Проверка на слив: Google сделает ваши пароли безопаснее

(30)Вот вот. Ну раньше юникод вообще мало кто поддерживал - сейчас уже другие времена - но лучше всё-таки не заморачиваться с ним! Да и то, что япредложил - про ввод сиволо через ALT- тоже не лучшее решение - да безопасность повышает очень хорогшо - но ввести такой пароль можно будет только с клаиатуры, имеющий такой цифровой блок - без него не ввести!

(22)
Сергей Брин

(14)Ну, я не знаю - тут нет 100% защиты! Только специальные физические устройства аутентификации дают действительно хорошую защиту! Например через токены аутентификации.

(18)
Ну один пароль можно и запомнить)

(28)Не совсем.
1. Словари индексированы - поиск по ним идёт по бинарному дереву (как популярный вариант, но это не обязаельно) - поэтому поиск даже по большому словарю по ключу-хешу (длиной, чаще всего не более 128 бит, т.е. по 16 символам, хотя даже применение 1024 битного ключа не принципиально замедлит скорость) среди миллиардов записей идёт доли секунды - в среднем значение находится всего за несколько десятков/сотен/тысяч шагов по дереву (а то и быстрее) - а один шаг это всего лишь несколько тактов микроопроцессора, коих современные микропроцессоры делают триллионы в секунду на ядро.
2. Перебирать строки (даже без индексов) не такая уж трудоёмкая задача. Она не сравнима с тем, сколько времени нужно потратить на вычисление хеша - скажем так - найти среди миллиардов строк одну строку по ключу-хешу на порядок быстрее, чем вычислить этот хеш - и чем длинее битность хеша - тем он медленнее вычисляется (но это замедление от длины хеша будет не сильно расти от длины хеша, как, впрочем и от длинны пароля).
3. Поиск по слварю оченть неплохо распараллеливается по гетерогенным кластерных сетям - с гигантским числом компьютеров! Поэтому можно считать, что первый этап поиска по словарю практически любого размера (при налиичии достаточного числа компьютеров в кластере) по ключу-хешу любой длинны занимает время не более микросекунды! То есть им можно пренебречь!
4. В таком словаре уже наверняка есть все комбинации символов, доступных с клавиатуры на разных языках (но возможно набираемые только в одной языковой раскладке - иначе комбинаций будет слишком много для всех языков), до определённой длинны (увы не знаю какой, но думаю до 6 точно есть, а то и до 8 может быть - ну для английской раскладки, как самой популярной для паролей, уж точно до 8 должны быть все комбинации, а то и больше).

Но в словарь не поместить все пароли - поэтому алгоритм (после прохода по словарю) должен будет перейти к составлению новых версий паролей. Причём в этом случае будет применяться метод реверс-инженеринга - алгоритм будет операться на конечный хеш пароля - и пытаться из него восстановить исходный пароль - это не простая задача. Особенно для стандартов хеширования SHA2 и SHA3. Тут тоже используются свои переборы. Но комбинаций уже гораздо больше чем у словаря готовых паролей - плюс нужно постоянно пересчитывать хеш - а это, как я написал выше, более трудоёмко!
Но тут тоже может быть поиск по словарю - частей полувычесленных хешей - чтобы не вычислять их повторно!


Ну и замечу, что хакеры не стоят на месте - и при реализации взломов постоянно получают новые комбинации символов возможных паролей и их хешей - и постоянно дополняют ими готовую базу словаря! Поэтому если сейчас в ней 2ярда паролей - то через 10 лет в ней будут уже десятки триллионов паролей! Рано или поздно в ней будут все комбинации символов для паролей меньше определённой длинны!