Джефф Этвуд: «Ваш пароль слишком короткий!»

Джефф Этвуд: «Ваш пароль слишком короткий!»

336
ПОДЕЛИТЬСЯ

Могу огласить, из опыта: Я уже утомился писать о паролях. Но, как и налоги, электронной почты и красноватые глаза, они никуда не денутся.

непринципиально, что вы говорите юзерам , они будут выбирать обыкновенные пароли
Раз повезет — два пароля и они будут применять один и тот же пароль везде.

Что может сделать Разраб?

Самый наилучший пароль-тот, который не необходимо хранить. перестаньте требовать пароли и разрешить аутентификацию через Google, Facebook, Твиттер, Yahoo либо всякую другую услугу.
поощрять обозреватели поддерживают автоматические интегрированные системы сотворения и управления паролями. Этот метод перемещения хром. В эталоне — и поддерживаемых ОС, но там требуется Общественная ссылка на облаке.
удар юзеров, когда они вводят:

очень недлинные пароли: UY7dFd
пароли с низкой энтропией: ааааааааа
пароли из словаря: anteaters1

Традиционно это делается с помощью индикатора трудности пароля, который является интерактивным.

Он употребляется, когда нельзя избежать хранения паролей.
Я люблю секретную фразу, хотя им чрезвычайно тяжело набирать текст на сенсорных экранах в наш мобильный мир. Обычный метод усилить пароль, сделав его длиннее. При иных равных критериях экспоненциальный закон говорит, что чем длиннее пароль, тем лучше. Но как долго должен быть пароль?
В развитии дискурса пришлось выбирать мало допустимая длина пароля. Это не так много, но раз у вас довольно различные нравы, обязано быть довольно, чтоб защититься от атак. Я избрал 8, на базе быстро учусь.
Он может работать на самых фаворитных паролей, но традиционно веб-сайты и приложения являются защищенной от нередкого повторного ввода данных. И я не имею ввиду те атаки, когда взлом происходит методом перезагрузки странички либо формы ввода.
Такие утечки были и будут. Я имею в виду скоростной офф-лайн подбор хэшей, где взломщик имеет базу данных слил пароли.
Но даже раз они сохранили пароль в хэш молиться, так он был медленный и непростой метод хэширования, как bcrypt. Упс, это было правда издавна, в средние века, приблизительно в 2010 году. И они избрали достаточное число итераций. Раз для вас не подфартило, разрабов приложений, сервис либо веб-сайт для хранения паролей в открытом виде. Не так нередко в крайние годы — прогресс. Я желал огласить, что метод должен выбрать, это по нашему.
Да? И все будет отлично.

У меня «U6zruRWL» давайте возьмем случайный набор из 8 знаков. Обратите внимание, что генератор длина по умолчанию.
вчеркните его в поле сервис проверки трудности паролей КРЖ пароль Checker русификатор
получаем, что при применении «большой массив для взлома» скорость обнаружения будет 2.22 секунд
иди, ложись теплым полотенцем на лице

Обыденный набор 24 ГПУ, оптимизированы для скорого выбора хэшами, доступных для хоть какого агентства и среднего бизнеса. Но представьте для себя, что вы могли Агентство по государственной шкале. Тем наиболее, что они не должны приобрести, а можно арендовать — к примеру, в облаке. К огорчению. Вы говорите, что «большой массив для взлома» — это экзотика. Кошмар.

Даже раз мы игнорируем этом случае в окне «обычный оффлайн грубой силы» значит только 37 минут.
Попытайтесь удлинить пароль. Что вы получаете?
9 знаков — 2 минутки
10 знаков — 2 часа
11 знаков — 6 дней
12 знаков — 1 год
13 знаков — 64 лет
Может быть, добавить особые знаки?
8 знаков — 1 минутка
9 знаков — 2 часа
10 знаков — 1 неделька
11 знаков — 2 лет
12 знаков — 2 века
Не очень плохо, но кажется безопасным лишь Марк из 12 знаков, содержащий верхний и нижний регистр, числа и особые знаки.
Постоянно будет число знаков в геометрической прогрессии, что обязано быть недостижимым, но со временем, мощности процессора будет лишь расти. И огромные массивы для взлома» становится медлительнее не будет.

Вот что я скажу для тебя, несчастному юзера: раз Ваш пароль не короче 12 различных персонажей, ты в угрозы. Создавать случайные пароли не наименее 12 знаков.
Естественно, все эти расчеты зависят от используемого метода хэширования. Очень много старенькых программ и алгоритмов, которые будут жить долго, чрезвычайно долго. Должны признать, что все ваши пароли будут хранится в зашифрованном виде самые глуповатые и стремительный метод.
Создатели:

выбрать хэш-методы кропотливо. Поддерживать вашу систему. Применять хэши, которые тяжело подобрать на GPU, к примеру, это по нашему.
выбор правильного хэша, и выбрать правильные опции для его работы. Мацуно советует эти опции:

это по нашему: Н=2^14, р=8, р=1
bcrypt: стоимость=11
Pbkdf2 С С и sha256: итераций=86,000

Но это лишь совет — для вас необходимо настроить характеристики для реалий вашего сервера системы. К примеру, у нас был вариант, когда ошибка в дискурсе дозволил юзерам пароли езды до 20000 знаков, и вычисление хэш пароля занимает много секунд.
habrahabr.ru А на данный момент мне лучше пойти поменять собственный пароль на PayPal.