• cylontoaster
    #22
    Igazából nem tudom mennyire számít, mert még mindig elég nagy számok, de:
    68 féle karakter (kis-nagy,szám,írásjel), 8 hossz(fix, nyilván egy 8-12 hosszú további plusz eset) akkor lesz egyenlő egy fixen 4 szavas jelszóval, ha a nyelv szókészlete 50 ezer szó. Azért ilyen nincs, a full random jelszónál (jobb helyeken) nem is 8 karaktert ajánlanak már.
    De visszavonom, nem lesz könnyebb, mint ha tudom hogy fix 8 karakteres full random jelszó van, kb ugyanaz. Ha jól számoltam. (magyar ábécével kicsit más). De bevallom, nem értem a számolását. A 2048^4 -t értem. De a 2^28-t nem.. nálam az erősen 68(|ábécé|)^8.

    Ijesztő olvasni/látni, inkább azt mondanám :)

    Nem akartam hülyeséget mondani, így inkább rákérdeztem kollégáknál:
    gforce:
    Egyrészt ha már eljutott a hacker valameddig, akkor bőven van esélye bruteforce-olni, pl egy adatbázist használó alkalmazás frontend oldalon védve van max próbálkozással, de backend oldalon nem. Ha odáig eljutottak, akkor ott már pörgethetnek. És vannak még ilyenek, hozzáteszem nem jellemző, de nem azért mert nem lehetséges, hanem azért mert nincs rá szükség. Mert:
    Ha van max próbálkozás, akkor (miután kivártad a büntiidőt), fogod a legtiviálisabb 3 jelszót és végigpörgeted vele a user neveket. Ehhez persze kell az, hogy legyen olyan böszme akinek triviális jelszava van, de borítékolható hogy lesz ilyen. Amit lehet olvasni hogy mik a népszerű jelszavak, az sajnos simán játszik céges környezetben is. A pentestek zöme is úgy végzi, hogy full admin hozzáférés, és szereznek meg jelszavakat is, nem az azonosítást megkerülve húzzák ki az adatokat.
    És akkor még mindig ott van a lehetősége annak is, hogy a hash-t megszerzik és azt "fejtik" vissza. Szerintem az alap pár jelszónál konkrétan ránézésre tudják a kollégák, hogy melyik.

    Off: az admin/admin-t pl tuti, múltkor hallottam hogy hülyézik egymást, hogy "hát ez admin lesz baszki, nem igaz hogy nem látod a hash-ből". Pedig nem ennyire kockák, egyszerűen ennyit látták az évek alatt..
    Az ijesztő egyébként az, hogy nem lehet elmondani, hogy Mo el lenne maradva ezen a területen. Egyszerűen ha valakinek megvan a tudása, akkor 1-2 hét alatt megvan. Ha vannak páran akkor napok.