The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров

22.02.2021 20:17

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах).

По сравнению с прошлыми версиями, добавлена поддержка внешних файлов фильтрации паролей, в том числе двоичных, которые на данный момент являются реализацией улучшенного кукушкиного фильтра. Такой фильтр гарантированно не пропустит ни один из запрещенных паролей, но может изредка приводить к ложным срабатываниям, вероятность которых при используемых в passwdqc настройках и алгоритме пренебрежимо мала. Проверка пароля на наличие в фильтре требует не более двух доступов случайного чтения с диска, что очень быстро и, как правило, не создает чрезмерной загрузки сервера.

Для создания и работы с двоичными фильтрами в passwdqc добавлена программа pwqfilter. Она может создать фильтр как из списка самих паролей, так и из их хешей MD4 или NTLM. Поддержка хешей NTLM позволяет импортировать пароли из списка HIBP (Pwned Passwords), распространяемого в такой форме. Было вложено много труда в оптимизацию pwqfilter по быстродействию, компактности получаемых фильтров, а также уровню ложных срабатываний. Например, создание кукушкиного фильтра с коэффициентом загрузки 98% из файла pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB (22 GB) и содержащего более 613 миллионов строк занимает около 8 минут на процессоре Core i7-4770K. Получающийся фильтр занимает 2.3 GiB (2.5 GB) и имеет уровень ложных срабатываний около 1 на 1.15 миллиардов. С меньшим целевым коэффициентом загрузки, фильтр может быть создан гораздо быстрее и будет иметь уровень ложных срабатываний еще ниже, но его размер получится больше.

passwdqc очень хорошо справляется с задачей не пропускать слабые пароли и без использования внешних файлов. Их использование может дополнительно повысить эффективность passwdqc при этом почти не причиняя пользователям дополнительного неудобства, либо может позволить ослабить другие ограничения. Подобная проверка выбираемых пользователями паролей по известным утечкам рекомендуется NIST. А для проекта Openwall это потенциальная возможность финансирования разработки passwdqc (и не только) через продажу готовых фильтров, при этом не ограничивая пользователей в возможности создавать фильтры самостоятельно используя выпущенную под свободной лицензией программу pwqfilter.

Программа pwqfilter работает с произвольными строками и может быть применена вместо grep для многих целей, даже не относящихся к паролям и безопасности. С учетом этого, pwqfilter имеет несколько опций, аналогичных имеющимся в grep, избегает использования названий опций, которые бы противоречили имеющимся в grep, и использует такие же коды возврата как в grep.

Для задач где ложные срабатывания крайне нежелательны, их уровень может быть снижен, например, до одной на квинтиллион (миллиард миллиардов) при коэффициенте загрузки до 44%. (Классический кукушкин фильтр не даёт столь значительного снижения уровня ложных срабатываний при снижении коэффициента загрузки. В passwdqc это достигается благодаря улучшениям алгоритма).

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск механизма управления теневыми паролями tcb 1.2
  3. OpenNews: Выпуск модуля LKRG 0.8 для защиты от эксплуатации уязвимостей в ядре Linux
  4. OpenNews: Обновление схемы хеширования паролей yescrypt 1.1.0
  5. OpenNews: Выпуск John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA
  6. OpenNews: passwdqc 1.2.0 - парольные фразы по-русски
Автор новости: solardiz
Тип: Программы
Короткая ссылка: https://opennet.ru/54636-passwdqc
Ключевые слова: passwdqc, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (77) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:46, 22/02/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +11 +/
     
     
  • 2.2, Аноним (2), 22:58, 22/02/2021 Скрыто модератором
  • –1 +/
     
  • 2.3, Аноним (-), 22:59, 22/02/2021 Скрыто модератором
  • +/
     
     
  • 3.4, Аноним (1), 23:09, 22/02/2021 Скрыто модератором
  • +/
     
  • 3.8, Аноним (8), 00:50, 23/02/2021 Скрыто модератором
  • +1 +/
     
     
  • 4.13, Аноним (13), 07:06, 23/02/2021 Скрыто модератором
  • +3 +/
     

     ....ответы скрыты модератором (5)

  • 1.7, Аноним (-), 00:45, 23/02/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –4 +/
     
     
  • 2.9, Аноним (9), 01:41, 23/02/2021 Скрыто модератором
  • +2 +/
     
     
  • 3.10, Аноним (9), 01:42, 23/02/2021 Скрыто модератором
  • +2 +/
     

     ....ответы скрыты модератором (2)

  • 1.11, Аноним (11), 04:43, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Почему бы просто не развивать биометрию?
     
     
  • 2.12, Аноним (12), 06:43, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Во-первых, ты хочешь жить в антиутопии?

    Во-вторых, её как раз-таки и развивают.

     
     
  • 3.23, An O Nim (?), 09:42, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В документации написано, что она менее безопасная. О так вот...
     
  • 2.14, Аноним (-), 09:01, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Биометрия легко воруется, как отрубить палец. Кроме того на этом уровне технологии легко подделывается. А пароль забыл и все.
     
  • 2.48, YetAnotherOnanym (ok), 11:26, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не забудь задать этот вопрос, когда в дивном грядущем мире с твоей карточки снимут деньги просто подойдя к банкомату в пластическом гриме с твоим лицом, которое возьмут с твоей фотки в фб или вк.
     
     
  • 3.57, Аноним (57), 12:24, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    С такой сетью камер его можно автоматически вести до места, где он снимет грим (а если он грим на снимет, то у первого полицейского на его пути возникнут вопросы), и после навесить ему обвинений не только в мошенничестве и воровстве, но и в невыполнении обязательств по биометрической идентификации себя на улицах и в неавторизованном доступе и в использовании заведомо ложных биометрических данных и в самзванстве и ещё до кучи специально придуманных законов, чтобы хватило на 100 пожизненных или 1 смертную казнь.
     
     
  • 4.63, YetAnotherOnanym (ok), 16:20, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пффф... Делов-то - доехать (на каршеринговой машине, за которую тоже заплатишь ты) до неблагополучного района, где камеры вроде бы должны быть, но разбиты местной шпаной. Тачка там же пропадёт, и отвечать за неё тоже придётся тебе.
    Не забывай, что киберпанк - это не только хай-тек, но и лоу-лайф.
     
  • 2.56, Vitto74 (ok), 12:12, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как давно ты менял отпечатки пальцев, ДНК или рисунок радужной оболочки?
     

  • 1.15, Аноним (15), 09:15, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > набора инструментов для контроля
    > сложности паролей и парольных фраз

    Здорово. А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети. В последнее время перешёл на анализ силы паролей в спец. программах. Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях. Что-то в духе:




    box~$
    box~$ pwgen -ys 60 1
    vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl
    box~$
    box~$


    Проверяю:




    Length: 60
    Strength: Very Strong - More often than not, this level of security is overkill.
    Entropy: 324.3 bits
    Charset Size: 94 characters


    324 бита более чем.

     
     
  • 2.16, RomanCh (ok), 09:21, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А я всегда пользовался сервисами по оценке силы паролей. Их множество великое в сети.

    Так вот откуда появляются файлы "pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB"...

     
     
  • 3.17, Аноним (15), 09:26, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Там об энтропии, а не о хэшах. Просвещайтесь:

    https://www.whonix.org/wiki/Passwords

     
     
  • 4.31, RomanCh (ok), 10:19, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и невероятно серьёзные эксперты 9999lvl, которые от увиденных знакомых слов в статье начали "просвещать" всех остальных. Но в исходном комментарии написано "проверка паролей" а не хешей. И да, базу хешей для pwned-passwords-ntlm-ordered-by-hash-v7.txt можно получить так же и из открытых паролей присылаемых "на проверку". Ну и наконец - расслабтесь, не только лишь все мои комментарии написаны серьёзно.

    PS https://ru.wikipedia.org/wiki/%D0%A1%D0%B0%D1%80

     
     
  • 5.33, Аноним (33), 10:40, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > можно получить так же и из открытых паролей присылаемых "на проверку"

    Так можно ничего никуда не присылать, а энтропию высчитывать локально. Благо любой парольный менеджер сейчас определяет всё в автоматическом режиме. Поэтому можно сразу "прицениться" и определить силу парольных фраз и энтропии. Парольные фразы хороши когда учётных записей 2-3 и их легко держать в памяти. Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.

    > https://ru.wikipedia.org/wiki/Сарказм

    Ок. Я не понял, что ваша реплика была саркастическая.

     
     
  • 6.47, Аноним (57), 11:22, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Но когда учётных записей 20-30-40... и тп. От маршрутизаторов, машин, виртуалок, криптоконтейнеров, почты и многого другого, то без генерируемых устойчивых паролей не обойтись.

    Авторизация по публичным ключам же.

     
  • 6.52, RomanCh (ok), 11:55, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> можно получить так же и из открытых паролей присылаемых "на проверку"
    > Так можно ничего никуда не присылать, а энтропию высчитывать локально

    Да что же такое-то... Чукча во истину не читатель что-ли?

    Ведь мой комментарий исходно относился к словам некоего анонима (вас?) о том что он ранее отправлял свои *пароли* для проверки каким-то сервисам в интернет. Из чего я сделал саркастическое замечание с намёком на то, что все эти пароли тут же можно считать скомпрометированными. А у вас понеслось - энтропия, хеши...

    > От маршрутизаторов, машин, виртуалок, криптоконтейнеров ... , то без генерируемых устойчивых паролей не обойтись.

    Да вот тут уж действительно авторизация/дешифрование по ключам лучше подошли бы.

     
  • 3.18, Аноним (15), 09:28, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вас должно интересовать Future-proof Safety и Post-quantum Secure.
    Ну и вообще всё почитайте ради образовательных целей ради.
     
     
  • 4.58, анон (?), 13:16, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При шифровании на решетках останутся те же пароли, а твои кпк уже их не осилят, максимум, где они понадобятся, так это расшифровать изъятые данные, или зашифрованные в облаках.
     
     
  • 5.71, Аноним (-), 17:53, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а твои кпк уже их не осилят

    Вы пьяны? Причём тут кпк?

    Report on Post-Quantum Cryptography, National Institute of Standards and Technology  -
    https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf

     
     
  • 6.72, анон (?), 19:01, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    квантовыеПК
     
  • 2.20, Аноним (20), 09:35, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Учитывая превеликое множество учёток перестал пользоваться парольными фразами и акцентировался на генерируемых паролях.
    > pwgen -sy 60 1

    Как его запомнить?

    Хранить на компе в текстовом файле не предлагать.

     
     
  • 3.22, Аноним (15), 09:41, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как его запомнить?

    Запоминать не надо. Все пароли и учётные записи я храню в криптоконтейнере, к которому осуществляется доступ по мастер паролю + usb токену.

     
     
  • 4.32, Паролик (?), 10:38, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А потом потерял USB token или нужно срочно войти на определённый ресурс, а под рукой только смарт без возможности подключения USB token и все - приплыли.
     
     
  • 5.37, Аноним (33), 10:50, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А потом потерял

    Ну потерял так потерял. Да и восстановил из резервной копии, которая сама по себе бесполезна без мастер фразы. Критически важные данные резервирую всегда на нескольких физически отдельных друг от друга носителях. Кто-то использует закачку зашифрованных криптоконтейнеров в облака - я лично обхожусь без третьих лиц и ресурсов.

     
  • 5.68, Ordu (ok), 17:22, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Либо безопасность, либо удобство.
     
  • 4.35, Аноним (35), 10:44, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Защита крыптоконтейнера паролем и USB-токеном это хорошо. Желательно этот "крыптоконтейнера" держать на отсоеденяемом USB.

    Как вы защищаете расшифрованы в память компа крыптоконтейнер от ptrace?

    И при взломе крыптоконтейнера украдут ВСЕ пароли.

     
     
  • 5.40, Аноним (33), 11:00, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это универсальный вопрос Такой же вопрос можно задать и вам, а что если против ... большой текст свёрнут, показать
     
     
  • 6.70, Аноним (70), 17:52, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже стесняюсь задать вопрос. А каким порядком денег ты вертишь в месяц с таким уровнем безопасности?
     
     
  • 7.80, плуто (?), 12:00, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже стесняюсь задать вопрос.

    а причём здесь деньги? хранить можно и сканы простых документов...
    фоточки, которые вам дороги... и всё прочее... или типа если без денег то и флэшку нельзя зашифровать?

    > с таким уровнем безопасности?

    с каким таким? очень примитивный уровень безопасности на самом деле, очень простой, но очень эффективный. а те, кто ворочуют миллиардами у них многофакторные системы.

    > Даже стесняюсь задать вопрос.

    не стеснейся, товарищ майор или кто ты там по званию... если тусуешься на опеннете, то сам должен быть в курсе новостей/технологий/методик... косящих под дурaчкoв тут видно за километр...

     
  • 7.81, плуто (?), 12:18, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    кенесары передавай привет )
     
  • 3.24, An O Nim (?), 09:44, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть одноразовые пароли роботов. Бывает много паролей и пароль никто из людей не знает. Так делают и это нужно.
     
  • 3.25, anon11 (?), 09:49, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Хранить на компе в текстовом файле не предлагать.

    прогресс ушёл далеко вперёд...

    https://www.keepassx.org/

     
     
  • 4.36, Аноним (35), 10:47, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > прогресс ушёл далеко вперёд...
    > https://www.keepassx.org

    Консервативен. Бумажке в закрытом сейфе верю больше.

     
     
  • 5.42, Аноним (-), 11:10, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Бумажке в закрытом сейфе верю больше.

    Если ваша информация действительно важная и если эти пароли будут ещё кому-то интересны кроме вас (например спецам), то все эти ваши сейфы ни от чего не спасут. Вот вам пример:




    «У одного из них руки были в белых медицинских, резиновых перчатках, он достал динамо-машину и поставил на стол, канцелярским ножом зачистил два провода, сказал мне, чтобы я оттопырил большой палец ноги. Другой потрогал мне на шее пульс рукой, в дальнейшем он делал это не раз, он контролировал мое состояние. Он удивился, что пульс спокойный и у меня нет волнения, — это было оттого, что я вначале не понимал происходящее.

    Затем [человек] в перчатках стал крутить ручку „динамо-машины“. Ток пошел до колен, у меня стали сокращаться мышцы икровые у ног, меня охватила паралитическая боль, я стал кричать, начал биться спиной и головой о стену, между голым телом и каменной стеной они подложили куртку. Все это продолжалось примерно 10 секунд, но во время пытки мне это показалось вечностью. <…>

    «С меня сняли носки, стянули штаны и трусы до колен. На голову надели плотно прилегающий убор типа подшлемника и застегнули под подбородком. Конвойный обмотал большие пальцы моих ног проводами. В рот пытались засунуть кляп, но я не открыл его, потому кляп примотали скотчем. В прошлый раз от кляпа обкололось много зубов. В процессе борьбы мы почти не говорили. Когда меня перестали бить по лицу и в живот, меня ударили током».


    Ну как, нравится? Вот ваши сейфы... всё это до поры, до времени... Так что лучше уж зашифрованный котейнер, который (по крайней мере) сразу же вас не дискредитирует и не сдаст со всеми потрохами, чем ваш чистый плэйнтекст на вашей бумажке, где все данные будут вот на блюдечке выложены.

     
     
  • 6.67, YetAnotherOnanym (ok), 17:18, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто мудрёные криптоконтейнеры на USB-носителях в такой ситуации помогут.
    > В рот пытались засунуть кляп, но я не открыл его

    Как будто для таких людей это препятствие.

     
     
  • 7.69, Аноним (-), 17:45, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если допустить, что вам в принципе могут принести ущерб, то - безусловно Но на ... большой текст свёрнут, показать
     
     
  • 8.77, Аноним (77), 05:26, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    8211 С позволения Вашего Величества, 8211 сказал Валет, 8211 я этого пи... текст свёрнут, показать
     
     
  • 9.79, Аноним (79), 10:37, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можете подписываться под чем угодно Это и будет поводом для дальнейшей специф... текст свёрнут, показать
     
  • 2.21, Аноним (21), 09:35, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации че... большой текст свёрнут, показать
     
     
  • 3.45, Аноним (57), 11:20, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    +15 баллов лояльности.
     
     
  • 4.49, Anonumka (?), 11:40, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Знатно пoдлuзнул. Молодчина.
     
  • 2.59, Аноним84701 (ok), 14:26, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то в духе:
    > vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl

    *реально пользующиеся генерируемыми паролями скептично смотрят на автора комментария, хорошо представляя себе все "прелести" ввода в планшете или телефоне*

     
     
  • 3.60, пох. (?), 16:04, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    как будто у тебя в телефоне какой-то другой copy/paste?

    Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.

    Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!

     
     
  • 4.64, Аноним84701 (ok), 16:22, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > как будто у тебя в телефоне какой-то другой copy/paste?
    > Ну да, чуть более геморройно, чем ctrl-c/ctrl-v, всего лишь.
    > Или может ты с КЛАВИАТУРЫ такое способен ввести без ошибок?!

    Откуда копипастить, если, цитирую "криптоконтейнер" и  "без третьих лиц и ресурсов"?
    Тем более, что-то куда-то подключать для введения пароля одноразовой учетки всяких сервисов или того же wifi пароля ... особенно к какому-нибудь FireStick (а стандартный ввод там еще более у*бищен -- стрелочками выбираются буковки виртуальной клавиатуры)

     
     
  • 5.76, пох. (?), 21:53, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда копипастить, если, цитирую "криптоконтейнер" и  "без третьих лиц и ресурсов"?

    а я знай?

    Это у любителя "генерируемых паролей" спрашивай, откуда он копипастит свой любимый
    > vy'2\Fb3m7gc]'Ht9eWS3j0(53x=.B6mKk\Sa]eeGsw'-Ozj(|XTa+TmC;gl

    - но руками его набрать ты не сможешь ни на чем. Где-нибудь да опечатаешься. Все пять раз, или сколько там надо для блокировки учетки ;-)

    Вот так макаки и сводят всю безопастность к х-ю, все пароли клиртекстом в клипборде.

    А я за свой 123465 совершенно спокоен.

     
     
  • 6.78, Аноним (78), 09:46, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 123465

    о! да тут у нас клиент мамкиных хакеров, которые пишут самопальные брутеры в одном потоке, перебирая всевозможные комбинации цифр.

     

  • 1.19, Аноним (20), 09:29, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем сабж лучше/хуже cracklib ?

    Классический путь:
    Собираем pam и pambase с поддержкой cracklib
    Устанавлеваем словарь слабых паролей в /usr/share/dict/...
    Настраиваем требуемую сложность пароля в /etc/security/pwquality.conf
    В /etc/pam.d/ добавляем использование pam_cracklib.so

     
     
  • 2.66, solardiz (ok), 17:15, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    passwdqc лучше CrackLib, в частности, тем что он хорошо работает и без внешних файлов и его эффективность была подтверждена тестированием на реальных (не) подобранных паролях (см. ссылки из текста новости). По моему опыту, CrackLib и pam_cracklib работали плоховато, что собственно и послужило началу разработки passwdqc в 2000 году. Насколько я знаю, с тех пор CrackLib не развивался, а в pam_cracklib лишь вносились небольшие изменения по инициативе дистрибутивов. Кроме эффективности, есть еще отличия по качеству кода и производительности. К сожалению, CrackLib и pam_cracklib не были включены в исследование от 2013 года (две из ссылок из новости), несмотря на мой совет автору исследования их туда включить, поэтому независимых численных результатов у нас сейчас нет.
     

  • 1.26, Аноним (57), 09:54, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Подобная проверка выбираемых пользователями паролей по известным утечкам рекомендуется NIST. А для проекта Openwall это потенциальная возможность финансирования разработки passwdqc (и не только) через продажу готовых фильтров, при этом не ограничивая пользователей в возможности создавать фильтры самостоятельно используя выпущенную под свободной лицензией программу pwqfilter.
    >Например, создание кукушкиного фильтра с коэффициентом загрузки 98% из файла pwned-passwords-ntlm-ordered-by-hash-v7.txt размером 21 GiB (22 GB) и содержащего более 613 миллионов строк занимает около 8 минут на процессоре Core i7-4770K. Получающийся фильтр занимает 2.3 GiB (2.5 GB) и имеет уровень ложных срабатываний около 1 на 1.15 миллиардов.

    Кто будет покупать ваши фильтры, если можно свои создать?

     
     
  • 2.30, Michael Shigorin (ok), 10:04, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обдумайте внимательно свой завтрак, с вероятностью не менее 98% получите достаточный ответ.
     
  • 2.62, solardiz (ok), 16:15, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто будет покупать ваши фильтры, если можно свои создать?

    Возможно, и не будут. А возможно найдутся организации, где сотрудникам (например, администраторам ИБ) запросить такую покупку проще, быстрее, надежнее и корректнее (например, с точки зрения их специализации, должностных обязанностей и ответственности за результат). С учетом стоимости времени квалифицированного сотрудника (включая налоги на зарплату), не отвлекать его на повторение нашей работы косвенно еще и дешевле для работодателя. А еще это возможность для такого сотрудника поддержать наш Open Source проект ничего не тратя из своего кармана. Выгодно всем.

     
     
  • 3.73, Аноним (73), 21:24, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >А еще это возможность для такого сотрудника поддержать наш Open Source проект, ничего не тратя из своего кармана. Выгодно всем.

    Ну работодателю не выгодно. Работодателю выгодно

    1. наладить у себя инфраструктуру для построения базы. Чтобы он сам решал, что в неё попадёт. Если это можно сделать на обычном ноутбуке, то выбор очевиден.

    2. если он хочет вас поддержать, кинуть вам денег можно, проведя это как услугу по профессиональной настройке инфраструктуры на аппаратуре клиента посредством удаленного SSH-доступа.

     

  • 1.28, Michael Shigorin (ok), 10:00, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Спасибо!

    http://altlinux.org/upstream#совместно_с_Openwall :-)

     
     
  • 2.65, solardiz (ok), 16:36, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, жду помощи от кого-нибудь из ALT по issues 3 и 4 тут: https://github.com/openwall/passwdqc/issues (они связаны с добавлением поддержки русскоязычных сообщений в 1.4.0+, которая пришла из ALT и я хочу чтобы и далее поддерживалась ALT'ом). Спасибо!
     

  • 1.34, Аноним (34), 10:43, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мой пароль "99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга." Можно его подобрать?)
     
     
  • 2.38, Аноним (35), 10:51, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Подобрать нет. А если пару лет не использовать то можно и забыть.
     
     
  • 3.41, Аноним (34), 11:04, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За несколько лет неиспользования пароля его можно легко забыть. И тут не важно он 8 символов или это парольная фраза из 20 слов.
     
  • 3.61, пох. (?), 16:06, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пару дней, вы хотели сказать?

    Пару лет - это если у вас вообще только один пароль от всего.

     
  • 2.44, Аноним (57), 11:18, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно: теперь он словарный.
     
  • 2.55, Аноним (-), 12:08, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 99 маленьких хакерных ЕЖЕКОВ хакнули Обаму и Байдена. Положили им 15 таблеток пургена и отрезали 1/2 мозга.

    В ближайшие несколько десятков лет - нет. А что будет после Post-Quantum Cryptography (PQCrypto) и какие технологии появится через ~1000 лет никто не знает.

    https://www.whonix.org/wiki/PQCrypto

     

  • 1.39, user90 (?), 10:55, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всегда pwgen хватало))
     
     
  • 2.43, Аноним (34), 11:17, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причём тут обычная утилита, которая выдаёт случайную последовательность символов? Какое она имеет отношение к теме?
     
     
  • 3.51, user90 (?), 11:41, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    При том, что на ней можно и остановиться, а не городить ЭТО.
     
  • 3.54, Аноним (-), 12:04, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Какое она имеет отношение к теме?

    Кажется, что вещи разные, но на самом деле, зная, что устойчивость парольная начинается от Estimated Brute-force Time (Classical Computing) размером ~26,405,295,715,806,668,059,525,829,264 x age Universe, то можно сразу выработать такой подход - использовать спец. утилиту и генерировать как минимум ~194 Bits of Entropy.

    Что касается passwdqc, то да - это скорее комплексное решение, но, при этом, таковое решение некоторые могут посчитать избыточным, если, чисто аналитически, мы знаем, что для генерации устойчивого пароля нам требуется около/свыше 200-х бит энтропии. То есть мы можем не тратить кучу времени на все эти фильтры, бд и прочие танцы с бубнами.

    То есть всё это можно трактовать с разных точек зрения. На практике ситуации разные. Да, согласен, иногда нужны и комплексные решения.

     

  • 1.46, Аноним (34), 11:20, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пользуясь случаем, а вы парольными фразами какой длины пользуетесь?
     
     
  • 2.53, Аноним (-), 11:57, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > длины пользуетесь?

    Чтобы спокойно спать, энтропия должна быть выше 200-х бит (на ближайшие несколько десятков лет):
    В зависимости от корреляции с энтропией:

    "be or not to be that is the question"

    Казалось бы целых 36 символов! Но это 132.8 бит.

    Та же строка, но со спецсимволами, уже 148.7 бит:

    "b3 0r n0t t0 b3 th4t !s th3 qu3st!0n"

    Ещё немного и парольную фразу превращаем в:

    "be or not to be that is the question am i right???"

    Сколько это у нас? 220.1! Всё как Эдвард Сноуден завещал. Учитывая, что сама парольная фраза очень проста для запоминания - её можно использовать уже как мастер-фразу для парольных менеджеров, где генеровать устойчивые случайные, каждый раз уникальные, цепочки:

    O6g<fhHd;^:KKU"7>|ez]FU2+K1p~[4{On-%jbQ8wgz2n4_drLjJb"]6>7VZ - 316.5
    g\<[|u5@w_EZP'[=Az,''[jP*25s]Sx.mS2;x?X9!WE&'VM->wzMR-(mmm!g - 305.2
    IHmcP<Vbfa^]*tR?K,;{7.b0UL4l"-W#4b3*1!D4=t+Z&{w|a&+?-@7<\RG* - 304.2

    Ну и так далее. Сами понимаете никакое АНБ/ЦРУ/ФБР/ФБС/МИ6 тут близко не пройдёт со всеми своими квантовыми супер-компьютерами.

    А вообще да, интересно, что Солар на счёт всего этого думает.

     
     
  • 3.75, solardiz (ok), 21:38, 23/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Одним словом путаница Путаница в том что такое энтропия Это свойство распреде... большой текст свёрнут, показать
     

  • 1.50, Аноним (50), 11:40, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    созданными пальцем правой ноги пароли заведомо надёжные и крайне секьюрные. Читал про админа который генерил пароли пяткой, а тут под момент начальство входит.) По-моему даже отгул получил.)
     
  • 1.74, Аноним (73), 21:28, 23/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    P.S. Как LKRG поживает? Скоро ли в дистрах?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру