Привет коллеги.

Илья. Сова. И прочие мемберы.

В продолжение темы топика 16847563 . Я пришел к некоторым мыслям.

Опенсорцные списки популярных top 100 worst passwords часто содержат повторы
такие как qwe*




Общая доля "qwe" среди опенсорцного источника hashkiller-dict составляет примерно





50 031 / 88 405 430 = 0,0005

примерно 0,05%

А ведь я взял только стартовые 3 символа. И даже не смотрел в сторону прочих
"популярных аккордов".

Что это за тяготение пользователя к Qwe? Почему они как лемминги лупят одно и тоже?

И я задумался. А можно-ли генерировать эти клавиатурные пароли (далее я буду
говорить ЛЗКК (легко-запоминающиеся-клавиатурные-комбинации) так-же
как и linux-утилиты pwgen, openssl rand -base64 32,

Если взглянуть на стандартную клавиатуру то можно заметить что ЛЗКК обычно
лежат близко в пространстве. Это клавиши рядом. Такая себе когерентность
символа. Например от буквы "Q" вы можете прыгнуть в три направления. "1", "W", "A".
Можно и дальше - но это уже будет сложновато для механики этого процесса.
В теории графов - как будто edge имеет малый вес для перехода в "1" но больший вес
например в "2" ибо это уже неудобно.

Можно создать утилиту генерации ЛЗКК на основе стандартной IBM-овской клавы. Или двух клав. Стандартной.
И расширенной с "бухгалтерскими кнопками" справа. А преференции - задать как-бы
входным параметром. Типа там... стартовый символ.

Далее этот трафик утилиты pwgen могут использовать безопасники для анализа уязвимостей своих
систем или для реализации справочника worst-passwords в Windows-domain e.t.c.

P.S. Данный топик для меня имеет чисто академический интерес.

Dima TПонатырыли паролей от одноразовых аккаунтов в гугл-телефонах. Я сам везде делал одноразовую учетку и пароль qwe... если надо только чтобы бесплатные проги с андроид-маркета качать.
Правда это уже не работает: начиная с 5-го андроида телефон может стать кирпичом, т.к. после хард-ресета андроид просит пароль от аккаунта, пока не введешь - дальше не пройдешь.
Хороший вариант - полностью довериться процедурам генерации шума. Щас есть такие
генераторы ГПСЧ - ойойой. Их надо только 1 раз инстанциировать уникально... Мак-адресом
к примеру или текущей датой а дальше - они выдувают на выходе такой случайный шум
что ни один малолетний хацкер ни выкрурит. Я вообще удивляюсь почему мы в 21 веке
пользуемся парольными фразами.

Вобщем то сова прав. Топик стоит закрыть.

Илья?

8-символьные комбинации букв-цифр-спецсимволов ушли в прошлое. По моему securitylab писал об этом.
Поэтому можно не парится насчет спецсимволов. А вот дать просто длинную фразу - это и есть тренд
современной безопасности. Символов на 30.

Меня кстати поражает что несмотря на разнообразие технических гаджетов, вопрос аутентификации
по прежнему зависит от ввода человеком какой-то дурацкой комбинации символов. Нет серъезно.

Мы носим mp3-плееры, телефоны, планшеты и еще тучу интернета-вещей но ни одна из них
не предлагает выделенного устройства СПЕЦИАЛЬНО созданного для безопасности.

Работая на двух разных проектах я таскал с собой RSA-ключики базирующиеся на сверх-точных
часах. Вполне себе невзламываемая система. В совокупности с логин-парольной защитой + еще
и цифровые пароли с временем жизни в 1 минуту.

Скажете дорого? А шестые айфоны - не дорого? Куча технологиченого хлама но нет СИСТЕМНОГО
устройства безопасности.

Илья не ответил. Ну ладно. Я думаю что он одобрил-бы закрытие.

Продолжим коллеги под другим топиком.
Модератор: Закрыто