Ustawiliście w jakimś serwisie hasło o długości przekraczającej 40 znaków i myślicie że nikt go nigdy nie złamie? Nie bylibyśmy tacy pewni – wszystko zależy od tego, w jaki sposób tak długie hasło zostało stworzone.
Przy okazji ostatniego wycieku z serwisu Last.fm ujawniono ponad 40 milionów haseł zapisanych w formie jednokierunkowej funkcji skrótu MD5. Funkcja ta ma to do siebie, ze wiele serwisów stosuje ją do „zabezpieczania” haseł a jednocześnie z jej obliczaniem świetnie radzą sobie nawet przeciętne karty graficzne. Serwis LeakedSource który ujawnił wyciek z Last.fm poświęcił kilka chwil na złamanie ponad 98% haseł użytkowników Last.fm i ujawnił ponad 100 najdłuższych z tych, które udało się pokonać. Jest też jedno, które wygląda na polskie.
Fraza jest dobra, ale nie ze słownika
Tworzenie hasła na podstawie zdania jest dobrym pomysłem, pod warunkiem, że zdanie to nie pochodzi z wiersza, piosenki, książki czy innego źródła dostępnego dla osób postronnych. Nawet 46-znakowe hasło nie pomoże – szczególnie jeśli jest tytułem piosenki Bloodhound Gang.
alapdanceissomuchbetterwhenthestripperiscrying
Nawet najdłuższa nazwa meksykańskiego zespołu też nie jest najlepszym pomysłem
paracoccidioidomicosisproctitissarcomucosis
Tak samo jak nazwa fikcyjnego klubu motocyklowego
sonsofanarchymotorcycleclubredwoodoriginal
Tytuły piosenek (chociaż pierwszy szanujemy za spacje)
This War Is Ours (The Guillotine Part II) ilikedyoubeforeyouwerenakedontheinternet Packt Like Sardines in a Crushd Tin Box
Tytuł rozdziału książki
The unveiling of the company of heaven.
Nie pomoże nawet długi spacer po klawiaturze
1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/
Popularna fraza pentesterów
<script>alert(document.cookie);</script>
Złym pomysłem jest przytrzymanie jednego klawisza
122333444455555666666777777788888888999999999 lllllllllllllllllllllllllllllllllllllllllllll 0000000000000000000000000000000000000000000 assssssssssssssssssssssssssssssssssssssssss pupupupupupupupupupupupupupupupupupupupu aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa puppyfaceeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
A pomysłem fatalnym jest powtórzenie tego samego ciągu kilka razy w celu zbudowania silniejszego hasła – takich przykładów było wśród odgadniętych haseł kilkadziesiąt:
perseusandtheseamonsterperseusandtheseamonster tuhgsbemakinuottuhgsbemakinuottuhgsbemakinuot MganificentBuxeMganificentBuxeMganificentBuxe kiirosillynijnakiirosillynijnakiirosillynijna pnukgirl5121990pnukgirl5121990pnukgirl5121990 klilthepreppiesklilthepreppiesklilthepreppies msrillamongosoemsrillamongosoemsrillamongosoe
I na deser przypadek prawdopodobnie z naszego kraju czyli
NeitolerancjaNeitolerancjaNeitolerancja
Spójrzcie teraz na swoje hasła i zmieńcie te, które zmienić trzeba.
Komentarze
Czyli, krótko mówiąc, żadne hasło które da się zapamiętać nie jest dobre?
Żadne hasło właściwie chronione nie jest dobre.
Jak tekst piosenki to tak. Ale jak to jest coś w stylu „Miałem wczoraj niebiesko-czerwony T-Shirt w kratkę” to już trudniejsze do zbruteforceowania, nawet jak serwis ma wszystko w czterech literach i nadal używa MD5. Bo łamanie hashy w zasadzie nie jest inne niż łamanie haseł np. do archiwów ZIP. Albo jedziesz słownikiem, albo bruteforce. Jak słownik wymiękł przy jednym hashu, to niestety trzeba bruteforce’ować a to może potrwać wieki bo trzeba przejechać wszystkie możliwe kombinacje liter, cyfr i symboli.
hashy nie łamiesz tylko zgadujesz :)
Do serwisu wysokiego ryzyka mam hasło, którego nie potrafię zapamiętać po literze. Ale siadając do klawiatury bez patrzenia potrafię go wpisać. Musiałbym się dobrze zastanowić i odtworzyć w głowie układ klawiatury żeby je napisać na kartce. Na telefonie sprawia mi trochę trudność wpisanie go poprawnie za pierwszym razem, bo układ liter mam trochę inny niż przy komputerze. I przez rzadsze korzystanie z niego na telefonie nie zostaje odruch.
Czyli krótko mówiąc za stosowanie md5 powinno się kopać po twarzy.
Zadne haslo nie jest dobre, jak serwis ktory te hasla sprawdza/tworzy jest do kitu …
Jak bede miec haslo: dupa.8 i bedzie zapisane jako tekst jest dobre? No nie.
Jak serwis na ktorym zakladam konto, bedzie miec szyfrowanie RSA, MD5 + sol + Bog jeden raczy wiedziec co jeszcze mozna dodac.
Te i inne zabezpieczneia beda na skale NSA + FBI + CIA + NASA + Puttin :) – to czy w tym przypadku haslo: dupa.8 jest dobre? No tak jest dobre o ile jest uzywane 'tylko raz’.
Czyli serwis lipa: haslo nie ma znaczenia
Czyli serwis dobry: haslo nie ma znaczenia
Nie wazne jakie haslo wazne co autor ma na mysli … a raczej czy mysli jak kolwiek.
„dupa.8” byłoby dobrym hasłem gdyby zmodyfikować ją: „-P$ze0gr0mn@_dupeczka.8910”
Jaki jest sens wymyślania skomplikowanych haseł, skoro serwisy mają gdzieś bezpieczeństwo? Wpisanie '1234567890′ ma podobną trudność 'odszyfrowania’ z takiej bazy co 'jkdfh>auirye!Ysks11b’.
Dziwna charakterystyka tych haseł – większość 39- i 42-znakowych haseł to trzykrotnie powtórzone frazy, każda z zamienionymi ze sobą 2. i 3. literą – kilka przykładów:
– garmofonomankagarmofonomankagarmofonomanka
– NeitolerancjaNeitolerancjaNeitolerancja
– PnaterA_SivaNPnaterA_SivaNPnaterA_SivaN
– agnry_barvisalagnry_barvisalagnry_barvisal
Nie wygląda mi to na atak słownikowy – zwróćcie uwagę, że wszystkie te frazy to loginy użytkowników:
http://www.last.fm/user/PanterA_SivaN
http://www.last.fm/user/Nietolerancja
http://www.last.fm/user/gramofonomanka
http://www.last.fm/user/angry_barsival
Przypuszczam więc, że atak na hash hasła danego usera uwzględniał jego login, i to dlatego udało się złamać ww. hasła, a nie dlatego, że fraza „angry barsival” była w czyimś słowniku (https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%22angry%20barsival%22 i https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%22barsival%22)
Dlatego nie nazwałbym fatalnym pomysłu kilkukrotnego powtórzenia tej samej frazy, dodatkowo z przestawieniem liter, tak długo, jak nie jest to fraza występująca w tym samym rekordzie bazy co hasło ;)
słuszna uwaga. generowanie hasla na podstawie loginu to pierwsze co się robi w ataku slownikowym. tez dziwily mnie przestawione litery, ale gdy zapostowales nazwy uzytkownikow wszystko stalo sie jasne.
powtorzenie hasla dwukrotnie jest zabiegem zwiekszajacym znacznie sile hasla pod warunkiem ze haslo ktore powtarzamy nie jest oczywiste lub slownikowe.
Pamiętaj, że słownik możesz sobie zbudować (np. dzięki Crunch’owi) aby pasował pod atakowany cel. Jeśli masz pewne informacje na temat atakowanego celu, choćby login, od tego zaczynasz.
…albo system ustawia takie hasło w jakimś konkretnym przypadku.
Niektórzy użytkownicy wciąż nie zmienili hasła bądź porzucili konto w serwisie bo można się logować na niektóre konta :|
To że odkodowano kilka haseł nie jest oznaką że były one słabe tylko to że skoro wyciekło 40mln haszy md5 bez soli to wiadomo że kilka się odkoduje.
Tak samo jak w kumulacji LOTTO zagra 40mln osób to wiadomo jest niemal pewno że ktoś wygra.
40 milionów osób grających w LOTTO to za mało, nawet jeśli każdy zakreśli 8 zakładów które jest na blankieciku, to masz 320 milionów prób, podczas gdy kombinacji jest około 13 miliardów, więc prawdopodobieństwo wynosi tylko około 1/40.
„kombinacji jest około 13 miliardów, więc prawdopodobieństwo wynosi tylko około 1/40.”
Prawdopodobieństwo trafienia „szóstki” wynosi dokładnie 1:13983816 – nie wiem skąd Ty te miliardy wyciągnąłeś…
Po co się trudzić z wymyślaniem hasła jak prędzej czy później ono wycieknie.
…Czyli jakie wnioski mam z tego wyciągnąć?
1. Kultowy komiks XKCD („correct horse battery staple”) należy traktować z przymrużeniem oka (skoro udało się złamać ponad-40-znakową nazwę fikcyjnego klubu motocyklowego, to taki 28-znakowy ciąg znaków też się będzie dało? Chyba że użycie spacji coś tu znacząco zmienia)
2. Nie jest możliwe stworzenie możliwego do zapamiętania hasła, jeżeli zawiera ono słownikowe frazy, nawet jeśli ma 40 znaków
3. JEDYNE wyjście to stosowanie KeePass/LastPass… dopóki nie poinformują o wycieku danych z tego ostatniego. Wtedy zostaje TYLKO Keepass. A że masz smartfona? Że chciałbyś logować się do FB/poczty/banku/firmowego ERP z różnych urządzeń i masz problem z przerzucaniem plików .kdb? Cóż-musisz co miesiąc generować losowe, kilkudziesięcioznakowe stringi i uczyć się ich na pamięć. Albo przeprosić się ze starym, dobrym notesem i długopisem, który ZAWSZE będziesz miec przy sobie. Nawet (a może przede wszystkim) podczas wizyt w WC.
No i zapalniczkę, której użyjesz w momencie, gdyby ów notes miał dostać się w niepowołane ręce ;).
4. A nie! Sorry, przecież „nie pomoże też długi spacer po klawiaturze”. Jak rozumiem-hasło pt.: „1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/” też jest banalnie łatwo złamać.
Zatem-poddaje się. Od teraz wszystkie moje hasła ustawiam na „qwerty”. Na ch… się wysilać? I tak wszystko jest banalnie łatwe do złamania.
hadouken zauważ że to długie hasło to po prostu „spacer po klawiaturze” z góry na dół, także losowość w KeePassie chyba da rądę się obronić.
Pamiętam pewien serwis internetowy, w którym z jednego konta dało się ściągnąć ileś powiedzmy tapet na pulpit, a nowego konta z tego samego IP nie dało się założyć. Ilość dostępnych ściągnięć resetowana była co rok. Oczywiście po wyczerpaniu ilości okazało się, że konta przez Tora ktoś już zakładał, podobna sytuacja miała się z proxy.
Procedura zakładania konta polega na wpisaniu hasła przy informacji, że powinno mieć minimalnie 8 znaków. Dopiero później wyświetla się informacja, że powinno zawierać jedną literę.
„Przeszedłem” się po dawno nieodwiedzanych kontach (z listy użytkowników) z hasłem a12345678.
Na ok. 80 kont, 46 wpuściło.
I na dodatek: Dzisiaj 2FA jest biznesem – można sprzedawać numery telefonów marketingowcom, a niedługo, po powiązaniu odpowiednich baz, lokacje użytkowników i preferencje. Nikomu nie zależy, by bez 2FA coś było bezpieczne.
Keepass2
„„1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/” to hasło było łatwe do złamania, ponieważ jest to dosłownie spacer po klawiaturze – klawisze wciskane są po kolei, w takiej kolejności, w jakiej domyślnie są ułożone na klawiaturach z układem qwerty. Kombinacja łatwa to ODGADNIĘCIA, niewiele trudniejsza tak naprawdę, niż to Twoja „qwerty”.
Jeśli chodzi o potencjalny wyciek hasła z LastPass to o ile zastosowałeś silne master hasło to nie powinno być problemu…
To proste. Dla każdego kolejnego znaku hasła musisz się zastanowić, jaki następny znak będzie najmniej spodziewanym znakiem po tym konkretnym. Musisz wziąć pod uwagę wszystkie możliwe słowniki(i procentowe wystąpienie znaku, który chcesz wpisać po poprzednim), układ klawiatury i średnią temperaturę w cieniu na Kokomo. Wtedy i tylko wtedy Twoje hasło będzie nie do złamania.
To hasło to dosłownie spacer palcem po klawiaturze. Spójrz na nie a potem na klawiaturę i zobacz jak się je wpisuje.
A co powiecie na takie haslo?
J4nina^Kur3wsk0-Brzydk4_z_domu(Chuj0w4)
Pytam powaznie, mam takie haslo w jednym bardzo popularnym portalu.
Jeśli pytasz poważnie, to odpowiadam poważnie. Bardzo dobre hasło.
Było bardzo dobre. Teraz jest słownikowe.
Nie zapominajcie, że preimage na haszu może dać wynik inny niż fraza faktycznie użyta jako hasło. Takie a nie inne wartości mogą artefaktem metody, jakiej użyto do szukania haseł. Istotne, bo można sobie ustalić 40-znakowe, całkowicie losowe hasło z 70-znakowego alfabetu, a będzie ono miało hasha takiego samego jak „qwerty”.
Absurdem jest używanie 40-znakowego hasła, którego potem nie zmienia się przez lata, żeby nie uczyć się nowego. Od tego są menedżery haseł, żeby to załatwiać. Ponieważ eliminują one potrzebę nauki hasła, to dodatkowym profitem jest możliwość użycia zupełnie przypadkowego ciągu znaków.
Na koniec warto przypomnieć, że niektóre strony — w tym znane polskie (palcem nie będę wskazywał, wszyscy wiedza o kim mowa) — nadal ograniczają długość hasła do dziwnie małych wartości albo nie radzą sobie z niektórymi znakami ;).
Żeby służby nie miały później problemów z ich łamaniem :q
Bo te hasła są beznadziejne i proste do złamania. Nie mają żądnych znaków specjalnych, wystarczyło by dodać do nich kilka takich znaków i po sprawie. A jak już ktoś w hasło wpisze „ł”, „ą” i inne polskie znaki diakrytyczne* to nawet przy krótkim haśle jest dobrze chroniony.
*nie wszystkie serwisy ogarniają znaki diakrytyczne w haśle
keepas ogarnia całkiem prosto. baza jest zaszyfrowana. można sobie przerzucać plik, synchronizując go dropboxem.
a ja znalazłem do tego celu megasync, który twierdzi, że plik jest szyfrowany przed transferem, na serwerze jest zaszyfrowany, a deszyfrowany jest na urządzeniach końcowych po pobraniu. i 50gb storage za free. oczywiście, gdybym miał tam trzymać dodatkowe dane, to gpg bym je przeleciał przed wysyłką na megasync, ale skoro baza keepasa jest domyślnie zaszyfrowana, to opcja wydaje się być względnie bezpieczna.
A mnie się wydaje, że problemem nie jest hasło tylko sposób jego zabezpieczenia.
Jeśli użyto funkcji MD5 bez soli to nie ma się co dziwić że proces ten jest odwracalny.
Autor artykułu pokazuje przy okazji jak tworzone są hasła. I tu rodzi się problem. Bo z punktu widzenia łamacza haseł jest wszytko jedno czy ktoś spacerował po klawiaturze czy wpisał losowe znaki. Ale z punktu widzenia człowieka łatwiej jest wymyślić w jak sposób ktoś tworzył hasło i to wykorzystać. Tak jak „przekręcone” loginy jako hasła.
Obawiam się że autor w tym artykule robi z igły widły. Hasła nie zostały złamane dlatego że były słabe, tylko dlatego że sposób ich przechowywania (MD5 bez soli) w tej chwili już nie zabezpiecza przed atakiem brute force. Ich długość czy stopień skomplikowania nie ma tu nic do rzeczy.
Oczywiście używanie programów generujących hasła jest wskazane (pozwala nie przejmować się bezpieczeństwem innych kont jeśli hasło jednego zostanie wykradzione/złamane) ale prędzej czy później gdzieś trzeba będzie użyć hasła które będzie trzeba zapamiętać. I w tym momencie hasło pokroju „hamstfuwżyciunależyprzeciwstawiaćsięsiłom” nie jest aż tak złe jak ten artykuł stara się nam wmówić.
to haslo 46 znakowe bylo zlamane juz 2014 r. – https://hashcat.net/events/p14-vegas/I%20have%20the%20%23cat%20i%20make%20the%20rules_YC.pdf
To nie problem złożoności hasła.
Niestety trochę wpadamy w błędne koło. Tworzymy sprzętowe rozwiązania ułatwiające nam życie poprzez przyśpieszenie procesu wykonania algorytmu szyfrowania, a tym samym dajemy sobie narzędzia do łamania tego szyfrowania.
Tylko popularność MD5 spowodowała (i relatywnie niewielkie skomplikowanie jak na te czasy), że padamy ofiarami takich wpadek. Jeśli chcemy szybko obliczyć sumę MD5 4GB pliku i tego samego mechanizmu używamy to szyfrowania NAWET 40 znakowego hasła to można by się spodziewać, że każdy bardziej rozgarnięty student nawet nie koniecznie informatyki będzie w stanie stworzyć narzędzia które z ogólnie dostępnych bibliotek stworzy maszynkę to masowego wtłaczania takich haseł do np do karty graficznej.
Oczywiście nie oczekujemy, żeby każdy programista tworzył swój algorytm funkcji skrótu dla zapisywanych w systemie haseł – ba było by to wręcz nierozsądne – prawdopodobieństwo popełniania błędu zmniejszającego złożoność takiego algorytmu jest bardzo duże. To jednak oczekiwał bym od dużych firm trochę większego rozsądku w doborze algorytmów i metod zapisu haseł.
Co tam 40 milionów haseł, zobaczymy co tam ludzie mają – przecież wynajęcie chmury do tego to raptem kilkadziesiąt dolarów (a nawet niech będzie to kilka czy kilkadziesiąt tysięcy – znajdzie się ktoś komu się to może przydać i da tyle zwłaszcza zważywszy na skalę).
Niestety dysponujemy mocami które nawet w stosunku do długich haseł zaczynają nawet w brute-force wykazywać się realnymi czasami. I jest to moc dostępna dla mas, za relatywnie niewielkie pieniądze. O agencjach rządowych nie mówiąc.
Nie hasło jest tu winne :) A to że komuś się chciało tworzyć tak długie jest w tym przypadku tylko ciekawostką. Ja mam kilkunastu-znakowe i wpisać mi się ich nie chce :)
Dlatego do haseł używa sie bcrypta: https://codahale.com/how-to-safely-store-a-password/
„Spójrzcie teraz na swoje hasła i zmieńcie te, które zmienić trzeba”
Popatrzyłem na to hasło:
…………………..
Nie pomoże nawet długi spacer po klawiaturze
1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/
………………….
i jedyne co mi przyszło do głowy, to wzbogacenie go (zastąpienie części znaków) na duże litery i znaki specjalne.
Tylko co to da (i tu waracam na poczatek artykułu)
……………………
ujawniono ponad 40 milionów haseł zapisanych w formie jednokierunkowej funkcji skrótu MD5. Funkcja ta ma to do siebie, ze wiele serwisów stosuje ją do „zabezpieczania” haseł a jednocześnie z jej obliczaniem świetnie radzą sobie nawet przeciętne karty graficzne.
……………………
Czyli mogę się starać, nie wiem jak „wędrować po klawiaturze” a t i tak na nic, bo ten czy inny serwis stosuje kiepskie zabezpieczenie haseł :((
Więc może autor adamh czy szerzej ZTS, dopowie/rozszerzy poradę „zmieńcie te, które zmienić trzeba” w konteksście podkreślonego na czerwono
1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/
????
OK, mea culpa, dopiero teraz skojarzyłem na czym polega „urok” tego hasła:
1qaz
2wsx
3edc
4rfv
5tgb
6yhn
7ujm
8ik,
9ol.
0p;/
Jaś Wędrowniczek klawiatury ;))
debilny tekst… do chronienia kasy wystarczy 4 cyferki (10000 kombinacji). No jak to jest? :D
A ile masz prób? Pewnie 3 i blokada karty.
1. Hasła tworzone na podstawie komiksu XKCD „correct horse battery staple” są bardzo łatwe do złamania metodą słownikową. Przyjmując, że „przeciętna” osoba posługuje się na co dzień 1000 słów, i to z nich będzie tworzyć takowe hasło, to przy 5-słowowym haśle – w dodatku można założyć, że elementy (słowa) nie będą się powtarzać – nie daje nam aż tak wielu kombinacji (jeżeli skorzystałem z dobrego wzoru to: 8.250.291.250.200)
2. Mimo wszystko podstawą jest posiadanie osobnych, losowych haseł do każdego serwisu…
Dodajesz duże litery i liczba haseł rośnie :D Likwidujesz spacje….
Powodzenia.
Oczywiście pod warunkiem że nie wykradniesz źle zabezpieczonych haseł z serwisu bo wtedy to nic nie pomoże.
Łamanie tych haseł było zrealizowane zapewne z użyciem tęczowych tablic, bo do masowego „zgadywania” haseł nadają się one idealnie – dla ciekawskich strona projektu RainbowCrack: http://project-rainbowcrack.com, wykaz gotowych tęczowych tablic: http://project-rainbowcrack.com/table.htm, tablica zawierająca hasze haseł 1-9 znakowych mających małe litery i cyfry zajmuje tylko 65 GB i pozwala znaleźć ok. 99.9% haseł tego typu. Dla 10 znakowych haseł (małe litery i cyfry) tablice zajmowałyby prawie 6 TB (a ich generowanie zajęłoby ok. 32 tys. razy tyle czasu, co tablic dla 1-9 znaków). Przy użyciu wydajnej chmury obliczeniowej będą to zapewne dni. To tak informacyjnie.
Raczej gadasz bzdury… takie rzeczy generuje sie na kartach graficznych w czasie rzeczywistym, szkoda czasu (na odczyt) na rainbow. Co innego wolne hashe, ale nie md5…
Zlamcie to:
Jeden111_dWa222_trZy333_cztEry444
prawda jest taka, że nic nas nie uchroni przed wyciekiem od strony usługodawcy dlatego ja tam się nie spinam z jakimiś krzaczkami a tam gdzie trzeba mam dwuskładnikowe uwierzytelnienie lub loguje się kluczami
Ja używam http://www.randomwords.xyz/ – wybieram dwa słowa, jednemu daje dużą literę i oddzielam znaczkiem/cyfrą i kończę znaczkiem/cyfrą. Chodzi o to by łatwo było przepisać z menadżera haseł. Utrudnienie złamania też jest dobre. Dodatkowo na każdym serwisie nowe hasło – dzięki randomwords na pewno się hasła mi się nie powtórzą i nie będą miały wspólnego rdzenia. To jest najważniejsze.
Najlepszym haslem jest DupoaCycki1@ xD
Cóż, ja to od jakiegoś czasu stosuję na każdym serwisie inne hasło. Inne dla maszyny, bo dla człowieka to jest to samo hasło, tylko ze zmienionym początkiem. I chyba źle robię, że w haśle mam nazwę serwisu, do którego się odnosi, hmm. Cóż, dalsza część hasła jest nieznana, ale jakby ktoś na jednym portalu odgadł całe hasło i byłby człowiekiem, to mógłby w sumie dostać się do innych serwisów, gdyby pogłówkował. Po za tym sugerowałem się metodą 3 kompletnie niezwiązanych ze sobą słów, np. słoń-zimny-dym, plus użyłem cyfr i mieszanych liter duża-mała-duża-mała. Słabe hasło, co nie? :/
Ja pierdole , nie mogę uwierzyć , 90% powyżej piszących nie potrafiło zrozumieć czytając artykuł ze to nie hasła złamano, niezależnie od ich złożoności a zawiódł sposób ich przechowywania na serwerze!!!, a tu gimbaza rozwodzi się nad złożonością haseł , ja pierdole!!
Przyjdz i złam moje hasło brute-force hahaha. Wszystkie kompy świata i wszystkie karty graficzne świata = milion lat oczekiwania a i tak wątpliwe żebyś to hasło złamał. Żaden program nie złamie mocnego hasła na Twoim komputerku..