- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 16:12 , 08-Июл-20 (1)
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 16:24 , 08-Июл-20 (2) +6 [^]
- Выпуск SFTP-сервера SFTPGo 1.0, Ilya Indigo, 16:41 , 08-Июл-20 (3) –1
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 17:24 , 08-Июл-20 (4) –2
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 17:43 , 08-Июл-20 (8) +2
ProFTPd может работать как SFTP server и поддерживает виртуальных юзеров
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 22:19 , 08-Июл-20 (21)
- Выпуск SFTP-сервера SFTPGo 1.0, flkghdfgklh, 00:01 , 09-Июл-20 (26)
- Выпуск SFTP-сервера SFTPGo 1.0, Mr.Ueff, 11:43 , 09-Июл-20 (46)
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 22:44 , 09-Июл-20 (51)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 17:49 , 08-Июл-20 (9) –5 [V]
Кажется писатели этого софта думают что они самые умные установив максимальную длину для username & password в 255 символов... что уже настораживает...
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 04:59 , 09-Июл-20 (36)
Судя по минусам товарищам майёрам нравится ограниченные по длине пароли :)
- Выпуск SFTP-сервера SFTPGo 1.0, Pahanivo, 09:16 , 09-Июл-20 (41) –1
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 19:20 , 09-Июл-20 (49)
> А в чем сопстна проблема с длиной?Это типа новый прикол ? У вас короткий пароль? К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30 > Фаллометрия тут неуместна. А причем здесь мужской половой орган ??? Или просто руки чесались написать хоть что-то
- Выпуск SFTP-сервера SFTPGo 1.0, PnD, 21:54 , 09-Июл-20 (50)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 23:32 , 09-Июл-20 (52)
> ::brickface:: Несолёный md5 по радужным таблицам?Не только md5 NTLM ~ 130GigaHashes/sec md5crypt ~ 35MegaHashes/sec PBKDF2-hmac-md5 ~ 25MegaHashes/s Skype ~ 30MegaHashes/s PBKDF2-hmac-sha256 ~ 5MegaHashes/s WPA/WPA2 ~ 1,5MegaHashes/s Так что оптимисты пусть ставят минусы дальше :)
- Выпуск SFTP-сервера SFTPGo 1.0, drakkan, 23:56 , 09-Июл-20 (53)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 08:28 , 10-Июл-20 (57)
Hello Drakkan,First of all thanks a lot for the great software you created ! I spend today a few hours playing with it and I must say - it's a pretty decent replacement for classic ProFTPd, PureFTP... and so on. I found restrictions on username and password in DDT of SQLite shipped in the folder sqlite/sftpgo.db (Well, I know, sqlite will convert `varchar(x)` internally to a `text`, but for the sake of correctness) That's what confused me ---- CREATE TABLE IF NOT EXISTS "users" ( "id" integer NOT NULL PRIMARY KEY AUTOINCREMENT, "username" varchar(255) NOT NULL UNIQUE, "password" varchar(255) NULL, ..... ---- For example, debian: getconf LOGIN_NAME_MAX will return 256. I don't want to be a picky party pooper, but IMHO usernames should fit perfectly to avoid rare situation where one might create username with 256 characters and regarding password's hash length - I should take my words back since I see you keeping in a database just a hash, which is great, so password itself can be a really long. Now my favorite Go collection advanced with sftpgo in addition to fzf, algernon, syncthing, croc and others ;) BTW, do you have any plan to support FreeBSD ? And the last question: Is it possible to make windows version as a portable instead of requiring to install it, so it can be used on demand by a standard user?
- Выпуск SFTP-сервера SFTPGo 1.0, Pahanivo, 11:02 , 10-Июл-20 (60)
- Выпуск SFTP-сервера SFTPGo 1.0, Ordu, 11:38 , 11-Июл-20 (79)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 01:37 , 12-Июл-20 (90) –1
>Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролейА кто здесь говорил о тупом переборе? Блин, где вы видели использование юзерами рэндомных паролей в 60 символов??? Почитайте статистику хотя бы здесь: https://en.wikipedia.org/wiki/Password_strength#Human-genera... в разделе Human-generated passwords >Ещё больше вышло? Какая досада.
Такое впечатление что вы получаете наслаждение от своей гениальности... Ну-ну... > Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял. Точно, сделал... и не понял, а вот телепаты опеннета легко разучат меня верить своим глазам :))) Может это убедит: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27... >Может там шёл словарный перебор, например.
Есть много эффективных стратегий помимо перебора для достижения цели >Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны. Я почему-то не удивлен, что у вас у одного только самое правильное мнение :) Давайте не будем терять больше время, ведь все равно мир будет крутиться исключительно вокруг вашего единстенно правильного мнения, не взирая на публично доступные примеры, опыт других людей, которые бесплатно, просто из хороших побуждений предупредили вас о том, что обычные пароли ломаются легко
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 08:59 , 10-Июл-20 (58) +1
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 21:41 , 10-Июл-20 (65)
Ну, кто-то хабры читает, а кто-то живьем делает... Повышайте свои знания и дальше через чтение habra;)
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 10:13 , 11-Июл-20 (76)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 19:20 , 11-Июл-20 (84)
Это то вы про себя? Могу вас тогда обрадовать, раз вы сами еще не одолели гугл, вот - специально для вас (сорри за устаревшие данные 4х летней давности, но даже они должны вернуть вас в реальность)Просто 8 ГПУ карточек: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27... Погуглите еще про NSA датацентр в Юте, который даже по публичнум данным 2013 года способен: 13 quadrillion NTLM hashes per second Сноуден говорил, что народ должен учитывать что триллион в секунду - это тоже не фантастика
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 23:13 , 11-Июл-20 (88) –1
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 02:02 , 12-Июл-20 (92)
> Ох уж эти мамкины аналитеги-иксперты Ну, судя по постоянному применению этой фразы и постоянного унижения собеседников, я не удивлюсь, что вы еще и язык другим показывать не разучились...
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 11:29 , 10-Июл-20 (61)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 23:00 , 10-Июл-20 (66)
> продолжим беседу.Ну, давайте... Секретность пароля/фразы определяется не х^у, а энтропи. Уже доказанно можество раз, что серия рэндомных символов не эффективна в продакшене по одной простой причине, что человеки не умеют(и не хотят) запоминать рандомный набор символов и как результат - даже в банках можно увидеть стикеры с паролями приклееными к мониторам или на десктопе все пароли чистым текстом в ворде или ноутпаде, и вся секьюрность в этом случае - пшик, как бы не страшно смотрелось число возможных комбинаций в случае 64^255. Такие пароли никто не запомнит. Именно поэтому уже на протяжении наверное лет 15-ти на всех конференциях и курсах рекомендуются фразы, которые запоминаются значительно легче. Возвращаясь к нашим баранам, - если взять минимальную базу данных слов в 7776, используемых для генерации рэндомных фраз к примеру из популярной diceware, то в вашей же формуле слово будет играть элемент одного символа и как результат количество комбинаций считается как: 7776^(количество слов) Проводя к единому знаменателю, получаем: энтропи 14 рэндомных символов и цифр ~ 80 бит где та же самая энтропи в 80 бит из фраз уже требует как миниум 6 слов. Средняя длина английских слов около 5 символов, что в словах получается 30 символов миниум. Теперь о минимальных требованиях, - BSI & NSA требуют для надежной защиты до 256 битов. Убираем рэндомый набор альфа&номера в виду неэффективности с точки зрения запоминания и считаем необходимое количество слов из diceware словаря для достижения необходимой энтропи: ~13бит/слово, ~10бит/символ, и ~5бит/цифра в итоге получаем, чтобы достичь энтропи в 256+ бит, необходимо около 20 слов. Добавим для удобства запоминания символы - разделители слов(точка, запятая) и получаем: 20*5+19~120 символов... для минимально требуемой надежности. Применяем старое правило надежности - увеличиваем на порядок и получаем, что для хранения надежной пассфразы в plain text нужно иметь запас как миниум в 1024 символов в хранилище.
- Выпуск SFTP-сервера SFTPGo 1.0, draw1, 01:44 , 11-Июл-20 (74) +3
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 08:24 , 11-Июл-20 (75)
Менеджеры паролей, о которых вы говорите - одно из самых правильных решений, и мы то же "о-о-о-чень давно" ими пользуемся, но проблема то в том, что мастер пароль нужно все равно держать в /dev/head А еше есть необходимость вводить пароли по секретной схеме обмена Шамира, в которой обычно нужно держать пароль в том же девайсе /dev/head и вот тогда достоинство запоминания фраз быстро оценится по сравнению с сумашедшим рэндомным набором символов, которые практически очень тяжело запоминать. (У Брюса Шнайера правда есть концепт создания крэзи паролей и их запоминания, но на него также есть алгоритм подбора, т.к. в основе опять же тот же человеческий фактор, который очень хорошо предиктается)
- Выпуск SFTP-сервера SFTPGo 1.0, Ordu, 11:55 , 11-Июл-20 (80)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 19:02 , 11-Июл-20 (82)
> Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с > сервера, надо пролезть на систему к пользователю.Зачем угонять базу у самого себя ??? Вы о чем??? Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах, потеря флэшки и т.д. и т.п) > Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или > чаще. При таком подходе несложно за неделю заучить два десятка рандомных > символов.
Ну, может у вас такая уникальная память, а вот в местах где смена пароля должна быть сделанnа по полисям раз в 3 месяца, вас не поймут > не надо нам тут рассказывать о том, что безопасности нет и > не будет, потому что пароли неспособны обеспечить нужный уровень безопасности. Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже более, я говорил как эффективно генерировать пароли с достаточной и эффективной сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор символов
- Выпуск SFTP-сервера SFTPGo 1.0, Ordu, 21:27 , 11-Июл-20 (87)
- Выпуск SFTP-сервера SFTPGo 1.0, draw1, 01:52 , 12-Июл-20 (91)
- Выпуск SFTP-сервера SFTPGo 1.0, Ordu, 02:36 , 12-Июл-20 (95)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 17:50 , 12-Июл-20 (97)
Вся проблема - в безинициативных людях, лени и похеризме. Принятие решений "на вверху" часто применяется людьми - выскочками ака политиками, которые в большинстве своем принимают очень быстрые, а потому не продуманные решения. Но значительно большее зло, люди - фаловеры, которые подражают всему что круче них самих, - "как у гугла, как у микросовта", прячась за спины больших вывесок, так как своей сообразилкой думать лень и некогда, ведь надо потрепаться по телефону, посмотреть ютубовскую чушь и т.д.Единственная радость, что до умнейших мира сего, за которыми подражают фаловеры, наконец то дошло (https://docs.microsoft.com/en-us/archive/blogs/secguide/secu...), что частое и главное безосновательное правило смены паролей - приводит к совершенно другому результату - к наклейкам с паролями на мониторах Теперь такие полиси считаются нот гуд :) Ну а пароли, если использовать фразы вместо сумашедшего рэндомного набора символов - значительно эффективней в плане продвижения в массы надежных пасвордов Запомнить к примеру фразу с 80 бит энтропи: Rebalance.Stability.Blimp.Upcountry.Unfazed.Body значительно проще чем эквивалент 80 бит энтропи в 14 символов: zxCUqS3awV5Zw8
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 11:07 , 11-Июл-20 (77)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 19:05 , 11-Июл-20 (83)
> Не-не, ты число не назвал. Прописью, пожалуйста.Судя по всему чтиво не одолели... жаль моего времени...
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 11:35 , 10-Июл-20 (62)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 23:08 , 10-Июл-20 (67)
> Да, самое главное. Если ты такой параноик, почему ты вообще пользуешься паролями > вместо аутентификации по ключу?Я пользуюсь ключами, но ключи то надо защищать чем? Правильно - паролями!
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 11:27 , 11-Июл-20 (78) +1
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 19:28 , 11-Июл-20 (85)
Я думал мы о паролях говорим, нет?
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 23:29 , 11-Июл-20 (89)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 02:09 , 12-Июл-20 (94) –1
Я что то не припомню, что бы я обсуждал ключи, просто каждый раз когда я вижу програмы ограничивающие длину пароля, у меня возникает сомнение, что я вообще-то и сказал изначально, но автор програмы, обьясил, что он не хранит пароли в чистом виде, а сохраняет только хэши, на чем я полностью с ним согласен, но вот местные эксперты уже завели обсуждение в такие дебри, что честно говоря уже тошно
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним84701, 12:53 , 10-Июл-20 (63) +2
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 23:21 , 10-Июл-20 (68)
Жестким перебором уже давно никто не занимается :) Даже тот же хэшкэт умеет оптимизацию...
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 13:09 , 11-Июл-20 (81) +2
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 20:48 , 11-Июл-20 (86) –1
> ... тебе ведь не составит труда сломать простеший восьмисимвольный пароль (только латинские буквы и цифры даже без спец. символов) от моего sftp с дефолтным типом За беcплантным взломом - вам сюда: https://www.google.com/search?q=crack+hash+online я этим не занимаюсь > или ты все-таки пустомеля, который ворвался сюда пороть всякую ерунду? Вот на "слабо" разводить, - вы поищите кого нибудь другого... Если все же интересно о чем разговор, то ваши 8 символов - это всего ~ 40 бит энтропи, почитайте почему по всему миру прекратили использовать NTLM1
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 11:11 , 13-Июл-20 (101)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 18:09 , 13-Июл-20 (103)
>алгоритм 15+ лет давности.Не для чувака у которого от желчи глаза и разум затуманенны, но для других читателей: Предложенный пароль к взлому - 8 символов, что есть ~ 40 бит энтропи, столько же, сколько и у NTLM1
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 22:50 , 12-Июл-20 (99)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 18:13 , 13-Июл-20 (104)
> он пока только в своих снах научился взламывать за 20-30 минут. На > практике не получается Он еще к тому же и телепат :) Н-да.. одни с годами мудреют, а другие просто становятся стареe... Ты язык забыл еще показть...
- Выпуск SFTP-сервера SFTPGo 1.0, ALex_hha, 22:54 , 12-Июл-20 (100)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 18:25 , 13-Июл-20 (105)
> а еще есть такаю штука как salt - и все радужные таблицы идут лесом. $6$LmM1lg58z0eZsech$pH5Vr2KR...H5vQ8Cw1 . ^^^^^^^^^^^^^^^^ - все что между $ это и есть соль, вместе с паролем ;)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 18:23 , 08-Июл-20 (10)
И еще, Я понимаю что Линус похерил стандарт 80 символов на строку в 21 веке, но 1000 срок на линию в хелпах - это очень через чур много даже для современных мониторов, а читать сврапленный текст совсем не фан
- Выпуск SFTP-сервера SFTPGo 1.0, Q2W, 22:51 , 08-Июл-20 (24)
- Выпуск SFTP-сервера SFTPGo 1.0, OpenEcho, 03:43 , 09-Июл-20 (34)
Откройте tmux окно, которое сидит рядом с другими, а потому суженно до стандартного 80 символов и попробуйте почитать: sftpgo help initprovider сравните с rsync -h
- Выпуск SFTP-сервера SFTPGo 1.0, rshadow, 11:16 , 09-Июл-20 (44)
- Выпуск SFTP-сервера SFTPGo 1.0, drakkan, 23:59 , 09-Июл-20 (54) +3
- Выпуск SFTP-сервера SFTPGo 1.0, pofigist, 18:55 , 08-Июл-20 (13) –8 [V]
- Выпуск SFTP-сервера SFTPGo 1.0, InuYasha, 19:05 , 08-Июл-20 (14) –2
- Выпуск SFTP-сервера SFTPGo 1.0, заминированный тапок, 21:04 , 08-Июл-20 (16)
- Выпуск SFTP-сервера SFTPGo 1.0, Онаним, 21:23 , 08-Июл-20 (17) –3
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 22:26 , 08-Июл-20 (23) –2
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 22:57 , 08-Июл-20 (25) –4 [V]
- Выпуск SFTP-сервера SFTPGo 1.0, Аноним, 13:20 , 09-Июл-20 (47)
- Выпуск SFTP-сервера SFTPGo 1.0, stalkerdroad, 21:52 , 12-Июл-20 (98)
- Выпуск SFTP-сервера SFTPGo 1.0, ann, 17:47 , 14-Июл-20 (106)
|