Re: Проверка сложнойсти паролей.

To: debian-russian@lists.debian.org
Subject: Re: Проверка сложнойсти паролей.
From: Oleksandr Gavenko <gavenkoa@gmail.com>
Date: Wed, 02 Dec 2015 12:17:12 +0200
Message-id: <[🔎] 87zixtxihj.fsf@gavenkoa.example.com>
References: <87d1ur1r64.fsf@gavenkoa.example.com> <565CA8C4.6070604@gmail.com> <[🔎] 87two2z54n.fsf@gavenkoa.example.com>

On 2015-12-01, Oleksandr Gavenko wrote:

> Собственно я чего то подобное искал - высчитывание энтропии на овновании
> разумных допущений + там рекомендации сколько бит для каких нужд.

В общем энтропия - энтропией, но теория без практики - пустое место.

Как раз подвернулся случай, заказчик дал тестовую базу и пароль к админу. Но
нужно было тестировать от других классов пользователей.

У меня Spring Security, в настройках md5 без соли. На известный пароль:

  $ printf PASSWROD | md5sum -

дало hex идентичный лежащему в базе.

Так вышло что одна запись была словарной и сайт:

  http://www.md5decrypter.com/

быстро выдал ответ. Но другие не вошли в список 10000 часто используемых
паролей ))

Мне нужны 2 вещи - генератор слов по заданным правилам и чекер md5. Что бы не
велосипедить - поискал готовые продукты:

  http://hashcat.net/hashcat/

Оно паралельно по заданным правилам строит обфусцированые пароли и сравнивает
со списком. Подробне:

  http://hashcat.net/wiki/doku.php?id=hashcat

В итоге расколол 4 из 9 паролей, один в словаре:

  $ ./hashcat-cli64.bin -m 0 -a 1 -r ./rules/best64.rule pass.txt /usr/share/dict/cracklib-small

3 в классе символов цифр до 10 шт. длиной:

  $ ./hashcat-cli64.bin -m 0 -a 3 --increment -o pass.out pass.txt ?d?d?d?d?d?d?d?d?d?d

На 4 ядрах первое с 1 MiB словарем паролй отработало за десяток секунд, второе
10 минут.

Хотя о цифрах я получил представление перебирая все символы до 6 штук длиной:

  $ ./hashcat-cli64.bin -m 0 -a 3 --increment -o pass.out pass.txt ?a?a?a?a?a?a

На процессоре выполнять эти работы глупо. Есть GPU версия:

  http://hashcat.net/oclhashcat/

Я не знаю какие еще есть нормальные утилиты востановления пароля. Вычитывал о
John the Ripper - но показалось чем то древним и заброшеным.

================================================================

Когда посмотрел на практику вскрытия паролей, лучше начал понимать требования
по сложности.

Всегда нужно использовать наиболее широкий класс символов. 10 цифр вскрываются
не успев попить чай. Аналогично 6 шт alphanum+punct.

Дефолтные 8 символов от pwgen не стойки для пасивной атаки. Для логина
пользователя - норм с временной задержкой или блокировкой после 10 неудач, но
если украдут /etc/shadow - беда. И стремно если сервис доступен онлайн для
перебора без аудита или временных блокировок.

Человеко-придуманые короткие пароли тоже зло. Я пробовал:

  $ ./hashcat-cli64.bin -m 0 -a 1 -r ./rules/best64.rule pass.txt /usr/share/dict/cracklib-small

(конкатенация 2 слов из словара с 64 стандартными модификациями) - программа
предположила возможное время 3 часа.

Потому пароли из 3 слов - стремные даже с "хитростями" для пасивного перебора.
xkcd#936 право на счет выбраных наугад 4 слов.

-- 
Best regards!

Reply to:

Follow-Ups:
- Re: Проверка сложнойсти паролей.
  - From: dimas <dimas000@ya.ru>

References:
- Re: Проверка сложнойсти паролей.
  - From: Oleksandr Gavenko <gavenkoa@gmail.com>

Prev by Date: Re: Глюки в UI (Firefox/Skype), как отладить?
Next by Date: APT очень медленно читает списки пакетов
Previous by thread: Re: Проверка сложнойсти паролей.
Next by thread: Re: Проверка сложнойсти паролей.
Index(es):
- Date
- Thread