Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Псевдослучайный генератор паролей  (Прочитано 8797 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 11735
  • Xubuntu 18.04 (64bit)
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #90 : 08 Ноябрь 2015, 10:34:29 »
Скуратов-Бельский, а вот вы можете по виду пароля выделить те пароли, которые:
- пользователь сам набрал чахорду
- были сформированы паролегенераторами с случайным seed
- были сформированы паролегенераторами на основе фиксированного seed

Если кто то ответит на этот вопрос да. То я вам дам набор паролей и попрошу определить - где какой. И если ошибок не будет - я готов посыпать себе голову пеплом и признать, что вы правы.

Ну что - мне уже готовить список паролей? ;)
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн ALiEN175

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1895
  • X-9000SC
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #91 : 08 Ноябрь 2015, 15:56:03 »
thunderamur,
Что же такого плохого в открытом алгоритме? многие знают, как работает ssl,pgp и прочее, никто пока не сломал.
В скрипте уникальность обеспечивается заменой набора символов (abcdef -> joxrch, abcdef -> !ABC-DEF). Сможете посчитать количество вариантов генерируемого пароля?





45100

Оффлайн Скуратов-Бельский

  • Активист
  • *
  • Сообщений: 386
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #92 : 08 Ноябрь 2015, 16:53:54 »
Разумеется, человек по виду определить способ генерации пароля не сможет, но речь идёт не о человеке, а о программе, которая крутится внутри вируса и подбирает пароль по словарю. Никто не мешает сделать подбор пароля в два потока: сначала само слово, затем это же слово, прогнаное через скрипт, и т.д.
Имхо, правильная программа должна быть просто "запоминалкой" паролей с удобным интерфейсом, а сам пароль должен генерироваться на сайте при регистрации. Мечты, мечты...

Оффлайн ALiEN175

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1895
  • X-9000SC
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #93 : 08 Ноябрь 2015, 17:06:00 »
Скуратов-Бельский,
такая "запоминалка" есть - keepass, существует под виндой, линуксом и андроидом. одна база подходит ко всем версиям, есть и генератор пароля. Сам ей пользуюсь)
45100

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1423
  • ubuntu 18.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #94 : 08 Ноябрь 2015, 17:23:51 »
Имхо, правильная программа должна быть просто "запоминалкой" паролей с удобным интерфейсом, а сам пароль должен генерироваться на сайте при регистрации. Мечты, мечты...
Один в один Apple Keychain
Ну или 1Password https://agilebits.com/onepassword/extensions
« Последнее редактирование: 08 Ноябрь 2015, 17:34:30 от soarin »

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 11735
  • Xubuntu 18.04 (64bit)
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #95 : 08 Ноябрь 2015, 19:16:39 »
Скуратов-Бельский, ну да - один подборщик слов, потом (26букв+26БУКВ+10цифр+20символов)! = 4,753643337×10¹²²  вариантов генерации паролей - и золотой ключик у нас в кармане.  ;)

 :2funny: :D

.... и это в том случае, когда взломщик знает какой именно был использован алгоритм. Если не знает то 4,753643337×10¹²² вариантов нужно еще на количество алгоритмов помножить....
« Последнее редактирование: 08 Ноябрь 2015, 19:28:37 от Sly_tom_cat »
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн thunderamur

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6740
  • Ubuntu 16.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #96 : 08 Ноябрь 2015, 20:14:56 »
thunderamur,
Что же такого плохого в открытом алгоритме? многие знают, как работает ssl,pgp и прочее, никто пока не сломал.
В скрипте уникальность обеспечивается заменой набора символов (abcdef -> joxrch, abcdef -> !ABC-DEF). Сможете посчитать количество вариантов генерируемого пароля?
Мы говорим, у нас классный алгоритм, зачем помнить пароли, используйте простое слово или вообще имя сайта. Все такие радостные начинают юзать, удобно же, а потом бац - приехали. Оказывается кулхацкер легко подбирает наш крутой пароль.
Я об этом, ведь прелесть такого алгоритма как раз в возможности не придумывать сложные пароли, а вообще юзать адреса сайта. Если алгоритм уникален, здорово и так и будет, если все будут свою соль в алгоритм писать. Кстати это вроде и предлагается, тогда отстал :)
Можно даже сервис общий можно сделать (хотя он уж есть), который будет отдавать javascript для локального исполнения, где пользователь будет вводить имя сайта и свой мастер-пароль в качестве соли и получать годный пароль от сайта.

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 11735
  • Xubuntu 18.04 (64bit)
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #97 : 13 Ноябрь 2015, 01:33:41 »
thunderamur, вот смотрите - просто URL cайта - это полный слив - согласен.
НО.
Я не буду делать от просто URL, а "посолю" своей (пусть даже константной, но хакеру неизвестной) прибавкой в виде "мой пароль от " + URL - и все возможность взлома пароля даже при известный метаданных, что пароль сгенерен утилитой (с открытым кодом) на основе URL сайта (предположение), куда логинимся - это не даст вам ничего если вы не сможете составить разумный перечень возможных солей.

НО если не работает предположение, что пароль сгенерен опенсорс утилитой, то равно-вероятными будут еще и варианты :

1. Использовалась другая утилита,
2. в утилите были изменены настройки генерации представления.

Т.е. вы (как хакер) не можете выбрать правильный вариант для дальнейшего развития атаки на пароль. И вы будете вынуждены отрабатывать все свои гипотезы. Что приводит нас опять к тысячелетиям переборов возможных вариантов и версий.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн thunderamur

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6740
  • Ubuntu 16.04
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #98 : 13 Ноябрь 2015, 02:32:12 »
Sly_tom_cat,
таки я написал же, что норм с солью)

Оффлайн Freezeman

  • Активист
  • *
  • Сообщений: 637
  • Xubuntu 14.04.2 LTS :: SSD Kingston HyperX Fury
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #99 : 30 Ноябрь 2015, 15:06:44 »
Мы говорим, у нас классный алгоритм, зачем помнить пароли, используйте простое слово или вообще имя сайта. Все такие радостные начинают юзать, удобно же, а потом бац - приехали. Оказывается кулхацкер легко подбирает наш крутой пароль.
Я об этом, ведь прелесть такого алгоритма как раз в возможности не придумывать сложные пароли, а вообще юзать адреса сайта. Если алгоритм уникален, здорово и так и будет, если все будут свою соль в алгоритм писать. Кстати это вроде и предлагается, тогда отстал :)
Можно даже сервис общий можно сделать (хотя он уж есть), который будет отдавать javascript для локального исполнения, где пользователь будет вводить имя сайта и свой мастер-пароль в качестве соли и получать годный пароль от сайта.

Так в том и прелесть пароля, что его легко запомнить, т.е. он по определению должен быть простым. Попытки сохранения пароля в письменном виде потенциально опасны (пароль может быть скомпрометирован без вашего ведома) и не удобны (вы привязаны к месту хранения пароля).

PGP и т.п. неудобно из-за привязки к файлу с ключами. Представленный здесь алгоритм то же самое, только мы не храним готовые ключи, а генерим их каждый раз.

Действенными методами являются: двойная аутентификация, т.к. фактически злоумышленнику надо не только подобрать/узнать пароль, но и получить физический доступ к устройству в конкретный момент времени; и информирование о входе и операциях на устройство, почту и т.п.

Оффлайн ALiEN175

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1895
  • X-9000SC
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #100 : 08 Май 2018, 00:48:09 »
после трех лет "бездействия" рискну продолжить.
Актуальные на данный момент (для меня :) ) версии под линь и исходники-бинарники для вин (delphi 10 + dragdrop plugin)
(Нажмите, чтобы показать/скрыть)

(Нажмите, чтобы показать/скрыть)
45100

Оффлайн zse

  • Участник
  • *
  • Сообщений: 215
    • Просмотр профиля
Re: Псевдослучайный генератор паролей
« Ответ #101 : 08 Май 2018, 03:05:40 »
     — Я Вас приветствую, ALiEN175! Меня заинтересовало чисто практическое применение. Я не вдавался  в довольно сложные понятия криптостойкости предложенного Вами.Прочитал по диагонали меня в целом устраивает.
     — На PayPal я перечисляю деньги из банка, на специальный счёт который связан с PayPal. Т.е. проникнуть на мой счёт из PayPal’а можно но  там сейчас 20 долларов этот же счёт у меня для спецчеков, перечислил и сразу перевёл на чек.😇 Это самое „секретное“ что у меня есть.
     — А вот для всего остального я сделал вывод вашего скрипта в буфер обмена и решил таким образом вводить пароли, для кодов использую определённые слова своего родного языка ( а нас осталось 35.000 человек носителей 😈)
     — Вопрос такой как Вам видится  максимальная автоматизация предложенного Вами решения при этом по возможности  нужно соблюсти „режим секретности“? Т.е. максимально упростить и убыстрить применение.
     — Пока у меня всё очень неостро́😈 три варианта скрипта, три кнопки запуска, три клавиатурных комбинации.
2018 May 07; 08:05 PM; Oakville, ON, Canada.
     

Пользователь добавил сообщение 08 Май 2018, 06:11:03:
     — В общем идея такова: на основе вашего скрипта буду пытаться делать скрипт который будет при вбивании пароля, положим „яблоко❨z,kjrj❩“ после нажатия соответствующей комбинации клавишей введёт из буфера „k933LyMjeAB2pfU0Wr2“ в парольное поле…
     — Ну можно ещё подумать о совсем правильном варианте когда будут вводить символы „k933LyMjeAB2pfU0Wr2“ как бы с клавиатуры…
     — То, что я сделал сейчас это очень примитивно😕…
2018 May 07; 11:10 PM
« Последнее редактирование: 08 Май 2018, 06:11:03 от zse »

 

Страница сгенерирована за 0.074 секунд. Запросов: 25.