Vlákno názorů k článku Tvorba a správa silných hesel: příručka pro každého od CryptoGuru - Neni pravda, ze pocitace jen tak rozlousknou 8-10...
-
CryptoGuru (neregistrovaný)
Neni pravda, ze pocitace jen tak rozlousknou 8-10 mistne heslo. Pokud pouzivame jine nez alfanumericke znaky, muze byt problem s napsanim. a-z,A-Z,0-9 je 62 znaku. 10-mistne heslo je tedy radove 10na17 moznosti.
Pokud jde o nejakou sifru loskanou primo na CPU nebo GPU, jde to rychle. Ale heslo do mailu ci ssh ? Denyhost neni od veci.
Snadno zapamtovatelne heslo je kombinace nahodne vybranych slov. Co slovo to 10 000 moznosti, se zahrnuti jmen mest, ulic, odbornych nazvu i 100 000 moznosti. A Kdzy je tech slov 6 ?
Hesla se nelamou hrubou silu ale odkoukaji keyloggem nebo analyzoch schranky ctrl+C a pod. Proto je dobre vic zpusobu zadavani. Zapamatovatelnou cast napsat a pak jeste skopirovat od nekud zbytek. Treti moznost je virtualni klavesnice ovladana mysi, ale to snad nikde nenabizi, ani truecrypt. Je mene pravdepodobne, ze bude soucasne spusten keylogger a snimani obrazovky. Ale programy na sledovani zamestnancu to umi. Kam schovat hesla. Truecrypt container, nejleepe nekde zahrabany na disku. Muze mit velikost jako hotka nebo film a byt schovan mezi fotkani ci filmy (nikdo skoro nerozpozna od fotky, co je pozkozena a necitelna), samozrejme zmenme priponu na JPG. Testovat vsechny JPG fotky, zdali nahodou nejaku soubor JPG neni, to jde tezko. Onen soubor nemu si byt v PC ale na flasce ci karte a zalohovan kdesi na internetu. To zamezi riziku pri nahle razii do PC.
-
Bezpečnost tohoto hesla je iluze. Louská se líp, než číselný kód.
Slova vychází z jazyka. A na jeho základě lze vypočítat pravděpodobnost výskytu slov, kombinací písmen, použitých znaků, výskytu dlouhé slabiky po krátké ("melodie" jazyka),... a zkoušet od nejpravděpodobnější kombinace. Klávesnice taky hraje svou roli a to taky není tajemství a dá se to zohlednit. Třeba s českým layoutem "4ert @ k84@" (zkuste bez shiftu a s písmenem, co se nahrazuje zavináčem).
Když se přidá louskání konkrétního webu a generátor se naplní slovy z toho webu, jeho komentáři a 10 000 slovy z webu, na který se uživatel odkazuje, (klidně do hloubky), dostaneme během hodiny analýzy slovní zásobu toho uživatele. Tož aji jeho zvyklosti v tem só. Nebo obecně, při průměru 10k slov na uživatele toho jazyka, při předpokladu gaussovky a studiu webů v tom jazyce se dá nastavit, kolik procent lidí, mluvících v tom jazyce, obsáhne náš slovník...
Slovo, mající osm znaků v UTF8, se najednou splácne na úroveň pěticifernýho čísla. Jediný, co lze hůř hádat, jsou oddělovací znaky mezi slovy...
Pak ještě slabiky. Samohláka + souhláska. V jazyce je jich omezený počet, je pravdpodobnější kombinace písmen "ba" než "bb". Vlastně jich je omezený počet na několik desítek až stovek. Sada několika znaků se smrskne na několik set až tisíc variant (velikost písmen, náhrady). Louskací algoritmus se může naučit seznam slabik a pravděpodobnost jejich kombinace na slovníkovém stromu jazyka s prostou korelací... To pokud si dotyčný vymyslí vlastní slova a je podvědomě ovlivněný jazykem.
Ovšem je fakt, že pokud se útočník omezí na znakovou sadu US stránky a nacpu tam heslo "Křemíkový tranzistor KC509", US slovník mu asi moc nepomůže... Přidejte řecký nebo hebrejský písmena a je totálně v pasti.
