|
| 1.2, Аноним (-), 10:07, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> при проверке паролей размером около 10Кб
"Говорила мне мама - не пиши длинные пароли"!
Ок, не буду пароли по 10240 символов делать )
| | |
| |
| 2.4, бедный буратино (ok), 10:51, 18/07/2016 [^] [^^] [^^^] [ответить]
| +23 +/– |
 "... каждое утро Семён Семёныч начинал с того, что вздыхал, открывал томик *Войны и Мира* и начинал вводить пароль..."
| | |
| 2.5, SysA (?), 11:11, 18/07/2016 [^] [^^] [^^^] [ответить]
| +9 +/– |
>> при проверке паролей размером около 10Кб
> "Говорила мне мама - не пиши длинные пароли"!
> Ок, не буду пароли по 10240 символов делать )
А тебе и не надо! :) - Взломщик все за тебя напишет...
Ты бы хоть на оригинал статьи взглянул, там есть пример, как все это работает.
| | |
| |
| |
| 4.19, vitalikp (?), 00:35, 19/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
А разве через /dev/urandom не проще?:)
Зачем пользоваться непонятной программой?
#cat /dev/urandom|tr -dc a-zA-Z0-9|head -c10
| | |
|
|
| 2.26, абвгд (?), 04:36, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Я так понял, что отправляется первый попавшийся пароль 10к и по времени отказа идёт анализ
| | |
|
| 1.6, тоже Аноним (ok), 12:09, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Предлагаю патч, непечатно отвечающий на попытки залогиниться с паролем длиной 10кб. Желательно где-нибудь в glibc, с распространением на любые случаи логина.
| | |
| 1.7, Аноним (-), 12:10, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
что-то не очень оно и работает, дрифт значений лежит в одной области что для валида, что для невалида.
| | |
| |
| 2.8, SysA (?), 12:20, 18/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> что-то не очень оно и работает, дрифт значений лежит в одной области
> что для валида, что для невалида.
Я бы даже отметил более того, - у меня иногда (а в случае не локалхоста, а реальных хостов, - практически всегда!) инвалид длиннее! :)
| | |
| |
| 3.12, Аноним (-), 16:38, 18/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Если всегда длиннее то считай метод рабочий, только результаты нужно наоборот интерпретировать
| | |
|
|
| |
| 2.11, Аноним (-), 16:05, 18/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Нужно просто ограничить длину пароля. До 8 символов, как VNC.
А лучше до 4 и только из цифр. PIN код.
| | |
|
| 1.15, bugmenot (??), 18:41, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль" полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули другой алгоритм... Ну вот нафига?
| | |
| |
| 2.16, Анончик (?), 19:28, 18/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль"
> полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули
> другой алгоритм... Ну вот нафига?
Ну они так и сделали, только вот "фейковый пароль", а точнее его хэш, там используется такой, что время его проверки всё равно отличается от времени проверки валидного хэша.
| | |
| |
| 3.18, Аноним (-), 20:58, 18/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Чел имел ввиду системные изменения, чтобы был некий фейковый юзер в системе с такимим же параметрами как у всех и чтобы он все время проверялся вместо несуществующего (но туту тоже ряд подводных камней)
| | |
|
| 2.22, Аноним (-), 01:12, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль"
> полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули
> другой алгоритм... Ну вот нафига?
Какой вы умный. Никто бы не догадался, а вы смогли.
| | |
|
| 1.20, Сергей (??), 11:46, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Интересно, а как они вычисляют задержки канала... Я еще понимаю, когда стоит какой-нибудь пень третий, а если там Core i7?
| | |
|
