Hlavní navigace

Vlákno názorů k článku Jak jsem crackoval hesla z úniku Mall.cz od Filip Jirsák - To, o čem se tady diskutuje, je obrana...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 9. 2017 7:14

    Filip Jirsák

    To, o čem se tady diskutuje, je obrana proti útoku hrubou silou – zkoušení všech potenciálních variant hesla tak dlouho, dokud se netrefím. Samozřejmě, že např. šestiznakové heslo skládající se jen z malých písmen, je velmi málo potenciálních hesel oproti třeba šestnáctiznakovému heslo s malými písmeny, velkými, číslicemi a symboly. Takže podstatné je to, jak útočník odhadne potenciální množinu hesel. Pokud heslo volíte náhodně z desetiznakových hesel, kde mohou být malá a velká písmena, číslice a symboly, útočník to ví, ale vám náhodou vyjde to heslo takové, že se skládá jen z malých písmen, je to heslo stejně dobré, jako by mělo všechny požadované typy znaků. (Ty kontroly, zda se v hesle vyskytují všechny požadované typy znaků, ve skutečnosti kvalitu hesla snižují, protože množinu možných hesel zmenšují.) V reálném světě ale musíte počítat s tím, že útočník nebude znát přesný způsob, jak hesla tvoříte – naopak bude hesla zkoušet od nejjednodušších po složitější. Takže prakticky bude to heslo skládající se jen z malých písmen méně bezpečné, protože přijde při lámání na řadu dřív.

    Čímž se dostáváme k odpovědi na vaší otázku. Pokud bude mít útočník podezření, že jako heslo používáte čtveřici anglických slov, může zkusit pomocí slovníku vytvářet kombinace (a v takovém případě to nejspíš vzdá předem, protože je to pro dnešní techniku bezpečné heslo). Pokud ale útočník získá podezření, že jako heslo používáte dvojici anglických slov, kterou jenom zapíšete dvakrát za sebou, pustí se do louskání, protože jste tím bezpečnost hesla snížil obrovsky – za podmínek uvedených v tom stripu bude vyzkoušení všech variant trvat hodinu a deset minut (oproti 550 rokům ve stripu).

    Já bych takhle ošizená hesla nepoužíval, protože to závisí jenom na tom, že útočníka nenapadne, že by se jednoduchá hesla dala vytvářet i tímhle způsobem. A na to mám jednoduchý argument – když takový postup napadl mne, napadne nejspíš i útočníka. Který na to navíc má spoustu času a není na to sám – stačí, aby to jeden člověk implementoval do crackovacího programu, a hned to mohou používat všichni útočníci, aniž by je ten postup vůbec musel napadnout. Ten váš příklad je klasickou ukázkou toho, kdy je bezpečnost daná ne vstupními daty, ale tím, že útočník nezná algoritmus – a to nikdy není považováno za bezpečné.

  • 14. 9. 2017 17:05

    incorrect wooden rocking horse (neregistrovaný) ---.jd.gurutek.biz

    Jistě znáte https://xkcd.com/936/. Jak významně se níží bezpečnost hesla, pokud oproti "correct horse battery staple" použiji "correct horse correct horse"?

  • 15. 9. 2017 8:13

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Každopádně co rozhoduje o bezpečnosti je délka hesla a možnost diakritiky/jiné znakové sady (takový UTF8 s tím pocvičí hodně). Jenomže se vždycky najde idiot, který omezí délku hesla a stanoví přesně sadu znaků, který projdou (jako kdysi ČS - snad už to po letech fixli)

  • 19. 9. 2017 21:48

    Klik je cvik (neregistrovaný) 84.19.86.---

    RůžeProMáňuKe40 ? Máte pravdu i když Váš příklad docela silného hesla z mého pohledu heslem není .... Tvary hesel s 10ti znaky mohou být také přeci bezpečné, ale většinou postrádají pro většinu uživatelů zcela vnitřní logiku. Uživatelé s takovými - viz. Váš příklad - tvary hesel dřív nebo později bojují logicky s omezenou lidskou pamětí, protože už druhé a další heslo takového tvaru si někde musí napsat nebo v elektronické podobě zaznamenat a tím momentem už to není heslo ... Další otázkou je zdali při registraci provozovatel serveru umožňuje uživateli tvorbu hesel s vnitřní logikou pro uživatele i při možnosti 10 a více znaků ... Můj názor na tuhle problematiku je však takový že tuhle problematiku bezpečnosti může vyřešit v budoucnu reálně až použití např biometrie .. Jinak je to stále uzavřený kruh plný nástrah ..

  • 15. 9. 2017 3:37

    Klik je cvik (neregistrovaný) 84.19.86.---

    Platí že heslo, které se tzv. nikde jinde nepoužívá je silné jen tak dlouho,dokud se majitel hesla s gramatickou korektnosti nedozví o hash úniku

  • 19. 9. 2017 11:23

    Petr M (neregistrovaný) ---.145.broadband16.iol.cz

    Bezpečnost hesla beru jako střední dobu, potřebnou k jeho lousknutí.

    Pokud mám omezení na 10 znaků, nemůžu na květinářství hodit heslo "RůžeProMáňuKe40", ale musím použít nějakou zprzněninu, kterou s nezapamatuju. pokud jazyk bude mít 100k slov a v hesle jich bude 5, mám jenom v tomhle 100k^5, tj. 10^25 "symbolů". Každý ve variantách malýma, s malým na začátku, substituce,... a dá se ještě třeba posolit číslama. Při 10 ASCII znacích je to pod 6*10^19 kombinací.

    Stran podpory UTF-8 a diakritiky, pokud mám nějakou doménu, kde není jasný jazyk, tak DB budu louskat podle toho, jak patrně mluví většina uživatelů (pokud není volba jazyka součástí uniklých záznamů), takže na .eu bych postupně poštval německý, španělský, francouzský, italský,... slovník a čeština přijde na řadu rozhodně až ve druhé půlce, pokud to za to vůbec bude stát.

    A pokud to pomíchám, třeba "KatzeJeNěmec­kyKočka", pohoří na tom i CZ, i DE slovník. Tož asi tak.

  • 20. 9. 2017 8:57

    Skřetík (neregistrovaný) ---.net.upcbroadband.cz

    Přijde mi že demonstrujete sílu hesla s předpokladem, že heslo znáte. To je přece nesmysl: jako útočník přece nevíte zda uživatel použil jen velká písmena, jen malá písmena, kombinaci, kombinaci s číslicemi, kombinaci s speciálními znaky, zda použil slova a kolik atd.

    Jistě, můžete začít s malými písmeny a hledat všechny kombinace do 6/7/8 znaků, popř. přidat velká písmena (zkusit nejdřív na začátku a konci) atd. Jenže... ono pokud to není jen zahashované md5, takový bcrypt vám sežere docela slušné množství času i při relativně malé síle.

  • 15. 9. 2017 9:09

    Klik je cvik (neregistrovaný) 84.19.86.---

    Omezit heslo není rozhodující pro bezpečnost hesla samotného .. Naopak pokud se heslo na základě vnitřní logiky omezí s využitím diakritiky, spřežek a v případě latinky také množstvím speciálních znaků tak heslo je zapamatovatelné a to je skutečné heslo, protože splňuje jedinečnost - tvar .. Otázkou je zdali provozovatelé serverů tyhle tvary hesel podporují .. Pokud je heslo dlouhé jak píšete je sice silné, ale pro uživatele nezapamatovatelné což směřuje k opakující se situaci že takový uživatel žádá o heslo nové a mnohdy mj. právě prostřednictvím emailu který nemá většinou bezpečné zajištění ...