Mobili versija | Apie | Visos naujienos | RSS | Kontaktai
 
Vartotojo vardas:
Slaptažodis:
Atsiminti
Login with a social network:

Jūsų požiūris

Aktyvios diskusijos

Ieškoti forume


Išsami paieška

 [ 22 pranešimai(ų) ] 
 
Naujos temos kūrimas Atsakyti į temą Pagrindinis diskusijų puslapis » Technologijos » Informacinės technologijos
Žinutė Autorius
  Standartinė   Parašytas: 2021-02-22, 12:49 
     
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju. Absoliutaus saugumo nera, o tuo labiau tas saugumas nepriklauso vien tik nuo vartotojo veiksmu. Del to, geriausia, ka vartotojas gali padaryt, tai naudot password manageri, kuris jam generuos saugius, ir svarbiausia, unikalius slaptazodzius kiekvienam saitui, taip eliminuodamas vartotojo klaidos galimybe.
  • +2




Užsiregistravo: 2014-07-23, 11:58
Pranešimai: 881
Reputacija: +568
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 13:04 
     
kukulis4 rašė:
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju.

Padės jei nebus jo žodynuose (tuo atveju jei leako slaptažodžiai bus be druskos).

Kažkas tokio.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 13:05 
     
Užsidėk slaptažodį "Mėgs1u", joks tarptautinis leak`as nesusitvarkys su ė raide.
Taip, tik 6 simboliai. Bet niekas nenaudos visos UTF lentelės bruteforcinti.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5212
Reputacija: +1748
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 13:41 
     
HardAxe rašė:
Užsidėk slaptažodį "Mėgs1u", joks tarptautinis leak`as nesusitvarkys su ė raide.
Taip, tik 6 simboliai. Bet niekas nenaudos visos UTF lentelės bruteforcinti.


Mano žiniomis, galbūt pasenusiomis, UTF slaptažodžių dauguma sistemų neleidžia...
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2268
Reputacija: +879
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 13:43 
     
conjurer rašė:
kukulis4 rašė:
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju.

Padės jei nebus jo žodynuose (tuo atveju jei leako slaptažodžiai bus be druskos).

Kažkas tokio.


Jei be druskos, lemia ilgis, o ne konkretūs simboliai (išskyrus UTF, dėl kurių naudojimo galimybių nesu tikras), turėtų būti bent 11 simbolių, nes dauguma vaivorykščių iki 10 simbolių.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2268
Reputacija: +879
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 13:58 
     
conjurer rašė:
kukulis4 rašė:
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju.

Padės jei nebus jo žodynuose (tuo atveju jei leako slaptažodžiai bus be druskos).

Kažkas tokio.



Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.
  • 0




Užsiregistravo: 2014-07-23, 11:58
Pranešimai: 881
Reputacija: +568
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 14:02 
     
kukulis4 rašė:
Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.


Jei bus 32 simbolių su druska, sunkiai tu jį nulauši.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 14:30 
     
kukulis4 rašė:
conjurer rašė:
kukulis4 rašė:
Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju.

Padės jei nebus jo žodynuose (tuo atveju jei leako slaptažodžiai bus be druskos).

Kažkas tokio.



Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.

Kad padeda. Tada reikia kiekvieną slaptažodį bruteforcinti atskirai, jo nepatikrinsi jokioj duomenų bazėj.

Kaip pavizdys WPA2. SSID naudojamas rakte, todėl surinkęs pvz 50 skirtingų hand-shake vistiek turi laužyti po vieną, nes tas pats slaptažodis skirtingiem tinklam užsihahins skirtingai.
Jeigu būtų naudojami nedruskinti slaptažodžiai aš galėčiau bruteforcinti visus 50 vienu metu.

conjurer rašė:
kukulis4 rašė:
Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.


Jei bus 32 simbolių su druska, sunkiai tu jį nulauši.

Klausimas ar druska nebus išsaugota šalia slaptažodžio? Jeigu taip, tai nulauši. Tik kiekvieną "Slaptazodis1" teks laužti atskirai. Populiariausių žodynas kris greitai, bet su 100`000 vartotojų tai užims 100`000x ilgiau. Vis šis tas...
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5212
Reputacija: +1748
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 15:09 
     
HardAxe rašė:
conjurer rašė:
kukulis4 rašė:
Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.


Jei bus 32 simbolių su druska, sunkiai tu jį nulauši.

Klausimas ar druska nebus išsaugota šalia slaptažodžio? Jeigu taip, tai nulauši. Tik kiekvieną "Slaptazodis1" teks laužti atskirai. Populiariausių žodynas kris greitai, bet su 100`000 vartotojų tai užims 100`000x ilgiau. Vis šis tas...


Nesvarbu, 32 atsitiktiniai simboliai nėra juokas.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 15:10 
     
HardAxe rašė:
...Kad padeda...


Bruteforcinimo atveju - taip, bet mano mintis jau paciame pirmame poste buvo apie tai, kad druska yra beverte, jeigu paslaugos tiekejas nesugeba uztikrinti duomenu saugumo (kaip kad citybee atveju).
  • +1




Užsiregistravo: 2014-07-23, 11:58
Pranešimai: 881
Reputacija: +568
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 16:34 
     
HardAxe rašė:
Klausimas ar druska nebus išsaugota šalia slaptažodžio? Jeigu taip, tai nulauši. Tik kiekvieną "Slaptazodis1" teks laužti atskirai. Populiariausių žodynas kris greitai, bet su 100`000 vartotojų tai užims 100`000x ilgiau. Vis šis tas...


Slaptažodžio hashas, hasho metodas (algoritmo kodas) ir druska tipiškai saugomi viename ir tame pačiame lauke kaip blobas.
Praleidžiant laužymą pagal žodyną, 32 simbolių hasho laužymas su dabartiniais kompais truks kaip minimum ne vieną dešimtmetį. Plius pvz SHA1 dydis - 20 baitų, t.y. su 32 simbolių verte (slaptažodis plius hashas) po bruteforce gausi milijonus alternatyvių sprendimų.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2268
Reputacija: +879
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 17:15 
     
Čia elementari matematika visur žaidžia. Jei duomenų bazė yra bevertė, tai kaip nulauši slaptažodį jei ne brute force būdu? Na ir čia slaptažodžio ilgis (ir simbolių įvairovė) yra lemiamas faktorius. O druska čia vaidina vaidmenį tik tokį, kad laužėjui apsunkina darbą jei nori nulaužti daug slaptažodžių, iš kurių keletas gali būti vienodi. Nuo to jūsų slaptažodžiui ne lengviau.

Kalbant apie UTF, tai viskas priklauso nuo to ar hashinimo funkcija moka dirbti su tokiais simboliais. Kitų apribojimų kaip ir nėra.
  • 0




Užsiregistravo: 2010-05-15, 14:04
Pranešimai: 235
Reputacija: +65
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 17:48 
     
Stebėtojas rašė:
O druska čia vaidina vaidmenį tik tokį, kad laužėjui apsunkina darbą jei nori nulaužti daug slaptažodžių, iš kurių keletas gali būti vienodi. Nuo to jūsų slaptažodžiui ne lengviau.

Druska padaro ataką su "rainbow tables" sudėtingesne, arba iš vis nepraktiška, jei ją parenka korektiškai.

Beje tik turint hash vertę bruteforce laužimas yra praktiškas. Daug sistemų po neteisingo slaptažodžio suvedimo uždeda laiko limitą iki kito bandymo, kas padaro online brute force atakas beprasmėmis.

O nutekėjusioje DB yra daugiau naudingų duomenų: adresai, balansai, asmens kodai. Ši informacija dažai naudojama autentifikavimui, kai paslaugos tiekiamos telefonu. Tik pliusas tas kad tokiu būdu daug ko daryti negali, bet tikrai gali užblokuoti banko kortelę, pranešti kad ji pamesta. Jei gerai pamenu. Paskutinį kartą tai dariau prieš 2 metus gal.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 18:06 
     
Stebėtojas rašė:
Čia elementari matematika visur žaidžia. Jei duomenų bazė yra bevertė, tai kaip nulauši slaptažodį jei ne brute force būdu? Na ir čia slaptažodžio ilgis (ir simbolių įvairovė) yra lemiamas faktorius. O druska čia vaidina vaidmenį tik tokį, kad laužėjui apsunkina darbą jei nori nulaužti daug slaptažodžių, iš kurių keletas gali būti vienodi. Nuo to jūsų slaptažodžiui ne lengviau.

Kalbant apie UTF, tai viskas priklauso nuo to ar hashinimo funkcija moka dirbti su tokiais simboliais. Kitų apribojimų kaip ir nėra.


laužti UTF simbolių aš nematau bėdos (techniškai). Bet kokius simbolius tada įtruaksi (jei db ne lietuviška)? Lietuviškus? Rusiškus? Lenkiškus? Skandinaviškus? Tikimybė, kad tarptautinėje bazėje bus naudojama speficinė lietuviška raidė ė - gana menka.

Laužiant tarkim milijoną google paskyrų lietuviško alfabeto slaptažodžiuose įvedimas turės labai didelį nuostolį, laimėsi vos kelis slaptažodžius sugaišdamas tam begalę laiko.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5212
Reputacija: +1748
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 18:15 
     
HardAxe, aš čia gal neteisingai išsireiškiau. Turėjau galvoje, kad UTF naudojimas slaptažodžiuose yra grynai techninis reikalas. Ir taip, retai (planetos mastu) naudojamų simbolių įtraukimas į slaptažodį tik padidina jo saugumą.
  • 0




Užsiregistravo: 2010-05-15, 14:04
Pranešimai: 235
Reputacija: +65
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 18:28 
     
Kad hashinimo algoritmams nėra skirtumo lietuiški simboliai ar ne. Jie dirba su bitais, ir gali hashinti bet kokį failą. Pvz md5 dažnai naudojamas tikrinti ar failas teisingas, nes jį galima greitai generuoti (dėl to visiškai netinka slaptažodžiams).

Limitus įveda tinklapių JS kodas.

Ir taip tokių simbolių naudojimas gali atitolinti žodyno arba vaivorykščių atakas.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 18:32 
     
conjurer rašė:
Beje tik turint hash vertę bruteforce laužimas yra praktiškas.


Ar tikrai? Aš žinau, kad būtų galima parinkti kažkokį tai ekvivalentą, kuris generuotų tokį patį hashą, bet tai nebus tikrasis slaptažodis.
  • 0




Užsiregistravo: 2010-05-15, 14:04
Pranešimai: 235
Reputacija: +65
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-22, 19:01 
     
Stebėtojas rašė:
conjurer rašė:
Beje tik turint hash vertę bruteforce laužimas yra praktiškas.


Ar tikrai? Aš žinau, kad būtų galima parinkti kažkokį tai ekvivalentą, kuris generuotų tokį patį hashą, bet tai nebus tikrasis slaptažodis.


Tada jis tiks tik toje pačioje sistemoje. Jei žmogus naudoja tą patį slaptažodį puslapyje A ir B, bet puslapis A naudoja argon2id, o puslapis B naudoja md5, tas kas turi puslapio B hashą galės atrasti kelis skirtingus slaptažodžius kuriais galima prisijungti prie puslapio B, bet ne prie puslapio A. Tik teisingas leis prisijungti prie puslapio A.

Beje kol neturi hasho, nežinai kokį tau reikia sugeneruoti. Taigi bet kokiu atveju tau jo reikia.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-23, 21:11 
     
O tai siais laikais dar yra kaskokiu paskyru ar platformu kurios leistu neribota kieki ir daznuma speliot slaptazodi? Nera "cooldown" ar paskyros blokavimo iki patvirtinimo per email? Kokia galimybe nulauzti pvz steam paskyra, kad ir su paprastu slaptazodziu "namelis25"?
  • 0




Užsiregistravo: 2009-12-02, 11:10
Pranešimai: 48
Reputacija: +75
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-23, 21:32 
     
Nenustebčiau jei yra. Vis tiek dėl papildomo programinio sluoksnio tas spėliojimas nebus toks greitas, kaip turint hashą, ir darant bruteforce ataką lokaliai.

Steam kita vertus yra senas projektas ir turi daug apsaugos sluoksnių. Reikia turėt tavo nulaužtą e-mail, kad gauti prisijungimo kodą. O jei jį jau turi, žalos bus daugiau.

Be to į jį įsilaužus viskas ką gali padaryti, tai pripirkt žaidimų. Na taip yra steam wallet, ir galima atsitiktinę kortelę parduoti labai brangiai, bet bent jau aš visada būnu su nuliniu balansu, nes moku per kreditinę.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 1473
Reputacija: +486
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-24, 21:19 
     
Nulauzti steamai pardavinejami kitiems, kurie gali zaisti jame buvusius zaidimus. Pvz plati.ru gali nusipirkt visokiu platformu accountubsu geimais , aisku tie accountai daznai veikia neilgai .
  • 0




Užsiregistravo: 2009-12-02, 11:10
Pranešimai: 48
Reputacija: +75
   
 
Į viršų
Rodyti paskutinius pranešimus:
Rūšiuoti pagal
 


Naujos temos kūrimas Atsakyti į temą  [ 22 pranešimai(ų) ] 

Visos datos yra UTC + 2 valandos [ DST ]


Dabar prisijungę

Vartotojai naršantys šį forumą: Registruotų vartotojų nėra ir 3 svečių


Jūs negalite kurti naujų temų šiame forume
Jūs negalite atsakinėti į temas šiame forume
Jūs negalite redaguoti savo pranešimų šiame forume
Jūs negalite trinti savo pranešimų šiame forume
 

Ieškoti:
Pereiti į:
 
 

Reputation System ©'