forum.opennet.ru

Составление сообщения

Исходное сообщение

"GitHub запрещает парольную аутентификацию при доступе к Git "
Отправлено Ordu, 13-Авг-21 17:25

>> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.
> Это элементарно, Ватсон:
> Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь
> и все случаи, и просто каждый раз прописывать ему соль в
> виде веб-адреса после, скажем, седьмого символа. Или до.
> Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.
Это секурити сру обскурити. Это мнемоническое правило, которое брутфорсеры паролей могут учесть. Ты только что рассказал это правило всем, и, поэтому, возможно, они уже учли. Ты можешь придумать другое, но... сколько таких правил могут придумать люди? 100? 1000? Какие-то из этих правил содержат произвольный параметр, типа "соли" которая может быть уникальная для каждого человека? Насколько это увеличивает пространство перебора? В 1000 раз? То есть, теперь угон одного твоего пароля позволяет перебрав миллион комбинаций угадать твой пароль для другого сервиса, так? Миллион комбинаций для современного cpu -- это пустое место, для видеокарты тем более. Ах, ты используешь одно и то же значение параметра для каждого сайта? То есть узнав этот параметр один раз, мы теперь знаем твои пароли для всех?
Может ты думаешь, что невозможно создать список всех таких правил? Возможно -- достаточно чтобы достаточное количество паролей попало бы в руки достаточно мотивированного человека, чтобы он сидел и анализируя пароли, искал бы схожие чем-то, и придумывал правила перебора, которые эти схожести учтут. При этом, я не удивлюсь, если _уже_ существуют инструменты задействующие AI, под то, чтобы такой анализ базы паролей с категоризацией и генерацией правил под каждую категорию производить автоматически. Если таких инструментов ещё нет, то это временно.
Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей. Ты аутентифицируешь себя менеджеру паролей каким-то образом -- может быть паролем, который невозможно подобрать, единственным паролем, который ты помнишь, -- менеджер паролей затем отвечает на твои вопросы о том, какой у тебя пароль к тому или иному сервису. И вот тут ты можешь использовать сколь угодно сложные пароли. Или ты можешь использовать ключи -- тебе уже без разницы, ключи или пароли.

Исходное сообщение
"GitHub запрещает парольную аутентификацию при доступе к Git " Отправлено Ordu, 13-Авг-21 17:25
>> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске. > Это элементарно, Ватсон: > Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь > и все случаи, и просто каждый раз прописывать ему соль в > виде веб-адреса после, скажем, седьмого символа. Или до. > Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай. Это секурити сру обскурити. Это мнемоническое правило, которое брутфорсеры паролей могут учесть. Ты только что рассказал это правило всем, и, поэтому, возможно, они уже учли. Ты можешь придумать другое, но... сколько таких правил могут придумать люди? 100? 1000? Какие-то из этих правил содержат произвольный параметр, типа "соли" которая может быть уникальная для каждого человека? Насколько это увеличивает пространство перебора? В 1000 раз? То есть, теперь угон одного твоего пароля позволяет перебрав миллион комбинаций угадать твой пароль для другого сервиса, так? Миллион комбинаций для современного cpu -- это пустое место, для видеокарты тем более. Ах, ты используешь одно и то же значение параметра для каждого сайта? То есть узнав этот параметр один раз, мы теперь знаем твои пароли для всех? Может ты думаешь, что невозможно создать список всех таких правил? Возможно -- достаточно чтобы достаточное количество паролей попало бы в руки достаточно мотивированного человека, чтобы он сидел и анализируя пароли, искал бы схожие чем-то, и придумывал правила перебора, которые эти схожести учтут. При этом, я не удивлюсь, если _уже_ существуют инструменты задействующие AI, под то, чтобы такой анализ базы паролей с категоризацией и генерацией правил под каждую категорию производить автоматически. Если таких инструментов ещё нет, то это временно. Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей. Ты аутентифицируешь себя менеджеру паролей каким-то образом -- может быть паролем, который невозможно подобрать, единственным паролем, который ты помнишь, -- менеджер паролей затем отвечает на твои вопросы о том, какой у тебя пароль к тому или иному сервису. И вот тут ты можешь использовать сколь угодно сложные пароли. Или ты можешь использовать ключи -- тебе уже без разницы, ключи или пароли.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру