The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Выпуск SFTP-сервера SFTPGo 1.0, opennews (??), 08-Июл-20, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


9. "Выпуск SFTP-сервера SFTPGo 1.0"  –5 +/
Сообщение от OpenEcho (?), 08-Июл-20, 17:49 
Кажется писатели этого софта думают что они самые умные установив максимальную длину для username & password в 255 символов... что уже настораживает...
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 04:59 
Судя по минусам товарищам майёрам нравится ограниченные по длине пароли :)
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от Pahanivo (ok), 09-Июл-20, 09:16 
А в чем сопстна проблема с длиной?
Фаллометрия тут неуместна.
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 19:20 
> А в чем сопстна проблема с длиной?

Это типа новый прикол ?
У вас короткий пароль? К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

> Фаллометрия тут неуместна.

А причем здесь мужской половой орган ???

Или просто руки чесались написать хоть что-то

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от PnD (??), 09-Июл-20, 21:54 
> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

::brickface:: Несолёный md5 по радужным таблицам?

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 23:32 
> ::brickface:: Несолёный md5 по радужным таблицам?

Не только md5

NTLM ~ 130GigaHashes/sec
md5crypt ~ 35MegaHashes/sec
PBKDF2-hmac-md5 ~ 25MegaHashes/s
Skype ~ 30MegaHashes/s
PBKDF2-hmac-sha256 ~ 5MegaHashes/s
WPA/WPA2 ~ 1,5MegaHashes/s

Так что оптимисты пусть ставят минусы дальше :)

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от drakkan (ok), 09-Июл-20, 23:56 
Hi,

SFTPGo stores passwords using argon2id hashing.

There is no limit for the passwords length, they are mapped to a text database field, you can set passwords of any length using the REST API.

You can also authenticate without using passwords

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 08:28 
Hello Drakkan,

First of all thanks a lot for the great software you created !
I spend today a few hours playing with it and I must say - it's a pretty decent replacement for classic ProFTPd, PureFTP... and so on.

I found restrictions on username and password in DDT of SQLite shipped in the folder
sqlite/sftpgo.db (Well, I know, sqlite will convert `varchar(x)` internally to a `text`, but for the sake of correctness)

That's what confused me
----
CREATE TABLE IF NOT EXISTS "users" (
    "id" integer NOT NULL PRIMARY KEY AUTOINCREMENT,
    "username" varchar(255) NOT NULL UNIQUE,
    "password" varchar(255) NULL, .....
----

For example, debian: getconf LOGIN_NAME_MAX
will return 256. I don't want to be a picky party pooper, but IMHO usernames should fit perfectly to avoid rare situation where one might create username with 256 characters and regarding password's hash length - I should take my words back since I see you keeping in a database just a hash, which is great, so password itself can be a really long.

Now my favorite Go collection advanced with sftpgo in addition to fzf, algernon, syncthing, croc and others ;)

BTW, do you have any plan to support FreeBSD ?
And the last question: Is it possible to make windows version as a portable instead of requiring to install it, so it can be used on demand by a standard user?

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от drakkan (ok), 10-Июл-20, 10:46 
>[оверквотинг удален]
> one might create username with 256 characters and regarding password's hash
> length - I should take my words back since I see
> you keeping in a database just a hash, which is great,
> so password itself can be a really long.
> Now my favorite Go collection advanced with sftpgo in addition to fzf,
> algernon, syncthing, croc and others ;)
> BTW, do you have any plan to support FreeBSD ?
> And the last question: Is it possible to make windows version as
> a portable instead of requiring to install it, so it can
> be used on demand by a standard user?

Hi,

in V3 migration the password field was converted from varchar(255) to text

https://github.com/drakkan/sftpgo/blob/master/dataprovider/s...

changing username length from 255 to 256 is a good suggestions, thank you.

FreeBSD is untested but should work, I cannot automatically run test cases on it (as I do for Linux, Windows and macOS) since CI system does not support it. I'll do a quick test locally myself.

Regarding the portable windows version I could add support for it in future, meantime you can simply download and use the build artifact automatically generated for each commit, the ones matching 1.0.0 version are here:

https://github.com/drakkan/sftpgo/actions/runs/159794568

If you want to track these suggestions please open GitHub issues.
Thank you for your ideas, very appreciated

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от drakkan (ok), 11-Июл-20, 00:45 
Hi again,

I just tested SFTPGo on FreeBSD and it works fine, anyway you have to build for FreeBSD yourself since it is not supported in CI/CD system.

Portable windows release is now available.

LOGIN_NAME_MAX is the maximum length of a login name, including the terminating null byte, so 255 is ok

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

73. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 01:01 
Thanks a lot drakkan !

I will test it out next week on commercial FreeNAS box and let you know if there might be a problem

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Pahanivo (ok), 10-Июл-20, 11:02 
>> ::brickface:: Несолёный md5 по радужным таблицам?
> Не только md5
> md5crypt ~ 35MegaHashes/sec

хыхыхы
Более 10 лет назад, я экспериментировал я перебором md5, на одноядерном P4 под 478 сокетом.
Тогда скорость перебора была 3mh/s.
Итого перебор 7-значных пасов длился около 2х недель, 8-значных - 2,3 года (и это только цифробуквы).
На скорости 35mh/s ты 8-значный будешь ломать 2 месяца, 10-значный - уже не актуально.


И самое главное - что бы сломать хэш, надо его сначала где то вять. ГДЕ?

> Так что оптимисты пусть ставят минусы дальше :)

Так что пусть клоуны догоняют цирк.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

79. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 11:38 
> NTLM ~ 130GigaHashes/sec

Давай посчитаем, что ли? 24 символа пароль? Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей на скорости 130GHash/s займёт 60^24/(130*10^9)

$ bc
60^24/(130*10^9)
36449087217858591507692307692307

эмм, не очень понятно? Давай поделим это число на 3600 и на 24, и получим время в сутках:

60^24/(130*10^9)/3600/24
421864435391881846153846153

всё равно непонятное число, слишком много цыфор, делим на 365 чтобы в годах увидеть:

60^24/(130*10^9)/3600/24/365
1155792973676388619599578

и даже в годах число нечитаемое.

С другой стороны, может в NTLM размер хеша -- три байта? Но я сейчас погуглил, и видел про 24 байта, не уверен что это то, но, если это так, то:

256^24/(130*10^9)/3600/24/365
1531119925307994956639491234244542602374

Ещё больше вышло? Какая досада. Или может, всё же, в NTLM хеш не 24 байта, и поэтому энтропия пароля обрезается до чего-нибудь преодолимого?

> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял. Может там шёл словарный перебор, например. Или может там был разбор того, как подбираются пароли по хешам из спёртой базы пользователей на 100k рыл, и половина их взломалась за 10-15 минут, из чего ты сделал вывод о том, что вторая половина взломается за следующие 10-15 минут. Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

90. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 12-Июл-20, 01:37 
>Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей

А кто здесь говорил о тупом переборе?

Блин, где вы видели использование юзерами рэндомных паролей в 60 символов???

Почитайте статистику хотя бы здесь: https://en.wikipedia.org/wiki/Password_strength#Human-genera...

в разделе Human-generated passwords


>Ещё больше вышло? Какая досада.

Такое впечатление что вы получаете наслаждение от своей гениальности...
Ну-ну...

> Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял.

Точно, сделал... и не понял, а вот телепаты опеннета легко разучат меня верить своим глазам :)))
Может это убедит: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...


>Может там шёл словарный перебор, например.

Есть много эффективных стратегий помимо перебора для достижения цели

>Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.

Я почему-то не удивлен, что у вас у одного только самое правильное мнение :)

Давайте не будем терять больше время, ведь все равно мир будет крутиться исключительно вокруг вашего единстенно правильного мнения, не взирая на публично доступные примеры, опыт других людей, которые бесплатно, просто из хороших побуждений предупредили вас о том, что обычные пароли ломаются легко

Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Ordu (ok), 12-Июл-20, 02:03 
>>Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей
> А кто здесь говорил о тупом переборе?
> Блин, где вы видели использование юзерами рэндомных паролей в 60 символов???

Я имел в виду не количество символов в пароле, а количестве разных используемых значений для каждого из 24 символов. Сорри, что неточно выразился. Да, предупреждая возможные возражения о числе 24: его придумал не я, оно взялось из предыдущего обсуждения. Мне лично хватает 18.

>>Ещё больше вышло? Какая досада.
> Такое впечатление что вы получаете наслаждение от своей гениальности...
> Ну-ну...

Естественно. А ты разве не получаешь удовольствия от моей гениальности?

>> Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял.
> Точно, сделал... и не понял, а вот телепаты опеннета легко разучат меня
> верить своим глазам :)))
> Может это убедит: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...

Что это? Там что-то измерено в "Gh/s". Но совершенно непонятно что. Это скорость с которой система перебирает хеши? Но если ей надо перебрать в среднем 2^256 хешей, чтобы найти искомый пароль, то смысла в такой системе ноль, и все её гигахеши превращаются в попугаев. Или там речь о чём-то другом?

Тут я, позволю своей старческой мудрости разгуляться -- это не гениальность, это просто мудрость: числа -- это абстрактные до предела сущности, которые абстрактны настолько, что они не имеют смысла. Даже если к ним приделать единицу измерения, то смысла хоть и становится больше, но не намного. Это, кстати, одна из дилетантских ошибок при работе со статистикой: рассматривать статистические числа как осмысленные _сами по себе_. Дилетантство этого раскрыл ещё Конан Дойль, нарисовав инспектора Лейстреджа, который замечательным образом делал совершенно неверные выводы из статистики. Числа бессмысленны, если мы не знаем способа получения этих чисел. Статистика бессмысленна, без анализа методов получения сырых данных и их обработки. Гигахеши на которые ты ссылаешься -- это может быть неплохие попугаи для сравнения мощностей разных систем, но совершенно бессмысленны для оценки возможности взлома пароля, без указания априорных допущений о пароле, которые ты делаешь, и того каким методом ты собираешься свои априорные допущения сужать до ровно одного апостериорного пароля с заданным хешом.

>>Может там шёл словарный перебор, например.
> Есть много эффективных стратегий помимо перебора для достижения цели

Например? Я знаю ровно два способа, которые не требуют никаких ограничивающих допущений о пароле (типа его словарности): это брутфорс перебора и брутхит паяльника в заднем проходе. Ты, видимо, знаешь ещё какие-то эффективные стратегии? Назови хоть одну. Чёрт с ней со ссылкой, у меня гугл есть, назови хотя бы, чтобы я знал что поискать.

>>Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.
> Я почему-то не удивлен, что у вас у одного только самое правильное
> мнение :)

Ты не сказал мне ничего нового: я бы удивился, если бы ты удивился.

> Давайте не будем терять больше время, ведь все равно мир будет крутиться
> исключительно вокруг вашего единстенно правильного мнения, не взирая на публично доступные
> примеры, опыт других людей, которые бесплатно, просто из хороших побуждений предупредили
> вас о том, что обычные пароли ломаются легко

Я бы тоже предложил не терять больше времени и закидать меня ссылками на публичные примеры и описание опыта других людей. Я очень люблю корректировать своё мнение, потому что чем больше оно скорректировано, тем больше всяких открытых эх имеют возможность наслаждаться моей "гениальностью", размахивая впустую руками и понимая, что контраргументов у них нет.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от ALex_hha (ok), 10-Июл-20, 08:59 
> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

в твоих снах разве что )))

https://habr.com/ru/company/dcmiran/blog/504950/

иди прочти и проспись. И это речь о sha1! 20-30 минут, шутник

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

65. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 21:41 
Ну, кто-то хабры читает, а кто-то живьем делает...
Повышайте свои знания и дальше через чтение habra;)
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 11-Июл-20, 10:13 
Мамкины ыксперты во сне и не такое делают. Наверное и силой мысли взламывают любой пароль
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:20 
Это то вы про себя? Могу вас тогда обрадовать, раз вы сами еще не одолели гугл, вот - специально для вас (сорри за устаревшие данные 4х летней давности, но даже они должны вернуть вас в реальность)

Просто 8 ГПУ карточек:
https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...

Погуглите еще про NSA датацентр в Юте, который даже по публичнум данным 2013 года способен:
13 quadrillion NTLM hashes per second

Сноуден говорил, что народ должен учитывать что триллион в секунду - это тоже не фантастика

Ответить | Правка | Наверх | Cообщить модератору

88. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от ALex_hha (ok), 11-Июл-20, 23:13 
Ну вот и посмотри скорость на том же sha256 и посмотри его сложность. А теперь посчитай сколько потребуется на взлом? Напомню, по твоим словам 20-30 минут. Вы ведь в школе уже прошли деление/умножение?

Ох уж эти мамкины аналитеги-иксперты

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 12-Июл-20, 02:02 
> Ох уж эти мамкины аналитеги-иксперты

Ну, судя по постоянному применению этой фразы и постоянного унижения собеседников, я не удивлюсь, что вы еще и язык другим показывать не разучились...


Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 10-Июл-20, 11:29 
> У вас короткий пароль?

По-твоему, 255 байт — это короткий пароль? Знаешь, не хочу тебя расстраивать, но всё равно в системе хранится только хеш пароля, и делать пароль сильно длиннее его смысла нет.
И да, посчитай, сколько будет 64 (условно примем, что это число допустимых символов в пароле) в 255 степени. Когда сможешь назвать это число, приходи, продолжим беседу.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

66. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:00 
> продолжим беседу.

Ну, давайте...

Секретность пароля/фразы определяется не х^у, а энтропи.
Уже доказанно можество раз, что серия рэндомных символов не эффективна в продакшене по одной простой причине, что человеки не умеют(и не хотят) запоминать рандомный набор символов и как результат - даже в банках можно увидеть стикеры с паролями приклееными к мониторам или на десктопе все пароли чистым текстом в ворде или ноутпаде, и вся секьюрность в этом случае - пшик, как бы не страшно смотрелось число возможных комбинаций в случае 64^255. Такие пароли никто не запомнит. Именно поэтому уже на протяжении наверное лет 15-ти на всех конференциях и курсах рекомендуются фразы, которые запоминаются значительно легче.
Возвращаясь к нашим баранам, - если взять минимальную базу данных слов в 7776, используемых для генерации рэндомных фраз к примеру из популярной diceware, то в вашей же формуле слово будет играть элемент одного символа и как результат количество комбинаций считается как: 7776^(количество слов)

Проводя к единому знаменателю, получаем:
энтропи 14 рэндомных символов и цифр ~ 80 бит
где та же самая энтропи в 80 бит из фраз уже требует как миниум 6 слов.
Средняя длина английских слов около 5 символов, что в словах получается 30 символов миниум.
Теперь о минимальных требованиях, - BSI & NSA требуют для надежной защиты до 256 битов.
Убираем рэндомый набор альфа&номера в виду неэффективности с точки зрения запоминания и считаем необходимое количество слов из diceware словаря для достижения необходимой энтропи:
~13бит/слово, ~10бит/символ, и ~5бит/цифра
в итоге получаем, чтобы достичь энтропи в 256+ бит, необходимо около 20 слов.
Добавим для удобства запоминания символы - разделители слов(точка, запятая) и получаем:
20*5+19~120 символов... для минимально требуемой надежности. Применяем старое правило надежности - увеличиваем на порядок и получаем, что для хранения надежной пассфразы в plain text нужно иметь запас как миниум в 1024 символов в хранилище.


Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от draw1 (?), 11-Июл-20, 01:44 
А ещё давным-давно придумали и о-о-очень широко используют (особенно если серьёзней чем про аккаунт на форуме идёт речь) хранители паролей - чтоб человекам не было нужды их запоминать. В них (и не только в них) есть генераторы рандомных паролей, абсолютно незапоминабельных, но это и не нужно...

Чик, и вот уже пароль из 24 символов снова имеет грубо 1e+48 комбинаций (ну и сумма комбинаций паролей всех меньших длин тоже неплохо добавляет). Скинем несколько порядков на не абсолютную рандомность (не будем цепляться к деталям, что этим ещё надо суметь воспользоваться).

И имея подбор даже миллиард миллиардов хешей в секунду затея становится так себе - солнце погаснет раньше. На кучке ПЛИС это даже реально запилить (почти независимо от типа хеша - "кучка" понятие растяжимое) в отличии от "4-х видеокарт", но смысла в этом - разве что денег выкинуть...

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 08:24 
Менеджеры паролей, о которых вы говорите - одно из самых правильных решений, и мы то же "о-о-о-чень давно" ими пользуемся, но проблема то в том, что мастер пароль нужно все равно держать в /dev/head
А еше есть необходимость вводить пароли по секретной схеме обмена Шамира, в которой обычно нужно держать пароль в том же девайсе /dev/head и вот тогда достоинство запоминания фраз быстро оценится по сравнению с сумашедшим рэндомным набором символов, которые практически очень тяжело запоминать. (У Брюса Шнайера правда есть концепт создания крэзи паролей и их запоминания, но на него также есть алгоритм подбора, т.к. в основе опять же тот же человеческий фактор, который очень хорошо предиктается)
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 11:55 
> проблема то в том, что мастер пароль нужно все равно держать в /dev/head

Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с сервера, надо пролезть на систему к пользователю. Не то, чтоб это было бы невозможно, но это совершенно другой вектор атаки со своими осложнениями на пути у атакующего.

> вот тогда достоинство запоминания фраз быстро оценится по сравнению с сумашедшим рэндомным набором символов, которые практически очень тяжело запоминать.

Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или чаще. При таком подходе несложно за неделю заучить два десятка рандомных символов. Понятно, что, тем не менее, мало кто это делает, но не надо нам тут рассказывать о том, что безопасности нет и не будет, потому что пароли неспособны обеспечить нужный уровень безопасности. Возможно обеспечить паролем, и не так уж и сложно. Хотя конечно бесспорно, что для 95% это слишком сложно.

Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:02 
> Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с
> сервера, надо пролезть на систему к пользователю.

Зачем угонять базу у самого себя ??? Вы о чем???
Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах, потеря флэшки и т.д. и т.п)


> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или
> чаще. При таком подходе несложно за неделю заучить два десятка рандомных
> символов.

Ну, может у вас такая уникальная память, а вот в местах где смена пароля должна быть сделанnа по полисям раз в 3 месяца, вас не поймут

> не надо нам тут рассказывать о том, что безопасности нет и
> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.

Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже более, я говорил как эффективно генерировать пароли с достаточной и эффективной сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор символов

Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 21:27 
> Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в
> случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах,
> потеря флэшки и т.д. и т.п)

Вообще-то нет. Выше модель уроз никак не определялась явно. Если ты предполагал что-то своё, то... эмм... чей это косяк?

>> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или
>> чаще. При таком подходе несложно за неделю заучить два десятка рандомных
>> символов.
> Ну, может у вас такая уникальная память, а вот в местах где
> смена пароля должна быть сделанnа по полисям раз в 3 месяца,
> вас не поймут

Не поймут, потому что технари, требующие смены паролей, совершенно не могут в управление персоналом. Не могут как интеллектуально, так и с точки зрения административного ресурса.
Естественно персоналу глубоко начхать на бородатого админа в свитере, и они убить его готовы за то, что он делает их жизнь сложнее. В случае каждого отдельного сотрудника маловероятно, что его пароль украдут или подберут, и из-за этой малой вероятности он должен по прихоти этого админа придумывать и запоминать пароли? Естественно, что с точки зрения этого сотрудника, вся эта деятельность по смене паролей -- лишняя головная боль, которая ему не нужна совершенно и с которой он совершенно ничего не получит. С точки зрения этого сотрудника, админ решает свои проблемы за счёт других. И, естественно, этого админа посылают на три буквы и будут посылать.

Преврати смену паролей в игру на деньги, придумай и объясни всем правила, давай призы в виде бонусов к зарплате и штрафы, в виде вычетов из зарплаты. Подумать придётся, да, надо сделать так, чтобы платить не очень много, но достаточно существенно, чтобы людям не стало бы фиолетово на выплаты и штрафы. Да, при этом, просто игры будет мало, потому что люди разные -- кто-то поведётся на игру, а кто-то нет, найдутся и те, кто будет резистить все попытки, например, потому что им кажется всё это детским садом, или потому что они наслушались OpenEcho на опеннете, не верят совершенно в пароли, и пытаются своим сопротивлением доказать админу, что они умнее его. Или может быть тысяча разных других причин. Вплоть до особо плохой памяти. Но 99% случаев решается на уровне менеджмента, который будучи достаточно квалифицированным и заинтересованным, может извлечь из своего тулбокса собранного по крупицам в ВУЗе, на семинарах, на онлайн-курсах, конференциях... нужные инструменты и сподвигнуть людей менять пароли. Кого-то купить, кому-то польстить, кого-то палкой огреть, кому-то что-то ещё. Это сложно, особенно поначалу, потом слежение за паролями войдёт в корпоративную культуру, и люди будут воспринимать это как данность, как часть своих служебных обязанностей. Впрочем, следить за сменой паролей всё равно придётся.

>> не надо нам тут рассказывать о том, что безопасности нет и
>> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.
> Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже
> более, я говорил как эффективно генерировать пароли с достаточной и эффективной
> сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор
> символов

Эмм... Ты выше описывал генерацию текстов длиной в килобайт, но там не написано, что ты ратуешь за этот способ. Можно вывести из написанного, что ты считаешь его эффективным, но вот одобряешь ты его или нет неясно. У этого способа есть же очевидные недостатки: учить стихи -- это кошмарно сложная деятельность, учить наизусть прозу -- вообще неодолимая проблема. Пароль в 24 символа ещё можно запомнить за счёт комбинации зрительной (для подключения зрения, впрочем, очень полезно поломать /bin/login и научить его отображать пароль), слуховой и кинестетической модальностей памяти.

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от draw1 (?), 12-Июл-20, 01:52 
С паролями в административном плане всё обычно просто ужасно. Мало кто объясняет зачем это вообще надо, почему "123456" абсолютно ничем не лучше чем без пароля совсем, почему мантра "да на хрен я кому сдался", "у меня все равно никакого доступа нет" работает так себе и до случая...
Всё это можно объяснить простым и понятным языком и на это не нужно много времени и усилий (и вменяемые люди прислушаются, поймут и будут "за"). Но большинство предпочитает просто вкрячить технические ограничения со словами "пох что ругают", не понимая, что сами ведут себя точно также как ненавидимые ими "юзеры". Точно также как "простые" люди без объяснения не понимают как "неважный" пароль может поломать многое, так и в их случае они не понимают, что если их все ругают, мол, "придумали очередную никому не нужную х@#ню! зачем? да им заняться нечем, вот они свою важность и выпячивают!", то падает их авторитет, а через это неминуемо падает авторитет и к тому, чем они занимаются. А дальше все кладут большой и жирный болт на безопасность и осторожность в целом (и уже не только на какие-то пароли).

Ровно такая же фигня происходит когда вводят полиси насчёт принудительной смены паролей! Да, людям лень (да и сложно) придумывать и запоминать хорошие, длинные пароли каждый раз. Пароль типа: (X7r)mq+6f-MEM{kT&] можно запомнить, особенно если вводишь его регулярно, но не каждые ж 3 месяца! А поскольку доверия к тем к кто "придумал такое" уже нет (см.выше), то пароли неминуемо становятся слабее - они ровно чтоб проходить ограничения на сложность паролей и не битом энтропии больше! Требуется 8 символов? Будет 12345678. Надо чтоб были буквы и цифры? Ну будет qwerty11. Надо чтоб буквы были и заглавные и прописные? Ну будет Qwerty11. Надо ещё знаки препинания? Ну последняя точка тоже войдёт. Надо чтоб пароли не повторялись при смене? Ну следующий будет Qwerty12. И так далее... Когда нет понимания важности, доверия и авторитета, то обычно вот так. Эскалация взаимной ненависти есть, а результата нет. А достаточно было просто поговорить...
Вопрос (риторический): насколько увеличилась безопасность от того, что пароли теперь меняются каждые N месяцев, но зато стали вот такими вот?
Ответ: достаточно чтоб отчитаться перед начальством о предпринятых мерах.

Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 12-Июл-20, 02:36 
> А достаточно было просто поговорить...

Поговорить -- может помочь, но далеко не факт. Если говорить раз в три месяца, готовя на каждый раз новую речь, так чтобы люди не засыпали от повторения одного и того же, то будет заметно лучше, чем если просто требовать. Но чтобы получить заметный результат нужна какая-то постоянная сила, которая постоянно будет действовать на персонал, двигая его в сторону использования сильных паролей. Но разговорами этого добиться можно только в очень специально подобранных коллективах. Там где у каждого есть понимание целей организации, понимание своей роли в достижении этих целей, где есть глубокая осмысленность и осознанность. В подавляющем большинстве организаций это не так. Каждый ходит на работу, потому что ему нужны деньги. Им не очень интересно как их деятельность помогает организации достигать её целей, им не очень интересно насколько она помогает: их начальникам не до того, чтобы доносить понимание, а сотрудникам это может и интересно, но довольно быстро их засасывает корпоративная культура, в которой нет места всем этим соплям типа "мы сделаем нашу компанию лучшей в мире", эта корпоративная культура о том, как избежать увольнения, как получить премию, и о том, как общаться с клиентом, с коллегой, с начальником, какое поведение допустимо на корпоративе, и может какие-то мелочи, типа того, что в курилке по понедельникам надо хвастаться тем, сколько литров водяры ты выжрал за выходные, как далеко била тугая струя блевотины из твоего рта вечером в воскресенье, и как же тебе хреново сегодня.

Как и что в такой культуре может убедить рядового сотрудника в том, что он должен идти на сложности менять пароль каждые три месяца?

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 12-Июл-20, 17:50 
Вся проблема - в безинициативных людях, лени и похеризме.
Принятие решений "на вверху" часто применяется людьми - выскочками ака политиками, которые в большинстве своем принимают очень быстрые, а потому не продуманные решения. Но значительно большее зло, люди - фаловеры, которые подражают всему что круче них самих, - "как у гугла, как у микросовта", прячась за спины больших вывесок, так как своей сообразилкой думать лень и некогда, ведь надо потрепаться по телефону, посмотреть ютубовскую чушь и т.д.

Единственная радость, что до умнейших мира сего, за которыми подражают фаловеры, наконец то дошло (https://docs.microsoft.com/en-us/archive/blogs/secguide/secu...), что частое и главное безосновательное правило смены паролей - приводит к совершенно другому результату - к наклейкам с паролями на мониторах

Теперь такие полиси считаются нот гуд :)

Ну а пароли, если использовать фразы вместо сумашедшего рэндомного набора символов - значительно эффективней в плане продвижения в массы надежных пасвордов

Запомнить к примеру фразу с 80 бит энтропи:
Rebalance.Stability.Blimp.Upcountry.Unfazed.Body

значительно проще чем эквивалент 80 бит энтропи в 14 символов: zxCUqS3awV5Zw8

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 11-Июл-20, 11:07 
>> продолжим беседу.
> Ну, давайте...

Не-не, ты число не назвал. Прописью, пожалуйста.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

83. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:05 
> Не-не, ты число не назвал. Прописью, пожалуйста.

Судя по всему чтиво не одолели... жаль моего времени...

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 10-Июл-20, 11:35 
Да, самое главное. Если ты такой параноик, почему ты вообще пользуешься паролями вместо аутентификации по ключу?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

67. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:08 
> Да, самое главное. Если ты такой параноик, почему ты вообще пользуешься паролями
> вместо аутентификации по ключу?

Я пользуюсь ключами, но ключи то надо защищать чем? Правильно - паролями!

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (78), 11-Июл-20, 11:27 
а вот и нет. ключи нужно генерить внутри смарткарты (читай, yubikey), а там и восьмизначного пина хватает
Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:28 
Я думал мы о паролях говорим, нет?
Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (89), 11-Июл-20, 23:29 
Нет. В этой ветке мы обсуждаем, что для sftp нужно использовать ключи
Ответить | Правка | Наверх | Cообщить модератору

94. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 12-Июл-20, 02:09 
Я что то не припомню, что бы я обсуждал ключи, просто каждый раз когда я вижу програмы ограничивающие длину пароля, у меня возникает сомнение, что я вообще-то и сказал изначально, но автор програмы, обьясил, что он не хранит пароли в чистом  виде, а сохраняет только хэши, на чем я полностью с ним согласен, но вот местные эксперты уже завели обсуждение в такие дебри, что честно говоря уже тошно
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним84701 (ok), 10-Июл-20, 12:53 
> Это типа новый прикол ?
> У вас короткий пароль? К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30
>> NTLM ~ 130GigaHashes/sec
>> md5crypt ~ 35MegaHashes/sec

Жирновато.
Или упор на то, что комбинаторику в современной  учебной программе "соптимизировали"?

Если в пароле только цифры и 4 карты гарантированно ломают пароль из 24 цифр за 30 минут, то одна карта должна выдавать:
10^24 / (30 * 60) / 4
    ~138 888 888 888 888 888 888 паролей в секунду
Это уже ExoHashes/s (10^18), а не Giga(10^9).


в пароле только буквы одного регистра
26^24 / (30 * 60) / 4
    ~1 264 817 467 991 279 855 111 085 282 790 в секунду
Тут уже будет скорость в 1.2 XrenoHashes/s (10^30)

большие и маленькие буковки плюс циферки
62^24 / (30 * 60) / 4
    ~1 445 666 280 854 642 580 377 189 631 797 277 336 243 в секунду

Выбрать подходящее имя для префикса и подсчитать порядковую разницу с GigaHash/s  читателю предлагается в качестве домашнего задания.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

68. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:21 
Жестким перебором уже давно никто не занимается :)
Даже тот же хэшкэт умеет оптимизацию...

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (78), 11-Июл-20, 13:09 
смотри, раз уж тебе ограничения в 255 символов маловато, а 24х-значные щелкаются за полчаса, и все давно умеют в оптимизацию, то тебе ведь не составит труда сломать простеший восьмисимвольный пароль (только латинские буквы и цифры даже без спец. символов) от моего sftp с дефолтным типом хеша?
$6$LmM1lg58z0eZsech$pH5Vr2KRC72C1IIMJTOx0RQWlA1UFH4V01PmtvjLa2K54xXFsleYxr6ur8bDkUkOhj4u6/zAYQRXHvH5vQ8Cw1
я даже сразу подскажу команду с нужным модом хешаката: hashcat -m 1800
или ты все-таки пустомеля, который ворвался сюда пороть всякую ерунду? а ведь мы еще даже не дошли до современных видов хешей, которые юзаются в обсуждаемом сабже
Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 11-Июл-20, 20:48 
> ... тебе ведь не составит труда сломать простеший восьмисимвольный пароль (только латинские буквы и цифры даже без спец. символов) от моего sftp с дефолтным типом

За беcплантным взломом - вам сюда: https://www.google.com/search?q=crack+hash+online
я этим не занимаюсь

> или ты все-таки пустомеля, который ворвался сюда пороть всякую ерунду?

Вот на "слабо" разводить, - вы поищите кого нибудь другого...

Если все же интересно о чем разговор, то ваши 8 символов - это всего ~ 40 бит энтропи, почитайте почему по всему миру прекратили использовать NTLM1

Ответить | Правка | Наверх | Cообщить модератору

101. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 13-Июл-20, 11:11 
> Если все же интересно о чем разговор, то ваши 8 символов - это всего ~ 40 бит энтропи, почитайте почему по всему миру прекратили использовать NTLM1

ты бы еще md5 привел для примера :facepalm:

А то видео и проц он берет самые последние, а алгоритм 15+ лет давности. Впрочем чему тут удивляться, диванные аналитеги они такие - суровые и беспощадные :D

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:09 
>алгоритм 15+ лет давности.

Не для чувака у которого от желчи глаза и разум затуманенны, но для других читателей:

Предложенный пароль к взлому - 8 символов, что есть ~ 40 бит энтропи, столько же, сколько и у NTLM1

Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 12-Июл-20, 22:50 
> то тебе ведь не составит труда сломать простеший восьмисимвольный пароль

он пока только в своих снах научился взламывать за 20-30 минут. На практике не получается

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

104. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:13 
> он пока только в своих снах научился взламывать за 20-30 минут. На
> практике не получается

Он еще к тому же и телепат :)

Н-да.. одни с годами мудреют, а другие просто становятся стареe...
Ты язык забыл еще показть...

Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 12-Июл-20, 22:54 
> а ведь мы еще даже не дошли до современных видов хешей, которые юзаются в обсуждаемом сабже

а еще есть такаю штука как salt - и все радужные таблицы идут лесом. А пацан шел к успеху, эээх  

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

105. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:25 
> а еще есть такаю штука как salt - и все радужные таблицы идут лесом.

$6$LmM1lg58z0eZsech$pH5Vr2KR...H5vQ8Cw1
.  ^^^^^^^^^^^^^^^^ - все что между $ это и есть соль, вместе с паролем ;)

Ответить | Правка | Наверх | Cообщить модератору

108. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 19-Июл-20, 10:05 
И?
Ответить | Правка | Наверх | Cообщить модератору

109. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 28-Авг-20, 13:00 
https://habr.com/ru/post/516844/

где там этот школьник который ломает любой пароль за пару часов. А то дядьки с гугла с большим трудом за полгода взломали, и только благодаря большой доле везения (использовалась старая версия zip)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру