Pandabeer

Pandabeer
Рейтинг
138
Регистрация
13.07.2007
Кто пользуется hetzner.de? - часть 6

klamas,

ну знаете...одно дело перебирать по прямому доступу, и наткнуться на ограничение попыток, т.е. остаться с носом.

И совсем другое дело, разобрать хеш и мало того, что втихаря получить доступ к аккаунту владельца, так еще можно обнаружить, что владелец использует тот же пароль на других сервисах :)

Если для вас второе - раздувать из мухи слона, то...дело ваше. Я же говорил выше, что домохозяйкам опасаться нечего, т.к. их аккаунты неинтересны злоумышленникам - может вы из этой категории )))

Кто пользуется hetzner.de? - часть 6

ThePriest,

Ну что я могу сказать....медицина здесь бессильна :))

Кто пользуется hetzner.de? - часть 6
ThePriest:
Какая игра слов. Причем тут усложнение алгоритма?
Про соль было сказано в контексте паролей, а не алгоритмов.
Соль - это еще один пароль, который надо подобрать прежде чем начать взламывать слабые пароли.

Кто тут не смыслит уже стало ясно, когда вы дали ссылку на статью где ломают md5.

Соль хранится вместе с хешем в открытом виде, поскольку требуется при аутентификации, и вообще-то, не является секретной. А нужна она не для усложнения пароля, поскольку ничего она усложнить в принципе не может. Учите матчасть.

Кто пользуется hetzner.de? - часть 6
ThePriest:
Во-первых, давайте не будем свиливать, ваш аргумент в виде ссылки на статью необоснован, потому что там используется другой (слабый) алгоритм хеширования.

Суть в том, что ни один алгоритм не защитит ваш хеш от взлома, если пароль слабый.

ThePriest:

Во-вторых, любой слабый пароль можно первратить сильный, добавив соль. Так что этот ваш аргумент тоже необоснован.

Давайте вы не будете писать о том, в чем не смыслите ? Соль вообще никак не усложняет алгоритм. Она защищает только от rainbow-атак, которые, как уже сказано, не актуальны. Конечно, она никому не мешает, поэтому отказываться от нее нет смысла.

Кто пользуется hetzner.de? - часть 6

klamas,

моя мысль была о том, что по сути, если утекли хеши можно и нужно считать, что утекли и пароли. И причина этого - в слабости паролей, а не в алгоритме хеширования (который неспобен их защитить, и лишь усложняет усилия взломщика). Я уже потерял нить, с чем именно вы спорите.

Кто пользуется hetzner.de? - часть 6
foxi:
и почему нету массовых взломов всех и каждого? 🍿 .

Если вы чего-то не замечаете, значит этого не происходит ? Отличная логика. Да постоянно взломы происходят - почитайте любой сайт, посвященный безопасности. Кстати, когда угонят ваш пароль, вы об этом и не узнаете, т.к. вход злоумышленника будет выглядеть как ваш собственный. Вопрос только в том, есть ли на ваших аккаунтах ценная для злоумышленников информация.

Понятное дело, что взломав все пароли, преступник не будет их все использовать, т..к. большинство аккаунтов не представляют какой-либо ценности.

foxi:

не припомню ни одного случая, когда сервис ломали благодаря стыренному списку хешей. до сих пор подавляющая масса паролей уходят с затрояненных компов юзеров-лохов. и не нужно ничего расшифровывать. юзер сам в открытом виде трояну все покажет.

А какая разница, сломали сервис или нет, если взломают лично ваш аккаунт ? Взлом может быть вообще единичный. Имея базу пользователей можно легко подключить ее к другим базам и легко найти пересечения - есть ли чем поживиться.

foxi:

md5 c солью до сих пор является надежным способом хранения паролей.

Иногда лучше жевать.

foxi:

а если пароль "12345", то это только проблема юзеров, если поставил такой пароль, значит ему безразлично, что его ак могут увести и это уже не проблема сервисов.

Почему то любят приводить пример 12345, тогда как перебором ломаются гораздо более сложные пароли. А все потому, что пароли используются из сочетаний слов и цифр, которые подбираются.

Вышеуказанную статью читали ?


Even the least successful cracker of our trio—who used the least amount of hardware, devoted only one hour, used a tiny word list, and conducted an interview throughout the process—was able to decipher 62 percent of the passwords. Our top cracker snagged 90 percent of them.

90% расшифрованных паролей вам ничего не говорит ? Вы уверены, что попадаете в оставшиеся 10% ? Повторюсь, это результаты взломщиков-одиночек. Киберпреступники могут обладать гигантскими ресурсами, это означает, что цифра была бы не 90%, а может быть и все 98%

---------- Добавлено 08.06.2013 в 09:29 ----------

klamas:
Как раз поэтому и стоит писать, что это не одно и то же.
Если кто-то ставит пароль "123", то для них и хеши не нужны.
Но вы упорно хотите поговорить об этих странных людях, не стоят они того.

Странные люди, которых более 90% в произвольной выборке (см.выше) ? Так это, батенька, не странность - это норма. Риал лайф :)

ThePriest:

Рекомендую вам почитать про разницу SHA256 (то, что Хетцнер использует) и MD5 (тем, чем пароли из статьи шифровались).

Надо понимать, что алгоритм хеширования не панацея, т.к. не способен защитить слабый пароль. Ну, увеличится кол-во требуемых ресурсов для расшифровки - или времени. Но не настолько, чтобы остановить взломщика.

Кто пользуется hetzner.de? - часть 6

Если понимают, то зачем писать

слить список хешей != список паролей
?

Это фактически одно и то же, в реальных условиях, а не в идеальном мире где все придумывают рандомные длинные пароли.

Кто пользуется hetzner.de? - часть 6
klamas:
Вы читать умеете? Написано, что пароли храняться как и положено в виде хеша (и так в общем везде принято), а не в открытом виде, так что слить список хешей != список паролей.
Конечно если у вас не двухбуквенный пароль или элементарное число.

Современные вычислительные возможности видеокарт позволяют перебором расшифровывать даже очень длинные пароли, если они состоят из широко используемых слов, букв и цифр, т.е. обладают низкой степенью энтропии. Это прекрасно было проиллюстрировано недавно в статье на сайте Arstechnica, где взломщики легко вытащили пароли типа "qeadzcwrsfxv1331" или "Qbesancon321".

Рекомендую указанную статью всем к прочтению - для кого-то она будет открытием :) Таким образом, при утечке хеша можно быть спокойным за свой пароль, только если он достаточно длинный и состоит полностью из случайных цифр, букв, и символов, что крайне редко встречается среди людей, не использующих менеджеры паролей.

Результаты из статьи были достигнуты взломщиками-одиночками. Теперь представьте организованную преступную группу, использующую, например, возможности ботнета для расшифровки паролей. Картина сразу меняется кардинально, не правда ли ? :)

---------- Добавлено 07.06.2013 в 06:50 ----------

AboutSEO:
не хочу никого расстраивать, но базы данных с хэшами паролей уже давно(лет 5 точно) гуляют по сети и постоянно пополняются новыми.

Если говорить о Rainbow таблицах, то они уже давно не актуальны - это показано в вышеуказанной статье. Такие таблицы имеют огромный размер, слишком ограниченное применение (зависят от алгоритма и соли), и не нужны при возможности найти подавляющее большинство паролей перебором.

Низкая стоимость клика. Это только в начале - 2
Unlock:
Что-то поменялось в определении дорвея? Редирект там уже не должен уводить человека на конечную страницу? 😮
Я спрашиваю, может что-то поменялось в этой области и теперь дорвей это что-то другое.

А какая разница то ? В http://help.yandex.ru/partner/?id=1019878 сказано

Не допускается показ рекламы на сайтах:
имеющих содержание, вводящее пользователей в заблуждение;
не соответствующих лицензии на использование поисковой системы Яндекса

Т.е. теперь Яндекс не просто стал "менее разборчив", а просто жрет все подряд, спонсируя засирание интернета. И за счет распределения доходов в пользу дорвеев, владельцы нормальных сайтов, теоретически, получают меньше.

Низкая стоимость клика. Это только в начале - 2
SSA.RU:
а про дорвеи вы не правы, это микронишевые сайты, очень нужные посетителю:)

Надеюсь, это был сарказм :)

1 2345678910 ...125
Всего: 1246