Ce siguranta ofera protectia datelor prin parolarea arhivei ?

@proxtu: Se pare ca nu: http://sourceforge.n...hread/b0fb9daa/

Pentru oamenii normali care nu se gindesc ca-i ataca NSA-ul si care oricum folosesc windows-ul (deci au incredere in M$...) repet nu vad nici o problema cu bitlocker-ul pe non-system (evident suporta si GPT si MBR). Pe system e o discutie mai lunga si complicata.

Edited by f300, 17 September 2015 - 11:26.

The TL;DR is that based on this audit, TrueCrypt appears to be a relatively well-designed piece of crypto software. The NCC audit found no evidence of deliberate backdoors, or any severe design flaws that will make the software insecure in most instances.

http://blog.cryptogr...ypt-report.html

Audit - > https://opencryptoau..._OCAP_final.pdf

f300, on 17 septembrie 2015 - 11:26, said:

Mai așteptăm Bitlocker mi se pare că merge doar pe versiuni mai scumpe de Windows.

proxtu, on 17 septembrie 2015 - 11:42, said:

Trebuie doar sa click ca "enable encryption" pe o versiune mai scumpa de windows (de la firma, un trial in VirtualBox, un prieten, etc), dupa aia merge oriunde. E "by design" nu e vreun hack sau pirati sau alte prostii. De asemenea mai merge "sa dai clickul" si pe unele tablete cu windows, chiar daca nu au "Pro".

De notat ca la win7 din cite tin minte nu are optiune de "quick" ca sa zic asa, adica mare grija daca aveti vreun hdd enorm, s-ar putea sa ramineti cu el blocat la vreun vecin cu orele (sau cu zecile de ore daca e chiar mare si doar pe USB2) pina termina. La W8 si W10 nu-i problema, daca nu aveti multe date si daca nu vreti sa va suprascrie si spatiul liber de pe disc atunci merge imediat.

asda, on 17 septembrie 2015 - 11:07, said:

O parolă complexă nu este suficientă, trebuie o parolă random, unde fiecare caracter din parolă este ales aleatoriu dintre cele aproape 100 de caractere ale tastaturii, independent de celelalte caractere din parolă. Uite niște parole care respectă ce ai zis tu, caractere diferite alfa numerice, semne, au peste 20 de caractere, dar nu sunt random și sunt foarte, foarte slabe:

Bo$$1Bo$$1Bo$$1Bo$$1Bo$$1
1848Deșteaptă-te, române, din somnul cel de moarte,
abcdefghijklmnopqrstuvwxyz1234567890!@#$%^&*()

Nu trebuie să fie o parolă "deșteaptă" trebuie să fie o parolă random:

E}/p[ZlD>20eAu:

Parola asta are 15 caractere random, va fi spartă după ~10^29 încercări.

Ddomar_Lowter^Zeny10926752*

Parola ta "deșteaptă" de 27 de caractere e NumeCaracterNumeCaracterNume8CifreAleatoriiCaracter, va fi spartă după ~10^29 încercări, dacă am calculat eu bine, deci parola ta desi este semnificativ mai lungă este "doar" echivalentul unei parole random de 15 caractere, e un nivel adecvat de protecție. Dacă cifrele alea nu sunt alease aleatoriu ci repezintă o dată, un cod zip, un număr de telefon sau orice alt fel de număr care reprezintă ceva, parola va fi mult mai slabă, și s-ar putea să facă diferența dintre nu va putea fi spartă în acest mileniu și în doi sau trei ani va putea fi spartă în câteva zile dacă nu ore sau minute. Eu nu cred că ai stat să iei fiecare componentă a parolei de 27 de caractere și ai calculat câte încercări sunt necesare pentru fiecare în parte și apoi ai calculat câte încercări sunt necesare pentru întreaga parolă. În asta constă problema, dacă nu îți alegi o parolă random unde e simplu, 15+ caractere aleatorii oferă o protecție suficientă și pentru fiecare caracter aleatoriu în plus protecția parolei crește de aproape 100 de ori, ci o construiești după ureche, e foarte ușor să obții și să folosești o parolă care poate ție ți se pare greu de spart, dar în realitate va fi destul de ușor de spart în zile sau ore sau minute.

tavitu, on 17 septembrie 2015 - 13:16, said:

Apreciez foarte mult raspunsurile tale din perspectiva informatiei oferita. Nu inteleg insa bine o chestiune : Dacă cifrele alea nu sunt alease aleatoriu ci repezintă o dată, un cod zip, un număr de telefon sau orice alt fel de număr care reprezintă ceva, parola va fi mult mai slabă.

Cifrele aleatorii sunt cu siguranta pentru cel care incearca sa sparga parola, poate eu vreau sa imi pun de pilda niste cifre combinate dintre doua numere de telefon foarte vechi stiute doar de mine, ele deci nu sunt aleatorii si totusi numai eu stiu de ele. Bineinteles ca daca voi folosi o suita sau o repetitie de numere, ori un numar usor de intuit / aflat in legatura cu datele mele personale de pilda sigur ca ar fi mai usor de spart.
La cuvinte e altceva pentru ca succesiunea de litere sunt folosite in parolele uzuale in cuvinte ceea ce confera o slabiciune evidenta a parolei. Dar daca pentru mine 123145454676621 reprezinta de ex. ceva, asta nu inseamna ca va reprezenta si pentru atacator.

asda, on 20 octombrie 2015 - 16:08, said:

Faptul că reprezintă ceva pentru cineva însemană că există o funcție care primește niște date de intrare și creează niste date de ieșire (parola). Efectiv f(x) = y; x : domeniu, y: codomeniu, f : domeniul funcțiilor gândite de un om. Dacă este mai ușor pentru un atacator să găsească parola testând un număr de funcții împreună cu valori din domeniul acelor funcții, decât dacă ar testa toate combinațiile posibile de 15 cifre ~10^15 încercări, atunci da, parola va fi mai slabă decât ar fi fost compusă aleatoriu din 15 cifre. O astfel de modalitate de generare a parolei este "bună" doar dacă domeniul are cel puțin 10^15 elemente, iar x este ales uniform din domeniu și funcția respectivă nu restrânge codomeniul la mai puțin de 10^15 elemente.

asda, on 20 octombrie 2015 - 16:08, said:

f(nr_tel1, nr_tel2) = parolă

Un număr de telefon are 10 cifre, deci ~10^10 încercări pentru a-l găsi, și deci două numere de telefon au nevoie de ~10^20 de încercări, 10^20 > 10^15, plus că mai trebuie găsită și funcția care le combină, am putea spune că parola astfel obținută este foarte puternică.

ANCOM zice că în România au fost/sunt alocate 50 de milioane de numere de telefon, 5*10^7, prin urmare, pentru a găsi două numere de telefon este nevoie de 2.5 * 10 ^15 încercări, 2.5*10^15 > 10^15, plus că mai trebuie găsită și funcția care le combină, deci parola astfel obținută este puternică.

Ce ar fi dacă atacatorul ar folosi doar 5 milioane din numere alocate în România, deci ca să verifice două numere ar avea nevoie de de 2.5*10^13 încercări, dacă atacatorul testează cele mai populare 40 de funcții de combinat numere de telefon, obținem 40*2.5*10^13 = 10^15 încercări, 10^15 == 10^15.

Da, dacă folosește doar 5 miloane are doar 1% sanșe să găsească combinația de nr de telefon. Și da, funcția ce combină nr de telefon s-ar putea să nu fie printre primele 40 cele mai folosite. Dar ce ar fi dacă atacatorul ar avea informații suplimentare, cum ar fi că "nr de telefon sunt foarte vechi"? Ce ar fi dacă ar testa primele 5 milioane de numere alocate în România? Eu zic că este posibil să îi crească % de a găsi combinația de nr de telefon. Iar în privința funcției se știe că oamenii tind să gândească cam la fel, cel puțin în privința alegerii unor funcții matematice, și deci probabilitatea ca funcția folosită să fie în primele 40 este foarte mare.

Din nou, eu nu cred că ai stat să analizezi dacă numerele de telefon alese împreună cu toate informațiile disponibile despre aceste numere și domeniul din care fac parte poate ajută un atacator să reducă numărul de încercări. La fel, nu cred că ai stat să analizezi dacă funcția ta de combinat numere este asemănătoare cu cele mai populare funcții de combinat numere.

Ideea este că cea mai bună parolă este o parolă aleatorie, nu o parolă care doar arată aleatoriu, ci o parolă aleatorie, și că pentru orice altă parolă trebuie să depui semnificativ mai mult efort ca să te asiguri că este puternică ori riști să fie spartă destul de repede.

stiu ca a trecut mult timp dar referitor la ce se discuta aici....nu erau si niste softuri de generare automata a unei parole perfect aleatorie?
de fapt problema cu majoritatea oamenilor e ca nu tin minte astfel de parole care ca sa fie puternice trebuie sa fie si ceva mai lungi. una e sa folosesti parola de 15 caractere alta e sa pui numele "gicu" la parola.
practic hai sa pun si eu intrebarea: am un calculator ok....vreau sa ii pun o parola pe el, una pe care nu pot sa o tin minte...cum fac chestia asta fara sa fie nevoie sa scriu undeva parola ca cine stie poate aia de spioneaza ca sa imi ia datele confidentiale scotocesc prin casa dupa vreun biletel sau stick cu parola? ca daca sa zicem cauta noaptea si eu am pus parola si de un GB pe un stick...mi-au luat stickul ...deci ce mai .... sunt gata....
exista vreo solutie cu internet sau ceva? poate un remote autentification only cu telefonul? poate sa zicem aprobare de la firma sa imi dea parola in timp ce urmaresc ei totul cu un webcam? sau ce fac dorm tot timpul cu stick-ul in pijamale ca sa simt cand vin aia sa mi-l ia?

DâÙ«„°{çßÍ©`Ą<‚