encoding čet 23.9.2021 10:46

I sada ono najzanimljivije: od svih ispitanika koji su pokušali na neki od navedenih načina pogoditi tuđu lozinku, u tome je bilo uspješno njih čak 73,3%.

 

Ovi ostali nisu pogodili jer nisu zapamtili datum rođenja svoje drage 

 

ihush čet 23.9.2021 11:04

.. još jedno 'istraživanje' (koje nije potrebno, osim za potrebe promicanja nečega.. recimo 'sigurnosti').. ali se ne čita kao reklama nego kao istraživanje-studija.

-tj dobijamo rezultat koji već znamo, statistika.. koja će samo oscilirati između trećine-četvrtine ovisno o tasku i broju uzoraka (na manjem broju moguće veće razlike-extremi..).

-da za zadatak damo slaganje puzzli dobili bi isti-sličan (ili različit) rezultat.. koji opet jednako baš ništa ne znači, no piše se o (ne)sigurnosti lozinke.. a to je svrha, recimo msova kampanja-promjena, neki treći način autorizacije, neka nova aplikacija klase keepass itd.. kao da pričamo o npr gladi, proizvodnji hrane ili pretilosti i tad se pojavi reklama za ćevape.. nova trgovina u kvartu i sl. :)

Zaporožac čet 23.9.2021 11:10
encoding kaže...

I sada ono najzanimljivije: od svih ispitanika koji su pokušali na neki od navedenih načina pogoditi tuđu lozinku, u tome je bilo uspješno njih čak 73,3%.

 

 

 Genijalci !

Neka pogode ovu #d)_

 

bilo bi pogođeno 0%

ihush čet 23.9.2021 11:15

-jesi li im bližnja osoba? ako jesi, trećina će pogoditi odnosno četvrtina neće.. tj podnaslov je recmo očekivano-novinarski spetljan :))

.. pogrešan, dubiozan.. tj koja trećina je što? antipod četvrtini koji ne pogađa, dakle trećina je pogodila? tad je pogođeno 33% odnosno promašeno je 66% .. dok članak kaže da je samo četvrtina promašena, tj pogodak 74%.. odnosno sam članak i (pod)naslov su besmislice, pa eto, neće pogoditi tvoj pass, ali ne zbog težine ili statistike nego zato jer ti nisu bližnje osobe :)) (koje bi tad podrazumijevano znale tvoje navike, ime, datum pa i shemu kako stvaraš pass..)

Zaporožac čet 23.9.2021 11:26

Ma, može mi tata biti Gejts, neće pogoditi, jer opet neće skontati kako "stvaram" pass.

Kako se to uči kako netko stvara pass ?!

Neka gleda devet dana kako pravim lozinke i opet ću ga zaj.... jer će imati premalo pokušaja, kao što je navedeno, njih 9.

 

Najlakše je kad tukci upisuju kao lozinku ime ćuke, mace, papagaja, godinu rođenja djece, babe, djeda...unzovajter

Stoja čet 23.9.2021 11:26

Ja sam pred nekih 6-7 godina u inozemstvu na plaži pogodio password od nečijeg hotspota na iphonu, i tako imao besplatni internet  Ali da, ljudi su lijeni raditi unique passworde, još ljeniji koristi PW managere, pa onda samo pitanje da otkriješ jedan i imaš pristup svemu. Ja sam isto poprilično lijen, ali za gmail, facebook, paypal i slične "Teže" servise, imam jake i unique passove, a za sve ostalo imam 2-3 varijacije koje vrtim u krug Ali definitivno gdje god mogu sada idem ono sa sign in with google, i problem je riješen (dok ti netko ne uđe u google account )

win10pro čet 23.9.2021 19:34

Nije problem staviti neprobojnu šifru, problem je zapamtiti ju. Pogotovo danas kad ima milijun servisa koji traže account. Ok mogu koristit neki softver za to, ali opet treba pamtiti šifru i za njega. Još mi se brojevi čine najbolji, nikad nisam zaboravio pin od kartica.

Zaporožac čet 23.9.2021 20:48
veliki pero kaže...
 Program provali za 2 sata.Moj je recimo puno tezi.

 Volim velike i socne 1990

Kako provale ako ne znaju mail ?

moj pass Facebook profila otprilike je npr &D4(:3Wg*-_S\|

 

na koju foru ?

meni to izgleda nemoguće....

kakav je to program ?!

ihush pet 24.9.2021 08:51
keke13 kaže...

Evo tablicu za bruteforce vremena potrebna da se pogodi password

 -upravo to (bazu) objašnjavam u postu gore.. (kriva-druga tema) :)))

-klasični 8bitni chr$ tipkovnice je 250 znakova, znamenke su 10, abeceda usa-26 naša 30.. baza na n-tu su permutacije, bruteforce.

-četveroznamenkasti pin pada čak 'ručno' (npr lokot-lanac za bicikl) za par minuta na računalu 'trenutno', zaštita je samo automatsko zaključavanje s tri pogrešna pokušaja za npr bankomat.. dok na win možemo ručno u par minuta uz recimo uvijet da znamo duljinu-4 znamenke.. zbog 'fičera' da ne traži enter za točnu kombinaciju i tako možemo tipkati po 4 znamenke pa će nešto proći.. najslabija zaštita od svih zamislivih, koju gura ms.. no realno ako osoba ima pristup računalu tad nije problem zaštita pasom-ključem.. dok za jamesbonda nema prepreka.

lovac82 pet 24.9.2021 19:07
Zaporožac kaže...
veliki pero kaže...
 Program provali za 2 sata.Moj je recimo puno tezi.

 Volim velike i socne 1990

Kako provale ako ne znaju mail ?

moj pass Facebook profila otprilike je npr &D4(:3Wg*-_S\|

 

na koju foru ?

meni to izgleda nemoguće....

kakav je to program ?!

 Pamtim jedno desetak takvih slicnih (13 do 16 random, nesretnih 13 minimum), "random" koji to zapravo to meni osobno nije vec sam mu dao neko "cudno" glupo neodredeno znacenje (sve apstraktno ima neku simboliku), nevodeno "javnim mnijenjem" sto nam plasiraju mediji.......  nigdje fizicki zapisanih (odoh ja, odose svi.... jos me trzne tu i tamo hehj, bekrija moj), a ostalih 100-tinjak ili tko zna koliko itd. ne pamtim niti pokusavam pamtiti vec cuvam u password managerima. Mozes to i na nez nekom panelu zapisati pa da ti nije u glavi, vec u fizickom obliku...... samo stvori svoju neku vlastitu logiku ako me kontas (ne treba ti ni password manager, a imas izuzetno sigurno lozinku.... puno sigurnih lozinki dostupnih ko na pladnju koje ne moras pamtiti) ili nauci pamtiti heh.

 

Nez, nesto ovakvoga (prostoga)....

 

https://imgs.xkcd.com/comics/password_strength.png

 

 op

Ali ne, savjetujem svima tecaj za "memoriziranje", biti ce vam od pomoci (ne samo za IT). Bas je bio neki dan opsirni dokumentarac o tome na svapskom......  o teskim profesionalcima (ja sam amater).

encoding pet 24.9.2021 21:45
Zaporožac kaže...
veliki pero kaže...
 Program provali za 2 sata.Moj je recimo puno tezi.

 Volim velike i socne 1990

Kako provale ako ne znaju mail ?

moj pass Facebook profila otprilike je npr &D4(:3Wg*-_S\|

 

na koju foru ?

meni to izgleda nemoguće....

kakav je to program ?!

Nitko (u teoriji bar, od velikih igrača) ne bi smio/trebao spremati lozinke onako kako ih ti zapišeš, nego ti utipkaš lozinku za fejs, a browser ju prevede u tzv. hash (u teoriji, s današnjim računalima) neprevedivo nazad. Što to znači? Da kad hashaš tvoju lozinku, dobiješ hash(lozinka), a iz njega više nemreš dobiti lozinku nazad nego samo vidiš skup žnj znakova. 

 

hash(123456) = 8d969e...

 

Fejs sprema te žnj znakove u bazu. Par godina kasnije, cijela ta baza ispadne negdje van i bude dostupna svima (pa i zlonamjernim osobama), uključujući mailove i lozinke za login. Kvaka? Nisu vani baš lozinke, nego hashevi. Pa dobro, onda smo sigurni?

 

Izračunati hash nije nikakva tajna, dapače takvih metoda je malo pa svi koriste istu ili par varijacija. Haker sad kreće s jednom ovakvom listom:

hash(123456) = 8d969e...

 

Odjednom vidi u bazi

usernameZaporožac

password hash8d969e...

 

Tako gađa tvoju lozinku na temelju podataka koji su "iscurili", iako nigdje nije iscurila "baš lozinka". Ali nisi ti glup, nećeš staviti 123456 nego nešto dulje... Nije ni to problem.

 

 

Kad izroka sve najčešće lozinke, onda kreće s kombinacijama kako je kolega gore naveo u tablici, pa roka po riječniku, kombinacije slova, brojki u stilu

11111111111

11111111112

...

9999999999

itd. 

 

Pošto hash računa na svom PC-u, doma, u mračnoj sobi, s grafičkom karticom (ili par njih) koje imaju core-ove za paralelno računanje pa gađaju milijarde kombinacija u sekundi, bez Facebook logina koji će ga spriječiti (jer ne pogađa na njihovoj stranici koja bi ga spriječila nakon par pokušaja).

 

Zato se isplati imati dugačku lozinku visoke entropije (npr 26 možeš posložiti na više načina nego 9 znamenki) jer će onda hakeru trebati više vremena, nekada i previše (npr 200 tisuća godina) pa će se radije baviti nekim tko za lozinku stavlja datum rođenja

win10pro sub 25.9.2021 05:15

Još treba uzet u obzir "delay", za svaki pokušaj mu treba 50ms da sazna dal je password ok ili ne... dosta to usporava. Nije isto pogađat string u ramu i slat request za svaki pokušaj.

 

Hash se sprema sa "saltom", ili se koriste drugi algoritmi... osim "12345" sve ostalo bi trebalo biti sigurno danas.

Zaporožac sub 25.9.2021 11:26
encoding kaže...

 Pošto hash računa na svom PC-u, doma, u mračnoj sobi, s grafičkom karticom (ili par njih) koje imaju core-ove za paralelno računanje pa gađaju milijarde kombinacija u sekundi, bez Facebook logina koji će ga spriječiti (jer ne pogađa na njihovoj stranici koja bi ga spriječila nakon par pokušaja).

 

Zato se isplati imati dugačku lozinku visoke entropije (npr 26 možeš posložiti na više načina nego 9 znamenki) jer će onda hakeru trebati više vremena, nekada i previše (npr 200 tisuća godina) pa će se radije baviti nekim tko za lozinku stavlja datum rođenja

 Hvala, eto netko zna nešto objasniti jednostavnim rječnikom... a ne kao ihush 

Nego, uvijek me je čudilo kad se jave likovi "da su mu curi probili" h..khm pass...

Baš će takvi likovi koji bucaju s više grafičkih ići na nekakve nebitne Anice Anić i sl.

 

Kako ti poluamateri upadnu u profil tzv anice anić ?

Nije valjda da cura stavi pas qwerty ili anica 1  pa tako upadaju ?!

 

 

fer-de-lance sub 25.9.2021 12:42
Zaporožac kaže...

 Hvala, eto netko zna nešto objasniti jednostavnim rječnikom... a ne kao ihush 

Nego, uvijek me je čudilo kad se jave likovi "da su mu curi probili" h..khm pass...

Baš će takvi likovi koji bucaju s više grafičkih ići na nekakve nebitne Anice Anić i sl.

 

Kako ti poluamateri upadnu u profil tzv anice anić ?

Nije valjda da cura stavi pas qwerty ili anica 1  pa tako upadaju ?!

 Za to ima više objašnjenja.

Ili su joj uvalili   - mislim fake link, na koji je upisala svoje podatke, ili su išli na tak jednostavno pogađanje čeatih kombinacija, ili su na temelju podataka s profila pogodili lozinku, ili su koristili faceniff ili nekaj slično (nisam u toku, jel to još ivijek šljaka?) kojim si mogao/možeš vidjeti nekriptirane facebook podatke svih ljudi koji su spojeni na isti wifi kao i ti.

Milijun mogućnosti, nije to nekaj kaj hakeri rade, nego ljudi kojima je dosadno u životu pa se zabavljaju...

 

midzan21 sub 25.9.2021 12:52

Totalno random - ali pogodio sam jednu lozinku od maila za koji je osoba mislila da treba radit reset iste, a ne bi išlo jer broj povezan sa tim mailom kao i mail adresa koji su korišteni za security su bili "ukradeni" (hint: izgubljen mobitel sa kojim je sve bilo povezano, naravno mail je bio reda radi samo za aktivaciju Androida i YouTube-a). Trebalo je nekih pola sata, i lozinka je otkrivena, nikakav brute force, samo logika i par pokušaja sa kombinacijom koje je sjećala osoba i voila - vraćen bitan Gmail. I nakon toga je stavljen drugi broj za security kao i nova mail adresa (Hotmail tj. Outlook) te sad nema problema kod lozinke. Plus je resetirana.

encoding ned 26.9.2021 20:44

Kako ti poluamateri upadnu u profil tzv anice anić ?

Nije valjda da cura stavi pas qwerty ili anica 1 pa tako upadaju ?!

 

 

Sam si si dao odgovor (mada je moguće nekoliko opcija)

  • kliknula je kakav phishing link (npr. SMS-om)
  • koristila je datum rođenja (pa je lozinku pogodio dečko/ljuta frendica, ali bolje zvuči reći da si "hakiran" - ovo je cca 90% srednješkolskih/studentskih "hakiranja" instagrama)
  • nije koristila datum rođenja nego lozinka123456što je onda trivijalno pogodio gorespomenuti haker. Ne zato jer ne voli Anicu (za koju ni ne zna) nego automatizmom probija račune ne bi li našao kakve privatne info tipa brojevi kartica, lozinke za druge loginove gdje bi se mogli nalaziti brojevi kartica i sl.

 

 

veliki pero uto 28.9.2021 14:19
ihush kaže...
keke13 kaže...

Evo tablicu za bruteforce vremena potrebna da se pogodi password

 -upravo to (bazu) objašnjavam u postu gore.. (kriva-druga tema) :)))

-klasični 8bitni chr$ tipkovnice je 250 znakova, znamenke su 10, abeceda usa-26 naša 30.. baza na n-tu su permutacije, bruteforce.

-četveroznamenkasti pin pada čak 'ručno' (npr lokot-lanac za bicikl) za par minuta na računalu 'trenutno', zaštita je samo automatsko zaključavanje s tri pogrešna pokušaja za npr bankomat.. dok na win možemo ručno u par minuta uz recimo uvijet da znamo duljinu-4 znamenke.. zbog 'fičera' da ne traži enter za točnu kombinaciju i tako možemo tipkati po 4 znamenke pa će nešto proći.. najslabija zaštita od svih zamislivih, koju gura ms.. no realno ako osoba ima pristup računalu tad nije problem zaštita pasom-ključem.. dok za jamesbonda nema prepreka.

 Znaci iz ove teme sto si je izvukao imas primjer:

4erw%£$gbU - (10 karaktera) - vrijeme potrebno za brutoforce 330 godina
Mali mujo jede burek od nutele (30 karaktera sa razmakom) - vrijeme potrebno za brutoforce 1 qnd godina.

Koja je laksa za zapamtiti i koja je sigurnija?

ihush uto 28.9.2021 15:19

-u čemu je problem? :)

ili ovako, što je kriterij, lakše pamćenje ili sigurnost-probojnost brtuanjem?

-imašpost-temu kad već referiraš, s odgovorom.. 

-pod istim uvjetima, duža će biti teža, čisto fizički .. ali ako nisu isti uvjeti, baza permutacije, tad imaš čudne rezultate, pa tako kraći može biti teži.

-sama duljina.. ako ti nije dovoljno 10-znakova, koristi više, 15-20-500.. tj možeš li zamisliti broj permutacija na duljini passa od recimo 100 znakova koji koriste sve char$ tipkovnice i razliku ako su samo brojevi, koji su već u odnosu na abecedu manji početni skup, n-na-ntu.. permutacija n!

 

-da, točno, ako je gornja tablica točna, broj permutacija .. a može biti i više, npr tipkovnica se uzima kao 8bit-charset, može biti i 16bit, kvadratno-više permutacija, npr ne usa charsert nego ćčšž... +ostali znakovi koji se mijenjaju layoutom tipkovnice ovisno o državi pa imaš slovo s umlautom itd. tad je baza veća i tad je broj prermutacija veći, time manje znamenki za istu sigurnost itd.. (ako baš želiš tako 'dokazivati').. :)

-po tablici takvu-veću sigurnost korištenjem svih znakova (ne samo slova-brojke) dobiješ s 15-16 znakova, dakle dvostuko manje od muje s burekom .. + koji može kao fraza biti u dictu i time banalno brzo probijen u minutama-satima..

 

-sigurnost? ovisi.. ako je kombinacija znakova takva, takve duljine (prosječna osoba može memorirati do 12 znamenki.. tj to je već za mensu) da ne možeš pamtiti, nego moraš zapisati-prepisati, tad ima dva suprotna tumačenja sigurnosti, teže-sigurnije .. pa po tome jače-bolje, ali i problem jer moraš zapisati a time već stvaraš dodatnu mogućnost da netko dođe do tog podatka-zapisa + ako ga izgubiš nemaš ništa dok svaka kopija povećava rizik da je netko može saznati.. dva suprotna logična stava, oba točna ovisi kako gledaš kriterij sigurnosti, odnosno nije isto ako bi takav bio pin za bankomat tj time bi povećao rizik tj morao bi imati recimo papirić u novčaniku-zapisano.. dok kratki pin pamtiš i ne zapisuješ ga.. nasuprot sef banke se ne otvara svaki čas, tad je papirić-ključ nešto što se drži i koristi po potrebi ne često.. a to su primjeri koji uključuju i stvarnost, praktičnost .. kao što je neki sort mehanizam brži-bolji ovisno o veličini skupa na koji se primjeni, dok je drugi možda sporiji ali može raditi s neograničenom količinom-bazom.. i o tome će ovisiti koji će se implementirati .. jednako i šifra, tj ne samo teorija brojeva nego i praktičnosti tj svega što tad s time ide .. a osnova je pitanje što je potrebno, što se želi.. sigurnost ili praktičnost, ili-ili..

 

- pošto je u primjeru mujo s nutelom, tad će mujo s burekom bit bolji, jer ga nismo naveli kao primjer i nije možda u nekom dictu zapisan, kao i to da umjesto muje možemo uzeti hasu-ibru-štefa-jožu-fritza.. tj ova tema je stvar poznavanja osobe, navika, recimo ime i datum.. tad već znamo dio podataka i tad se brute može skratiti, kao i to recimo ako je osoba francuz-njemac-zagorac.. koja će slova koristiti ili koja neće..

.. možda će frenč koristiti riječi kao amore, možda njemac uberales, možda štefek neki gemištek .. po dictu će prvi pasti frenč, gemišt nikad osim ispod stola.. :) jer nam je jezik i skup znakova takav da ubija permutacije efikasnije tj korsti i padeže-rodove-deminutive itd.. pa samo s riječi gemišt imaš recimo gemišteka (bumo spili) .. na čemu bi i googleovo računalo trebalo x-puta više vremena nego s defaultima koje uzimamo kao izračunate tablice.. tj pitanje je koliko naše permutacije to mogu otežati, ne sam algoritam, nego pogađanje koje se uvjek u težoj šifri mora probati prije čistog brutanja jer.. za teže trebaš trilijarde godina koje naprosto nemaš..

 

-gornja tvrdnja je 'izvučena' .. imaš točan odgovor u prvoj rečenici citata, pod istim uvjetima + ako je potrebno jače, može duže.. Konkretno ne kažem da je 10-znamenki jače od 30-mujo, nisam ni prebrojavao.. niti znam napamet podatke iz gornje tablice..

 

-jednostavnost za pamćenje? .. tamo gdje je potrebna sigurnost, tamo se koristi adekvatna šifra kao i ostalo povezano (zaštitari, sef itd..) .. a duljina i pamćenje, može se riješiti recimo keepassom i sl alatima dok browser recimo nudi pamćenje pa korisnik ne mora utipkavati za forum ili face.. tj nije problem pamćenje i utipkavanje recimo na računalu, ali može biti na bankomatu, tj sve što uspoređuješ moraš 'normalizirati' i staviti u neki (realni) kontekst-potrebu-smisao, ne kruške&jabuke itd.. pa face pass može biti takve složenosti da ga nitko nikad neće probiti pri čemu juzer uopće nema problem logina jer to radi browser ili neki treći soft .. a problem sigurnosti se tad sa spomenutog pasa-facea prebacuje na tu app kao browser ili keepass tj dok su oni sigurni, juzer je siguran-miran.. a to vrijedi za većinu juzera osim za jamesbonda.

+ to je sve povezano s ms-win, loginom pass ili pin fičerima koje gura ms i industrija, kao biometrija-otisak itd. itd.. ako 'sigurnost' što je ponekad čak smiješno-tužno. ..

 

+ u toj povezanoj temi.. bitan dio, povezano s promjenjivošću recimo otisak prsta i svi problemi kad se to koristi za autorizaciju-autentifikaciju.. najgori problem je nepromjenjivost, jer.. standardno recimo winserver default za juzere mienjaš pass svakih recimo 90 dana.. tri mj.. pa sad baci pogled na tablicu-vrijeme brutanja.. tj po tome je dovoljno ako je pass otporan na recimo 100-više dana, ne mora 100godina, tj ako svakih x-dana mijenjaš, tad time eliminiraš rizik brutanja, tj može sutra postojati chip koji to bruta umjesto za trilijardu godina za recimo godinu... i ako je nepromjenjivo, tad će probiti, ako je promjenjivo, tad dok probije postane beskorisno.. time eliminiraš superračunala kao problem i time dobiješ veću sigurnost klasičnim passom nego otiskom prsta ili nečim nepromjenjivim itd itd.

 

-banalno, dovoljno je recimo 12-16 slova (ne nužno znakova) i recimo mijenjati pass svaki mjesec.. može to biti mujo-i-nutela, može mujo-i-ćevap, može štef-i-jogurt.. tj možemo imati jednostavan 'jelovnik' kojeg lako pamtimo, možemo mijenjati ime osobe, možemo dodati jedan znak kao broj-znamenku recimo za mjesec i tako imati dovoljno jaku zaštitu, dovoljnu da nitko osim jamesbonda neće probiti čak i da koristi startrek trikoder i ostale fičere.. i zato to firme-poslovi koje to trebaju tako i rade (do se juzer koji prigovara na to u temi ljuti..) :)

 

-što ako u frazi mujo&nutela koristimo neki znak, osim slova-brojeva? .. računa li se i razmak u poseban znak i kriterij ako nije dozvoljen razmak jer uvjek postoje znakovi koji nisu dozvoljeni za unos itd..

-koliko je sigurnija fraza mujo i nutela od mujo&nutela s-bez razmaka + možda još neki znak kao postotak% ili neko recimo 'domaće' slovo pa dodamo recimo pivo-žuju ili samo slovo ž ... koliko će tad običan brute biti teži-duži? .. puno-dovoljno tj svi koji trebaju imaju adekvatne metode za odgovarajuće težine passa koje mogu zadovoljavajuće otežati brutanje + dict-fraze kao i eliminirati superračunala-resurse .. no čemu?

.. tj čemu pass recimo na forumu ili faceu ako je recimo neprobojan.. tj ako ne možemo osigurati sigurnost facea ili foruma? drugu stranu koja može što želi, tj ako forum želi moj pass tad će ga vidjeti-znati.. a tad mi je beskorisna sva mudrost i permutacije-zaštita. .. tj sve što se radi bi trebalo imati neki smisao, ako napravimo neprobojna vrata, što spriječava provalnika da sruši zid ili prozor? dimnjak? podrum? .. zašto bi provaljivao vrata ako s druge strane može proći .. i tad je to sve relativno-besmisleno ili teorija a praksa nešto deseto, kao i ovaj text-post :))

 

edit: evo i stricjura, očekivano daje svoj primjer.. mada nema riječi sex i izvedenice :) .. tj opet je stvar poznavanja navika-osobe ispred samog brutanja, pa ako netko probija stricjuru mora pokušati sexom i sl. .. :))