Здравствуйте, Капа Парло, Вы писали:
КП>Здравствуйте, мыщъх, Вы писали:
КП> что-то можно из этого автоматизировать.
вперед! запилите программу, она станет популярной и будет вам пляж с банкоматом.
но что-то мне подсказывает, что этого не произойдет. что-то мне подсказывает, что люди придумали пароли не вчера и даже не позавчера и не только придумали, но и внедрили.
вы упомянули флешку. чем дальше, тем чудесатее. люди придумали хранить на флешке ключевой файл. кстати, не только для мастер паролей, но и для ssh паролей например.
вы почему-то не упоминаете мобилу. на ней можно хранить мастер пароль к лаптопу или приложение для аутентификации манагера паролей на десктопе. это уже используется во всю и обрело популярность.
обретет ли ваш способ популярность? будут ли его использовать больше пары человек на планете?
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Зачем решать несуществующую проблему? Просто сгенерируй случайный пароль символов в 12 и выучи его, вот и всё. Выучить 12 символов это 15 минут. Вбивание его каждый день гарантирует, что ты его никогда не забудешь. Потратить 15 минут раз в год несложно.
Здравствуйте, Капа Парло, Вы писали:
КП>Здравствуйте, мыщъх, Вы писали:
КП> а откуда хакер знает, добавил лы ты его вообще?
ок. без соли сценарий примерно такой:
гуглим текст книги, находим нужный абзац, выделяем и рукописный плагин для браузера генерит хэш на основе выделения.
появляется соль:
гуглим текст книги, находим нужный абзец, выделяем, копируем в буфер, запускаем блокнот, вставляем, добавляем соль, сохраняем на диск и генерим хэш на основе.
первый сценарий более скрытен.
КП> нет так нет. сегодня. а завтра пойдешь в кофе-шоп
а мне нужно сегодня, т.к. от этого зависит моя работа, например.
кофе-шоп известный рассадник малвари. круто, чо.
КП> вообще, это — редкий случай. и тут надо себя винить.
кого винить это не тот вопрос. метод хранения мастер пароля должен это учитывать. иначе это плохой метод и народ предпочтет другой.
КП> важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__.
повторяю еще раз. пароли можно вообще не запоминать и каждый раз сбрасывать. возражения?
КП> руками можно подправить
что править-то? нужно помнить как там пишется буква йо и какие спец-символы используется. тот же тире vs дефис. три точки могут быть три символа или один. там еще много что может быть. сначала попробуйте ваш метод на практике.
КП> Если на компе есть малварь, то тогда дело уже плохо. Эта мальварь и так может КП> легко украть пароль, который ты хранишь в голове, когда ты его вводишь.
как я уже писал ранее -- манагеры паролей знают об этом и сопротивляются перехвату.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, __kot2, Вы писали:
__>меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого хэша абзаца. энтропия-то реальная у всего этого низкая. __>как только появится класс людей, делающих подобным образом, сразу кто-то просто посчитает хэши всех абзацей всег книг и будет по ним брутфорсить тоже. их немного, этих книг.
1. ИМХО ты оперируешь некоторой абстрактной энтропией. Вот например насколько отличаются (и в каких единицаз) энтропии паролей "словсоставленныхвпредложение", "_kjdсоставленныхвпредложение", "mnbvcxz", "ydkle"?
2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая. Класса людей такого нет, хешей всех абзацев тоже и в перспективе ближайших лет этого не будет. Этого достаточно для того, чтобы считать способ практически (ближайшие годы) стойким. Ну а теоретическую стойкость даёт только одноразовый блокнот.
3. Оригинал идеи в использовании пароля не из одного слова, а фразы, включающей в себя несколько слов, возможно разных символов, регистров и правил их комбинации. Эта идея ортоганальна использованию случайно сгенерированных паролей, в том плане, что парольная фраза может включать случайно сгенерированный пароль. А поскольку злоумышленник не знает правила по которому формируются случайная и осмысленная части, он будет вынужден считать весь пароль случайно сгенерированным. Я думаю не имеет смысла оспаривать, что "но случайноou34gsdarвзгляд его упал на стол" имеет большую стойкость, чем "ou34gsdar"?
Здравствуйте, m2l, Вы писали:
m2l>Здравствуйте, __kot2, Вы писали:
m2l>2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая.
практическая стойкость равна нулю. потому что данный метод не учитывает ни реальных угроз, ни реальной психологии юзеров.
если на то пошло, то почему бы не использовать в качестве пароля корень из трех например? взять первые N символов чтобы не зависеть от калькулятора. если хакер не знает как мы вычисляем пароль... да если и знает, то очень трудно автоматизировать брутфорс комбинаций математических операций.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
m2l>>2. Старая фишка криптографии — важна не теоретическая стойкость, а практическая. М>практическая стойкость равна нулю. потому что данный метод не учитывает ни реальных угроз, ни реальной психологии юзеров.
Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет.
Осталось понять откуда ты возьмешь совершенно случайный ключ для одноразового блокнота.
М>если на то пошло, то почему бы не использовать в качестве пароля корень из трех например? взять первые N символов чтобы не зависеть от калькулятора. если хакер не знает как мы вычисляем пароль... да если и знает, то очень трудно автоматизировать брутфорс комбинаций математических операций.
Если мы говорим об осмысленных паролях, то способ их выбора (расчета) так же является частью секрета.
Вот берешь ты в качестве пароля совершенно случайную комбинацию. Которая совершенно случайно совпадает с первыми N символов твоего корня. Твой пароль стал от этого совпадения менее стойким? И почему "хакер" должен перебирать математические операции, а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?
Здравствуйте, m2l, Вы писали:
m2l>Здравствуйте, мыщъх, Вы писали:
m2l> Вот берешь ты в качестве пароля совершенно случайную комбинацию. m2l> Которая совершенно случайно совпадает с первыми N символов твоего корня. m2l> Твой пароль стал от этого совпадения менее стойким?
это же базовая матчать. комбинация 123456789 является случайной и генератор случайных чисел ее выдаст раньше или позже. равно как и комбинация 3333333.
вы совершаете ошибку из серии: при случайном подбрасывании монеты кол-во орлов и решек одинаково. но если проверить, то можно получить комбиацию: орел-орел-орел-орел-орел, которая будет совершенно случайной, но как пароль очень слабой.
> И почему "хакер" должен перебирать математические операции, > а не к примеру физические константы или словосочетания из стихов поэтов 19-го века?
перебор стихов проще автоматизировать. перебор математических формул сложнее.
но грубо говоря и там, и там стойкость одного порядка. различие лишь в том, что вычислить 69^6 можно на любом калькуляторе. хоть на компе, хоть на мобиле, хоть на планшете прости господи. для этого не нужно интернета. для этого не нужно чтобы в этом иннете были стихи поэтов. для этого не нужно совершать сложные операции по выделению блоков, запуску ворда для исправления форматирования и замены дефисов и тире на знак минус. для этого не нужно искать утилиту для вычисления хэша.
непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл сломался не находит ваш текст.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>это же базовая матчать. комбинация 123456789 является случайной и генератор случайных чисел ее выдаст раньше или позже. равно как и комбинация 3333333. М>вы совершаете ошибку из серии: при случайном подбрасывании монеты кол-во орлов и решек одинаково. но если проверить, то можно получить комбиацию: орел-орел-орел-орел-орел, которая будет совершенно случайной, но как пароль очень слабой.
Да я как бы знаю, иного не говорю и ты тут больше сам с собой споришь.
>> И почему "хакер" должен перебирать математические операции, >> а не к примеру физические константы или словосочетания из стихов поэтов 19-го века? М>перебор стихов проще автоматизировать. перебор математических формул сложнее. М>но грубо говоря и там, и там стойкость одного порядка. различие лишь в том, что вычислить 69^6 можно на любом калькуляторе. хоть на компе, хоть на мобиле, хоть на планшете прости господи. для этого не нужно интернета. для этого не нужно чтобы в этом иннете были стихи поэтов. для этого не нужно совершать сложные операции по выделению блоков, запуску ворда для исправления форматирования и замены дефисов и тире на знак минус. для этого не нужно искать утилиту для вычисления хэша.
Грубо говоря всё упирается в априорное знание о пароле. Ты знаешь, что 123456789 встречается у каждого сотого/тысячного пользователя, поэтому для тебя это словарный пароль, перебираемый в первую очередь. Если ты не имеешь априорного знания, что пароль являться фразой из нескольких слов и способа формирования этой фразы, то что ты собрался перебирать?
М>непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл сломался не находит ваш текст.
Ты вбил себе в голову, что парольная фраза это кусок существующего текста. С чего бы вдруг? Найди в гугле фразу "буйное озеро из восьми бумажных деревьев", а лучше "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев".
Весь смысл парольных фраз в том, что они имеют какой-то смысл для автора, но бессмысленны (кажутся случайной комбинацией) для стороннего наблюдателя ("хакера").
И вообще тыж себя позиционируешь как безопасника? Вот у Брюс Шнайера написано как парольные фразы закрывают основные угрозы.
Здравствуйте, m2l, Вы писали:
m2l>Здравствуйте, мыщъх, Вы писали:
m2l>Ты вбил себе в голову, что парольная фраза это кусок существующего текста.
это не я, а ТС. парольные фразы это ок. хэш от куска текста это не ок. так что непонятно о чем мы спорим.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, Капа Парло, Вы писали:
КП>>Здравствуйте, мыщъх, Вы писали:
КП>> а откуда хакер знает, добавил лы ты его вообще? М>ок. без соли сценарий примерно такой: М>гуглим текст книги, находим нужный абзац, выделяем и рукописный плагин для браузера генерит хэш на основе выделения.
М>появляется соль: М>гуглим текст книги, находим нужный абзец, выделяем, копируем в буфер, запускаем блокнот, вставляем, добавляем соль, сохраняем на диск и генерим хэш на основе.
М>первый сценарий более скрытен.
почему плагин хэш сможет посчитать, а соль добавить не сможет, если он самописный?
КП>> важно другое. то, что ты знаешь __как восстановить свой пароль__ или __как его вычислить__. М>повторяю еще раз. пароли можно вообще не запоминать и каждый раз сбрасывать. возражения?
писал выше. если ты потеряешь свой телефон или симку или мыло у тебя не работает в одной из стран, то как ты будешь восстанавливать пароль?
>> И почему "хакер" должен перебирать математические операции, >> а не к примеру физические константы или словосочетания из стихов поэтов 19-го века? М>перебор стихов проще автоматизировать. перебор математических формул сложнее.
всех стихов в мире, и часть их частей в разных комбинациях и с солью? солью может быть математическая формула.
это еще если ты знаешь, что мой пароль составлен из какого-то стиха и в него добавлена соль, а если нет, то что ты собрался перебирать?
Здравствуйте, m2l, Вы писали: m2l>Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет.
вот именно, что учитывая психологию пользтвателей можно сразу проиндексировать только сборник стихов Мао Дзе Дуна, Библию, собрание сочинений Ленина, Донцову и это уже покроет 90% книг 90% людей
Здравствуйте, __kot2, Вы писали:
__>Здравствуйте, m2l, Вы писали: m2l>>Практическая стойкость рассчитывается для модели угроз. Поэтому, да, если нет модели угроз (включающей, по необходимости "психологию юзеров"), то практической стойкости тоже нет. __>вот именно, что учитывая психологию пользтвателей можно сразу проиндексировать только сборник стихов Мао Дзе Дуна, Библию, собрание сочинений Ленина, Донцову и это уже покроет 90% книг 90% людей
Я отвечал на твоё: __>меня все время удивляет, человеческая вера в невзламываемость паролей вида "словсоставленныхвпредложение" или вот этого самого...
Процитирую сам себя:
Весь смысл парольных фраз в том, что они имеют какой-то смысл для автора, но бессмысленны (кажутся случайной комбинацией) для стороннего наблюдателя ("хакера").
Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?
Здравствуйте, m2l, Вы писали: m2l>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох?
люди слишком прелсказуемы
цвет волос — блонд
любимый фильм — куда приводят мечты
любимая цитата — меня сложно обрести, легко потерять и невозможно забыть
подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается
так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"
Здравствуйте, __kot2, Вы писали:
m2l>>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох? __>люди слишком прелсказуемы __>цвет волос — блонд __>любимый фильм — куда приводят мечты __>любимая цитата — меня сложно обрести, легко потерять и невозможно забыть
__>подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается
__>так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"
Ну, пока брутфорс этих десятков миллионов не даёт результатов — они поступают верно.
Ты прав в том плане, что многие люди не задумываются о сходном образе мышления и выбирают неслучайные для стороннего наблюдателя пароли. Но ИМХО это больше вопрос "компьютерной грамотности", и случайные пароли такие люди ИМХО выбирать не будут. И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный.
Здравствуйте, m2l, Вы писали: m2l>И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный.
"безопасность через незнание"
мой пойнт в том, что все такие пароли на самом деле небезопасны и не надо ставить их на, там, панель управления ракетами или на админку gmail
только тру рандом, только харкор!
Здравствуйте, m2l, Вы писали:
М>>непонятно почему вы упираетесь и настаиваете на использовании совершенно неюзабельного метода, который не только не закрывает основные угрозы, но и создает новые в виде риска лишить себя доступа в результате того, что гугл сломался не находит ваш текст. m2l>Ты вбил себе в голову, что парольная фраза это кусок существующего текста. С чего бы вдруг? Найди в гугле фразу "буйное озеро из восьми бумажных деревьев", а лучше "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев".
можно набирать "буйноЕ озеРоиз-8ВОСьми8 БУМАжных-ДЕРевьев" переключаясь после каждого слова на другую языковую раскладку
Здравствуйте, __kot2, Вы писали:
__>Здравствуйте, m2l, Вы писали: m2l>>Если в модели угроз есть проиндексированные сборники стихов, то цитата из них не будет бессмысленной для стороннего наблюдателя. А если их нет, то чем такой пароль будет плох? __>люди слишком прелсказуемы __>цвет волос — блонд __>любимый фильм — куда приводят мечты __>любимая цитата — меня сложно обрести, легко потерять и невозможно забыть
__>подобный типаж тоже будет думать, что только он такой типа уникальный и никто до этого не догадается
__>так, например, думаю, десятки миллионов людей в качестве паролей используют фразы из библии и корана и думают, что об этом никто не догадается, так как "только для него эта фраза имеет смысл"
Здравствуйте, __kot2, Вы писали:
m2l>>И самое главное может ли "наблюдатель" воспользоваться своим знанием о неслучайной природе паролей. Пока наблюдатель не может применить своё знание на практике такие пароли остаются безлопастный. __>"безопасность через незнание" __>мой пойнт в том, что все такие пароли на самом деле небезопасны и не надо ставить их на, там, панель управления ракетами или на админку gmail __>только тру рандом, только харкор!
Я в целом за. Просто "тру рандом" отсутствует и за неимением лучшего...
Здравствуйте, m2l, Вы писали: m2l>Я в целом за. Просто "тру рандом" отсутствует и за неимением лучшего...
человеку д-но не особо дается запоминание тру рандома, поэтому есть двухфакторная авторизация
