Правила выбора пароля.

[egold]

О как.

Цитата:

Here are the exact FBI Password Rules that we need to be able to turn on or off:

1. Be a minimum length of eight ( characters on all systems.
2. Not be a dictionary word or proper name.
3. Not be the same as the Userid.
4. Expire within a maximum of 90 calendar days.
5. Not be identical to the previous ten (10) passwords.

[Major Keis]

Что тебя смущает?

[Tos]

у него только 9 паролей. одного не хватает.

[Vic]

Двух, кстати

[koyot]

Ну да. Абсолютно нормальные правила. Даже не слишком сложные, в общем-то. А что?

[Major Keis]

Цитата:

6. Пароль должен быть регистрозависимым.

Все, саппорт может вешаться.

[koyot]

"Как ввести заглавную цифру"?

[egold]

Где находится клавиша "Any"?

[lexs]

Цитата:

Сообщение от koyot

"Как ввести заглавную цифру"?

также как и заглавную запятую

[Archimed]

Фигня. Помнится у нас в одной конторке было несколько правил на длинну пароля. Одно из них гласило, что он должен быть не менее восьми знаков. Другое, что не более восьми.

[Major Keis]

Не более семи было бы изящнее.

[gandjubazzz]

Я бы сказал, это минимальный набор правил.

[Tos]

Нет еще требований по:
- регистру символов.
- обязательному наличию и букв и цифр в пароле.

[Jag Mort]

Второго правила достаточно, чтобы не заморачиваться этим.

[сараевод]

Да? А символы? Символы забыли!

[Jag Mort]

Какие символы?

[wsdx]

Цитата:

Сообщение от Jag Mort

Второго правила достаточно, чтобы не заморачиваться этим.

Достаточно для чего? Для пароля от социальной сети? - да. Для всякого рода паролей для доступа к государственным тайнам или серьезным корпоративным данным - нет.

[Jag Mort]

Чем меньше правил составления пароля, тем труднее злоумышленнику его подобрать.

[Vic]

Если длина пароля - три символа, то хоть пропер нэйм там, хоть не пропер - подберется на раз

[Jag Mort]

Читаем первое правило в заглавном посте.

[Vic]

Ну во-первых, следует признать, что твой пост про достаточность второго правила я прочел, как лишь его достаточно.
А во-вторых, буквенный пароль из строчных символов и длиной 9 подбирается тупым перебором много быстрее, чем за 90 дней.
Отвечаю

[Jag Mort]

Цитата:

Сообщение от Vic

Ну во-первых, следует признать, что твой пост про достаточность второго правила я прочел, как лишь его достаточно.

Я Tos-у отвечал.

Цитата:

Сообщение от Vic

А во-вторых, буквенный пароль из строчных символов и длиной 9

Злоумышленник не знает максимальную длину и используемые символы, ибо в правилах про это не написано.

[Vic]

Цитата:

Сообщение от Jag Mort

Злоумышленник не знает максимальную длину и используемые символы, ибо в правилах про это не написано.

Но в этом случае он смело может рассчитывать на строчные буквы и длину 8 символов. И примерно у десятого найдет именно такой пароль, если не быстрее.
Ибо в правилах всего два пункта, обязательных к исполнению... которые и надо исполнить по минимуму (закон лени, если хочешь).

[Jag Mort]

Увеличиваем минимальный пароль до 10 символов, и проблема решена

[koyot]

И не забываем о блокировке аккаунта после трех неудачных попыток.

[Vic]

Это данную проблему решает, но создает альтернативную уязвимость.

Если я злоумышленник, который заинтересован не в получении информации, а в блокировке работы сервиса (конкретного человека), то я легко этого достигну введением неправильных паролей, не так ли?

[koyot]

Это, как бы, не создает проблемы. Ибо в нормальной сети логгируется, откуда ведутся попытки ввести пароль.

[Vic]

Хм... а при чем тут локалка? Если человек перемещается по миру, он откуда угодно может к сервису лезть.

[Vic]

Если просто из букв - нет.
Если за паролем что-то ценное, то тебе понадобится всего на 675 компов больше, чем чтобы сломать 8 буквенный пароль без регистра.
Фэбээровцов ломали бы, я так думаю

Можно увеличивать больше и найти таки ту не ломаемую длину.
Но, сцк, такие пароли действительно только на бумажку записывать!

Да и зачем изобретать велосипед?
Пароль из шести букв с разным регистром, четырех цифр и знака препинания гораздо более устойчив от взлома перебором, и при этом в разы проще для запоминания.

Видя такие правила злоумышленник даже не будет пытаться решить проблему перебором, будет искать другие пути.

[Jag Mort]

Цитата:

Сообщение от Vic

Если просто из букв - нет.

Ещё раз повторю, что этого никто не знает.
Может и из одних цифр или запятых/квадратных скобок

[Vic]

Давай и я еще раз повторю: если в правилах нет явных указаний, у каждого 10, если не чаще, будет пароль из букв. К гадалке не ходи.

[Jag Mort]

Даже если правила есть, то это не исключает словарных слов.

[Vic]

Обычно правила подкрепляются неким кодом проверки того, что пользователь следует правилам. Думаю, тебе не надо рассказывать, насколько сложна проверка, исключающая появление словарных слов в пароле с достаточно большой вероятностью.

[Jag Mort]

О чём я и говорю.

[wsdx]

Цитата:

Сообщение от Jag Mort

Чем меньше правил составления пароля, тем труднее злоумышленнику его подобрать.

Ну вот сам посуди. Знаешь ты, как злоумышленник, что пароль состоит из заглавных и строчных английских букв, спецсимволов и цифр; причем заглавных букв в нем не меньше трех, цифр подряд не может быть более двух, он не содержит словарных слов, имен собственных и его длина не менее 13 символов. Как тебе это поможет?

d13GFe14l_#1Q - вариантов прямого перебора такого пароля примерно (26+26+10+32+1)^13, т.е. прим. 95^13 = 51 334 208 327 950 511 474 609 375

[Jag Mort]

Цитата:

Сообщение от wsdx

Как тебе это поможет?

Я не стану тратить время на перебор, и буду узнавать пароль другими методами.

[wsdx]

Хм. Ну тоже логично.

[Павел F.]

У нас пароль должен быть из минимум 6 букв, регистрозависимых( должны присутствовать оба регистра) и 4-х цифр( вроде, могу ошибиться), также должен не совпадать с 24-ю последними паролями. Действует этот пароль месяц. Я раз в месяц сочиняю пароль и проклинаю этих гребаных параноиков! Надеюсь они весь этот день страдают от дикой икоты.

[Tos]

а потом записываю придуманный пароль на бумажку и кладу под клавиатуру.

[Павел F.]

Почти готов так и делать, но пока нет. Все эти правила хороши... но паранойя это плохо!
Ну вот не знаю я человека у которого есть 25 таких паролей, которые он помнит!

[Tos]

я записываю на бумажку хеш-функцию пароля.

[Major Keis]

Цитата:

Сообщение от Павел F.

Ну вот не знаю я человека у которого есть 25 таких паролей, которые он помнит!

Экий ты чайнег! Вот у меня тетки по 50 лет махом выработали систему. Например: "Qwerty1" - и каждый месяц ++ к цифре.

[Павел F.]

"qwertY123456789012345678901234" - не есть гут

[191]

Цитата:

Сообщение от Tos

а потом записываю придуманный пароль на бумажку и кладу под клавиатуру.

а потом записываю придуманный пароль на бумажку и приклеиваю над экраном

[Arat0r]

Зачем так сложно? Просто карандашом на клавиатуре.

[aaz]

Просто имеющееся в пароле число инкрементируй.

[Major Keis]

Цитата:

Сообщение от aaz

Просто имеющееся в пароле число инкрементируй.

А экскрементировать можно?

[aaz]

В интернете многие только этим и занимаются.

[Vic]

Не всегда прокатывает
Есть вот у нас на работе мегабесполезный, но хорошо защищенный сервис, так он на подобное инкрементирование скажет, что "один из предыдущих 10 (или 24х, не помню точно) слишком похож на только что введенный" и попросит другой пароль.
Самая беда в том, что по причине бесполезности сервис нужен раз в полгода (и пароль меняется с той же периодичностью вроде). Посему до следующего раза практически все пароль забывают и дружно пишут письма с просьбой заресетить пароль.
Я все понимаю про паранойю, я сам параноик, но на бесполезные сервисы пароль должен быть 123, причем у всех без права изменения!

[MadM]

Цитата:

Сообщение от Павел F.

У нас пароль должен быть из минимум 6 букв, регистрозависимых( должны присутствовать оба регистра) и 4-х цифр( вроде, могу ошибиться), также должен не совпадать с 24-ю последними паролями. Действует этот пароль месяц. Я раз в месяц сочиняю пароль и проклинаю этих гребаных параноиков! Надеюсь они весь этот день страдают от дикой икоты.

при таких параметрах у 80% пользователей пароль
можно не подбирать
это месяц прописью и год
пример: "Август2011"

[DeD]

Завербовали...

[Tos]

ищут!

[DeD]

Чета я не признаю его никак там с бородою та....

[Tos]

не он?:

[DeD]

Не... это Анас какой-то...

[MadM]

паяльник в мягкое место заставит вспомнить все пароли

[Major Keis]

Терморектальный криптоанализ: http://termorect.narod.ru/

[for_road]

уж сильно сложно, лучше не заморачиваться) или использовать программы генерации)

[Fossa]

У некоторых ник не подберешь, не то что пароль.

Хотя, возможно, он просто перепутал строчки при регистрации