07.09.2016 | 16:26

Adam Haertle

Twoje 46-znakowe hasło też ktoś może bez problemu złamać

Ustawiliście w jakimś serwisie hasło o długości przekraczającej 40 znaków i myślicie że nikt go nigdy nie złamie? Nie bylibyśmy tacy pewni – wszystko zależy od tego, w jaki sposób tak długie hasło zostało stworzone.

Przy okazji ostatniego wycieku z serwisu Last.fm ujawniono ponad 40 milionów haseł zapisanych w formie jednokierunkowej funkcji skrótu MD5. Funkcja ta ma to do siebie, ze wiele serwisów stosuje ją do „zabezpieczania” haseł a jednocześnie z jej obliczaniem świetnie radzą sobie nawet przeciętne karty graficzne. Serwis LeakedSource który ujawnił wyciek z Last.fm poświęcił kilka chwil na złamanie ponad 98% haseł użytkowników Last.fm i ujawnił ponad 100 najdłuższych z tych, które udało się pokonać. Jest też jedno, które wygląda na polskie.

Fraza jest dobra, ale nie ze słownika

red-hands-woman-creative

Tworzenie hasła na podstawie zdania jest dobrym pomysłem, pod warunkiem, że zdanie to nie pochodzi z wiersza, piosenki, książki czy innego źródła dostępnego dla osób postronnych. Nawet 46-znakowe hasło nie pomoże – szczególnie jeśli jest tytułem piosenki Bloodhound Gang.

alapdanceissomuchbetterwhenthestripperiscrying

Nawet najdłuższa nazwa meksykańskiego zespołu też nie jest najlepszym pomysłem

paracoccidioidomicosisproctitissarcomucosis

Tak samo jak nazwa fikcyjnego klubu motocyklowego

sonsofanarchymotorcycleclubredwoodoriginal

Tytuły piosenek (chociaż pierwszy szanujemy za spacje)

This War Is Ours (The Guillotine Part II)
ilikedyoubeforeyouwerenakedontheinternet
Packt Like Sardines in a Crushd Tin Box

Tytuł rozdziału książki

The unveiling of the company of heaven.

Nie pomoże nawet długi spacer po klawiaturze

1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/

Popularna fraza pentesterów

<script>alert(document.cookie);</script>

Złym pomysłem jest przytrzymanie jednego klawisza

122333444455555666666777777788888888999999999
lllllllllllllllllllllllllllllllllllllllllllll
0000000000000000000000000000000000000000000
assssssssssssssssssssssssssssssssssssssssss
pupupupupupupupupupupupupupupupupupupupu
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
puppyfaceeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

A pomysłem fatalnym jest powtórzenie tego samego ciągu kilka razy w celu zbudowania silniejszego hasła – takich przykładów było wśród odgadniętych haseł kilkadziesiąt:

perseusandtheseamonsterperseusandtheseamonster
tuhgsbemakinuottuhgsbemakinuottuhgsbemakinuot
MganificentBuxeMganificentBuxeMganificentBuxe
kiirosillynijnakiirosillynijnakiirosillynijna
pnukgirl5121990pnukgirl5121990pnukgirl5121990
klilthepreppiesklilthepreppiesklilthepreppies
msrillamongosoemsrillamongosoemsrillamongosoe

I na deser przypadek prawdopodobnie z naszego kraju czyli

NeitolerancjaNeitolerancjaNeitolerancja

Spójrzcie teraz na swoje hasła i zmieńcie te, które zmienić trzeba.

Powrót

Komentarze

  • 2016.09.07 16:43 Marc1n

    Czyli, krótko mówiąc, żadne hasło które da się zapamiętać nie jest dobre?

    Odpowiedz
    • 2016.09.07 21:57 Agent Orange

      Żadne hasło właściwie chronione nie jest dobre.

      Odpowiedz
    • 2016.09.07 22:14 SuperTux

      Jak tekst piosenki to tak. Ale jak to jest coś w stylu „Miałem wczoraj niebiesko-czerwony T-Shirt w kratkę” to już trudniejsze do zbruteforceowania, nawet jak serwis ma wszystko w czterech literach i nadal używa MD5. Bo łamanie hashy w zasadzie nie jest inne niż łamanie haseł np. do archiwów ZIP. Albo jedziesz słownikiem, albo bruteforce. Jak słownik wymiękł przy jednym hashu, to niestety trzeba bruteforce’ować a to może potrwać wieki bo trzeba przejechać wszystkie możliwe kombinacje liter, cyfr i symboli.

      Odpowiedz
      • 2020.02.22 18:32 sdsd

        hashy nie łamiesz tylko zgadujesz :)

        Odpowiedz
    • 2016.09.08 08:14 ff

      Do serwisu wysokiego ryzyka mam hasło, którego nie potrafię zapamiętać po literze. Ale siadając do klawiatury bez patrzenia potrafię go wpisać. Musiałbym się dobrze zastanowić i odtworzyć w głowie układ klawiatury żeby je napisać na kartce. Na telefonie sprawia mi trochę trudność wpisanie go poprawnie za pierwszym razem, bo układ liter mam trochę inny niż przy komputerze. I przez rzadsze korzystanie z niego na telefonie nie zostaje odruch.

      Odpowiedz
    • 2016.09.08 10:35 ole

      Czyli krótko mówiąc za stosowanie md5 powinno się kopać po twarzy.

      Odpowiedz
    • 2016.09.08 11:00 skiter

      Zadne haslo nie jest dobre, jak serwis ktory te hasla sprawdza/tworzy jest do kitu …

      Jak bede miec haslo: dupa.8 i bedzie zapisane jako tekst jest dobre? No nie.

      Jak serwis na ktorym zakladam konto, bedzie miec szyfrowanie RSA, MD5 + sol + Bog jeden raczy wiedziec co jeszcze mozna dodac.

      Te i inne zabezpieczneia beda na skale NSA + FBI + CIA + NASA + Puttin :) – to czy w tym przypadku haslo: dupa.8 jest dobre? No tak jest dobre o ile jest uzywane 'tylko raz’.

      Czyli serwis lipa: haslo nie ma znaczenia
      Czyli serwis dobry: haslo nie ma znaczenia

      Nie wazne jakie haslo wazne co autor ma na mysli … a raczej czy mysli jak kolwiek.

      Odpowiedz
      • 2018.07.29 19:47 Aleksander

        „dupa.8” byłoby dobrym hasłem gdyby zmodyfikować ją: „-P$ze0gr0mn@_dupeczka.8910”

        Odpowiedz
  • 2016.09.07 16:51 Paweł

    Jaki jest sens wymyślania skomplikowanych haseł, skoro serwisy mają gdzieś bezpieczeństwo? Wpisanie '1234567890′ ma podobną trudność 'odszyfrowania’ z takiej bazy co 'jkdfh>auirye!Ysks11b’.

    Odpowiedz
  • 2016.09.07 17:26 Luk

    Dziwna charakterystyka tych haseł – większość 39- i 42-znakowych haseł to trzykrotnie powtórzone frazy, każda z zamienionymi ze sobą 2. i 3. literą – kilka przykładów:
    – garmofonomankagarmofonomankagarmofonomanka
    – NeitolerancjaNeitolerancjaNeitolerancja
    – PnaterA_SivaNPnaterA_SivaNPnaterA_SivaN
    – agnry_barvisalagnry_barvisalagnry_barvisal

    Nie wygląda mi to na atak słownikowy – zwróćcie uwagę, że wszystkie te frazy to loginy użytkowników:

    http://www.last.fm/user/PanterA_SivaN
    http://www.last.fm/user/Nietolerancja
    http://www.last.fm/user/gramofonomanka
    http://www.last.fm/user/angry_barsival

    Przypuszczam więc, że atak na hash hasła danego usera uwzględniał jego login, i to dlatego udało się złamać ww. hasła, a nie dlatego, że fraza „angry barsival” była w czyimś słowniku (https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%22angry%20barsival%22 i https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%22barsival%22)

    Dlatego nie nazwałbym fatalnym pomysłu kilkukrotnego powtórzenia tej samej frazy, dodatkowo z przestawieniem liter, tak długo, jak nie jest to fraza występująca w tym samym rekordzie bazy co hasło ;)

    Odpowiedz
    • 2016.09.08 00:13 asd

      słuszna uwaga. generowanie hasla na podstawie loginu to pierwsze co się robi w ataku slownikowym. tez dziwily mnie przestawione litery, ale gdy zapostowales nazwy uzytkownikow wszystko stalo sie jasne.

      powtorzenie hasla dwukrotnie jest zabiegem zwiekszajacym znacznie sile hasla pod warunkiem ze haslo ktore powtarzamy nie jest oczywiste lub slownikowe.

      Odpowiedz
    • 2016.09.08 08:53 Dev0

      Pamiętaj, że słownik możesz sobie zbudować (np. dzięki Crunch’owi) aby pasował pod atakowany cel. Jeśli masz pewne informacje na temat atakowanego celu, choćby login, od tego zaczynasz.

      Odpowiedz
    • 2016.09.09 16:00 nie

      …albo system ustawia takie hasło w jakimś konkretnym przypadku.

      Odpowiedz
    • 2016.09.12 22:53 Mix

      Niektórzy użytkownicy wciąż nie zmienili hasła bądź porzucili konto w serwisie bo można się logować na niektóre konta :|

      Odpowiedz
  • 2016.09.07 19:44 Paweł_p

    To że odkodowano kilka haseł nie jest oznaką że były one słabe tylko to że skoro wyciekło 40mln haszy md5 bez soli to wiadomo że kilka się odkoduje.
    Tak samo jak w kumulacji LOTTO zagra 40mln osób to wiadomo jest niemal pewno że ktoś wygra.

    Odpowiedz
    • 2016.09.08 02:18 msrillamongosoemsrillamongosoemsrillamongosoe

      40 milionów osób grających w LOTTO to za mało, nawet jeśli każdy zakreśli 8 zakładów które jest na blankieciku, to masz 320 milionów prób, podczas gdy kombinacji jest około 13 miliardów, więc prawdopodobieństwo wynosi tylko około 1/40.

      Odpowiedz
      • 2016.09.12 11:29 rdn

        „kombinacji jest około 13 miliardów, więc prawdopodobieństwo wynosi tylko około 1/40.”
        Prawdopodobieństwo trafienia „szóstki” wynosi dokładnie 1:13983816 – nie wiem skąd Ty te miliardy wyciągnąłeś…

        Odpowiedz
  • 2016.09.07 20:04 Agent Orange

    Po co się trudzić z wymyślaniem hasła jak prędzej czy później ono wycieknie.

    Odpowiedz
  • 2016.09.07 21:16 hadouken

    …Czyli jakie wnioski mam z tego wyciągnąć?

    1. Kultowy komiks XKCD („correct horse battery staple”) należy traktować z przymrużeniem oka (skoro udało się złamać ponad-40-znakową nazwę fikcyjnego klubu motocyklowego, to taki 28-znakowy ciąg znaków też się będzie dało? Chyba że użycie spacji coś tu znacząco zmienia)

    2. Nie jest możliwe stworzenie możliwego do zapamiętania hasła, jeżeli zawiera ono słownikowe frazy, nawet jeśli ma 40 znaków

    3. JEDYNE wyjście to stosowanie KeePass/LastPass… dopóki nie poinformują o wycieku danych z tego ostatniego. Wtedy zostaje TYLKO Keepass. A że masz smartfona? Że chciałbyś logować się do FB/poczty/banku/firmowego ERP z różnych urządzeń i masz problem z przerzucaniem plików .kdb? Cóż-musisz co miesiąc generować losowe, kilkudziesięcioznakowe stringi i uczyć się ich na pamięć. Albo przeprosić się ze starym, dobrym notesem i długopisem, który ZAWSZE będziesz miec przy sobie. Nawet (a może przede wszystkim) podczas wizyt w WC.
    No i zapalniczkę, której użyjesz w momencie, gdyby ów notes miał dostać się w niepowołane ręce ;).

    4. A nie! Sorry, przecież „nie pomoże też długi spacer po klawiaturze”. Jak rozumiem-hasło pt.: „1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/” też jest banalnie łatwo złamać.

    Zatem-poddaje się. Od teraz wszystkie moje hasła ustawiam na „qwerty”. Na ch… się wysilać? I tak wszystko jest banalnie łatwe do złamania.

    Odpowiedz
    • 2016.09.07 22:23 Paweł

      hadouken zauważ że to długie hasło to po prostu „spacer po klawiaturze” z góry na dół, także losowość w KeePassie chyba da rądę się obronić.

      Odpowiedz
    • 2016.09.08 09:22 marianZ

      Pamiętam pewien serwis internetowy, w którym z jednego konta dało się ściągnąć ileś powiedzmy tapet na pulpit, a nowego konta z tego samego IP nie dało się założyć. Ilość dostępnych ściągnięć resetowana była co rok. Oczywiście po wyczerpaniu ilości okazało się, że konta przez Tora ktoś już zakładał, podobna sytuacja miała się z proxy.
      Procedura zakładania konta polega na wpisaniu hasła przy informacji, że powinno mieć minimalnie 8 znaków. Dopiero później wyświetla się informacja, że powinno zawierać jedną literę.
      „Przeszedłem” się po dawno nieodwiedzanych kontach (z listy użytkowników) z hasłem a12345678.
      Na ok. 80 kont, 46 wpuściło.
      I na dodatek: Dzisiaj 2FA jest biznesem – można sprzedawać numery telefonów marketingowcom, a niedługo, po powiązaniu odpowiednich baz, lokacje użytkowników i preferencje. Nikomu nie zależy, by bez 2FA coś było bezpieczne.

      Odpowiedz
    • 2016.09.08 10:21 Mateusz

      Keepass2

      Odpowiedz
    • 2016.09.08 10:58 qwerty

      „„1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/” to hasło było łatwe do złamania, ponieważ jest to dosłownie spacer po klawiaturze – klawisze wciskane są po kolei, w takiej kolejności, w jakiej domyślnie są ułożone na klawiaturach z układem qwerty. Kombinacja łatwa to ODGADNIĘCIA, niewiele trudniejsza tak naprawdę, niż to Twoja „qwerty”.

      Odpowiedz
    • 2016.09.08 11:45 mario

      Jeśli chodzi o potencjalny wyciek hasła z LastPass to o ile zastosowałeś silne master hasło to nie powinno być problemu…

      Odpowiedz
    • 2016.09.08 12:46 Paweł

      To proste. Dla każdego kolejnego znaku hasła musisz się zastanowić, jaki następny znak będzie najmniej spodziewanym znakiem po tym konkretnym. Musisz wziąć pod uwagę wszystkie możliwe słowniki(i procentowe wystąpienie znaku, który chcesz wpisać po poprzednim), układ klawiatury i średnią temperaturę w cieniu na Kokomo. Wtedy i tylko wtedy Twoje hasło będzie nie do złamania.

      Odpowiedz
    • 2016.09.08 13:58 1qaz2wsx3edc

      To hasło to dosłownie spacer palcem po klawiaturze. Spójrz na nie a potem na klawiaturę i zobacz jak się je wpisuje.

      Odpowiedz
  • 2016.09.07 21:28 Trolecki Jan

    A co powiecie na takie haslo?

    J4nina^Kur3wsk0-Brzydk4_z_domu(Chuj0w4)

    Pytam powaznie, mam takie haslo w jednym bardzo popularnym portalu.

    Odpowiedz
    • 2016.09.09 10:45 Dev0

      Jeśli pytasz poważnie, to odpowiadam poważnie. Bardzo dobre hasło.

      Odpowiedz
    • 2016.09.12 09:57 Naj Ikcelort

      Było bardzo dobre. Teraz jest słownikowe.

      Odpowiedz
  • 2016.09.07 21:31 mpan

    Nie zapominajcie, że preimage na haszu może dać wynik inny niż fraza faktycznie użyta jako hasło. Takie a nie inne wartości mogą artefaktem metody, jakiej użyto do szukania haseł. Istotne, bo można sobie ustalić 40-znakowe, całkowicie losowe hasło z 70-znakowego alfabetu, a będzie ono miało hasha takiego samego jak „qwerty”.

    Absurdem jest używanie 40-znakowego hasła, którego potem nie zmienia się przez lata, żeby nie uczyć się nowego. Od tego są menedżery haseł, żeby to załatwiać. Ponieważ eliminują one potrzebę nauki hasła, to dodatkowym profitem jest możliwość użycia zupełnie przypadkowego ciągu znaków.

    Na koniec warto przypomnieć, że niektóre strony — w tym znane polskie (palcem nie będę wskazywał, wszyscy wiedza o kim mowa) — nadal ograniczają długość hasła do dziwnie małych wartości albo nie radzą sobie z niektórymi znakami ;).

    Odpowiedz
    • 2016.09.13 20:09 Cpt. Obvious

      Żeby służby nie miały później problemów z ich łamaniem :q

      Odpowiedz
  • 2016.09.07 22:34 Lukasz

    Bo te hasła są beznadziejne i proste do złamania. Nie mają żądnych znaków specjalnych, wystarczyło by dodać do nich kilka takich znaków i po sprawie. A jak już ktoś w hasło wpisze „ł”, „ą” i inne polskie znaki diakrytyczne* to nawet przy krótkim haśle jest dobrze chroniony.

    *nie wszystkie serwisy ogarniają znaki diakrytyczne w haśle

    Odpowiedz
  • 2016.09.08 00:21 tymik

    keepas ogarnia całkiem prosto. baza jest zaszyfrowana. można sobie przerzucać plik, synchronizując go dropboxem.
    a ja znalazłem do tego celu megasync, który twierdzi, że plik jest szyfrowany przed transferem, na serwerze jest zaszyfrowany, a deszyfrowany jest na urządzeniach końcowych po pobraniu. i 50gb storage za free. oczywiście, gdybym miał tam trzymać dodatkowe dane, to gpg bym je przeleciał przed wysyłką na megasync, ale skoro baza keepasa jest domyślnie zaszyfrowana, to opcja wydaje się być względnie bezpieczna.

    Odpowiedz
  • 2016.09.08 07:34 Bronisław

    A mnie się wydaje, że problemem nie jest hasło tylko sposób jego zabezpieczenia.

    Jeśli użyto funkcji MD5 bez soli to nie ma się co dziwić że proces ten jest odwracalny.

    Autor artykułu pokazuje przy okazji jak tworzone są hasła. I tu rodzi się problem. Bo z punktu widzenia łamacza haseł jest wszytko jedno czy ktoś spacerował po klawiaturze czy wpisał losowe znaki. Ale z punktu widzenia człowieka łatwiej jest wymyślić w jak sposób ktoś tworzył hasło i to wykorzystać. Tak jak „przekręcone” loginy jako hasła.

    Odpowiedz
  • 2016.09.08 09:32 Tchórz Anonim

    Obawiam się że autor w tym artykule robi z igły widły. Hasła nie zostały złamane dlatego że były słabe, tylko dlatego że sposób ich przechowywania (MD5 bez soli) w tej chwili już nie zabezpiecza przed atakiem brute force. Ich długość czy stopień skomplikowania nie ma tu nic do rzeczy.
    Oczywiście używanie programów generujących hasła jest wskazane (pozwala nie przejmować się bezpieczeństwem innych kont jeśli hasło jednego zostanie wykradzione/złamane) ale prędzej czy później gdzieś trzeba będzie użyć hasła które będzie trzeba zapamiętać. I w tym momencie hasło pokroju „hamstfuwżyciunależyprzeciwstawiaćsięsiłom” nie jest aż tak złe jak ten artykuł stara się nam wmówić.

    Odpowiedz
  • 2016.09.08 09:56 Blazej Odpowiedz
  • 2016.09.08 14:59 Marcin

    To nie problem złożoności hasła.

    Niestety trochę wpadamy w błędne koło. Tworzymy sprzętowe rozwiązania ułatwiające nam życie poprzez przyśpieszenie procesu wykonania algorytmu szyfrowania, a tym samym dajemy sobie narzędzia do łamania tego szyfrowania.

    Tylko popularność MD5 spowodowała (i relatywnie niewielkie skomplikowanie jak na te czasy), że padamy ofiarami takich wpadek. Jeśli chcemy szybko obliczyć sumę MD5 4GB pliku i tego samego mechanizmu używamy to szyfrowania NAWET 40 znakowego hasła to można by się spodziewać, że każdy bardziej rozgarnięty student nawet nie koniecznie informatyki będzie w stanie stworzyć narzędzia które z ogólnie dostępnych bibliotek stworzy maszynkę to masowego wtłaczania takich haseł do np do karty graficznej.

    Oczywiście nie oczekujemy, żeby każdy programista tworzył swój algorytm funkcji skrótu dla zapisywanych w systemie haseł – ba było by to wręcz nierozsądne – prawdopodobieństwo popełniania błędu zmniejszającego złożoność takiego algorytmu jest bardzo duże. To jednak oczekiwał bym od dużych firm trochę większego rozsądku w doborze algorytmów i metod zapisu haseł.

    Co tam 40 milionów haseł, zobaczymy co tam ludzie mają – przecież wynajęcie chmury do tego to raptem kilkadziesiąt dolarów (a nawet niech będzie to kilka czy kilkadziesiąt tysięcy – znajdzie się ktoś komu się to może przydać i da tyle zwłaszcza zważywszy na skalę).

    Niestety dysponujemy mocami które nawet w stosunku do długich haseł zaczynają nawet w brute-force wykazywać się realnymi czasami. I jest to moc dostępna dla mas, za relatywnie niewielkie pieniądze. O agencjach rządowych nie mówiąc.

    Nie hasło jest tu winne :) A to że komuś się chciało tworzyć tak długie jest w tym przypadku tylko ciekawostką. Ja mam kilkunastu-znakowe i wpisać mi się ich nie chce :)

    Odpowiedz
  • 2016.09.08 15:05 wilga

    „Spójrzcie teraz na swoje hasła i zmieńcie te, które zmienić trzeba”

    Popatrzyłem na to hasło:
    …………………..
    Nie pomoże nawet długi spacer po klawiaturze
    1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/
    ………………….
    i jedyne co mi przyszło do głowy, to wzbogacenie go (zastąpienie części znaków) na duże litery i znaki specjalne.
    Tylko co to da (i tu waracam na poczatek artykułu)
    ……………………
    ujawniono ponad 40 milionów haseł zapisanych w formie jednokierunkowej funkcji skrótu MD5. Funkcja ta ma to do siebie, ze wiele serwisów stosuje ją do „zabezpieczania” haseł a jednocześnie z jej obliczaniem świetnie radzą sobie nawet przeciętne karty graficzne.
    ……………………
    Czyli mogę się starać, nie wiem jak „wędrować po klawiaturze” a t i tak na nic, bo ten czy inny serwis stosuje kiepskie zabezpieczenie haseł :((

    Więc może autor adamh czy szerzej ZTS, dopowie/rozszerzy poradę „zmieńcie te, które zmienić trzeba” w konteksście podkreślonego na czerwono
    1qaz2wsx3edc4rfv5tgb6yhn7ujm8ik,9ol.0p;/

    ????

    Odpowiedz
    • 2016.09.08 22:23 wilga

      OK, mea culpa, dopiero teraz skojarzyłem na czym polega „urok” tego hasła:
      1qaz
      2wsx
      3edc
      4rfv
      5tgb
      6yhn
      7ujm
      8ik,
      9ol.
      0p;/
      Jaś Wędrowniczek klawiatury ;))

      Odpowiedz
  • 2016.09.08 16:05 Leon Zdziałek

    debilny tekst… do chronienia kasy wystarczy 4 cyferki (10000 kombinacji). No jak to jest? :D

    Odpowiedz
    • 2016.09.08 21:13 Jan

      A ile masz prób? Pewnie 3 i blokada karty.

      Odpowiedz
  • 2016.09.08 16:52 L.

    1. Hasła tworzone na podstawie komiksu XKCD „correct horse battery staple” są bardzo łatwe do złamania metodą słownikową. Przyjmując, że „przeciętna” osoba posługuje się na co dzień 1000 słów, i to z nich będzie tworzyć takowe hasło, to przy 5-słowowym haśle – w dodatku można założyć, że elementy (słowa) nie będą się powtarzać – nie daje nam aż tak wielu kombinacji (jeżeli skorzystałem z dobrego wzoru to: 8.250.291.250.200)

    2. Mimo wszystko podstawą jest posiadanie osobnych, losowych haseł do każdego serwisu…

    Odpowiedz
    • 2016.09.09 19:51 Krzysztof Kozłowski

      Dodajesz duże litery i liczba haseł rośnie :D Likwidujesz spacje….
      Powodzenia.

      Oczywiście pod warunkiem że nie wykradniesz źle zabezpieczonych haseł z serwisu bo wtedy to nic nie pomoże.

      Odpowiedz
  • 2016.09.08 23:53 Pablo_Wawa

    Łamanie tych haseł było zrealizowane zapewne z użyciem tęczowych tablic, bo do masowego „zgadywania” haseł nadają się one idealnie – dla ciekawskich strona projektu RainbowCrack: http://project-rainbowcrack.com, wykaz gotowych tęczowych tablic: http://project-rainbowcrack.com/table.htm, tablica zawierająca hasze haseł 1-9 znakowych mających małe litery i cyfry zajmuje tylko 65 GB i pozwala znaleźć ok. 99.9% haseł tego typu. Dla 10 znakowych haseł (małe litery i cyfry) tablice zajmowałyby prawie 6 TB (a ich generowanie zajęłoby ok. 32 tys. razy tyle czasu, co tablic dla 1-9 znaków). Przy użyciu wydajnej chmury obliczeniowej będą to zapewne dni. To tak informacyjnie.

    Odpowiedz
    • 2016.09.12 16:28 Filip

      Raczej gadasz bzdury… takie rzeczy generuje sie na kartach graficznych w czasie rzeczywistym, szkoda czasu (na odczyt) na rainbow. Co innego wolne hashe, ale nie md5…

      Odpowiedz
  • 2016.09.09 11:17 Stefek Leniwiec

    Zlamcie to:

    Jeden111_dWa222_trZy333_cztEry444

    Odpowiedz
  • 2016.09.09 11:41 sajfer

    prawda jest taka, że nic nas nie uchroni przed wyciekiem od strony usługodawcy dlatego ja tam się nie spinam z jakimiś krzaczkami a tam gdzie trzeba mam dwuskładnikowe uwierzytelnienie lub loguje się kluczami

    Odpowiedz
  • 2016.09.09 15:32 Alias

    Ja używam http://www.randomwords.xyz/ – wybieram dwa słowa, jednemu daje dużą literę i oddzielam znaczkiem/cyfrą i kończę znaczkiem/cyfrą. Chodzi o to by łatwo było przepisać z menadżera haseł. Utrudnienie złamania też jest dobre. Dodatkowo na każdym serwisie nowe hasło – dzięki randomwords na pewno się hasła mi się nie powtórzą i nie będą miały wspólnego rdzenia. To jest najważniejsze.

    Odpowiedz
  • 2016.09.09 21:50 Iktor

    Najlepszym haslem jest DupoaCycki1@ xD

    Odpowiedz
  • 2016.09.20 10:03 Bartosz/IdolwSzutrab7

    Cóż, ja to od jakiegoś czasu stosuję na każdym serwisie inne hasło. Inne dla maszyny, bo dla człowieka to jest to samo hasło, tylko ze zmienionym początkiem. I chyba źle robię, że w haśle mam nazwę serwisu, do którego się odnosi, hmm. Cóż, dalsza część hasła jest nieznana, ale jakby ktoś na jednym portalu odgadł całe hasło i byłby człowiekiem, to mógłby w sumie dostać się do innych serwisów, gdyby pogłówkował. Po za tym sugerowałem się metodą 3 kompletnie niezwiązanych ze sobą słów, np. słoń-zimny-dym, plus użyłem cyfr i mieszanych liter duża-mała-duża-mała. Słabe hasło, co nie? :/

    Odpowiedz
  • 2016.10.09 01:58 niname

    Ja pierdole , nie mogę uwierzyć , 90% powyżej piszących nie potrafiło zrozumieć czytając artykuł ze to nie hasła złamano, niezależnie od ich złożoności a zawiódł sposób ich przechowywania na serwerze!!!, a tu gimbaza rozwodzi się nad złożonością haseł , ja pierdole!!

    Odpowiedz
  • 2020.07.24 16:20 Trioxin245

    Przyjdz i złam moje hasło brute-force hahaha. Wszystkie kompy świata i wszystkie karty graficzne świata = milion lat oczekiwania a i tak wątpliwe żebyś to hasło złamał. Żaden program nie złamie mocnego hasła na Twoim komputerku..

    Odpowiedz

Zostaw odpowiedź do Mix

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Twoje 46-znakowe hasło też ktoś może bez problemu złamać

Komentarze