https://opennet.ru/openforum/vsluhforumID3/64840.html Выпущена (http://www.openwall.com/lists/announce/2010/03/16/1) новая версия passwdqc (http://www.openwall.com/passwdqc/) - набора инструментов для контроля сложности паролей и парольных фраз, включающего PAM-модуль pam_passwdqc, программы pwqcheck и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM.<br><br><br>Одна из новых возможностей - поддержка парольных фраз, содержащих не-ASCII 8-битные символы (в частности, koi8-r). Теперь такие фразы распознаются и допускаются. В более старых версиях не-ASCII символы не считались частью слов и поэтому фразы с ними неоправданно подвергались более жестким ограничениям, предназначенным для паролей, а не фраз.<br><br><br>Помимо этого, существенно повышена эффективность работы passwdqc в плане как распознавания слабых паролей, так и легкости выбора пароля, удовлетворяющего требованиям программы. Благодаря новым опциям програм...<br><br>URL: http://www.ope https://opennet.ru/openforum/vsluhforumID3/64840.html#29 Sun, 21 Mar 2010 13:19:02 GMT придумать сложный пароль не сложно,<br>труъдности возникают в тот момент<br> когда его надо вспомнить..<br> https://opennet.ru/openforum/vsluhforumID3/64840.html#27 Fri, 19 Mar 2010 08:49:03 GMT &gt;врятли какой нито извращенец будет часть пароля писать по русски а часть по английски.<br><br>Да. Именно то, что таких паролей/фраз пока очень мало делает их более привлекательными для использования. Чем более равномерно распределены возможные пароли, тем сложнее их подбирать. К тому же, если для каждого слова в фразе из трех слов выбирать писать ли аналогичное английское слово (или из другого языка, известного автору фразы), русское транслитом, русское "по клавиатуре", или же русское в кириллической кодировке - это даст до 6 лишних бит на фразу (по 2 бита на слово) - а запомнить это будет легко. Если вариант с использованием кириллической кодировки исключить (т.к. неудобно, с этим я согласен), все равно останется до 27 вариантов или около 4 "лишних" бит на фразу из трех слов.<br><br>&gt;к тому же эти лишние 6 букв<br><br>Они тут ни при чем.<br> https://opennet.ru/openforum/vsluhforumID3/64840.html#26 Fri, 19 Mar 2010 08:36:07 GMT &gt; фраза в 15-20 алглийских символов уже настолько замедляет подбор перебором<br><br>Перебором чего именно? Если не символов, а слов, то ожидаемое время перебора зависит не от длины в символах, а от количества слов в фразе, количества различных слов в словарном запасе ее автора, условных вероятностей слов в фразе. При длине в 15-20 символов, количество слов вряд ли превышает 3-4, а энтропия вряд ли превышает 40-50 бит. Это прилично, не то чтобы очень много. В некоторых случаях этого достаточно, а в некоторых - нет.<br><br>&gt; что всякие кои нафиг ненужны <br><br>Это вопрос индивидуальных предпочтений. Добавленные еще несколько бит действительно большой роли не играют. Разве что пока такие пароли/фразы очень редки, можно понадеяться что перебираться будут в первую очередь другие (без 8-битных символов), что с точки зрения атакующего более рационально.<br> https://opennet.ru/openforum/vsluhforumID3/64840.html#25 Fri, 19 Mar 2010 07:59:14 GMT фраза в 15-20 алглийских символов уже настолько замедляет подбор перебором что всякие кои нафиг ненужны <br> https://opennet.ru/openforum/vsluhforumID3/64840.html#24 Fri, 19 Mar 2010 07:57:34 GMT врятли какой нито извращенец будет часть пароля писать по русски а часть по английски. к тому же эти лишние 6 букв-это ё, й, твердый и мягкий знаки-вещи относительно редко использующаеся в написании. так что эффект сомнителен.<br> https://opennet.ru/openforum/vsluhforumID3/64840.html#23 Fri, 19 Mar 2010 02:05:20 GMT &gt; и в чем фишка писать пароли в КОИ8? объясните не понимаю<br><br>Фишки нет. Просто один из вариантов. Кому-то подойдет, кому-то (большинству) - нет. Чем больше вариантов вероятно-сложных для перебора паролей/фраз passwdqc пропускает (разрешает использовать), тем лучше. Предположим, кто-то придумал и запомнил фразу по-русски. Он может ее записать транслитом (причем тут возможны варианты), может в "своей" кодировке (koi8-r, utf-8, cp1251), а может одно слово так (транслит), другое иначе (его местная кодировка) - это уже несколько вариантов или где-то от 1 до 4 бит дополнительной информации, "закодированной" в ту же фразу. Не много, конечно. Можно сделать больше переключаясь на части слов, а не на целые слова, хотя это будет сложнее запомнить. Основной недостаток очевиден - такую фразу будет неудобно вводить с другого устройства, где местная кодировка может отличаться, а кириллическая раскладка может и вовсе отсутствовать. Но в некоторых случаях это допустимо.<br><br>Реализуя эту возможность, я "заботился" еще и о евро https://opennet.ru/openforum/vsluhforumID3/64840.html#22 Thu, 18 Mar 2010 16:59:27 GMT &gt;А с bcrypt на cost=8 ? :) <br><br>Да хрен знает,... всё зависит от скорости генерации хэша. <br><br> https://opennet.ru/openforum/vsluhforumID3/64840.html#21 Thu, 18 Mar 2010 16:19:35 GMT А с bcrypt на cost=8 ? :)<br> https://opennet.ru/openforum/vsluhforumID3/64840.html#20 Thu, 18 Mar 2010 14:23:03 GMT Увеличение вариантов.<br><br>Так у Вас, 26 + 26 + 10 цифер + по-моему 12 знаков , а с локалью будет ещё + 66 букв.<br>Итого: сочетаний с повторениями из 152 элементов по например 8, будет равно 2.424648151*10^15 вариантов, <br>против 1.340705737*10^15 без локали<br><br> Примерно 9 дней перебора, на 4-х Gforce 295 или 1 минуту на IBM RoadRunner :)<br>