Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Псевдослучайный генератор паролей  (Прочитано 18224 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4062
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #75 : 07 Ноября 2015, 18:10:50 »
Как по мне так идея вполе нормальная. Вот захожу я на сайт почты и не ломаю голову какой там у меня пароль потому, что у меня есть генератор пароля, который мне на слово "почта" даст что-то типа "2mG|:M~w^x5McMr7O2Ia"

По мне это - большое удобство, и при этом с повышенным уровнем безопасности. Флаг в руки всяким хаккерам подбирать такой пароль. 
И что тут такого подобрать такой пароль? Если другой пароль подбирают, то почему не подберут этот?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн Скуратов-Бельский

  • Активист
  • *
  • Сообщений: 504
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #76 : 07 Ноября 2015, 18:55:42 »
Есть ещё один ньюанс. Программа будет с открытым исходным кодом, и кто помешает хакеру засунуть этот же скрипт в вирус, и затем подбирать пароли просто по словарю?

Оффлайн ALiEN

  • Автор темы
  • Администратор
  • Старожил
  • *
  • Сообщений: 6691
  • 20% Cooler
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #77 : 07 Ноября 2015, 19:11:00 »
alsoijw,
Скуратов-Бельский,

Алгоритм понятен и вам, и хакеру. У хакера есть база с ключевыми словами. Но вы знаете, какой набор символов использовался в пароле (на какой позиции в наборе расположен определенный символ), а хакер - нет, поэтому хакеру придется перебирать все пароли, что равносильно тому, если бы у вас был случайный пароль.

У меня, например - ключевое слово для пароля - адрес сайта. Сколько паролей даст ключевое слово vk.com, учитывая, что все три набора символов генерировались рандомно?
« Последнее редактирование: 07 Ноября 2015, 19:19:21 от ALiEN175 »
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1850
  • ubuntu 20.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #78 : 07 Ноября 2015, 19:22:10 »
ALiEN175,
Вопрос в лоб. Зачем ключевое слово, и почему тупо не использовать /dev/urandom ?
Качество энтропии у него в разы же лучше.

Цитировать
какой набор символов использовался в пароле
Если это пародия на мастер-пароль, то его и логичнее использовать как чисто мастер-пароль.
« Последнее редактирование: 07 Ноября 2015, 19:27:38 от soarin »

Оффлайн ALiEN

  • Автор темы
  • Администратор
  • Старожил
  • *
  • Сообщений: 6691
  • 20% Cooler
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #79 : 07 Ноября 2015, 19:35:49 »
soarin,
запустил адрес сайта в скрипт - получил пароль от сайта. Нет привязки к бумажкам и файлам на жестяке и в облаках.)

Плюс в том, что в отличие от pwgen и openssl, можно самому задать символы, из которых состоит пароль, намного больше способов генерации. Мне вот в случайных паролях не нравятся два-три одинаковых символа подряд, цифры только в конце, и т.д.

мастер-пароль как раз-то и ломается проще, и сразу все пароли в руках хакера.

PS я не призываю отказываться от ваших способов хранения паролей, просто предлагаю еще один способ)
« Последнее редактирование: 07 Ноября 2015, 19:46:06 от ALiEN175 »
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1850
  • ubuntu 20.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #80 : 07 Ноября 2015, 20:14:38 »
ALiEN175,
Мда.. Security through obscurity
Ясно, без комментариев...

PS: ну и на заметку - название темы совершенно не отображает сабжа самой темы. Никакой псевдослучайности тут нет.
« Последнее редактирование: 07 Ноября 2015, 20:29:22 от soarin »

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4062
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #81 : 07 Ноября 2015, 21:12:47 »
soarin, как раз таки псевдо.
ALiEN175, подобрать надо не то, что юзер вводил, а то что выдала прога. А какая разница между паролем проги и паролем человека?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Псевдослучайный генератор паролей
« Ответ #82 : 07 Ноября 2015, 22:55:55 »
А какая разница между паролем проги и паролем человека?
А вы так просто сможете запомнить "2mG|:M~w^x5McMr7O2Ia"?
... или вы выберете что-то попроще к запоминанию?

Вот в этом и разница.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Псевдослучайный генератор паролей
« Ответ #83 : 07 Ноября 2015, 23:03:54 »
soarin, вы совершенно не поняли тему если предлагаете использовать urandom.

Попробуйте наконец понять (возможно стоит перечитать тему с начала), что обсуждаемые тут алгоритмы - они детерминированы и потому, то что они выдают псевдо-случайные пароли, а не просто случайные (даже если они сформированы на основе псевдослучайного числа).

Хотя, возможно, в ваших словах есть определенная логика в том, что эти пароли только выглядят случайными, а на самом деле - они восстанавливаются из ключевой фразы и тем самым их даже псевдо-случайными называть не совсем корректно. Но это с точки зрения использования этих утилит, а вот с точки зрения использования паролей, что эти утилиты дают - тут мы имеем совершенно иной расклад.... Тут мы имеем довольно серьезные по безопасности пароли, при этом не напрягаем свой мозг запоминанием безумных последовательностей символов.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн alsoijw

  • Старожил
  • *
  • Сообщений: 4062
  • Fedora 25 GNOME 3 amd64
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #84 : 07 Ноября 2015, 23:31:09 »
Sly_tom_cat, я имею ввиду разницу в криптостойкости.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Псевдослучайный генератор паролей
« Ответ #85 : 07 Ноября 2015, 23:43:35 »
alsoijw, не понял. Вы не видите разницы между 20 символами полнейшей чехарды и тем что можно легко запомнить?
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн Скуратов-Бельский

  • Активист
  • *
  • Сообщений: 504
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #86 : 08 Ноября 2015, 00:39:43 »
Простите, если хакер освоит тот же скрипт, то нет "полнейшей чехарды", есть подбор слова по словарю. Как оно выглядит после того, как прошло через скрипт, уже не важно.

Оффлайн ALiEN

  • Автор темы
  • Администратор
  • Старожил
  • *
  • Сообщений: 6691
  • 20% Cooler
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #87 : 08 Ноября 2015, 01:05:35 »
Скуратов-Бельский,
после того, как всего лишь одно "простое слово" прошло через скрипт есть как минимум, (26*26*10)^4=9007199255789568 вариантов пароля.
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1850
  • ubuntu 20.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #88 : 08 Ноября 2015, 07:04:33 »
выдают псевдо-случайные пароли
Читаем определение "псевдослучайности". Естественно я думал о том, что написанно...

Пользователь решил продолжить мысль [time]08 Ноябрь 2015, 08:06:50[/time]:
Простите, если хакер освоит тот же скрипт, то нет "полнейшей чехарды", есть подбор слова по словарю. Как оно выглядит после того, как прошло через скрипт, уже не важно.
Совершенно верно.

Можно же в поиск вбить и посмотреть, как люди уже подобное сделали по нормальному. http://www.supergenpass.com (первое попавшиеся)
Цитировать
SuperGenPass uses your master password and the domain name of the Web site you are visiting as the “seed” for a one-way hash algorithm (base-64 MD5). The output of this algorithm is your generated password. If either your master password or the domain name of the Web site changes, even by one character, the generated password will be drastically different.
« Последнее редактирование: 08 Ноября 2015, 07:33:02 от soarin »

Оффлайн thunderamur

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #89 : 08 Ноября 2015, 07:57:34 »
ALiEN175,
Ты не понял, что тебе говорит Скуратов-Бельский.

Подобные генераторы паролей для использования простых слов или адресов сайтов надежны только в том случае, если алгоритм закрыт и уникален, т.е. используется только для себя.

Пользователь решил продолжить мысль [time]08 Ноябрь 2015, 15:03:13[/time]:
soarin,
насколько я понял, оно исполняется локально в браузере и ничего не уходит на серверы?

« Последнее редактирование: 08 Ноября 2015, 08:03:29 от thunderamur »

 

Страница сгенерирована за 0.036 секунд. Запросов: 23.