Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: aa 16. 08. 2017, 13:28:22

Název: Zapamatovatelné heslo a slovníkový útok
Přispěvatel: aa 16. 08. 2017, 13:28:22
Ahoj,
pořád čtu, že lepší než složité komplexní heslo je lepší correcthorsebatterystaple.
No matematicky asi ano, ale copak si s tím druhým neporadí jednoduše slovníkový útok?

Díky
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Petr 16. 08. 2017, 14:01:20
Jednoduchy slovnikovy utok ne. Predpokladam, ze mluvime o ctyrech nahodne vybranych slovech a ne o konkretni frazi z  https://xkcd.com/936/.  Moznost existence gigantickeho slovniku vsech 4 slovnych kombinaci si dovolim zavrhnout. Musi to byt adaptivni slovnikovy utok ktery bude kombinovat vyrazy ze slovniku. A potom uz to bude casove narocnejsi nez bruteforcing 8mi znaku.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: nou 16. 08. 2017, 14:20:49
staci si to zratat. ak by sa spravil vyber z 2000 slov tak 2000^4= 1.6e13 moznosti ak zoberieme velke male pismena tak 52^8 = 5.3e13 moznosti takze prakticky rovnaka narocnost co sa tyka bruteforce ale musite si pametat len 4 slova namiesto 8 pismen.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Milfaus 16. 08. 2017, 15:00:52
staci si to zratat. ak by sa spravil vyber z 2000 slov tak 2000^4= 1.6e13 moznosti ak zoberieme velke male pismena tak 52^8 = 5.3e13 moznosti takze prakticky rovnaka narocnost co sa tyka bruteforce ale musite si pametat len 4 slova namiesto 8 pismen.

Slovníkové útoky počítají s heslem, které má na začátku 0 nebo 1 a na konci zkouší až čtyři kombinace, vesměs pro čísla začínající 1 a 2 (lidi dávají pitzoviny jako 1980 nebo 2000. Pokud někdo použije heslo 8polibpr.el8kosum je to dost obtížně uhádnutelné, bohužel rodina Čuramrdánů z Debilova (dost rozšířená rodina s hromadou příbuzných) ti bude nutit, že heslo musí obsahovat ještě jedno velké písmeno, znak gangu, roh jednorožce a býti psána krví panny....
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Radovan. 16. 08. 2017, 15:58:23
Nejlepší je takové heslo, jehož sílu otestuješ v nějakém online sběrači, totiž testeru hesel ;D
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Filip Jirsák 16. 08. 2017, 17:14:59
pořád čtu, že lepší než složité komplexní heslo je lepší correcthorsebatterystaple.
No matematicky asi ano, ale copak si s tím druhým neporadí jednoduše slovníkový útok?
U hesel vždycky porovnáváte, kolik je možných variant hesla vytvořeného podle daných pravidel. Když budete počítat s tím, že heslo je jedno české slovo napsané malými písmeny, vybíráte heslo ze slovníku dejme tomu 100 000 českých slov (nemá smysl řešit, zda to bude o pár desítek tisíc víc nebo míň, protože je to stejně zoufale málo).

Když budete počítat, že heslo je náhodně vytvořené, obsahuje jen malá písmena anglické abecedy (tj. 26 znaků) a má 8 písmen, je to 268, tj. nějakých 200 miliard možností (200×109 plus nějaké drobné). Když budete počítat stejně dlouhé heslo s malými a velkými písmeny anglické abecedy a číslicemi (tj. 2×26 + 10 = 62 znaků), je to 628, tj.něco přes 200 bilionů kombinací (200×1012 plus nějaké drobné).

Když si to spočítáte pro ta čtyři slovníková hesla (se slovníkem o 100 tisíci slov), je to 100 0004, tj. 1020. Stejného počtu variant dosáhnete se 14znakovým heslem složeným z 26 malých písmen anglické abecedy, nebo s 12znakovým heslem z 62 znaků. A nebo když přidáte k těm malým a velkým písmenům a číslicím ještě deset symbolů, bude vám stačit 11 znakové heslo.

Takže jednoduše si s tím slovníkový útok neporadí, ale žádné terno takové heslo ze čtyř slov také není. Navíc na spoustě míst je délka hesla omezená, a někdy o tom ani nemusíte vědět, takže si budete myslet, jak silné máte heslo, a přitom se použije třeba jen prvních osm znaků, takže jeden a půl slova. Psaní tak dlouhého hesla je také nepohodlné a je tam větší pravděpodobnost překlepu. A pak je tu samozřejmě možnost, že vám někdo bude koukat pod prsty, a slova z toho hesla (alespoň přibližně) pozná.

Každopádně komplexních hesel potřebujete spoustu, takže zapamatovat si čtyři slova vám nepomůže. Takže stejně potřebujete nějakého správce hesel, a ten si náhodně vytvořená hesla s číslicemi a symboly zapamatuje bez problémů.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: JardaP . 16. 08. 2017, 17:52:09
Toz, kdyz vezmu correcthorsebatterystaple a nekam tam pridam dvojtecku a treba strednik, tak si to furt snad zapamatuju a utocnik se slovnikovym utokem je v p​r​d​e​li a nezbyde mu nic jineho, nez brute force a to bych tedy chtel videt.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Filip Jirsák 16. 08. 2017, 17:57:47
Toz, kdyz vezmu correcthorsebatterystaple a nekam tam pridam dvojtecku a treba strednik, tak si to furt snad zapamatuju a utocnik se slovnikovym utokem je v p​r​d​e​li a nezbyde mu nic jineho, nez brute force a to bych tedy chtel videt.
To platí pouze v případě, kdy útočník tohle vaše pravidlo nezná. Pokud by věděl, že jste mezi slova možná přidal některý z devíti symbolů, pořád může použít slovníkový útok, akorát to bude mít 1000× obtížnější. Tedy stejně, jako byste na konec toho hesla přidal tři číslice.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: romanz 16. 08. 2017, 18:43:00
nejlepší je zvolit jako heslo nějakou hlášku z oblíbenýho filmu, knihy atp. čítající pár slov a případně i použít někde velký písmena. Takový heslo je totálně neodhalitelný (teda pokud tou hláškou nejsem proslulej u kamarádů v hospodě)
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Filip Jirsák 16. 08. 2017, 18:53:02
Takový heslo je totálně neodhalitelný (teda pokud tou hláškou nejsem proslulej u kamarádů v hospodě)
A nebo pokud někdo neví, že jako heslo používáte právě nějakou hlášku z filmu. To se z toho rázem stává slovníkový útok s velmi malým slovníkem.

Problémy se všemi těmihle pomůckami s jednoduchými pravidly jsou v tom, že fungují jedině tehdy, pokud útočník neví, že používáte takové jednoduché pravidlo. Což se zajišťuje mnohem obtížněji, než se zdá.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: JardaP . 16. 08. 2017, 19:41:27
To platí pouze v případě, kdy útočník tohle vaše pravidlo nezná. Pokud by věděl, že jste mezi slova možná přidal některý z devíti symbolů, pořád může použít slovníkový útok, akorát to bude mít 1000× obtížnější. Tedy stejně, jako byste na konec toho hesla přidal tři číslice.

Ano, jiste. Nebudo samozrejme hlasat v TV nOha, jakym zpusobem sestavuji heslo, nehlede na to, ze sam pouzivam skoro vsude nahodne smeti znacne delky a password manazer.

Utocnik pravidlo znat nebude a i kdyby tusil, nikde neni receno, ze tu dvojtecku davam zrovna mezi slova. Tim se slovnikovy utok dale naboura.

Pochopitelne zalezi take na tom, kdo po vas jde. Pokud NSA, tak doporucuji lepsi zabezpeceni.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: dic 16. 08. 2017, 19:53:47
nejlepší heslo je ruby -e 'p "".tap{|o|8.times{o<<("0"..."z").to_a.sample}}'
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: gll 16. 08. 2017, 20:14:09
nejlepší heslo je ruby -e 'p "".tap{|o|8.times{o<<("0"..."z").to_a.sample}}'

v čem je to lepší než pwgen -y1 ?
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: gll 16. 08. 2017, 20:22:57
nejlepší heslo je ruby -e 'p "".tap{|o|8.times{o<<("0"..."z").to_a.sample}}'

Ta hesla nebudou obsahovat "z". Nechtěl jste napsat "0".."z" ?
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: dic 16. 08. 2017, 20:41:21
pwgen neznám. A ... byl jen test všímavosti rozdílu mezi .. a ... . I tak rozsah 0–y j je omezený, lepší bylo zleva nulu nahradit mezerou a vpravo y nahradit }(0x7E)  (ascii  končí Z{|}).
Případně tam dodat unicode znaky (s diakritikou) a dokonce ještě emoji (ty mají kód >65535)
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Filip Jirsák 16. 08. 2017, 20:55:20
Nebudo samozrejme hlasat v TV nOha, jakym zpusobem sestavuji heslo
To nemusíte. To, že Romanz nejspíš používá hlášky z filmů, se ovšem pozná už ze dvou jeho hesel. A jeho heslo může znát provozovatel každého webu, kde má účet.

Utocnik pravidlo znat nebude a i kdyby tusil,
Jak jsem psal, jednoduchá pravidla mají tu nevýhodu, že je jednoduché je odhalit.

nikde neni receno, ze tu dvojtecku davam zrovna mezi slova
Jistě. Jenže tím se zase podstatně komplikuje zapamatování i zadávání hesla.

sam pouzivam skoro vsude nahodne smeti znacne delky a password manazer.
Ano, to je jediné spolehlivé řešení.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: ghjiop 16. 08. 2017, 23:23:30
Pri pisani hesla obcas stlacam pravy alt.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: JardaP . 17. 08. 2017, 10:14:55
Pri pisani hesla obcas stlacam pravy alt.

To se pak pobavite, az budete treba v Nemecku, Anglii nebo USA.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: ivoszz 17. 08. 2017, 12:50:47
Ano, to je jediné spolehlivé řešení.
Tohle je jediné spolehlivé řešení do doby, než autor password manageru dostane zálusk na vaše hesla nebo se mu tam někdo nabourá.

Myslel jsem, že víte, že neexistuje žádné spolehlivé řešení...
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Filip Jirsák 17. 08. 2017, 13:11:49
Tohle je jediné spolehlivé řešení do doby, než autor password manageru dostane zálusk na vaše hesla nebo se mu tam někdo nabourá.
To, že autor password manageru ten program upraví, aby mu hesla poslal, ještě neznamená, že si tu upravenou verzi nainstaluju a že mu dovolím hesla odeslat. To samé platí, pokud by se někdo naboural autorovi do účtu a tu upravenou verzi vydal za něj.

Myslel jsem, že víte, že neexistuje žádné spolehlivé řešení...
Já jsem myslel, že tohle ví každý, a že to tedy není nutné psát do každého komentáře.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: JardaP . 17. 08. 2017, 14:56:54
Myslel jsem, že víte, že neexistuje žádné spolehlivé řešení...

Uz jste zkousel nosit hesla na flashce v hermeticem pouzdru v riti? Tam take muzete mit vlastni SW, ktery provede desifrovani souboru (pouze do RAM, nesmi se to vyswapovat).
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: erik80 17. 08. 2017, 19:07:11
najlepsie je napisat heslo na papierik a dat si ho do penazenky. to vam nikto nehackne
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Lol Phirae 17. 08. 2017, 19:13:42
najlepsie je napisat heslo na papierik a dat si ho do penazenky. to vam nikto nehackne

Ano. A doporučuju tam připsat i PINy k platebním kartám.  8)
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: erik80 17. 08. 2017, 19:19:52
najlepsie je napisat heslo na papierik a dat si ho do penazenky. to vam nikto nehackne

Ano. A doporučuju tam připsat i PINy k platebním kartám.  8)

https://www.schneier.com/blog/archives/2005/06/write_down_your.html
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: uklízečka WC 17. 08. 2017, 20:03:07


Uz jste zkousel nosit hesla na flashce v hermeticem pouzdru v riti? Tam take muzete mit vlastni SW, ktery provede desifrovani souboru (pouze do RAM, nesmi se to vyswapovat).
Ani se nesmí provést dump.
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: Lol Phirae 17. 08. 2017, 20:03:45
najlepsie je napisat heslo na papierik a dat si ho do penazenky. to vam nikto nehackne

Ano. A doporučuju tam připsat i PINy k platebním kartám.  8)

https://www.schneier.com/blog/archives/2005/06/write_down_your.html

Ano, napsat si hesla na papírek v peněžence, kde nosím taky veškeré doklady, to je skutečně myšlenka hodná security guru od Microsoftu.  ;D ;D ;D
Název: Re:Zapamatovatelné heslo a slovníkový útok
Přispěvatel: JardaP . 17. 08. 2017, 20:58:47
Ani se nesmí provést dump.

Smi, ale pak se flashka musi zase honem spolknout a pockat, az se zpristupni na vystupu FIFO.