Шестое чувство

Потому что 15 символов - это максимальная длина пароля

Re@nimator

Так не честно!!!!!!!!!!!Это слишком лёгкий пароль и если собрать кластер,то брутфорс займёт всего пару часов максимум!

=))))))))))))))))))))))))))))))

лол



Шестое чувство подай на дайри в суд за нарушение прав человека )))))))))



а с броузерами так и надо - поюзаешь - привыкнешь

Шестое чувство

Жизнь - жестокая штука, Вы не замечали?

Давайте устроим тут маленькую дискуссию на тему "Как быстро можно взломать пароль из 15 символов, если он содержит набор букв и цифр?"

Я серьезно

Re@nimator Давайте устроим тут маленькую дискуссию на тему "Как быстро можно взломать пароль из 15 символов, если он содержит набор букв и цифр?"



Ну, 15 - это, конечно, загнули, а вот стандартный пароль из из восьми символов с прописными и строчными буквами и цифрами можно подобрать "тупым" брутфорсом (перебором) за 628 в 8 степени, или 2 183 401 055 849e+14, попыток. Процесс займет приблизительно 7 лет - при скорости перебора 50 тыс. паролей в секунду. Такая скорость перебора достижима только на локальном компьютере, о взломе удаленного хоста на такой скорости речи вообще быть не может.



На практике знаю, что 8-значный пароль для уина ICQ можно подобрать за примерно 1-3 месяца брута по специально составленному словарю - на быстрой выделенной линии, разумеется.

Если цифры, буквы и разный регистр букв то не меньше ста лет я думаю)))

Gonzales гораздо дольше при текущих скоростях перебора, но ведь техника не стоит на месте

LAV © гораздо дольше при текущих скоростях перебора, но ведь техника не стоит на месте



При взломе локального хоста - да, можно достигнуть достаточно высоких скоростей, обеспечивающих приемлемое время брута. Но не на дневниках.



Когда-то я написал 2 программы для подбора паролей к дневниковским логинам. Пройдясь по списку присутствующих, мне удалось с одного раза отловить несколько десятков логинов, имеющих хрестоматийные пароли типа "qwerty" и тому подобных; брут одного логина по словарю занимал порядка нескольких часов - разумеется, при условии, что пароль имелся в словаре. После этого эксперимента администрация приняла соответствующие меры по усилению безопасности, введя ограничение на количество ошибочных регистраций с одного адреса - тупой непосредственный перебор стал невозможен. Скорость перебора на не очень быстром ADSL-соединении была всего порядка 50-80 регистраций в минуту, несмотря на использование программой специальной упрощенной процедуры регистрации.



Разумеется, можно использовать соединение через прокси, но нужно: а) найти список проксов, б) прочекать его на актуальность, в) скорость перебора упадет в несколько раз и с) быстрый массовый перебор на высокой скорости будет равносилен ДОС-атаке на сайт, это отразится в логах и привлечет внимание сисадмина.



Я считаю, что вполне достаточно 6-8-символьного пароля, состоящего из букв, цифр и спец.символов, набранных в разном регистре и не содержащего в себе легкоподбираемых комбинаций и общераспространных слов - при условии его смены не реже 1 раза в несколько месяцев. Гораздо проще ответить на "секретный вопрос" в примари мейле (мне попадался вопрос "как зовут вашу собаку", эта информация была в первой же открытой странице дненика), нежели пытаться подобрать такой пароль.

Народ, простите за нескромный вопрос.. .А вы в своих закрытых дневниках разрабатываете планы уничтожения вселенной, что хакеры должны ушлепываться подбором к ним паролей? Не задумывались, что большинству людей это просто нафиг не надо?

Разумеется, можно использовать соединение через прокси, но нужно: а) найти список проксов, б) прочекать его на актуальность, в) скорость перебора упадет в несколько раз и с) быстрый массовый перебор на высокой скорости будет равносилен ДОС-атаке на сайт, это отразится в логах и привлечет внимание сисадмина.

_________

Просто смешно...Тут какой-то детский лепет разводят...тупые переборы...

Я об умных людях говорю,и о кластере хотя бы из локалки по выделенной линии!!!!!!!!(сотня,другая компов).Притом задосить сервак сейчас наверное любой скрипткиддис способен,я уже не говорю про сканирование и обход фаейрвола с последующим внедрением своей оболочки и получением root-а,а там до списко пассов и юзеров рукой подать!Ещё зависит от того на чём держится сам сервак,если это апач или солярка на новых сорсах,с хорошо прописанной защитой и бдительным админом-ещё куда не шло.А вот есь товарищи которые сидят на виндузяцких осях и попивают кофе на голом ядре!

Esperanto

подай на дайри в суд за нарушение прав человека )))))))))

а с броузерами так и надо - поюзаешь - привыкнешь подмигивание

Ни за что не подам,я их люблю,но просто постоянно делаю какие-то предложения и замечания,которые реально могли бы улучшить жизнь простым смертным типа меня,а ощущение такое,что господа админы считают себя самыми умными,если смогли сделать этот портал!А я больше чем уверен,что движок был не написан,а куплен!Но дело не в том...Я здеси не о правах человека хочу говорить,а о проблеммах безопасности!И удобств.(а по браузеру так никакого ответа не прозвучало).

Шестое чувство

Движок был написан ПОЛНОСТЬЮ нашими программистами, исходя из задач сайта. Ни одна из его частей не была куплена или украдена. Так что Ваша уверенность слишком самоуверенна, уж простите за каламбур.



По поводу паролей. Защита информации напрямую связана с ее ценностью, Вы не находите? Вряд ли какие-то "умные люди" будут предпринимать коварные попытки столь масштабных атак на Ваш (или чей-то еще) дневник.

Поэтому достаточно сложный 15-значный пароль вполне спасает в большинстве случаев.

По Мозилле - дневниковские тэги в ней работают именно так. И ничего с этим не поделаешь

Шестое чувство Я об умных людях говорю,и о кластере хотя бы из локалки по выделенной линии!!!!!!!!(сотня,другая компов)



Это шутка, или как? Кому нафиг нужен ваш, мой, или чей-то еще дневник, чтобы тратить на него столько машинных мощностей и сил квалифицированных взломщиков? Тут же не ядерные секреты хранятся, и не стратегические планы по завоеванию дальнего космоса. А в какую сумму обойдется трафик, Вы не подсчитывали? На ОДНОЙ выделенной линии, как Вы говорите, скорость перебора будет ограничена скоростью этой линии, и даже тысяча машин, об'единенных в кластер никак не увеличат эту скорость.



Ещё зависит от того на чём держится сам сервак,если это апач или солярка на новых сорсах,с хорошо прописанной защитой и бдительным админом-ещё куда не шло.



Да на Апаче он держится, на Апаче. Версии 1.3.33, если Вам интересно. Проблемы безопасности поднимались здесь не раз, все явные и неявные дыры, имевшие когда-то место быть, давно закрыты. Взломать сайт, безусловно, можно - но это по силам хакеру только очень высокой квалификации, которому Ваш дневник и нах не нужен. Если же Вы считаете, что есть возможность получить доступ к Вашему дневнику иначе, чем подобрав пароль, зачем Вам этот самый пароль из 40(!!!) символов - все равно ведь не спасет, верно? Даже супер-пупер кластер на десятке гигабитных выделенных линий будет подбирать 15-символьный пароль тысячелетиями, я уж молчу о побочных эффектах типа гигазов потраченного трафика и сайте, который немедленно ляжет под таким количеством соединений. О количестве вожможных комбинаций пароля - читайте выше, Вы, наверное, пропустили мой комментарий.

Шестое чувство а нафига кому-то вообще ломать твой дневник? :)

там настолько секретная инфа? :))))



а броузеры так работают, работали и будут работать

тут ничего от дайри не зависит :)

Шестое чувство Я об умных людях говорю,



*ржет* про себя что ли?



прежде чем задать вопрос, поднимите руку. кровь прильет к голове и вопрос, возможно, отпадёт сам собой

Re@nimator

Допустим в плане безопасности вы меня убедили.То,что движок сами написали...даже не ожидал БОЛЬШУЩИЙ РЕСПЕКТ!!!

Если взять MyIE 2.0 к примеру,таких глюков с тегами и отображением там не будет?

DDD

Взломать сайт, безусловно, можно - но это по силам хакеру только очень высокой квалификации

Не всё так сложно как кажется...Но если с секурностью у вас полный порядок,то я могу спать спокойно.Может я и параноик в плане безопасности,но лучше так,чем создавать пароли типа qwert.

Esperanto

а нафига кому-то вообще ломать твой дневник?

Ломать можно,чтобы насолить(стереть).Вот залазишь как обычно,а там тебе вместо приветствия"Такого дневника нет",и всё-сотня записей псу под хвост.

Я тему эту поднял,потому что до сих пор понять не могу,каким образом у меня поменялись настройки безопасности...После смены всех паролей на всё чём только можно-вроде нареканий никаких.

Но с браузерами надо что-то делать...Может выкинете список ослов,в которые не глючат с тэгами?

Шестое чувство Если взять MyIE 2.0 к примеру,таких глюков с тегами и отображением там не будет?



Не будет, т.к. MyIE - всего лишь декоративная мордочка над ослом, а движок используется ИЕшный.

DDD

Мдя...не пойдёт.Есть хорошая альтернатива?

Шестое чувство, рекомендую Оперу, но мое мнение чересчур суб'ективно:) Кроме того, "самый быстрый браузер на планете" имеет свою специфику, и на дневниках в том числе.

Слишком много на неё навешано...Но протестируем!