Мощность современных компьютеров продолжает расти, что позволяет решать всё более сложные задачи быстрее. Одним из побочных эффектов этого явления выступает возможность взлома тех паролей, которые ещё несколько лет назад казались надёжными.
Недавнее исследование «Лаборатории Касперского» показало, что видеокарта RTX 4090 может угадать восьмизначный пароль, состоящий из английских букв одного регистра и цифр, всего за 17 секунд. А свыше половины всех используемых в киберпространстве паролей (59%) можно взломать менее, чем за час.
Для аутентификации пользователей веб-сайты хранят пары логин-пароль в виде хешей, а не в открытом виде. Хеши защищают пароли в случае утечки, добавляя соль перед хешированием для предотвращения использования радужных таблиц. Несмотря на необратимость хешей, злоумышленник, получивший доступ к утекшей базе данных, может попробовать подобрать пароли, используя готовые инструменты, такие как hashcat, доступные в открытом доступе.
Так вроде для подбора пароля нужен ХЕШ-файл непосредственно с компа, как его достать? вирусом? Вирус пиздящий ХЕШ-файл который потом надо расшифровать методом перебора, а не проще чтобы вирус пиздил данные об нажатых кнопках на клавиатуре? я такой херней в 2007 году страдал...
Я так понимаю пароли в скором времени потеряют смысл. И как ни странно я этому рад. Задолбался их придумывать и запоминать для разных ресурсов.
Вы биометрию уже сдали на Госуслугах?
Скрытый текст
Это я к тому, что нас так старательно убеждают, что цифро-буквенные варианты защиты своей информации уже не актуальны, а вот биометрия это Панацея.
Как бы не противились люди, биометрия будет так же востребована, как сейчас безналичная оплата.
Но есть нюанс: если я некоего человека вырублю в укромном месте, то мне будет доступен и его телефон, и пальчик, которым я и телефон разблокирую, и в банковское приложение по отпечатку зайду. Ну а фильм, где Шварценеггер чужим отрезанным пальцем двери открывал, думаю, многие смотрели. Недавно в моде была страшилка, как некие люди ходят по местам с большим скоплением людей и носят портативные платежные терминалы, которыми прижимаются к чужим карманам и сумкам, чтобы незаметно сделать транзакцию с лежащей там карты. А что если будут и к пальцам "случайно" прижиматься или отпечатки снимать?
Это сообщение отредактировал point027 - 20 июн. 2024 г. в 08:52
Люди такие дураки, что их и взламывать не надо, сами все выложат. чисто для теста: у кого на смартфоне стоит антивирь? глупость про отсутствие вирусов под андроид не пишите.
Мощность современных компьютеров продолжает расти, что позволяет решать всё более сложные задачи быстрее. Одним из побочных эффектов этого явления выступает возможность взлома тех паролей, которые ещё несколько лет назад казались надёжными.
Недавнее исследование «Лаборатории Касперского» показало, что видеокарта RTX 4090 может угадать восьмизначный пароль, состоящий из английских букв одного регистра и цифр, всего за 17 секунд. А свыше половины всех используемых в киберпространстве паролей (59%) можно взломать менее, чем за час.
Для аутентификации пользователей веб-сайты хранят пары логин-пароль в виде хешей, а не в открытом виде. Хеши защищают пароли в случае утечки, добавляя соль перед хешированием для предотвращения использования радужных таблиц. Несмотря на необратимость хешей, злоумышленник, получивший доступ к утекшей базе данных, может попробовать подобрать пароли, используя готовые инструменты, такие как hashcat, доступные в открытом доступе.
Так вроде для подбора пароля нужен ХЕШ-файл непосредственно с компа, как его достать? вирусом? Вирус пиздящий ХЕШ-файл который потом надо расшифровать методом перебора, а не проще чтобы вирус пиздил данные об нажатых кнопках на клавиатуре? я такой херней в 2007 году страдал...
подразумевается хеш не с компа а с сервера. то есть при входе на сайт ты забиваешь пароль, сервер считает его хэш и сравнивает с тем что в базе. если сходится то открывает соединение. вообще самое первое что в голову приходит это перемешивать по определённому алгоритму логин с паролем перед подсчётом хэша. тогда злоумышленнику потребуется ещё и доступ к этому алгоритму получать. по хорошему конечно и этот алгоритм и сама база хэшей сидит на отдельном сервере под управлением максимально закрытой и урезанной операционки которая занимается ответами на вопрос верна ли данная пара логин пароль или нет, выполняет функцию добавления пользователя с уведомлением удалось ли это сделать и если нет то почему и функцию смены пароля для данного логина. в облачных технологиях где хуева туча виртуальных и реальных серверов и никто уже точно не знает что и кто куда имеет доступ этим особо не заморачиваются. как говорится порядок удел серых посредственностей, истинный гений господствует над хаосом)
Это сообщение отредактировал ss1971 - 20 июн. 2024 г. в 09:13
Зависит от алгоритма.. голый MD5 , взломать легко , даже если пароль там будет из всех вышеперечисленных вариантов тут отписанных) Вы думаете ломают только по словарю и брутфорсом ? Методов и их реализации хватает. В грамотных руках и 4090 не нужна , а если есть то очень грозное *оружие*)
MD5 это алгоритм для контроля целостности, ничего общего с шифрованием он не имеет
Размещено через приложение ЯПлакалъ
GSR Jazv johnsn и др. Вам не приходила в голову мысль, что у подавляющего большинства людей пароль так или иначе содержит нормальные человеческие слова? И таких слов не так много! Так что достаточно сначала пройтись обычными методами криптографии (именно локально!), проверяя куски на "человечность". Из многих триллионов вариантов останутся единицы, которые можно оценить визуально (хотя и это можно алгоритмизировать!).
В методах расшифровки я не силён, а вот "методов" придумывания слышал много. Все они основаны на лёгкости запоминания и однообразия искажения обычных слов. Помните ники кулхацкеров (LiTtLeBiG, Аццкий 👿 чорт и т.п.)? У обывателей ещё более убого.
Люди такие дураки, что их и взламывать не надо, сами все выложат. чисто для теста: у кого на смартфоне стоит антивирь? глупость про отсутствие вирусов под андроид не пишите.
у меня нет на мобиле антивируса, лучший антивирус ето включенный мозг, я на телефон ставлю только официальные проги, например прога для банка или для телеги остальной мусор я не ставлю, соответственно и антивирус мне нахуй не нужен, без него батарейка уходит в ноль за два дня а с ним думаю уйдет за день.
Это сообщение отредактировал EmeT - 20 июн. 2024 г. в 15:37
Для защиты аккаунтов, в идеале, рекомендуется использовать случайные пароли, сгенерированные компьютером.
Какой дэбил рекомендует? Генераторы работают по алгоритму, который проще вскрыть.
какому алгоритму? откуда ты знаешь где сгенерирован пароль и какой там алгоритм? или может ты по хешу можешь сказать какая программа генерировала пароль? пароль за этим хешом какая программа генерировала: 2f0f1459f7250037b5d2ab0cfc10e0bc33d0db6ff91cade2aaf7a86087f959e7
Это сообщение отредактировал EmeT - 20 июн. 2024 г. в 15:57
Для защиты аккаунтов, в идеале, рекомендуется использовать случайные пароли, сгенерированные компьютером.
Какой дэбил рекомендует? Генераторы работают по алгоритму, который проще вскрыть.
какому алгоритму? откуда ты знаешь где сгенерирован пароль и какой там алгоритм? или может ты по хешу можешь сказать какая программа генерировала пароль? пароль за этим хешом какая программа генерировала: 2f0f1459f7250037b5d2ab0cfc10e0bc33d0db6ff91cade2aaf7a86087f959e7
у меня нет на мобиле антивируса, лучший антивирус ето включенный мозг, я на телефон ставлю только официальные проги, например прога для банка или для телеги остальной мусор я не ставлю, соответственно и антивирус мне нахуй не нужен, без него батарейка уходит в ноль за два дня а с ним думаю уйдет за день.
видеокарта RTX 4090 может угадать восьмизначный пароль, состоящий из английских букв одного регистра и цифр, всего за 17 секунд.
Только вот беда - этот перебор доступен лишь на локальной машине. В сети у всех нормальных сайтов давно уже защита от перебора и блок после нескольких неправильных попыток
Прикол в том что даже не нужно никаких блокировок, накладные расходы все равно всё сожрут. Даже если хост будет обслуживать кластер из всех серверов мира, а пинг будет 1 мс, то все равно подбор может занять вечность.
Какой смысл в умении чего-то там перебирать миллиарды паролей в 0.00001 секунду, если программа, которая запрашивает пароль, не разрешит вводит пару логин/пароль более 3 раз подряд и потом запрет на проверку на, допустим, 10 минут? А если кто-то стырил базу с логинами и хэшами паролей - тут уж проблема совсем другого характера.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
А если кто-то стырил базу с логинами и хэшами паролей - тут уж проблема совсем другого характера.
yaplakal.com