кирилические пароли

кирилические пароли

Сообщение Olej » 28 янв 2017, 16:02

Возникло такое ... смешное соображение: в качестве пароля использовать его набранным на русской раскладке, в кодировке UTF-8, которая принята сейчас повсеместно в Linux:
Код: выделить все
[olej@dell ~]$ sudo passwd stupid
[sudo] пароль для olej:
Изменяется пароль пользователя stupid.
Новый пароль :
Повторите ввод нового пароля :
passwd: все данные аутентификации успешно обновлены.
[olej@dell ~]$ su - stupid
Пароль:
[stupid@dell ~]$ whoami
stupid

(я даже в качестве пароля здесь установил тоже "stupid", но набранное на русской раскладке клавиатуры - я даже не знаю что там я набирал)

Это будет большим сюрпризом для того, кто попытался бы подобрать такой пароль. :lol:
То, что кирилическая 'К' (болшая) будет 2 байта D0 9A - для малолетних сопливых "хакеров" может быть большим откровением ... тем более, что они дальше Windows ничего не слышали, а про UTF-8 не догадываются.
Olej
 
Стаж: 48 лет 23 дня

кирилические пароли

Спонсор

Спонсор
 

Re: кирилические пароли

Сообщение Olej » 28 янв 2017, 17:01

И то же самое при удалённом подключении по SSH (т.е. обмены SSH не смущают не-ASCII байты в потоке ... что мне сначала показалось, что это не так):
Код: выделить все
[olej@dell .ssh]$ ssh stupid@192.168.1.101
The authenticity of host '192.168.1.101 (192.168.1.101)' can't be established.
ECDSA key fingerprint is SHA256:Jhd8ErBQXvPxi5ZJFOtPLcQQLmKANznLpQG5IHRxR7c.
ECDSA key fingerprint is MD5:72:a8:4f:33:85:c4:0e:a1:01:7c:b0:be:c3:09:b5:b1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.101' (ECDSA) to the list of known hosts.
stupid@192.168.1.101's password:
Last login: Sat Jan 28 13:25:48 2017
[stupid@dell ~]$ whoami
stupid
...

А вот как логи на хосте SSH-сервере зафиксировали это подключение:
Код: выделить все
[olej@dell etc]$ journalctl --since="2017-01-28 15:00" -u sshd
-- Logs begin at Пт 2016-04-22 12:18:30 EEST, end at Сб 2017-01-28 15:49:05 EET. --
янв 28 15:49:04 dell.localdomain sshd[18606]: Accepted password for stupid from 192.168.1.101 port 41812 ssh2

Код: выделить все
[root@dell audit]# cat audit.log | grep sshd | grep USER_LOGIN | tail -n2
type=USER_LOGIN msg=audit(1485611288.073:1254): pid=18538 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=192.168.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1485611345.051:1274): pid=18606 uid=0 auid=1001 ses=7 msg='op=login id=1001 exe="/usr/sbin/sshd" hostname=192.168.1.101 addr=192.168.1.101 terminal=/dev/pts/21 res=success'


И это (как всякое и понятное единообразие) радует. :)
Olej
 
Стаж: 48 лет 23 дня

Re: кирилические пароли

Сообщение Olej » 28 янв 2017, 17:14

Мне кажется, что малолетнему придурку над таким паролированием придётся сильно попотеть :lol:
Хотя бы просто потому, что все их "программные средства" :x ... того же перебора паролей - делаются в Windows и в привычках вынь-даунов. :D
Olej
 
Стаж: 48 лет 23 дня

Re: кирилические пароли

Сообщение Oleg65 » 28 янв 2017, 18:31

Ну не думаю, подбор паролей это же не мгновенное осуществление, как описывается в Интернет (да и в описании программ - в течении минут будет ЧУДО), как правило это сбор IV's, векторов, и их обработка. Чем больше информации (собранных IV's) тем больше вероятность вскрыть аккаунт.... На это уходит достаточно много времени - на сбор и на обработку.... В общем - для вскрытия нужно время, достаточно полный словарь (что почти не осуществимо) и .... мозги, как все это ускорить и обойти. Кстати - ИМХО, не важно как закодирован аккаунт, ну не спец по декодированию, ну так, по небольшому опыту: вскрыть 8 аккаунтов WiFi - потребовалось около 2-х месяцев, без использования активного вскрытия, думаю, что вскрытие SSH займет раза 2-3 больше времени... Пытался вскрыть вафли дома, где я живу, без последствий для всех - эксперимент (ну не враг (хакер) же я?).
Аватар пользователя
Oleg65
Местный говорун
Местный говорун
 
Сообщений: 798
Стаж: 3 года 5 дней
Откуда: г.Коломна Моск.обл.
Благодарил (а): 59 раз.
Поблагодарили: 185 раз.

Re: кирилические пароли

Сообщение Olej » 29 янв 2017, 11:46

Oleg65 писал(а):

На это уходит достаточно много времени - на сбор и на обработку.... В общем - для вскрытия нужно время, достаточно полный словарь (что почти не осуществимо) и .... мозги, как все это ускорить и обойти.

Это всё известно, понятно...
Хорошо описано и посчитано, то что называется криптостойкостью.
Вот, хотя бы, на элементарном уровне - Сложность пароля
Цитата:
Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии (понятие из теории информации), измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле. Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 2^42 паролей и попытаться использовать их; один из 2^42 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный.

Но как только появляются в Linux пароли и имена в UTF-8 (Windows всё это не касается), в национальных алфавитах (русский - только частность, вставьте 1 букву на каком-нибудь югуртском):
"вася" - это для перебора 8 байт, перемежающиеся байтами D0, а остальные байты не попадают в коды ASCII... - словарь литер а). поменялся + б). расширился ... и расширился катастрофически - для подбора того же "вася" полным перебором нужно уже перебрать 256^8 комбинаций, а не 95^4, как при традиционных паролях; или в терминах энтропии: 8 х 8 = 64 бит против 6,5699 х 4 = 26,2796 бит, т.е. 2^64 вместо 2^27 вариантов перебора ... разница в 2^37 раз - чудовищная.
Olej
 
Стаж: 48 лет 23 дня


Вернуться в Командная строка

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron