и для безопасности лучше когда 25 слово подлиннее.
Мы тут с коллегой в соседней ветке спорили недавно по этому поводу, и он меня переубедил, что в данном случае длина пароля в 20-30 и больше символов избыточна, достаточно и 12-ти, но
случайных.
12 случайных символов дадут где-то 2 столетия на подбор прямым брутфорсом, так что как вариант нормально, конечно если там не будет aaa* и тогда такой пароль подберется быстрее. Но вместе с тем, если выбрать 3-4 небольших-средних слова и соединить их между собой, то можно получить пароль общей длиной в 20-30 символов и который нельзя перебрать по словарю потому что это будет комбинация из слов в неизвестном порядке, но при этом эту фразу можно будет запомнить и никуда не записывать.
Если входят заглавные буквы, цифры, спецсимволы, есть непсевдослучайность.. (русские+английские ещё б желательна возможность но в кошельках её нет)
.. то пасс конешн короче.. но вот насколько
https://ru.wikipedia.org/Сложность_пароляhttps://ru.wikipedia.org/Информационная_энтропияПодробно о генераторах случайных и псевдослучайных чиселанализаторы надежности паролей - программа zxcvbnyandex.ru/ брутфорс спецсимволы энтропияhttps://bitcointalksearch.org/topic/--5132928 - [Инструкция] Как создать надёжный пароль (Read 587 times)
https://youtu.be/y1MQyl13ssc?t=299 - 4:55 - "если энтропия вашего пароля меньше 40 бит то 4 GPU подберут пасс за минуту"
https://blog.trezor.io/our-response-to-ledgers-mitbitcoinexpo-findings-194f1b0a97d4Наш ответ на выводы #MITBitcoinExpo Леджера
Our Response to Ledger’s #MITBitcoinExpo Findings
...
Брутфорс парольной фразы, состоящей из
девяти буквенно-цифровых символов (комбинация букв и цифр в верхнем и нижнем регистре) или даже двенадцати строчных букв и пробелов, может стоить миллионы долларов.Bruteforcing a passphrase of just nine alphanumeric characters (a combination of letters and numbers in both upper and lower case) or even twelve lowercase letters and spaces can cost millions of dollars.
...
«Мы хотели бы поблагодарить Ledger за практическую демонстрацию атаки, о которой мы знали с момента создания Trezor . Поскольку мы понимаем, что ни одно оборудование не является на 100% безопасным, мы ввели концепцию парольной фразы; что помимо правдоподобного отрицания устраняются многие виды физических атак, как этот ».
-
Марек Палатинус , генеральный директор SatoshiLabs +
https://habr.com/ru/post/256671/26 апреля
2015 возьмём случайный набор из 8 символов.
Заметьте, что и у генератора это дефолтная длина. Я получил «U6zruRWL»
впишем его в поле ввода сервиса проверки сложности паролей
GRC password crack checkerполучим, что при применении «Большого массива для взлома» скорость его обнаружения составит
2.22 секундыпойдём, полежим с тёплым полотенчиком на лице
Вы скажете, что «большой массив для взлома» – это экзотика. Извините. Массив из
24 обычных GPU, оптимизированных для быстрого подбора хэшей, доступен любому агентству и среднему бизнесу. Тем более, что их не обязательно покупать, а можно арендовать – например, в облаке. А представьте, на что способно агентство национального масштаба. Ужас.
Даже если отбросить этот сценарий, то в графе «простой оффлайновый перебор» значится всего лишь 37 минут.
Попробуем удлинить пароль. Что получится?
9 символов — 2 минуты10 символов — 2 часа
11 символов — 6 дней
12 символов — 1 год13 символов — 64 года
Может,
добавим спецсимволов ?
8 символов – 1 минута
9 символов – 2 часа
10 символов – 1 неделя
11 символов – 2 года
12 символов – 2 векаУже неплохо, но безопасной кажется лишь отметка в 12 символов, содержащих
верхний и нижний регистр, цифры и спецсимволы.
Конечно, все эти расчёты зависят от используемого
алгоритма хэширования. Придётся принять, что все используемые вами пароли будут хранится с шифрованием самым глупым и быстрым алгоритмом.
+ за 5 лет GPU ускорились вдвое
ps
но и вероятность наличия аппаратно-софтовых закладок (+ их утечек) должна быть соответствующей
Все производители чипов, и оборудования для анализа этих самых чипов часто под сильным контролем властей (а когда идеология "властей" извините "
ни рыба ни мясо, "рассчитана на дебилов" и постоянно рушится с утечками баз то пардоньте)