11:53
11/11/2012
11/11/2012
Ciekawa statystyka Avasta co do długości łamania hasła dla poniższych fraz. Pierwsze na liście hasło w 3,5 sekundy, a inne znacznie dłużej?
avast! i łamanie haseł
Podesłał Konrad K.
- Szkolenia
- |
- 5 PORAD
- |
- Audyty & Pentesty
- |
- SKLEP
- |
- Kontakt
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Takie statystyki ostatnio pokazują się coraz częściej i są coraz zabawniejsze. “Łamanie hasła” – czym? Młotkiem?
Te dane dosłownie nic nie znaczą. W zasadzie można też zrobić infografikę w stylu:
K7^%d)ss8^1a_s – 5sekund
zosiasamosia – 10godzin
i będzie ona prawdziwa (akurat pierwsze miałem w słowniku a drugiego nie). Łamanie hasła zależy akurat od tylu czynników, że zwykłe podawanie tylko czasu “łamania” przez takie firmy jest śmieszne (nie ma nawet informacji o używanej funkcji skrótu).
Ale marketing działa :)
Myślałem, że już dawno wszyscy przeszli na dolarosekundy.
a od kiedy Avast łamie hasła :) ?
Coś w tym jest:
http://dl.dropbox.com/u/209/zxcvbn/test/index.html
No i to są jakieś konkretniejsze dane
chciałbym wiedzieć na czym oni chcą to ostatnie hasło łamać przez 2h… na Pentium 4? już nawet pomijając ataki słownikowe/rainbow tables przy brucie złamanie takiego hasła na przeciętnym komputerze to około 1min :) chociaż, jakby nie patrzeć jak napisał @vizzdoom takie porównywanie mija się z celem
Chyba 1 sekunda :)
Myślę, że to wyniki testowania tych haseł ich własnym, tajnym słownikiem. Wtedy wszystko się zgadza.
W związku z tym linkiem (http://dl.dropbox.com/u/209/zxcvbn/test/index.html) i próbą własnego hasła, możemy publikować tutaj własne rezultaty?
Jeżeli tak, to pozwolę sobie o zamieszczenie swoich wyników dla dwóch haseł:
1 – alfanumeryczne (12 znaków) = 54 lata
2 – alfanumeryczne + znaki specjalne (12 znaków) = wieki (4377174832440s)
Teraz mogę czuć się bezpieczny w obliczu brute force lub słowników?
Nie jesteś, bo za chętnie wpisujesz własne hasła na obcych stronach z ponad 600KB javascriptu :)
Wyniki trochę zakłamane dla nas bo korzystają ze słownika angielskiego…
a jednym z ważniejszych czynników jest alborytm szyfrowania/skracania jak kto woli, aspekty sprzętowe pomijamy bo to oczywiste chyba.
każdy alborytm ma swoją specyfikę szyfrowania/deszyfrowania i pisanie że złamanie hasła trwa tyle i tyle ale jak zaszyfrowanego?!
jak ja uwielbiam avasta ech….
Skoro 17. znakowe(małe+wielkie+cyfry) hasło padło po 3,6s a 8. literowe(tylko małe) po 180s, to ich algorytm jest jakiś dziwaczny.
Tak z ciekawości, to czemu niektóre banki ograniczają długość hasła do np 20 znaków?
Jeżeli trzymają hashe w bazie, to o miejsce nie chodzi, no chyba, że trzymają jawnie.
Ta statystka czegoś dowodzi czy im się po prostu pierwszy kwietnia przesunął ;)
Zdaje się, że oceniają siłę hasła po pierwszych 8 znakach. Wtedy wygląda to logicznie ;)
Nie wiem, czy komuś z Was chciało się wklepać, ale ta stronka, którą tak zachwalacie podaje identyczne wyniki jak te przedstawione przez Avasta:>
Proste wytlumaczenie. Co to jest za haslo, ktore jest zapisane w najprosztszy do zapamietania sposob. myThomas987654321. Slownik angielski i haslo zlamane bardzo szybko. Tu sa 3 czesci prosto ze slownika, my + (imie) Thomas + odliczanie od 9 w dol. Zakladam ze wiele osob takie hasla wlasnie ma. albo 98765 albo 12345, totez takie rzeczy tez sa w slowniku. No ale zawsze mozna podwazac czyjes badania bez ruszenia kopula.
Te 2-godzinne hasło wg. https://howsecureismypassword.net/ złamałoby się w (sic!) 1 sekundę.
A te “niebezpieczne hasło” wg. https://howsecureismypassword.net/ złamałoby się w 2 miliard lat.
Fajnie tylko haseł z jednokierunkowiej funkcji skrótu się nie łąmie tylko zgaduje – jak ktoś się zna to wie dlaczego.