Неправильные примеры паролей
На сайте популярной онлайн-игры World of Tanks в разделе “Личный кабинет” есть инструкция по выбору паролей. Помимо прочего, инструкция гласит:
Qwerty – короткий и очевидный пароль;
Vjq1gfhjkm2 – сложный и достойный пароль.
Забавно здесь вот что: второй пароль, названный сложным и достойным, – чисто словарный. Это всего лишь строка “Мой пароль” (два словарных слова, типичных для данной области), набранная в латинской раскладке, с добавлением, последовательно, цифр 1 и 2 между словами. То есть, с точки зрения перебора специалистом, владеющим инструментарием, оба пароля из примера имеют эквивалентную сложность (и очевидность).
Сейчас перебор паролей проводится при помощи специального программного инструментария, который очень хорошо умеет работать со словарями. Естественно, входные строки (слова) преобразуются с использованием хорошо известных “паттернов” пользовательского поведения, а также с использованием таких полезных математических конструкций, как, скажем, марковские цепи (но, в случае со строкой “Мой пароль” – продвинутый анализ не требуется).
Да, понятно, что это, наверное, такая шутка авторов инструкции.
Адрес записки: https://dxdt.ru/2013/05/04/5757/
Похожие записки:
- Новые криптосистемы на тестовом сервере TLS 1.3
- Доверенные программы для обмена сообщениями
- Рейтинг языков программирования от GitHub
- Продолжение сегментации: Docker Hub
- Десятилетие DNSSEC в российских доменах
- Пылесосы-шпионы
- ИИ с превышением
- Сдвиги времени в сертификатах Let's Encrypt
- Централизация обновлений и CrowdStrike
- Реплика: возможный доступ приложений "Яндекса" к OBD автомобиля
- Квантовая криптография и металлический контейнер
Комментарии читателей блога: 5
1. 4th May 2013, 16:16 // Читатель Анонимус написал:
Вся ирония в том, что это не шутка. У них там совсем плохо все с безопасностью. И последнияя акция – судорожные попытки сгладить последний взлом. Не знаю как сейчас, но раньше дело было совсем печально. Со слов причастных людей пароли там хранились вообще в открытом виде.
2. 4th May 2013, 16:35 // Александр Венедюхин:
У меня ещё подозрения вызвали слова из описания акции о том, что “пароль нужно сменить на более сложный” – как они определяют сложность старого пароля? Но, с другой стороны, это могло быть написано просто для привлечения внимания пользователей.
Да там ещё есть характерные маркеры, например, вот: утрачены “пароли в _зашифрованном_виде_”. Опять же, возможно, стандартная оговорка/неточность. Но кто мешает такой большой компании писать подобные тексты _технически_верно_? (Хотя, может, не оговорка вовсе.)
3. 5th May 2013, 00:03 // Читатель Влад написал:
Если они переходят на bcrypt, то словарность пароля значения имеет мало.
4. 5th May 2013, 00:14 // Александр Венедюхин:
А вот переходят ли?
5. 5th May 2013, 23:54 // Читатель Влад написал:
Судя по тому, что советуют неудобоваримые пароли — нет, не переходят.
P.S. Вообще, SuperGenPass рулит для юзера.