Vlákno názorů k článku Fail2ban: konec hádání hesel na serveru od s - uvazuju-li minimalni delku hesla 6znaku, a volim si...

uvazuju-li minimalni delku hesla 6znaku, a volim si jen pismena, porat je to 244140625 moznosti. Umozni-li ssh 1 heslo za 1s, tak to utocnik bude zkouset 7let a logy zaberou 5T. Vzhledem k tomu, ze utocnik nezna loginy, myslim ze nema sanci.

Myslim ze neumis pocitat. Ne myslim, jsem si tim zcela jisty.

1) 26 ^ 6 = 308 915 776 (pokud neresim velikost)
2) nikde neni receno, ze neuhadnu to heslo na prvni ... nebo paty pokus.

=> pokud ses tak naivni, tak uz ti nejspis nekdo ve stroji davno sidli, a ty o tom nemas ani paru.

ok, abeceda ma tedy 26 pismen, ne 24. Teda presneji 9 let, v prumeru by mela stacit 1/2, tj. porat 4.5 roku zkouseni vsech moznych kombinaci. A to musis znat login na ktery utocis a verit predpokladu, ze je heslo opravdu ze 6ti pismen. Na mem stroji nekdo zkousi hesla v podstate nepretrzite, nikdy ale nikdo netrefil byt jen username. Brutal-force jsem taky nezazil, spis jedou podle nejakych slovniku castych jmen/hesel.

Je tu vubec nekdo, komu bylo takto heslo uhodnuto? Zna tu nekdo nekoho, komu bylo takto heslo uhodnuto?

Abeceda ma ovsem 26 malych a 26 velkych pismen, to neuvazujes? Tak to mas kliku, protoze pak by to bylo 52^6, co je temer 20 miliard kombinaci. Tempem 1 heslo za vterinu bys to hledal neco kolem 600 let. Tedy "jenom" 300, kdyz bereme statisticke rozlozeni pravdepodobnosti...
:-)

a prave proto je tohle blbost

Statisticky se to odvozuje z birthday paradoxu, takže těch 52⁶ ≈ 34 bitů entropie, což dává útočníkovi 50 % šanci už při řádově stovkách tisíc pokusů, což už je v řádech dnů ;-)

Taková trochu větší škola... ;-)

Brutal force jsem ještě při vzdáleném útoku neviděl. Slovníkové útoky ale mockrát a i jsem při studiích na VŠ viděl desítky "hacknutých" účtů. Mnohem častější byly ale sofistikovanější metody jako:
- provozovat vlastní studentský server s něčím a zapsat si hesla uživatelů (aneb proč byste měli mít na každé službě jiné heslo)
- kouknout se do logů unixových počítačů o chybných přihlášeních (na některých serverech to z různých důvodů bylo dostupné a protože lidé občas místo username zadají heslo, tak se tam občas nějaké heslo objeví)

Kde jsem brutal force viděl, navíc úspěšný, to bylo když si jeden ze spolužáků stáhl nějakým způsobem /etc/passwd. Zkoušel postupně všechna hesla z malých písmen a číslic, od 3 znaků výše. Když to po týdnu zastavil, tak už několik z těch hesel měl. Byl to rok 1998 nebo tak nějak. S dnešním HW by to bylo rychlejší, ale také dnes snad už nikdo nedovolí heslo kratší než 8 znaků.

"snad už nikdo nedovolí heslo kratší než 8 znaků."

lol, naivisto ... minimalne 80% lidi, pokud maji volnost, si nastavi heslo do max 5ti znaku.

https://www.grc.com/haystack.htm =>i kdyz to neni primo k veci mohlo by se to nekomu hodit-pripadne pouzit k osvete "mene zdatnych uzivatelu IT" Jak nazev napovida=Haystack = lamani hesla je v podstate hledani jehly v kupe sena a tenhle kalkulator nazorne ukazuje jak "velka bude kupa sena" pri zvolene kombinaci cisel,znaku a pismen+ propocita jak dlouho by crackovacimu stroji trvalo vyzkouset VSECHNY varianty- nabizi se 3 scenare: stroj ktery vyzkousi 1.000 hesel za sekundu, nebo 100miliard anebo 100trilionu hesel/s. Jinak vlevo nahore v menu "services" je spousta uzitecnejch veci, od DNS spoofability test,SSL fingerprint aka MitM test,ShildsUp=por­tscanning,DNS benchmark a "vzdelavaci/os­vetova" serie Security Now kde probira veci od zakladnich az po silenosti typu kryptografie eliptickych krivek.BTW dobrej podcast je #392=internet underworld kde ma jako hosta Briana Krebse a tez episoda 408=The State of Surveillance (How the NSA's PRISM program works.) kde se zamysli jak to technicky NSA provedla aby mohla napichnout Google aniz by to nutne museli zjistit..Casem se potvrdilo ze to trefil :o) Tady je par slov o tvurci webu:https://en.wikipedia.org/wiki/Steve_Gibson_(computer_pro­grammer) a mimochodem prave od tohoto pana pochazi vyraz "spyware"=z doby kdy si vydelaval testovanim Firewallu..