[d | an-b-bro-fr-gf-hr-l-m-maid-med-mi-mu-ne-o-old_o-p-ph-r-s-sci-sp-t-tran-tv-w-x | bg-vg | au-mo-tr | a-aa-abe-azu-c-dn-fi-hau-jp-ls-ma-me-rm-sos-tan-to-vn | misc-tenma-vndev | dev-stat]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог-RSS] [Главная]

Файл: 200_s (2).gif -(29 KB, 356x200, 200_s (2).gif)
29 No.4838484  

Итян, мою почту недавно взломали и написали письмо, чтоб по-шантажировать. Тот взломщик написал что-то вроде, что где-то на каких-то сайтах со всякими непотребствами у него есть вирус, который понял, что я начал смотреть эти непотребства, проник к моей вебке и экрану, заснял это все и был таков. Говорит, если не заплачу, он отправит информацию с заснятой информацией, после чего мне будет очень стыдно. Только вот вебки у меня нет. Да и от просмотра непотребств мне как-то и не стыдно. Но дело в другом, представь себя на моем месте. Как ты бы отреагировал, не считая того, что подумал бы создать бака-тред на Ычане?

>> No.4838487  
>представь себя на моем месте

Я бы сильно удивился. Давай подробности, может скрин. Пароль сложный или вася2000?

>> No.4838488  
Файл: JUST_AS_PLANNED.jpg -(35 KB, 800x450, JUST_AS_PLANNED.jpg)
35

>>4838484
Пока всё идёт как надо. Теперь осталось, что бы ОПа забанили.

>> No.4838489  
Файл: be63b52b739c3ff67409bd335c9931be.png -(1428 KB, 1700x1700, be63b52b739c3ff67409bd335c9931be.png)
1428
> мою почту недавно взломали и написали письмо

Спасибо, не поняла. Так письмо или взломали? Если взломали, то сменил бы пароль и/или почту. А если письмо, то плохо подумал бы об анти-спам фильтрах почтового сайта.

> со всякими непотребствами

Какими?

>> No.4838490  

>>4838487

>Пароль сложный или вася2000?

Честно, думал, что нормальный. Нет, не сложный. Просто я ту почту оставил и последнее время почти ей не пользовался. Потому с паролем не замарочился.

>> No.4838492  

>>4838489

>Так письмо или взломали?

И то, и другое. Письмо было отправлено мне с моей же почты и со ссылкой к почте той баки.
Но дело не в этом. Я все восстановил. Меня сама ситуация и характер шантажа удивил. Стало вдруг интересно, как бы ычаньки поступили на моем месте.

>> No.4838496  

>>4838492
Зависит от ценности ящика.
Ценный ящик - запрос в саппорт - срочное изменение паролей - проверка компа на червяка - снос системы - применение ядерного оружия.
Ящик для бакостей - пожелал бы няше здоровья и забыл, пусть пользуется.

>> No.4838498  

>>4838484

> он отправит информацию с заснятой информацией, после чего мне будет очень стыдно.

Так кому отправит то?

>> No.4838499  
> представь себя на моем месте

Ниет, ты бака и не лечишься.

>> No.4838501  

>>4838498
А мне откуда знать? Полагаю, что моим контактам.

>> No.4838503  

>>4838498
Очевидно? что вайфу.

>> No.4838504  

>>4838501
Ну тут в зависимости от непотребств,которые ты смотрел. Так же есть ли тян и тд. Если непотребство обычное,без изощрений,и тяны нет,то вообще пофиг. Однако напрягает вирус. Проверился бы ты точнее свой пк а так же попросил бы пруфы у него

>> No.4838508  

Взломай взломщика и засними его делающим стыдненькое.

>> No.4838511  

>>4838492
Можно подделать адрес отправителя (хотя по хорошему такие письма сразу в спам должны нормальными почтовыми сервисами направляться), так что совсем далеко не факт, что тебя кто-то взламывал.

>> No.4838512  
  1. Если взломал вэбку, то уже не почту, а компьютер;
  2. Если вэбки нет, то самому становится интересно то же он такое взломал если решил что вэбку. Я бы подыграл чтоб получить тот ролик;
  3. Больше пугает, когда в интернетах меня внезапно по ФИО называют.
>> No.4838516  

>>4838512

>Больше пугает, когда в интернетах меня внезапно по ФИО называют.

Не волнуйтесь, Семен Антонович, это товарищи бдят.

>> No.4838517  

>>4838484

>у него есть вирус, который понял, что я начал смотреть эти непотребства, проник к моей вебке и экрану, заснял это все и был таков

Вот интересно как он это сделал если ты не подтверждал запуск вредоноса на своей машине? Кулхацкеры теперь работают как банальные интернетные разводилы чтоли?

>> No.4838519  
Файл: _1531420154167193783.jpg -(136 KB, 1600x862, _1531420154167193783.jpg)
136

>>4838516>>4838512

>> No.4838525  

>>4838512
Вряд ли он что еще взломал, просто пробует: вдруг повезет и дадут денежек.

>> No.4838526  

>>4838525
Ну и что? Я бы всё равно с ним поиграл. Например обманщики которые якобы ложили ошибочно деньги на твой телефон или пишут от имени сына\дочки попавшей в несчастье порой весёлые.

>> No.4838527  

>>4838525
Вряд ли он что-то вообще что-либо, кроме почты, взломал. Легкий контрольный вопрос попался, наверное.

>> No.4838531  

>>4838527
Вряд ли он даже почту взломал. Наверняка применил какой то трюк. У знал о нём в интернете и решил поднять денжат на этом по средствам спам-рассылки.

>> No.4838533  

>>4838527
А у твоей мамы девичья фамилия тоже j^&jvc3DkcuWsAkvrYr?

>> No.4838583  

>>4838484
Это автоматический взлом и автоматическая рассылка, не обращай внимания.
>>4838526
Это не живой человек, а робот. Ответы на письмо вряд ли кто-то будет читать.
>>4838511
Когда отправляешь письмо, тебе нужно указать, с какого адреса отправляешь. Это только ты указываешь. Туда что угодно можно написать.

GMail и Yandex такие письма даже в спам не отправляют в половине случаев.

>> No.4838584  

>>4838583

>GMail и Yandex такие письма даже в спам не отправляют в половине случаев.

А как же там тогда SPF, DKIM и прочие буквы...

>> No.4838585  

>>4838583

>Это автоматический взлом и автоматическая рассылка, не обращай внимания

Это что еще такое?

>> No.4838586  

>>4838584
На самом деле спам существует только по одной причине: GMail и Yandex лажают. У них каждый месяц утекает БД юзеров, поэтому юзерам приходит спам.

>SPF, DKIM

Спама на серверах GMail и Яндекс не убавляется, а настройка своего почтового сервера превращается в ад. Вместо 2-минутной установки MTA приходится ещё покупать сертификаты, прописывать свои сертификаты и IP-адреса в DNS, следить за их обновлениями. Всё для того, чтобы получать почту!

>> No.4838588  

>>4838586

>покупать сертификаты

Вроде же абсолютно достаточно самоподписанного (если они вообще там подписывываются), потому что его хэш лежит в DNS-записи. По крайней мере Яндекс мне зелёную галочку рисовал.

>> No.4838589  
Файл: Pixiv 2766683 25118988.jpg -(40 KB, 500x500, Pixiv 2766683 25118988.jpg)
40

>>4838583

> Когда отправляешь письмо, тебе нужно указать, с какого адреса отправляешь

По факту, это не адрес отправки, а адрес для ответа, бо в ванильном виде SMTP не поддерживал авторизацию вообще и ты сам указывал, на какой адрес должен отправить ответ получатель. Все клиенты сейчас показывают это как адрес отправителя, потому что в здравом уме никто не станет держать открытый smtp-сервер. Но ничто не мешает поднять у себя локальный сервер и слать письма хоть от potus@whitehouse.gov.

>>4838484
Посмотри заголовки письма. В веб-клиенте Гугла в письме справа кнока Ещё -> показать оригинал. Там в куче заголовков должны быть что-то типа Recived: from suppahakka.ru.

>> No.4838590  
Файл: gnihem7thuv4js4x4mnscgujimg7wnek_hq.jpg -(54 KB, 640x644, gnihem7thuv4js4x4mnscgujimg7wnek_hq.jpg)
54

>>4838585
https://haveibeenpwned.com/

У бесплатных почтовых сервисов на регулярной основе утекают базы данных. Они об этом знают, поэтому пароли в базах данных содержатся не в "голом" виде, а в "полу-зашифрованном" виде. Хакер массово пытается взломать эти пароли, и самые лёгкие из них (проще 60-бит энтропии) взломать-таки получается.

Сложные пароли остаются невзломанными, но большинство связок аккаунт:пароль утекают (около 95% аккаунтов).

Затем эту базу данных начинают продавать заинтересованным лицам. Цена за доступ постепенно снижается от высокой (100 у.е.) до низкой (5 у.е.). Ещё через несколько месяцев базу данных выкладывают в паблик.

>Это что еще такое?

То, что описывает ОП, весьма известный способ мошенничества. Он стар как мир.

Кто-то скачал эту базу данных и массово рассылает такие сообщения "самим себе". Затраты минимальные. Но если хотя бы 1 человек из 10000 откликнется, то хакер получит кусочек деньги. Так как вложений не было, хакер всегда остаётся в выигрыше.

Кстати, пароль из шести полностью случайных русских слов будет невзламываем. Получить его можно, открывая случайную статью в "викисловаре" в приватном режиме браузера. Нельзя пропускать ни одно слово.

>> No.4838592  

>>4838590

> Кстати, пароль из шести полностью случайных русских слов будет невзламываем.

А почему так? Разве это не будет уязвимым для перебора? Да и не всякий почтовый сервис такой короткий пароль примет.

>> No.4838593  

>>4838589

>Посмотри заголовки письма.

Посмотрел. Какой-то неизвестный гуглу сайт. Ip ссылается на Китай.

>> No.4838599  

>>4838484
Ответил бы, что горжусь тем, что смотрю непотребства!

>> No.4838600  
Файл: fanart_anime_pakai_tshirt_dagadu_passwor(...).jpg -(1090 KB, 1836x2321, fanart_anime_pakai_tshirt_dagadu_passwor(...).jpg)
1090

Сложный пароль на почту нужен чтобы защититься от автоматического взлома, а не целенаправленного взлома. Целенаправленный взлом любой бесплатной почты имеет 100% статистику успеха. Хакер будет взламывать не ваш пароль, а общаться с техподдержкой вашего сервиса.

Хватит такого пароля, который защитит от автоматического перебора. Если будут хотеть взломать лично тебя, то пароль и двух-факторная аутентификация не помогут.
>>4838592
Даже если хакер будет знать, что твой пароль состоит из шести русских слов, то ему придётся перебрать 11390625000000000000000000000000 комбинаций. А если ты ещё и будешь разделять эти слова по-разному (дефис между словами, цифра 0 между словами, первая буква слова заглавная (СловоОдин вместо словоодин), подчёркивание между словами), то сложность пароля опять возрастает в квинтиллионы раз. Не нужно усложнять. 6 слов в нижнем регистре достаточно, чтобы защититься от суперкомпьютеров.

Но хакер не будет знать об этом. Редко кто использует пароли из шести русских слов. Поэтому хакеры при переборе паролей используют только английские буквы, цифры и спецсимволы.

Но даже если твой пароль состоит из 6 полностью случайных английских слов, то его по-прежнему невозможно взломать. Если сервис использует сложный для вычисления алгоритм (bcrypt или SHA-512 тысячу раз с уникальной солью на каждого), то даже 4 случайных английских слова будут взламываться миллиарды лет на текущих суперкомпьютерах. Если алгоритм послабее, вроде SHA-512 с одинаковой для всех солью, то пароль из 4 слов может взломаться за пару месяцев.

Th3Str0ng3ST - такой пароль взламывается за несколько секунд, но его очень сложно запомнить.

>Да и не всякий почтовый сервис такой короткий пароль примет.

Такой пароль будет иметь длину около 32-40 символов. Почтовые сервисы обычно не разрешают пароли длиннее 16 или 20 символов.

Оптимальный вариант - 5 или 6 полностью случайных английских слов. Если требуют заглавные буквы и спецсимволы - пиши слова с заглавной буквы и добавь любую цифру в начало или конец. И уменьши количество слов до 4. Даже если хакер будет знать о такой особенности пароля, это ему не поможет его взломать, а даже наоборот.

Например "5JudgeTieAnnoyedRapid".

>> No.4838602  

>>4838590
Твоя картинка мне напомнила что гугл хранит ряд персональных данных не перечисленных в настройках приватности и лицензионном соглашении. Например историю IP, используемых паролей и уникальную конфигурацию компьютера. Эти журналы невозможно удалить.

>> No.4838603  
>Сложный пароль на почту нужен чтобы защититься от автоматического взлома, а не целенаправленного взлома. Целенаправленный взлом любой бесплатной почты имеет 100% статистику успеха. Хакер будет взламывать не ваш пароль, а общаться с техподдержкой вашего сервиса.
>Хакер будет взламывать не ваш пароль, а общаться с техподдержкой вашего сервиса.

Ерунду говоришь, и что техподдержка того же гугла ему сможет рассказать обо мне?

>> No.4838604  
Файл: 7d41fd6fb042a7a33908ea15d96a7ecf.jpg -(479 KB, 890x1268, 7d41fd6fb042a7a33908ea15d96a7ecf.jpg)
479

>>4838600
Я - бака. Вместо "шести русских слов" прочитал "шесть русских букв" там. Из-за этого и про короткий пароль вопрос." Обычно вместо осмысленных слов использую длинные последовательности случайных букв и цифр, сгенерированных и перемешанных каким-нибудь перлоскриптом.

>> No.4838605  

>>4838484
Мне пришло такое же. На все почты сразу. С собственного адреса. Отличия были только в сроках и сумме в битках. Банальное гугление показало, что это уязвимость в почте, а не рададмин с полным дампом диска (с моим-то несимметричным адсл, лол). И вебки тоже нету. Посмеялся, да и только. А даже будь это правдой, особо сильно в глазах окружающих я бы не упал. Некуда.

>> No.4838606  

>>4838590
Последнюю строчку на картинке не уловил.

>> No.4838610  
Файл: qq.jpg -(169 KB, 596x553, qq.jpg)
169

Пикрилейтед, с минимальными отличиями. Просто хорошим психологом написан. Еще сто лет назад Марк Твен разослал десятку своих знакомых анонимные телеграммы "Все пропало, нас раскрыли" и семеро из них вечером сбежали из города.

>> No.4838616  

>>4838603
Если верить тематическим форумам, в среднем получение доступа к гуглопочте занимает пару часов, потому что там нет живых людей в техподдержке. Даже гуглопочты политиков легко и быстро взламывают, потому что в техподдержке нет живых людей. Гугл всегда был и будет бесплатным. Рекламу нельзя отключить даже если купишь дополнительное место на почте. Какая цена, такой и сервис.
>>4838604

>Обычно вместо осмысленных слов использую длинные последовательности случайных букв и цифр, сгенерированных и перемешанных каким-нибудь перлоскриптом.

На самом деле это оверкилл. Такие пароли сложно записывать и вводить на телефоне.

Полностью случайные слова (ни в коем случае не осмысленные фразы) такой же уровень безопасности дают.
>>4838610
Такие письма ещё в 90-х слали. Очень много грамматических ошибок. Скорее всего письмо писал русский или китаец.

Плохо старается - не приложил инструкцию, что такое биткоин и как его пополнить. Те, кто уже знают что такое биткоин, на такие уловки не попадутся.

>> No.4838618  

>>4838606

>Пароль: ЯЗаймусьСВамиНепотребствамиСПрименением50ВарёныхКочановКапустыЕслиВыСейчасЖеНеПуститеМеняНаВашСайт
>Извините, этот пароль уже используется кем-то другим!

Он всего лишь пытался сделать пароль со словом "капуста"!

>> No.4838621  

Это ещё фигня. Представьте мой ужас, когда я поймал порнозвонилку, которая на набирала номер Доминиканской республики при загрузке ПК. Мне было десять лет.

>> No.4838622  
Файл: jjtjt.jpg -(26 KB, 330x411, jjtjt.jpg)
26

>>4838621
Отразилось на твоей психике? Тебе порой снится этот страшный момент по ночам? Впадаешь ли ты в истерики,когда набираешь номер?

>> No.4838625  

>>4838622
Боюсь телефонов по сей день. Особенно звонков с незнакомого номера.

>> No.4838628  

>>4838621
Помню, мне начала писать какая-то тян, такая милая, приветливая, услужливая, я даже немного озадачился, но потом она подвела разговор к рекламе сайта знакомств, оказалось, что она бот.

>> No.4838657  

>>4838628
А что хуже - бот или трап?

>> No.4838673  
Файл: 1274344237741.jpg -(261 KB, 848x1060, 1274344237741.jpg)
261

Это спам-рассылка с измененным адресом отправителя. Можешь спокойно игнорировать.

>> No.4838675  
Файл: 03a81d8c43a796eeb705a666a42bebbb83a484c4.jpg -(436 KB, 1280x1739, 03a81d8c43a796eeb705a666a42bebbb83a484c4.jpg)
436

>>4838657
Второе. Бот не пытается идти против своей природы, он верен своей природе. Трап же, в отличие от учёного мужа, восстает ради того чтобы нырнуть в пучины порока. Он проводник зла, хаоса, искушения.

>> No.4838678  
Файл: 15230336957270.jpg -(55 KB, 980x650, 15230336957270.jpg)
55

>>4838484

> Как ты бы отреагировал

Поместил бы это письмо в папочку спам, а не выставлял себя ламером перед всем ычаном подобным тредом.

>> No.4838684  
Файл: 1547052663178.png -(178 KB, 500x281, 1547052663178.png)
178

>>4838678

>> No.4838692  

>>4838512

>2.

Звучит, как начало криппипасты

>> No.4838701  

>>4838484

Поэтому вебку надо заклеивать изолентой

>> No.4838718  

>>4838484

>проник к моей вебке и экрану

Ну тогда и на любой сайт этот вирус мог перенаправить, ты теперь можешь делать любые непотребства, а виноват будет вирус и его писатель

>> No.4838727  

>>4838600
Почему именно слова? Чем они лучше набора букв с цифрами?

>> No.4838733  
Файл: 5727b4743c39f92984cec0754f546e09.jpg -(28 KB, 236x495, 5727b4743c39f92984cec0754f546e09.jpg)
28

>>4838727
Тем, что ты более вероятно будешь использовать разный пароль для каждого сервиса и он будет достаточной длины.

>букв с цифрами

Пример паролей, которые взламываются за 1 секунду:
2kDWrHSgRu
toCRp56aui
ZaR0PMJmZU
pAToFZepEr

Пример паролей, которые взламываются за 15 секунд:
1MriLa8IrYc8
eaEa4XVFYCzz
e4P8oK9rW0TU
TV4rdDvFYDug

Пример паролей, которые невозможно взломать на традиционных суперкомпьютерах:
шахтерассоциациякамерахранения
киноловкийосвежатьопорожнять
щедрыйвозрождениеувидетьполировка
распределениепарчаизобиловатьболван

Возможно, с помощью квантовых компьютеров их можно будет взломать. Но это не точно.

>> No.4838741  

>>4838733
Если пароль состоит, допустим, из 10 символов, каждый из которых может быть либо буквой от A до Z, либо буквой от a до z, либо цифрой от 0 до 9, то это сколько возможных комбинаций? Мне как-то не очень верится, что их можно за 15 секунд перебрать. Вернее совсем не верится.

>> No.4838745  

>>4838741

> то это сколько возможных комбинаций?

(26+26+10)^10 = 839299365868340224.

>> No.4838746  

>>4838733
>>4838600
Погодите, Сырны.
Эти все "успешные взломы за 15 секунд" ведь предполагают, что на каждую попытку комбинации будет попытка логина с таким паролем, верно? Многие современные сервисы(особенно известные и крупные) локают пользователя после трех неудачных попыток. А некоторые еще и оповещают пользователя о том, что кто-то пытался залогинится в его аккаунт с неверными данными.

>> No.4838751  

Вот объясните мне, каки нужно пароли ставить всё-таки?
У меня на компьютере, каких-то особых секретов нет. В почте, в аккаунтах и прочих глупостях, тоже.

Но вот все говорят, что нужно ставить сложные пароли и нужно чтобы они везде были разные. Таким образом у меня получается два варианта

  1. Поставить везде один лёгкий пароль, и использовать его целую вечность. Но тогда меня могут взломать
  2. Можно ставить везде разные сложные пароли, а потом в один прекрасный момент потерять файл с базой данных от keepassx и остаться вообще без аккаунтов.

Что выбрать?

>> No.4838755  

>>4838746
Думаю, речь идет о взломе зашифрованных паролей из "раздобытой" базы данных.

>> No.4838756  

>>4838741
Зачем такой гадкий пароль нужен? Его очень сложно запомнить. А таких паролей нужно очень много: на каждый сервис по паролю. Попробуй запомнить 15-30 таких паролей.

Взламывают не пароли отдельных людей, а одновременно все пароли сразу (десятки миллионов паролей). При регистрации твой пароль "2V0G3y34zJ" превратится в "2ff037dd5964e7f2029e8c09f7e63e22" (хэш). В базе данных будут миллионы таких записй. Хакер будет бесконечно генерировать пароли и подбирать к ним аналогичный хэш. Как только вскочит один из хэшей, пароль будет найден.

На самом деле, всё ещё сложнее и быстрее. Я упростил схему. Для конечного хакера это не имеет особого значения: даже неподготовленный человек может скачать бесплатную программу и взломать все эти пароли.
>>4838746

>Эти все "успешные взломы за 15 секунд" ведь предполагают, что на каждую попытку комбинации будет попытка логина с таким паролем, верно?

Так пароли не взламывают. У сервиса утекает база данных (случается у всех и регулярно) и начинают подбирать пароли.

>> No.4838757  

>>4838751
Перепиши сложные пароли в блокнот и спрячь его.

>> No.4838761  
Файл: anime-girl,-dove,-cage,-key-(...).jpg -(1765 KB, 4092x2893, anime-girl,-dove,-cage,-key-(...).jpg)
1765

>>4838751

  1. https://www.random.org/dice/?num=5
  2. https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt

Видишь кости на сайте (1)? Запоминай номер и в файле на сайте (2) ищи это слово (CTRL-F для поиска по цифрам).

Например, у меня цифры 12564 и это соответствует слову aviation.

Повторяй процесс до тех пор, пока у тебя не появится 4 случайных слова. Например, "**aviation**starfish**skyline**aim".

Или, если безопасность не очень волнует, бери слова отсюда https://www.randomlists.com/random-words

>нужно чтобы они везде были разные

Обязательное требование. Не спрашивай, почему.

>В почте, в аккаунтах и прочих глупостях, тоже.

Поставь для почты самый сложный пароль, который можешь. 5-6 слов. Для остальных можешь ограничиться 4 словами.

>У меня на компьютере, каких-то особых секретов нет.

Запиши пароли на бумажку и положи под клавиатуру. Ещё можешь продублировать пароли опять же-таки на бумажку и засунуть её под аккумулятор ноутбука, например, или под крышку телефона (если она снимается).

>> No.4838763  

>>4838761
Или попросту постучи по клавиатуре, забей в файл или менеджер паролей и не возись с поэмами. Копипасть потом из них.

>> No.4838766  

>>4838745
Спасибо, Умнейшая.
>>4838756

> хэш

А, ну если в общих чертах понял о чём ты, это сводится к размеру символов в определённой системе и подбору такого же веса?

А можешь ещё про уязвимости двойной аутентификации рассказать, пожалуйста?
>>4838761
А потом этот телефон потерять. Нашедшему будет забавно.

>> No.4838774  
Файл: generatecard.do.png -(46 KB, 539x340, generatecard.do.png)
46

>>4838766
Он не узнает, какой пароль от чего.

https://www.passwordcard.org/en

Развитие этой идеи - карточки с паролями.

Ты печатаешь уникальную карточку и запоминаешь, с какого столбца и символа твой пароль начинается, в каком направлении идёт и где заканчивается.

>А, ну если в общих чертах понял о чём ты, это сводится к размеру символов в определённой системе и подбору такого же веса?

Не только. Пароли подбирают по словарям, комбинациям словарей, автозаменой в словарях.

Поэтому вычисления сложности пароля сложнее, чем сосчитать количество символов в алфавите. Например, пароль "example" взламывается не за 11 лет, а менее, чем за 1 секунду. Он есть в словаре. "3x@mp1e" тоже взламывается менее, чем за 1 секунду (словарь + перебор). Программы для взлома это всё умеют.

Более реалистичная проверка сложности пароля:
https://lowe.github.io/tryzxcvbn/

Работает полностью в браузере.

>А можешь ещё про уязвимости двойной аутентификации рассказать, пожалуйста?

Гугли статьи "взломали почту". Хакеры даже не доходят до этого этапа. Популярные ящики взламывают без паролей и аутентификаций.

Или сотовый оператор может тебя подставить и перехватить SMS для двойной аутентификации. Стоимость такой процедуры для МТС, Билайн и МегаФон не такая уж и большая.

>> No.4838781  

>>4838761

>слова

Ты будешь возиться набивать каждый раз целые предложения, а шесть и более слов для каждого сайта забудутся точно так же как и последовательность символов. А если будут простыми, то подберутся не сложнее чем короткие пароли.

>> No.4838789  
>Ты будешь возиться набивать каждый раз целые предложения

Человек легче воспринимает слова, чем случайную последовательность цифр и букв.

Средний человек наберёт пароль из четырёх слов за две с половиной секунды. Когда наберёшь пароль много раз - будешь вводить его уже за полсекунды.

А пароль из случайных символов не сможешь быстро вводить даже если запомнишь его. У тебя не хватит скорости набора, чтобы быстро нажимать shift (цифры, переключение регистра) и при этом вбивать странные и незнакомые слова.

Для человека естественно запоминать и вводить слова. Он к этому привык.

"привычный условие бельевая корзина"
или
"DIw9vL1Pc9ghkMjh"
(приблизительно аналогичный по сложности пароль)

>> No.4838792  

>>4838774

> Более реалистичная проверка сложности пароля:
> https://lowe.github.io/tryzxcvbn/

Попробовал написать четыре русских слова в английской раскладке - nhe,jlehirjkfyjufljv
Ему понравилось.

>> No.4838800  
Файл: code_talkers.png -(36 KB, 500x397, code_talkers.png)
36

>>4838792
Это называется "security through obscurity".

Тем не менее, пароль от этого хуже не становится. Даже если хакер знает, что пароль состоит из русских слов, написанных в английской раскладке, то задачу по взлому пароля это не облегчит.

Без учёта склонений и падежей в русском языке так много слов, что даже составляя пароль из самых распространённых слов их невозможно будет перебрать все.

>> No.4838802  

>>4838789

>(приблизительно аналогичный по сложности пароль)

Да я бы сказал посложнее выйдет. У символьного (26+26+10)^16 вариантов, то есть порядка 10^28. Если просто брать слова из первых пяти тысяч, то будет порядка 10^14 вариантов. Конечно еще грамматические формы надо учесть, но это может еще усложнить запоминание. Или можно слов семь-восемь взять, но это уже длиннее выйдет.

>> No.4838806  
Файл: Kono Subarashii Sekai ni Shukufuku wo! -(...).mp4 -(128 KB, 1920x1080, Kono Subarashii Sekai ni Shukufuku wo! -(...).mp4)
128

Еврейское мнение http://lleo.me/dnevnik/2018/08/03.html по этому поводу было оглашено ещё в августе прошлого года.

>> No.4838807  

>>4838800

>привычный условие бельевая корзина

https://ru.wiktionary.org/wiki/Приложение:Список_частотных_слов_русского_языка_(2013)

>привычный 2371
>условие 293
>бельё 3174
>корзина 4147
>> No.4838809  

>>4838802
У кошелька Electrum пароль генерируется так: 12 английских слов. Размер словаря 2048 слов.

На кошельках Electrum хранятся миллиарды долларов, а нам нужно защитить почтовый ящик от автоматического подбора.

>Если просто брать слова из первых пяти тысяч, то будет порядка 10^14 вариантов.

На практике сложность такого пароля 1112064^31 (что-то около двухсот нулей).

>> No.4838810  

>>4838809

>1112064^31

А это число откудо взялось?

>> No.4838811  

>>4838806

>Я поместил вирус в порно и сам знаешь что, ты был на одном и том же сайте

Какая жуть.

Очень похоже на уловки полицейских. Они тоже всегда говорят, что "у нас на тебя целое досье" и "мы уже всё знаем, нужно только твоё подтверждение". Они тоже разговаривают дружелюбно и спокойно.

https://youtu.be/p22ZR-CUIw0

>> No.4838812  

>>4838807
Отличный словарь, если убрать из него союзы, предлоги, частицы и местоимения.

>> No.4838814  

>>4838810
UTF-8 + количество символов в пароле.

К тому же хакер не знает точную длину пароля (8 символов, 10 символов, 12 символов, 31 символ), поэтому число можно увеличивать ещё очень долго.

>> No.4838820  

>>4838814
Почему ты меряешь по количеству символов в пароле если он состоит из слов, входящих в первые несколько тысяч самых распространенных (если не сотен)?

>> No.4838825  

>>4838756
>>4838755

>У сервиса утекает база данных (случается у всех и регулярно) и начинают подбирать пароли.
>начинают подбирать пароли

Что из себя представляет процесс "подбирать"? Для попыток подбора им же нужно будет пытаться залогинится в сервис. Яннп.

>> No.4838827  

>>4838825
Нет, у них будет база с хэшами и им нужно перебрать возможные пароли в поисках нужного с тем же хэшем.

>> No.4838828  

>>4838820
Потому что никто не догадается, что пароль бывает из русских слов, и хакер будет перебирать всё подряд.
>>4838825
Почтовый сервер взламывают, хакер получает базу данных:
1 | cirno@gmail.com | bc189ea0b65bc37a4414d18c6340ab14
2 | reimu@gmail.com | e9b06ec8bcc11047b3fdddc97de2de25

Хакер сразу начинают перебирать пароли ко всем хэшам сразу. Рано или поздно почти все пароли оказываются взломанными, и хакер получает настоящий пароль.

Хэш можно попробовать взломать тут: https://md5decrypt.net/en/

>> No.4838829  

>>4838828
Вообще этот метод с корректной лошадью вполне известен. Никто не мешает хацкеру взять частотные словарики и попробовать подобрать четыре-пяти словные сочетания. Конечно можно взять больше слов, добавить дополнительные символы, пробелов наставить, но это все еще дальше усложнит и набор и запоминание. Может проще просто взять латиницецифровой пароль символов в 20 и успокоиться.

>> No.4838833  

>>4838829
Четыре русских слова. Русский словарь из 15000 слов. pow(15000, 4) == 5.0625e+16.

Теперь взлом. Быстрый хэш SHA-512. Предположим, 10000000 (10 миллионов) попыток взлома в секунду. 5.0625e+16 / 10_000_000 = 160 лет. Сто шестьдесят лет.

Четыре русских слов. Тот же словарь, только добавляем падежи и склонения. pow(15000 * 12, 4) == 1.04976e+21.

Взлом: опять быстрый хэш SHA-512. 1.04976e+14 / 10_000_000 = 3 326 559 лет. Три миллиона лет.

>> No.4838837  

>>4838833
Ну то есть даже с грамматическими формами и не самыми распространенными словами все равно получается менее сложно чем исходный шестнадцатисимвольный пароль. Хотя любым методом можно сделать сложно в итоге.

Вопрос собственно в том, какая конечная цель. Держать все десятки паролей? Держать только Самый Главный Пароль? Перепечатывать вручную? Копипастить или менеджер использовать?

>> No.4838840  

>>4838837
Когда я слышу "шахтерассоциациякамерахранения", то у меня в голове создаётся определённая картина. Я такой пароль уже запомнил! Его и учить не нужно!

А когда я слышу "DIw9vL1Pc9ghkMjh", то в моей голове не всплывает ничего.

>Хотя любым методом можно сделать сложно в итоге.

Какой смысл использовать "роботометод", если обычные слова работают точно так же? Зачем себя так унижать?

При использовании роботометода вряд ли кто-то будет использовать пароль длиннее 6-7 символов, а 4 слова запомнить ещё легче, чем эти 6-7 символов. Да и запоминать нужно не 6-7 символов, а ещё правильный регистр и цифры.

>Вопрос собственно в том, какая конечная цель.

5-6 слов на почту и банк. 3-4 слова на всё остальное.

>> No.4838841  

>>4838837

>Постоянно держать все десятки паролей в памяти?

Фикс.

>> No.4838845  

>>4838840
В итоге ты меняешь определенную мнемоническую запоминаемость на снижение сложности пароля вместе с увеличением длины. И если ты будешь пытать запомнить десятки имеющихся у тебя паролей, то ты, скорее всего, определенную часть забудешь. Вообще если ты работаешь на своем компьютере, то помнить наизусть пароли ото всех сайтов - вряд ли лучший выбор. Можно просто брать пароль нормальной длины и писать в файл или парольный менеджер.

>> No.4838846  

>>4838484
ОП, у тебя на все аккаунты один пароль?
Мне недавно приходило похожее по описанию письмо, в нем был указан пароль в качестве "доказательства". Только у меня для всех аккаунтов отдельные, уникальные пароли, и это был не пароль от почты. Скорее всего недавно слили базу данных одного сервиса, вот боты-кулхацкеры и активизировались.

>> No.4838855  

>>4838845

>И если ты будешь пытать запомнить десятки имеющихся у тебя паролей, то ты, скорее всего, определенную часть забудешь.

Запишу на листок, легко прочитаю и легко введу.

А с "обычным" паролем я буду гадать, написал я на своём листке или в файле "O", "O" или "0". "I", "l", "1" или "|".

>Можно просто брать пароль нормальной длины и писать в файл или парольный менеджер.

Если мне нужен будет пароль нормальной длины, то я возьму пароль из 6 слов. Его проще вводить вручную, можно легко переписать на бумагу и легко запомнить, если это потребуется.

Пароли должны принадлежать людям, а не парольным менеджерам и неизвестно кому. Пароль это не так сложно.

>писать в файл

Можно совмещать. Целостность/правильность пароля легче проверить, если он состоит только из слов. Особенно если они разделены пробелами/дефисами/подчёркиваниями.

>> No.4838862  

>>4838855
Можно еще хайку парoлем сделать.

>> No.4838920  

>>4838484
Это массовые рассылки по слитым базам логинов/паролей. Никаких непотребств никто не записывал. Скорее всего, он и почту твою не ломал, а просто купил сколько-то мыльца.

>> No.4838922  

А как узнать взломали меня или нет, если я логин и пароль от почты забыл?

>> No.4838925  

>>4838922
Если ты ею продолжаешь пользоваться, значит они у тебя где то сохранены. Найди и выкулупай от туда.

>> No.4838945  

>>4838484
Он, случайно, не с твоего же адреса почты тебе письмо оправил.

>> No.4838950  

>>4838590

>https://haveibeenpwned.com/

Так вот откуда у меня рассылка от Б'длорадо появилась. Слили базу Нексуса где я регистрировался в бородатые годы.

Хорошо что старый пароль не вскрыли (я все равно его поменял из-за того что забыл куда я его записал (потом нашёл), контроль над ящиком моей первой гуглопочты остался.)

>> No.4838978  
Файл: 65678676.jpg -(228 KB, 1084x720, 65678676.jpg)
228

>>4838800
Так почему не пойти дальше в своём безумии и использовать не только русские слова, но и неологизмы, локальные мемы и русские написания имен тоходевочек, или вообще японские имена, многие из которых уникальны, а найти их можно только в словаре интернетов.
Например dpkjvfq9shyevjhrjdrjq,frez - такое забыть нужно ещё постараться, лол.

>> No.4838985  

>>4838484

>если не заплачу

Да ладно, заплачь, жалко что ли?

>> No.4839046  

>>4838978
Это сразу уменьшает безопасность пароля на порядки раз. Слова должны быть полностью случайны.

Есть .txt словари русского языка со склонениями размером 2-3-4 миллиона слов.

2 слова из такого словаря по сложности приблизетельности равны пароля из 8 случайных символов.

4 слова превосходят по сложности пароль из случайных 16 символов.

>> No.4839101  

>>4839046
Опять странности пишешь. Почему случайные слова из словаря надёжней, чем случайные слова из откуда угодно?

>> No.4839128  

>>4839046

> 4 слова превосходят по сложности пароль из случайных 16 символов.

Что у тебя за алфавит из 45 символов? Одних только латинских букв в 2 регистрах и цифр уже 62. Лолисички плачут от твоего поста.

>> No.4839143  

>>4839101
Потому что пароль из 8 полностью случайных цифр сложнее, чем пароль, составленный из даты твоего рождения. Количество цифр одинаковое, но случайные пароль надёжнее.

Если источник не случайный, то пароль не надёжный.
>>2376434
https://dikmax.name/post/russian-dictionary/

2376434^4 и 2376434^3

Такой пароль невзламываемый даже при использовании трёх слов, не четырёх. Зачем заучивать бессмысленные пароли из 16 символов?

>> No.4839152  

>>4839143

> Такой пароль невзламываемый даже при использовании трёх слов, не четырёх.

Если верить >>4838733, то 2376434^3 якобы взламывается менее чем за 15 секунд. Даже если это не так, то всё равно 63,5 бит энтропии в наши дни маловато.

>> No.4839158  

>>4838855
Ну если пароли писать в файл считается за "Пароли должны принадлежать людям", тогда пойдет. А 6 символов - это вообще не защита.

>> No.4839159  

>>4838855

> Пароли должны принадлежать людям, а не парольным менеджерам и неизвестно кому.

Зачем? В чём преимущество такого подхода?

>> No.4839160  

>>4839152

>63,5 бит

Энтропия это не сложность пароля, а сложность пароля для определённого лица. Энтропия пароля для автора пароля - 0. Энтропия пароля из четырёх русских слов из неизвестного словаря на крупном почтовом сервере - очень высокая. Энтропия пароля, если известно, что он состоит только из букв и цифр - низкая. Количество вариантов меньше, энтропия меньше.

Пароль из слов запомнить и ввести легко. Из этого следует 2 заключения:

  1. Человек при использовании пароля из слов более вероятно станет использовать "сложный" пароль из слов (4 и больше слов). При использовании пароля из цифр и букв он скорее всего выберет "лёгкий" пароль (6-7 символов, а не 20).
  2. Человек более вероятно станет использовать индивидуальный пароль для каждого сервиса. Если у человека слишком сложный пароль из букв и цифр - он начинает использовать его как "мастер-пароль" для всех своих сервисов, что очень плохо. Если для каждого сервиса пароль состоит всего из 3-4 слов, то его легко запоминать и вводить, времязатраты меньше. А если у человека пароль из букв и цифр, то он будет лениться.
>> No.4839163  

Если ты запоминаешь пароли наизусть, то это ты им принадлежишь (ну, пока не забыл).

>> No.4839164  

>>4839160

>Энтропия пароля, если известно, что он состоит только из букв и цифр - низкая.

При этом энтропия пароля только из букв высокая?

>Человек более вероятно станет использовать индивидуальный пароль для каждого сервиса. Если у человека слишком сложный пароль из букв и цифр - он начинает использовать его как "мастер-пароль" для всех своих сервисов, что очень плохо. Если для каждого сервиса пароль состоит всего из 3-4 слов, то его легко запоминать и вводить, времязатраты меньше. А если у человека пароль из букв и цифр, то он будет лениться.

Человек будет лениться если ему надо пароли заучивать. А если пароли у него в надежном файлике или в надежном менеджере, то без проблем можно хоть сорокаимвольный для каждого места использовать.

>> No.4839165  

>>4839159
Вокруг менеджеров паролей существует целая индустрия.

Корпорациям выгодно, чтобы человек не запоминал свой пароль, а отдавал его на хранение Господину Менеджеру Паролей. А если пароли будет запоминать так легко, что не придётся их даже записывать, то зачем нужны будут менеджеры паролей? Кто будет приносить доход этим компаниям?

Даже open-source менеджеры паролей не надёжны. Что, если компьютер и телефон сломаются? Где мастер-файл паролей? Слишком ненадёжная система.

Какие-то важные финансовые пароли (тот же Electrum, или пароль от онлайн-банкинга) слишком ценны, чтобы отдавать их менеджеру паролей и компьютеру вообще. Средний компьютер (Windows или Ubuntu) не обеспечивает достаточной безопасности пароля.

>> No.4839166  

>>4839165
Если твой компьютер ненадежен, то это проблема которую тебе надо решать в первую очередь.

>> No.4839168  

>>4839164

>При этом энтропия пароля только из букв высокая?

У всего нестандартного высокая. Но энтропия correctbatteryhorsestaple - 0.

>А если пароли у него в надежном файлике или в надежном менеджере, то без проблем можно хоть сорокаимвольный для каждого места использовать.

Но их сложно копировать и вставлять. Ввод 16-символьного пароля на телефоне или планшете занимает две минуты, и то не с первой попытки. А если 32- или 40-символьные? Я недавно 6 минут потратил, вводя 16-символьный пароль на телефоне, потому что путал l и I.

А как вводить пароли на других компьютерах, между виртуальными машинами, на виртуальной клавиатуре?

Проще те же слова ввести. Быстро и естественно.

>> No.4839170  

>>4839166
Всё упирается в лень. Люди не будут исправлять эту проблему, а слова - быстрое и простое решение.

>> No.4839172  

>>4839160

> При использовании пароля из цифр и букв он скорее всего выберет "лёгкий" пароль (6-7 символов, а не 20).

Что значит "выберет"? Человек не очень хорошо может выбрать достаточно случайные 4 слова без помощи генератора случайных или псевдослучайных чисел. Если генератор под рукой, то можно сгенерировать пароль из 20 случайных символов. Способ со случайными словами имеет смысл в специфических ситуациях, когда компьютер сейчас, на момент генерации пароля, является доверенным, но после это перестанет быть таковым, а записать на внешний носитель пароль по какой-то причине нельзя и приходится запоминать.

>> No.4839174  

>>4839172
Купи игральные кости и кидай их вместо random.org. Распечатай .txt-файл от EFF и выбирай пароль в оффлайн-режиме. Всё просто >>4838761

>Если генератор под рукой, то можно сгенерировать пароль из 20 случайных символов.

Его очень весело будет вводить на телефоне, особенно без специальной клавиатуры, потому что доля компьютеров в интернете непрерывно падает, а доля телефонов растёт.

И мы получаем поколение, которое свой пароль даже записать не может, а отдаёт его на хранение Большому Брату. Или, как поступает большинство, пароли слишком лёгкие и простые, поэтому каждый год и утекают дампы баз данных.

>> No.4839175  

А как вы успеваете на каждый пост доставать новый ноут и меня город?

>> No.4839180  

>>4839174

> Его очень весело будет вводить на телефоне

Если ты вводишь пароль на своём или доверенном устройстве, то скопипастить его из open-source менеджера паролей нетрудно. Способ со словами упрощает ввод пароля на чужих устройствах, но это само по себе небезопасно и чревато утечкой.

>> No.4839181  

Предлагаю хранить пароли в доверенной кошкодевочке.

>> No.4839182  

>>4838484

> Как ты бы отреагировал, не считая того, что подумал бы создать бака-тред на Ычане?

Обрадовался бы, что хоть кто-то написал мне письмо.

>> No.4839183  

>>4839181
В воображаемой или в нарисованной? Это два разных способа.

>> No.4839198  

>>4839182
Мне вот каждый день пишут. Говорят что я айфон выиграл, что мне перечислили 10 млн рублей, что я оказался в числе победителей на квартиру в Москве и т.д.
Замучился уже. Так что пусть лучше почта твоя так и остаётся пустой

>> No.4839267  
Файл: d912504ce54eaecdbca5321b7b2902f8.jpg -(137 KB, 862x1200, d912504ce54eaecdbca5321b7b2902f8.jpg)
137

А как вы защищаете свою виндовс (если она у вас есть) от всяких хитрых хакеров, не очень хитрых ботов и прочих неведомых левиафанов, которые ворочаются во мраке интернетов?

Мне вот кто-то на один порт стучал и я его закрыл для входящих соединений брандмауэром. Почему вообще оно открыто, закрыть и заминировать всё, а пакеты пускать по визам под личную подпись, но я не умею.

>> No.4839272  

>>4839267
Джентльменский набор: антивирус, HIPS, фаервол. Сейчас модно всё в одном пакете делать. Но у таких продуктов только одна из функций обычно хорошая. Остальные ниже плинтуса.
Всё предельно автоматизированно, почти не вмешиваюсь. Спасибо кропотливой ручной настройке и централизованной рассылке правил для всех известных приложений. Одно без другого было бы проблематично.

>> No.4839273  
Файл: Сырно-монтёр.jpg -(40 KB, 800x533, Сырно-монтёр.jpg)
40

>>4839272
Посоветуй от себя программы, если они бесплатные.

>> No.4839275  

>>4839273
Платные. Одна из них уже RIP. Спасибо Яндекасу.

>> No.4839277  
Файл: Pixiv 358646 50962313 02.png -(489 KB, 1024x768, Pixiv 358646 50962313 02.png)
489

>>4839272

> антивирус

Интересные у нас параноики пошли...

>> No.4839280  

>>4839272
Gentoo заменит их всех.

>> No.4839283  

>>4839280
А кто мне софт под виндоус заменит?

>> No.4839286  

>>4839277
Кто же теперь без Сены про их бесполезность разъяснит?

>> No.4839289  

>>4839283
Вайн.

>> No.4839291  

>>4839289
Ах, если бы...

>> No.4839293  
Файл: carrots.jpg -(29 KB, 300x300, carrots.jpg)
29

>>4839283
Зачем тебе софт, если у тебя будет Гента?

>> No.4839295  

>>4839286
А что с ней?

>> No.4839298  

>>4839295
Стала белочкой.

>> No.4839327  

>>4839286

> про их бесполезность

Полезные, просто смотрят все ваши файлы и отправляют данные на свои сервера.

>> No.4839396  
Файл: .jpg -(24 KB, 465x512, .jpg)
24

Сегодня несколько часов перепроверял и менял настройки безопасности везде и придумывал всякие прикольные пароли. Их совершенно невозможно запомнить все сразу, но я всё записал в книжечку.

>> No.4839398  

>>4838733
Очень легко взламывается перебором со словарём приведённое тобою.

>> No.4839402  
Файл: sdup.png -(966 KB, 1280x720, sdup.png)
966

>>4839295
Героически погиб получив сокрушительный удар молота по черепу сражаясь как подлинный просветитель и ученый ум, с неправотой и безграмотностью в интернете. Никто теперь не расскажет про консольки и игры для них, никто не будет едко някать и шпуляться умными статейками. Никто теперь не будет гадить в тредах, мы потеряли великий ум.

>> No.4839405  
Файл: 1502701990160267134.png -(119 KB, 600x487, 1502701990160267134.png)
119

Традиционные рекомендации по созданию пароля знакомы каждому пользователю Интернета: он должен включать буквы разных регистров, цифры и разные символы. Эти советы написал Билл Бёрр, бывший менеджер Национального института стандартов и технологии в США. В 2003 году сотрудник изложил правила безопасных паролей в специальном документе. Между тем инструкция стала одним из самых больших заблуждений в мире, о котором подозревали не многие. Теперь 72-летнему специалисту стыдно за ошибку, и он объяснил, как создать действительно хороший пароль.

В 2003 году Билл Бёрр мало знал о паролях и не был экспертом по безопасности — он просто делал свою работу. Менеджер объяснил, откуда взялась ложная информация.
"Я жалею о большинстве того, что сделал. — рассказывает Билл The Wall Street Journal, признавая, что инструкция основана на материалах из 1980-х, когда Интернет ещё не вошёл в массы. — В итоге список инструкций получился запутанным и, на самом деле, неправильным"

На этот раз Билл не ошибся. Простые вычисления показывают, что короткий пароль со случайными символами взломать легче, чем длинную строку из запоминающихся слов. Сравнение двух типов паролей показали в виде комикса.

Таким образом, список рекомендаций из 2003-го не соответствует реальности: на подбор «сложного» пароля со скоростью 1 000 запросов в секунду уйдёт 3 дня, а с простыми словами хакеры справятся только за 550 лет. Интересно, что в Интернете есть ещё много странных изобретений, о которых жалеют авторы, например, двойнойслеш в ссылках и всплывающие окна с рекламой.

В комментариях к этому посту на форуме все пишут, что используют единый сложный мастер-пароль для всех сервисов. Капча shame.

>> No.4839412  

Я был в банке, мне надо было открыть счет. От того, что связи совсем не было, приходилось выходить несколько раз на улицу и говорить по телефону. Глупая дама, с которой я разговаривал, спрашивала, с кем я на улице разговариваю(имела в виду, лично, не по смартфону). Я ей ответил, что я звонил, на что эта глупая женщина ответила, что у них есть камеры, они все видели и не надо врать. На вопрос: "Во что он был одет?", ответила, что это закрытая информация. Как же я её ненавижу. Она мне сильно не нравится

>> No.4839426  

>>4839405
Кто-нибудь может на пальцах объяснить про энтропию? Что это за магия такая? Что еще за предсказуемость появления символов, как это можно вообще вычислить? И почему длина пароля предпочтительнее величине алфавита?

>> No.4839435  
Файл: a8be1b8aa497ceb95db9670c0838f386 -(103 KB, 850x1170, a8be1b8aa497ceb95db9670c0838f386)
103

>>4839426

>Кто-нибудь может на пальцах объяснить про энтропию?

Это такая логарифмическая мера беспорядка. Логарифм возникает естественным путем, когда ВНЕЗАПНО оказывается, что она - термодинамический потенциал, ня!. Она же информация с обратным зняком.

>Что это за магия такая?

Это волшебство обеспечивает информатика и статфизика, ня!

>И почему длина пароля предпочтительнее величине алфавита?

Проще наращивается и зависимость там показательная, мурк...

>> No.4839436  

>>4839426
Если взломщик будет взламывать твой пароль, то он будет перебирать варианты. Если пароль состоит из N символов а каждый символ выбирается из K вариантов, то всего будет K^M вариантов пароля.

Например если пароль состоит из латиницы и цифр, и занимает 12 символов, то будет 62^12 вариантов, порядка 10^21.
Если ты еще добавишь русские буквы, то будет 128^12 или порядка 10^25.
А если взять 14 символов без русских букв, то будет 62^14 или опять порядка 10^25.

То есть добавление пары символов к длине так же полезно как добавление целого набора символов в алфавит.

>> No.4839438  

>>4839426
Если пароль состоит из символов и цифр английского алфавита и имеет длину 8 символов, а также в нём буквы разного регистра, то в нём около 47 бит энтропии, то есть такое количество комбинаций:
218340105584896

Если тебе известно, что пароль врага состоит из 4 русских слов, и тебе известен используемый словарь для составления этого пароля, и длина словаря 10000 слов, то энтропия пароля 53+ бита энтропии, или такое количество комбинаций (больше, чем предыдущий пароль):
10000000000000000

Если тебе известно только то, что пароль состоит из 30 символов неизвестно какого алфавита, то получаем 602+ бита энтропии, то есть вот столько комбинаций:
25577939751626013462211241592664242144900670936253260842535315791940434261415734394072928677079094083854080199052081976669685273310697906126809030520137296546045666894833743690727424

Если нам ещё и неизвестна длина пароля, то количество комбинаций увеличивается настолько, что не влезет в пост на Ычане.

Чем больше словарь и чем случайнее слова - тем надёжнее пароль.

>> No.4839439  

>>4839438
Ещё бы гугль и другие популярные сайты разрешали использовать для пароля иной алфавит, кроме латиницы...

>> No.4839445  

>>4839439
Они этого делать не будут, иначе цены за взлом почты пойдут вверх.

https://www.telegraph.co.uk/technology/2018/09/20/google-admits-hundreds-companies-read-gmail-inbox/

>В отдельных случаях живые сотрудники вручную читали тысячи писем, чтобы помочь обучить нейронные сети, которые будут делать то же самое.
>Разработчики приложений могут получать доступ к письмам, включая имена, темы, текст и отправителя, для того чтобы улучшить свои рекламные сервисы. Большая часть чтения писем выполняется компьютера, но какую-то часть люди осуществляют вручную, чтобы проверить, правильно ли работает компьютер.
>> No.4839488  

>>4839438
А почему в комиксе сверху написано 28бит, хотя там пароль 11 символов?

>> No.4839489  

>>4839488
Потому что там берется относительно распространенное слово и всяким литспиком подкручивается. Это хуже чем рандомные символы.

>> No.4839494  

>>4839445

> Они этого делать не будут, иначе цены за взлом почты пойдут вверх.

А гуглам то что?

По ссылке, если я правильно понял, говорится что некоторые приложения для работы с почтой могут передавать информацию другим приложениям, если пропишут это в своём пользовательском договоре.

>> No.4839500  

>>4839489

>Потому что там берется относительно распространенное слово и всяким литспиком подкручивается. Это хуже чем рандомные символы.

Наоборот: они взяли очень редкое слово и усложнили его сложными символами. Но безопасность пароля это не увеличило.

Даже такое редкое и неизвестное слово взломать легче, чем какие-то 2 случайных слова из русского языка.

>> No.4839501  

>>4839494

>По ссылке, если я правильно понял, говорится что некоторые приложения для работы с почтой могут передавать информацию другим приложениям, если пропишут это в своём пользовательском договоре.

Нет. Говорится о том, что почтовые сообщения всех пользователей читают, чтобы затем им показывать более релевантную рекламу (на YouTube, в Google).

Твоё разрешения не требуется. Это нельзя отключить. И заплатить денег за платный аккаунт тоже нельзя - рекламу и чтение писем это не отключит.

>> No.4839515  

>>4839426
Количество комбинаций, которые можно зашифровать, равно вариативности разнообразию используемых символов, возведённой в степень дины числу доступных ячеек под эти символы.
Например в двоичной системе: 00 01 10 11 | 2^2=4
000 001 010 011 100 101 110 111 | 2^3=8
В троичной же: 00 01 02 10 11 12 20 21 22 | 3^2=9
Очевидно что 9>8 а значит и 3^2 лучше чем 2^3.

>> No.4839521  

Смысл именно в том, чтобы придумать значительно более длинный пароль, который бы значительно легче запоминался. В любом случае, мало кто ратит своё время и ресурсы на брутфорс. Обычно тупо прогоняют через базы данных с несколькими миллионами а то и тысячами самых распространённых паролей. В лучшем случае запускают какую-нибудь мэйнстримную программу, перебирающую комбинации тех же самых паролей с заменой символов и перестановкой слов. Зачем из кожи лезть, когда одних лишь "qwerty" и "password" до неприличия много? В общем прогнать по словарю вас могут, но не тому что Даль писал.

>> No.4839555  
Файл: 99004704fe0e072f9a15867e9d579203.jpg -(75 KB, 565x800, 99004704fe0e072f9a15867e9d579203.jpg)
75

>>4839521

>В любом случае, мало кто ратит своё время и ресурсы на брутфорс. Обычно тупо прогоняют через базы данных с несколькими миллионами а то и тысячами самых распространённых паролей.

Так никто не делает. Никто.

Базу данных перебирают со скоростью от 500000 до 500000000000 паролей в секунду. Никаких радужных таблиц или готовых паролей. Только словарь, перебор и подставление leet-спика.

>Зачем из кожи лезть, когда одних лишь "qwerty" и "password" до неприличия много?

Менее 0.5%. У меня так.

>> No.4839557  

>>4839438

> Если тебе известно, что пароль врага состоит из 4 русских слов, и тебе известен используемый словарь для составления этого пароля, и длина словаря 10000 слов, то энтропия пароля 53+ бита энтропии, или такое количество комбинаций (больше, чем предыдущий пароль):10000000000000000

Уверен, как только будет больше таких паролей, то разработают кучу способов быстрее взломать если не уже - более распространенные слова, более короткие, связанные по смыслу, и твоим запросам в гугле. После этого комикса вангую больше животных в паролях. Как бы в результате не оказалось, что взлом осмысленного легко запоминаемого пароля гораздо проще, если ты не эрудит-шизофреник. Предлагаю всё же комбинировать со случайными символами.

>> No.4839559  
Файл: super_hacker__futaba_sakura__by_anamnesi(...).png -(743 KB, 900x660, super_hacker__futaba_sakura__by_anamnesi(...).png)
743

>>4839557
Люди очень плохи в математике. Это никак не исправить. Им кажется, что пароль из случайных символов и букв сложнее простой фразы из слов. Но это не так.

>более короткие, связанные по смыслу, и твоим запросам в гугле

Напомню: слова должны быть полностью случайные. При выборе пароля человек не имеет права выбирать слова сам или пропускать "непонравившиеся" случайные слова. Слова должны выбираться случайным образом, а не человеком.

>Предлагаю всё же комбинировать со случайными символами.

Обычная человеческая ошибка. Людям кажется, что если им пароль запомнить сложно, то и компьютеру сложно его угадать. Но это не так. Что сложно для человека очень легко для компьютера.

>> No.4839564  

>>4839559

> Обычная человеческая ошибка. Людям кажется, что если им пароль запомнить сложно, то и компьютеру сложно его угадать. Но это не так. Что сложно для человека очень легко для компьютера.

Очевидно будет сложнее, если у тебя не просто четыре слова из словаря. Придется уже тупо перебирать каждый символ. Достаточно одно слово из четырех слегка поломать, чтобы взлом резко усложнился.

>> No.4839567  

>>4839559

>Им кажется, что пароль из случайных символов и букв сложнее простой фразы из слов.

Пароль из 16 случайных символов и букв сложнее чем пароль из четырех слов.

>> No.4839569  
Файл: bitch.gif -(1 KB, 62x21, bitch.gif)
1

Тащемта, если бы Яндекс использовал более сложные хэши (bcrypt, SHA-512 x 1000-10000), то даже пароли из 3 слов взломать было бы невозможно в приемлемое время.

https://www.netmux.com/blog/how-to-build-a-password-cracking-rig

>два 6-ти (12-ти) ядерных процессора Omochikaeri!
>четыре Nvidia GTX 1070 8GB
>Hashtype: bcrypt, Blowfish(OpenBSD)
>Speed.Dev.#*.....: 43551 H/s

Не написано, на какой сложности стоит bcrypt. Скорее всего bcrypt(6, ...).

Топовое, современное железо даже на слабой настройке bcrypt выдаёт только 43551 комбинации в секунду.

Расчёты:
Словарь 10000 слов, пароль из трёх слов. 43551 переборов при использовании всех четырёх GTX 1070.

Пароль из трёх слов: 10000^3 / 43551 = 22961585 секунд = 8 месяцев 25 дней.

Пароль из четырёх слов: 10000^4 / 43551 = 7 тысяч лет и 281 год.

Пароль из трёх слов с использованием словаря из >>4839143: 2376434^3 / 43551 = 9 миллионов 765 тысяч и 274 года.
>>4839564

>Очевидно будет сложнее, если у тебя не просто четыре слова из словаря.

Для человека. Только для человека.

>Достаточно одно слово из четырех слегка поломать, чтобы взлом резко усложнился.

Усложнилось запоминание для человека. Идти нужно в сторону более сложных и лёгких для запоминания паролей.

>> No.4839570  
Файл: 6850db7679173f9e4d429bfd9586bb28.jpg -(78 KB, 705x353, 6850db7679173f9e4d429bfd9586bb28.jpg)
78

arp spoofing
подмена dns
rtp перехват
mitm атака
Взлом SIM-карты осуществляется путём подключения к сети SS7 через интернет.
При этом можно находиться на другой стороне земного шара.

Прослушка через динамики и колонки
Источник: https://book.cyberyozh.com/ru/proslushka-cherez-dinamiki-i-kolonki/
© CyberYozh security group

Картинка удаленного доступа
https://www.youtube.com/watch?v=IVWR3p252WE&list=PLulFK2ypnnSp8Wng1zdnwvUZ-NYT0oQPf

Как взламывают компьютеры через браузер
https://www.youtube.com/watch?v=lv4pTlcGjWo&index=32&list=PLulFK2ypnnSpVp7icbCNx-ZZzUwQuNHnO

Удаленный доступ | Взлом компьютера
https://www.youtube.com/watch?v=8yLqZ2K4XBM&index=5&list=PLulFK2ypnnSpVp7icbCNx-ZZzUwQuNHnO

UEFI И УНИВЕРСАЛЬНЫЙ МЕХАНИЗМ ЗАРАЖЕНИЯ
https://www.computerra.ru/181364/uefi-trojan-n-bootkit-light-eater/

Вирусы, которые живут только в оперативной памяти
https://habr.com/company/kingston_technology/blog/411163/

>> No.4839574  
Файл: .jpg -(2 KB, 292x292, .jpg)
2

>>4839570

>> No.4839593  

>>4839569

> Для человека. Только для человека.

Я должен объяснять, почему пароль из слов из словаря проще взломать, чем той же длины набор символов, при невозможности использовать словарь?

> Усложнилось запоминание для человека. Идти нужно в сторону более сложных и лёгких для запоминания паролей.

Надо считать, что будет сложнее для взлома и проще для запоминания, добавить ещё слово, или как-то дополнительно изменить слова по какому-то принципу, чтобы их нельзя было тупо подставлять из словаря.

> Тащемта, если бы Яндекс использовал более сложные хэши (bcrypt, SHA-512 x 1000-10000), то даже пароли из 3 слов взломать было бы невозможно в приемлемое время.

Слышал версию, что спецслужбы тормозят слишком сложное для взлома шифрование.

>> No.4839597  

Ноуп x^y > y^x если x>y Всегда, без исключений. Причём чем дальше - тем заметнее. Где то видел даже математическое обоснование. Если постараться можно вывести и самому.
>>4839555
Не знаю, в моё время гнушались хранить на жёстком диске все возможные комбинации. Поэтому хранили только сами пароли. А перетасовкой и заменой символов в них занималась элементарная программа. Уж больно неприлично длинный список получается. Какой смысл?
>>4839593
Видимо требуется. Могу я. Не все понимают, что чистые, не исковерканные словарные слова, это по сути те же символы. Ака иероглифы. В результате, мы получаем пароль из 4 символов. Где вариативность каждого равна длине словаря. Очевидно, что количество существующих в природе слов значительно меньше, чем всех возможных комбинаций составляющих их букв. Насколько мне известно, полный английский словарь на данный момент насчитывает около миллиона слов. Разумеется, при взломе будет использовать другой, намного более короткий словарь.

>> No.4839598  

>>4839597

>Ноуп x^y > y^x если x>y Всегда, без исключений. Причём чем дальше - тем заметнее.

10>2
10^2<2^10

Верно обратное, но и оно не работает для 2 и 3, 2 и 4 и ряда меньших значений.

>> No.4839600  

Теперь понятно почему тред до сих пор не закрыли как остальные. Не понято в какую из тематик его послать. То ли в /s/ то ли в /sci/.




[d | an-b-bro-fr-gf-hr-l-m-maid-med-mi-mu-ne-o-old_o-p-ph-r-s-sci-sp-t-tran-tv-w-x | bg-vg | au-mo-tr | a-aa-abe-azu-c-dn-fi-hau-jp-ls-ma-me-rm-sos-tan-to-vn | misc-tenma-vndev | dev-stat]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог-RSS] [Главная]