> Akkor kérlek, légyszi, egyszer döntsd már el, hogy miről beszélsz.
Én döntsem el? Én már a legelejétől kezdve ugyanazt mondom. Eddig vagy hússzor írtam le. Az XKCD azt állította, hogy pár darab véletlenül kiválasztott hétköznapi szó erősebb lesz, mint egy értelmes szóból trükközéssel előállított garbage-like password. Ennyi volt az állítás és én ezt támadtam végig, nem magát a passphrase használhatóságát. Ti kezdtetek el belemagyarázni mindenfélét, hogy ha de még ezt meg azt csináljuk, akkor a végén kapunk valamit, ami ugyanúgy néz ki, mint a trubadúr, csak több darab szóból állt össze és bár tényleg "törhetetlen", de egyszersmind megjegyezhetetlen is, továbbá egyfelől az már nem passphrase, másfelől az XKCD-ben nem erről volt szó. Én egész végig ezt írtam. Nem csak neked, mindenkinek.
> Utána jött az, hogy de a támadó fejével kell gondolkodni, és ő úgyis megpróbálja a szótáras támadást. Jogos, a szó legszorosabb értelmében egy darabig, mert ahogy fentebb kiveséztük, tetszőleges trubadúr-stílusú jelszóhosszhoz megadható egy szó darabszám, amivel még az angol 5000-es szótárból válogatva is ugyanolyan erős jelszót kapsz.
Ezt is megválaszoltam. Már a múltkor a másik kollégának is. Amíg a trubadúr kategóriás jelszóhoz hozzácsapsz még egy karaktert, addig az XKCD-like jelmondathoz két-három szót kell, hogy ugyanazt az erősséget kapd. Egy idő után eljutsz oda, hogy a jelmondatot nehezebb lesz megjegezni, mint a trutymó-password-öt, továbbá fél óra begépelni. De ezt is leírtam.
> Utána felmerült, hogy egyébként a magyar nyelvben nem nagyon működik a szótáras támadás, mert szemben az angollal a szavak jelentős többsége nem a szótári alakjukban szerepel, rengeteg esetben nem is képezhető minden használt alakjuk a szótárakból, ráadásul a szóösszetételek miatt már az 5000 leggyakoribb kifejezést használva is akkorára nő a keresési tér, hogy még egészen kicsi hatványkitevővel is megkapod a "random" ASCII jelszavaidat (*).
Ezt is megválaszoltam. Ha magyarul csináljuk, akkor nem csak ASCII karakterek vannak, 95 helyett 117 karakterből lehet válogatni. És azt is leírtam ugyanebben a posztban, hogy ez már megint nem az XKCD féle passphrase, mert abban nincs semmiféle toldalékolás.
> Ezután TE hoztad ezt az e-mailes jelszót példának, majd közölted, hogy az "pillanatok alatt" törhető. Amit számokkal alátámasztva cáfoltam, ha a számítás helyességét próbálod megkérdőjelezni, akkor arra reagálj.
Egyfelől te magad ismerted el, hogy "valóban töredékmásodperc" és azzal próbáltad - saját magad - cáfolni, hogy de hát többszáz nyelvet kell végigpróbálni, ami triviálisan hamis, ha egyszer az emailcímben található névre rákeresve azonnal tudjuk, hogy milyen nyelvű az ipse, másfelől pedig a számításaidban nem vetted figyelembe amit már a legelején mondtam, hogy a felhasználó emailcíméről beszélünk, azaz, Kovács.János.1968@gmail.com accounthoz "Kovács.János.1968@gmail.com" password tartozik, tehát ha rápróbálnak az emailcímre, mint jelszó, akkor pillanatok alatt törték.
Ami pedig a honnan tudná, hogy miféle formátumú a jelszó kérdést illeti, arra eddig vagy hat embernek válaszoltam hat helyen: sehogy. Szisztematikusan keres és rápróbál. Több gépről többfélét. Egyik gépen ráereszti a basic passphrase-et, a másikon az emailest, a harmadikon a karakterest, stb.
> És akkor döntsd el, hogy mit akarsz mondani (a megfelelők aláhúzandók):
Eddig is eldöntöttem, amint a fentiekből látszik. Csak vagy nem olvastad el a válaszaimat, vagy nem értetted meg miről beszélek. (Nem tudom, hogy a hup melyik taggel csinál aláhúzást, az u nem működik, üres linkeket kapsz.)
Igen. Erről beszéltem.
> * Az XKCD téves, tehát a passphrase hülyeség.
Hol mondtam ilyet? Citáld már be légy szíves, vagy ne adj szavakat a számba. Nem tudom feltűnt-e, de az XKCD-s passphrase-ekről volt szó, nem pedig generikusan. A nyitó posztomban XKCD-s tévhitről beszéltem, nem jelmondatos tévhitről.
> * Az XKCD téves, mert a támadó fejével kell gondolkodni.
Igen, töréskor.
> * Az XKCD téves, mert a támadó fejével kell gondolkodni, kivéve, amikor ez alapján kiderül, hogy egyébként valahol igaza volt az XKCD-nek.
Ez már kezd egy kicsit sok lenni. Egyrészt az XKCD-nek nem volt igaza, másfelől ez meg már kezdi a személy elleni érvelést karcolgatni, hogy én tekergetem a mondanivalót úgy, hogy ne legyen igazuk. Nem tekergettem semmit, a fenti felsorolásból kiderült, hogy vagy nem olvastad el, hogy mit írtam, vagy nem fogtad fel. Ez nem az én hibám. Én azt írtam, hogy az XKCD a törés eshetőségét a jelszó felől közelítette meg, a törés iránya helyett. Ennyit és nem többet. Feltételeztem annyi IQ-t a részedről, hogy nem rágtam a szádba azt a trivialitást, hogy amennyiben éppen létrehozzuk a jelszót, azt a jelszó felől nézzük, ha meg törjük, azt meg a törés irányából. Nem én cserélgetem a nézőpontot, hogy az XKCD-nek ne legyen igaza, hanem két dologról beszélünk, amit kétfelől kell megközelíteni; hiszen a júzer nem törni fogja a jelszót, a cracker meg nem létrehozni.
> (*): és akkor emlékezzünk meg arról az apró tényről, hogy eddig kedvesen nem vettem figyelembe, hogy kifejezetten nem random ASCII karakterekről beszélsz, hanem alapszó l33tsp34kelve és hozzárakva két random karaktert, vagyis a 95^11 helyett (mert ha a többinél ismerjük a generálási szabályt, akkor nálad is illene azzal számolni) 5000*95^2-vel kellene számolni...
Hol is írtam, hogy ismerjük a generálási szabályt? Tessék. Látod? Megint. Megint vagy nem olvastad el amit írtam, vagy nem fogtad fel, én ugyanis nem mondtam sehol, hogy ismerjük a generálási szabályt; egész végig arról beszéltem, hogy ismeretlen a pattern és szisztematikusan rápróbál a cracker többfélére is. Neked is, meg a többieknek is ezt írtam. Ennek megfelelően, ahogy ebben a posztban feketén fehéren leírtam, hiába csak az utolsó két karakteren van 95 karakternyi lehetőség, ha ezt a cracker nem tudja.
---
OFF: Miért nincs ebben a topicban kommenteléskor előnézet gomb?