За безбройните пароли в интернет

January 12, 2005

Доста е разпространено явлението да се ползва 1 и съща дума за парола на всички места, където правите регистрация. Наскоро обаче момченце хаква някакъв забутан форум и от там открива паролите на 2 модератора във forum.4at.info (просто съвпаднали), а на единия му съвпадала и с nickserv паролата!

Препоръки в тази посока.

1. Като се регистрирате посочвайте активен email. Всички форуми, галерии и други подобни имат “Изгубена парола” – пращаща парола на mail.
2. Ползвайте различни пароли. Когато забравите някоя парола – въстановете си я чрез “Изгубена парола”.
3. Старайте се да запомните паролите за пощите си.
4. Ползвайте опциите за вечен логин.
5. За сайтове с МНОГО висок image може да си позволите и еднаква парола. Отбягвайте да имате същата парола за сайтове с не толкова висок имидж.

Пример. Веднъж бях в офиса на някогашния сайт rambler.ru. Нещо стана, в хода на разговор администратора цъкна на профила ми и … там висеше моята парола в ЯВЕН ВИД! Без да е криптирана по никакъв начин! Убеден съм, че на поне 50% от сайтовете паролите са в явен вид. На половината от другите 50% се използват криптиращи алгоритми, които са по-бързи.

Еднопосочното криптиране е метод за съхранение на пароли, при който паролите се записват със букви, които еднозначно им съответстват (неявен вид). Примерно на dzver съответства md5 574a019800f99092ca1c8f382f84ceb9. На dzves обаче съответства ee8167c2d9f032d3608a92897e76b3ff. Разликата е само 1 символ, но в крайният резултат няма нищо общо. Т.е. не може да се налучква символ по символ.

Когато аз въведа парола “dzver”, phpbb ще запише горния дълъг низ и когато си я въведа за да се идентифицирам то ще сравни 2 такива дълги низа дали съвпадат. Т.е. даже форум админа няма бледа идея каква е вашата парола.

Единственият обратен път от криптирания стринг до оригиналния е чрез налучкване. 8 символна парола при около 60-70 вероятни за употреба символа дава 8 на 70та степен възможни комбинации (64 цифрено число). Brute froce програмите като John the ripper налучкват само ограничена част от възможностите – ако използвате само малки букви на латиница, това значи 8 на 26-та, което са едва 302231454903657293676544 възможности.

Освен md5 съществуват и други алгоритми за криптиране – както по-бавни и надеждни, така и по-бързи и ненадеждни. Повечето от тях използват допълнителен разбъркващ елемент, наречен салт. Това са първите няколко символа от крайния резултат (hash).

Пример – алгоритъм DES, 2 символа salt
asc/YmobS3Fhk – salt e “as”, останалото е резултатът от криптиране на dzver със салт as.
$1$asdfasdf$8nffDbTshsZynGebGDKHx0 – md5 със salt. $1 е стандартна част от hash, отбелязваща, че следва md5 със 12 символа salt. Следват 8 случайни символа, $ и истинската част от hash-а.

По-рядко ползван алгоритъм е blowfish, за който не мога да ви разкажа много.

Помнете, че не всички сайтове са добронамерени и криптират! Не всички сайтове пазят личните ви данни! Пак пример – служител на EKK разпространи домашния ми адрес, докато им бях абонат за кабелен интернет!

Умната 🙂

Публикувано в: Гърнето с боба 3 коментара RSS 2.0

Ако постът ви харесва, цъкнете на сърцето:

Коментари

3 коментара на “За безбройните пароли в интернет”

  1. Петър on March 23rd, 2008 17:28

    8 символна парола от 60-70 възможни знака е 60 или 70 на 8 ма степен.А не 8 на степен 60-70.
    За пример 4 символна парола съставена от числата от 0 до 9 има 10^4 комбинации.А не 4^10.
    Дребна грешцица която открих горе.

  2. Петър on March 23rd, 2008 17:32

    ако използвате само малки букви на латиница, това значи 8 на 26-та, което са едва 302231454903657293676544 възможности.

    Тотална грешка 26^8 е броя на комбинациите при горното условие.

    Четирисимволна парола с числата от 0-9
    0000-9999 комбинации или 10(броя на възможните знаци)^4(броя на символите в паролата)–10^4 10000 комбинации.

  3. dzver on March 23rd, 2008 19:11

    Статията е неактуална, в момента rainbow tables са разпространени достатъчно и md5 не дава никаква защита на пароли под 15-20 символа, ако не се ползва salt. Мерси за забелязаната грешка.

Оставете отговор