Azt hiszed csak szőrszálhasogatok, pedig nem. Mondom, leírtam lentebb:
Senki nem fog kipécézni egy adott tótpistát, aztán órákig/napokig pörgetni a jelszavát. Ehelyett megcélozzák az összes egységsugarú felhasználót, és pl ahelyett hogy 1 adott felhasználóhoz próbálnánakkülönböző jelszavakat, 1 adott (primitív) jelszót próbálnak ki sok felhasználóhoz.
Megin számolás, csak a kedvedért: ha a felhasználók 1%-a használja a password szót, akkor 1% az esélyes hogy pityunál betalálsz és így accounthoz jutsz. Ha a leggyakrabban használt jelszavak együtt a felhasználók 10%-t fedik, akkor ezekkel 10% az esélyed pityu fiókjára. Ez nem sok. Ráadásul néhány próbálkozás után kitilt, tehát elég körülményes a top10 jelszó próbálása is.
Ehelyett ha elkezded a felhasználókat párosítani a top 1 jelszóhoz (1%), akkor pillanatok alatt várhatóan minden 100. account a tiéd.
Érdekel bárkit is, hogy kovácsjani fiókját szerezte meg, és nem tótpistáét? Nem, mert nem 1 adott janira lövünk, hanem janiKra.
Tudod, biztosan lesz olyan aki megnyeri a lottót előbb-utóbb, de ez nem jelenti azt, hogy az te leszel.
"Pontosan erről van szó, hogy az emberek nem fognak ilyen jelszót készíteni, mert nem fog 3-4 nagy betűt, vagy két különleges karaktert belerakni, csak egyet, meg egy nagy betűt az elejére, ezt mutatják a statisztikák amiket a feltört jelszavak alapján készítettek"
Ez két okból hülyeség:
1: Nem feltört jelszavakból, hanem megszerzett jelszavakból készítenek statisztikát. Előbbi BF, utóbbi pl a Phising. Bazi nagy a difi.
2: Ha mégis feltört jelszavakból készítek statisztikát, akkor az mennyire torz már? Fogom a feltört, tehát gyengébb jelszavakat, és megállapítom, hogy az emberek gyenge jelszavakat adnak meg. Kell magyarázni, vagy érthető a hülyeség?
"nem fog 3-4 nagy betű"
Cseszel értelmezni amit írok. Senki nem mondta, hogy kellene bele 3-4 nagybetű. Ellenben azt írtam, hogy ezt nem is várja el senki, különben ez lenne a kikényszerített elvárás. Azért nem várja el senki, mert nincs is rá szükség. Ez meg ha jól sejtem akkor egyszalmabáb volt.
" innentől kezdve hiába mondod hogy mennyi variáció van"
Erről is írtam, ez megint mellébeszélés.
"gy nagy betű legalább, meg egy speciális karakter legalább, de nem lehet benne mondjuk szóköz, azzal nagy segítséget adot a hackernek, mert az rögtön tudni fogja, hogy melyik szótárát húzza elő"
1: az xkcd-nél is pontosa tudod milyen szótárt kell elővenni, csak a variáció száma számít, nem a szótár ténye.
2: a írásjelről nem tudsz semmit, a szóköz sem infó neked
3: leírtam, kvamindegy, mert ettől még mindig túl költséges lesz a jelszótörés, ezért senki nem fog nekiállni.
"Ha tudom hogy almafa a jelszavad és van benne egy írásjel akkor végtelenül egyszerű dolgom van"
Számold ki kérlek. Nem mintha lenne jelentőssége, nyilván a tudod a jelszavam akkor egyszerű a dolgod :D
"nincs karakter korlát"
Ez megint hülyeség, senki nem írt korlátról. A minimum 8 karakter nem jelenti azt hogy 8 krakteres lehet csak a jelszó.
"de akkor is előszőr értelmes szavakkal fogok probálkozni, használva az e betű lecserélést 3-ra és a többi trükköt, és ha nem kapok eredményt, akkor fogok rátérni a véletlenszerű betűkre."
Akkor számold ki ez mennyi idő lenne neked. Egyből beláthatod, hogy már ez is annyira sok, hogy nem éri meg nekiállni. Ettől még persze senki nem javasolja hogy triviális sózással hanáld a jelszót, csak azt nehéz kikényszeríteni. Ahogy az xkcd-nél sem tudod kikényszeríten, hogy a hülye juzer ne almafalmafalmafaalmafa jelszót adjon meg. Frankón érvelsz az egyik oldal ellen a hüye juzerrel, és feltételezed hogy a másik verzió nem hülye juzer fogja használni. Sajnos ez megint bukós.
"Na pontosan itt gyengíted akkor a számolásod, ugyanis igy ahogy mondod, senki nem fog kettő három speciális karaktert alkalmazni, tehát a számolásod máris nem annyi amennyi, és ezért számol a képregény entrópiával, és ezért jön ki sokkal kevesebb neki, mert az eddigi tapasztalatok azt mutatják, hogy az emberek ugy készitenek jelszót ahogy ő azt lerajzolta: vesznek egy szót és kicsit átalakítják, egy nagy betű itt meg egy szám ott és kész is van."
Nem is számoltam speci karakterrel. Csak érdekességnek írtam le, hogy ha pontosan tudod a jelszavam, akkor is megletősen sok tipp kellene. Nyilván nem tudod a jelszavam, így annyira sok tipp kell, hogy nem BF-al fogod törni, ugyanis gyakorlatilag minden értelmes helyen le van védve.
"Linkelnéd a forrásod, ha már hivatkozol a szakmára? :)"
Majd ha te meg számolsz :) Az hogy bevágsz pár random linket, az nem forrás. De ha akarod, hozhatom forrásnak az összes olyan oldalt, ahol van jelszóbonyolultsági követelmény, ugyanis ez a szakma. Valami rejtélyes oknál fogva ISO vagy MNB auditnál megfelelőnek számít.
" hanem azt, hogy átlag józsi jelszóválasztásánál, jobb az amit ő ajánl"
Nem, ez ugyanis a legnagyobb csúsztatás az egészben.
Vesz egy átlag, ostoba józsit, aki a hagyományos esetben rossz jelszót választ, és feltételezi róla, hogy az ő metódusával jót fog. Nem fog.
Ha józsinak azt mondod, hogy válasszon 4 szót, és józsi hülye és eddig az almafát használta, akkor most almafa lesz 4x. Vagy almafa, körtefa, stb. Ezen nem segít.
A másik, hogy a 4 szót sehol nem tudod kikényszeríteni, csak úgy ha azt mondod hogy minimum 20 krakter. Ha ez van megadva, akko józsi tudhatja, hogy itt 4 szót kéne megadni (már itt bukik), de toszik ő rá, megad 20d "a" betűt. Na ennél az Almafa1 is jobb.
Szumma, úgyse fogod fel a többit:
- Azért ez az elterjedt, mert ezt lehet legértelmesebben kikényszeríteni, és aki minimálisan de betartja ezt (Password1), az is még mindig jobb, mint más esetek.
- Egy gmail felhasználót nem így törnek, mert 3 próba után kitilt. Egy céges alkalmazás jelszavát sem így törik, ugyanezért. Ha ellopták a vinyódat és megvan a jelszavad hash-e, akkor lesz ilyen bruteforce. Az egyéb esetekben, ahol a kitiltás játszik, ott marad az amit írtam, a támadó szerinti top2 jelszót kipróbálják az összes ismert felhasználón, így az a jó jelszó, amire nem fog gondolni a támadó, mint lehetséges top2 jelszó. Hülyék ellen semmi nem véd, párszázas listán is működni szokott a top2 jelszó kipróbálása, mert ha a Bank-ban dolgozol, akkor tutira lesz olyan hülye, akinek Bank1234 lesz a jelszava. Nincs az a jelszó policy, ami védene a hülyék ellen.
Tehát szélsőségesen hülyéknél mindegy (vagy rosszabb), jó jelszónál mindegy, átlag felhasználónál mindegy (vagy rosszabb) az általad hozott verzió.