Страницы

Интересная презентация про пароли с DEF CON

Набрел на интересную презентацию с DEFCON  (альтернативный линк) про подбор паролей к bitcoin кошелькам.
Собственно, сам bitcoin кошелек есть немного причёсанный хэш SHA256, которые многие используют сегодня для хранения паролей в базах данных и вебприложениях, поэтому тема актуальна и за пределами криптовалют.



Вот некоторые примеры паролей, которые были подобраны по хэшу SHA256:

  • Down the Rabbit-Hole
  • The Quick Brown Fox Jumped Over The Lazy Dot
  • “gate gate paragate parasamgate bodhi svaha” 
  •  “The Persistence Of Memory” 
  •  “que me lleve la muerte” 
  • “one two three four five six seven” 
  •  “it’s a secret to everybody”
  •  “Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn”
  • “my hovercraft is full of eels”
  • “Interior Crocodile Alligator” 
  • “No need to worry, my accountant handles that”
  •  “tomb-of-the-unknown-soldier-identification-badge”
  •  “permit me to issue and control the money of a nation and i care not who makes its laws” 
  • “who is john galt” 
  • “Live as if you were to die tomorrow. Learn as if you were to live forever.”

...

Лично мне жутковато смотреть на этот список... если это - небезопасные пароли, то какие тогда считать безопасными (и как их потом запоминать)?

По словам автора, знаменитая картинка с лошадью и скрепкой уже неактуальна...

В качестве источника для генерации словарей используются слова песен, цитаты великих людей, статьи с википедии, фиды форумов и соцсетей, причём на любом языке и в любой раскладке. Брать строчки из стихов и песен в качестве важного пароля теперь точно не стоит.
Различные перестановки слов, смены регистра и раскладок, замена букв на цифры ("о" на "0"), замена пробелов на тире - все эти трюки знакомы скриптам генерации и закладываются в словари.

Да и в целом 48 бит энтропии, о которых говорит автор выше - это латинский пароль, составленный из случайных строчных букв, длинной 10 символов. Сегодня мы можем считать такой пароль небезопасным :(.

В общем, с паролями все плохо. Однако решения есть. Нужно ими пользоваться.

Комментариев нет:

Отправить комментарий