Bezpieczeństwo haseł - poradnik

Malutki poradnik. Może komuś się przydać.

Napisane, aby zwiększyć bezpieczeństwo haseł.

Żeby zabezpieczać takie rzeczy jak hasła itp. najlepiej zrobić sobie jakiś związek hasła do portalu. Po za tym warto mieć oddzielne hasło do poczty.

hasło ogólne to "selmysQQL145"
np. portal to mybboard.
to do portalu mybboard może być dobre hasło smeylbmbyosaQrQdL145
Jest to wymieszana nazwa portalu z hasłem według zasady : pierwsza litera hasła, pierwsza litera nazwy portalu itp...

Drugi przykład:
portal to veldrim

Hasło to sveellmdyrsiQmQL145.

Taki związek łatwo zapamiętać a naprawdę daje dość duże bezpieczeństwo.
A jeśli nawet tego ci się nie chce to chociaż zmień hasło do poczty...

Pierwszy sposób jest zły. Jeżeli ktoś pozna regułę i hasło ogólne, pozna wszystkie inne hasła.

Jeśli już chodzi o hasła ; D to są różne programy do zapamietywania,generowania i tym podobne. Np: AI RoboForm lub KeePass Password Safe. Ale żaden program nie zastąpi ludzkiej pamięci (to jest niezawodne) ;DD

Ja zawsze biorę książke i zaznaczam przypadkowe słowo.

(04.11.2012, 02:17)Shibby napisał(a): Ja zawsze biorę książke i zaznaczam przypadkowe słowo.

Dzięki czemu można je złamać w ciągu kilku godzin

http://paweltkaczyk.midea.pl/marketing-b...sze-haslo/

Najprościej to wybierz jakieś słowo lub wymyśl własny ciąg liter, następnie dodaje jedną bądź kilka cyfr i jeden bądź znaków specjalnych typu !@#$%^ .

W alfabecie angielskim czyli z qv ale bez śćów itp jest 26 czyli jeżeli układasz jakiś ciąg małych liter możesz ułożyć 26^4 ale jeżeli będziesz brał jeszcze duże litery dostajesz kolejne 26 czyli masz (26*2)^4 a jak będziesz brał do tego (hasła) jeszcze cyfry to będziesz miał (26*2+10)^4 i jak będziesz brał do układania tego hasła jeszcze znaki specialne będziesz miał (możliwości) (26*2+10+30)^4 (27 znaków jeżeli bierzemy te z klawiatury czyli !@#$%^&*()-_+={}[]:;"'<>?,./`~). Przy większej ilości "miejsc" w haśle ^4 zamieniasz na ^n gdzie n to ilość znaków w haśle.

Otrzymane hasło może wyglądać tak M1@y

I takie hasło nie będzie bezpieczne... Złamanie je przy użyciu bruteforce to obecnie niewielki problem. Lepiej zwiększać złożoność i długość, a nie trudność.

Wysłane z mojego Galaxy Nexus

Ja nie napisałem że musi być 4 znakowe napisałem tylko działanie zasady.

---

lukasamd napisał(a):I takie hasło nie będzie bezpieczne... Złamanie je przy użyciu bruteforce to obecnie niewielki problem. Lepiej zwiększać złożoność i długość, a nie trudność.

Np takie $%pHpbb765by)(PrzEmo/+-PrzE43gra[Z]MyBb jest jakieś w zdanie które w mirę łatwo zapamiętać tylko teraz zostają znaki specjalne i cyfry no i gdzie małą a gdzie duża litera .

A nie lepiej coś prostszego do zapamiętania, a jednak skomplikowanego?
Np.

"to jest moje testowe hasło do skrzynki email"

Jest ono o wiele łatwiejsze do zapamiętania, a silniejsze niż to, które podałeś. Sprawdzić możesz chociażby tutaj:
http://rumkin.com/tools/password/passchk.php


Tutaj nieco wyjaśnienie co do podejścia tworzenia haseł z generatorów, które mamy zapamiętać:

Chodzi o to że w np 23php@#byPrzemo mamy (26+26+27+10)^14 co daje 1956410986640441413344189841 a w np wlazł kotek na płotek walnoł go młotek i sikierka dobiła mamy (26+27)^52 to jest 4,5956317292495683268825672679443e+89 a 27 bo spacje wliczyłem jako znak specialny a bez spacji (26)^47 3,1896817578881391140482397091736e+66 . Czyli im więcej symboli tym większa potęga co daje większą ilość możliwości niż krótkie hasło z rożnymi symbolami czyli lepsza jest większa potęga (ilość liter w haśle) niż większa liczba do mniejszej potęgi.

O to chodzi ?

Chodzi o to, że lepsze jest długie hasło, które łatwiej jest zapamiętać, aniżeli krótkie i skomplikowane, bo prostym bruteforcem im więcej jest znaków, tym dłużej ci zajmie złamanie hasła.

Bazując na stałej długości masz:


Gdzie k jest jakieś stałe, n to jakaś tam suma zbiorów znaków (w zasadzie też szybko się kończy)
Jak zwiększasz długość, a zbiory zostawiasz przykładowo na stałe to masz:


A zobacz sobie sam, jak szybko w tej sytuacji stanie się prawdą:


Każde zwiększenie długości hasła o chociażby 1 znak, powoduj w zasadzie gigantyczny skok do góry względem poprzedniej wartości. Zwiększenie zbiorów o 1 znak przy takiej samej potędze to znacznie mniejszy wzrost.

No i dochodzi właśnie zapamiętywanie. Człowiekowi łatwiej zapamiętać jakiś cały zwrot (nie wiem jak teraz, ja jak byłem w podstawówce / gimnazjum to często mieliśmy na polskim uczenie się na pamięć całych sporych fragmentów [to tylko nawiasem, nie sugeruję niczyjego wieku czy coś]), aniżeli jakiś zlepek znaków, który nic mu nie mówi. Przykład - ktoś lubi i zapamiętuje cytaty, dlaczego miałby jakichś nie użyć jako hasła? Oczywiście o ile nie dzieli się z osobami postronnymi wiedzą o swoim hobby

Aha, oczywiście nie neguję haseł które idą z generatorów, czy są gdzieś zapamiętywane (wspomniane Roboform, Keepass, LastPass itd.) bo takie też warto używać. Gdzie? Tam, gdzie możemy pozwolić sobie na ich zapisanie, a chcemy mieć mimo to długie i skomplikowane (np. 20 znaków, wszystkie dostępne znaki). Do rzeczy kluczowych, czyli skrzynki email, bazy w Keepass czy konta LastPass, powinniśmy użyć swojego hasła, trzymanego tylko w głowie.

Tak tylko jak mamy ograniczoną ilość znaków np możemy tylko 6 znakowe hasło to hasło xxxxxx będzie (26)^6 czyli 308915776 ale jak zmienimy 1 znak na dużą literę np xXxxxx to będzie (26+26)^6 czyli 19770609664 a jak zmienimy 1 znak na cyfrę np xX0xxx będzie (26+26+10)^6 czyli 56800235584 a jak zmienimy znak na znak specjalny np xX0x#x będzie (26+26+10+27)^6 czyli 496981290961. Podsumowując dobrze jest dodać przynajmniej jedną cyfrę, jedną dużą literę i jeden znak specjalny. Tylko po jednym bo większa ilość nie wpłynie na wzór n^k gdzie n to ilość znaków z których możemy skorzystać a k to długość hasła. Czyli reasumując hasło "to moje hasło do konta" napisane w teki sposób "To moje hasło do konta." będzie bardziej bezpieczne bo mamy jedną dużą literę i jeden znak specjalny (nie licząc spacji). Z tego też wynika że jak możemy w haśle użyć od 6 do 16 znaków najlepiej użyć 16 znaków.

Dlatego limitowanie haseł "od góry" jest totalnie bez sensu.
Limitowanie - tak, ale od dołu, np. musi mieć minimum 8 znaków (chociaż takie nawet na pełnym zakresie znaków są obecnie słabe dla bruteforce ze względu na sprzęt).