@Kirkorof

Сколько бpyтфopcить такой пароль?

Вопрос спецам по ИБ.
Читал, что с помощью брутфорса можно подобрать пароль любой длины, особенно если используются слова, известные словарям. Про знаки, цифры и заглавные буквы - понятно. Вопрос в том, как часто нужно менять пароль, на случай, если все-же есть угроза атаки на ящик.
Хочется понять алгоритм создания безопасного пароля.
Сколько времени нужно, чтобы сбрутфорсить, например, такой пароль - BuRyoNKa1+MaTRyoSHKa2=IzbUshkA3 ? Слова приведены образно, разумеется.
  • Вопрос задан
  • 31265 просмотров
Пригласить эксперта
Ответы на вопрос 10
DaNHell
@DaNHell
Change the world
Да замечательная штука как плановая смена паролей взята не из воздуха, и не по чей то хотелки.
Рассчитывается из параметров: алгоритм хеширования, минимальные требования к паролю и ~кол-во юзеров.
В булке например md5(md5($salt).md5($pass)) скорость брута через cuda среднего класса - 152.0 MH/s (150 миллиона хешей в секунду)!
Ну это конечно прогресс, 21 век.

Довольно старая таблица, но все-же
8tvdxh2.png

Но это мы говорим про полный перебор.
Но атаки по маске/правилам/словарям/гибридные и конечно же по радужным таблицам делают свое дело на ура.
Грубо говоря имея дамп 100к юзеров login : (md5), в течении 3-5 минут получаем результат в более чем 50% подобранных паролей.

Да и также стоит отметить что увеличивать длину пароля конечно же стоит, увеличив на 2 символа (с 10 до 12) грубо говоря усложняем задачу подбора в 300-500 раз.
НО: Учитывая что это не просто добавление хоть еще 6-8 букв (словосочетаний) словарных/алфавитных.
Т.е. ItsGoodPassword даже увеличив до ItsReallyVeryGoodPassword пароль, противостоять сможет всего пару секунд гибридной атаке.

На 2008 год брут через GPU (UPPER CASE + lower case + digs + symbols)
  • all 6 character password MD5s 3 seconds
  • all 7 character password MD5s 4 minutes
  • all 8 character password MD5s 4 hours
  • all 9 character password MD5s 10 days
  • all 10 character password MD5s ~625 days
  • all 11 character password MD5s fuggedaboudit

Но на получение 12 символьного пароля ушло далеко не несколько лет, а всего 75 дней.

P.S. От себя добавлю отличный совет: Если есть возможность - используйте нетрадиционные раскладки языка, спец. символы (которые не так уж и сложно прописывать - FAQ По винде поможет).
Ну а если еще и закреплять это все стойкостью пароля.. То вы в защите от криптографических атак... но далеко не в абсолютной безопасности...
Ответ написан
maaGames
@maaGames
Погроммирую программы
Считаешь количество вариантов, которые нужно перебрать от "0" до "BuRyoNKa1+MaTRyoSHKa2=IzbUshkA3" и умножаешь на время одной попытки ввода пароля. Это если можно подряд хоть сколько ошибочных паролей вводить.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Вы упомянули слов "ящик", насколько я понял речь идет про почтовый аккаунт на бесплатном сервере?
Если так то -
Во первых как вы представляете брутафорс?
После нескольких неудачных попыток ввода пароля ваш айпишник забанят на некоторое время.
Т.е через сеть не получится сбрутить даже пароль из четырех символов.
Во вторых - словарная атака это не брутафорс.
Брутафорс это когда перебирают все подряд, а когда есть словарь, дело другое.

В общем брутафорс возможен только тогда, когда злоумышленники сломают почтовый сервер, и утащат ваш хэш.
(хотя если они взломают сервер и утащат хэш, то кто им мешает заодно и вашу почту прихватить?)
Так вот из хэша методом брутафорса можно получить пароль.
Тут уже от длинны зависит.
Но к хэш как правило у всех соленый, т.е к вашему паролю перед хэшированием добавили еще и соль, поэтому сбрутить пароль длинней 8 символов это уже на уровне фантастики.

Почту гораздо проще ломать через социальную инженерию.
Ответ написан
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
При текущем развитии технологий такой брутфорс будет продолжаться примерно до столько не живут.
Ответ написан
@ivkol
читал когда-то книги по безопасности (серьезные, но авторов не помню), в одной из них был совет - 12 символов минимум должен быть.
Ответ написан
Атака на ящик возможна не только брутфорсом. Всегда есть 3 уязвимых точки
1. Точка входа.
2. Канал передачи.
3. Пункт назначения (хостинг).

Брутфорс - это атака на хостинг, при наличии стойкого к подбору пароля, атака будет производиться на п.1 и 2.
Самый актуальный вариант - заражение точки входа кейлогером, но можно и извратиться, перенаправить весь трафик на свой прокси с подменой HTTPS сертификата, что позволит трафик просматривать.
Ответ написан
Считайте энтропию, исходя из модели пароля:
слово словарное, русское, в нач.форме 16 бит
латиницей +1 бит
регистр изменяется по алгоритму +1 бит
алгоритм - только согласные +3 бита (ориентировочно)
цифра (если будете менять) +3 бита
символ +3 бита (ориентировочно)
слово словарное, русское, в нач.форме 16 бит
латиницей +1 бит
регистр изменяется по алгоритму +1 бит
алгоритм - только согласные +3 бита (ориентировочно)
цифра (если будете менять) +3 бита
символ +3 бита (ориентировочно)
слово словарное, русское, в нач.форме 16 бит
латиницей +1 бит
регистр изменяется по алгоритму +1 бит
алгоритм - только гласные +3 бита (ориентировочно)
цифра (если будете менять) +3 бита

Итого - примерно 78 бит, или 32.000 лет на системе из 1000 параллельных процессоров.
Если будете считать без модели, то есть принимать все буквы и цифры равновероятными из алфавита в 62 символа, выйдет гораздо дольше, но это неправильно - энтропия сообщения определяется как наименьшее из значений после перебора всех моделей.
Ответ написан
@deevroman
чел
думаю нужно "генератор паролей" обратится и не менее 20-ти. всего что только можно пример: gB%Pq@cZIZ}c#s*Pu#m8
Цифры
Прописные буквы
Строчные буквы
Спец. символы %, *, ),?, @, #, $, ~
Длина пароля:
20 - символов и вот ссылки на проверку пароля: https://password.kaspersky.com/ru/ https://howsecureismypassword.net/ там будут разное время это зависит от мощности компа. А на счет почты я на яндексе там зашита хорошая называется ЯндексКлюч был опыт с хакером он оценил на 5+ короче не смог вскрыть! и не храните пароли в компе! Рай будет для хакеров! И еще вначале есть пароль и спрашивают сколько времени для вскрытия!? каспарский показал 10.000 веков! а второй 24 ДВЕНАДЦАТИЛЕТИЯ короче на вашу жизнь хватит чтоб вскрыть
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Chenii Санкт-Петербург
от 1 500 до 3 500 $
Платформа НТИ Москва
от 160 000 до 190 000 ₽
RBS Payments Москва
До 150 000 ₽
19 февр. 2020, в 02:24
500 руб./за проект
18 февр. 2020, в 23:53
8000 руб./за проект