Посторонним в

Блог-форум Винни Пуха
 
ФорумФорум  ЧаВоЧаВо  ПоискПоиск  ПользователиПользователи  ГруппыГруппы  РегистрацияРегистрация  ВходВход  

Поделиться | 
 

 Какой длины должен быть надёжный пароль

Предыдущая тема Следующая тема Перейти вниз 
АвторСообщение
Winnie
Admin


Сообщения : 880
Дата регистрации : 2015-06-10

СообщениеТема: Какой длины должен быть надёжный пароль   2017-06-24, 07:26

Какой длины должен быть надёжный пароль

Есть мнение, что длины пароля в 12 символов более чем достаточно чтобы он был безопасным:
Цитата :
от кейлогера и 70 символов не спасет, а от брутфорса и 12 будет достаточно.
расскажите кому могло понадобиться 70 символов в пароле. бред какой-то

Хорошее замечание. Скажу больше. В определённых случаях и qwerty пароль можно использовать (например, пароль при тестировании софта).

Кому же могло понадобиться делать 70 символов в пароле, рассказываю на конкретных примерах.
  1. Даже в Одноклассниках максимальная длина пароля сейчас заложена 50 символов! А ведь еще недавно этот потолок был как раз 12 символов. Однако неспроста это. Почему пароли длиной 12 и даже более детерминированных символов уязвимы?
  2. Пароли brain кошельков длиной менее 30 символов считаются небезопасными; хорошим считается пароль длиной 50-60 символов.
  3. Seed кошельков (парольная фраза) традиционно состоит из 12 слов. Это с пробелами примерно 60-80 символов. В DECENT (криптоплатформа, проектируемая в 2017 году) обрати внимание seed содержит уже не 12, а 16 слов, что составляет 100-120 символов - закладывается запас прочности вперёд на десятилетия с учётом роста компьютерных мощностей.

Отвечая на вопрос, 70 символов или все же 12 будет достаточно, следует уточнить, идёт речь о последовательности детерминированных символов, или о наборе случайных символов.
  • Если пароль составлен набором действительно случайных символов, сгенерированных например KeePass (английские буквы в разных регистрах, цифры, спецсимволы), то минимально допустимая длина надёжного пароля составит примерно 12 символов.
  • Если пароль составлен набором случайных символов, придуманных вручную, то минимально допустимая длина надёжного пароля должна быть побольше, т.к. люди обычно создают пароли с недостаточно высокой энтропией, а каждому человеку свойствен определённый "почерк". Предположу, что в этом случае потребуется символов 14-15.
  • Если пароль составлен набором случайных слов, то пасс-фраза должна содержать не менее 12-14 случайных слов, и тогда минимально допустимая длина надёжного пароля составит примерно 50-70 символов (в среднем длина слова в английском языке составляет примерно 5 символов, 5*12=60). Поскольку взлом паролей предполагается не брутфорсом, т.е. тупым перебором, а с использованием ускоряющих технологий (в первую очередь это радужные таблицы), то в случае составления пароля набором слов приходится делать соответствующую длину пароля, чтобы время взлома пароля было невыгодным для взломщика.

Зависимость времени взлома пароля от длины пароля естественно также зависит от мощности используемого алфавита
https://habrahabr.ru/post/80036/

Ограничение длины пароля в разных сервисах, max длина:
  • платёжная система PayPal - 20 символов
  • социальная сеть Mail.ru 6 - 40 символов
  • социальная сеть Одноклассники - 50 символов
  • операционка Windows 10 - 127 символов
  • децентрализованный видеохостинг Bitchute - 150 символов
  • почта ProtonMail - 490 символов
  • криптоплатформа NEM - не менее 4680 символов


Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 880
Дата регистрации : 2015-06-10

СообщениеТема: Re: Какой длины должен быть надёжный пароль   2017-08-10, 03:32

Новые рекомендации NIST по составлению безопасных паролей

NIST (National Institute of Standards and Technology) переработал и изменил рекомендации по безопасным паролям. В июне 2017 года была закончена двухлетняя работа по переработке стандарта NIST Special Publication 800-63B. Первоначально планировалось ограничиться лёгкими правками, но в итоге пришлось переписывать всё полностью. Рекомендации нового документа "Special Publication 800-63-3: Digital Authentication Guidelines" предполагается внедрить в государственном секторе США. В новых правилах нет обязательного требования использовать спецсимволы и отсутствует требование по обязательной смене пароля.

Прежде всего эксперты рекомендуют сделать политику применения паролей дружественной для пользователей. Другими словами, нужно перестать требовать от них выполнять ненужные действия, никак не улучшающие безопасность (к этому относится в частности известная рекомендация регулярно менять пароль).

Согласно новым рекомендациям NIST, длина пароля должна быть не менее восьми символов [неправильная рекомендация, д.б. рекомендации, зависящие от контекста и в любом случае никак не менее 12 символов]. Кроме того, специалисты уверены в необходимости увеличить допустимый максимум длины пароля не менее чем до 64 символов. Пароли должны храниться в хешированном виде с добавлением соли (не менее 32 битов) и поэтому ограничение длины пароля просто бессмысленно.

В приложениях должно разрешаться использование всех символов ASCII, в том числе пробелов, и UNICODE, включая эмодзи. Также рекомендуется использовать парольные фразы, а значит, у пользователей должна быть возможность выбирать любые существующие знаки препинания и любой язык. Прежде чем установить пароль, NIST советует проверить его наличие в словаре ненадёжных паролей.

По мнению экспертов, не нужно устанавливать правила по составлению пароля (например, обязывать использовать в них одну заглавную букву, одну строчную, одну цифру и несколько знаков, но не &%#@_). Лучше позволить пользователям свободно выбирать парольные фразы, а не заставлять придумывать сложные для запоминания, но всё равно ненадёжные комбинации, такие как pA55w+rd.

Согласно рекомендациям, не нужно без особой необходимости устанавливать срок истечения действия пароля. Не нужно торопить пользователей менять пароль, и тогда они будут выбирать действительно более сложные, а значит и более надёжные пароли. Учётные данные рекомендуется изменять только в случае, если они были забыты, похищены с помощью фишинга или взломаны.

Не рекомендуется использовать подсказки для пароля и вспомогательные вопросы для их восстановления («В какой школе вы учились?», «Ваше любимое блюдо?»), т.к. их наличие упрощает взлом паролей.

Также NIST рекомендует отказаться от использования SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки (устройство может быть заражено вредоносным ПО, перенаправляющим сообщения злоумышленникам, хакеры могут атаковать сеть оператора связи и пр.).


http://www.securitylab.ru/news/483443.php
https://geektimes.ru/post/291907/
https://habrahabr.ru/company/everydaytools/blog/334600/
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 880
Дата регистрации : 2015-06-10

СообщениеТема: Re: Какой длины должен быть надёжный пароль   2017-09-24, 13:09

Нейросеть повысила вероятность подбора паролей на 20%
https://habrahabr.ru/company/kaspersky/blog/338520/
https://threatpost.ru/deep-learning-passgan-tool-improves-password-guessing/22400/

Искусственный интеллект и глубинное обучение занимают всё большее место в сфере информационной безопасности, и одно из первых применений оказалось связано с паролями.

Сентябрь 2017. Исследователи из Технологического института Стивенса и Технологического института Нью-Йорка опубликовали предварительные результаты своих работ, в которых они с помощью генеративно-состязательных сетей (Generative adversarial network, GAN) угадывали пароли эффективнее, чем с помощью существующих техник ручного создания правил, использующихся в таких инструментах, как Hashcat или JohntheRipper.

По словам исследователей, благодаря этим мощным аналитическим инструментам они могут использовать машины для анализа имеющихся данных. Например, любой из многомиллионных утечек паролей, которые были опубликованы в Сети за последние 18 месяцев. И, исходя из этого, создавать новые правила паролей, которые не только повышают эффективность тестов на проникновение, но и могут когда-нибудь стать основным инструментом восстановления или угадывания паролей.

Суть GAN в использовании двух нейросетей, одна из которых (генеративная) генерит нечто, более-менее похожее на тренировочные образцы, а вторая (дискриминационная) отличает сгенерированные образцы от тренировочных. Играя друг против друга на достаточно большой выборке, обе сети достигают состояния равновесия, в котором способны генерить очень достоверные образцы.

Исследователи, вооружившись TensorFlow 1.2.1, обучали сеть паролями, слитыми за последние 18 месяцев из LinkedIn и RockYou. Та в итоге сгенерила собственные, усовершенствованные правила подбора паролей. Было угадано 46% паролей из набора RockYou и 12% паролей из набора LinkedIn. Эти результаты не лучше, чем у HashCat, но если их совместить с правилами HashCat, то количество угаданных паролей из тестовой выборки в итоге повышалось на 18-24%. Цифры не очень впечатляют, но надо понимать, что на практике выборку можно взять и сильно побольше. То есть уже довольно скоро оценки сложности подбора паролей придется снова пересматривать – прогресс не остановить.
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Спонсируемый контент




СообщениеТема: Re: Какой длины должен быть надёжный пароль   

Вернуться к началу Перейти вниз
 
Какой длины должен быть надёжный пароль
Предыдущая тема Следующая тема Вернуться к началу 
Страница 1 из 1
 Похожие темы
-
» КАКОЙ ДОЛЖНА БЫТЬ ГОЛУБЯТНЯ?
» Оценка Николаевских голубей в руках и по внешнему виду
» Нужно и можно ли давать голубям хлеб?
» В какой день бывает птичий базар на рынках Узбекистана?
» "Я не хочу с ними быть одной крови"

Права доступа к этому форуму:Вы не можете отвечать на сообщения
Посторонним в :: Инструментарий интернетов :: Средства безопасности (Tails, JonDo...)-
Перейти: