kādu citu simbolu, tad šī parole sastāvēs no vairāk simboliem un vairāk bitiem, kas to padarīs par grūtāk uzminamu paroli. Un nāksies ilgāk mocīties. Bet kāda jēga vispār taisīt brute force, ja normāls serviss paņem un noloko pēc 3 vai 4 mēģinājuma? Vienmēr būs labāk nozagt DB un kodēt to vaļā. Tas notiek ahunā ātrāk. Pietiek atkodēt 1 paroli (pats uztaisa kontrolietotāju ar kontrolparoli) un zināsi gan kodējuma algoritmu gan tā saucamo iesālīto vārdu.
Tā kā visi mēs paļaujamies uz koderu kosīnusu elkoņos. Ja tie nespēs nosargāt serveri un datubāzi, tad varam lietot garākās paroles, bet neko tas nedos. bet ja koderis ir pratis savu darbu, tad parole "P@r0l31_gaizins" būs viss kas nepieciešams.
Tāpec jau sensenos laikos, kad koderis bija kaut nedaudz apveltīts ar saprašanu, parastajam mirstīgajam pateica, lai tas lieto neordinārus simbolus kā !@#$%^&*()_+|\ savās parolēs, un to būs grūtāk uzminēt no cilvēciskā faktora, jo koderis parūpēsies par otro pusi. Jo ja šī sitēma nebūtu strādājusi, tad praktiski jebkurš forums būtu nonests uz ausīm utt. Bet pārsvarā to saitu nones uz ausīm, ja ir bijis "meistars", kurš pažēlo tos 60ls gadā par droši parakstītu ssl sertifikātu + paroles normālu kriptēšanu un datubāzes piekļuves kontroles ieviešanu. Un protams servera un tā programmatūras atjauninājumi nav jāignorē, ja vien pats netaisi labojumus manuāli.
laacz Autors
2012. gada 16. oktobrī, plkst. 08:37
Atstarpe un !@#$%^&*()_+|\ ir ASCII kodējuma sastāvā un glabājas kā viens baits katrs.
usinss
2012. gada 16. oktobrī, plkst. 09:36
Nu es jau saku, bet utf-8 4 baitus. Tāpēc rakstīju, ka arī svarīgāka ir servera puse nevis lietotāja izdoma. Un ir labāk, ka lietotājs veido paroles, kuras nav pārāk sakarīgas, lai atslēgtu cilvēcisko faktoru. Bet nu ja godīgi, mūsdineās parole ir noiets etaps, jo pārāk daudz lietotāju ir saradušies un aizvien palielinās varbūtība, ka cilvēki lieto vienādas paroles. Bet nu paroļu topi pierāda, ka populārākās paroles reti izmanto !@#$%^&*()_+ simbolus.
Lineāls
2012. gada 18. oktobrī, plkst. 13:26
usinss, man šķiet ka tu neesi sapratis vienu būtisku lietu - paroles NEGLABĀJAS. Datubāzē glabājas hash vērtība parolei. No šī viedokļa skatoties nav nekādas starpības, vai hash tiek iegūts no l3~3!x@4k3r vai tu-stulbeni-neatkodisi-sho-paroli. Abos gadījumos tev ir neizprotama skaitļu virtene no kuras tieši tu nekādu vērtīgu informāciju neiegūsi.
usinss
2012. gada 18. oktobrī, plkst. 21:02
bet nu hash jau ir tā kodētā parole, kaut vai checksum. Bet ja es izveidoju testa ACC, kur zinu visus mainīgos, tad samērā īzī varu izvilkt ārā pārējās paroles. vispirms vienkārši jātiek galā ar saviem datiem.
Mataks
2012. gada 19. oktobrī, plkst. 09:44
Diemžēl paroļu sarežģītībai nav izšķirošas nozīmes. Kapēc? Kā mainot paroli tā tiek nosūtīta un pārbaudīta uz sarežģītību? (atbilde ir baisa - plain text) un tas attiecas uz 90% sistēmām
Lineāls
2012. gada 19. oktobrī, plkst. 10:18
usinss, es tūlīt nogāzīšos no krēsla! Lūdzu apraksti konkrētu procesu, kā tu "īzī izvelc paroles" un kā šajā procesā darbosies tavs testa akaunts?
Vaards
2012. gada 25. oktobrī, plkst. 13:12
Izlasīju rakstu un arī komantārus, bet tā arī nepamet sajūta, ka paroles a un b ir vienādi drošas: a) 1111 b) 5_peleeki_vilki_mezhaa_churaa
Varbūtības aprēķinos ir jāskaita nevis cik ilgu laiku prasa piemeklēt dažādas kombinācijas atkarībā no pielitoto simbolu sarežģītības un daudzuma, bet gan visi citi faktori - vienas(!) paroles lietošana visur; paša servis drošums, datora drošums nno kura to pieslēgšanos veic, interneta pieslēguma drošums, lapiņas drošums uz kuras tā parole uzrakstīta un pielīmēta pie monitora.
No biznesu procesu vadības viedokļa skatoties, papildus sarežģītība un ņemtne ar mobilo telfonu pavairo iespējamās variācijas un varbūtiskos variantus kādām kaut ko un kaut kad izshēmot.
Intereses pēc savam Googles loginam tiko pamēģināju nepareizo paroli iebarot. Neskaitīju, bet pēc kāda 10 vai 15 mēģinājuma izmeta "kapču". Attiecīgi parolei jābūt tik drošai, lai bruteforce savos pirmajos 1-15 mēģinājumos to neatkož. Pārējos variantos parole ir vienādi droša.
V.
p.s. Starp citu, parole 1111 man bija 1997.gadā hotmail.com epastam, ko lietoju bezgala ilgi ~10.gadus laikam. Tavu brīnumu, neviens tur nebija ielīdis. Pēc tam man Hotmails uzmacās ar paroles maiņu, izveidoju tam kaut kādu supergaru hārdkōru, to aizmirsu un arī par pašu kontu attiecīgi aizmirsu. Sanāca, ka drošā parole ir nedrošāka - savu maila akountu biju spiests zaudēt.
Jazznfunk
2012. gada 5. novembrī, plkst. 10:54
BTW Windows 8 instalācijas laikā pieprasītais Microsoft acoount arī ir izvēlīgs uz paroles simbolu skaitu. Ne mazāk par 8, ne vairāk par 16, jābūt obligāti 2 simboliem Upper Case un kas tur vēl.
8 simbolus es saprotu, bet pārējo gan lieku (Microsoft ērtību dēļ) varēja nesarežģīt!
tetapat
2013. gada 19. janvārī, plkst. 04:06
Mūsdienās vairs nav svarīgi kāda ir Tava parole, jo ja mēs saslēdzam vairākus GPU kopā, saliekam smukā kubikmetra čupā, dzesējam un vēl pie tam zinam kādā hešā vajag atkost šo paroli, mums ir svarīgi vai mūsu ģenerētais hash atbilst Tavas paroles ģenerētajam hešam, un vēl ja nu gadījumā ar to nepietiek varam izmantot Rainbow Table ...
Bet piekritīšu OP, lai nebūtu pārāk viegls mērķis, labāk pierakstīt uz lapiņās paroli līdzīgi šai "nodIAS89)#!@Nn##" un ar laiku jau iegaumēs.
Bet lielākoties viss ir atkarīgs no hosta drošības, viņš var uzstādīt optimizētu PBKDF2, kur iespējams ir 200 h/s vai arī SHA-1,kur ir iespējams 480m h/s .. utt.