Ситуация следующая:
Один заказчик просит отдать (продать) ему макет, который он же заказывал полгода назад, довёл почти до утверждения и прекрасно исчез с просторов родины в прямом смысле (не ответил ни разу ни на sms, ни ICQ, ни Skype) не заплатив ни копейки, но и не забрав работу. Макеты почти готовы. (За это время я даже уничтожил все его контактные данные)
Тут заказчик объявился и готов оплатить работу.
Я ему предложил переправить макет в архиве, но пароль к архиву готов дать только после оплаты.
Вопрос: хватит ли хорошего пароля на .RAR, чтобы его нельзя было «вскрыть», или же есть доступные средства позволяющие всю эту защиту обойти? Есть же всяческие «Rar password recovery».
Не хочется еще раз «пролететь».
Полная версия: Можно ли вскрыть запароленный .RAR архив?
А чем эта ситуация отличается от высылания jpg файла в плохом разрешении для подтверждения окончания изготовления макета и последующей высылки макета в векторном виде после оплаты?
.Jpg он уже видел, решение чисто психологическое – вроде бы макет уже у него, достаточно оплатить и можно запускать в работу.
Цитата(VibroFon @ Dec 13 2007, 18:02) 
Вопрос: хватит ли хорошего пароля на .RAR, чтобы его нельзя было «вскрыть», или же есть доступные средства позволяющие всю эту защиту обойти? Есть же всяческие «Rar password recovery».
Нет, не хватит... Пароль можно вскрыть любой сложности, было бы желание, терпение и свободное время.
Проверено на практике... 
Если хотите совет, то просите 100% предоплату, вот тут и увидите, хочет Вас заказчик кинуть или нет. Тем более что я так поняла, Вы ему уже показывали макет, и Ваш заказчик его одобрил. Конечно по поводу совета это мое личное имхо...
Ответ из встроенного хелпа рара:
Цитата
? Я забыл свой пароль! Помогите!
! В схему шифрования WinRAR не встроено никаких потайных "лазеек". Если сами авторы WinRAR забудут пароль к любому из своих архивов, то извлечь файлы не смогут даже они. Пожалуйста, не обращайтесь к авторам за помощью в такой ситуации.
...Для обеспечения достаточно высокого уровня безопасности используйте пароли длиной не менее восьми символов. Не следует использовать в качестве пароля слова какого-либо языка, лучшим выбором является случайная комбинация букв и цифр. Обратите внимание, что в паролях учитывается рЕгиСтР букв. Максимальная длина пароля для архивов RAR равна 127 символам.
! В схему шифрования WinRAR не встроено никаких потайных "лазеек". Если сами авторы WinRAR забудут пароль к любому из своих архивов, то извлечь файлы не смогут даже они. Пожалуйста, не обращайтесь к авторам за помощью в такой ситуации.
...Для обеспечения достаточно высокого уровня безопасности используйте пароли длиной не менее восьми символов. Не следует использовать в качестве пароля слова какого-либо языка, лучшим выбором является случайная комбинация букв и цифр. Обратите внимание, что в паролях учитывается рЕгиСтР букв. Максимальная длина пароля для архивов RAR равна 127 символам.
Цитата(Tigris @ Dec 13 2007, 17:11)
Пароль можно вскрыть любой сложности, было бы желание, терпение и свободное время.
Рискну поправить: "Пароль можно вскрыть любой сложности, было бы желание, терпение и свободное машинное время". Вопрос только в ЦЕНЕ выделки овчинки.
MrDesigner, Вы совершенно правы...
даже простым перебором Brutforce можно ломануть, но зачем? Попробуйте PGP
Про backdoor в хелпе я читал, но это теория, а вот практика?
Сколько потребуется машиновремени на пароль из 15 (к примеру) знаков?
Сколько потребуется машиновремени на пароль из 15 (к примеру) знаков?
Реально, сталкивался с запороленным раром. Есть люди, которые на подборе пароля деньги зарабатывают. И то, у них условия оплаты приблизительно следующие: "5 символов - n рублей, 6 символов - n*2 рублей" и т.д. Поставь пароль из символов 20-24 (только что пробовал - вводится 24 точно) - почти нереально вскрыть. Времени реально кучу уходит даже на 8 символов. И символы какие-нить из последних. Не будет же он 50 машин на вскрытие пароля.. Да и потом - откуда он знает количество символов?
Сильно зависит от мощности машины и символов, используемых в пароле. В принципе, пароль - максимальное количество символов и будут брутить до морковкиназаговенья :-) Надеюсь, такого не случится
Цитата
Нет, не хватит... Пароль можно вскрыть любой сложности, было бы желание, терпение и свободное время. wink.gif
Ага. Я недавно всё-таки вскрыл собственный архив. Забыл пароль начисто. Вскрывал его год, в свободное время. Но не перебором символов (это по-моему вообще не реально), а на основе смутных воспоминаний, а так же исключений таких символов которые я бы точно не стал использовать в пароле.
Самое смешное что программа Elcomsoft "успешно" находила целых 2 пароля к одному и тому же архиву! Один раз перебором из пяти букв, а второй раз атакой по английскому словарю. Оба не подошли.
Но настоящий пароль я нашел так — составил по памяти все пароли которые я использовал за последние 10 лет, записал в собственный словарь. Потом перегнал всё что получилось на латиницу или наоборот на кириллицу (чтоб отловить ошибочную раскладку) и прогнал программой с учетом всех комбинаций заглавных и строчных букв. Сначала не помогло.
Потом этот же список разбил на повторяющиеся элементы и перепробовал разные комбинации этих элементов и нашел.
Цитата
даже простым перебором Brutforce можно ломануть, но зачем? Попробуйте PGP
Хм, случайная комбинация букв и цифр длинной 127 символов, с трудом поддается брутфорсу. А ведь туда еще можно не просто буквы/цифры вбивать, но и спец символы (типа Alt+цифровая клавиатура). Правильно составленный пароль перебором со словарем не поддается совсем, брутфорсом с тратой большой кучи времени.
А еще где-то слышал из непроверенных источников, что RAR перед запросом пароля делает паузу в полсекунды (т.е. несколько запросов в секунду уже не прокатит).
Вобщем мое мнение - можно доверять!
Пароль любой длины открывается утюгом или паяльником :-)))))
Мне это точно не грозит.
Мне кажется, что в этой ситуации Вы уже подтвердили свою порядочность, сделав работу без предоплаты. Заказчик же, в свою очередь, исчезнув без уведомления, выказал себя как лицо, нмв, не заслуживающее доверия. Даже из чисто педагогических соображений я бы отдал ему работу только после предоплаты. А гадать откроет он пароль, или нет, дело факультативное .
.
Действительно, даже я (потенциальный заказчик) не понимаю, зачем эта возня с паролем?
Макет был сделан без предоплаты? - Да.
Изготовление макета можно подтвердить жпегом низкого разрешения? - Да.
Ну так плати и получи, без проблем. Какой смысл дизайнеру придерживать УЖЕ ГОТОВЫЙ макет после получения денег? Месть? Да ну - детство...
Смысл пароля другой - разве что подъ*бнуть. Например, сделав пароль: Thisfuckingstupidmotherfucker
Такой пароль потом приятно переслать "особо ценному" заказчику...
Макет был сделан без предоплаты? - Да.
Изготовление макета можно подтвердить жпегом низкого разрешения? - Да.
Ну так плати и получи, без проблем. Какой смысл дизайнеру придерживать УЖЕ ГОТОВЫЙ макет после получения денег? Месть? Да ну - детство...
Смысл пароля другой - разве что подъ*бнуть. Например, сделав пароль: Thisfuckingstupidmotherfucker
Такой пароль потом приятно переслать "особо ценному" заказчику...
Можно доверять на все 100.
Используйте 8 и более символов, желательно как буквы так и цифры и спецсимволы (только никаких готовых слов, интернет адресов и пр.). Незнаю как спецслужбам с кластерами суперкомпьютеров, но обычному человеку вскрыть такой RAR архив нет никакой возможности.
Используйте 8 и более символов, желательно как буквы так и цифры и спецсимволы (только никаких готовых слов, интернет адресов и пр.). Незнаю как спецслужбам с кластерами суперкомпьютеров, но обычному человеку вскрыть такой RAR архив нет никакой возможности.
Пароль в 127 (а скорее всё-таки в 128) символов вскрыть технически нереально. Ну разве что у заказчика несколько суперкомпьютеров под рукой, да и то возни много. Ch! прав, его пароля хватит за глаза.
Если пароль будет вида Q6xTjgH6MJk то такой набор будет вскрываться несколько.... миллионов лет брут-форсом. Проверено. А хакер за такое дело может попросить приличную сумму. Но хакера надо найти - это тоже геморно, а доморощенных хакеров, которые брут-форсером вскрывают архивы тоже до фига, но они могут помочь в случае с очень легким паролем.
Да безсовесный человек тот заказчик! Я бы принципиально даже и не общался бы с такими! Пусть даже мне в убыток! Один факт того, что без предоплаты -достаточно... еще и "кинул"..
А играть в пароли - несеръезно..
Используя в пароле спецсимволы "достаточной" длины - практически невозможно подобрать брутом даже на десяти "суперкомпьютерах", тем более что реч идет о нескольких десятках $..
Тоже есть запароленный архивчик... так хорошо запаролил... от себя..
А по поводу той цитаты, где пишут, что даже авторы не смогут "распаролить"... не верится.. наверняка есть "лазеечка", которую знает только автор.
А играть в пароли - несеръезно..
Используя в пароле спецсимволы "достаточной" длины - практически невозможно подобрать брутом даже на десяти "суперкомпьютерах", тем более что реч идет о нескольких десятках $..
Тоже есть запароленный архивчик... так хорошо запаролил... от себя..
А по поводу той цитаты, где пишут, что даже авторы не смогут "распаролить"... не верится.. наверняка есть "лазеечка", которую знает только автор.
Цитата(MrDesigner @ Dec 13 2007, 15:15)
Ответ из встроенного хелпа рара
И что, кгб разрешило выпускать такой продукт без закладок???
SINL, спору нет — вопрос хороший, но разве кгб — разработчик этого продукта?
offtop: Экспорт российских программ, использующих 128-битный ключ, достаточно долго был запрещён и у нас, и в штатах. Но где-то в самом конце 90-х запреты сняли.
Цитата(VibroFon @ Dec 13 2007, 20:02)
...Тут заказчик объявился и готов оплатить работу...
Похоже что опять меня «прокатили».
Пропал подлец, в аську нос не кажет, на письма не отвечает.
(Хотя на архив с паролем я плюнул, создал gmail аккаунт и туда выложил, пароль, естественно, к ящику ему не сказал. Его как ветром и сдуло.)
Редиска.
Всем спасибо за участие в запароливании
Цитата(VibroFon @ Dec 27 2007, 06:07)
Хотя на архив с паролем я плюнул, создал gmail аккаунт и туда выложил, пароль, естественно, к ящику ему не сказал. Его как ветром и сдуло.
Тут пароль выяснить проще, чем на архив. Архив не поддаётся методам социальной инженерии. Разве что есть ошибка в алгоритме кодирования, благодаря которой есть возможность обойти прямой подбор пароля. Помнится, в первых версиях RAR подходил что одинарный, что удвоенный пароль. Типа sam == samsam.
Цитата
Редиска.
Однозначно. "Проснулась совесть ненадолго, но времени уж нет. Не прекратить ли бег? Ан нет - на горизонте проявились громады новых перспектив."
А вот интересно, что вы думаете, когда вам в печать приносят JPEG без вылетов в RGB с разрешением 100 dpi?
Вчера такое вот печатали... Но типографию прокинуть тяжелее. Тираж без денег по любому не получат.
Вчера такое вот печатали... Но типографию прокинуть тяжелее. Тираж без денег по любому не получат.
А что тут думать... Все ясно Заказчик кинул дизайнера...
Заказчик кинул дизайнера...
Кстати, в подобных случаях заказчики обычно вельми привередливы до печати.
А на вопрос «почему» отвечать смущаются или гонят пургу. Я таких парочку послал. От души.
А на вопрос «почему» отвечать смущаются или гонят пургу. Я таких парочку послал. От души.
А я бы заказчика на вшивость проверил. Дал бы запароленный архив, но с битыми файлами, или вообще с мусором, подходящего размера. Тогда и стало бы ясно, ху он, или не ху.
Да чего там проверять?
Одно из двух: если не редиска – то очень необязательный человек.
Что тоже как-то неприятно.
(появилось ощущение что товарищу икается – только на форум отписал – в скором времени появился в асе и после нескольких попыток связаться стал неохотно и туманно оправдываться какими-то неопределенными завтраками. Поглядим...)
Одно из двух: если не редиска – то очень необязательный человек.
Что тоже как-то неприятно.
(появилось ощущение что товарищу икается – только на форум отписал – в скором времени появился в асе и после нескольких попыток связаться стал неохотно и туманно оправдываться какими-то неопределенными завтраками. Поглядим...)
Мне кажется, что есть два основных, но очень различных подхода к окружающему человечесту - романтико-идеалистический и цинично-прагматический . При первом всех людей по определению считаем порядочными, но если нас кинули, то потом обижаемся, бьем моруду, расстреливаем и т.д. При втором исходим из того, что человек слаб (любой, независимо от веры, расы и счета в банке). Поэтому ему не стоит давать возможность совершить акт морального падения заранее, чтобы потом сэкономить на патронах . Конечно, это шутка и очень условная, но зерно в ней есть.
Поэтому, да здравствует предоплата!
. При первом всех людей по определению считаем порядочными, но если нас кинули, то потом обижаемся, бьем моруду, расстреливаем и т.д. При втором исходим из того, что человек слаб (любой, независимо от веры, расы и счета в банке). Поэтому ему не стоит давать возможность совершить акт морального падения заранее, чтобы потом сэкономить на патронах . Конечно, это шутка и очень условная, но зерно в ней есть. Поэтому, да здравствует предоплата!
Цитата
Если сами авторы WinRAR забудут пароль к любому из своих архивов, то извлечь файлы не смогут даже они.
Хе-хе!
Как зашифровать данные без алгоритма обитателям детского сада понятно, а вот расшифровать без него не сможет ни господь Бог, ни даже компьютер пользователя знающего правильный пароль. Большие скромники эти разработчики рара
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
