NEdrošas paroles #1

Latviešu nedrošās paroles.

Ievads. Pamparam, ievada nebūs. Kam vajadzēs, tas sapratīs.

Kā var noprast pēc šī bloga dažiem pēdējiem ierakstiem, mums te bija akcija, kuras laikā MD5 hešu nospiedumiem tika pielasīti attiecīgi normālteksti.

Kopumā tika iegūti 11111 (vienpadsmit tūkstoši simtu vienpadsmit) normālteksti (tikai ~87% no 12805). Turpmāk tekstā — paroles.
Varētu jau izkūkot 90% (easy), 95% (supermax), bet 11111 ir pietiekami maģisks skaitlis.

Visas šīs paroles ir uzskatāmas kā nedrošas (jo tika samērā vienkārši piemeklētas). Punkts!

Tad nu te būs tā kripatiņa informācijas.

Nedrošu paroļu analīze

Pēc garuma

1 simbols = 2
2 simboli = 1
3 simboli = 8
4 simboli = 31
5 simboli = 99
6 simboli = 3966
7 simboli = 3097
8 simboli = 2174
9 simboli = 1033
10 simboli = 433
11 simboli = 178
12 simboli = 60
13 simboli = 14
14 simboli = 7
15 simboli = 6
16 simboli = 2

Kopā: 11111.
Vidējais paroles garums: 7.22 simboli.
Vairāk par 16 simboliem netika mēģināts piemeklēt, jo ņestoit.

Secinājumi

Līdz 5 simboli paroles nav pat vērts pieminēt, jo to piemeklēšanas laiks ir minimāls. Tās pat nevar nosaukt par parolēm, bet tikai par paroles butaforiju.

Taču varbūtība sekmīgi piemeklēt paroli, kā redzams, lielāka ir apmēram 6 līdz 9 simbolu garu paroļu robežās.

Kā redzams, iespējams, ne vienmēr ir vērts tērēt datoru resursus piemeklējot 1 – 5 un 11 – x, ja populārākie paroļu garumi ir 6 – 9 simboli paroles garuma robežās. Nu, var ja piemest klāt līdz 10 simboli, bet tas jau prasīs papildus datorresursus.

Kā zināms, jo īsāka parole, jo vieglāk un ātrāk notiek tās piemeklēšana.

(Brute-force (Полный перебор) attack mixalpha-numeric-all:

)

Varbūtības attiecības starp 5 simbolu garu paroli un 6 simbolu paroli ir tik būtiska, ka 6 simbolu garas paroles piemeklēšanas efektivitāte ir acīmredzama.

Piemēram, ja ir izvēle piemeklēt paroli ar simbolu garumu no 1 līdz 10 vai 6 līdz 10, tad varbūtība, ka tiks sekmīgi piemeklēta parole ir par labu otrajam variantam. Laiks, resursi.

Populārākie simboli

a = 7643
s = 6458
i = 5674
e = 4763
r = 3708
n = 3383
1 = 3317
o = 2913
l = 2907
t = 2746
k = 2593
2 = 2492
d = 2223
m = 2211
u = 2158
0 = 1997
9 = 1854
3 = 1772
6 = 1762
8 = 1609
5 = 1584
p = 1489
4 = 1445
7 = 1317
b = 1155
c = 1141
g = 1089
z = 952
v = 932
j = 890
h = 790
x = 575
w = 552
f = 499
y = 408
q = 275

Secinājumi

Līdzīgi ir arī ar simbolu lietojumu.
Ne vienmēr efektīvākais būs pilna mixalpha-numeric-all pilna pārlase, ja daudzi simboli tiek lietoti minimāli vai vispār netiek lietoti.

[abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|\:;”‘<>,.?/]

(1 – 10)

vai

[asiern1oltk2dmu093685p47bcgzvjhxwfyq]

(1 – 10)

?

Kā redzams no grafikiem un skaitļiem, tad iespējams, otrā varianta varbūtības panākumi ir daudz lielāki.

Bet šodien pilnu pārlasi praktiski vairs nelieto neviens lauzējs. Tam ir maskas, tie paši populārakie simboli utml. Nez, kā manā sarakstā gadījās 16 simbolu gara parole, m?
Pačukstēšu — vārdu atkārtošana (piemēram janisjanisjanis).

Tieši šeit, saprašanai, var arī iederēties Monty Hall problem, kas tika pieminēta Mind.toBlog(); blogā. Tas tā par varbūtību.

Pēc simbolu lietojuma, stila, ieradumiem, stereotipiem — nākamajā daļā.

Ieteikumi?
a lietotājam lietot paroli a. Šutka.

http://ru.wikipedia.org/wiki/Brute_force
http://en.wikipedia.org/wiki/Brute_force_attack
http://en.wikipedia.org/wiki/MD5
http://en.wikipedia.org/wiki/Password
http://en.wikipedia.org/wiki/Password_strength

Both comments and trackbacks are currently closed.

Komentāri

  • CLi  On Jūlijs 18, 2008 at 10:22

    Cik tad optimāli garai parolei jābūt, lai lauzt nebūtu jēgas?

    Es ievēroju, ka jāuzmanās ar html atvēršanas tagiem un pēdiņu izmantošanu parolēs, jo daži jocīgāki potrāli tos eskeipo, pārveido, un beigās tu vairs nevari ielogoties.
    \’ < > huiņas, vai kā nu tur bija. tas pats wp man liekās tā darīja.

  • necro  On Jūlijs 18, 2008 at 10:51

    secinājums – bez vitālas nepieciešamības nereģistrēties vietnēs, kurās reģistrācijas anketā parole tiek ierobežota ar kkādu konkrētu simbolu skaitu. piemēram 4 – 9 vai kkā tā. bet tās garās paroles jau vajadzīgs lietot kkādu varas instanču vai kkādu tml iestāžu ierēdņiem. kuru gan interesē parasta lietotāja e-pasta korespondence, ja ar vina e-pastu piereģistrētajos blogos un vietnēs nekur nepavīd neviens no teroristu filtrēšanas atslēgas vārdiem.

  • kas  On Jūlijs 21, 2008 at 2:57

    Raksts nespeciālistam radīs nepareizu izpratni par drošību internetā. Jāsaka, ka iegūsto portāla db dumpus nepieciešamība lauzt paroles var būt lieka, jo visa informācija no portāla jau ir pieejama tāpat, kā tas bija boot.lv un datuves un mozaīkas gadījumā. No citas puses jāpiekrīt – cilvēki droši vien lieto vienas un tās pašas paroles daudzās vietās. tādēļ uzlaužot paroli vienā portālā ir liela varbūtībā, ka ar to pašu epastu un paroli varēs pieslēgties arī draugiem.

    Par nepareizu priekštata radīšanu – parole var būt arī 3 simbolus gara, jo autorizēties ar hashu nav iespējams, un korekta lietotāja konta aizsardzības gadījumā pēc 3 vai 5ā mēģinājuma autorizēties ar nepareizu paroli šis lietotājs tiks bloķēts vispār. Jautājums vienīgi cik Latvijā ir labi aizsargātu www sistēmu…!

Trackbacks

  • By Ministru kabinets on Septembris 30, 2010 at 15:32

    […] izskatās (iespējams pēc mērkaķa) un ar ko nodarbojas. Otrkārt. Ja nu tu esi aizmirsis savu parole, viņš to zina un tādejādi palielina datu drošību. Treškārt. Saprot vienkāršās tautas […]

%d bloggers like this: