Псевдослучайный генератор паролей

[Sly_tom_cat]

А про ваш алгоритм (и не только) я уже сказал:

А чем больше алгоримов генерации паролей - тем лучше, ИМХО.

[Sly_tom_cat]

Вот еще один алгоритм наброасал на скорую руку:

(Нажмите, чтобы показать/скрыть)

Код: Python

1. #!/usr/bin/env python3
2.  
3. from hashlib import sha256
4. from sys import argv
5. PASS_LEN = 20
6.  
7. def nextgr():       # Detrmine next group
8.   global j, m, C
9.   f = j             # Remember previous group
10.   while f == j:     # Get new group that is not the same as previous
11.     j = m % len(C)  
12.     m //= len(C)
13.     #print(j, m)
14.   return j
15.    
16. if __name__ == '__main__':
17.   try:
18.     a = argv[1]
19.   except:
20.     print('Usage: pwcreate <pass_phrase_without_spaces>')
21.   else:
22.     C = ['0123456789',
23.          ',.<>?;:!@#$%^&*()_+-|~`[]{}',
24.          'abcdefghijklmnopqrstuvwxyz',
25.          'ABCDEFGHIJKLMNOPQRSTUVWXYZ']
26.    
27.     h = sha256(a.encode('utf-8')).digest()        # Get 32 bytes digest
28.     n = int.from_bytes(h[:18], 'big')             # Take 18 bytes for for characters choiсe
29.     m = int.from_bytes(h[18:], 'big')             # Take rest bytes fog groups choiсe
30.     p, j = '', None
31.     k = C[nextgr()]                               # Get first group
32.     while n > len(k):
33.       p += k[n % len(k)]
34.       n //= len(k)
35.       #print(j, p, n)
36.       if len(p) >= PASS_LEN:                      # Stop if lenght is enought
37.         break
38.       k = C[nextgr()]                             # Get next group
39.      
40.     print (p)                                     # Output the result

Берем хеш подлиннее (256 бит) делим его на две неравные части.
Меньшую используем для определения группы символов, а большую - для определения символа в группе.
Причем группу мы каждый раз выбираем отличную от предыдущей - т.е. в пароле никогда не будут следовать подряд символы из одной группы (к примеру, если последний символ был заглавной буквой, то следующей будет либо цифра, либо прописная буква, либо спец.символ.
Тут еще больший кавардак получается в том, что большую часть от хеша мы преобразуем по разным модулям почти на каждом шаге т.к. только группы прописных и заглавных имеют одинаковую длинну.
Но, не смотря на кажущуюся стохастичность в работе алгоритма - он полностью детерминирован (т.е. на одном входе всегда дает одинаковый выхлоп).

Он пароли генерит заведомо не шаблонные. Хотя.... обязательная замена группы в следующем символе - это тоже шаблон

[Freezeman]

Причем группу мы каждый раз выбираем отличную от предыдущей - т.е. в пароле никогда не будут следовать подряд символы из одной группы (к примеру, если последний символ был заглавной буквой, то следующей будет либо цифра, либо прописная буква, либо спец.символ.

Зачем? Количество возможных комбинаций тогда резко падает.

[Sly_tom_cat]

Ну почему-то все парольные анализаторы за последовательность символов из одной группы снижают оценку безопасности.
По идее можно разрешить повторение но просто занизить вероятность повторений.

[Freezeman]

По поводу перебора.
На CUDA (данные на 2009 год):

- для md5

... BarsWF, разработкой которой занимается Михаил Сварчевский. На текущий момент разработчиком достигнута скорость перебора, равная 350 миллионам ключей в секунду.

- для NTLM

... для NTLM-хеша скорость перебора, используя мощности графического процессора, составляет 500 миллионов паролей в секунду. А если вместо брутфорса использовать rainbow-таблицы, получаем вообще астрономическую цифру: почти 73904 миллионов паролей в секунду!

...

По заявлению разработчиков [Distributed Password Recovery], система с несколькими видеокартами NVIDIA способна перебрать до 1 млрд. паролей в секунду.

Если предположить, что 1 cuda ядро способно обрабатать 570000 sha256-хэшей в секунду, то NVIDIA GeForce GTX TITAN X с 3072 ядрами CUDA способен нагенерить 1,75 млрд хэшей за секунду.

имеем 2^128 вариантов дайджестов - флаг вам в руки брутфорсить такое количество паролей

это только в худшем случае, в лучшем же первый сгенереный хэш подойдёт.

https://ru.wikipedia.org/wiki/Парадокс_дней_рождения

Таким образом, мы выяснили, что для m-битового хэш-кода достаточно выбрать 2^(m-1) сообщений, чтобы вероятность совпадения хэш-кодов была больше 0,5.
На практике это означает следующее, возьмём к примеру слабую хэш-функцию MySQL(64bit) всё множество её значений 2^64=18446744073709551616 вариантов. Чтоб найти совпадение с исходным паролем с вероятностью 50% нам требуется подать на вход 2^63=2^64/2=18446744073709551616/2=9223372036854775808 случайных паролей, т.е. ровно половину.
В контесте с революцией в вычисленяих на основе технологии CUDA, примем среднюю скорость вычислений одного хеша 8 000 000 000 000 п/c. на GF8600GT получим время 1152921сек.~320часов.~13 дней. Что это означает? Это означает что мы можем не искать исходный пароль, последовательно подавая на вход пароли, генерируемые простым брутфорсом (последовательно) а подавать случайное значение пароля из широкого диапазона > чем число возможных хэшей и в 50% через 13 дней непрерывного брута мы получаем хэш, который совпадёт с хэшем от исходного пароля (а может это будет и оригинальный пароль).

[Sly_tom_cat]

это только в худшем случае, в лучшем же первый сгенереный хэш подойдёт.

А я не говорю о худшем или лучшем случае. Ведь да, с вероятностью 1/2^128 первый пароль будет правильным. , но с точно такой же вероятностью правильным будет и любой другой, включая последний.

И да, с перебором некоторого числа паролей дает 50% вероятности попадания. Но! если вам не повезет (с вероятностью 1/2) то вы будете добивать все остальные.

Я уже говорил в этой теме - писать формулы со временем - в принципе не корректно, корректнее писать в терминах вероятностей, но просто потребителю банально не знакомому с теорией вероятностей, вероятностная формулировка будет как филькина грамота.

Так и вам с вашим примером birthday paradox - не плохо бы понять что через 13 дней в вашем примере вы найдете пароль только с вероятностью 1/2. Т.е. может найдете, а может и нет, т.е. последняя фраза в вашей цитате - просто в корне неверна. Не возможно там однозначно сказать "через 13 дней непрерывного брута мы получаем..." - нужно говорить что "в одном случае из двух(в среднем), через 13 дней непрерывного брута мы получаем..."

[alsoijw]

Реально организовать что-то типа бинарного поиска?

[Sly_tom_cat]

alsoijw, нет.

В случае с перебором паролей нет понятий пароль больше или меньше искомого, есть только признак тождественности искомому.

Для бинарного поиска нужна операция выдающая результат в виде больше/меньше/равно.

[Sly_tom_cat]

Cxms, ты не понял.

В теме речь была о генерации пароля на основе ключевой фразы. Т.е. смысл в том что вы запоминаете простую фразу/слово, но из него геренатор формирует сложный для подбора пароль.

Просто генераторов (на основе рандома) генераторов - более чем достаточно. Но пароль ими сформированный нужно запоминать так как он есть (т.е. саму эту абракадабру).

[Cxms]

Sly_tom_cat,
Понял. Убрал.

[gamayun]

Второй день гоняю rarcrack в попытке испытания его на предмет подбора к zip архиву установленного мной "кошачего" пароля "musya".Судя по этой таблице гонять еще долго.Работает со скоростью 200 в сек.Сейчас перебирает 4-х значные пароли.Все таки длинна пароля имеет значение.

[Sly_tom_cat]

По поводу подбора приведу пример.
Делал задание по криптографии (классический взлом методом padding oracle). Так вот задача решаемая в лоб(перебор всех возможных значений байта) -~2минуты.
Убираем не ASCII символы(было известно что закодирована текстовая фраза)-~1.5мин.
Ставим буквы в перебираемой последовательности по убыванию статистической вероятности появлени символа в английском тексте(закодированное сообщение было на английском)-меньше минуты.

Потом раскидал подбор байта по паралельным потокам и распаролелил взлом блоков -~17секунд.

Т.е. если есть доп. данные которые позволяют сократить или оптимизировать поиск. То это дает значительный прирост в скорости перебора.

[Phlya]

Может, вместо быстрых md5 или sha###, использовать медленный хэш типа bcrypt? Чтобы подбирать долго было.

[ALiEN175]

Phlya,
без разницы. Хеш определяет только то, какие символы будут в пароле и их порядок. 12 символов, независимо от того, какой хэш использовался, подбираться будут одинаковое количество времени.

[Sly_tom_cat]

Phlya, а для проверки паролей и так принято использовать специальные, заведомо медленные хеш генераторы. Тот же MD5 сделать пару тысяч раз и уже будут милисекунды на единичную проверку даже на прличном железе.