[Jahno]

Oszt a zip?

[MisterY]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 12:28

Nos a másodpercenkénti 30-ezer jelszó próbálgatás az egyenlõre adabszurd különösen sok mega-gigabájtos fájlok esetében), de a távoljövõben majd TALÁN lesz rá mód.  A gyakorlatban ez úgy néz ki, hogy egy 100 bájt (!!!!) rövidségû (mert hosszunak ez NEMigen mondható) fájlt a RAR Password Recovery egy 1.6 Gigaherces 2 magos Core2Duo procis , 3 giga ramos gépen 17-23 psw/sec -et produkál. Számítógép-hálózatokkal lehetséges range-ek , jelszótartományok kiosztása , de ez roppant nehéz feladat, és egy komplett BOTNET hálózat kell hozzá, a jelszó visszafejtése, pedig még ezzel együtt sem garantált.

Az általad említett program brute-force módszerrel 270 jelszót vizsgál egy Core2-n és 2200-at egy nvidia GPU-n.
Ez csak a RAR3-ra igaz, minden korábbi verziót nagyságrendekkel gyorsabban tör, más alkalmazásokat pedig még annál is gyorsabban (10k-10M/sec)

Ugyan ez még mindig 1M CPU-nap feletti értéket jelent egy 8 karakteres jelszóra, de két dologról nem szabad elfeledkezni:
- A botnetek óriásiak és kibérelhetõek, a cloud computing hasonlóan. Ha a várható haszon megéri, ki is fogják bérelni.
- A brute force módszer, szótárakat felhasználva több nagyságrenddel lecsökkentheti a keresési idõt, és az átlagfelhasználók által jelszavak igen nagy része törhetõ így, hiába a hosszú jelszó.

Azt se felejtsük el, hogy mindez csak addig igaz, amíg valaki rá nem jön egy olyan módszerre, amivel esetleg azonnal törhetõ a ma ismert legjobb titkosítás is.
Szóval óvatosan azzal a SOHA nem törhetõ kijelentéssel.

[des]

igazából ha valaki leszed valamit rarozva a netrõl, és pass kell hozzá, tényleg felesleges törni. elég google-al rákeresni hogy a file neve.rar password és ott a válasz rendszerint valami blogon, fórumon. persze tudom, hogy itt most ne merrõl van szó.

[bogdan]

"hanem rendszerint a kedvenc háziállata becézett nevét PLUSSZ a születési dátumát, ami együtt semmilyen szótárban nincs jelen."
pontosan ezert alkalmazzak a jelszotorok a szotar+variaciok vizsgalatat, es ernek el igen szep eredmenyeket! az ilyen pl. szinte biztosan torheto.
egyebkent szep, ahogy elkepzeled, hogy milyen jelszavakat hasznalnak az emberek, de valojaban szazalekos, ha nem tizszazalekos a "titok" jelszo elterjedtsege.. az emberek szerintem 50-80%-os valoszinuseggel gyenge, torheto jelszavakat hasznalnak meg a rar tomoritesnel sokkal fontosabb jelszavakhoz is!

[Szabcsi]

LOL, a kolléga "képességeit" feltételezve nem is kell/lehet sok variáció, tuti szerepel benne "winFOS" kifejezés...  :Ð

[bogdan]

hogy kene szerinted bizonyitanom, hogy az emberek tobb, mint fele gyenge jelszot hasznal?

Szerkesztette: bogdan 2010. 03. 02. 20:52 -kor

[Raynes]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 12:28

a rövid válasz: a RAR jelszó visszafejtése, gyakorlatilag LEHETETLEN

Nem mondod 

Idézet: bogdan - Dátum: 2010. márc. 2., kedd - 20:51

hogy kene szerinted bizonyitanom, hogy az emberek tobb, mint fele gyenge jelszot hasznal?

Na bogdan, most emberedre akadtál érvelésügyileg  :Ð

Szerkesztette: N0zer0 2010. 03. 02. 20:59 -kor

[Szabcsi]

Idézet: bogdan - Dátum: 2010. márc. 2., kedd - 20:51

hogy kene szerinted bizonyitanom, hogy az emberek tobb, mint fele gyenge jelszot hasznal?

Tûzdeléssel elkerülhetõ a sûrûn kelt palánták megnyúlása. Az átültetett növénykék a gyökérnevelésre koncentrálnak, így erõsebbek lesznek. Ha keléskor kicsit megnyúltak, mélyebb ültetéskor ezt még csökkenthetjük.

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 20:24

Ha te ilyen okos vagy, akkor hajrá ! Kicsit feljebb meg fogod találni azt a hozzászólást, amiben részletesen kifejtettem hogy mit és miért nem lehet, de ha te ilyen ügyes vagy akkor

Bizonyíts !

Amikor olyan jelszók vannak, hogy juzer1974, oszt ez még bonyás? Kutya neve, lófasz, satöbbi. Bár kollég nekem is 2. alkalomal kitalálta a wifi jelszavam, azt mondta, ha nem palinka, akkor faszkivan lesz És az volt  :Ð Amúgy nekem megjegyezhetõ, félig szótáras, de nagybetû/4 számjegy kombó szokott benne lenni. Ez nem átlagos júzer jelszó.

[MisterY]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 18:15

Ha nem hiszed, el hogy 8 karakteres jelszót te SOHA nem fogsz kibontani, szívesen adok neked 8 karakteres jelszóval csomagolt RAR-t, nemhogy megabájtos, de kilobájtos méretût, és majd amikor hetek, hónapok múlva sem érkezik majd válasz e hozzászólásomra tõled, vagy

Mivel nem tudod milyen karaktereket tartalmaz a jelszó, már eleve jobb, ha az összes kombinációt nézed, ami 223 lehetséges érték .

88,1 millió év múlva egész biztosan válasz fogsz tudni adni az általam feltett kérdésre !

Akármilyen elképzelhetetlenü nagy a feltöréshez szükséges idõ, azt még Te is elismered, hogy nem végtelen, tehát a SOHA már eleve nem igaz.
Az elsõ PC-k megjelenése óta a számítógépek számítási teljesítménye több tízezerszeresére nõtt és ma már a milliónyi hálózatba köthetõ számítógéppel (botnet, cloud, grid, seti, stb...) számolhatunk.
Ha ez a trend így folytatódik, az általad 88 millió évnek becsült számítási igény, telán pár napra csökken akkor is, ha nem számolunk a számítási teljesítmény vagy a kódtörési mechanizmusok ugrásszerû gyorsulásával.

Az már csak hab a tortán, hogy 200-250 féle karakterrel senki sem számol a jelszóban, mert ennek a bevitele több problémát jelent, mint elõnyt. Az általad is említett 60-70 karakter a szokásos, ezt esetleg 100-ra növelhetjük, ami valóban sok, és ha a jelszó biztonságát növelni akarjuk, a jelszó hosszát is növelhetjük, de mindkét esetben növeli a kockázatot, hogy a nehezen megjegyezhetõ jelszó elõbb-utóbb leírva köt ki valahol.

[Jahno]

Idézet: MisterY - Dátum: 2010. márc. 2., kedd - 21:28

Ha ez a trend így folytatódik, az általad 88 millió évnek becsült számítási igény, telán pár napra csökken akkor is, ha nem számolunk a számítási teljesítmény vagy a kódtörési mechanizmusok ugrásszerû gyorsulásával.

Ráadásul nézzük csak meg a klasszikus RC5 distributed.net dolgot, mostani akció kezd csak kacifántos lenni, amúgy az elsõket elég "hamar" megtörték, fõkleg ha viszonyítunk az ilyen maximális kombinációhoz. Az meg egy karaktersorozat volt, semmi szótár, vagy bizbasz. És 10 éve is voltunk páran, akik akár több 100 vassal tuták törni, vagy befogtak néha 1-1 nagy Sunt, bármit. Most ha azt nézem, hogy 3 méteres körzetemben van legalább 60 unatkozó mag, akkor azzal már csúnyát lehetne mûvelni, én meg valóban csak 1 vagyok a sokból.

Niylván ha azt mondjuk, hogy adj egy .rar-t, megtörjük, akkor kolléga csinál 300 karakteres generált jelszót, amiben még arab írásjelek is lesznek, oszt szophatunk.

[MisterY]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 22:17

Marha nagy nehézség bekopizni akármekkora hosszúságú jelszót (RAR esetében egyébként max. 256 "byte" hosszúságú (-32 alsó vezérlõkarakter) lehet.. akármilyen ANSI és puntuációs karaktererekkel,

Ha másolod a jelszót, akkor ez azt jelenti, hogy tároltad is valahol. Ahol tároltad, az vagy legalább ilyen erõs védelemmel rendelkezett, és akkor annak a jelszavát kellett megjegyezned, vagy gyengébbel akkor viszont az lesz a leggyengébb láncszem.
Persze lehet hivatkozni arra, hogy senki más nem tudhatja, hogy hol, milyen módon van tárolva a jelszó, de ha egy titok kitudódhat, akkor az ki is fog. A nem ismert tárolási algoritmus önmagában sosem volt erõs védelem.