[MisterY]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 22:17

viszont amit tényleg nem bírsz tudatosítani, hogy a jelszó hosszával nem egyenesen, hanem EXPOENCIÁLISAN, HATVÁNYOZOTTAN növekszik a törési idõ. Ezáltal 60-70 karakter hosszúságú jelszóra a mi életünkben már bizonyosan nem lesz szükség, hiszen még a 8-9 karakter is , amint az alábbi ábra és cikk jól mutatja , BÕVEN elegendõ.

(Bocs , ez MisterY-nek ment)

Ezt akármelyikünknek is írtad, nagyot tévedtél.
A jelszavak POTENCIÁLIS komlexitásával tisztában vagyunk mindketten, de a valóságban mások a tapasztalataink. A többség még sokáig megmarad a gizi1970 és Morzsa25 tipusú jelszavaknál. Volt olyan auditom, ahol egy délelõtt alatt megvolt a userek 90%-ának a jelszava.

60-70 karakteres jelszót senki sem használ, ha csak nem tudja ezt valahogy eltárolni. Erre a célra tökéletes egy smartcard vagy token, vagy bármi, ahol a biztonság azátal is nõ, hogy rajta kívül senki nem fér az eszközhöz normális esetben.

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 22:36

Ebben ugyan nem vagyok biztos, de ha elmékeim nem csalnak a manapság a legnagyobb ismert BOTNET hálózat is maximum 100ezer, egyidejûleg egybekötött számítógéprõl szól,

Ezzel max, becsülni lehet, pénzért kb. a "bármekkora" kapacitást lehet vásárolni, vírusokkal meg akármit meg lehet oldani. Én mindig az RC5nél kötök ki, 1997-ben 250 napig tartott, 2002-ben 1757 napig. Itt az összes lehetõségnek a 0.12%-át próbálták meg. Ergó mákjuk volt, de ergo nem is lehet azt mondani, hogy "soha" meg "gyakorlatilag lehetetlen", ha éppen beletalálnak. Ebben több, mint 350ezren vettek részt.

A 72 bitesben már nem veszek részt, de 2600 napja megy, a lehetõségek 0.7%-nál tartanak, majdnem reménytelen. De akár holnap beeshet a megfelelõ kulcs. Ezt már kevesen törik, kb. nem foglalkozunk vele.

[Jahno]

Idézet: MisterY - Dátum: 2010. márc. 2., kedd - 22:45

Volt olyan auditom, ahol egy délelõtt alatt megvolt a userek 90%-ának a jelszava.

Én is ráeresztettem kb. 400 júzerre a johnt, kb. ilyen aránnyal végeztem. Ellenben most volt egy vidéki sima júzerem, amit 60 nap után feladtam. Lehet bekopokog egy üveg pezsgõvel, oszt megkérdezem árulja el a titkot

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 23:08

Két dolog: az egyik, hogy a gizi1975 típusú jelszót sem tudod megtörni, hiszen az 8 betûs,

latin kisbetû + számjegyek = 36 karakter (persze ehhez már

40 évig próbálgathatnád még így is, optimális esetben csak

Ugyanennyi egyéb jelszót brute force miért lehet gyorsabban megtörni? Rart törni  lassabb?

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 23:27

az én jelszavaim rendszerint nem is rövidek 20-30 karakter, van benne pontpont vesszõcske készen van a fEjec$ke meg amit akarsz

Igen, lehet. Ellenben a nagy tömeg nem ilyen. Ennyi erõvel verhetném a mellem, hogy én is agitátor elmebeteg hülye vagyok, mert beírom jelszónak az anyám tyúkját, de inkább fogom a truecryptet, meg a hozzá való pent, oszt jónapot, elég oda 3 karakteres jelszó is, vagy tán 1-2 karakteres, nem mész vele semmire. Az átlag nagy tömeget ne ilyenrõl mintavételezzük.

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 23:47

Na látod, ezt a Topikot én Pontosan Ezért hoztam létre. Pontosan azért, hogy a "tömeg" mától ne gizike1975 -öt adjon jelszónak

Ehhh.

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 23:45

RC5 azért az teljesen más. Ott vannak faktorizációk és szuperprímek, magyarán létezik rá eleve törési módszer a brute-force-on kívül is.

Akkor a nagyokkal miért brute force csináltuk?

[HAMMER]

Idézet: Albert Einstein

Mindenki tudja, hogy bizonyos dolgokat nem lehet megvalósítani, mígnem jön valaki, aki errõl nem tud, és megvalósítja.

[Fresi]

A nem polinomiális idõn belüli törés a (közel)jövõben könnyen polinomiálissá válhat. Nem a poén kedvéért kezdték kidolgozni a poszt-kvantum kriptográfiát. Soha ne mond, hogy soha. 

[BoGyesz]

A National Institute of Standards and Technology felmérése szerint a nyolc karakter hosszú jelszavak 30 bit nehézség körül vannak. '98-ban a Deep Crack egy 56 bites DES kulcsot 22 óra alatt tört fel, ami
(72 057 594 037 927 936 / 22) / 3 600 = 9.09818107 × 10^11 jelszó másodpercenként, ha jól számolom.

Azóta mennyit nõhetett a teljesítménye egy ilyen gépnek? A leírás szerint állami szervezetek és multik költségvetésébe belefér egy ilyen legyártatása.

forrás:
http://en.wikipedia....ssword_strength
http://en.wikipedia....EFF_DES_cracker

(mellesleg a legviccesebb az volt, amikor iraki ellenálók számítógépén találtak amerikai robotrepülõ által készített felvételeket, ugyanis azok titkosítás nélkül voltak rádión keresztül közvetítve. Erre a gyártó azt nyilatkozta, hogy már dolgoznak a titkosításon és 2014-re kész is lesz  )

[Jahno]

Idézet: flashdesigner - Dátum: 2010. márc. 3., szerda - 2:14

akárcsak az RSA és az asszimetrikus titkosítások, rendelkezik egy alapvetõ hibával, mellyel a brute force nélkül is törhetõ matematikai algoritmusokkal.

Egyrészt biztos így van, ez megfoghatatlan, azért az RSA 1-2 helyen ott van a szeren. Másrészt még mindig azt kérdezem, hogy tapasztalatok alapján más cuccnál a brute force jóval gyorsabb, és hatékonyabb. Állításod szerint a .rar-nál nem ilyen egyszerû. Miért is?

[BoGyesz]

Most olvasom a hírekben, hogy a spanyol rendõrség lecsapott egy botnet üzemeltetõ társaságra. 13 millió gép volt fertõzve a jelentés szerint és használták is õket rendesen, valamint bérbe adták.
forrás

flashdesigner: Nyugi. Csupán mint érdekességet írtam, nem vontam kétségbe azt amit írtál egy szóval sem. Meg vagy feszülve kicsit. 

[Raynes]

Idézet: flashdesigner - Dátum: 2010. márc. 2., kedd - 23:08

mégegyszer hangsúlyozom, aki RAR-t használ, az nem hülyegyerek és nem ma jött le a falvédõrõl, sõt valószínûleg már eleve tudatosan választotta a RARt "csomagmegõrzésre" és ezáltal olyan jelszót fog megadni, amit se te se más garantáltan nem fog kibontani a mi életünkben.

Most mit akarsz ezzel a topikkal? RAR-t, mint fizetõs programot propagálni? Aki titkosításra RAR-t használ, az vagy egy lúzer, vagy nem érdekli komolyan a dolog. A RAR v3+ 128bites AES-t használ kulcserõsítéssel (egy jelszót többször is végigpróbál, lassítva a bruteforce folyamatát). Ezzel szemben pl. az ingyenes és szintén multiplatformos 7-Zip már 256bites AES-t használ, szintén kulcserõsítéssel. De a tömörítõprogramok nem titkosítani valók, hanem tömöríteni.

Titkosításra ott vannak az erre szakosodott sw-erek. RAR pl. nem ingyenes, a TrueCrypt az. Ilyen programok egész lemezeket, partíciókat, OS-eket tudnak titkosítani, álrendszer mögé rejteni, kulcsot álcázott formában tárolni (pl. mp3, .jpg, .zip), titkosítás elõtti fájlokat/lemezterületet random felülírni több menetben stb. Aztán nem csak 256bites AES-t ismernek, van ott még Treefish (->1024bit), Blowfish (->448bit). Ezek a titkosítások többször is alkalmazhatók (vegyítve is) és akkor a kulcserõsségek összeadódnak, ezzel párhuzamosan lassul a titkosítás folyamata is.

Illetve nem véletlen, hogy AES esetén is 20+ karakteres jelszót ajánlanak a titkosító programok. A 8 karakter a minimum, amit megengednek, mert csak hamis biztonságérzetet nyújt ilyen rövid jelszó.

Szerkesztette: N0zer0 2010. 03. 03. 08:29 -kor