Re: Truecrypt, CompuSec - si³a has³a

AmtoPm <amerger@gmail.com> writes:

>> > 2^24
>>
>> To chyba zart.
>
> ale¿ sk±d taka jest liczba kombinacji, chocia¿ to na pó³ serio :)

Ale kombinacji czego? Przeciez nie 24-znakowego hasla, to ma byc haslo
24-bitowe?

> Jednak zadziwia ¿e podali i¿ takie has³o jest raczej bezpieczne
> sugerujac ¿e has³o np. 20 znakowe jest niebezpieczne, wyja¶nieniem
> mo¿e byæ praktyka i to ze has³a mo¿na skutecznie ³amaæ s³ownikowo,
> ma³o kto wykorzystuje has³o z przypadkowych znaków (z ca³ego zakresu),
> hasla s± jednak do zapamietania, jak kto¶ ma has³o z przypadkowymi
> znakami to musi je gdzies zapisaæ lub zaszyfrowaæ i tez mieæ do tego
> has³o...

Tak czy owak 24-bitowe haslo nie daje szansy na bezpieczenstwo, zas
jesli ktos w ogole wie do czego sluzy haslo itd, to 20-znakowego hasla
nikt mu nie zlamie zadnym slownikiem.

> to wcale nie ¿art, has³o ma ograniczenie do 16 znaków, mo¿e i to jest
> bezpieczne wykorzystuj±c wiêcej znaków ni¿ 34, jednak podczas
> logowania z wielu znaków ASCII korzystaæ nie mo¿na, faktem jest ¿e
> ró¿nice robi³oby u¿ycie liter drukowanych a tego nie sprawdza³em.

Typowo przyjmuje sie 6 bitow / znak, duze + male litery + cyfry +
jeszcze ze dwa znaki daje 64 mozliwosci. Oczywiscie przy zalozeniu, ze
to nie beda hasla slownikowe itp.

> Natomiast login podczas logowania jest tak¿e niewidoczny i moim
> zdaniem mo¿e stanowiæ czê¶æ has³a - has³a z punktu widzenia kombinacji
> do zalogowania.
> Na jakiej podstawie s±dzisz ¿e login nie jest przez CompuSec
> traktowany jako czê¶æ has³a?

Na to pytanie musisz odpowiedziec sobie sam - czy ten login jest a)
rownie "tajny" co haslo, b) mozna go tak samo zmienic, c) nie jest
uzywany w zadnym innym systemie itp. (to samo powinno dotyczyc hasel),
d) zasady jego generowania sa takie same jak w przypadku hasel, e) nie
da sie oddzielnie (bez hasel) "sprawdzic" samych loginow (czy istnieja).
-- 
Krzysztof Halasa