Weblabor

Пошук

Пароль

З наступних двох рядків:

а.) "TQmfz: aVLzMJ6. * б.)" Не може бути, щоб стільки сердець пролило кров даремно! "

який кращий пароль? Чому?

Ви хочете поговорити про це? Одержимість

Ви хочете поговорити про це? Або ви насправді не знаєте?
У всякому разі, другий не такий виграшний через акценти, тому перший у цьому відношенні.
Якщо поглянути на те, скільки часу потрібно для розшифровки того чи іншого за допомогою грубої сили, то другого.
Проблема починається з того, що перші так звані квантові комп’ютери повільно виконують такі атаки (за умови, що у вас є хешований файл паролів).
Вибачте, зараз дуже ранок.:)

змт, Юват, Сню "1тг4т.
Як тобі це подобається? Ви навіть можете це відзначити, якщо я дуже хочу:)

Наголос

Мене навчили цього,

Проблема в ні

Проблема не в тому, що це не вирішено, а в тому, що ви можете потрапити перед машиною, де, наприклад, немає акценту. Тоді як ти вводиш? Тому їх зазвичай не рекомендують використовувати для ідентифікаторів або паролів. Сьогодні у вас повинно бути достатньо основ, щоб без проблем запускати UTF-8 тощо.

Ви можете сказати, що відтепер на всіх UTF-8 або що завгодно, вам просто потрібно звертати увагу на бронювання, 1 символ не впевнений, що він вміщує 1 байт тощо. Отже, якщо, наприклад, хтось хоче зареєструватися в кодованій Угорщиною БД із китайськими символами, будуть проблеми. У випадку Oracle можна вказати, наприклад, розмір текстового поля в байтах або символах.

У будь-якому випадку, як правило, рекомендуються справді довгі та легко запам’ятовуються паролі. На відміну від наявності всіляких паролів для крикету.

Не знаю скільки в ці дні

Клавіатура

Не я зараз. Але є

Сьогодні: чому б і ні?

Це не враховується для зберігання,

Звичайно, не з паролем. З паролем важливо лише те, що ви від нього враховуєте. Однак ви можете розраховувати на посвідчення особи.

Якщо це теж аспект,

Як це виявляється

словник

Я не знаю великого хакера чи темну сторону.:-D
Я читав - і я не думаю, що це неможливо - що якщо багато хешей паролів потрапляють у несанкціоновані руки (наприклад, шматок якось скинуто), то є і якесь словникове рішення, але жодної специфіки не написано ( Я здогадуюсь не випадково) і насправді це мене так не займає.
Якщо я добре пам’ятаю, сенс чогось полягає в тому, що, поки виробляється пробний хеш розміром з чилі, всі результати зберігаються (якщо такі є), і на основі цього система здогадок надалі виправдовується. Але я не пам’ятаю конкретної математики, але вона, мабуть, навіть не написана.

Я все ще на іншій стороні, тому я волів би спробувати розвиватись, використовуючи рішення, які нелегко зробити з одним (або тисячами) хешей, незалежно від пароля, який стоїть за ним. (Очевидно, ви не можете бути повністю незалежними, але добре розумієте.)
Можливо, цього не варто, але я спокійно сплю на цьому сайті.:-D

Словникова атака про.

Словникова атака про. це означає (якщо я погано пам’ятаю), що ви дали величезний набір даних, що містить відомі паролі та пов’язані з ними хеші. Якщо у вас є зашифрована база даних паролів і у вас є такий список (ви можете шукати, як саме він називається як райдужна таблиця), ви можете шукати розширений хеш у цій таблиці, і ви вже знаєте, до якого пароля він належить.
В принципі, це дещо захищено від так званого засолювання, коли якийсь випадковий рядок, навіть щось інше для кожного пароля, додається до фактичного пароля, перш ніж він зберігається. Ця "сіль" зазвичай зберігається у зручній для читання формі поряд з хешем пароля (див., Наприклад, параметри функції крипти),.
Або, наскільки мені відомо, для цього також використовуються декілька хешів (тобто, коли ви повторно надсилаєте вже завершений хеш до функції кодера).
Таким чином, система дещо захищена від несанкціонованого доступу до паролів без грубої сили.

Я не знаю, що це був би частковий результат, напр. груба сила під час спроби, але я можу знати неправильно.

Загалом. Звичайно, захист не зашкодить, якщо користувач заблокований на деякий час або назавжди після x спроб, так що ви не можете потрапити, відгадуючи.

Я не зовсім цього розумію

Звідки це? Хто це зробив?
Добре, припустимо, ми припускаємо, що немає ні засолювання, ні n> 1-кратного хешування, тоді навіть я це створив. Але це все ще здається занадто простим, крім того, раніше було погано, якщо була виконана одна з двох вищезазначених умов.
І на практиці частіше для Yahoo кажуть це кілька років тому, що вони якимось чином звертаються до таблиці користувачів, а потім намагаються щось з цього розпочати.

- Соління: Сьогодні я б сказав, що слід використовувати більше солі. Існує щось, що НЕ НУЛЕВО, назва стовпця якого не обов’язково "сіль", а (скажімо) ім'я користувача, псевдонім тощо, а реальні дані (бажано більше). Плюс, безумовно, є принаймні 1 фіксована сіль, яка знаходиться не в базі даних, а десь у вихідному коді/конфігурі і відома лише тим, хто може отримати доступ до файлів.
- Хеш: у будь-якому випадку він багаторазовий, тим часом засолений, і фрагменти не можуть містити техніку кодування або фрагменти, він може бути лише частиною програмного забезпечення. (І має сенс використовувати хеш fv, такий як склеп.)
- Захист: якщо немає відомої пошукової системи та немає сеансу ("новий" відвідувач), то запити з того самого IP також обмежені часом. Якщо програма така, що її може використовувати лише аутентифікований користувач, то додатковим обмеженням є те, що поки немає авторизації, може надходити лише запит на вхід. Він розуміє, що лише y запити на вхід можуть надходити з того самого часу за х раз. Звичайно, ви можете змінювати це необмежено довго, але це основа. Забагато спроб замість користувача, я віддаю перевагу асоціюванню з IP-адресою, тому що ви можете швидко зробити, скажімо, розмістити лише, скажімо, 2 для кожного користувача, але з тисячами користувачів.

Де? Darkweb. більшість.

Na ugye:)

Я думаю, це повинно пройти за ним

Так, вибачте

Скажімо, вам не потрібен md5

- Соління: Я б сказав сьогодні,

Я в других номерах

У другому я б замінив наголошені голосні цифрами: "Не може бути, що так багато сердець марно!". Тоді він сумісний з англійською клавіатурою, проблем із utf-8 немає, і він трохи затуманений. Хоча ви можете написати систему для автоматичного перетворення наголошених символів перед спробою введення пароля.

Обидва вони досить сильні, але вони можуть бути вразливими до другої атаки за словником. В обох випадках один із паролів може вже бути в базі даних, тому будь-який із них може бути зламаний після його використання та викрадення. Тому ви повинні скрізь робити унікальний пароль і змінювати їх через певні проміжки часу. Для мене, я думаю, мій пароль на LinkedIn був вкрадений, принаймні, 1 рік тому вони надіслали мені лист для обміну, оскільки їх система була скомпрометована.

пов'язаний

Важко бути тут 21 числа.

Спочатку потрібно визначити, що

Спочатку нам потрібно визначити, що ми маємо на увазі під правом.

Можуть бути проблеми з обома паролями:

• Веб-сайт не дозволяє занадто довгий пароль (2)
  
• На веб-сайті заборонено використовувати символи з наголосом у сигнальній кімнаті (2)
  
• Веб-сайт не допускає використання спеціальних символів у сигнальній кімнаті (1)
  
• Пароль не відповідає власній політиці щодо веб-сайту щодо паролів (1, 2)
  
• Пароль важко ввести на англійській клавіатурі (2)
  
• Пароль важко запам'ятати (1)
  

Зараз у мене немає підстав судити, хто з цих абсолютно ідіотських обмежень.

В основному, josag більше залежить від того, де ви хочете використовувати пароль.

Я вказую близько 12 символів випадкових паролів і керую ними за допомогою менеджера паролів, тому я ніколи не стикаюся з більшістю своїх паролів, мені не потрібно їх вводити.

Для мене конкретно

Для мене особливо дивно те, що системи банківських мереж не дозволяють використовувати довгі паролі. У MKB я раніше думав, що це 14 символів, пару років тому його було витіснено приблизно до 20, Paypal також дозволяє лише 20 символів, і я не думаю, що в ньому може бути пробіли. Де довгий пароль буде важливим, його використання заважає.

Я не так сильно довіряю менеджерам паролів, я просто запам’ятовую з ними десятки паролів, як, наприклад, веб-лабораторія, де не важливо, якщо вони її зламають, бо макс вони публікують щось дурне на форумі. Ці паролі встановлені приблизно. вони такі, що я натискаю клавіатуру, а потім що виходить. Я пам’ятаю про важливі, і, як я виглядаю, вони, як правило, складають від 15 до 35 символів. Це цілі або напівречення, незвичайні приказки чи щось подібне, тому їх неможливо вгадати. Всього їх півдюжини, тому мені не важко їх коментувати, я можу ввести їх за кілька секунд, тому я не витрачаю на це багато часу, особливо як повільний як офіційні, банківські тощо. сторінки. Те, що я часто використовую, так сильно згоріло мені в руках, що у мене є 20 символів менш ніж за 1 секунду. Тепер я виміряв, що введення близько 450 символів на хвилину відповідало б більше 1000. Хоча, як я виглядаю, це навіть не світовий рекорд швидкості.: D

До речі, якщо ви зареєструєтесь на англомовному сайті з угорськими словами, а хакер використовує англійський словник, ви вже зазнали невдачі зі атакою на словник. Якщо ви також змішаєте кілька мов, тому що я не думаю, що більшість з вас навіть думають про це. Його можна ще більше посилити, якщо він містить менш вигадане, можливо, вигадане особисте ім’я, ім’я місця, поштовий індекс, номер файлу, номер телефону тощо. Якщо ви пишете їх неправильно відповідно до вимови та/або діалекту, наприклад "На похилих схилах Мачусіку" (27 символів), пароль може бути ще сильнішим. Якщо слова з вашими приятелями будуть включені у ваше дитинство, це буде приблизно непорушна категорія.

З іншого боку, я думаю, вам також слід подумати про вищезазначене, що хтось друкує одним пальцем, максимум двома, і навіть не бездоганно. Досить оглянути сім’ю. Довгий пароль для них особливо незручний.

Що мені особливо подобається у паролях, це парольна фраза, надана приватному ключу RSA. Я маю на увазі, що саме блокування шифрування безглуздо, але я думаю, що принцип чудовий: ви зашифруєте ключ, який ви використовуєте для шифрування, паролем, а не отримуєте ключ від самого пароля. Я думаю, що є деякі обробники паролів, які генерують і зберігають паролі за цим принципом і захищають їх головним паролем, але більшість з них є безглуздими, є/були й ті, які зберігали паролі в простому тексті.

У банку мені (також) дуже подобається той факт, що ім'я користувача - це не ім'я, а ідентифікатор приблизно 10 цифр, і навіть це намагається перешкодити браузеру "запам'ятати" інтерфейс.
Пароль - це маркер, який ви отримуєте або від додаткового апаратного пристрою (я не думаю, що він вже багато використовується), або від мобільного додатка, якого для облікового запису також може бути лише один.
Звичайно, ви не можете скопіювати маркер (я дещо з цим згоден), але:
- лише 6-значне число на маркері
- він все ще знаходиться в полі пароля на веб-інтерфейсі, тому ви не бачите його, якщо введете:-D
- Я не знаю точно, скільки часу, але він діє більше 30 секунд (!).
- Може бути цікаво використовувати єдиний генератор токенів для облікового запису компанії.

Загалом, я думаю, що це дуже безглузде рішення, перш за все, я зазвичай використовував би там рядки як ім'я користувача та пароль і просив би токен як обов'язковий другий фактор.
І для оплати достатньо лише (нового) токена.
Скажімо, у мене є інші проблеми з цим банком, ви можете перейти, але це вже нетопоко.

• Віктор Орбан дискутував з колишнім прем'єр-міністром Канади
• Індекс - Tech-Science - Ссавець з качками знижується, заявив би інший австралійський штат
• Як зробити млинці без борошна та цукру Зробіть реформатські млинці! Смачна їжа, дешево
• ІНСТРУМЕНТНИЙ ФОРУМ - Пісуар - Ennyi) - ІНСТРУМЕНТ, ФОРУМ ІНСТРУМЕНТУ - Ennyi) - Угорщина
• Канадська угорська газета; Демагогістський щоденник - це ступінь зради