AM_Bot 48 Опубликовано Февраль 25, 2009 Согласно результатам проведенного недавно исследования, в 2008 году причиной 84% компьютерных взломов была слабая парольная защита.читать дальше Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 25, 2009 Люди думают, что крепкий пароль = сложный, и они боятся, что забудут его. Вот в чём ошибка. Лучше взять какую-нибудь фразу и переделать спецзнаками. Например на английском: Try_2_Gue$$_Th1$,_U_$ucker! Ладно... Слабенький... Давайте лучше так: N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u! Или на русском: Науч1лся_На_Ант1-Малвэр_Т04ка_Ру! Ладно... Слабенький... Давайте лучше так: Я_Х04у_Вып1ть_С_Наш1м_Адм1н-Б0т0м,_Н0_За_Ег0_С4ёт! Думаю, что взломщики будут заняты некоторое время. Разве это сложно запоминать? Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Опубликовано Февраль 25, 2009 Думаю, что взломщики будут заняты некоторое время. И неплохо бы ещё создавать пароль на всё то количество знаков, сколько позволяет вводить сама pass-форма. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Опубликовано Февраль 25, 2009 Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_". На рабочем компе пароль, конечно, иной, из 16 символов с чередованием регистров букв и бОльшим количеством цифр. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Александр Шабанов 120 Опубликовано Февраль 25, 2009 Пароль надо делать как минимум такой, чтобы он не попадал в известные стандартные списки, которые перебираются в первую очередь Варианты, которые предложил Paul мне тоже понравились Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 26, 2009 Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_". Зависит, конечно, что на этой машине храняется - если там инфа вашего босса или личная бухгалтерия, как у некоторых, то тогда я подумал бы всё-таки до того, как установить такой слабенький пароль. Хочу напомнить тем, кто считают, что им вообще нужен пароль, что взломщику нужен хеш, а не сам пароль. Если вы систему специально не настроили, то тогда сохраняется LM_hash вашего пароля, который очень, очень слабый. В он-лайне можно тестировать пароли у Майкрософта, например: Microsoft Password Checker g@h0km_ говорит Майкрософт = weak #Vtu@g@h0km = strong, но не очень strong А если уже 14 знаков или больше, то тогда это обозначается Best. Почему они это так оценивают? И надо иметь в виду, что они всё равно полную правду не выдают: LM-hash это две куски, состоящихся из 7 знаков каждого, которые интерпретируются как лишь 2 единицы. Надо разрушить данный алгоритм; тогда уже получается что-то похоже на защиту (то есть - 15 знаков или больше, но об этом позже). Я по любому отменил бы этот LM_hash вот так: Пуск - Выполнить - regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Добавим ключ REG_DWORD с названием NoLMHash и нажимаем ENTER. Значение ставить на 1. Теперь будет хоть NTLM хеш, хотя лучше отказаться и от него, и задать только NTLMv2 через политики Винды. Потом, даже когда риска кражи нет, почему бы не воспользоваться ошибкой Винды когда она сохраняет пароль 15 знаков и больше? Хеш такого пароля будет храняться как AAD3B435B51404EEAAD3B435B51404EE (= null session). Такой хеш не сломается НИКОГДА (ваш пароль же на самом деле НЕ пустой?), значит надо уже за сам пароль взяться, и на это жизнь не хватает... P.S.: Естественно есть обход на всё это - остановим мы только любителей, но создать препятствия для того, чтобы тянуть время всегда стоит... Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Опубликовано Февраль 26, 2009 p2u Интересное описание. А вот другой случай. Клиентка поставила пароль - русскую букву "а". Попользовалась компьютером без Интернета. Выключила. На другой день включила, вводит свой парольчик - ОБЛОМ. Все варианты перепробовала, все буквы русские, английские, что рядом были, большие и маленькие - не пускают хозяйку в дом. Я снял и посмотрел диск - вирья, причём почти всё старого посола, там было немеряно!!! Решили просто переустановить систему, вылечив и сохранив нужное. А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Опубликовано Февраль 26, 2009 p2u Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии Потому мне будет накладно использовать "избыточную защиту" (если такой термин существует) и текущего пароля более чем достаточно. Мои взгляды нередко отличаются от Ваших, Паул. Паролей это тоже касается. Андрей-001 А про пароль встроенного администратора не забыли? Я свой, честно говоря, даже не помню. Во время установки ввожу что-то очень длинное и сложное и, т.к. ввожу без логики и больше не пользуюсь, быстро забываю. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 26, 2009 Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии У меня на компе вообще ничего ценного нет, но приходится защищать мои настройки от френдов моего посынка... Попытки уже были - у меня журнализируется любая попытка доступа к любым объектом в журнале безопасности Винды... Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Сергей Ильин 1538 Опубликовано Февраль 26, 2009 N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u! Маньяк ... я такой пароль никогда не запомню Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего. Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 26, 2009 Маньяк ... Это лучший комплимент, который я за последнее время получал. я такой пароль никогда не запомню Ладно. А это? Айм_№_1;Айм_Де_Грейтест! Я дал всего принцип - то есть: если вы берёте не слово, не сложную комбинацию какую-нибудь, а простую фразу, то тогда запоминать становится уже гораздо легче. Остаётся придумать систему, свою собственную. Например: *) все новые слова начинаются на заглавную букву *) все буквы 'о' заменяем на цифру '0' *) все звуки 'и' заменяем на цифру '1' *) все буквы 'з' заменяем на цифру '3' *) английскую букву 's' заменяем на знак доллара *) каждое слово разделяется знаком _, и т.д. Полная свобода, и ничего сложного... Самый главный параметр в пароле - его длина. Чем длинее пароль, чем труднее взломать его хеш... Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего.Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п. Естественно - атакуется не сам пароль, а его хеш (=его ключ). Есть он-лайн ресурсы с огромными базами MD5, например. Брутфорсом никто в здравом уме уже не пользуется... Потом, в социальных сетях, в веб-почте, и т.д. даже пароль и его хеш не нужен - session cookie даёт доступ. P.S.1: Project Bovine RC5-64 от Distributed.net сейчас самый быстрый комп в этом плане - 76.1 миллиард паролей за секунду перепробует! P.S.2: Ещё интересная инфа насчёт того, сколько требуется время на взлома паролей разного строения: Password Recovery Speeds - How long will your password stand up? Как я уже говорил - это о паролях. Если хеш есть, всё упрощается/ускоряется более, чем значительно. Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 26, 2009 А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там? Естественно . Бутовые дискеты для Линукса, например, на которых записаны драйвера для NTFS и программка, которая умеет читать реестр и редактировать пароли для любых пользователей. Openwall's John the Ripper это делает, по моему, причём он бесплатный. Сам процесс требует только физический доступ к системе и наличия дисковода (floppy drive); работает безотказно. Если флоппи нет, то и не беда. Хотите войти, войдёте всё равно без особых проблем... P.S.: Глубже копать в эту тему не хочу; возможно я так уже нарушил правила форума. Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Опубликовано Февраль 26, 2009 в 2008 году причиной 84% компьютерных взломов была слабая парольная защита возможно я и так уже нарушил правила форума. Ничего подобного. Всё разумно и точно в тему! Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
kvit 85 Опубликовано Февраль 27, 2009 стоит KeePass. в итоге везде где (пусть будет форум, почтовый ящик, админка какая-нибудь...) требуется пароль имеется свой личный и уникальный пароль. все пароли имеют вид "wcckCV3z3qjyBh3vK56e", причем в ней есть какая-то оценка паролей (битность), как и что она оценивает не в курсе, специально глянул пароль на форум anti-malware оценен в 108 бит и находится в зоне стойких паролей... 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 27, 2009 стоит KeePass. Эта программка у вас интегрирована в браузере? Любопытно бы узнать, как она проходит следующий тест: Password Manager Evaluator Там оценивается не насколько силён ваш пароль, а насколько сам менеджер попадает в поставленные ловушки. Это гораздо важнее; выдать простой или сложный пароль - разницы нет... Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
kvit 85 Опубликовано Февраль 27, 2009 Эта программка у вас интегрирована в браузере? что значит интегрирована? она банально "болтается" в трее. есть возможность зайти в нее и получить пароль, есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками). она используется у меня не только для работы с браузером, но ввод всех других паролей (к примеру mount диска в DiskCryptor, ввод пароля в VNC, итп) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 27, 2009 Интересная программка, и к тому же бесплатна. Кому тоже интересно: Установщик 1.15 Тот же установщик 1.15 в zip Файл справки на русском (версия 1.05) что значит интегрирована? Как я понял, можно скачать/использовать плагины, правильно? есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками). Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку. Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
kvit 85 Опубликовано Февраль 27, 2009 Как я понял, можно скачать/использовать плагины, правильно?Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку. ресурсы она не запоминает без плагинов, что с плагинами не знаю - плагинов у меня нет . у меня настроенны "автовводы" логинов, к примеру на багтрек доктора: Auto-Type: {DELAY 200}{USERNAME}{TAB}{DELAY 200}{PASSWORD}{TAB}{DELAY 100}{SPACE}{DELAY 100}{ENTER}Auto-Type-Window: *Dr.Web ® Bug Tracker* и по хоткею она вбивает пароль... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
p2u 824 Опубликовано Февраль 27, 2009 Для тех, кто любит экстрим: Perfect Passwords - GRC's Ultra High Security Password Generator Каждый раз, когда вы заходите на данную страницу генерируется новый, неповторяющийся пароль без явного алгоритма. Я зашёл и получил такие: 64 random hexadecimal characters (0-9 and A-F):496379C401593C438DD0E07499B6A893C0E13A079D02ADBA6E463D31A4EBF641 Оценка KeePass: 125 bits 63 random printable ASCII characters:3H`>P*Y=P?Cbj,kS4V:9q+Oin3!siwg0ZL>*6zr4}2o!h=Y5|L9#nmpKPWtW7;} Оценка KeePass: 347 bits 63 random alpha-numeric characters (a-z, A-Z, 0-9):VIZnBwWH1BW4e64B8WkFFIg2LN8Qt5xUsVMeX1xNxpitghzfsDjMhRvmZTaz65F Оценка KeePass: 269 bits Излишне говорить, что это (пока) относительно бесполезно, конечно - ни один ресурс не поддерживает такие пароли... Paul Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты