Kad ir koks geras slaptazodis butu, tai nepades data leak'o atveju. Absoliutaus saugumo nera, o tuo labiau tas saugumas nepriklauso vien tik nuo vartotojo veiksmu. Del to, geriausia, ka vartotojas gali padaryt, tai naudot password manageri, kuris jam generuos saugius, ir svarbiausia, unikalius slaptazodzius kiekvienam saitui, taip eliminuodamas vartotojo klaidos galimybe.

Padės jei nebus jo žodynuose (tuo atveju jei leako slaptažodžiai bus be druskos).

Kažkas tokio.

Užsidėk slaptažodį "Mėgs1u", joks tarptautinis leak`as nesusitvarkys su ė raide.
Taip, tik 6 simboliai. Bet niekas nenaudos visos UTF lentelės bruteforcinti.

Mano žiniomis, galbūt pasenusiomis, UTF slaptažodžių dauguma sistemų neleidžia...

Jei be druskos, lemia ilgis, o ne konkretūs simboliai (išskyrus UTF, dėl kurių naudojimo galimybių nesu tikras), turėtų būti bent 11 simbolių, nes dauguma vaivorykščių iki 10 simbolių.

Data leak'o atveju druska padeda tiek pat kiek dirbtinis kvepavimas nupjautai kiaules galvai.

Jei bus 32 simbolių su druska, sunkiai tu jį nulauši.

Kad padeda. Tada reikia kiekvieną slaptažodį bruteforcinti atskirai, jo nepatikrinsi jokioj duomenų bazėj.

Kaip pavizdys WPA2. SSID naudojamas rakte, todėl surinkęs pvz 50 skirtingų hand-shake vistiek turi laužyti po vieną, nes tas pats slaptažodis skirtingiem tinklam užsihahins skirtingai.
Jeigu būtų naudojami nedruskinti slaptažodžiai aš galėčiau bruteforcinti visus 50 vienu metu.


Klausimas ar druska nebus išsaugota šalia slaptažodžio? Jeigu taip, tai nulauši. Tik kiekvieną "Slaptazodis1" teks laužti atskirai. Populiariausių žodynas kris greitai, bet su 100`000 vartotojų tai užims 100`000x ilgiau. Vis šis tas...

Nesvarbu, 32 atsitiktiniai simboliai nėra juokas.

Bruteforcinimo atveju - taip, bet mano mintis jau paciame pirmame poste buvo apie tai, kad druska yra beverte, jeigu paslaugos tiekejas nesugeba uztikrinti duomenu saugumo (kaip kad citybee atveju).

Slaptažodžio hashas, hasho metodas (algoritmo kodas) ir druska tipiškai saugomi viename ir tame pačiame lauke kaip blobas.
Praleidžiant laužymą pagal žodyną, 32 simbolių hasho laužymas su dabartiniais kompais truks kaip minimum ne vieną dešimtmetį. Plius pvz SHA1 dydis - 20 baitų, t.y. su 32 simbolių verte (slaptažodis plius hashas) po bruteforce gausi milijonus alternatyvių sprendimų.

Čia elementari matematika visur žaidžia. Jei duomenų bazė yra bevertė, tai kaip nulauši slaptažodį jei ne brute force būdu? Na ir čia slaptažodžio ilgis (ir simbolių įvairovė) yra lemiamas faktorius. O druska čia vaidina vaidmenį tik tokį, kad laužėjui apsunkina darbą jei nori nulaužti daug slaptažodžių, iš kurių keletas gali būti vienodi. Nuo to jūsų slaptažodžiui ne lengviau.

Kalbant apie UTF, tai viskas priklauso nuo to ar hashinimo funkcija moka dirbti su tokiais simboliais. Kitų apribojimų kaip ir nėra.

Druska padaro ataką su "rainbow tables" sudėtingesne, arba iš vis nepraktiška, jei ją parenka korektiškai.

Beje tik turint hash vertę bruteforce laužimas yra praktiškas. Daug sistemų po neteisingo slaptažodžio suvedimo uždeda laiko limitą iki kito bandymo, kas padaro online brute force atakas beprasmėmis.

O nutekėjusioje DB yra daugiau naudingų duomenų: adresai, balansai, asmens kodai. Ši informacija dažai naudojama autentifikavimui, kai paslaugos tiekiamos telefonu. Tik pliusas tas kad tokiu būdu daug ko daryti negali, bet tikrai gali užblokuoti banko kortelę, pranešti kad ji pamesta. Jei gerai pamenu. Paskutinį kartą tai dariau prieš 2 metus gal.

laužti UTF simbolių aš nematau bėdos (techniškai). Bet kokius simbolius tada įtruaksi (jei db ne lietuviška)? Lietuviškus? Rusiškus? Lenkiškus? Skandinaviškus? Tikimybė, kad tarptautinėje bazėje bus naudojama speficinė lietuviška raidė ė - gana menka.

Laužiant tarkim milijoną google paskyrų lietuviško alfabeto slaptažodžiuose įvedimas turės labai didelį nuostolį, laimėsi vos kelis slaptažodžius sugaišdamas tam begalę laiko.

HardAxe, aš čia gal neteisingai išsireiškiau. Turėjau galvoje, kad UTF naudojimas slaptažodžiuose yra grynai techninis reikalas. Ir taip, retai (planetos mastu) naudojamų simbolių įtraukimas į slaptažodį tik padidina jo saugumą.

Kad hashinimo algoritmams nėra skirtumo lietuiški simboliai ar ne. Jie dirba su bitais, ir gali hashinti bet kokį failą. Pvz md5 dažnai naudojamas tikrinti ar failas teisingas, nes jį galima greitai generuoti (dėl to visiškai netinka slaptažodžiams).

Limitus įveda tinklapių JS kodas.

Ir taip tokių simbolių naudojimas gali atitolinti žodyno arba vaivorykščių atakas.

Ar tikrai? Aš žinau, kad būtų galima parinkti kažkokį tai ekvivalentą, kuris generuotų tokį patį hashą, bet tai nebus tikrasis slaptažodis.

Tada jis tiks tik toje pačioje sistemoje. Jei žmogus naudoja tą patį slaptažodį puslapyje A ir B, bet puslapis A naudoja argon2id, o puslapis B naudoja md5, tas kas turi puslapio B hashą galės atrasti kelis skirtingus slaptažodžius kuriais galima prisijungti prie puslapio B, bet ne prie puslapio A. Tik teisingas leis prisijungti prie puslapio A.

Beje kol neturi hasho, nežinai kokį tau reikia sugeneruoti. Taigi bet kokiu atveju tau jo reikia.

O tai siais laikais dar yra kaskokiu paskyru ar platformu kurios leistu neribota kieki ir daznuma speliot slaptazodi? Nera "cooldown" ar paskyros blokavimo iki patvirtinimo per email? Kokia galimybe nulauzti pvz steam paskyra, kad ir su paprastu slaptazodziu "namelis25"?

Nenustebčiau jei yra. Vis tiek dėl papildomo programinio sluoksnio tas spėliojimas nebus toks greitas, kaip turint hashą, ir darant bruteforce ataką lokaliai.

Steam kita vertus yra senas projektas ir turi daug apsaugos sluoksnių. Reikia turėt tavo nulaužtą e-mail, kad gauti prisijungimo kodą. O jei jį jau turi, žalos bus daugiau.

Be to į jį įsilaužus viskas ką gali padaryti, tai pripirkt žaidimų. Na taip yra steam wallet, ir galima atsitiktinę kortelę parduoti labai brangiai, bet bent jau aš visada būnu su nuliniu balansu, nes moku per kreditinę.

Nulauzti steamai pardavinejami kitiems, kurie gali zaisti jame buvusius zaidimus. Pvz plati.ru gali nusipirkt visokiu platformu accountubsu geimais , aisku tie accountai daznai veikia neilgai .