Ja jsem vubec nepsal, ze utocnik nebude zkouset cela slova, naopak jsem psal, ze to zkouset bude.
Aha, a tohle tedy psal kdo, když ne vy?
Tezko bude nejaky Brtute-Force cracker umet tvorit souveti a hadat.
Ovsem se sebe-vykonejsim notebookem nezvadne vice jak kombinaci dvou nahodne vybranych slov
Fakt? Že by nezvládl tři náhodně vybraná slova ze slovníku 10 slov? Mně to vychází na 1000 možných kombinací, to útočník zvládne i s málo výkonným notebookem.
A moznosti je opet extremni mnozstvi.
Používáte pozoruhodný argumentační postup. Nejprve určíte velikost nějaké množiny. Pak zvolíte jinou, řádově menší množinu. Pak ji nějak nafouknete – ale už nezkoumáte jak. A na závěr prohlásíte, že výsledná množina je extrémně velká. Bez jakéhokoli důkazu.
Takže pro vaši informaci – ne každá kombinace českých slov tvoří českou větu. Takže když jste přešel od „pět náhodně zvolených slov“ k „pěti slovům ve větě“, množinu možností jste obrovsky zredukoval. Nevíte jak moc, takže veškerá další práce s touhle množinou je jenom vaření z vody, o množství možností už nevíte nic.
Také byste neměl zapomínat na to, že když se někdo chce spoléhat na to, že si heslo bude pamatovat, musí si to heslo za prvé opravdu a přesně pamatovat, a za druhé musí být schopen to heslo také bezchybně napsat. Pokud tazatel to heslo bude psát každý týden, za souvětí vám pěkně poděkuje. A pokud ho bude psát jendou za několik let, pravděpodobně si vzpomene, o čem to souvětí bylo, v čem spočíval ten vtip – ale pak zjistí, že to pořád dává příliš mnoho kombinací.
Stale ale je tech moznosti vic nez 10^1000.
Jo, a na to jste přišel jak?
Vy jste zase zapomněl na jednu takovou drobnost. Bavíme se tu o generátoru entropie. To znamená, že foťák někam postavíte na stativ, a budete dálkově mačkat spoušť. Můžete ho dát i na servomotory a tím foťákem různě hýbat, ale pořád budete fotit jen obrázky dostupné z jednoho místa. Nebo-li budete fotit pořád to samé. Budou tam sice nějaké odchylky, v závislosti na tom, kam ten foťák bude namířen – ale entropie tam bude nersovnatelně méně, než je počet možných fotek.
A ano, staci mala zmena ve fotce, a hash se totalne zmeni, ne ze ne.
Já jsem také nepsal, že se hash nezmění. Hash se zamozřejmě změní, ale z hlediska entropie je to úplně jedno – entropie tam máte pořád jen tolik, kolik jí bylo na vstupu. Hashování entropii nepřidává.
Entropie fotky a hashovani stejne s puvodnim dotazem nesouvisi.
To vysvětlujte PanuVP, já jsem mu to marně psal už asi třikrát.
Ano, kdyz je heslo slozene ze slov a utocnik pri psani uzivatele pozoruje, odposlechne, nebo natoci na kameru, tak skutecne se ty slova dohadaji lip, nez heslo z nahodnych pismen-cislic. Ale to uz neni o hadani hrubou silou, nybrz dizkuze o tom, jak odchytit heslo jinym zpusobem. A navic je to nadramec dizkuze. Hesla se opravdu hrubou silou nehadaji, nebot to nema smysl.
Jenže je potřeba uvažovat dál. Když nemá smysl hádat kvalitní heslo z plného slovníku hrubou silou, bude se útočník samozřejmě snažit nějak množinu možných hesel omezit. Vzhledem k tomu, že tazatel nepočítá s triviální variantou vygenerovat velmi složité heslo, vytisknout ho na papír a ten schovat, předpokládá útočníka ve svém okolí, který by to schované vytištěné heslo mohl najít. Jenže takový útočník má nejspíš také možnost odposlechnout klapot kláves na klávesnici při zadávání hesla. Když bude mít to heslo nahrané jen jednou a k tomu nějaké další texty, asi by netrefil všechny klávesy správně. Ale když bude vědět tu informaci, že heslo je věta složená z českých slov, může to množství vět, které bude procházet, redukovat třeba na stovky nebo tisíce vět. A z takového slovníku už se hrubou silou hádá velice dobře.
Takže se opět mýlíte – kvalitní hesla se nehádají hrubou silou ze všech možných kombinací hesla, ale nejprve se výrazně zmenší slovník možných slov a pak se hádá hrubou silou z něj. Ostatně dělá se to tak odjakživa – první pravidla pro tvorbu hesel byla „nepoužívejte jako heslo své jméno a jména blízkých“, další pravidlo bylo „nepoužívejte existující slova“. Protože první útok hrubou silou byl vytvořit si slovník jmen spojených s danou osobou. Další útok hrubou silou byl použít slovník slov nějakého jazyka.
Pro zvetseni entropie hesla a vetsi ochranu pred odcizenim. Krome retezce z 5 slov nebo souveti mit nekde ulozene a dobre schovany retezec z rekneme 12-20 nahodych alfa-numerickych znaku, ktery pak vlozit do pole pomoci copy-paste, pak jeste pouzit keyfile.
Místo vymýšlení svých geniálních šifrovacích postupů se zaměřte na to, co už je vymyšlené a hlavně ověřené. Vera Crypt podporuje keyfile, což je skutečná další vrstva zabezpečení. Takže ji neuvádějete jako jakýsi apendix k vašim čarodějným metodám, ale uvádějte ji na začátku jako velmi dobrý způsob zvýšení bezpečnosti, na rozdíl od těch vašich pokusů.
Priklad podobneho obrazku s malou zmenou - vyjde uplne jiny hash.
Gratuluju k objevu. Víte o tom, že tohle je jeden ze základních požadavků na kryptografické funkce? Takže to, co jste objevil, bohužel není váš objev. Ty funkce byly záměrně navrženy tak, aby se chovaly takhle.
Což ale pořád neznamená, že by kryptografické hashovací funkce generovaly náhodu. Negenerují, bohužel. Když budete mít na vstupu čtyřmístný PIN, můžete ho zahashovat, ale stejně zase dostanete jenom 10 000 různých hashů. Takže když na to někdo bude útočit, zase mu stačí vyzkoušet jenom 10 000 variant. Takže pokoušet se zlepšovat heslo nebo klíč tím, že vstup zahashujete, je zbytečné.
Je to prave naopak, uzivatel Filip Jirsak dokazal, ze vubec nerozumi bezpecnosti
Škoda, že jste tohle své tvrzení nepodpořil ani jediným důkazem toho, že jsem napsal něco o bezpečnosti špatně.