[$=P=Y]

Запароль меня по-всякому!

Привет, «Игромания». После инцидента с паролями социалки «ВКонтакте» я задумался, какое количество людей создает банальные, легко угадываемые пароли и сколько же простых смертных погорает на этом? Сам регулярно ловлю себя на том, что использую какие-то банальные пароли в почте и на многих форумах. На одной доске обсуждений меня недавно даже забанили: кто-то украл мой аккаунт (пароль был банальный qwerty) и выложил ссылки на порно.
Расскажите, а какими методами паролесоздания пользуетесь вы? И что вообще нужно учитывать, создавая пароль. А то я сталкивался с ситуациями, когда хакеры запросто подбирают даже довольно длинные пароли, которые мне кажутся сложными для взлома. – Кирилл Овчинников (Москва)

Александр Макаренко (Ломал мозг над паролями)

Для начала – небольшой ликбез для тех, кто не в курсе, что случилось с «ВКонтакте». Приблизительно месяц назад, 30 июля, в интернете неожиданно появился текстовый файл, содержащий несколько тысяч логинов/паролей участников этой социальной сети. Ссылка буквально за несколько часов распространилась по многочисленным форумам, народ начал развлекаться: скачавшие файл логинились под произвольным именем и различными способами подшучивали над настоящими владельцами акков. Меняли фотографии, переписывали личные данные, оставляли сообщения на «стене» в духе «я – лох, меня взломали».
Судя по всему пароли воровал троян, кто именно собрал все это в единый файл и выложил в интернете, на момент написания мной этих строк еще не ясно. Администрация «ВКонтакте» среагировала оперативно: заблокировала доступ к страничкам с украденными данными, выслала на почту истинным владельцам новые пароли – в общем, никаких серьезных последствий не было.
Но многие интернетчики смогли узнать, что множество людей используют самые банальные пароли – чтобы их подобрать, не нужен никакой декриптор, троян или еще какая-нибудь хакерская примочка, их можно взять просто из головы. Qweerty, 12345, 98765, 1q2w3e4r и тому подобные. Попадались и откровенно стебные пароли, которые, тем не менее, довольно просто подобрать: «хочумужика», «хочубабу», «мужикикозлы», «йаблондинко».
Особенно позабавил всех следивший за событиями пароль «яломалстеклокакшоколадвруке». И вот его на самом деле очень непросто подобрать, потому что состоит он из 27 символов, даже самый продвинутый подборщик угрохает не один месяц на расщелкивание такого монстра.
Теперь давайте о конкретике. Если вы не готовы запоминать такие громоздкие фразы и хотите пароль покороче, то лучше включить голову и выключить рубильник встроенной в каждого из нас имбецильности. Сложнее всего подбираются пароли, содержащие буквы, числа и знаки препинания одновременно. Буквы при этом лучше ставить в разном регистре (большинство сервисов поддерживают эту функцию).
Я чаще всего ставил пароль по следующей схеме. Беру два мало связанных слова. Например, «опарыш» и «злобный». Из-за малосовместимости этих слов они легко запоминаются. Добавляю какую-то хорошо известную мне цифру – скажем, 1940 год, год рождения Джона Леннона. Ставлю между ними какой-то логический знак – допустим двоеточие. Получается «ЗлобныйОпарыш:1940». Осталось только написать эту забавную фразу в английской раскладке – Pkj,ysqJgfhsi:1940 – и получается пароль, подобрать который методом ненаучного тыка невозможно, спецпрограммы с таким паролем тоже не справляются.

Светлана Померанцева (Раскрывала тайные секреты)

Старпом, метод, безусловно хороший, я сама пользуюсь приблизительно таким же. Но вот незадача – когда регистрируешься на множестве самых разных сайтов и служб, запомнить все такие прикольные пароли невозможно. А использовать один и тот же – тоже не хочется, ведь если кто-то украдет базу одного сайта (как это случилось с «ВКонтакте»), то злоумышленник получит доступ ко всем другим сервисам. Ты вот говоришь, что все закончилось без последствий, а откуда ты знаешь, где еще люди использовали те же самые пароли, что и в социалке? Может хакреы уже давно используют их твиттеры, почтовые ящики и аськи?!
Записывать же каждый раз новый пароль в отдельном файле – тоже не выход, его как базу паролей с сайта можно украсть прямо с вашего компьютера. Есть, конечно, программы-шифровальщики, но после того как я однажды потеряла всю базу паролей в результате краха системы, я перестала им доверять.
Поэтому я всегда ставлю на любой новый сервис стандартный пароль, но… меняю в нем по определенному алгоритму всего две буквы. На компьютере же держу только последовательность сервисов, то есть в какое время я в них регистрировалась. Зная последовательность, я всегда знаю какие две буквы на что надо поменять, чтобы получить правильный пароль.

- Игромания №9 (144) 2009

[GDI32.dll]

Цитата:

Сообщение от vik-0306

может подбираться 32 года

Ему это скажи

[ActLine]

Цитата:

Сообщение от vik-0306

ActLine, брутом любой пароль не меньше девятизнака, в котором есть цифры, может подбираться 32 года)

Все зависит от брута и от скорости интернет-соединения. Отсюда следует, что у каждого она будет РАЗНАЯ

[GDI32.dll]

Цитата:

Сообщение от ActLine

скорости интернет-соединения.

Да кстати, а причем здесь скорость соединения?

[ActLine]

Цитата:

Сообщение от GDI32.dll

Да кстати, а причем здесь скорость соединения?

Элементарно Ватсон, именно от скорости соединения брут будет перебирает пароли - логично? Трафик во время перебирания расходуется, да и если взять нормальный брут там будет написано время завершения, скорость соединения и прочее и цифры эти всегда колеблются. По-вашему от чего он перебирает их быстрей или медленней? От настроения? Я так не считаю

[GDI32.dll]

Цитата:

Сообщение от ActLine

Элементарно Ватсон, именно от скорости соединения брут будет перебирает пароли - логично?

Ну ты и ламер Есть еще куча способов взломать аккаунт, но даже если и устраивать брутфорс, то только предварительно стырив хеш.

[Кар-Карыч]

Вообще половину аков ломают через почтовые ящики, а ящики через восстановление паролей, многие в любимом животном пишут своих кисок и собачек, а потом об них так упоительно рассказывают, при желании пол форума можно сломать.

[ActLine]

Цитата:

Сообщение от GDI32.dll

Ну ты и ламер Есть еще куча способов взломать аккаунт, но даже если и устраивать брутфорс, то только предварительно стырив хеш.

Мы на данный момент говорили о брутах... и причем тут Ламер? про кучу способов мы не говорим...

[Кар-Карыч]

Цитата:

Сообщение от ActLine

Мы на данный момент говорили о брутах

А сам пробовал брутом форум сломать? На форумах и в приличных сетях, после не правильного ввода пароля, от 3 до 5 раз, тебя заблокируют на некоторое время, а если усердствовать будешь то и IP заблокируют как сетевую атаку.

[ActLine]

Цитата:

Сообщение от Кар-Карыч

А сам пробовал брутом форум сломать? На форумах и в приличных сетях, после не правильного ввода пароля, от 3 до 5 раз, тебя заблокируют на некоторое время, а если усердствовать будешь то и IP заблокируют как сетевую атаку.

С этим согласен, но в конце концов зачем всё переводить на точечности? Ибо говорили о брутах и эту тему я поддержал. Мы не говорили о том ка взломать брутом форум или нечто подобное. Я знаю что после 5 попыток взлома ваш IP блокируют на 15 минут и тем более на почтовый ящик владельца приходит извещение о неправильных вводах на некоторых доменах

Добавлено через 30 секунд

Цитата:

Сообщение от Кар-Карыч

А сам пробовал брутом форум сломать? На форумах и в приличных сетях, после не правильного ввода пароля, от 3 до 5 раз, тебя заблокируют на некоторое время, а если усердствовать будешь то и IP заблокируют как сетевую атаку.

С этим согласен, но в конце концов зачем всё переводить на точечности? Ибо говорили о брутах и эту тему я поддержал. Мы не говорили о том ка взломать брутом форум или нечто подобное. Я знаю что после 5 попыток взлома ваш IP блокируют на 15 минут и тем более на почтовый ящик владельца приходит извещение о неправильных вводах на некоторых доменах

[Кар-Карыч]

Цитата:

Сообщение от ActLine

Ибо говорили о брутах и эту тему я поддержал

Зачем говорить о том чего не знаешь, или просто флудишь?

[ActLine]

Цитата:

Сообщение от Кар-Карыч

Зачем говорить о том чего не знаешь, или просто флудишь?

Что именно я по-твоему не знаю? до сих пор вроде бы я говорил о брутах, то что есть

[Кар-Карыч]

Цитата:

Сообщение от ActLine

Что именно я по-твоему не знаю?

Ты сам себе противоречишь.

Цитата:

Сообщение от ActLine

Качество работы брута зависит напрямую от скорости и стабильности интернет-соединения, например надцать миллионов комбинаций символов от 0-9 до A-Z длинной до 12 символов брут переберет скажем за несколько суток. Если хакер целеустремленный, он вас сломает. А если вы целеустремленней - вы будете менять пароли длинной 12 символов каждые 3 дня

Цитата:

Сообщение от ActLine

Я знаю что после 5 попыток взлома ваш IP блокируют на 15 минут и тем более на почтовый ящик владельца приходит извещение о неправильных вводах на некоторых доменах

[H1GHLANDER]

Скажите, а есть ли смысл ставить 15-значные пароли на сайтах uCoz? По их заявлениям, брут никогда не сможет взломать аккаунт в их сервисе.

[ActLine]

Кар-Карыч, я себе не противоречу. Первое сообщение описывает например домены, в которых нет ограничения ввода пароля(Например Mail.ru или Ucoz), а второе сообщение о доменах в которых эта функция предусмотрена(да далеко ходить не буду, а уткнусь на сайт Игромании и различных онлайн-игр).

Цитата:

Сообщение от H1GHLANDER

Скажите, а есть ли смысл ставить 15-значные пароли на сайтах uCoz? По их заявлениям, брут никогда не сможет взломать аккаунт в их сервисе.

Ну это уже выбор каждого, если хочешь быть защищен можешь поставить и больше, а если они подтверждают это официально, то можешь взять и попробовать взломать сам себя, а потом подать на них в суд)))

[vik-0306]

Цитата:

Сообщение от ActLine

Ну это уже выбор каждого, если хочешь быть защищен можешь поставить и больше, а если они подтверждают это официально, то можешь взять и попробовать взломать сам себя, а потом подать на них в суд)))

А потом докажут, что это он "взломал" сам себя, и скучно не будет хД

[Кар-Карыч]

Цитата:

Сообщение от ActLine

Первое сообщение описывает например домены, в которых нет ограничения ввода пароля(Например Mail.ru или Ucoz),

И опять глупость, сам пробовал, или только твои умозаключения? При попытке подбора пароля, на сотом запросе тебя заблокируют даже на доморощенном сайте.

[ActLine]

Цитата:

Сообщение от Кар-Карыч

И опять глупость, сам пробовал, или только твои умозаключения? При попытке подбора пароля, на сотом запросе тебя заблокируют даже на доморощенном сайте.

Пробовал и даже готов поспорить, а вы вводили 100 паролей чтобы проверить?

[Кар-Карыч]

Цитата:

Сообщение от H1GHLANDER

Скажите, а есть ли смысл ставить 15-значные пароли на сайтах uCoz? По их заявлениям, брут никогда не сможет взломать аккаунт в их сервисе.

Давайте разберемся что такое брут - это полный перебор (или метод «грубой силы» от англ. brute force) — метод решения задачи путем перебора всех возможных вариантов.
А теперь займемся немножко математикой - при генерировании пароля в шесть символов любой программой для генерирования паролей и при генерации символов от ! до я количество комбинаций в одном знаке будет около 200, а теперь математика, количество комбинаций будет равно

200*200*200*200*200*200=64000000000000

теперь дальше, при переборе пароля на сайте скорость перебора будет равна с скорости отклика сайта на ваш запрос, при запросе аккаунта и ответе на него, сайт будет производить поиск акка и сравнивать с паролем и выдавать ответ, даже если и взять время отклика 0.01 сек. получаем

64000000000000/100/3600/24/365 =20294,2 лет

потребуется для полного перебора. Все это напоминает попытку головой пробить стенку в чужую квартиру, даже если и не головой а кувалдой то не замеченным трудно остаться, через несколько часов частое обращение к сайту все равно обнаружиться.

А теперь к вопросу:

Цитата:

а есть ли смысл ставить 15-значные пароли

Разница в 15-ти и 8-ми значном пароле ни какая, это уже надежность пароля которая складывается из вероятности подбора пароля за определенный промежуток времени, в случае подбора с сайта очень маленькая и достаточно 8-ми знаков.

Из выше сказанного можно сделать вывод:

1. Для сайтов достаточно 8- ми значного пароля сгенерированного любой прогой,( не когда не ставьте пароли типа qwerty, или vasy-lol при подборе то словарю такие пароли ломаются на первой 1000)
2. Для программ достаточно 10-ти значные пароли сгенерированные.
3. Для кошельков от 12- 16 все зависит от количества денег.

Цитата:

Сообщение от ActLine

Пробовал и даже готов поспорить

Скрытый текст:

Даже и не собираюсь, мне не интересно с вами вести дискуссии, по причине полной вашей не компетентности.

PS. и просьба не отвечать на этот ответ.

[levitan20333]

короче это взломать будет сложно по крайней мере загод мой пароль не кто не взломал
суть в том что ты ставиш клаву на англ буквы а сам смотриш на русские и пишеш + к этому добавь свои цыфры номер телефона и тп и тд

[Кар-Карыч]

Цитата:

Сообщение от levitan20333

суть в том что ты ставиш клаву на англ буквы а сам смотриш на русские и пишеш + к этому добавь свои цыфры номер телефона и тп и тд

Дело в том что в словарях для взлома это все учитывается vasy и dfcz.