Для системы подбора паролей hashcat (http://hashcat.net/hashcat) подготовлен (https://www.praetorian.com/blog/hob064-statistics-based-pass...) набор правил (https://github.com/praetorian-inc/Hob0Rules), учитывающий статистически наиболее вероятные способы формирования паролей и типовые шаблоны компоновки паролей сотрудниками предприятий.

Например, на предприятиях часто введена практика ежеквартального принудительной смены паролей, в ответ на которую многие сотрудники  увеличивают определённое число в пароле или добавляют к паролю название месяца или времени года. Предложенные правила учитывают подобное поведение, что позволяет (https://www.praetorian.com/blog/statistics-will-crack-your-p...) заметно поднять вероятность успешного подбора. Второй набор включает данные, полученные в результате применения методов машинного обучения к крупной коллекции паролей. На основе выявленных зависимостей в структуре паролей были выделены наиболее успешно срабатывающие правила подбора.

URL: https://www.praetorian.com/blog/hob064-statistics-based-pass...
Новость: http://www.opennet.me/opennews/art.shtml?num=43865

• Представлен набор правил для подбора паролей на основе стати...,_, 00:45 , 13-Фев-16
  • Представлен набор правил для подбора паролей на основе стати...,Аноним, 01:15 , 13-Фев-16
    • Представлен набор правил для подбора паролей на основе стати...,Crazy Alex, 04:01 , 13-Фев-16
      • Представлен набор правил для подбора паролей на основе стати...,Вареник, 07:52 , 13-Фев-16
    • Представлен набор правил для подбора паролей на основе стати...,pavlinux, 01:38 , 14-Фев-16
      • Представлен набор правил для подбора паролей на основе стати...,Аноним, 20:58 , 14-Фев-16
• Представлен набор правил для подбора паролей на основе стати...,Sw00p aka Jerom, 01:39 , 13-Фев-16
  • Представлен набор правил для подбора паролей на основе стати...,Аноним, 02:14 , 13-Фев-16
    • Представлен набор правил для подбора паролей на основе стати...,Sw00p aka Jerom, 03:04 , 13-Фев-16
      • Представлен набор правил для подбора паролей на основе стати...,Аноним, 09:09 , 13-Фев-16
        • Представлен набор правил для подбора паролей на основе стати...,Аноним, 11:09 , 13-Фев-16
        • Представлен набор правил для подбора паролей на основе стати...,pavlinux, 01:43 , 14-Фев-16
          • Представлен набор правил для подбора паролей на основе стати...,Аноним, 04:57 , 14-Фев-16
            • Представлен набор правил для подбора паролей на основе стати...,Sw00p aka Jerom, 20:18 , 14-Фев-16
        • Представлен набор правил для подбора паролей на основе стати...,Sw00p aka Jerom, 01:56 , 14-Фев-16
          • Представлен набор правил для подбора паролей на основе стати...,Аноним, 04:58 , 14-Фев-16
• Представлен набор правил для подбора паролей на основе стати...,Отражение луны, 02:31 , 13-Фев-16
  • Представлен набор правил для подбора паролей на основе стати...,Crazy Alex, 04:06 , 13-Фев-16
    • Представлен набор правил для подбора паролей на основе стати...,10й Брейтовский переулок, 08:16 , 13-Фев-16
      • Представлен набор правил для подбора паролей на основе стати...,Аноним, 11:12 , 13-Фев-16
        • Представлен набор правил для подбора паролей на основе стати...,., 21:28 , 14-Фев-16
      • Представлен набор правил для подбора паролей на основе стати...,Аноним, 21:11 , 14-Фев-16
  • Представлен набор правил для подбора паролей на основе стати...,Аноним, 21:04 , 14-Фев-16
• Представлен набор правил для подбора паролей на основе стати...,Аноним, 11:45 , 13-Фев-16
  • Представлен набор правил для подбора паролей на основе стати...,Нанобот, 11:36 , 14-Фев-16
    • Представлен набор правил для подбора паролей на основе стати...,Аноним, 00:50 , 16-Фев-16

Чем всё кончится если с этим переборщить - тоже известно. Начнут записывать на бумажках, и вся ваша "секурити" пойдёт в дупу.

У половины клерков пароль под клавиатурой и известен минимум всему отделу.

Новость то в чем? Где утилиты для подбора паролей с этими алгоритмами и т д? Про всякие радужные таблицы все давно наслышаны, а толку? Если тестировать пароль на сложность всякимим алгоритмами, то клерк вообще не придумает пароль или не запонмит придуманное никогда.

Как ни странно, если защищаемся от внешних вторжений, а не от "крота", то бумажка под клавиатурой - хороший, надёжный метод.

От крота вообще ничего не защищает. Супруги Розенберги не дадут соврать.

Меры "от крота" всего лишь приводят к тому что сотрудник понятия не имеет чем занимается соседний отдел (делает вид, конечно), новый сотрудник не может найти в городе "ящик", куда его распределили, пока не спросит мальчишек где секретный авиазавод и где дырка в заборе.

> Где утилиты для подбора паролей с этими алгоритмами и т д?

Шо, криптокидиз-школота ниасилит написать рулезы с John-the-Ripper?  

в нем работа с GPU где-то в глубокой ж... бете, а oclhashcat на гитхабе, официально.

Для системы подбора паролей

ващето, система подбора хеша пароля

>ващето

вообще-то
>система подбора хеша пароля

хаксор, прямо хаксор, может восстановление пароля по хэшу?

>может восстановление пароля по хэшу?

ващето хеш функция - не обратима.

и нету тут ни какого процесса восстановления, есть только

1) вычисление хеш функции от предполагаемого пароля
2) сравнение результата с имеющимся значением хеша от не известного пароля

> ващето

для особо тупых пишется вообще-то
> хеш функция - не обратима.

Спасибо кэп
> и нету тут ни какого процесса восстановления

Ты не только писать не умеешь, но и читать?
Advanced CPU-based password recovery utility https://hashcat.net/hashcat
> 2) сравнение результата с имеющимся значением хеша от не известного пароля

Ты сам то понял что написал?

не хочет != не умеет

>> 2) сравнение результата с имеющимся значением хеша от не известного пароля
> Ты сам то понял что написал?

Тупак чтоль?

Утиль генерит хэш и сравнивает его со подбираемым.  

for i in  `seq 1 10`;
    do
       echo $i | sha1sum;
done;

> Утиль генерит хэш и сравнивает его со подбираемым.  

Вот это нормальное описание. В отличии от товарища выше.

человек, который в теме с полуслова поймёт то, что я имел ввиду, а не придирался бы ко всяким "ващето" и тд.  

int compare_digest_plain      (const void *p1, const void *p2);
int compare_digest_md5        (const void *p1, const void *p2);
int compare_digest_sha1       (const void *p1, const void *p2);
int compare_digest_mysql      (const void *p1, const void *p2);
int compare_digest_md4        (const void *p1, const void *p2);
int compare_digest_sha256     (const void *p1, const void *p2);
int compare_digest_sha512     (const void *p1, const void *p2);
int compare_digest_descrypt   (const void *p1, const void *p2);
int compare_digest_keccak     (const void *p1, const void *p2);
int compare_digest_netntlmv1  (const void *p1, const void *p2);
int compare_digest_gost       (const void *p1, const void *p2);
int compare_digest_bcrypt     (const void *p1, const void *p2);

Иди в лес деточка, ты еще про коллизии забыл сказать.

Все это крайне большая тупость, ибо про бумажки было замечено верно и не раз. Карты нужны, карты. И интеллектуальная централизованная система контроля, которая будет ставить под сомнение любое противоречие.

Если у сотрудников есть возможность заходить в системы компании снаружи, то лучше бумажки, чем предсказуемые пароли.

Звонок другу из дома: Маш, посмотри, что там у меня под клавой написано, не могу зайти отчет сбацать. :)

> Звонок другу из дома: Маш, посмотри, что там у меня под клавой
> написано, не могу зайти отчет сбацать. :)

- Катя, а почему у тебя такой голос низкий?
- Кхе-кхе.... так это я простудиась
- а почему номер определился московский?
- ....

Тебя послушать - та у всяких МММ и других лохотронов не ни единного шанса! А в реальности ... :-\

У них лучше - https://www.xkcd.com/416/

> Карты нужны, карты.

Не забудь проверить как карты сделаны, т.к. халтура там везде. Популярный в rfid'ах mifare - обеспечит тебе "надежную" защиту. Ключом в 48 битов.

А ежели заморочки доходят до таких высот, то не лучше ли на этом этапе взяться за шмарткарты?

Так это ж денег стоит. А заставить сотрудников исполнять маразматичные правила безопасности - бесплатно

Не только бесплатно, но ещё и очень весело!