Crackovací programy dokážou nově odhalit i heslo s 55 znaky

Vy to nějak řešíte... Mě stačí si vtvořit nesmyslnou větu a použít první písmena z každého slova. Např: Bagr pije kakao 30 dni v měsíci a sedí na stromě = bpk30dvmasns. Tak jdou vtvořit silná a lehce zapamatovatelná hesla.

Je to snadno zapamatovatelné do té doby, než začnete přemýšlet, jestli pije kakao nebo rum...

Problem je v tom, ze utocnik uz vi jak se na cilovem systemu pocita hash z hesla i jak ten hash vypada, takze si to heslo nalezne v klidu u sebe a pak uz jde najisto.

A nepotí se ti v tom alobalu hlava?

Dobrý den,,no 64 znaků? Mám přístup do mnoha aplikací, heslo se mění nejdéle po 3 měsících. Kdybych jich jen na 10 mel mit takove heslo, tak se z toho pos.... +64 znaků... to vam neverim. To se tam prihlasujete jednou tydne ne? Ale jinak samozrejme nic proti.

Opravdu, nyní 96 a zkouším 128.

:) no pak zalezi na tom, co tam za tim je - jestli je to root pristup ke uctum v komercce, tak je to jedine spravne, jestli je to mailova schranka, tak to chce spis vic alobalu

To je nějaká sekta?

Ty jsi taky debil.. Rozumíš vůbec tomu co píšeš?

Zajimave, vsechna moje hesla maji rank 4 a to jsou podle me snadno zapamatovatelna. I heslo na domaci router, ktere musi byt primitivni kvuli pristupu clenu rodiny se bude rozlouskavat roky (udajne). Jinak v anglictine je snadne dosahnout řádů staletí - staci i takove hlouposti jako "I have lost my password again" nebo jeste lepsi "Please enter your password".V silnem hesle co se da zapamatovat nevidim problem. Naopak vidim zasadni diru v tom, ze sluzby pozaduji zadavani VelKycH piSmen a c1s3l v jedne kombinaci, takova hesla si "běžní" lidé těžko pamatují a mají sklony si je psát, což je totální zhovadilost (za kterou ale může paradoxně snaha o "větší" bezpečnost.

Radši nemínusujte řekněte mi, že dnes "běžný" standard, není nic víc než petlice u chlíva.

Když někdo bude mít zájem, tak určitě není otázka několika sekund, než se k mému heslu dostane. Nejdřív by se musel prolomit do databáze dané aplikace a pak by musel doufat, že hesla nejsou solená a nakonec že jsem použil nějaké slovníkové heslo (což nemám, btw). V podstatě stačí, když není splněna jediná podmínka a útočník bude mít smůlu. Samozřejmě pokud nepoužije nějaký jiný typ útoku (sociální inženýrství, …).

Ne slovo budou. Ale jsou. Bohužel.

Pozri komentár nižšie. Nejde to len tak ľahko prelomiť, najprv treba vyvinúť softvér na to a ten softvér na kvantové počítače ešte nie je a ak hej, tak v rukách vedcov. Ja dobre viem že kvantové počítače už sú, ale schopný softvér ktorý by ich využil, ešte nie je alebo ak je, tak sa to nedozvieme - môžeme len polemizovať. Každopádne bežnej osobe sa takéto niečo do rúk len tak nedostane...

Pokud se tu mluvi o hash funkci, tak to si nejsem uplne jisty.... pokud se mluvi o asymetricke sifre tak to ano, tam se ocekava nejaky pokrok. Snad tu nekdo do toho vidi vic ....

Mám pocit, že se to občas dělá, aby se ztížil právě brute force útok. Když to heslo zaheshuji desetkrát, tak útočník při brute force útoku bude muset taky každou možnost zahashovat desetkrát, takže celý útok mu bude trvat desetkrát déle. Ale bezpečnější mi přijde použít sůl už jen proto, že je pravděpodobnější, že existuje databáze „hashů častých hashů” než že by měl někdo databázi hashů s nějakou mnou náhodně vygenerovanou solí.

No dobře, ale takováto databáze "hashů čistých hashů" by ale stejně byla k ničemu, ty hashe by se musely vždy pro každý útok znovu vygenerovat, protože hashovacích funkcí je celá řada a ten proces by se mohl opakovat třeba 10x jak píšete (nebo i vícekrát). Slovníkový útok by se potom docela prodražil, navíc každý systém by používal jiné zřetězení hashovacích funkcí.Na druhou stranu je pravda že takováto věc ztěžuje útok pouze lineárně - 10x zřetězíte, 10x vám stoupne nutnost použít slovníkový útok (pokud víte jaké hashe systém používá). A ani to by do budoucna nemusel být pro výkonný, reálně dostupný HW problém.

Presne tak, jen samotne pridani nahodne soli je radove mnohem vice ucinnejsi nez nejake nasobne hashovani.

Ono taky ale zalezi jakym zpusobem je solis, casto potkavam soleni md5($password + $salt ) ktere je uplne na prd viz:
MD5('123456marenka') == aae6f5abe196857ccdcce29c9b7ebea8
MD5('654321marenka') == b3b70e0c8f589180d007e2d2d872c8baLepsi je mit unikatni salt pro heslo a jeste lip pouzit neco jineho nez +

A co to má prosím demonstrovat? :)

to je uplne jedno, jestli +, - nebo *, staci solit pokazde ruznym, nahodnym a dost dlouhym a muzou se jit s rainbow tabulkama klouzat.
pokud by to jedno nebylo, znamenalo by to jenom to, ze je hashovaci funkce spatna a mel by se clovek podivat po lepsi.

Tady zase hrozí, že ta sůl unikne spolu s hashí, pokud bude uložena ve stejné databázi. Útočník sice nemůže využít předgenerované tabulky hashí, ale zase může zkusit slovníkový útok na každý hash zvlášť. Bylo by lepší ještě k té unikátní náhodné soli pro každé heslo přidat ještě nějakou další sůl, pro všechny hesla stejnou, ale uloženou úplně někde mimo databázi.

Nemohl bys to nejak blize okomentovat? Jednak mi to dava jiny hashe ...
echo 654321marenka | md5sum 81818f37fe1e628ecc38f6ac068349e8
echo 123456marenka | md5sum 031b50b2f4f5e6eee526b9a13b6f4ede ... jednak pri soleni hesla to sul preci pise k hashi ...
md5pass 123456 marenka
$1$marenka$NWmUoHuanlFbznj3xfIzr/
... ale i presto/proto to je porad vysoce funkcni ...dik

Pokud je sul porad stejna, tak vygenerujete rainbow pro tu danou sul a pak uz rychle prohledate hromady hashu z te napadene sluzby. Pokud bude u kazdeho uctu jina sul, tak v podstate musite pro kazdy hash znova projizdet cely slovnik. Cili z M + N (slova ve slovniku + hashe ze vsech uctu) jste na M * N, coz je radove narocnejsi.

jo takhle - takze tady je rozdil v tom, jestli se jen prohlizi tabulky, nebo jestli se generuje vsechno znova, nebo jestli se generuje vsechno znova pro kazde heslo zvlast.

A jak ten unicode pomůže, když ten tříznakový unicode bude mít stejný hash jako nějaký víceznakový plaintext?

To je ale problem vsech hashu... jenze napr. md5 vidim ma 33 znaku. Projed kombinace 33^33 - to je 10^50, rok ma 10^7 vterin....

Problém takovýchto extotických znaků je v tom, že některé služby je nepodporují takže se dají pak maximálně použít kombinace malých a velkých písmen a čísel.

takové služby považuji za potencionálně nebezpečné a snažím se jim vyhýbat.

Co je to ten potencionál?

Michale, dnes jsem si koupil Pribináček. Udělal jsi dobrou reklamu :)