Когда пароль могут сбросить а когда прочитать ?

@Z80U · Регистрация: 13.11.2016

Author24 — интернет-сервис помощи студентам

Я небольшой коллектив отучаю применять ценные сложные пароли где ни попадя, имею ввиду практику
ставить хороший пароль крепко сидящий в голове на слабые системы, где его прочитают и применят в отношении
других ресурсов.

Например пароль на вход в Виндоус 7 или Виндоус 10 как я понимаю снять легко, правда не знаю как но неважно.
Но вопрос, его именно узнает злодей и вводит или просто стирает и получает доступ, или может и вовсе в обход
операционки грузится со флешки и находит хэш пароля а потом вскрывает радужными таблицами ?

И далее браузер, допустим он закрыт но на диске небось могут найти хэши паролей от тех ящиков почты в которых
пользователь залогинился ? Значит защита это или RoboForm и подобные хранители паролей, или зашифровать
системный диск ?

Рыжий Лис · 05.01.2020, 17:48

Никому ваши пароли не нужны. Единственный способ, которым они могут утечь: листик под клавиатурой или программный/аппаратный логгер клавиатуры.

Если нужно украсть данные - правильно пишите, грузятся с флешки и копируют файлы. Или сбрасывают пароль администратора. Никто не будет подбирать пароль, если можно поставить свой. Точно так же могут скопировать профили браузеров (со всеми сохранёнными паролями).

Как защищаться?
1) не пользоваться автосохранением в браузерах
2) хранить пароли в криптоконтейнерах (например, Keepass).
3) шифровать жёсткие диски в том числе с ОС.

Dmitry · 05.01.2020, 18:04

жил был мужичок. "лабух" (так называли тех, кто на разных мероприятиях танцульки устраивал. по мере роста (зарабатывания денег) "рос" и аккомпанимировавший ему девайс. и вот, в эпоху обладания мини-дисковой декой, повелся мужчок на чьи-то уговоры о том, что "ноут однозначно круче". сказано - сделано! купил мужичок ноутбук, какими-то "правдами-неправдами" насыпал на него кучу минусовок, и "ринулся в бой" с новым гаджетом, слава богу, винампом треки менять его тоже кто-то научил...
однажды посреди нового праздника жизни встретился мужичок с кумом, и похвастался ему своей обновкой. кум оказался "продвинутым чайником", объяснил мужичку, что винда без пароля - не кошерное блюдо. и вот после третьей, или после пятой, они с кумом таки поставили пароль на этот злосчастный ноут! после пятой была и десятая, и пятнадцатая, короче говоря, будун на утро был неслабый у обоих. а главное - НИКТО из них не помнил, какой именно пароль они прилепили на винду!
и прибежал мужичок с таким отчаяньем в глазах и воплями "помогите", что аж у нас слезы наворачивались. сняли мы ему пароль. и сказали, "слава богу, не понесло вас на пьяную голову диски шифровать, биос паролить, винту в биосе пароль ставить, и прочие подобные умности вытворять (короче говоря, кум хоть и продвинутый был, но все-же - чайник)!

зы. выводы делайте сами...

Рыжий Лис · 05.01.2020, 18:34

Не по теме:

Я могу рассказать грустную историю, как я переустанавливал ОС на машинке с паролем на биосе. Грузится только с первого жёсткого диска. Порядок загрузки изменить нельзя. С флешки загрузиться нельзя. Пароль никто не помнит. Пароль от вытаскивания батарейки из материнки не сбрасывается. Другой машины рядом нет. Но есть переходник usb-sata и виртуальная машина...

@Z80U · 07.01.2020, 00:40 **[ТС]**

В общем, я правильно понимаю что можно не опасаться за расшифровку пароля на Винде, его могут только сбросить ? В данной теме я вообще не подразумеваю вопрос сохранности и конфиденциальности данных, речь только о том что ценность для представляет сам пароль, являясь длинным, качественным и хорошо сидящим в памяти хомо сапиенса.

Рыжий Лис · 07.01.2020, 07:31

Вроде, да. Даже самые примитивные системы аутентификации не хранят пароль в открытом виде, а его хеш. Да ещё и с солью. Обратно восстановить его невозможно, кроме как перебором.

И конечно же пароль от входа в ОС не должен больше нигде использоваться.

@Z80U · 07.01.2020, 15:42 **[ТС]**

Сообщение от Рыжий Лис

И конечно же пароль от входа в ОС не должен больше нигде использоваться.

Мне педагогических способностей не хватает чтобы вбить это всем в головы

Сообщение от Рыжий Лис

Даже самые примитивные системы аутентификации не хранят пароль в открытом виде, а его хеш. Да ещё и с солью.

Но небось эти добавки в пароль перед хэшированием регулярно утекают, но правда я лично не слышал про то чтобы пароли от винды узнавали а не сбрасывали. Но я непостоянно IT интересуюсь.

Рыжий Лис · 07.01.2020, 16:07

Соль храниться в открытом виде, потому что её бессмысленно как-то прятать. Добавление соли усложняет вычисление хеша при слабых паролях. Пример:

соль=112233
пароль=12345

хеш(пароль) = хеш(12345) = 3432423 (есть в справочниках)
хеш(пароль+соль) = хеш(12345112233) = 454545458
хеш(пароль+соль) = хеш(12345112231) = 125665478 (немного меняем соль и хеш меняется непредсказуемо).

Ещё соль позволяет усложнить подбор паролей при массовых утечках. Если не солить, то одинаковые пароли будет давать одинаковый хеш.

Вот реальный пример хранения пароля:

Bash

1 2	$ openssl passwd -6 -salt xyz yourpass $6$xyz$VKswtvLoVpOLcpjDMIFXhxa8ukqqKSKHjcPBLZUk9NxWldmlFQY4stUGo.QjEhav7mp86ih2PRqYPqjkhWi5y.

Note: passing -1 will generate an MD5 password, -5 a SHA256 and -6 SHA512 (recommened)

Добавлено через 1 минуту

Код

$6$xyw$NElEl2whs51ifelGOiycusSb0mMPe/yrlc2iQD/QB0AcTWclCvyROTSm2VCLVTflKCmNsiEFP8U/E0oPuJo4q/

6 - тип хеша (SHA512)
xyw - соль в открытом виде
остальное - хеш.

@WH · 08.01.2020, 06:33

Сообщение от Рыжий Лис

И конечно же пароль от входа в ОС не должен больше нигде использоваться.

В корпоративных сетях он же, как правило, и пароль от корпоративной почты. А почтовый сервер часто имеет web страницу.

Рыжий Лис · 08.01.2020, 12:42

Это если машинке в домене. Тогда да. И от прокси/джаббера/почты/чего угодно.

@gdodin · 15.01.2020, 11:43

Сообщение от Z80U

Я небольшой коллектив отучаю применять ценные сложные пароли где ни попадя, имею ввиду практику
ставить хороший пароль крепко сидящий в голове на слабые системы, где его прочитают и применят в отношении
других ресурсов

Как правило пароль, хорошо сидящий в голове, легче всего расколоть.

Рыжий Лис · 15.01.2020, 11:45

gdodin, не знаете про "сорок обезьян"? Или: https://xkcd.ru/936/

Сложные пароли != сложно запоминаемые.

@WH · 18.01.2020, 09:14

Есть определенные методики создания достаточно сложных паролей, но при этом они становятся запоминаемыми если человек использует определенный алгоритм его составления. Другое дело, что сложно придумать и запомнить так сразу много разных паролей.
В связи с этим на мой взгляд кажется порочной практика многих контор на частую смену паролей, например 1 раз в месяц. В результате человек плюет на создание сложных паролей, придумывает что-то типа zxc111, а после, когда нужно сменить пароль, просто меняет последнюю цифорку. А бывает и такое, что у многих людей, например в какой-то отдельной службе, дабы не забыть вообще один и тот же пароль, и меняют то же так сказать "коллективно".

@Z80U 0 / 0 / 0 Регистрация: 13.11.2016 Сообщений: 39
		1
	Когда пароль могут сбросить а когда прочитать ? 04.01.2020, 20:30. Показов 829. Ответов 12 Метки нет (Все метки) Я небольшой коллектив отучаю применять ценные сложные пароли где ни попадя, имею ввиду практику ставить хороший пароль крепко сидящий в голове на слабые системы, где его прочитают и применят в отношении других ресурсов. Например пароль на вход в Виндоус 7 или Виндоус 10 как я понимаю снять легко, правда не знаю как но неважно. Но вопрос, его именно узнает злодей и вводит или просто стирает и получает доступ, или может и вовсе в обход операционки грузится со флешки и находит хэш пароля а потом вскрывает радужными таблицами ? И далее браузер, допустим он закрыт но на диске небось могут найти хэши паролей от тех ящиков почты в которых пользователь залогинился ? Значит защита это или RoboForm и подобные хранители паролей, или зашифровать системный диск ? 0

Рыжий Лис Просто Лис 5706 / 3509 / 1051 Регистрация: 17.05.2012 Сообщений: 10,321 Записей в блоге: 9
	05.01.2020, 17:48	2
	Никому ваши пароли не нужны. Единственный способ, которым они могут утечь: листик под клавиатурой или программный/аппаратный логгер клавиатуры. Если нужно украсть данные - правильно пишите, грузятся с флешки и копируют файлы. Или сбрасывают пароль администратора. Никто не будет подбирать пароль, если можно поставить свой. Точно так же могут скопировать профили браузеров (со всеми сохранёнными паролями). Как защищаться? 1) не пользоваться автосохранением в браузерах 2) хранить пароли в криптоконтейнерах (например, Keepass). 3) шифровать жёсткие диски в том числе с ОС. 0

Dmitry 13009 / 7401 / 800 Регистрация: 09.09.2009 Сообщений: 28,968
	05.01.2020, 18:04	3
	жил был мужичок. "лабух" (так называли тех, кто на разных мероприятиях танцульки устраивал. по мере роста (зарабатывания денег) "рос" и аккомпанимировавший ему девайс. и вот, в эпоху обладания мини-дисковой декой, повелся мужчок на чьи-то уговоры о том, что "ноут однозначно круче". сказано - сделано! купил мужичок ноутбук, какими-то "правдами-неправдами" насыпал на него кучу минусовок, и "ринулся в бой" с новым гаджетом, слава богу, винампом треки менять его тоже кто-то научил... однажды посреди нового праздника жизни встретился мужичок с кумом, и похвастался ему своей обновкой. кум оказался "продвинутым чайником", объяснил мужичку, что винда без пароля - не кошерное блюдо. и вот после третьей, или после пятой, они с кумом таки поставили пароль на этот злосчастный ноут! после пятой была и десятая, и пятнадцатая, короче говоря, будун на утро был неслабый у обоих. а главное - НИКТО из них не помнил, какой именно пароль они прилепили на винду! и прибежал мужичок с таким отчаяньем в глазах и воплями "помогите", что аж у нас слезы наворачивались. сняли мы ему пароль. и сказали, "слава богу, не понесло вас на пьяную голову диски шифровать, биос паролить, винту в биосе пароль ставить, и прочие подобные умности вытворять (короче говоря, кум хоть и продвинутый был, но все-же - чайник)! зы. выводы делайте сами... 1

Рыжий Лис
	05.01.2020, 18:34 #4
	Не по теме: Я могу рассказать грустную историю, как я переустанавливал ОС на машинке с паролем на биосе. Грузится только с первого жёсткого диска. Порядок загрузки изменить нельзя. С флешки загрузиться нельзя. Пароль никто не помнит. Пароль от вытаскивания батарейки из материнки не сбрасывается. Другой машины рядом нет. Но есть переходник usb-sata и виртуальная машина... 0

@Z80U 0 / 0 / 0 Регистрация: 13.11.2016 Сообщений: 39
	07.01.2020, 00:40 [ТС]	5
	В общем, я правильно понимаю что можно не опасаться за расшифровку пароля на Винде, его могут только сбросить ? В данной теме я вообще не подразумеваю вопрос сохранности и конфиденциальности данных, речь только о том что ценность для представляет сам пароль, являясь длинным, качественным и хорошо сидящим в памяти хомо сапиенса. 0

Рыжий Лис Просто Лис 5706 / 3509 / 1051 Регистрация: 17.05.2012 Сообщений: 10,321 Записей в блоге: 9
	07.01.2020, 07:31	6
	Вроде, да. Даже самые примитивные системы аутентификации не хранят пароль в открытом виде, а его хеш. Да ещё и с солью. Обратно восстановить его невозможно, кроме как перебором. И конечно же пароль от входа в ОС не должен больше нигде использоваться. 0

@Z80U 0 / 0 / 0 Регистрация: 13.11.2016 Сообщений: 39
	07.01.2020, 15:42 [ТС]	7
	Сообщение от Рыжий Лис И конечно же пароль от входа в ОС не должен больше нигде использоваться. Мне педагогических способностей не хватает чтобы вбить это всем в головы Сообщение от Рыжий Лис Даже самые примитивные системы аутентификации не хранят пароль в открытом виде, а его хеш. Да ещё и с солью. Но небось эти добавки в пароль перед хэшированием регулярно утекают, но правда я лично не слышал про то чтобы пароли от винды узнавали а не сбрасывали. Но я непостоянно IT интересуюсь. 0

@WH 1577 / 807 / 189 Регистрация: 10.09.2013 Сообщений: 3,197 Записей в блоге: 3
	08.01.2020, 06:33	9
	Сообщение от Рыжий Лис И конечно же пароль от входа в ОС не должен больше нигде использоваться. В корпоративных сетях он же, как правило, и пароль от корпоративной почты. А почтовый сервер часто имеет web страницу. 0

Рыжий Лис Просто Лис 5706 / 3509 / 1051 Регистрация: 17.05.2012 Сообщений: 10,321 Записей в блоге: 9
	08.01.2020, 12:42	10
	Это если машинке в домене. Тогда да. И от прокси/джаббера/почты/чего угодно. 0

@gdodin 2 / 2 / 1 Регистрация: 08.03.2019 Сообщений: 27
	15.01.2020, 11:43	11
	Сообщение от Z80U Я небольшой коллектив отучаю применять ценные сложные пароли где ни попадя, имею ввиду практику ставить хороший пароль крепко сидящий в голове на слабые системы, где его прочитают и применят в отношении других ресурсов Как правило пароль, хорошо сидящий в голове, легче всего расколоть. 0

	18.01.2020, 09:14

Опции темы

Рыжий Лис Просто Лис 5706 / 3509 / 1051 Регистрация: 17.05.2012 Сообщений: 10,321 Записей в блоге: 9
	15.01.2020, 11:45	12
	gdodin, не знаете про "сорок обезьян"? Или: https://xkcd.ru/936/ Сложные пароли != сложно запоминаемые. 0