Адрес для входа в РФ: toffler.lol
Взлом паролей с помощью графических карт
19.05.2025 12:00
3520
Комментарии (189)
Компания Hive Systems, занимающаяся кибербезопасностью, опубликовала таблицу взлома паролей за 2025 год, построенную на основе имитированной атаки с использованием 12 графических процессоров Nvidia RTX 5090.
Эта связка из 12 графических процессоров взламывала пароли, защищенные алгоритмами хеширования, таким как bcrypt. То есть взламывались хеши - зашифрованные данные паролей, хранящиеся в базе.
Простой 8-значный цифровой пароль эта система взламывала всего за 15 минут, однако по мере увеличения устойчивости пароля (добавление букв в разных регистрах, добавление спецсимволов) - время уже очень существенно увеличивалось.
Вот итоговая таблица.
Выводы из этого следуют вполне ожидаемые. Если вы в пароле используете только цифры, что само по себе - достаточно плохая идея, то этих цифр должно быть не меньше 12.
Но на порядок лучше использовать более сложные пароли: цифры, буквы в разных регистрах и спецсимволы. Такие пароли даже короткие - в районе 8 символов - намного более устойчивые, чем простые цифровые пароли. Мысль совершенно банальная, но, как показывает анализ используемых паролей, огромное количество пользователей предпочитают простые цифровые пароли, составленные, например, из какой-то даты. На современном уровне развития вычислительных возможностей такие пароли, если они менее 12 символов, довольно быстро взламываются.
Ну и в очередной раз повторю старую истину: не надо запоминать несколько устойчивых паролей. Запомните один-единственный сложный пароль, задайте его в надежном менеджере паролей, после чего генерировать устойчивые пароли и запоминать их для вас будет менеджер. И это на порядки удобнее и безопаснее, чем держать какие-то пароли в голове.
А для значимых сервисов с чувствительной информацией (например, финансовой) обязательно использовать двухфакторную аутентификацию, потому что одного пароля, даже устойчивого, может быть недостаточно.
Войдите, чтобы оставить комментарий.
Есть опция гугля, которая показывает, какие данные о ваших логинах и паролях выложены в даркнете.
Ну и я смотрю, а там в основном мои однофамильцы, которые ко мне никакого отношения не имеют. Ну пару раз было, да. Какой-то коммон пасворд, который в означенный период использовался для неважных сайтов стал общеизвестным. Ну и ладно. Теми сайтами и логинами не пользуюсь давно, пароли давно другой структуры. Но включить все равно полезно, да.
Ну и я смотрю, а там в основном мои однофамильцы, которые ко мне никакого отношения не имеют. Ну пару раз было, да. Какой-то коммон пасворд, который в означенный период использовался для неважных сайтов стал общеизвестным. Ну и ладно. Теми сайтами и логинами не пользуюсь давно, пароли давно другой структуры. Но включить все равно полезно, да.
Справедливости ради, нужно упомянуть, что огромная масса простых паролей используется на сайтах, на которые пофиг, что тебя там взломают. Поэтому никто и не заморачивается со сложностью паролей в таких случаях. Это правило, конечно, не отменяет того факта, что 80% людей - идиоты, которые используют простые пароли везде. И будут использовать - их никак не перевоспитаешь.
Да, согласен.
- Не понимаю, как они смогли взломать пароль у меня на ноуте?!
- А что у тебя за пароль был?
- Год канонизации святого Доминика папой Григорием IХ.
- А это какой год?
- 1234-й.
- А что у тебя за пароль был?
- Год канонизации святого Доминика папой Григорием IХ.
- А это какой год?
- 1234-й.
Подозреваю, что у соответствующих служб давно есть ASICи или даже заказные чипы на самые популярные алгоритмы хэширования. Что позволяет, особенно в сочетании с таблицами уже когда-то посчитанных хэшей - на много порядков сократить указанное в таблице время.
Я помню 3 пароля на память - google, banking, работа. Все остальные в Мозилле, мозилла на гугле, гугль на двухфакторной идентификации.
Пока меня не крякали, может никому нужен не был.
Пока меня не крякали, может никому нужен не был.
Щас кто-то напишет — вызов принят!
Как я понял по используемым цветам в таблице, авторы явно считают, что 5 миллиардов лет, необходимых для взламывания, это ок, но всё-таки недостаточно надёжно. Понадобится ваш пароль хакерам, они и 5 млрд лет подождут. Надо, так надо.
Ну или может здесь та логика, что 5 млрд лет это средний/максимальный срок, а если повезёт, то скажем с вероятностью 0.001% взломают всего-то за 50 тыс. лет, а это уже почти ничто.
Ну или может здесь та логика, что 5 млрд лет это средний/максимальный срок, а если повезёт, то скажем с вероятностью 0.001% взломают всего-то за 50 тыс. лет, а это уже почти ничто.
Это еще без учёта, что не каждый сервис позволяет вводить бесконечное число неверных паролей без ограничений )
Хотя apple дает)
Хотя apple дает)
А если вообще очень повезёт, то сломают уже сегодня к ужину 😄
А что делать ящеру, который последовал вашему совету
Запомните один-единственный сложный пароль, задайте его в надежном менеджере паролей, после чего генерировать устойчивые пароли и запоминать их для вас будет менеджер
и потерял устройство, на котором установлен этот самый надежный менеджер паролей?
Запомните один-единственный сложный пароль, задайте его в надежном менеджере паролей, после чего генерировать устойчивые пароли и запоминать их для вас будет менеджер
Парольная база keepass в облаке, например, dropbox, файл легковесный, постоянная синхронизация этого файла на десктопный комп, на ноутбук, на смартфон.
Итого очень свежая бпза будет в облаке и на паре наиболее используемых девайсов.
Если потеряется смартфон - нет проблем то же самое настроить на новый смартфон
Итого очень свежая бпза будет в облаке и на паре наиболее используемых девайсов.
Если потеряется смартфон - нет проблем то же самое настроить на новый смартфон
Базу паролей можно хранить в облаке и/или распределённом сервисе. Плюс бэкап.
Например, держишь пароли в KeePass, база на Dropbox плюс ежемесячный бэкап на NAS или GoogleDrive. Так как все эти сервисы защищены и сама база защищена хорошим паролем, то взломать достаточно сложно.
Например, держишь пароли в KeePass, база на Dropbox плюс ежемесячный бэкап на NAS или GoogleDrive. Так как все эти сервисы защищены и сама база защищена хорошим паролем, то взломать достаточно сложно.
И без регулярных бекапов базы? Плохая идея.
Пароли храните, где вам заблагорассудится. Железка? Да пусть накроется! 😉
Зачем же потерял? К примеру, железка накрылась. Самый главный совет тут : отдайте все свои пароли какому-то там менеджеру и спите спокойно. Тупо до чрезвычайности.
Сама программа не имеет значения, сносите, устанавливайте, снова сносите! А вот база! Базу хранить и бэкапить! (держать на паре облаков и на всяких HDD и SSD и просто на флэшках) Только не забывайте все синхронизировать, хотя бы раз в месяц.
Вспомню древнюю шутку на эту тему:
Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, слишком мало символов в пароле!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать как минимум 10 различных символов в
пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза.
— Извините, не допускается использование нескольких заглавных букв, следующих
подряд!
— 1ГрёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!
— Извините, этот пароль уже занят.
Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, слишком мало символов в пароле!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать как минимум 10 различных символов в
пароле!
— 1грёбанаярозоваяроза.
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза.
— Извините, не допускается использование нескольких заглавных букв, следующих
подряд!
— 1ГрёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!
— Извините, этот пароль уже занят.
— Извините, этот пароль уже занят пользователем Misha1977.
— Извините, этот пароль уже занят пользователем Misha1977.
Эксперты уже пришли к выводу что частая смена паролей только увеличивает риски. Поэтому, например PCI DSS уже не требует постоянной ротации паролей, но требует минимальную длину 12 символов + спецсимволы, цифры, заглавные буквы.
— 1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!
— Извините, этот пароль уже занят.
— Извините, этот пароль уже занят.
Т.е. считается, что взломать пароль - это кодировка в степени количества знаков и умножить на некую константу (время проверки пароля), я правильно понял?
Т.е. на таблице у нас график функции x^y, где х=10 для только цифр и 256 для всех знаков ASCII, a y - это количество знаков в пароле. Информативно, конечно.
Т.е. на таблице у нас график функции x^y, где х=10 для только цифр и 256 для всех знаков ASCII, a y - это количество знаков в пароле. Информативно, конечно.
Ну это для случая когда хакеры сперли базу с захешироваными паролями. Тогда алгоритм просто перебирает пароли, хеширует их и смотрит если значение совпадает со значением в базе. Пока все это работает, у админов есть время обнаружить утечку и сбросить пароли. Ну а так, да это таблица экспоненциального роста времени. Число вариантов может дать калькулятор, но все равно интересно сколько времени займет перебор на современном железе.
Кстати, кругом сплошное враньё и таблица лживая!
Они даже жалкие 8 триллионов лет не взламывали, не то что 463 квинтильона.
Они даже жалкие 8 триллионов лет не взламывали, не то что 463 квинтильона.
Они реально столько времени ждали
Они даже жалкие 8 триллионов лет не взламывали, не то что 463 квинтильона.
Крупные сайты уже начинают переходить на Passkey (WebAuthn), когда аутентификация происходит через закрытые ключи, храняшиеся на устройстве и синхронизирующиеся через облако. Намного удобнее, чем пароли.
Крупные сайты уже начинают переходить на Passkey (WebAuthn), когда аутентификация происходит через закрытые ключи, храняшиеся на устройстве и синхронизирующиеся через облако. Намного удобнее, чем пароли.
Ну, отпечаток можно дать и emergency... Он телефон-то разлочит, но и полицистам сдаст. Хотя, зависит от полицистов и страны. Однако даже возможность подобного исхода отпугнет со временем многих.
Кому удобнее? Дать железякой по голове (Ну или спросить с какого района в тёмном переулке), разблокировать телефон отпечатком, и все, даже паяльник не нужен. Хотя с менеджером паролей та же фигня, они же и пасскеи хранят к тому же.
А что за пароли взламывали?
Если от чего-то в интернете, то даже если там нет никакой защиты от brut force, то отзыв приходит в лучшем случае через 20-30мс, т.е. надо открыть какое-то безумное количество параллельных сессий и не очень понятно, как сайт не защищённый от brut force на них среагирует.
Если от чего-то в интернете, то даже если там нет никакой защиты от brut force, то отзыв приходит в лучшем случае через 20-30мс, т.е. надо открыть какое-то безумное количество параллельных сессий и не очень понятно, как сайт не защищённый от brut force на них среагирует.
а ок, тогда логично
Это когда владельца cпаивают брютом? Имеет смысл: игристые вины - штука коварная и он сам выболтает!
от brut force
для тех кто в танке: брали просто хэш пароля и брутфорсили. Ни в какие сайты не пытались входить.
Итого, парольные фразы рулят. Каждые 2 дополнительных символа в обычном пароле строчными буквами дают больше, чем добавление прописных букв, цифр, а затем и символов.
Легко запомнить, легко набрать, стойкость выше похвал.
Легко запомнить, легко набрать, стойкость выше похвал.
почему? что мешает ему хранить историю паролей в хешированном виде?
Атака по словарю,
Попробуй взломать обычный криптокошелёк, где не только всего лишь 12 или 24 слов, да ещё и заранее известных
К примеру, видел недавно картинку "белки синтезируются на рибосомах" - две белки идят на соме.
вот как раз про мою память..
Так для всех аккаунтов никто не может. А вот парольные фразы для одного двух десятков - вполне реально, это обычные мнемотехники. К примеру, видел недавно картинку "белки синтезируются на рибосомах" - две белки идят на соме. Или, к примеру, действующее вещество карсила я запомнил почти 15 лет назад, потому что кто-то на Лепре выложил картинку с космодесантников из вахи, у которого нарисована дебильная рожа. Силимарин. Теперь даже если надо, не забуду.
Другое дело, что с менеджером паролей это не нужно.
Другое дело, что с менеджером паролей это не нужно.
апоалим? 😉
Уже задолбался запоминать пароли
А какая разница, речь о запоминании мастер-паролей или просто паролей?
если он знает "предыдущие", то сливай воду
Хм. Джентельменам верят на слово, но я всё же суну в калькулятор: alecmccutcheon.github.io
там есть ссылки на статьи с обсуждением разных подходов к оценке сложности пароля. Мне больше нравится подход KeePass-а, который по разному оценивает пароли Aa123456789012 и hdjgpyfmQpt3eU в отличии от.
Похожесть он принципиально не может проверить. Иначе взломать было бы сильно проще. Искать надо было бы не точное попадание, а похож - не похож
А потом сервис такой "чё-та мне твой пароль не нравится, быстро меняй! И не смей его менять на похожие на предыдущие пароли!"
Сорри, в ветке, в которой мы сейчас обсуждаем проблематику длины пароля вы не пишите, что речь о мастер пароле - просто "парольные фразы рулят".
И да, парольные фразы рулят независимо от области применения. Не рулят только там, где сайт выдвигает набор долбанутых требований типа "добавь три цифры, две прописные, три притопа два прихлопа".
если проверить как он пишется кириллицей.
Опять-таки, можно писать первое слово парольной фразы с прописной. Или все слова.
например. у фразы
rice.radar.twentieth.liking.gumdrop
ShannonEntropyBits: 138.02
TrigraphEntropyBits: 199.06
Strength Code: Very Strong
All Possible combinations: 5.247830202899265e+61
w9iJtz4eKhAH
ShannonEntropyBits: 43.02
TrigraphEntropyBits: 69.97
Strength Code: Strong
All Possible combinations: 3.2262667623979e+21
"rckth.he-2025
ShannonEntropyBits: 49.30
TrigraphEntropyBits: 77.67
Strength Code: Strong
All Possible combinations: 4.51985786527617e+25
Ну и "первая буква слова прописная":
Rice.Radar.Twentieth.Liking.Gumdrop
ShannonEntropyBits: 146.77
TrigraphEntropyBits: 217.76
Strength Code: Very Strong
All Possible combinations: 2.2375616613108643e+67
Как я и писал, мне нужно всего две
например. у фразы
rice.radar.twentieth.liking.gumdrop
по мнению keepass-а уровень энтропии - 65 бит
такой же уровень энтропии у пароля w9iJtz4eKhAH 😄
и, кстати, у такого тоже "rckth.he-2025 😉
последний, кстати, вполне себе запоминаем, если проверить как он пишется кириллицей.
Ты смеёшься, но проблема существует. Не "непохожей на предыдущие" (от такого сервиса бежать быстрее визга - если он знает "предыдущие", то сливай воду), а "введите три неповторяющиеся цифры, как минимум один спецсимвол и прописную букву".
К счастью, менеджеру паролей пофиг, что генерить.
К счастью, менеджеру паролей пофиг, что генерить.
Как минимум, гораздо больше, чем паролей формата FM5LtZ&g
Как я и писал, мне нужно всего две. Одна для мастер-пароля на мой битварден, вторая - на архив для бекапов хранилища. У меня ещё пассфраза на джимейл, она в памяти необязательна из-за того, что использовать приходится регулярно, я её помню.
Как я и писал, мне нужно всего две. Одна для мастер-пароля на мой битварден, вторая - на архив для бекапов хранилища. У меня ещё пассфраза на джимейл, она в памяти необязательна из-за того, что использовать приходится регулярно, я её помню.
А потом сервис такой "чё-та мне твой пароль не нравится, быстро меняй! И не смей его менять на похожие на предыдущие пароли!"
Легко запомнить, легко набрать, стойкость выше похвал.
Попробуй взломать обычный криптокошелёк, где не только всего лишь 12 или 24 слов, да ещё и заранее известных. Казалось бы, фигачь брутфорсом, а деньги с кошелей сливай не могу.
Анекдот.
Миллиард китайцев пытались взломать сервер Пентагона. Они набирали один и тот же пароль: "Мао Дзе Дун". На стопиццотмиллионной попытке сервер Пентагона согласился, что у него пароль "Мао Дзе Дун".
Миллиард китайцев пытались взломать сервер Пентагона. Они набирали один и тот же пароль: "Мао Дзе Дун". На стопиццотмиллионной попытке сервер Пентагона согласился, что у него пароль "Мао Дзе Дун".
стойкость выше похвал.
Лет 5 назад я пыталась пользоваться сервисом LastPass (бесплатной версией) и столкнулась с тем, что спустя 2-3 месяца использования он "забывает" мастер-пароль. Ну то есть вчера он еще подходил, а сегодня - уже нет. Я предположила, что, возможно, ошибаюсь при вводе, и скопипастила пароль из текстового файла - он тоже не подошел. Обратилась в поддержку, мне ничем помочь не смогли, кроме сочувствия и предложения создать новую учетную запись. Создала. Через 2 месяца она точно также "забыла" мастер-пароль. Обратилась в поддержку, мне предложили купить платную версию, дескать там таких ошибок не бывает. Но что-то мне расхотелось пользоваться услугами подобных сервисов.
саппорту надо было пригрозить бы вам паяльником - сразу бы вспомнили правильный пароль и не напрягали их
еще идея: можно использовать в пароле только цифры, а взломщикам сказать, что там спецсимволы и буквы. И самому проще запомнить и взломщикам больше работы
Еще можете из окна квартиры кричать "здесь денег нет, товарищи воры!".
а взломщикам сказать
- Сёма, я вас умоляю! Сначала посмеюсь, а потом буду искать вместе с ними.
Опять таблицы про взлом паролей суперкомпьютерами за миллиарды лет. Звучит страшно, но пока теоретики считают, я иногда в свой же Gmail не могу войти из-за блокировки по IP или после пары опечаток.
И вот вопрос: может хватит пугать "сферическими взломами в вакууме"? Пароль должен быть сложным и уникальным, менеджеры паролей – да, это база. Но гораздо актуальнее:
-Двухфакторная аутентификация (2FA): Вот реальная защита! Даже если пароль украдут (скорее фишингом, чем брутфорсом), без второго фактора в аккаунт не попадут.
-Фишинг и утечки с сайтов: Вот откуда чаще всего "прилетает". Практическая безопасность важнее гипотетических страшилок.
И вот вопрос: может хватит пугать "сферическими взломами в вакууме"? Пароль должен быть сложным и уникальным, менеджеры паролей – да, это база. Но гораздо актуальнее:
-Двухфакторная аутентификация (2FA): Вот реальная защита! Даже если пароль украдут (скорее фишингом, чем брутфорсом), без второго фактора в аккаунт не попадут.
-Фишинг и утечки с сайтов: Вот откуда чаще всего "прилетает". Практическая безопасность важнее гипотетических страшилок.
Да, Гмейл солит хеши, он молодец.
Но не все сервисы это делают.
Но не все сервисы это делают.
Или один фактор можно восстановать с помощью второго. Например, забыл пассворд, но могут прислать на мейл или через СМС линк на его ресет.
Двухфакторная аутентификация (2FA)
(Например, банковский клиент на мобильнике присылает подтверждение по СМС, которое сам же извлекает из СМС и подставляет в поле ввода -- это не 2FA, это профанация.)
теоретики считают, я иногда в свой же Gmail не могу войти из-за блокировки по IP или после пары опечаток.
Да, Гмейл солит хеши, он молодец.
Но не все сервисы это делают.
Двухфакторную аутентификацию надо использовать всегда.
этот анекдот я знаю ещё с фидо
-Зухель..."
единственная версия трекеров, которые действительно трекеры
Карточка с интернетами, привязанная к основному номеру и не умеющая звонить.
Оператор дал бесплатно.
Мне - удобно.
Наоборот пусть уберут, и пароли только цифровые, 4 цифры, что б не мучался народ.
Угу, к свапу.
Ну, поилка для кота стоит 45 евро, просто потому что скотина любит хлебать проточную воду.
И кот оказался умный - не шотландец, но всё равно. Мы кота не поняли, а кот понял, что надо выдёргивать, чтоб это жужжание прекратилось. А у этих фонтанов, если они "стоят", вода внутри "зацветает" в считанные часы.
И теперь у кота другой фонтан. С ДЕТЕКТОРОМ, МАТЬ ЕГО, ДВИЖЕНИЯ. Он по другому немного устроен и воду можно менять раз в три дня, а не каждый.
Для того чтобы хакнули, нужно всего-лишь получить дамп памяти процесса или компьютера.
nvd.nist.govНихрена себе "фигня".
Маск может использовать имя сына прямо как в этом анекдоте. 🤣🤣🤣
Ну, поилка для кота стоит 45 евро, просто потому что скотина любит хлебать проточную воду. Разные чесалки и лежбища стоят как крыло самолёта.
Как тебя понимаю, бро.
Как тебя понимаю, бро.
Нет, не в аллергии. Но спасибо за ссылку, аллергики есть знакомые.
Просто обожаю кошек, а держать не могу.
Понятно ) Нет, я не имел целью взлом вашего аккаунта. Просто обожаю кошек, а держать не могу.
Вот! Еще одно доказательство!
А как зовут вашего кота? На чешский манер или по-русски как-то?
Но его имя в паролях не используется, ибо этот анекдот я знаю ещё с фидо
-Ты знаешь, мне один админ сказал, что нельзя использовать имя своей
кошки в качестве пароля
-Ну наверное, но я менять уже не буду. QwuH%412 привыкла к этому имени.
Я шизанулся?
Да, господипомилуй, для котика надо завести отдельный гугл-аккаунт, со всеми пирогами!
Телефон. Да, у кота свой номер телефона. Что? Я шизанулся? Шизанулся, но не я - единственная версия трекеров, которые действительно трекеры (а не огрзкоподобные поделия типа "есть кто рядом?"), требуют симку.
Кстати, Алекс, это неплохая тема для обзора. Заодно можно получить отзыв, так сказать, из первых лап.
Когда я соскакивал со Sticky Password (исключительно из параноидальных настроений, там база хранится у дяди и у проги код закрыт) наткнулся на KeePass и статью о том, что он скомпрометирован, понимаю, что это скорее всего фигня, но...) Увидел, что KeePassXC имеет открытый код и все-такое. На него и перешел. Вот в Хакере, например, было. Вот как TrueCrypt был скомпрометирован, даже разработку закрыли, так нафига он нужен, если есть форк VeraCrypt? В мире дохрена альтернатив!
Да, господипомилуй, для котика надо завести отдельный гугл-аккаунт, со всеми пирогами! Он же сам не может - у него лапки! )
На сайтах зоомагазинов это очень актуально да.
не KeePass, который скомпрометирован,
а его активно развивающимся форком - KeePassXC
Регистрация на сайтах зоомагазина зло.
ради какого-то эфемерного бонуса.
И наполнитель у меня в туалете - холодная вода, а не один единственный тип силиконового песка, который есть только вот у них. И те 15% скидок они вполне себе сравнимы с каким-нибудь регулярным ценником на, скажем, сотовую связь+интернет.
А вы знали что крупные зоомагазины предлагают скидки для перелётов с животными? А вы знаете, что перелёт с котом в экономе это дороже, чем три человека без кота в нём же?
Эфимерные, блин.
[Конец жалобливых выражений]
Речь же как раз о том, что сайты рогакопытовой направленности никогда не будут делать ничего серьёзного у себя, а пупочку купить таки надо. Ладно если вы в Берлине или Копенгагене, где её можно и ногами купить. А если вы счастливый обладатель домика в тихом месте, то есть ОБЫЧНЫЙ гражданин?
Ну я так и понял 👌
так-то на госуслугах есть нормальная двухфакторка с использованием аутентификатора - честный изолированный от каналов передачи данных второй фактор.
Другое дело, что через смс можно отвязать этот фактор, заменив его на уязвимый.
Другое дело, что через смс можно отвязать этот фактор, заменив его на уязвимый.
только пользуюсь не KeePass, который скомпрометирован, а его активно развивающимся форком - KeePassXC
Есть у меня физический ключ тоже, только пользуюсь не KeePass, который скомпрометирован, а его активно развивающимся форком - KeePassXC. Бесплатный, открытый код, всё как мы любим.
На сайтах зоомагазинов это очень актуально да. И вход по сетчатке. А то ишь.
Разработчикам Госуслуг скажи, чтобы они использовали трехфакторную аутентификацию: по паролю, смс и e-mail. А то эти мошенники уже задолбали.
Мне удивительно, почему минусуют здравую мысль?? Да, двухфакторка не везде есть, но там, где она есть, нужно пользоваться ею ОБЯЗАТЕЛЬНО!
Мне удивительно, почему минусуют здравую мысль?? Да, двухфакторка не везде есть, но там, где она есть, нужно пользоваться ею ОБЯЗАТЕЛЬНО!
Двухфакторную аутентификацию надо использовать всегда.
Одноразовую/уникальную почту тогда
Двухфакторную аутентификацию надо использовать всегда.
Одноразовую/уникальную почту тогда, чтобы при утечках не смогли связать аккаунт с аккаунтами на более критических сайтах
Двухфакторную аутентификацию надо использовать всегда.
Я, кстати, читал, что длина пароля лучше его разнообразия. Вроде бы, добавление одного дополнительного разряда даже к простому цифровому паролю время взлома увеличивает гораздо сильнее, чем введение спецсимволов в более короткую версию.
Я, кстати, читал, что длина пароля лучше его разнообразия. Вроде бы, добавление одного дополнительного разряда даже к простому цифровому паролю время взлома увеличивает гораздо сильнее, чем введение спецсимволов в более короткую версию.
А главный прикол в том, что у пароля "1234" может быть одинаковый хеш с паролем "ЛюБлЮEXLER.RU,ажКюшатьНеМогу".
Так что только 2FA и никак иначе!!!
Вроде бы, добавление одного дополнительного разряда даже к простому цифровому паролю
это если подряд тупо брутфорсить. На самом деле сначала ломают по словарю. И тут цифровой пароль очень быстро подбирается, особенно если алгоритм взлома немножко умный.
но опять же, тут идет речь о взломе, когда на руках есть хэш пароля, который получен, например, из слитой базы данных какого-то сервиса (где есть таблица с учетками и хэшами паролей).
но опять же, тут идет речь о взломе, когда на руках есть хэш пароля, который получен, например, из слитой базы данных какого-то сервиса (где есть таблица с учетками и хэшами паролей).
Я не то что бы специалист, но мое понимание, что хороший хеш для паролей должен считаться долго. Ну типа нужно потратить электричества на какую-то заметную часть цента. Чтобы цена была маленькая для нормальной проверки, со слишком дорого если начать перебирать миллиарды комбинаций.
А в статье вроде используется MD5. Это старый хэш, который уже вообще не считается безопасным ни для каких целей, и уж тем более не должен быть использован для паролей.
А в статье вроде используется MD5. Это старый хэш, который уже вообще не считается безопасным ни для каких целей, и уж тем более не должен быть использован для паролей.
Сколько надо надо потратить, чтобы отгадать пароль такой-то длины.
На каком-то полухакерском ресурсе.
Однозначно дешевле, чем набивать его заново с прозвонкой линий и беготнёй по зданиям.
A....Тогда да. Интересно бы перевести эти цифры в доллары. Сколько надо надо потратить, чтобы отгадать пароль такой-то длины.
В таблице речь про bcrypt, а не про md5. md5 в статье для примера, расчеты же для более актуального алгоритма.
Терморектальный криптоанализ всё ещё впереди.
позади
впереди
позади
позади
впереди
меня улыбнуло, что в таблице зелененьким это совсем хорошо, а желтеньким типа как "ОК, но сам смотри" и надпись "3 млрд лет" на перебор 😄))
Пароль - багрянец.
У GeForce RTX 5090 21760 NVIDIA CUDA юнитов. Так что все далеко не так уж однозначно.
кластер не из 12 графических процессоров, а помощнее.
а желтеньким типа как "ОК, но сам смотри" и надпись "3 млрд лет" на перебор
У менеджеров паролей есть неприятная особенность, о которой часто забывают - вы храните все яйца в одной корзине. Т.е. если злоумышленники получат доступ к базе менеджера паролей - они получат доступ сразу ко всем вашим сайтам/приложениям. При этом многие менеджеры паролей теперь ещё и позволяют сохранять TOTP для двухфакторной аутентификации в дополнение к имени пользователя и паролю. И тогда аутентификация вообще перестает быть двухфакторной.
И такие случаи уже были - несколько месяцев назад malware похитил все пароли из 1Password у работника Disney. При этом злоумышленники использовали информацию из менеджера для доступа к данным из корпоративного диснеевского Slack’a. И такие случаи будут происходить всё чаще и чаще.
И такие случаи уже были - несколько месяцев назад malware похитил все пароли из 1Password у работника Disney. При этом злоумышленники использовали информацию из менеджера для доступа к данным из корпоративного диснеевского Slack’a. И такие случаи будут происходить всё чаще и чаще.
При этом многие менеджеры паролей теперь ещё и позволяют сохранять TOTP для двухфакторной аутентификации в дополнение к имени пользователя и паролю.
Поясните пожалуйста пользу от сохраненного TOTP - я думаю буквы OT в середине аббревиатуры там не просто так 😄
сохранять TOTP для двухфакторной аутентификации
А менеджеры паролей разве сами пароли в незашифрованном виде хранят? Мне кажется, если у нормального менеджера паролей база утечет, то от нее толку примерно никакого не будет, не? Это если только получить пароль от самого ЛК этого менеджера у конкретного пользователя жеж.
Но у части простых менеджеров вся база паролей хранится в памяти в расшифрованном виде во время работы менеджера. У менеджеров посложнее - только одна запись в момент её просмотра пользователем, но тоже отследить вполне возможно.
В случае же с сотрудником Disney злоумышленники, похоже, установили keylogger и просто отследили master password в момент его ввода. А дальше - уже дело техники.
А менеджеры паролей разве сами пароли в незашифрованном виде хранят?
А менеджеры паролей разве сами пароли в незашифрованном виде хранят? Мне кажется, если у нормального менеджера паролей база утечет, то от нее толку примерно никакого не будет, не? Это если только получить пароль от самого ЛК этого менеджера у конкретного пользователя жеж.
Мне вот идея с менеджером паролей кажется не такой уж супер-устойчивой. Что если доступ к менеджеру паролей украдут? Что, если он (доступ) потеряется? И вообще, я должен доверить все свои пароли (и доступ к моим деньгам) какой-то неизвестной фирме (производителю менеджера паролей). Мой внутренний параноик восстает против такой идеи.
компу с текстовым файлом
Или в архиве.
с помощь социальной инженерии
Пока что последние лет 20 мне это удается.
А если YubiKey поломается или потеряется (допустим, в пожаре) ?
1. Пароли хранятся не в "менеджере паролей", а в базе данных. Доступ к менеджеру паролей могут воровать сколько угодно, пока защищена база данных.
2. База данных зашифрована и мастер пароль должен быть достаточно сложным, но хорошо запоминаемым. Из плюсов: его не надо менять.
3. Код менеджера паролей должен быть открытым, чтобы у производителя не было соблазна сделать security by obscurity, а все дырки, типа хранения паролей в кэше быстро обнаруживалить и чистились. Ну и чтобы у них не было соблазна эти пароли по сети передавать.
4. У базы данных должен быть бэкап. Желательно несколько. Тот факт, что база в облаке - не решение всех проблем, так как облако удалит файл везде, если он будет удалён на одном из устройств.
2. База данных зашифрована и мастер пароль должен быть достаточно сложным, но хорошо запоминаемым. Из плюсов: его не надо менять.
3. Код менеджера паролей должен быть открытым, чтобы у производителя не было соблазна сделать security by obscurity, а все дырки, типа хранения паролей в кэше быстро обнаруживалить и чистились. Ну и чтобы у них не было соблазна эти пароли по сети передавать.
4. У базы данных должен быть бэкап. Желательно несколько. Тот факт, что база в облаке - не решение всех проблем, так как облако удалит файл везде, если он будет удалён на одном из устройств.
Мой внутренний параноик поэтому завел банальный файлик logins.txt на десктопе компа - и записывает новые регистрации туда 😄 Иногда этот файлик даже бэкапится. Если какой-то сайт меня разлогинивает - ищу в файлике, текстовым поиском по имени сайта. Учитывая, что это бывает не так уж и часто - мне норм.
В какой-то момент с помощь социальной инженерии это его на этом облаке хакнули. И плакали его денежки.
Программу для генерации можешь написать сам
Это же тот мэнэджер паролей только без пароля!
Гениально!
Не, ну можно, конечно, как к коменте выше - положить все в базу, а ее зашифровать аппаратным ключом, а комп еще обернуть фольгой и выключать на ночь из розетки. Но зачем? 😄 Я придумываю достаточно уникальные пароли для разных сайтов - и просто записываю их, не доверяя никому. Кликнуть на файле logins.txt и записать в него новый логин - это пол минуты, которые нужно потратить разок в месяц для какого-то нового сайта. Это очень просто.
И вообще, я должен доверить все свои пароли (и доступ к моим деньгам) какой-то неизвестной фирме (производителю менеджера паролей). Мой внутренний параноик восстает против такой идеи.
Поэтому лучший менеджер паролей - KeePass. Он и с открытым исходным кодом, и хранит базу паролей в обычном файле. На втором месте Bitwarden, но на собственном хостинге. Но собственный хостинг сложнее в настройке и потенциально опаснее, поэтому всё же KeePass. Сам же файл с базой паролей можно спокойно синхронизировать между устройствами при помощи любого облачного сервиса, которому доверяешь (Google Drive, Dropbox и т.п.), либо вообще без облака - при помощи Syncthing (в этом случае файл с базой вообще будет только на твоих устройствах).
Соответственно, в сценарии с KeePass, доступ к файлу с базой паролей можно получить только если получить сначала доступ к устройству пользователя и скопировать файл с него. Либо к облачному сервису, на котором файл лежит, если используется синхронизация через облако. Однако файл сам по себе довольно бесполезен - надо ещё и пароль на базу знать, чтобы её расшифровать, а пароль должен быть сложным.
Ну и некоторые особые извращенцы, типа меня, шифруют базу при помощи не только пароля, но ещё и аппаратного ключа. Т.е. чтобы получить доступ к паролям надо: 1) получить доступ к самому файлу с базой; 2) узнать мой пароль к базе паролей; 3) украсть мой YubiKey. Ну, как говорится, флаг в руки.
А сам файл базы надо, естественно, бэкапить, чтобы пароли никогда не потерять.
У меня на собственном хосте крутится bitwarden (vaultwarden)
Мой внутренний параноик поэтому завел банальный файлик logins.txt на десктопе компа - и записывает новые регистрации туда 😄 Иногда этот файлик даже бэкапится. Если какой-то сайт меня разлогинивает - ищу в файлике, текстовым поиском по имени сайта. Учитывая, что это бывает не так уж и часто - мне норм.
Пользуйтесь KeePass. Храните только локально и на своём Андроид устройстве. Синхронизируйте через своё собственное облако или FTP.
Я бы сразу такой файл посмотрел, даже если бы не искал никаких паролей, а просто бы увидел. А вот файл с именем readme.txt привлекает гораздо меньше внимания, только он должен лежать в папке какой-нибудь программы, а не на десктопе.
Дамп можно было получить из свопа/гибернации, когда пользователь даже не залогинен.
"Как убить репутацию при помощи дешевого аутсорса за минимальное количество времени."
Издание второе, дополненное.
Я посмотрел на уязвимости, там было даже ещё хуже. Дамп можно было получить из свопа/гибернации, когда пользователь даже не залогинен. То есть физический доступ к компу = pwned. Причём, можно было увести мастер-пароль. Разумеется, баг прикрыли, да и подобная атака может быть только целевой, но всё равно ещё тот ппц.
Но тут, считаю, если злоумышленник имеет доступ к памяти твоего компа
Насколько помню, была уязвимость, когда получалось утянуть некоторые пароли через дамп памяти. Но тут, считаю, если злоумышленник имеет доступ к памяти твоего компа - тогда все остальные способы защиты скомпроментированы.
Не храни пароли, а генерируй их каким-то хорошим алгоритмом с известными только тебе параметрами и известным только тебе мастер-паролем.
Если (мы же теоретиги, да? 😉 ) предположить, что кто-то может упереть у вас файл с чем-либо, то логично предположить что он может упереть и этот алгоритм. А единственный непробиваемый параметр в этом случае будет случайное число, которго генерить пока не научились. Нигде. Если не считать "камеру в небо", что вы вряд ли используете.
Есть варианты, скажем Keepass для локального хранения.
Мой внутренний параноик поэтому завел банальный файлик logins.txt
Не храни пароли, а генерируй их каким-то хорошим алгоритмом.
У меня на собственном хосте крутится bitwarden (vaultwarden) в качестве мастер-пароля к которому я использую парольную фразу. Зашифрованные (другой парольной фразой) пароли ежедневно синхронизируются с помощью рклона на 3 облака, которыми я пользуюсь (один из которых только для паролей).
Собственному компу с текстовым файлом я бы вообще не доверял. Есть варианты, скажем Keepass для локального хранения. Это я Не вам, а Афанасию, чтобы два раза не вставать.
Собственному компу с текстовым файлом я бы вообще не доверял. Есть варианты, скажем Keepass для локального хранения. Это я Не вам, а Афанасию, чтобы два раза не вставать.
Как подход оправдан, если ваш десктоп никому не нужен и никто файлик не найдет.
поэтому завел банальный файлик logins.txt на десктопе компа
Что если доступ к менеджеру паролей украдут?
Что, если он (доступ) потеряется?
я должен доверить все свои пароли
Keycloak
Мне вот идея с менеджером паролей кажется не такой уж супер-устойчивой.
Мой внутренний параноик восстает против такой идеи.
Это не взлом пароля, это судоходство бумажных корабликов весной по лужам.
Но, ИМХО, в текущей ситуации основная опасность связанная с паролями не в их «легкости».
Сейчас все привыкли что каждый задрипанный сайт продаж мочалок требует регистрации. А у нормального человека не бывает 10 паролей с 10 уровнями сложности. Он у него один. Отсюда, вероятность того что он в течении года-двух «зарегистрируется» на сайте, единственная смысл существования которого - сбор паролей, равна единице.
Но, ИМХО, в текущей ситуации основная опасность связанная с паролями не в их «легкости».
Сейчас все привыкли что каждый задрипанный сайт продаж мочалок требует регистрации. А у нормального человека не бывает 10 паролей с 10 уровнями сложности. Он у него один. Отсюда, вероятность того что он в течении года-двух «зарегистрируется» на сайте, единственная смысл существования которого - сбор паролей, равна единице.
Ну вот вам второе устройство.
я ж не знаю что там у вас.
А куплен был еще раньше?
У соседа на первом этаже висит телек, который дочка ткнула игрушечным мечом в возрасте шести лет, экрану немножко поплохело. Сейчас ей 25, телевизор в довольно активном использовании
В 2006 кажется еще даже телевизоры с кинескопами в продаже оставались.
а не менеджер паролей от Гугла,
На втором этаже у него телек помоложе, лет пять.
Что касается Алиски, то она в Украине так себе работает.
И телевизор у них тоже 10-и летней давности? 😉 Алиски нету?
У соседа на первом этаже висит телек, который дочка ткнула игрушечным мечом в возрасте шести лет, экрану немножко поплохело. Сейчас ей 25, телевизор в довольно активном использовании, на то пятно уже никто внимания не обращает, тем более, что оно почти в самом углу.
На втором этаже у него телек помоложе, лет пять. Полностью живой, уже некому в экран мечами тыкать.
Что касается Алиски, то она в Украине так себе работает.
Если у пользователя только одно устройство - годится
Ну всё правильно. Можно чуть менее сурово, но принцип - да. ДОЛЖЕН быть такой.
Однако если бы все делали так, как дОлжно, то не было бы ни взломов паролей, ни телефонных мошенников, ни даже катал на ВДНХ.
А они есть. Почему? Потому что их цель не вы, а те, кого несравнимо в мире больше 😄
Однако если бы все делали так, как дОлжно, то не было бы ни взломов паролей, ни телефонных мошенников, ни даже катал на ВДНХ.
А они есть. Почему? Потому что их цель не вы, а те, кого несравнимо в мире больше 😄
Ну, как и примерно ноль, которые пользуются несколькими устройствами, а сгенерированные пароли не синхронизируются с гуглем/эпплом.
У меня для разных тупых сайтов есть свой такой же тупой пароль типа "Пароль.321", где плевать, если кто-то украдёт мой доступ. Для сайтов, который чуть важны и имеют чувствительную для меня инфу - генерация. Ну а мастер-пароль для менеджера паролей - пассфраза из восьми слов. Набирается быстро, запомнить очень легко.
Почему? Я знаю не одного человека, у которого кроме телефона ничего нет
таких на планете примерно ноль
Мой телефон сам при каждой регистрации на новом сайте предлагает сгенерировать уникальный длинный пароль.
Мой телефон сам при каждой регистрации на новом сайте предлагает сгенерировать уникальный длинный пароль.
Но нормальный пользователь, то есть «средний», совсем не похож ни на них, ни на нас.
Я уверен, что так делают процентов 30 посетителей данного сайта. На хацкер ру, возможно, этот процент ещё выше.
Но нормальный пользователь, то есть «средний», совсем не похож ни на них, ни на нас.
Среди обычных пользователей таких наберется вряд ли одна десятая процента даже.
Но нормальный пользователь, то есть «средний», совсем не похож ни на них, ни на нас.
Среди обычных пользователей таких наберется вряд ли одна десятая процента даже.
А у нормального человека не бывает 10 паролей с 10 уровнями сложности. Он у него один.
Тут надо бы оговорочку сделать, чтобы иметь возможность применить мощь 12ти видеокарт, злоумышленнику надо раздобыть хэш пароля и ломать его оффлайн. Пароль от онлайн банкинга так не взломать.
Тут надо бы оговорочку сделать, чтобы иметь возможность применить мощь 12ти видеокарт, злоумышленнику надо раздобыть хэш пароля и ломать его оффлайн.
обождите
Лень читать оригинал, но подозреваю, ломали они так - у них был закриптованный пароль и они его пытались получить перебором?
Так это никакого отношения к реальной безопасности не имеет
ЗЫ таки просмотрел оригинал, ну да, так и есть. т.е. если ваш пароль в списке раскрытых хешей, то надо поменять. Указанные в статье числа близки к взлому пароля примерно как "взлом Пентагона" в любом дурном сериале
Лень читать оригинал, но подозреваю, ломали они так - у них был закриптованный пароль и они его пытались получить перебором?
Так это никакого отношения к реальной безопасности не имеет
ЗЫ таки просмотрел оригинал, ну да, так и есть. т.е. если ваш пароль в списке раскрытых хешей, то надо поменять. Указанные в статье числа близки к взлому пароля примерно как "взлом Пентагона" в любом дурном сериале
С этим паролем (MAGA2020!) можно было твитить х$йню с аккаунта POTUS-a.
Так никто ж разницы не заметит!
Так никто ж разницы не заметит!
С этим паролем (MAGA2020!) можно было твитить х$йню с аккаунта POTUS-a.
Чего с них взять-то? Бонусы в севенэлэнвен?
Хешированные пароли ломают не совсем тупым перебором(брутфорсом), уже давно придуманы "радужные таблицы" и их вариации. Но современные методы хеширования - как упомянутый в статье bcrypt - "подсаливают" пароль дополнительным не секретным ключем("солью), что значительно усложняет подбор даже с помощью таблиц.
Ну, простые (MAGA2020!) сразу сломают
Ну, простые (MAGA2020!) сразу сломают, а с остальными не будут мучиться
Утекла вся база, и хэшированные пароли из неё спокойно сидят оффлайн и взламывают.
Так это никакого отношения к реальной безопасности не имеет
А менеджер паролей в Хроме надежная вещь?
Уже нет.
www.forbes.com
www.forbes.com
vasya1985
Главное, чтобы в гугль-аккаунт вход был не через "vasya1985"
А менеджер паролей в Хроме надежная вещь?
Теги
Информация
Что ещё почитать
День Шакала
13.01.2025
243
Нежелательные ассоциации напряженных графиков
07.02.2025
64
Рецепт любви
27.02.2025
36
