Vlákno názorů k článku Co se stalo LastPass a jak vytvářet silná a zapamatovatelná hesla od wumo - Je skutečně vynikající styl psaní preventivně urazit čténáře...
-
wumo (neregistrovaný)
Je skutečně vynikající styl psaní preventivně urazit čténáře větami jako "věřím, že v komentářích pod tímto článkem se také najde hrstka minimálně stejně kvalitních odborníků...".
Mnohem zajímavější by byla třeba informace, co znamená v případe uniklých LastPass hashů slabý master password. Na slabším GPU se třeba človek dostane jen na 2500 pokusů za sekundu, ale se slovníkem, Markovovy řetězci a mutacemi může stačit na hesla do délky 12 znaků.
Vtip je v tom, že síla hesla a jeho entropie závisí od toho, co útočník očekává, že to heslo bude. Útočník se bude snažit přizpůsobit svůj cracker způsobu jakým si uživatelé vybírají hesla (třeba klidně metodě diceware). Silné heslo včera nemusí být silné heslo zítra. Nejlepší kriterium zapamatovatelnosti je heslo používat co nejčastěji - zapomenete ho, když ho používat nebudete.
Zajímavým vedlejším efektem jsou různá udělátka, která se snaží posoudit sílu hesla a jeho entropii - a je vidět, jak moc se jejich výsledky liší kvůli jejich definici "očekávatelnosti" hesla. Zrovna zmiňovaný KeePass má estimator udělaný celkem solidně, ale je vidět, že je cílený na anglický slovník.
-
Omlouvám se, pokud vás ta věta urazila, to nebyl její cíl.
Díky za odkaz na článek od Roberta Grahama, ale asi bych si z něj vzal něco jiného, než že slabší GPU může stačit na hesla do délky 12 znaků. Resp. to číslo může být klidně 20 nebo 30. Nebo i víc, záleží na heslu. Pokud budu mít heslo "correcthorsebatterystaple" (25 znaků), tak i slabší GPU takové heslo rozlouskne celkem rychle, záleží samozřejmě na použitém slovníku a typu útoku. Proto jsem slabá hesla spíš jen naznačil (Pepicek92, correcthorsebatterystaple ani Pat&Mat) a soustředil se na to, jak vymyslet silná hesla tak, aby nějakou dobu vydržela.
Útočník může svůj nástroj přizpůsobit a také se to děje (viz třeba algoritmus PRINCE https://github.com/jsteube/princeprocessor), ale přizpůsobením pro Diceware si moc nepomůže. U Diceware nejde o použitá slova, ostatně jejich seznam je veřejný, ale o to, že na každém místě může být 7776 kombinací (bez toho nahrazování speciální znakem), narozdíl od 62 při použití A-Za-z0-9. A také o to, že výsledných X slov je za sebou řazeno opravdu náhodně, takže se ke zrychlení nedá použít ani slovník, hybridní útoky ani Markov chains.
O tom, že si mozek po určitém tréninku umí zapamatovat (maximálně) pár silných hesel v článku píšu.
Souhlasím, že "password strength meters" jsou většinou tragédie. Zatím asi nejlepším na webu je ten od Dropboxu (https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/), ale také nemá "heslo" ve slovníku , ačkoliv se do něj dá jednoduše přidat.
