Jak stworzyć dobre hasło? To proste


(gom1) #21

Nawet w swoim podlinkowanym artykule piszesz: “Siła i moc hasła istotne są tylko tam gdzie hasło jest jedynym stosowanym zabezpieczeniem”. Pytanie: po co? Skoro nie ma to znaczenia…


(januszek) #22

Są zastosowanie w których nie ma innego zabezpieczenia niż siła hasła. Ale są też takie, w których siła hasła nie ma żadnego znaczenia (np pin do karty płatniczej). Nie zrozumiałeś tego? Mogę wyjaśnić :wink:


(Superkasmir) #23

jak widać jest to możliwe i crackery to robią a im prostsze hasło tym szybciej je rozkoduje.


(gom1) #24

A piszemy tutaj o wygenerowaniu bezpiecznego hasła do serwisu internetowego czy PINu do karty kredytowej?


(januszek) #25

Tego, Twórca tematu, nie napisał :wink:

Generalnie, zastosowania w których jedynym zabezpieczeniem jest siła hasła to np:

  • hasło do wifi (chyba, że używasz WPA2-Enterprise z serwerem RADIUS);
  • hasło do zaszyfrowanego archiwum zip;

(gom1) #26

Widziałeś PIN do karty składający się ze kilkunastu znaków alfanumerycznych?


(januszek) #27

Z kilkunastu to nie ale z 8 tak, np podpis kwalifikowany i pin do karty :slight_smile:


(krystian3w) #28

Dziwne te MD5

Provided MD5 hash could not be reversed into a string: no reverse string was found.

Z komunikatu rozmiem, że nie ma ich w bazie, ale nie mają nawet elemeledudki.


(januszek) #29

qwerty - też nie mają :wink:


(Superkasmir) #30

mają tylko te Twje hashe jakieś kombinowane


(panicagaming) #31

Januszek co Ty tu piszesz o haszowaniu przez admina… Na forum nie sami adminowie, a zdecydowana większość to zwykli użytkownicy, którzy nie mają pojęcia o czym piszesz, tak samo jak o tworzeniu bezpiecznego hasła.
95% osób próbujących łamać hasło korzysta z brute force i jeśli on nie zadziała to kończą swoje działanie.
Przypominam, że w bazach brute force znajdują się wszystkie słownikowe wyrazy, ciągi słów, ciągi klawiaturowe.
Bezpieczne hasło składa się przede wszystkim z wielu znaków (8 to absolutne minimum), powinno posiadać małe i duże litery oraz znaki specjalne.
Przykładowo można zastosować pierwsze litery z ulubionego filmowego tekstu przeplatany prostym ciągiem znaków:
I!c2m#p4t%w6P&
skąd się to wzięło?
użyłem zdania - I cały misterny plan też w Piz**
znaki to naprzemiennie znak lub cyfra z klawiatury idąc od lewej.


(januszek) #32

Czyli nie rozumiesz, że jeśli admin nie zabezpieczy haseł i np zapisze je na serwerze w pliku tekstowym, to nie ma znaczenia czy to będzie hasło abcde czy też I!c2m#p4t%w6P&
I, że to działa w drugą stronę, jeśli admin dobrze przemyśli politykę bezpieczeństwa to siła hasła nie będzie miała żadnego znaczenia?

@panicagaming, a wiesz, że innym, często powtarzanym mitem jest to, że haseł nie wolno zapisywać? :wink:


(Fizyda) #33

Yyyy? What!? Jakie bazy do brute force? To w końcu słownikowe łamanie haseł czy brute force? Bo to dwie różne techniki (często mieszane, ale to tworzy w sumie trzeci typ ataku).
Dla bruteforce nie ma znaczenia poziom skomplikowania hasła lecz jego długość. Dlatego od kilku lat prowadzona jest kampania, żeby nie robić nie wiadomo jak skomplikowanych haseł bo są one znacznie mniej skuteczne niż proste, ale długie. Dodatkowo użyszkodnik jak ma zrobić hasło składające się z:

  • dużego znaku
  • małego znaku
  • cyfry
  • znaku specjalnego
  • o długości co najmniej N
  • gwiazdki z nieba
  • cyrkowca
  • i słonia

To będzie stosował jedno hasło do wszystkiego i nie będzie go zmieniał, a to znacznie zmniejsza bezpieczeństwo. Dodatkowo zapomni go i będą kolejne problemy z jego odzyskaniem - trzeba wdrożyć mechanizm przypomnienia/resetowania hasła który jest tylko dodatkowym - łatwiejszym wektorem ataku niż samo łamanie hasła. Dodatkowo takie hasła często lądują w notesach/kalendarzach/karteczkach samoprzylepnych przyczepionych do monitora.


(panicagaming) #34

Tfu racja, chodziło mi o metodę słownikową :smiley:
Mam słabo podzielną uwagę w robocie :joy:


(januszek) #35

O, dokładnie. To jest IMO najsłabsze ogniwo. Odzyskiwanie dostępu do zablokowanego zasobu po tym jak user zapomni loginu i/lub hasła…