The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.03.2010 20:17  passwdqc 1.2.0 - парольные фразы по-русски

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего PAM-модуль pam_passwdqc, программы pwqcheck и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM.

Одна из новых возможностей - поддержка парольных фраз, содержащих не-ASCII 8-битные символы (в частности, koi8-r). Теперь такие фразы распознаются и допускаются. В более старых версиях не-ASCII символы не считались частью слов и поэтому фразы с ними неоправданно подвергались более жестким ограничениям, предназначенным для паролей, а не фраз.

Помимо этого, существенно повышена эффективность работы passwdqc в плане как распознавания слабых паролей, так и легкости выбора пароля, удовлетворяющего требованиям программы. Благодаря новым опциям программы pwqcheck (теперь "pwqcheck -1 --multi" проверяет поток паролей или парольных фраз с stdin), эффективность измененных и добавленных критериев была проверена на тысячах реальных паролей - как стойких (должны пропускаться), так и успешно подобранных с помощью John the Ripper (должны отвергаться).

Также, увеличена энтропия генерируемых парольных фраз (с 42 до 47 бит по умолчанию) путем увеличения количества различных символов-разделителей и изменением регистра первой буквы слов. Это важно в первую очередь для систем, в недостаточной мере использующих "растягивание" паролей (например, использующих алгоритм на основе 1000 итераций MD5, а не более современный bcrypt).

Наконец, в этой версии добавлена "официальная" поддержка интерфейса passwordcheck в OpenBSD, позволяющего проверять пароли во время их установки командой passwd (аналогично тому как это происходит на системах с PAM) и упрощена сборка RPM-пакетов passwdqc на дистрибутивах от Red Hat и подобных ("rpmbuild -tb" на tarball).

Одновременно с этим релизом выложены скриншоты, а также созданы Wiki-странички и список рассылки passwdqc-users (дискуссии в нем предполагается вести на английском). Пакет passwdqc в Debian уже обновился до версии 1.2.0.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
Автор новости: solardiz
Тип: Программы
Ключевые слова: password, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, linux4ever, 20:31, 17/03/2010 [ответить] [смотреть все]
  • +/
    Поддержка OpenCL или CUDA где?
     
     
  • 2.3, pavlinux, 20:37, 17/03/2010 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Зачем Проверять на равномерность распределения среди 8 из 74 возможных знаков ... весь текст скрыт [показать] [показать ветку]
     
  • 2.4, solardiz, 20:54, 17/03/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мы обсуждаем что - passwdqc или JtR Я думал, эта новость про passwdqc Ему дост... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, pavlinux, 21:03, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    теоретическую стойкость Да, кстати, какой критерий стойкости максимальная уд... весь текст скрыт [показать]
     
     
  • 4.6, solardiz, 21:45, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Критериев много, но не очень много Это те, которые по моему опыту реально позво... весь текст скрыт [показать]
     
     
  • 5.7, pavlinux, 22:09, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    http www itl nist gov fipspubs app-e htm http www iwar org uk comsec resourc... весь текст скрыт [показать]
     
     
  • 6.8, solardiz, 22:48, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Это совсем не то Я говорил об Army Regulation 25-2 AR 25-2 , да и то в нов... весь текст скрыт [показать]
     
     
  • 7.9, pavlinux, 23:19, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Ещё бы опцию -p или gnu long --print дабы dd if dev urandom bs 1 count 256... весь текст скрыт [показать]
     
     
  • 8.10, solardiz, 23:37, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Его видно с опцией --multi, которая предназначена как раз в основном для тестиро... весь текст скрыт [показать]
     
     
  • 9.11, solardiz, 23:42, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    А лучше for n in 1 2 3 4 5 do pwqgen done 124 pwqcheck -1 --multi На то ... весь текст скрыт [показать]
     
  • 9.12, pavlinux, 23:59, 17/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Их не нужно запоминать, а то под пытками узнают Не-е-е-е, срочно нужен At l... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.2, pavlinux, 20:36, 17/03/2010 [ответить] [смотреть все]  
  • +/
    Да уж... привет из 1990 года.
    Тогда в домах и офисах стояли компьютеры, а не терафлопные, монстроидальные, CUDAобразные  числодробилки.
     
  • 1.13, zhus, 10:45, 18/03/2010 [ответить] [смотреть все]  
  • +/
    А такое криптостойко?

    vxlrxsKdqx05
    1S1NZ4ftknHt
    ebL3lEl8Eidi

     
     
  • 2.14, Аноним, 11:31, 18/03/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чудилка Криптостойкость определяется у криптографического алгоритма а не у паро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, zhus, 11:46, 18/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Увы, в теории не силён Я, к сожалению, своих паролей не знаю Мне их генерит мн... весь текст скрыт [показать]
     
     
  • 4.18, solardiz, 11:56, 18/03/2010 [^] [ответить] [смотреть все]  
  • +/
    На вид нормальные, но это не дает гарантии Встречаются такие генераторы, которы... весь текст скрыт [показать]
     
  • 2.15, solardiz, 11:42, 18/03/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Эти пароли успешно проходят проверку с умалчиваемыми настройками passwdqc, т к ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, zhus, 11:48, 18/03/2010 [^] [ответить] [смотреть все]  
  • +/
    Спасибо Именно это я хотел узнать ... весь текст скрыт [показать]
     
  • 1.19, sluge, 15:04, 18/03/2010 [ответить] [смотреть все]  
  • +/
    и в чем фишка писать пароли в КОИ8?  объясните не понимаю
     
     
  • 2.20, pavlinux, 17:23, 18/03/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Увеличение вариантов.

    Так у Вас, 26 + 26 + 10 цифер + по-моему 12 знаков , а с локалью будет ещё + 66 букв.
    Итого: сочетаний с повторениями из 152 элементов по например 8, будет равно 2.424648151*10^15 вариантов,
    против 1.340705737*10^15 без локали

    Примерно 9 дней перебора, на 4-х Gforce 295 или 1 минуту на IBM RoadRunner :)

     
     
  • 3.21, TS, 19:19, 18/03/2010 [^] [ответить] [смотреть все]  
  • +/
    А с bcrypt на cost=8 ? :)
     
     
  • 4.22, pavlinux, 19:59, 18/03/2010 [^] [ответить] [смотреть все]  
  • +/
    >А с bcrypt на cost=8 ? :)

    Да хрен знает,... всё зависит от скорости генерации хэша.  

     
  • 3.24, sluge, 10:57, 19/03/2010 [^] [ответить] [смотреть все]  
  • +/
    врятли какой нито извращенец будет часть пароля писать по русски а часть по английски. к тому же эти лишние 6 букв-это ё, й, твердый и мягкий знаки-вещи относительно редко использующаеся в написании. так что эффект сомнителен.
     
     
  • 4.27, solardiz, 11:49, 19/03/2010 [^] [ответить] [смотреть все]  
  • +/
    >врятли какой нито извращенец будет часть пароля писать по русски а часть по английски.

    Да. Именно то, что таких паролей/фраз пока очень мало делает их более привлекательными для использования. Чем более равномерно распределены возможные пароли, тем сложнее их подбирать. К тому же, если для каждого слова в фразе из трех слов выбирать писать ли аналогичное английское слово (или из другого языка, известного автору фразы), русское транслитом, русское "по клавиатуре", или же русское в кириллической кодировке - это даст до 6 лишних бит на фразу (по 2 бита на слово) - а запомнить это будет легко. Если вариант с использованием кириллической кодировки исключить (т.к. неудобно, с этим я согласен), все равно останется до 27 вариантов или около 4 "лишних" бит на фразу из трех слов.

    >к тому же эти лишние 6 букв

    Они тут ни при чем.

     
  • 2.23, solardiz, 05:05, 19/03/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Фишки нет Просто один из вариантов Кому-то подойдет, кому-то большинству - н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, sluge, 10:59, 19/03/2010 [^] [ответить] [смотреть все]  
  • +/
    фраза в 15-20 алглийских символов уже настолько замедляет подбор перебором что всякие кои нафиг ненужны
     
     
  • 4.26, solardiz, 11:36, 19/03/2010 [^] [ответить] [смотреть все]  
  • +/
    > фраза в 15-20 алглийских символов уже настолько замедляет подбор перебором

    Перебором чего именно? Если не символов, а слов, то ожидаемое время перебора зависит не от длины в символах, а от количества слов в фразе, количества различных слов в словарном запасе ее автора, условных вероятностей слов в фразе. При длине в 15-20 символов, количество слов вряд ли превышает 3-4, а энтропия вряд ли превышает 40-50 бит. Это прилично, не то чтобы очень много. В некоторых случаях этого достаточно, а в некоторых - нет.

    > что всякие кои нафиг ненужны

    Это вопрос индивидуальных предпочтений. Добавленные еще несколько бит действительно большой роли не играют. Разве что пока такие пароли/фразы очень редки, можно понадеяться что перебираться будут в первую очередь другие (без 8-битных символов), что с точки зрения атакующего более рационально.

     
  • 1.29, Аноним, 16:19, 21/03/2010 [ответить] [смотреть все]  
  • +/
    придумать сложный пароль не сложно, труъдности возникают в тот момент когда его... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor