משתמשים אוהבים סיסמאות קלות.
מה יקרה אם נמנע ממשתמשים להכניס סיסמאות שמשתמשים אחרים בחרו כבר?
זדוני, אה? 🙂
Facebook Comments
May your sockets never timeout
משתמשים אוהבים סיסמאות קלות.
מה יקרה אם נמנע ממשתמשים להכניס סיסמאות שמשתמשים אחרים בחרו כבר?
זדוני, אה? 🙂
סגור לתגובות.
אז אנשים לא יבדקו את האתר (לרוב חשבונות הבדיקה יש ססמאות קלות למיטב ידיעתי)
ואז אני אדע שיש סיסמא כזו…. עכשיו צריך להתאים לזה משתמש. זה פשוט ההיפך מלהתאים למשתמש סיסמא.
אתה יכול לעשות מתקפות BF גם בלי זה (או לא יכול גם עם זה)
אפשר לעשות היפוך לברוטפורס
להשוות את הסיסמה לרשימת מילים של ברוטפורס ואם זה קיים שם אז לא לאשר
אפשר גם דיסאינפו: מילים בברוטפורס + ססמאות שכבר נבחרו + וריאציות על ססמאות.
אני אבל הייתי מחייב משתמש לעבוד עם ססמא אקראית.
כמו שנאמר מעלי – מה שיקרה הוא שאתה בעצם תיצור פרצת אבטחה במערכת שלך.
מישהו יוכל לדעת שהסיסמה קיימת ועכשיו הוא רק צריך להשיג שמות יוזרים ולנסות להכנס להם לחשבון.
זדוני? אולי .. כלפי אבטחת המערכת.
מי אמר שהשגיאה שתקבל תגיד לך שהסיסמא קיימת?
כמו שהוצע, אפשר גם להשתמש ברשימת מילון + וריאציות כדי לדחות סיסמאות קלות אחרות.
מה המטרה במניעת סיסמאות קלות?
יהונתן, עבודה עם סיסמה אקראית גורמת למשתמשים רבים לכתוב אותה במקום לא בטוח, ולחוסר נוחות.
זה פתרון מאוד בעייתי.
סיסמא של מינימום 15 תווים כאשר אסור שיהיו תווים תואמים(כל תו יכול להופיע רק פעם אחת) ותווים עוקבים(1-2-3,A-B-C,G-F-E) זה פותר כל בעיה שיש…
נחום, כולל הבעיה של עומס על השרת…
נראה לי שהפתרון בנושא אבטחת סיסמאות היא פשוט מודעות + באתרים רציניים (כמו גם זה של הדואר כן) לא לאפשר סיסמאות קלות.
הרי מרבית האנשים שגולשים באינטרנט בכלל לא מודעים שברגע שהם משתמשים בצירוף שם משתמש / סיסמא ביותר מאתר אחד, הם חושפים את זה שלאנשים אחרים יש גישה לזהות הדיגידלית שלהם… (ובמקרה הטוב הם יכולים להיות פאסיבים בלבד ולראות מה הם עושים ובמקרה הרע להיות אקטיבים ולהרוס דברים).
נניח שבחרתי 999999 כסיסמא. עם BF, אני אכנס בטיפה פחות ממליון נסיונות. מנגנון אבטחה בסיסי שינעל את החשבון אחרי 3-5 נסיונות שווא רצופים הרבה יותר יעיל.
ולכן, אין שום משמעות לקטע של סיסמא "פשוטה" גם סיסמא של 4 תווים תהיה מספיקה (אבל אז הסיכוי לגילוי הסיסמא במקריות עולה, אבל עדיין הוא נמוך מספיק).
ולכן, עדיף לנסות לגלות סיסמאות בהנדסה חברתית… (-:
אני מתנצל על העברית הלקויה. ערב וכו….
במקום "גם סיסמא של 4 תווים תהיה מספיקה" צ"ל "גם סיסמא של 4 תווים תספיק".
אבים, אתה מסכים איתי שקל יותר לנחש את 999999 מאשר את 145a4ag?
הרי בשניהם יש שישה תווים.
זה שנתת דוגמא שבה זה יקח הרבה זמן, לא אומר שאי אפשר יותר טוב.
למעשה, כל תוכנת ניחוש סיסמאות בסיסית תנחש את הסיסמא הזו בהרבה פחות מאשר מליון נסיונות.
קח בחשבון שאתה לא מגן רק מפני נסיונות פריצה דרך הדלת הקדמית, אם מישהו משיג את בסיס הנתונים שלך בדרך כלשהי (ונניח שאתה לא אדיוט גמור ששומר סיסמאות בטקסט נקי אלא כHASH כלשהו), סיסמא כמו 999999 תתגלה מהר מאוד.
אפשר להוסיף איזה SLATE ל HASH
האם הסיסמה: ahan, chyjui היא סיסמה טובה ? מכיון שדי קל לזכור אותה כאשר יודעים שהיא הקלדה של המילים העבריות סיסמת ביטחון. כמובן שהחלפת הרווח ב-@ תהפוך אותה לקשה יותר גם ב-HASH.
מבין, SALT זה די בולשיט.
זה נסיון לא מוצלח של Security by obscurity.
אם מישהו השיג את בסיס הנתונים שלך, תהיה בטוח שהוא גם יכול להשיג את הפונקציה הסודית של הSALT.
דב, כן – זו סיסמא טובה, ולו בגלל שסיסמאות שמבוססות על הקלדת מילים בעברית הן לא ממש פופולריות וקשה לי להאמין שיש תוכנות פריצה שממש בודקות סיסמאות כאלו.
תלוי איפה. בארץ הן מאוד מאוד פופולריות, וישראלי יבדוק את העניין בהכרח.
לא הייתי סומך על זה שהתורכי הוא זה שיפרוץ.
עמרי, נתתי דוגמה בלבד כדי להדגים סדר גודל של נסיונות פריצה. ברור שבחרתי חרא דוגמא. חזרתיות מגדילה את יכולת הגילוי המהיר בתנאי כמובן שאתה יודע את זה… אבל יש איזשהו TRADE OFF-הסיסמא חייבת להיות קלה מספיק לזכירה כדי שלא תירשם על פיתקית צהובה דבוקה למסך ומסובכת מספיק כדי לא לחזור על עצמה.
אבל בכל מקרה, נעילה לאחר X נסיונות לא מוצלחים עדיין אפקטיבית יותר כנגד BF.
אבים, אתה לא צריך לדעת את זה. אתה פשוט מנסה את הסיסמאות הקלות קודם.
נכון שסיסמא לא צריכה להיות קשה מדי, פה אין וויכוח.
לגבי נעילה:
היא אכן יעילה, אבל לא נראה שקראת כמו שצריך מה שכתבתי:
אם מישהו משיג עותק של בסיס הנתונים ומתחיל להריץ עליו סקריפט לגילוי סיסמאות אין לך שום דרך לנעול.