Redakcja 23.06.2021 10:27 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 Kochani, dostaliście prywatną wiadomość od nas z prośbą o zmianę hasła. Wprowadziliśmy dodatkowe zabezpieczenia, zmiana hasła na silniejsze jest konieczna. Pozdrawiamy i dziękujemy Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
pestka56 23.06.2021 11:02 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 Wiadomość dostałam, ale znowu coś s...liście Od godziny usiłuję zmienić hasło zgodnie z instrukcją i od godziny za każdą próbą pojawia się czerwony komunikat Hasło powinno składać się od 8 do 20 znaków, w tym jednej cyfry oraz jednego znaku specjalnego (np: !@#$%^&*). A reklamy jak przeszkadzały, pojawiając się bezsensownie, tak przeszkadzają. Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Lew2 23.06.2021 11:24 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 Wiadomość dostałam, ale znowu coś s...liście Od godziny usiłuję zmienić hasło zgodnie z instrukcją i od godziny za każdą próbą pojawia się czerwony komunikat Hasło powinno składać się od 8 do 20 znaków, w tym jednej cyfry oraz jednego znaku specjalnego (np: !@#$%^&*). A reklamy jak przeszkadzały, pojawiając się bezsensownie, tak przeszkadzają. Według najnowszych badań te śmieszne znaki (np: !@) nie stanowią żadnej przeszkody dla programów łamiących typu Brute Force Hack. np.: https://www.brisbanetimes.com.au/national/queensland/when-it-comes-to-passwords-complex-is-not-always-safer-new-study-shows-20210507-p57pt1.html lub https://techxplore.com/news/2021-05-complex-passwords.html i odchodzi się od takich rozwiązań. Jedyną przeszkodą utrudniającą złamanie hasła jest jego długość, bo czas potrzebny na jego złamanie rośnie potęgowo. Przypomniała mi się sytuacja, którą mi opowiadał kolega wiele lat temu. Pracował w banku jako IT. Każda pani przy biurku miała konta i hasła do 4 systemów: wewnętrzny system poczty, wewnętrzny intranet, system bankowy i nie pamiętam co jeszcze. Hasła były wymuszane do zmiany chyba co 10 dni. Nikt nie był w stanie zapamiętać tych nowych haseł (oczywiście nowe musiało być inne niż poprzednie hasła). W efekcie panie miały poprzyklejane na monitorach karteczki z aktualnymi hasłami do wszystkich tych systemów. Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
michal_kopaczewski 23.06.2021 12:24 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 Według najnowszych badań te śmieszne znaki (np: !@) nie stanowią żadnej przeszkody dla programów łamiących typu Brute Force Hack. np.: https://www.brisbanetimes.com.au/national/queensland/when-it-comes-to-passwords-complex-is-not-always-safer-new-study-shows-20210507-p57pt1.html lub https://techxplore.com/news/2021-05-complex-passwords.html i odchodzi się od takich rozwiązań. Jedyną przeszkodą utrudniającą złamanie hasła jest jego długość, bo czas potrzebny na jego złamanie rośnie potęgowo. Przypomniała mi się sytuacja, którą mi opowiadał kolega wiele lat temu. Pracował w banku jako IT. Każda pani przy biurku miała konta i hasła do 4 systemów: wewnętrzny system poczty, wewnętrzny intranet, system bankowy i nie pamiętam co jeszcze. Hasła były wymuszane do zmiany chyba co 10 dni. Nikt nie był w stanie zapamiętać tych nowych haseł (oczywiście nowe musiało być inne niż poprzednie hasła). W efekcie panie miały poprzyklejane na monitorach karteczki z aktualnymi hasłami do wszystkich tych systemów. To nie do końca tak, że nie stanowią żadnej przeszkody. W artykule chodziło o to, że dłuższe ale bez specjalnych znaków hasła trudniej złamać. Weźmy przykład z artykułu: TvU4E#k&- hasło ma małe i wielkie litery i znaki specjalne, powiedzmy że alfabet angielski ma około 25 znaków * 2 bo małe i wielkie litery + około 10 znaków specjalnych, a to daje 60 znaków na miejsce 60 znaków do potęgi 8 bo jest 8 znakowe hasło to daje 167 961 600 000 000 kombinacji. sunlightautumnleaves- w haśle są tylko małe litery także mamy 25 znaków, a hasło ma długość 20. 25^20= 9094947017729282379150390625 Zestawiając: 9094947017729282379150390625 167961600000000 Widać różnicę Ale powiedzmy, że wydłużymy hasło ze specjalnymi znakami do np 16 znaków i to da nam już 28211099074560000000000000000 kombinacji. Dodając to do zestawienia mamy: 28211099074560000000000000000-TvF5E#k&FvS4E^k& 9094947017729282379150390625- sunlightautumnleaves 167961600000000-TvU4E#k& Także przy stosowaniu specjalnych znaków hasło 16 znakowe jest trudniejsze do złamanie brute forcem niż 20 znakowe hasło bez specjalnych znaków i tylko z małymi literami. Inną kwestią jest to że chyba nie łamie się haseł takim typowym brute forcem bo to zajmuje za dużo czasu, zamiast tego używa się słowników popularnych haseł które już był złamane albo zmienia się brute force aby używał popularnych słów z danego języka, a wtedy połączenie 3 słów może nie być wystarczające i sunlightautumnleaves złamie się prędzej niż TvU4E#k&, gdzie te drugie jest losowe. Niestety ale ogólnie ludzie nie przywiązują uwagi do haseł i jak zdejmiesz ograniczenia to zamiast tworzyć długie hasła takie jak np sunlightautumnleaves stworzą sobie password. Są listy w internecie dostępne gdzie można podejrzec jakie ludzie ustawiają hasła gdy nie ma mocnych wymagań, wystarczy wpisać popular passwords w google i coś wyjdzie. Wiadomo przesadzać też nie ma co z wymaganiami bo zmiana hasła co miesiąc to według mnie patola. Lepiej ustalić sobie hasło raz, a porządnie, Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Darek1719499676 23.06.2021 15:01 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 A jak mnie się stare hasło podoba ? Do kiedy max mogę się nim posługiwać? Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Bertha 23.06.2021 15:31 Zgłoś naruszenie Udostępnij Napisano 23 Czerwca 2021 Zawsze możesz zmienić hasło dwukrotnie: stare na nowe a potem nowe na stare. Twoje rydzyko. Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Kaizen 24.06.2021 09:04 Zgłoś naruszenie Udostępnij Napisano 24 Czerwca 2021 (edytowane) Także przy stosowaniu specjalnych znaków hasło 16 znakowe jest trudniejsze do złamanie brute forcem niż 20 znakowe hasło bez specjalnych znaków i tylko z małymi literami. Czy jak mam hasło: zzzzzzzz to będzie szybciej złamane niż: B!Ęśź)*$ kiedy włamywacz nie wie, czy/że są jakiekolwiek wymogi czy ograniczenia co do stosowania liter? Liczba wszelkich możliwych kombinacji jest przecież taka sama i tyle samo kombinacji trzeba przetestować. Kwestia co najwyżej kolejności testowania poszczególnych kombinacji. Paradoksalnie to jak włamywacz wie, że musi być znak specjalny, mała i wielka litera i cyfra ułatwia mu sprawę - bo wyrzuca wszystkie kombinacje, które takich warunków nie spełniają, więc ma mniej kombinacji do przetestowania niż gdy brak jakichkolwiek ograniczeń. Ale ile będzie trwało złamanie nawet najłatwiejszego hasła jak po trzech próbach konto zostanie zablokowane nawet na 5 minut? A powtórzenie takich sytuacji kilka razy w ciągu doby blokuje na dobę czy wymaga kontaktu z adminem? Nie oszukujmy się - moc hasła w takiej sytuacji ma znikome znaczenie, bo realnie nawet automat przetestuje niewiele kombinacji na dobę. Wyjątkiem będzie sytuacja, w której włamywacz nas zna i potrafi wytypować kilkanaście/dziesiąt potencjalnych haseł. Edytowane 24 Czerwca 2021 przez Kaizen Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
michal_kopaczewski 24.06.2021 09:58 Zgłoś naruszenie Udostępnij Napisano 24 Czerwca 2021 Czy jak mam hasło: zzzzzzzz to będzie szybciej złamane niż: B!Ęśź)*$ kiedy włamywacz nie wie, czy/że są jakiekolwiek wymogi czy ograniczenia co do stosowania liter? Liczba wszelkich możliwych kombinacji jest przecież taka sama i tyle samo kombinacji trzeba przetestować. Kwestia co najwyżej kolejności testowania poszczególnych kombinacji. Jeżeli włamywacz nie wie jakie znaki są używane w haśle to te dwa hasła są tak samo ciężkie do złamania bruteforcem bo tak jak piszesz kombinacja znaków jest taka sama. Ale jeżeli dowie się że portal z którego pochodzi baza i nie posiada restrykcyjnej polityki haseł i pozwala na hasło zzzzzzz to ma ułatwione zadanie bo większość ludzi ma gdzieś komplikowanie hasła i skoro portal pozwoli na zzzzzz to takie sobie ustawią i z góry ma ograniczony słownik. Jak to przepuści najpierw przez słownik najpopularniejszych haseł to się pewnie okażę że bruteforce nie jest za bardzo potrzebny. Paradoksalnie to jak włamywacz wie, że musi być znak specjalny, mała i wielka litera i cyfra ułatwia mu sprawę - bo wyrzuca wszystkie kombinacje, które takich warunków nie spełniają, więc ma mniej kombinacji do przetestowania niż gdy brak jakichkolwiek ograniczeń. Ile jest takich kombinacji? Zazwyczaj wymaga się jednego znaku specjalnego i jednej wielkiej litery. Weźmy do tego te dwa hasła 8 znakowe. W pierwszym na każdy znak mamy do wyboru +/- 25 liter czyli liczba kombinacji takiego hasła to 152587890625, w drugim mamy hasła też 8 znakowe ale do wyboru na każde miejsce +/- 60 znaków (małe, wielki, specjalne znaki ) to daje nam to 167961600000000 kombinacji 167961600000000 - 152587890625 = 167809012109375, a 167961600000000 /167809012109375 = 0.99909153109624461782, jak dobrze patrzę to nawet nie jeden promil różnicy. Także nie ma za dużej różnicy, o ile dobrze liczę oczywiście. Ale ile będzie trwało złamanie nawet najłatwiejszego hasła jak po trzech próbach konto zostanie zablokowane nawet na 5 minut? A powtórzenie takich sytuacji kilka razy w ciągu doby blokuje na dobę czy wymaga kontaktu z adminem? Nie oszukujmy się - moc hasła w takiej sytuacji ma znikome znaczenie, bo realnie nawet automat przetestuje niewiele kombinacji na dobę. Wyjątkiem będzie sytuacja, w której włamywacz nas zna i potrafi wytypować kilkanaście/dziesiąt potencjalnych haseł. Przy ataku online stosowanie bruteforce'a nie ma sensu bo tak jak piszesz wiele stron jest na to zabezpieczona. Ale jak włamywacz ma bazę danych haseł to może sobie z nią robić co chce i może próbować jedno hasła łamać miliardy razy i nic go nie zablokuje. https://content.myfitnesspal.com/security-information/FAQ.html W 2018 z myfitnesspal wykradziono 144 miliony unikalnych adresów z zaszyfrowanymi hasłami, adresami ip. Na upartego ci włamywacze mają w tym momencie 3 lata na łamanie tych haseł i nic ich nie powstrzymuje od tego. Nikt nawet nie musiał próbować logować się na konta z tej listy na stronie bo ma całą bazę danych. Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Kaizen 24.06.2021 18:03 Zgłoś naruszenie Udostępnij Napisano 24 Czerwca 2021 Ile jest takich kombinacji? Zazwyczaj wymaga się jednego znaku specjalnego i jednej wielkiej litery. Weźmy do tego te dwa hasła 8 znakowe. W pierwszym na każdy znak mamy do wyboru +/- 25 liter czyli liczba kombinacji takiego hasła to 152587890625, w drugim mamy hasła też 8 znakowe ale do wyboru na każde miejsce +/- 60 znaków (małe, wielki, specjalne znaki ) to daje nam to 167961600000000 kombinacji 167961600000000 - 152587890625 = 167809012109375, a 167961600000000 /167809012109375 = 0.99909153109624461782, jak dobrze patrzę to nawet nie jeden promil różnicy. Także nie ma za dużej różnicy, o ile dobrze liczę oczywiście. Tym sposobem odrzucasz tylko kombinacje składające się wyłącznie ze wszystkich małych liter. A trzeba odrzucić jeszcze takie, które zawierają jedną wielką literę (na każdej pozycji) ale żadnego znaku specjalnego, dwie wielkie i brak znaku specjalnego itd. Oraz te, które zawierają jeden znak specjalny, ale żadnej wielkiej albo żadnej malej, dwa znaki specjalne ale ani jednej malej, ani jednej wielkiej itd. Ale jak włamywacz ma bazę danych haseł to może sobie z nią robić co chce i może próbować jedno hasła łamać miliardy razy i nic go nie zablokuje. Owszem, jak Twoje hasło znajduje się na liście haseł to sam prosisz się o kłopoty, jak go nie zmienisz. Chrome, jak zapisujesz w nim hasła, sam ostrzega, jak jakieś zostanie przechwycone. Jak ktoś nie zapisuje, to warto sobie sprawdzić od czasu do czasu. Dla zabawy można powpisywać hasła, jakie nam przychodzą pierwsze do głowy (nie tylko wulgaryzmy po polsku)... goaheadmakemyday wyciekło tylko 7 razy. Ale już dodanie wielkich liter GoAheadMakeMyDay uzyskuje pochwałę i szacunkowy czas na złamanie brute force na komputerze domowym 112 wieków. Cytuj Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania
Recommended Posts
Dołącz do dyskusji
Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.