Stručnjak za sajber sigurnost objasnio: Koja je idealna dužina lozinke?

sokic nije cuo za velika slova, brojeve, specijalne karaktere ... ovu sifru mu nece prihvatiti nijedan ozbiljan servis ... a da ne pricam o tome da npr pojedini microsoft servisi prihvataju lozinke do maksimum 16 karaktera ... jak mi strucnjak

Strucknjak otkrio neverovatnu stvar. Dugacke sifre su sigurnije od kratkih. Internet je eksplodirao.

Kakva glupost

Upravo Microsoft naterava na lozinku sa kombinacijom malih + velikih slova + brojeva + specijalnih karaktera

aha, osim što 99% sajtova traži bar jedno veliko slovo, broj i specijalni znak, pa ti pjevaj.

Lozinka bez brojeva i znakova interpunkcije je neozbiljna.

jer duzina je bitna...

Nema odbrane ukoliko je baza lozinki ukradena!

Sigurna lozinka je svaka koja ima kombinovana velika i mala slova, brojeve i specijalne znake i dužine je bar 8 karaktera.

Lozinka od 25 malih slova je slabija od lozinke sa jednim malim, jednim velikim slovom, jednim brojem i jednim specijalnim znakom. Zasto? Pitaj uciteljicu!

a jel strucnjak zna procenat sistema u koje su upali provalom lozinki putem brute force metodea procenat gde se u sistem uslo na potpuno drugi nacin koji nema veze sa lozinkom?

mada je lozinka od 26 znakova znatno sigurnija od one sa 25 - ali najbolje su se pokazale one sa 1349 znakova, njih ni oni koji su ih postavili najcesce ne mogu da pnovo unesu tacno

"duzina je bitna"...

17-18 cm

Dobra lozinka je bilo koja ako je povezana sa našim brojem telefonom, jer tada lozinku moraš da potvrdiš sa novom lozinkom koju dobiješ putem sms poruke i nikada nije ista.

Najbolja lozinka je edukacija ljudi, kako da prepoznaju i da izbegnu socijalni inženjering, u suprotnom ni najbolja lozinka ih neće zaštititi.
U firmama, najlakše se ulazi kroz sektor koji nije IT (sekretarica, spremačica pa čak i HR). A to sve bez njihovog znanja.

Za bruteforce je nebitna kompleksnost lozinke, samo dužina. Microsoft nije nikakvo ozbiljno merilo za bilo šta osim za laike. Najbitnija je multifaktorska autentikacija i/ili relativna česta izmena lozinki uz održavanje sistema koje podrazumeva zaštitu i otklanjanje ranjivosti. I da naravno - da nema backdoor što isključuje Microsoft iz svake ozbiljne priče...

Dužinu lozinke sam odredio tako što sam odlučio da broj slova bude jednak dužini mog vršnjaka. Dakle 12 slova..

Dovoljno je i 8-10 karaktera ako se razmišlja o tome šta se piše. Ali za 99% ljudi vrhunac visprenosti je dodavanje 321 umesto 123 na kraju imena deteta ili psa. Inače najjača lozinka je kombinacija random reči. Ne postoji algoritam koji to može da provali.

Ovo stručnjak za sajber bezbednost?! Aaa, iz HR je. Možda tamo jeste. Bar me je malo nasmejao. :)

Kao što neko reče, nikakva šifra vas ne može spasiti ako je ukradena baza ili ako imate trojan/keylogger na računaru. Zato uključite 2FA gde god je moguće/vam je bitno.

što bi bila fraza nepovezanih reči sigurnije od 10 karaktera svaga ponešanog?
Danas google i microsoft imaju baze sve reči celog sveta zahvaljući svojim tastaturama za mobilne telefone i ljudima koji dele to sa googlom radi "pobošanja" kvaltita "tastature" da bi nam u budućnosti još lakše pisali i unosili reči dok pišemo poruke sa telefonom.
Sa tim bazama reči, lako će izvrteti sve kombinacije.

Vazi, strucnjace :) Pojednostavljeno jako. Vi, ipak, ukoliko zelite "sigurnu" lozinku, koristite kombinaciju broja, slova (lower&upper case) i specijalnih karaktera. Sto vise karaktera, to bolje. I nije stvar dal ce vam sifra biti "provaljena" vec koliko ce dugo biti za to potrebno, ukoliko bi neko stvarno radio na tome. Phishing/virushchine i ne razmisljanje ljudi + hakovanja lose zasticenih baza podataka su mnogo veci uzroci "gubljenja" lozinke/sticanja neovlascenog pristupa nego lose sifre korisnika... to jedino da vam partner/deca ne provale sifru pa upadnu na fb i nastane spektakl kad se dokopaju prepisivanja.

Aj vi strucnjaci napravite siguran sistem, a ne da ceorkate po nekom kodu i dajete izjave za novine.

pilepikcepipikcedoknedopikcedokuce

Sta znaju stranci sta je srpski jezik i njegovo bogatsvo 😁

Mnogo se ovde priča napamet i barata istorijskim prevaziđenim podacima. Ideja da je 8 kombinovanih karaktera dovoljno bezbedno potiče od pre više decenija i danas je svi ponavljaju kao deo opšteg znanja. Nažalost to uopšte nije tačno. Svaka lozinka od 10 malih slova bazbednija je oko 1000 puta. Ona od 12 malih slova - milion puta. Ko ne veruje može i sam da proračuna broj kombinacija.
Dugačke lozinke od malih slova ( stihovi, rečenice, izreke, citati...) se mnogo lakše pamte nego lozinke kombinovane od slova i različitih karaktera, što dodaje i još jedan sloj bezbednosti, jer je manje verovatno da će ljudi takve lozinke zapisivati na papiriće i sejati okolo.

Kompleksna lozinka nema sta!

Kada mi je bas bitna lozinka pravim je tako sto neka slova menjam brojevima i onda ta lozinka meni ima smisla, a ako je gleda neko drugi bas i ne. Recimo omiljeni fudbaler vam je Kristijano Ronaldo koji nosi br. 7 na ledjima. Sifra bi bila Kr15t1j4n0R0n4ld07.

@informatičar Mogu da ukradu bazu lozinke koliko hoće. Šifre se čuvaju enkriptovane u bazi.

Kakav strucnjak. Naravno da je lozinka sa velikim slovima i specijalnim znakovima sigurnija od lozinke sa malim slovima. Ali svi ti koji se bave sigurnosti nemaju u stvari POJMA sa zivotom. Jer nikada nisu radili IT posao, samo su citali sigurnosne biltene, a u praksi ne znaju ama bas nista. Lozinka koja se sastoji od fraza je izuzetno laka da se provali. Zato nikada ne treba davati reci ni fraze. To sto reci nemaju veze jedna sa drugom - pa ni kompjuteru nemaju veze, on ima recnik pomocu koga isproba sve kombinacije. A i to da ima specijalni znak - recite iskreno koje to specijalne znakove stavljaju korisnici? Ima ih par zbog same tastature, ko ce da sa maltretira i stavljaju se na kraj ili izbedju fraza tj reci. Tako da ni to sve nije problem provaliti. Na primer lozinka mojalozinka je isto tako laka kao i moja*lozinka. Menjanje lozinki u praksi je isto tako glupost. Danas svako ima desetine lozinki, ja kao IT imam mozda i oko 100 - ko bi to sve zapamtio. Samo ce ljudi zapisivati lozinke. Sve to sluzi samo da bi neko zaradjivao pare. I maltretirao korisnike. Ni kada sam imao lozinku od 5 karaktera ni sada sa 10 mi nikada niko nije provalio lozinku nigde. To je sve sigurnosna mafija koja zivi od toga da plasi ljude jer dobijaju pare za softver, kurseve i slicno. Sad svaki put kad ovorim Autluk morad na drugi kraj sobe (tamo se puni mobil) da potvrdim drugi faktor. Serem im se u ton film. Ovaj, faktor.

Lozinka?

Kum ruzvelt
upadaj

E moj “stručnjače”. Ja sam, sasvim slučajno malo informisaniji od tebe i ta tvoja lozinka od 25 karaktera je jednostavna za dešifovati svakim ozbiljnijim alatom kao i ona od 1.

Enkapsulacija grabi 8 karaktera i svaka dobra lozinka treba da ima broj karaktera deljiv za 8. Lozinka od 9 karaktera je jako lagana za “provaliti” pa tako i ta tvoja od 25.

svaku lozinku je moguce probiti, samo je pitanje vremena sto zavisi od toga koliko je "jak" racunar sa koga to pokusavate, preko kvantnog racunara brutforce ce npr trajati 2 sata a preko toga sto vi imate kuci 5000 godina ;)

@(ankh, 16. decembar 2020 18:28)

Ta tvoja sifra se sastoji iz 5 reci "horSe" "air" "Pl4ne" "combined" "force" koje postoje u svakoj bazi wordlista.
Svako ko se imalo razume u entropiju sifri nikada nece koristiti poznate reci. Daleko je bolje resenje izmisliti recenicu, pa uzeti prva slova i izmedju dodati par brojeva i znakova interpunkcije. Drugim recima lako za pamcenje, a nijedna rec iz word lista.

što bi bila fraza nepovezanih reči sigurnije od 10 karaktera svaga ponešanog?
Danas google i microsoft imaju baze sve reči celog sveta zahvaljući svojim tastaturama za mobilne telefone i ljudima koji dele to sa googlom radi "pobošanja" kvaltita "tastature" da bi nam u budućnosti još lakše pisali i unosili reči dok pišemo poruke sa telefonom.
Sa tim bazama reči, lako će izvrteti sve kombinacije.
(Necko, 16. decembar 2020 14:45)

Zato što samo srpski jezik ima x hiljada reči. Ne postoji algoritam koji bi brutoforce metodom to mogao ne da probije nego i da skonta ono što bi trebalo da provali. Plus staviš mala velika slova i broj, šifra koju je nemoguće probiti. Inače je wordlist za bruteforce za jednu običnu šifru koju koristim teška preko 150gb. Uneti ključni pojmovi. A ja sam znao koja mi je šifra i šta otprilike da unesem u program. Kako bi ti uopšte prišao blizu moje šifre? Evo ti primer horSeairPl4necombinedforce

Napravi wordlistu za to...

aha, osim što 99% sajtova traži bar jedno veliko slovo, broj i specijalni znak, pa ti pjevaj.
(A-SA, 16. decembar 2020 12:15)

Meni je odmah ovo isto palo na pamet... možeš i 55 slova da staviš, ne može, mora bar jedno veliko i jedan broj, a kao što si rekao mora često i neki znak.
Znači ne može lozinkalozinkalozinka nego bi moralo da bude Lozinka1lozinka/lozinka

Za dobru sifru je dovoljno par redova koda za program koji ce sam da je generise u RANDOM stilu sa par opcija koje korisnik odredi. Upravo sam to uradio u GameMaker Studio programu. Moze i opcija da pamti one koje si odlucio da koristis.

Mnogo se ovde priča napamet i barata istorijskim prevaziđenim podacima. Ideja da je 8 kombinovanih karaktera dovoljno bezbedno potiče od pre više decenija i danas je svi ponavljaju kao deo opšteg znanja. Nažalost to uopšte nije tačno. Svaka lozinka od 10 malih slova bazbednija je oko 1000 puta. Ona od 12 malih slova - milion puta. Ko ne veruje može i sam da proračuna broj kombinacija.
(Mala bara, 16. decembar 2020 14:13)

Netačno. Šifra od 10 malih slova, ako se koriste slova engleskog alfabeta, "jača" je od šifre koja ima 8 malih slova tačno 26x26 puta, odnosno 676 puta. Šifra od 12 malih slova jača je u odnosu na tu od 8 malih slova tačno 456 976 puta, dakle daleko manje od milion puta kako ti tvrdiš.



Za bruteforce je nebitna kompleksnost lozinke, samo dužina.
(jednooki u carstvu slepih, 16. decembar 2020 14:43)

Stvarno, pa koliko kombinacija moraš da probaš ako imaš šifru od 10 malih slova, a koliko ako imaš šifru od 10 karaktera koja može sadržati i mala i velika slova?



Kakav strucnjak...
...svi ti koji se bave sigurnosti nemaju u stvari POJMA sa zivotom. Jer nikada nisu radili IT posao...
Na primer lozinka mojalozinka je isto tako laka kao i moja*lozinka. (DaLanik, 16. decembar 2020 20:40)


E, bitno je da si ti stručnjak i da si radio IT posao. Teško kompaniji gde si ga ti radio.
Taj tvoj primer "lozinke" sa zvezdicom između dve reči jeste lak kad ZNAŠ koje su reči, hajde sad pogodi šifru ako je korisnik iz Egipta ili Indije!

Većina komentatora je promašila poentu, gotovo nigde više nije moguće "brute force" metodom pokušavati logovanje, jer će sistem blokiratu vašu IP adresu ako određen broj puta promašite šifru (npr. budete blokirani nakon 5 pokušaja), stalno ili na određen period, recimo 15 minuta.


Šifre se uglavnom razbijaju ako se ukrade baza u kojoj se čuvaju šifre. Ali, šifre se uglavnom čuvaju enkriptovane, ali pomoću HEŠ funkcije (pa se postupak naziva heširanje) kod koje je nemoguće unazad izračunati šifru, već se šifra mora pogađati računanjem heš vrednosti za sve moguće šifre dok se ne dobije ista heš vrednost.

Bezbednost sistema se ne povećava tako što se poveća dužina šifre niti složenost, jer za mnoge kombinacije karaktera postoje tabele izračunatih heš vrednosti.

Zato se šifri dodaje neki niz karaktera, a potom se sve to zajedno hešira, ali ako se za svaku šifru dodaje isti niz karaktera, opet nema previše smisla, jer će 2 iste šifre opet davati isti rezultat pri heširanju.

Zato se svakoj šifri dodaje različit niz karaktera (tzv. salt), na primer e-mail korisnika, pošto je za svakog korisnika različit), tako da i kada više korisnika ima istu šifru, heš koji se računa i čuva u bazi biće različit.


Na taj način, čak i da neko dođe do heševa iz baze, malo šta može uraditi sa njima, osim ako su korišćene relativno jednostavne šifre za koje se relativno brzo računaju heš vrednosti, a napadač računa da ti korisnici koriste istu šifru i za e-banking i sl.

E moj “stručnjače”. Ja sam, sasvim slučajno malo informisaniji od tebe i ta tvoja lozinka od 25 karaktera je jednostavna za dešifovati svakim ozbiljnijim alatom kao i ona od 1.

Enkapsulacija grabi 8 karaktera i svaka dobra lozinka treba da ima broj karaktera deljiv za 8. Lozinka od 9 karaktera je jako lagana za “provaliti” pa tako i ta tvoja od 25.

Kada mi je bas bitna lozinka pravim je tako sto neka slova menjam brojevima i onda ta lozinka meni ima smisla, a ako je gleda neko drugi bas i ne. Recimo omiljeni fudbaler vam je Kristijano Ronaldo koji nosi br. 7 na ledjima. Sifra bi bila Kr15t1j4n0R0n4ld07.

sokic nije cuo za velika slova, brojeve, specijalne karaktere ... ovu sifru mu nece prihvatiti nijedan ozbiljan servis ... a da ne pricam o tome da npr pojedini microsoft servisi prihvataju lozinke do maksimum 16 karaktera ... jak mi strucnjak

Lozinka bez brojeva i znakova interpunkcije je neozbiljna.

Lozinka od 25 malih slova je slabija od lozinke sa jednim malim, jednim velikim slovom, jednim brojem i jednim specijalnim znakom. Zasto? Pitaj uciteljicu!

Dovoljno je i 8-10 karaktera ako se razmišlja o tome šta se piše. Ali za 99% ljudi vrhunac visprenosti je dodavanje 321 umesto 123 na kraju imena deteta ili psa. Inače najjača lozinka je kombinacija random reči. Ne postoji algoritam koji to može da provali.

Ovo stručnjak za sajber bezbednost?! Aaa, iz HR je. Možda tamo jeste. Bar me je malo nasmejao. :)

Kao što neko reče, nikakva šifra vas ne može spasiti ako je ukradena baza ili ako imate trojan/keylogger na računaru. Zato uključite 2FA gde god je moguće/vam je bitno.

Kakav strucnjak. Naravno da je lozinka sa velikim slovima i specijalnim znakovima sigurnija od lozinke sa malim slovima. Ali svi ti koji se bave sigurnosti nemaju u stvari POJMA sa zivotom. Jer nikada nisu radili IT posao, samo su citali sigurnosne biltene, a u praksi ne znaju ama bas nista. Lozinka koja se sastoji od fraza je izuzetno laka da se provali. Zato nikada ne treba davati reci ni fraze. To sto reci nemaju veze jedna sa drugom - pa ni kompjuteru nemaju veze, on ima recnik pomocu koga isproba sve kombinacije. A i to da ima specijalni znak - recite iskreno koje to specijalne znakove stavljaju korisnici? Ima ih par zbog same tastature, ko ce da sa maltretira i stavljaju se na kraj ili izbedju fraza tj reci. Tako da ni to sve nije problem provaliti. Na primer lozinka mojalozinka je isto tako laka kao i moja*lozinka. Menjanje lozinki u praksi je isto tako glupost. Danas svako ima desetine lozinki, ja kao IT imam mozda i oko 100 - ko bi to sve zapamtio. Samo ce ljudi zapisivati lozinke. Sve to sluzi samo da bi neko zaradjivao pare. I maltretirao korisnike. Ni kada sam imao lozinku od 5 karaktera ni sada sa 10 mi nikada niko nije provalio lozinku nigde. To je sve sigurnosna mafija koja zivi od toga da plasi ljude jer dobijaju pare za softver, kurseve i slicno. Sad svaki put kad ovorim Autluk morad na drugi kraj sobe (tamo se puni mobil) da potvrdim drugi faktor. Serem im se u ton film. Ovaj, faktor.

Nema odbrane ukoliko je baza lozinki ukradena!

Sigurna lozinka je svaka koja ima kombinovana velika i mala slova, brojeve i specijalne znake i dužine je bar 8 karaktera.

Aj vi strucnjaci napravite siguran sistem, a ne da ceorkate po nekom kodu i dajete izjave za novine.

Dobra lozinka je bilo koja ako je povezana sa našim brojem telefonom, jer tada lozinku moraš da potvrdiš sa novom lozinkom koju dobiješ putem sms poruke i nikada nije ista.

Za bruteforce je nebitna kompleksnost lozinke, samo dužina. Microsoft nije nikakvo ozbiljno merilo za bilo šta osim za laike. Najbitnija je multifaktorska autentikacija i/ili relativna česta izmena lozinki uz održavanje sistema koje podrazumeva zaštitu i otklanjanje ranjivosti. I da naravno - da nema backdoor što isključuje Microsoft iz svake ozbiljne priče...

a jel strucnjak zna procenat sistema u koje su upali provalom lozinki putem brute force metodea procenat gde se u sistem uslo na potpuno drugi nacin koji nema veze sa lozinkom?

Dužinu lozinke sam odredio tako što sam odlučio da broj slova bude jednak dužini mog vršnjaka. Dakle 12 slova..

Kakva glupost

Upravo Microsoft naterava na lozinku sa kombinacijom malih + velikih slova + brojeva + specijalnih karaktera

Mnogo se ovde priča napamet i barata istorijskim prevaziđenim podacima. Ideja da je 8 kombinovanih karaktera dovoljno bezbedno potiče od pre više decenija i danas je svi ponavljaju kao deo opšteg znanja. Nažalost to uopšte nije tačno. Svaka lozinka od 10 malih slova bazbednija je oko 1000 puta. Ona od 12 malih slova - milion puta. Ko ne veruje može i sam da proračuna broj kombinacija.
Dugačke lozinke od malih slova ( stihovi, rečenice, izreke, citati...) se mnogo lakše pamte nego lozinke kombinovane od slova i različitih karaktera, što dodaje i još jedan sloj bezbednosti, jer je manje verovatno da će ljudi takve lozinke zapisivati na papiriće i sejati okolo.

što bi bila fraza nepovezanih reči sigurnije od 10 karaktera svaga ponešanog?
Danas google i microsoft imaju baze sve reči celog sveta zahvaljući svojim tastaturama za mobilne telefone i ljudima koji dele to sa googlom radi "pobošanja" kvaltita "tastature" da bi nam u budućnosti još lakše pisali i unosili reči dok pišemo poruke sa telefonom.
Sa tim bazama reči, lako će izvrteti sve kombinacije.

Za dobru sifru je dovoljno par redova koda za program koji ce sam da je generise u RANDOM stilu sa par opcija koje korisnik odredi. Upravo sam to uradio u GameMaker Studio programu. Moze i opcija da pamti one koje si odlucio da koristis.

Kompleksna lozinka nema sta!

mada je lozinka od 26 znakova znatno sigurnija od one sa 25 - ali najbolje su se pokazale one sa 1349 znakova, njih ni oni koji su ih postavili najcesce ne mogu da pnovo unesu tacno

Strucknjak otkrio neverovatnu stvar. Dugacke sifre su sigurnije od kratkih. Internet je eksplodirao.

Vazi, strucnjace :) Pojednostavljeno jako. Vi, ipak, ukoliko zelite "sigurnu" lozinku, koristite kombinaciju broja, slova (lower&upper case) i specijalnih karaktera. Sto vise karaktera, to bolje. I nije stvar dal ce vam sifra biti "provaljena" vec koliko ce dugo biti za to potrebno, ukoliko bi neko stvarno radio na tome. Phishing/virushchine i ne razmisljanje ljudi + hakovanja lose zasticenih baza podataka su mnogo veci uzroci "gubljenja" lozinke/sticanja neovlascenog pristupa nego lose sifre korisnika... to jedino da vam partner/deca ne provale sifru pa upadnu na fb i nastane spektakl kad se dokopaju prepisivanja.

"duzina je bitna"...

17-18 cm

što bi bila fraza nepovezanih reči sigurnije od 10 karaktera svaga ponešanog?
Danas google i microsoft imaju baze sve reči celog sveta zahvaljući svojim tastaturama za mobilne telefone i ljudima koji dele to sa googlom radi "pobošanja" kvaltita "tastature" da bi nam u budućnosti još lakše pisali i unosili reči dok pišemo poruke sa telefonom.
Sa tim bazama reči, lako će izvrteti sve kombinacije.
(Necko, 16. decembar 2020 14:45)

Zato što samo srpski jezik ima x hiljada reči. Ne postoji algoritam koji bi brutoforce metodom to mogao ne da probije nego i da skonta ono što bi trebalo da provali. Plus staviš mala velika slova i broj, šifra koju je nemoguće probiti. Inače je wordlist za bruteforce za jednu običnu šifru koju koristim teška preko 150gb. Uneti ključni pojmovi. A ja sam znao koja mi je šifra i šta otprilike da unesem u program. Kako bi ti uopšte prišao blizu moje šifre? Evo ti primer horSeairPl4necombinedforce

Napravi wordlistu za to...

aha, osim što 99% sajtova traži bar jedno veliko slovo, broj i specijalni znak, pa ti pjevaj.

pilepikcepipikcedoknedopikcedokuce

Sta znaju stranci sta je srpski jezik i njegovo bogatsvo 😁

Najbolja lozinka je edukacija ljudi, kako da prepoznaju i da izbegnu socijalni inženjering, u suprotnom ni najbolja lozinka ih neće zaštititi.
U firmama, najlakše se ulazi kroz sektor koji nije IT (sekretarica, spremačica pa čak i HR). A to sve bez njihovog znanja.

jer duzina je bitna...

@informatičar Mogu da ukradu bazu lozinke koliko hoće. Šifre se čuvaju enkriptovane u bazi.

svaku lozinku je moguce probiti, samo je pitanje vremena sto zavisi od toga koliko je "jak" racunar sa koga to pokusavate, preko kvantnog racunara brutforce ce npr trajati 2 sata a preko toga sto vi imate kuci 5000 godina ;)

Lozinka?

Kum ruzvelt
upadaj

Mnogo se ovde priča napamet i barata istorijskim prevaziđenim podacima. Ideja da je 8 kombinovanih karaktera dovoljno bezbedno potiče od pre više decenija i danas je svi ponavljaju kao deo opšteg znanja. Nažalost to uopšte nije tačno. Svaka lozinka od 10 malih slova bazbednija je oko 1000 puta. Ona od 12 malih slova - milion puta. Ko ne veruje može i sam da proračuna broj kombinacija.
(Mala bara, 16. decembar 2020 14:13)

Netačno. Šifra od 10 malih slova, ako se koriste slova engleskog alfabeta, "jača" je od šifre koja ima 8 malih slova tačno 26x26 puta, odnosno 676 puta. Šifra od 12 malih slova jača je u odnosu na tu od 8 malih slova tačno 456 976 puta, dakle daleko manje od milion puta kako ti tvrdiš.



Za bruteforce je nebitna kompleksnost lozinke, samo dužina.
(jednooki u carstvu slepih, 16. decembar 2020 14:43)

Stvarno, pa koliko kombinacija moraš da probaš ako imaš šifru od 10 malih slova, a koliko ako imaš šifru od 10 karaktera koja može sadržati i mala i velika slova?



Kakav strucnjak...
...svi ti koji se bave sigurnosti nemaju u stvari POJMA sa zivotom. Jer nikada nisu radili IT posao...
Na primer lozinka mojalozinka je isto tako laka kao i moja*lozinka. (DaLanik, 16. decembar 2020 20:40)


E, bitno je da si ti stručnjak i da si radio IT posao. Teško kompaniji gde si ga ti radio.
Taj tvoj primer "lozinke" sa zvezdicom između dve reči jeste lak kad ZNAŠ koje su reči, hajde sad pogodi šifru ako je korisnik iz Egipta ili Indije!

Većina komentatora je promašila poentu, gotovo nigde više nije moguće "brute force" metodom pokušavati logovanje, jer će sistem blokiratu vašu IP adresu ako određen broj puta promašite šifru (npr. budete blokirani nakon 5 pokušaja), stalno ili na određen period, recimo 15 minuta.


Šifre se uglavnom razbijaju ako se ukrade baza u kojoj se čuvaju šifre. Ali, šifre se uglavnom čuvaju enkriptovane, ali pomoću HEŠ funkcije (pa se postupak naziva heširanje) kod koje je nemoguće unazad izračunati šifru, već se šifra mora pogađati računanjem heš vrednosti za sve moguće šifre dok se ne dobije ista heš vrednost.

Bezbednost sistema se ne povećava tako što se poveća dužina šifre niti složenost, jer za mnoge kombinacije karaktera postoje tabele izračunatih heš vrednosti.

Zato se šifri dodaje neki niz karaktera, a potom se sve to zajedno hešira, ali ako se za svaku šifru dodaje isti niz karaktera, opet nema previše smisla, jer će 2 iste šifre opet davati isti rezultat pri heširanju.

Zato se svakoj šifri dodaje različit niz karaktera (tzv. salt), na primer e-mail korisnika, pošto je za svakog korisnika različit), tako da i kada više korisnika ima istu šifru, heš koji se računa i čuva u bazi biće različit.


Na taj način, čak i da neko dođe do heševa iz baze, malo šta može uraditi sa njima, osim ako su korišćene relativno jednostavne šifre za koje se relativno brzo računaju heš vrednosti, a napadač računa da ti korisnici koriste istu šifru i za e-banking i sl.

@(ankh, 16. decembar 2020 18:28)

Ta tvoja sifra se sastoji iz 5 reci "horSe" "air" "Pl4ne" "combined" "force" koje postoje u svakoj bazi wordlista.
Svako ko se imalo razume u entropiju sifri nikada nece koristiti poznate reci. Daleko je bolje resenje izmisliti recenicu, pa uzeti prva slova i izmedju dodati par brojeva i znakova interpunkcije. Drugim recima lako za pamcenje, a nijedna rec iz word lista.

aha, osim što 99% sajtova traži bar jedno veliko slovo, broj i specijalni znak, pa ti pjevaj.
(A-SA, 16. decembar 2020 12:15)

Meni je odmah ovo isto palo na pamet... možeš i 55 slova da staviš, ne može, mora bar jedno veliko i jedan broj, a kao što si rekao mora često i neki znak.
Znači ne može lozinkalozinkalozinka nego bi moralo da bude Lozinka1lozinka/lozinka