Насколько сложный пароль стоит иметь от БД?

Question

[maksimwork1980]

Есть ли смысл использовать
gx8kUzg!RecLy??Cb
вместо
mysqlLermontov?14
в плане сложности взлома? Кому в голову может придти написать 2 слова подряд mysql и Lermontov, причём без символов между ними, а потом написать вопрос и 14?

Comments

[Strabbo]

Кому в голову может придти написать 2 слова подряд mysql и Lermontov, причём без символов между ними, а потом написать вопрос и 14?

Я всегда так делаю

[maksimwork1980]

Strabbo, я имею в виду подобрать вот так злоумышленнику.

Answer 1

[Akina]

Слишком абстрактный вопрос. И ответ такой же - возможно, имеет.

Настоящий же ответ зависит от конкретных условий и списка потенциальных угроз, от которых следует защититься. Согласись, если это сервер домашней сети, не подключённый к Инету, то смыслу наворачивать на него суперсложный пароль - ноль. Если это непатченная ОС, торчащая голым задом в Инет, то тоже - ибо если хакнут, то скорее всего всю ОС, а сервер БД пойдёт просто за компанию.

С другой стороны, показанные два пароля отличаются разве что тем, что второй проще запомнить и набрать. Длина-то у них одинаковая, и использованные категории символов совпадают... А по сложности они практически не отличаются - второй на прямую попытку взлома по словарю не поддастся.

Comments

[Adamos]

Вопрос задан довольно конкретно - разница между двумя паролями.
Большая часть угроз будут одними и теми же для обоих паролей, так что список сильно сокращается.

[Akina]

Adamos, не вижу, чтобы товарищ спрашивал о разнице. Впрочем, и по этому моменту я ответил - формально сложность этих паролей одинакова.

Answer 2

[Adamos]

В плане сложности подбора оба пароля далеко за теми пределами, которые имеет смысл вообще оценивать.
Так что для взлома в любом случае будут использованы обходные пути.
Тут разница в том, что второй легче подсмотреть и запомнить, а первый запомнить невозможно вовсе.
Так что первый вам придется хранить где-то еще - и тем самым снизить (!) безопасность.
Второй же элементарно защищается от подсматривания, например, так - rnysqlLermontov?14

Comments

[Василий Банников]

Если бд будет использоваться в каких-либо приложениях, то в любом случае где-то будет хранится пароль.

[Adamos]

Василий Банников, неудобочитаемый - тоже.
А вот если ТС пользуется, например, PMA, то второй пароль у него будет в голове, а первый в голове не удержишь, так что он может оказаться на листочке, приклеенном к монитору (утрирую).

Answer 3

[Рональд Макдональд]

Вполне имеет.

Answer 4

[alexalexes]

Второй пароль уязвим, если вы на всех системах, которые администрируете, устанавливаете пароль по похожей маске. Злоумышленнику достаточно узнать, как строится пароль к одной системе, чтобы иметь представление, как подбирать пароль к остальным. Злоумышленник будет использовать ровно ту логику, по которой вам удобнее запоминать пароль.
Лучше не понижать энтропию ни у какой части пароля, использовать только генераторы случайных символов.

Comments

[Adamos]

Тогда злоумышленнику достаточно будет узнать мастер-пароль от того, где вы вынуждены будете хранить всю эту мешанину символов. И оказавшись во время факапа на Гоа, вы будете кусать себя за задницу, но не сможете получить доступ со смартфона к БД, чтобы решить всю проблему одним запросом.

[alexalexes]

Если ресурс является для вас действительно критичным, то вы запомните пароль, даже если он состоит из рандомных символов, как стишок в детском саду, и не будете его хранить ни в каких менеджерах паролей, которые упрощают жизнь. Для некритичных ресурсов - да деваться некуда, будет использовано холодное хранилище (бумажный блокнот), менеджеры паролей, простые пароли и т.д.

[Adamos]

alexalexes, проблема только в том, что этот красиво разложенный по полочкам идеал никакого отношения к реальной жизни не имеет.