- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 22:46 , 22-Фев-21 (1) +13 [V]
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 00:45 , 23-Фев-21 (7) –4 [V]
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 04:43 , 23-Фев-21 (11) –8 [V]
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 06:43 , 23-Фев-21 (12) +5
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:01 , 23-Фев-21 (14) +4
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, YetAnotherOnanym, 11:26 , 23-Фев-21 (48) +2
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Vitto74, 12:12 , 23-Фев-21 (56) +4
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:15 , 23-Фев-21 (15) +6 [^]
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, RomanCh, 09:21 , 23-Фев-21 (16)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:35 , 23-Фев-21 (20)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:35 , 23-Фев-21 (21) –1
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним84701, 14:26 , 23-Фев-21 (59) +1
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:29 , 23-Фев-21 (19)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, solardiz, 17:15 , 23-Фев-21 (66) +3
passwdqc лучше CrackLib, в частности, тем что он хорошо работает и без внешних файлов и его эффективность была подтверждена тестированием на реальных (не) подобранных паролях (см. ссылки из текста новости). По моему опыту, CrackLib и pam_cracklib работали плоховато, что собственно и послужило началу разработки passwdqc в 2000 году. Насколько я знаю, с тех пор CrackLib не развивался, а в pam_cracklib лишь вносились небольшие изменения по инициативе дистрибутивов. Кроме эффективности, есть еще отличия по качеству кода и производительности. К сожалению, CrackLib и pam_cracklib не были включены в исследование от 2013 года (две из ссылок из новости), несмотря на мой совет автору исследования их туда включить, поэтому независимых численных результатов у нас сейчас нет.
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 09:54 , 23-Фев-21 (26)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Michael Shigorin, 10:04 , 23-Фев-21 (30)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, solardiz, 16:15 , 23-Фев-21 (62) +1
> Кто будет покупать ваши фильтры, если можно свои создать?Возможно, и не будут. А возможно найдутся организации, где сотрудникам (например, администраторам ИБ) запросить такую покупку проще, быстрее, надежнее и корректнее (например, с точки зрения их специализации, должностных обязанностей и ответственности за результат). С учетом стоимости времени квалифицированного сотрудника (включая налоги на зарплату), не отвлекать его на повторение нашей работы косвенно еще и дешевле для работодателя. А еще это возможность для такого сотрудника поддержать наш Open Source проект ничего не тратя из своего кармана. Выгодно всем.
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Michael Shigorin, 10:00 , 23-Фев-21 (28)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 10:43 , 23-Фев-21 (34) +1
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, user90, 10:55 , 23-Фев-21 (39) +1
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 11:20 , 23-Фев-21 (46)
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 11:57 , 23-Фев-21 (53) +9 [^]
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, solardiz, 21:38 , 23-Фев-21 (75) +6 [^]
> А вообще да, интересно, что Солар на счёт всего этого думает.Одним словом: путаница. Путаница в том что такое энтропия. Это свойство распределения случайной величины, а не одного ее значения. Путаница в отношении энтропии к сложности подбора пароля. Энтропия по Шеннону подходит для такой оценки только когда распределение равномерное, что для придумываемых пользователем фраз не соблюдается. Будет правильно сказать, например, что пароль, выданный pwqgen соответствует распределению с энтропией 47 бит по Шеннону и обеспечивает соответствующий уровень защиты от подбора (пока он не оказался как-либо скомпрометирован). Но будет ошибочно сказать что в "be or not to be that is the question" сколько-то бит энтропии, не зная как именно эта фраза была выбрана (какие еще были возможны варианты и с какой вероятностью они могли быть выбраны). "132.8 бит" получены в каком-то предположении об этом, которое в данном случае, вероятно, ошибочно. Также, ошибочно считать что эти биты, сколько бы их ни было, обеспечивают защиту от подбора. Например, если мы с вероятностью 1/2 выбираем пароль 123456 (энтропия которого ноль, так как других вариантов не было), а с вероятностью 1/2 запускаем идеальный генератор паролей с высокой энтропией, то итоговый поток паролей (половина которых - 123456) имеет высокую энтропию, но каждый второй пароль подбирается с первой попытки. Путаница в моделях угроз. Для типичных паролей к веб-сайтам и т.п. важнее всего их уникальность, а не то удастся ли их подобрать из хеша после утечки. Конечно, всё равно используя менеджер паролей можно кодировать туда и 300 бит, но хватит и гораздо меньшего. А реально сложными должны быть только парольные фразы, используемые для шифрования чего-либо (в том числе "мастер-фраза для парольных менеджеров", это верно), а не лишь для контроля доступа. Возможно, путаница в (подразумеваемом) назначении passwdqc. Оно в первую очередь в снижении доли и скорости успешного подбора паролей в масштабе организации. При этом успешный подбор паролей без доступа к их хешам (то есть попытки подсоединиться по сети) удается практически исключить, а с доступом к хешам (в случае их утечки) снизить и замедлить в разы или на порядки (в зависимости от типа и настроек хешей и настроек passwdqc). Для конечного пользователя же наиболее полезна утилита pwqgen (и аналогичная выдача случайных фраз в pam_passwdqc и программах под Windows), а также, в случае применения passwdqc в организации или на системе, выдача описания требований к паролям (в pam_passwdqc) и причины отказа пропустить конкретный пароль (в pam_passwdqc, libpasswdqc и программах).
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 11:40 , 23-Фев-21 (50) –3
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Аноним, 21:28 , 23-Фев-21 (74) +1
- Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров, Fractal cucumber, 13:20 , 11-Мрт-21 (85)
|