疑難雜症萬事通
在網路上遇到任何問題都可以在這邊找找看唷

Search

關於 password dictionary ,我們在網路上蒐集到這些相關的討論、資訊與評價

相關標籤 相關照片 相關影片
在password dictionary這個產品中,有3篇Facebook貼文,粉絲數超過10萬的網紅BorntoDev,也在其Facebook貼文中提到, ⭐ มารู้จักกับ Dictionary Attack มันคืออะไร มีรายละเอียดยังไง หาคำตอบได้ที่นี่ !! . 🔹 Dictionary Attack คือเทคนิคการสุ่มเดา Password จากคำต่าง ๆ ที่อยู...
 同時也有1部Youtube影片,追蹤數超過25萬的網紅iT24Hrs,也在其Youtube影片中提到,http://www.it24hrs.com/2011/password-attack/ รายการ ไอที24ชั่วโมง (iT24hrs) "Password Attack ภัยร้ายที่ต้องรู้ก่อนจะสาย!" ออกอากาศวันอังคารที่ 21 มิ...

password dictionary 在 BorntoDev Facebook 的精選貼文

BorntoDev By BorntoDev

2021-06-26 21:00:43 有 96 人按讚
  • Share this:

⭐ มารู้จักกับ Dictionary Attack มันคืออะไร มีรายละเอียดยังไง หาคำตอบได้ที่นี่ !!
.
🔹 Dictionary Attack คือเทคนิคการสุ่มเดา Password จากคำต่าง ๆ ที่อยู่ใน Dictionary ที่พบได้บ่อย ๆ หรือนิยมใช้กัน เอามาเก็บไว้เป็น Word list โดยสามารถโจมตีด้วยความถี่อย่างน้อย 1 ล้านคำต่อวินาที
.
✨ อีกวิธีหนึ่งที่จะใช้โจมตีกันก็คือ Brute Force Attack เป็นการคาดเดา Password จากทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก (มั่วอย่างมีหลักการนั่นเอง) เช่น รหัสมีจำนวน 4 หลัก แต่ละหลักสามารถตั้งค่าตัวเลข 0-9 ดังนั้น โปรแกรมจะทำการไล่ตัวเลขจาก 0000 ไปจนถึง 9999 จนกว่าได้ Password ที่ถูกต้อง
.
🌈 แต่โดยส่วนมากพวกระบบต่าง ๆ จะมีการป้องกันการโจมตีทั้งสองรูปแบบนี้อยู่แล้ว เช่น หากป้อนผิดครบ 3 ครั้งต้องรอ 5, 15, 30, 60 นาที ทำให้ค่อนข้างเสียเวลาหากจะโจมตีด้วยวิธีนี้
.
🖌️ เพราะฉะนั้นการตั้งรหัสผ่านหากเป็นไปได้ควรที่จะตั้งให้มีความยาวอย่างน้อย 8 ตัวอักษร มีตัวอักขะตัวใหญ่เล็กผสมกัน ควรมีตัวเลขอยู่ในรหัส และควรหลีกเลี่ยงการใช้คำศัพท์ในรหัสผ่านด้วย เพื่อความปลอดภัยของบัญชีของเรานั่นเอง !!
.
borntoDev - 🦖 สร้างการเรียนรู้ที่ดีสำหรับสายไอทีในทุกวัน

Tags:
BorntoDev

About author
BorntoDev (www.BorntoDev.com) เว็บไซต์ที่เกี่ยวกับการสอนการพัฒนาโปรแกรมหรือผลงานทางด้านคอมพิวเตอร์ จัดทำขึ้นเมื่อ 27 ตุลาคม 2556 โดยมีจุดมุ่งหมายเพื่อต้องการให้ผู้ที่สนใจพัฒนาซอฟต์แวร์ แอปพลิเคชั่น หรือ ผลงานทางด้านคอมพิวเตอร์ได้มีแหล่งในการเรียนรู้ที่ง่าย และ สนุก ไม่เน้นทฤษฏีจนทำให้ท้อหรือถอดใจไปก่อนจัดทำขึ้นโดยกลุ่มคนที่ต้องการจะเห็นความเปลี่ยนแปลงทางด้านเทคโนโลยี และ มีความหวังว่าจะมีนักพัฒนารุ่นใหม่ของไทยที่มีผลงานที่ยิ่งใหญ่ขึ้นมาได้ โดยจะใช้หลักการ “เน้นสนุก สอนเข้าใจ ทำได้จริง” สามารถเข้ามาเรียนรู้การพัฒนาซอฟต์แวร์ได้ตั้งแต่ระดับมัธยมศึกษาจนถึงนักศึกษาในมหาวิทยาลัย และ บุคคลทั่วไปที่สนใจในการพัฒนาซอฟต์แวร์และเทคโนโลยีคอมพิวเตอร์ ซึ่งในปัจจุบันนี้ถือว่ามีความสำคัญกับทุกสาขาอาชีพ และ เข้ามาเกี่ยวข้องกับทุกๆอย่างในชีวิตของเรา
ความสำเร็จของเรา คือ "การที่ได้เห็นคนไทยหันมาพัฒนาซอฟต์แวร์เพื่อโลก ที่ดีขึ้น"
96872 followers 92473 likes "http://www.borntodev.com/"
View all posts

password dictionary 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最佳解答

โปรแกรมเมอร์ไทย Thai programmer By โปรแกรมเมอร์ไทย Thai programmer

2020-10-19 13:15:38 有 192 人按讚
  • Share this:


#โปรแกรมเมอร์ เก็บ Password แบบไหน? ถึงจะปลอดภัย
ในทางโปรแกรมมิ่งการเก็บ password ลงฐานข้อมูล (Database) ไม่ได้เก็บกันตรงโต้งๆ ไม่งั้นใครมาเห็นก็อ่านได้หมด ซวยกันพอดี
:
วิธีเก็บ password ที่ปลอดภัย
จะนำมาผ่าน Hash function เสียก่อน เช่น
hash("1234") ได้คำตอบออกมาเป็น
a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9
:
หน้าที่ hash function จะแปลงพาสเวิร์ด "1234"
เป็นข้อความลับอะไรซักอย่างที่อ่านไม่ออก
ทั้งนี้ขนาดข้อความที่ได้จาก hash function จะคงที่ (fixed size)
:
สำหรับค่าที่ได้จาก Hash function มีหลายชื่อให้เรียกขาน เช่น
hash values, hash codes, digests
แต่ผมจะเรียกสั้นๆ ว่า "ค่า hash" แล้วกัน
:
ส่วนฟังก์ชั่นที่ใช้เป็น Hash function ในโลกนี้มีหลายตัว เช่น
MD5, SHA256, SHA512, RipeMD, WHIRLPOOL เป็นต้น
:
+++++
👉 ตัดกลับมาตอนนี้เราเก็บ password ในฐานข้อมูลเป็นค่า hash แล้วเวลายูสเซอร์ล็อกอินกรอก user name ป้อน password เข้ามาในระบบ
.
ก็จะมีสเตปการตรวจสอบ password ประมาณเนี่ย
.
1) ระบบจะเอา password มาเข้า hash funcion ได้เป็นค่า hash
2) เอาค่า hash ในข้อ 1 ไปเทียบดูในฐานข้อมูล (ของยูสเซอร์นั้น)
3) ถ้าค่าตรงกันแสดงว่ายูสเซอร์ป้อน password ได้ถูกต้อง แสดงว่าล็อกอินสำเร็จ
:
👉 เหตุผลที่ hash function มัน ok เพราะอาศัยคุณสมบัติดังนี้
1) hash function มันทำงานทางเดียว (one-way)
หมายถึงเราไม่สามารถนำค่า hash มาย้อนหาข้อความต้นฉบับได้เลย
.
ในกรณีนี้ต่อให้ hacker เห็นค่า hash เขาจะไม่สามารถถอดกลับ
มาเป็น "1234" ได้เลย
.
ด้วยเหตุนี้ค่า hash บางทีเขาจึงเรียกว่า "message digest" หมายถึง "ข้อความที่ย่อยสลาย" ...จนไม่รู้ต้นฉบับหน้าตาเป็นแบบไหนแล้ว
:
2) ถ้าข้อความต้นฉบับหน้าตาเดียวกันเป๊ะทุกกะเบียดนิ้ว
เวลาผ่าน hash function จะได้ค่า hash เหมือนเดิม
พอเปลี่ยนข้อความต้นฉบับนิดหนึ่ง
แม่เจ้า ....ค่า hash เปลี่ยนไปราวฟ้ากับเหว ต่างกันมาก
.
จึงเป็นไปไม่ได้ที่เราจะเก็บ password ต่างกัน
แล้วได้ค่า hash เดียวกัน ...เป็นไปไม่ด้ายยยย
(ไม่มีการชนกันหรือ crash)
:
+++++
👉 เพราะข้อดีของ hash function ที่ยกมา
เวลาเก็บ password ลงฐานข้อมูล จึงควรเปลี่ยนไปใช้ค่า hash แทน
.
รับรองได้ว่าต่อให้ hacker เจาะระบบเข้ามาได้ (กรณีเลวร้ายสุดๆ แหละ)
...แล้วอ่าน password ที่ถูกเข้ารหัส ก็จะอ่านไม่รู้เรื่อง
...ต่อให้พยายามถอดกลับมาเป็นข้อความต้นฉบับ ก็ทำไม่ได้นะจ๊ะ
:
ฟังเหมือนปลอดภัยนะ ถ้าเก็บรักษา password ด้วยวิธี hash function แต่ทว่า hacker ก็ยังสามารถใช้วิธีเดาสุ่มหา password ได้อยู่ดี ...ไม่ยากด้วย ขอบอกเลย
:
👉 ยกตัวอย่างง่ายๆ วิธี hack พาสเวิร์ดเบสิกสุดๆ
- ให้คิดว่าตอนนี้ hacker เจาะระบบเข้าไปอ่าน password ในฐานข้อมูลได้แล้ว
- จากนั้น hacker จะมองหาค่า hash (ของ password) ในฐานข้อมูลที่ซ้ำๆ กันอยู่
- นั่นหมายถึงเจอยูสเซอร์ใช้ password ซ้ำกัน จึงเจอค่า hash ซ้ำกันนั่นเอง
- แล้วการที่ยูสเซอร์ใช้ซ้ำ แสดงว่ามันเป็น password ง่ายนะซิ เช่น
123456, 1111, Baseball, Qwerty, password
.
ดังนั้น hacker ก็แค่ค้นหาในตาราง
ตารางที่ว่าจะเก็บ password พร้อมค่า hash
(เก็บพวก password ที่คนใช้กันเยอะ)
ซึ่ง hacker ก็จะค้นหาหาในตารางดังกล่าว
แบบไล่สุ่มไปเรื่อยๆ เดี่ยวก็เจอไม่ยาก
:
++++
👉 ก็เพราะเหตุนี้จึงต้องหาวิธีแก้ทาง hacker
ให้เดาสุ่มหา password มันทวีความยุ่งยากไปอีก
(จุดประสงค์ป้องเทคนิคพวกเดาสุ่ม เช่น
dictionary attacks, Brute Force Attacks, Lookup Tables,
Reverse Lookup Tables, Rainbow Tables)
:
👉 สำหรับวิธีการป้องกัน ก็จะทำประมาณเนี่ย
ก่อนที่จะเก็บ password ลงฐานข้อมูล ระบบจะต้องทำเยี่ยงนี้
1) จะนำ password มากบวกกับค่า salt
2) จากนั้นนำค่าที่ได้จากข้อ 1 มาเข้า hash function
แล้วเก็บค่า hash ที่ได้ลงฐานข้อมูล
.
ขออธิบายข้อ 2 เพิ่มเติม
จากเดิมเราเรียกใช้ hash function เช่น
hash("1234")
แต่เราจะเปลี่ยนมาเรียก
hash("1234" + "QxLUF1bgIAdeQX")
hash("1234" + "bv5PehSMfV11Cd")
hash("1234" + "YYLmfY6IehjZMQ")
.
ซึ่ง "QxLUF1bgIAdeQX", "bv5PehSMfV11Cd", "YYLmfY6IehjZMQ" ที่ยกตัวอย่าง
มันก็คือค่า "salt" (ที่แปลว่า "เกลือ")
เป็นค่า radom ที่แจกให้แต่ละยูสเซอร์ ไม่ซ้ำกันเลย
เราจะนำมาบวกกับ password ก่อนเข้า hash function
:
เวลาเก็บ password ในฐานข้อมูล
แต่ละยูสเซอร์จะต้องเก็บทั้งค่า hash กับ salt เอาไว้
.
👉 พอเวลายูสเซอร์ล็อกอินใส่ user name / password
1) ระบบก็เอา password มาบวกกับ salt
(แต่ละยูสเซอร์เก็บค่า salt คนละค่า)
2) นำค่าที่ได้จากข้อ 1 มาเข้า hash funcion
3) นำค่าที่ได้จากข้อ 2 ไปเปรียบเทียบกับ ค่า hash ในฐานข้อมูล
4) ถ้าตรงกันแสดงว่ายูสเซอร์ป้อน password ถูกต้อง แสดงว่าล็อกอินสำเร็จ
..
แต่มีข้อแม้ hash function ที่ควรใช้ได้แก่
Argon2, bcrypt, scrypt ($2y$, $5$, $6$), หรือ PBKDF2
มันถึงจะปลอดภัย ทำให้การเดาสุ่มหา password ทำได้ยากขึ้น
.
ส่วนพวก hash function ที่ทำงานได้รวดเร็ว เช่น
MD5, SHA1, SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3, etc.
เนี่ยห้ามใช้นะครับ
หรืออย่าง crypt (เวอร์ชั่น $1$, $2$, $2x$, $3$) ก็ไม่ห้ามใช้นะครับ
:
+++++
👉 ในแง่การเขียนโปรแกรม
เข้าใจว่าแต่ละภาษาโปรแกรมมิ่ง หรือพวกเฟรมเวิร์ค
เขาคงเตรียมไลบรารี่ หรือเครื่องมือ
เอาไว้ให้ใช้ hash function รวมกับค่า salt อยู่แล้ว
เราสามารถเปิดคู่มือ แล้วทำตามได้เลยครับ
:
++++
👉 ย้ำที่อธิบายทั้งหมดนี้
เป็นการป้องกันการเจาะระบบฝั่งแอพ หรือระบบเท่านั้น
hacker ยังสามารถเดาสุ่มป้อน password
ได้โดยตรงที่หน้าแอพ หรือฝั่งล็อกอินหน้าโปรแกรมได้เลย (Brute Force Attacks)
.
ทางที่ดีระบบต้องเช็กว่าถ้ายูสเซอร์กรอก password ผิดติดต่อกันกี่ครั้ง?
ถึงจะระงับการใช้ user name นี้ชั่วคราว หรือจะแบน IP ที่ล็อกอินเข้ามาไปเลยก็ยังได้
.
ยิ่งถ้าเป็นการล็อกอินผ่านเว็บไซต์
ก็ควรให้เว็บเราใช้โปรโตคอล https ขืนไปใช้ http ธรรมดา
โอกาสเจอ hacker ดักจับ user name/ passwod กลางทางมีสูงมาก
.
เว้นแต่เราจะใช้เทคนิค Digest Access Authentication เข้าช่วย
ทำให้การส่ง user name/password ผ่าน http ธรรมดาได้อย่างปลอดภัย (แต่โค้ดดิ่งก็จะยุ่งยากตาม)
:
+++
😁 สรุป
1) เก็บพาสเวิร์ดตรงๆ โดยไม่เข้ารหัส -> hacker ชอบนักแล
2) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values -> hacker อ่านไม่ออกก็จริง แต่ไม่ยากที่จะเดา password
3) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values + salt vaues
-> hacker อ่านไม่ออก ต่อให้ไปเดาสุ่ม ก็จะทำได้ยากขึ้น
จุดประสงค์ข้อ 3 นี้เพื่อป้องกันด้วยเทคนิค ..... dictionary attacks, Brute Force Attacks, Lookup Tables, Reverse Lookup Tables, Rainbow Table
.
สุดท้ายขอจบเรื่อง hash funcion กับ password
ให้รอดพ้นจาก hacker ไว้เพียงเท่านั้น
หวังว่าจะเป็นประโยชน์ต่อทุกท่านนะครับ
.
++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
อ้างอิง
https://crackstation.net/hashing-security.htm
https://en.wikipedia.org/wiki/Hash_function

Tags:
โปรแกรมเมอร์ไทย Thai programmer

About author
เพจนี้เปิดใช้งานเมื่อ 22 มิถุนายน 2014 เพจนี้เน้นหนักไป ทางการเขียนโปรแกรม คอมพิวเตอร์ และไอที ล้วน ๆ แบบฮาร์ดคอ หรือจะไร้สาระ มุกตลกขำ
ให้สาระด้านไอที คอมพิวเตอร์ และอาชีพโปรแกรมเมอร์ และสายงานด้านคอมพิวเตอร์
160760 followers 154764 likes "https://www.patanasongsivilai.com/blog/"
View all posts

password dictionary 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的精選貼文

โปรแกรมเมอร์ไทย Thai programmer By โปรแกรมเมอร์ไทย Thai programmer

2020-07-19 10:28:55 有 412 人按讚
  • Share this:


#โปรแกรมเมอร์ เก็บ Password แบบไหน? ถึงจะปลอดภัย
ในทางโปรแกรมมิ่งการเก็บ password ลงฐานข้อมูล (Database) ไม่ได้เก็บกันตรงโต้งๆ ไม่งั้นใครมาเห็นก็อ่านได้หมด ซวยกันพอดี
:
วิธีเก็บ password ที่ปลอดภัย
จะนำมาผ่าน Hash function เสียก่อน เช่น
hash("1234") ได้คำตอบออกมาเป็น
a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9
:
หน้าที่ hash function จะแปลงพาสเวิร์ด "1234"
เป็นข้อความลับอะไรซักอย่างที่อ่านไม่ออก
ทั้งนี้ขนาดข้อความที่ได้จาก hash function จะคงที่ (fixed size)
:
สำหรับค่าที่ได้จาก Hash function มีหลายชื่อให้เรียกขาน เช่น
hash values, hash codes, digests
แต่ผมจะเรียกสั้นๆ ว่า "ค่า hash" แล้วกัน
:
ส่วนฟังก์ชั่นที่ใช้เป็น Hash function ในโลกนี้มีหลายตัว เช่น
MD5, SHA256, SHA512, RipeMD, WHIRLPOOL เป็นต้น
:
+++++
👉 ตัดกลับมาตอนนี้เราเก็บ password ในฐานข้อมูลเป็นค่า hash แล้วเวลายูสเซอร์ล็อกอินกรอก user name ป้อน password เข้ามาในระบบ
.
ก็จะมีสเตปการตรวจสอบ password ประมาณเนี่ย
.
1) ระบบจะเอา password มาเข้า hash funcion ได้เป็นค่า hash
2) เอาค่า hash ในข้อ 1 ไปเทียบดูในฐานข้อมูล (ของยูสเซอร์นั้น)
3) ถ้าค่าตรงกันแสดงว่ายูสเซอร์ป้อน password ได้ถูกต้อง แสดงว่าล็อกอินสำเร็จ
:
👉 เหตุผลที่ hash function มัน ok เพราะอาศัยคุณสมบัติดังนี้
1) hash function มันทำงานทางเดียว (one-way)
หมายถึงเราไม่สามารถนำค่า hash มาย้อนหาข้อความต้นฉบับได้เลย
.
ในกรณีนี้ต่อให้ hacker เห็นค่า hash เขาจะไม่สามารถถอดกลับ
มาเป็น "1234" ได้เลย
.
ด้วยเหตุนี้ค่า hash บางทีเขาจึงเรียกว่า "message digest" หมายถึง "ข้อความที่ย่อยสลาย" ...จนไม่รู้ต้นฉบับหน้าตาเป็นแบบไหนแล้ว
:
2) ถ้าข้อความต้นฉบับหน้าตาเดียวกันเป๊ะทุกกะเบียดนิ้ว
เวลาผ่าน hash function จะได้ค่า hash เหมือนเดิม
พอเปลี่ยนข้อความต้นฉบับนิดหนึ่ง
แม่เจ้า ....ค่า hash เปลี่ยนไปราวฟ้ากับเหว ต่างกันมาก
.
จึงเป็นไปไม่ได้ที่เราจะเก็บ password ต่างกัน
แล้วได้ค่า hash เดียวกัน ...เป็นไปไม่ด้ายยยย
(ไม่มีการชนกันหรือ crash)
:
+++++
👉 เพราะข้อดีของ hash function ที่ยกมา
เวลาเก็บ password ลงฐานข้อมูล จึงควรเปลี่ยนไปใช้ค่า hash แทน
.
รับรองได้ว่าต่อให้ hacker เจาะระบบเข้ามาได้ (กรณีเลวร้ายสุดๆ แหละ)
...แล้วอ่าน password ที่ถูกเข้ารหัส ก็จะอ่านไม่รู้เรื่อง
...ต่อให้พยายามถอดกลับมาเป็นข้อความต้นฉบับ ก็ทำไม่ได้นะจ๊ะ
:
ฟังเหมือนปลอดภัยนะ ถ้าเก็บรักษา password ด้วยวิธี hash function แต่ทว่า hacker ก็ยังสามารถใช้วิธีเดาสุ่มหา password ได้อยู่ดี ...ไม่ยากด้วย ขอบอกเลย
:
👉 ยกตัวอย่างง่ายๆ วิธี hack พาสเวิร์ดเบสิกสุดๆ
- ให้คิดว่าตอนนี้ hacker เจาะระบบเข้าไปอ่าน password ในฐานข้อมูลได้แล้ว
- จากนั้น hacker จะมองหาค่า hash (ของ password) ในฐานข้อมูลที่ซ้ำๆ กันอยู่
- นั่นหมายถึงเจอยูสเซอร์ใช้ password ซ้ำกัน จึงเจอค่า hash ซ้ำกันนั่นเอง
- แล้วการที่ยูสเซอร์ใช้ซ้ำ แสดงว่ามันเป็น password ง่ายนะซิ เช่น
123456, 1111, Baseball, Qwerty, password
.
ดังนั้น hacker ก็แค่ค้นหาในตาราง
ตารางที่ว่าจะเก็บ password พร้อมค่า hash
(เก็บพวก password ที่คนใช้กันเยอะ)
ซึ่ง hacker ก็จะค้นหาหาในตารางดังกล่าว
แบบไล่สุ่มไปเรื่อยๆ เดี่ยวก็เจอไม่ยาก
:
++++
👉 ก็เพราะเหตุนี้จึงต้องหาวิธีแก้ทาง hacker
ให้เดาสุ่มหา password มันทวีความยุ่งยากไปอีก
(จุดประสงค์ป้องเทคนิคพวกเดาสุ่ม เช่น
dictionary attacks, Brute Force Attacks, Lookup Tables,
Reverse Lookup Tables, Rainbow Tables)
:
👉 สำหรับวิธีการป้องกัน ก็จะทำประมาณเนี่ย
ก่อนที่จะเก็บ password ลงฐานข้อมูล ระบบจะต้องทำเยี่ยงนี้
1) จะนำ password มากบวกกับค่า salt
2) จากนั้นนำค่าที่ได้จากข้อ 1 มาเข้า hash function
แล้วเก็บค่า hash ที่ได้ลงฐานข้อมูล
.
ขออธิบายข้อ 2 เพิ่มเติม
จากเดิมเราเรียกใช้ hash function เช่น
hash("1234")
แต่เราจะเปลี่ยนมาเรียก
hash("1234" + "QxLUF1bgIAdeQX")
hash("1234" + "bv5PehSMfV11Cd")
hash("1234" + "YYLmfY6IehjZMQ")
.
ซึ่ง "QxLUF1bgIAdeQX", "bv5PehSMfV11Cd", "YYLmfY6IehjZMQ" ที่ยกตัวอย่าง
มันก็คือค่า "salt" (ที่แปลว่า "เกลือ")
เป็นค่า radom ที่แจกให้แต่ละยูสเซอร์ ไม่ซ้ำกันเลย
เราจะนำมาบวกกับ password ก่อนเข้า hash function
:
เวลาเก็บ password ในฐานข้อมูล
แต่ละยูสเซอร์จะต้องเก็บทั้งค่า hash กับ salt เอาไว้
.
👉 พอเวลายูสเซอร์ล็อกอินใส่ user name / password
1) ระบบก็เอา password มาบวกกับ salt
(แต่ละยูสเซอร์เก็บค่า salt คนละค่า)
2) นำค่าที่ได้จากข้อ 1 มาเข้า hash funcion
3) นำค่าที่ได้จากข้อ 2 ไปเปรียบเทียบกับ ค่า hash ในฐานข้อมูล
4) ถ้าตรงกันแสดงว่ายูสเซอร์ป้อน password ถูกต้อง แสดงว่าล็อกอินสำเร็จ
..
แต่มีข้อแม้ hash function ที่ควรใช้ได้แก่
Argon2, bcrypt, scrypt ($2y$, $5$, $6$), หรือ PBKDF2
มันถึงจะปลอดภัย ทำให้การเดาสุ่มหา password ทำได้ยากขึ้น
.
ส่วนพวก hash function ที่ทำงานได้รวดเร็ว เช่น
MD5, SHA1, SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3, etc.
เนี่ยห้ามใช้นะครับ
หรืออย่าง crypt (เวอร์ชั่น $1$, $2$, $2x$, $3$) ก็ไม่ห้ามใช้นะครับ
:
+++++
👉 ในแง่การเขียนโปรแกรม
เข้าใจว่าแต่ละภาษาโปรแกรมมิ่ง หรือพวกเฟรมเวิร์ค
เขาคงเตรียมไลบรารี่ หรือเครื่องมือ
เอาไว้ให้ใช้ hash function รวมกับค่า salt อยู่แล้ว
เราสามารถเปิดคู่มือ แล้วทำตามได้เลยครับ
:
++++
👉 ย้ำที่อธิบายทั้งหมดนี้
เป็นการป้องกันการเจาะระบบฝั่งแอพ หรือระบบเท่านั้น
hacker ยังสามารถเดาสุ่มป้อน password
ได้โดยตรงที่หน้าแอพ หรือฝั่งล็อกอินหน้าโปรแกรมได้เลย (Brute Force Attacks)
.
ทางที่ดีระบบต้องเช็กว่าถ้ายูสเซอร์กรอก password ผิดติดต่อกันกี่ครั้ง?
ถึงจะระงับการใช้ user name นี้ชั่วคราว หรือจะแบน IP ที่ล็อกอินเข้ามาไปเลยก็ยังได้
.
ยิ่งถ้าเป็นการล็อกอินผ่านเว็บไซต์
ก็ควรให้เว็บเราใช้โปรโตคอล https ขืนไปใช้ http ธรรมดา
โอกาสเจอ hacker ดักจับ user name/ passwod กลางทางมีสูงมาก
.
เว้นแต่เราจะใช้เทคนิค Digest Access Authentication เข้าช่วย
ทำให้การส่ง user name/password ผ่าน http ธรรมดาได้อย่างปลอดภัย (แต่โค้ดดิ่งก็จะยุ่งยากตาม)
:
+++
😁 สรุป
1) เก็บพาสเวิร์ดตรงๆ โดยไม่เข้ารหัส -> hacker ชอบนักแล
2) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values -> hacker อ่านไม่ออกก็จริง แต่ไม่ยากที่จะเดา password
3) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values + salt vaues
-> hacker อ่านไม่ออก ต่อให้ไปเดาสุ่ม ก็จะทำได้ยากขึ้น
จุดประสงค์ข้อ 3 นี้เพื่อป้องกันด้วยเทคนิค ..... dictionary attacks, Brute Force Attacks, Lookup Tables, Reverse Lookup Tables, Rainbow Table
.
สุดท้ายขอจบเรื่อง hash funcion กับ password
ให้รอดพ้นจาก hacker ไว้เพียงเท่านั้น
หวังว่าจะเป็นประโยชน์ต่อทุกท่านนะครับ
.
++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
อ้างอิง
https://crackstation.net/hashing-security.htm
https://en.wikipedia.org/wiki/Hash_function

Tags:
โปรแกรมเมอร์ไทย Thai programmer

About author
เพจนี้เปิดใช้งานเมื่อ 22 มิถุนายน 2014 เพจนี้เน้นหนักไป ทางการเขียนโปรแกรม คอมพิวเตอร์ และไอที ล้วน ๆ แบบฮาร์ดคอ หรือจะไร้สาระ มุกตลกขำ
ให้สาระด้านไอที คอมพิวเตอร์ และอาชีพโปรแกรมเมอร์ และสายงานด้านคอมพิวเตอร์
160760 followers 154764 likes "https://www.patanasongsivilai.com/blog/"
View all posts

password dictionary 在 iT24Hrs Youtube 的精選貼文

iT24Hrs By iT24Hrs

2011-06-25 00:19:31 有 4,958 人看過 有 16 人喜歡
  • Share this:

http://www.it24hrs.com/2011/password-attack/
รายการ ไอที24ชั่วโมง (iT24hrs) "Password Attack ภัยร้ายที่ต้องรู้ก่อนจะสาย!" ออกอากาศวันอังคารที่ 21 มิถุนายน 2554 ในเที่ยงวันทันเหตุการณ์ ไทยทีวีสีช่อง3

post-title
iT24Hrs

About author
iT24Hrs | ไอที 24 ชั่วโมง นำเสนอเนื้อหาความรู้ เทคนิค เคล็ดลับ เทคโนโลยีใกล้ตัว ที่สามารถนำไปใช้ได้จริงในชีวิตประจำวัน พร้อมอัปเดต ข่าวไอที และ เรื่องราวเทคโนโลยีที่เป็นกระแส สนุก เข้าใจง่าย เหมาะกับทุกเพศ ทุกวัย ไอที 24 ชั่วโมง รายการโทรทัศน์ เวบไซต์ และ คลิปวิดีโอออนไลน์ ผลิตโดย ดร. ปานระพี รพิพันธุ์ และ ทีมงาน บริษัท อะแฮพเพนเนอร์ จำกัด ? iT24Hrs | รายการไอที 24 ชั่วโมง ความรู้เทคนิค เคล็ดลับ เกร็ดเล็กเกร็ดน้อย เกี่ยวกับเทคโนโลยีใกล้ตัว ออกอากาศทางช่อง 9 MCOT HD ทุกวันอาทิตย์ เวลา 13.00 น. ? Digital Thailand | รายการดิจิทัลไทยแลนด์ เจาะลึก และ สร้างความรู้ความเข้าใจที่ถูกต้อง เกี่ยวกับเทคโนโลยีรอบๆตัวเรา ออกอากาศทางช่อง 3HD (ช่อง 33) ทุกวันเสาร์ เวลา 4.40 - 5.05 น. ติดตามเนื้อหาเพิ่มเติม ? https://www.it24hrs.com ? https://facebook.com/it24hrs ? https://twitter.com/it24hrs เกี่ยวกับ เอิ้น ปานระพี ? https://www.it24hrs.com/panraphee ? https://twitter.com/panraphee ? https://instagram.com/panraphee ติดต่องาน ? https://www.it24hrs.com/contact ? โทร 080-2345023
248000 subscribers 20457711 viewes
View all posts
社群媒體上有些相關的討論:

password dictionary 在 Where can I find good dictionaries for dictionary attacks? 的推薦與評價

@GeorgeBailey I needed a list of rejectable passwords for a password change function on our website. – Mike. Apr 22 '16 at 16:44. Add a comment ... ... <看更多>

相關內容

password dictionary 在 NIST Bad Passwords | NBP - GitHub Pages 的推薦與評價

Check new passwords against a dictionary of known-bad choices. You don't want to let people use ChangeMe, thisisapassword, yankees, and so on. ... <看更多>

你可能也想看看
password中文
Password dictionary
Verify your password
password縮寫
Passwords
password翻譯
Confirm password
CrackStation
搜尋相關連結

#1. PASSWORD在劍橋英語詞典中的解釋及翻譯 - Cambridge Dictionary

password 的意思、解釋及翻譯:1. a secret word or combination of letters ... Electronic dictionaries abound, so a would-be intruder can easily ...

#2. CrackStation's Password Cracking Dictionary

What's in the list? The list contains every wordlist, dictionary, and password database leak that I could find on the internet (and I spent a LOT of time ...

#3. Dictionary attack - Wikipedia

Dictionary attacks often succeed because many people have a tendency to choose short passwords that are ordinary words or common passwords; ...

#4. Passwords - GitHub

沒有這個頁面的資訊。

#5. Password Definition & Meaning | Dictionary.com

Password definition, a secret word or expression used by authorized persons to prove their right to access, information, etc. See more.

#6. What is a dictionary attack? - Definition from WhatIs.com

A dictionary attack is a method of breaking into a password-protected computer, network or other IT resource by systematically entering every word in a ...

#7. Password Dictionary where to download and how to make them

One of the most used password pentesting method is password dictionary attack. In this case, the cracking tool sequentially checks all ...

#8. Password Definition & Meaning - Merriam-Webster

Definition of password ; 1 · something that enables one to pass or gain admission: such as ; a · a spoken word or phrase required to pass by a guard.

#9. What is a password dictionary attack? - Specops Software

A password dictionary attack is a brute-force hacking method used to break into a password-protected computer or server by systematically ...

#10. Where can I find good dictionaries for dictionary attacks?

@GeorgeBailey I needed a list of rejectable passwords for a password change function on our website. – Mike. Apr 22 '16 at 16:44. Add a comment ...

#11. Dictionary Attacks - Hacksplaining

A dictionary attack is attempt to guess passwords by using well-known words or phrases. Since most passwords are chosen by users, it stands to reason that ...

#12. Password Dictionary - Ldapwiki

Password Dictionary is a list or service that provides passwords that are either considered too Simple or compromised. Password Dictionary is a of ...

#13. Password definition and meaning | Collins English Dictionary

Password definition: A password is a secret word or phrase that you must know in order to be allowed to enter... | Meaning, pronunciation, translations and ...

#14. Brute-force & Dictionary Attacks: Definition and Prevention

Dictionary attack definition: “A type of brute force attack where an intruder attempts to crack a password-protected security system with a “dictionary list” of ...

#15. CAPEC-16: Dictionary-based Password Attack (Version 3.6)

An attacker tries each of the words in a dictionary as passwords to gain access to the system via some user's account. If the password chosen by the user ...

#16. Cracking Dictionaries - Enzoic

They contain word lists in the form of dictionary words, common passwords, iterations of common passwords, and exposed passwords. They can also contain ...

#17. 6 Types of Password Attacks & How to Stop Them | OneLogin

Six Types of Password Attacks & How to Stop Them · 1. Phishing · 2. Man-in-the-middle attack · 3. Brute force attack · 4. Dictionary attack · 5. Credential stuffing.

#18. password - DICT.TW Dictionary Taiwan

password 通行碼; 密碼; 暗碼; 口令( 字); 通行字; 保密字 PW. From: Network Terminology · password 通行碼. From: Webster's Revised Unabridged Dictionary (1913).

#19. What is a dictionary attack? And how you can easily stop them

A targeted form of brute force attack, dictionary attacks run through lists of common words, phrases, and leaked password to gain access to ...

#20. PASSWORD (noun) definition and synonyms - Macmillan ...

Definition of PASSWORD (noun): secret word for getting into place.

#21. How to Create a Strong Password and Beat the Hackers | Avast

The best passwords are random and strong enough to thwart a brute force or dictionary attack. Find out how to create good, easy-to-remember passwords here.

#22. Reducing Bias in Modeling Real-world Password Strength via ...

The consequence of inaccurately calibrating dictionary attacks is the unreliability of password security analyses, impaired by a severe measurement bias. In the ...

#23. What is a dictionary attack? | NordPass

If you use a common English word as your password, you might fall victim to a dictionary attack. Learn what it is and how you can protect ...

#24. [SOLVED] password dictionary check - Active Directory & GPO

You would probably need a 3rd party solution for this. However, why don't you set your password complexity requirements so your users can't use dictionary ...

#25. password - LDOCE - Longman Dictionary

password meaning, definition, what is password: a secret group of letters or ... From Longman Dictionary of Contemporary EnglishRelated topics: Computers, ...

#26. Password Cracking Dictionary's Download For Free

For cracking passwords, you might have two choices. 1. Dictionary Attack. 2. Brute Force Attack. The Dictionary attack is much faster then ...

#27. Strong Passwords - IS&T Contributions - Hermes - The ...

Strong Passwords Password rules Your password or pass phrase must conform to the ... It must not be a word that appears in the dictionary.

#28. How To Choose a Strong Password : TechWeb - Boston ...

For more information on choosing strong passwords visit the BU's IS&T page ... If you only use words from a dictionary or a purely numeric password, ...

#29. Wordlist for password cracking

wordlist for password cracking It also contains every word in the Wikipedia ... Mar 11, 2021 · rockyou wordlist is a password dictionary used to help to ...

#30. Password Check | Kaspersky

Improve the strength of your password to stay safe. ... This process can take a very long time, so dictionaries and lists of common passwords like "qwerty" ...

#31. Brute force and dictionary attacks: A cheat sheet - TechRepublic

Brute force encryption and password cracking are dangerous tools in the wrong hands. Here's what cybersecurity pros need to know to protect ...

#32. Password Tips | College of Arts and Sciences - Western ...

Character substitution is where you take a lowercase dictionary word and substitute in special characters, numbers and uppercase letters to make them more ...

#33. Password Meaning | Best 10 Definitions of Password

What does password mean? A secret word, phrase, or sequence of characters that must be presented in order to gain access or admittance. (noun)

#34. Password protection in Azure Active Directory | Microsoft Docs

Azure AD Password Protection detects and blocks known weak passwords and their variants, and can also block additional weak terms that are ...

#35. Encrypted Key Exchange: Password-Based Protocols Secure ...

Encrypted Key Exchange: Password-Based Protocols. Secure Against Dictionary Attacks. Steven M. Bellovin. Michael Merritt. AT&T Bell Laboratories.

#36. What is a Password? Get Definitions and ... - BeyondTrust

A Password is a word, phrase, or string of characters intended to ... Generating password guesses based on words in a dictionary of any language.

#37. Brute-force and dictionary attack on hashed real-world ...

Brute-force and dictionary attack on hashed real-world passwords ... but the password cracking tools, and more importantly, the computer hardware, ...

#38. Password Strength Meter

Test how secure they are using the My1Login Password Strength Test. ... It uses common password dictionaries, regular dictionaries, first name and last name ...

#39. NIST Bad Passwords | NBP - GitHub Pages

Check new passwords against a dictionary of known-bad choices. You don't want to let people use ChangeMe, thisisapassword, yankees, and so on.

#40. Guidelines for Strong Passwords - Information Technology ...

A strong password is one that is more secure by virtue of being difficult for a ... Any word that can be found in a dictionary, in any language (e.g., ...

#41. Dictionary Attack and Brute Force Attack: hacking passwords

#42. 12 Synonyms & Antonyms for PASSWORD | Thesaurus.com

Find 12 ways to say PASSWORD, along with antonyms, related words, and example sentences at Thesaurus.com, ... See definition of password on Dictionary.com.

#43. 6.2. pam_cracklib - checks the password against dictionary ...

The strength checks works in the following manner: at first the Cracklib routine is called to check if the password is part of a dictionary; if this is not the ...

#44. EFF Dice-Generated Passphrases - Electronic Frontier ...

This page includes information about passwords, different wordlists, ... We'll walk you through how to use EFF's Long Wordlist [.txt] to generate a ...

#45. What is a Brute Force | Common Tools & Attack Prevention

Tries all possible combinations using a dictionary of possible passwords. L0phtCrack—a tool for cracking Windows passwords. It uses rainbow tables, dictionaries ...

#46. Password Generator — Strong, Random & Secure ... - Nexcess

Use our free browser-based Secure Password Generator web tool to quickly generate secure traditional random character passwords or multiple word passwords.

#47. Dicionário Password. English Dictionary For Speakers Of ...

Compre online Dicionário Password. English Dictionary For Speakers Of Portuguese, de Kernerman, Lionel na Amazon. Frete GRÁTIS em milhares de produtos com o ...

#48. Passwords | Information Security Office

Princeton's password requirements Please note that the University's password ... A dictionary attack is a method of breaking into a password protected ...

#49. Cracking a protected PDF file using Hashcat and John The ...

If the dictionary attack does not work, then the Password Policy could be: Password length is less than 6 characters i.e. 0 < length < 6 ...

#50. Password Do's and Don'ts - Krebs on Security

Password -cracking tools freely available online often come with dictionary lists that will try thousands of common names and passwords. If you must use ...

#51. Fast Dictionary Attacks on Passwords Using Time-Space ...

dictionary attack. We evaluated our method on a database of real-world user password hashes. Our algorithm successfully recovered. 67.6% of the passwords ...

#52. Configuring Authentication - Oracle Help Center

Profiles can also control user passwords. To find information about the current password settings in the profile, you can query the DBA_PROFILES data dictionary ...

#53. The top 12 password-cracking techniques used by hackers

Most brute force attacks employ some sort of automated processing, allowing vast quantities of passwords to be fed into a system. 5. Dictionary attack. Sticky ...

#54. Password Checker - Evaluate pass strength, dictionary attack

Test your password strength against two basic types of cracking methods - the brute-force attack and the dictionary attack.

#55. Taking Password Cracking to the Next Level - CryptoKait

Aaron James When CrackStation, hashcat, and the infamous rockyou.txt wordlist aren't cracking those harder passwords, Aaron James shows you ...

#56. Blocking Brute Force Attacks Control | OWASP Foundation

An attacker can always discover a password through a brute-force attack, ... These attacks are called dictionary attacks or hybrid brute-force attacks.

#57. Securing Passwords Against Dictionary Attacks∗ - of Benny ...

When trying to improve the security of password based authentication, ... specific server using random passwords (or using a dictionary attack).

#58. Examples of a Strong Password - Lifewire

What to Know · Never use "password" as your password. Use a different password on every website. · Avoid using words listed in a dictionary as a ...

#59. Brute Force - CheatSheet - HackTricks

​https://github.com/google/fuzzing/tree/master/dictionaries​. ​https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm​ ...

#60. şahsi yayınlar Password Dictionary For Learnes Of English

şahsi yayınlar Password Dictionary For Learnes Of English: English-english-turkish yorumlarını inceleyin, Trendyol'a özel indirimli fiyata satın alın.

#61. Self-Service Password Management and Single Sign On ...

Not just a password reset tool. · Improve password security. Enforce strong user passwords by requiring special characters and blacklisting dictionary words and ...

#62. 1000 most common passwords list roblox

The list contains every wordlist, dictionary, and password database leak that I could find on the internet (and I spent a LOT of time looking).

#63. crunch | Kali Linux Tools

crunch Usage Example Generate a dictionary file containing words with a minimum and maximum length of 6 (6 6) using the given characters (0123456789abcdef), ...

#64. 10 most popular password cracking tools [updated 2020]

Dictionary attack: Most people use weak and common passwords. Taking a list of words and adding a few permutations — like substituting $ for ...

#65. WordPress password dictionary attack with WPScan

A tutorial on how to use WPScan to launch a weak password check / password dictionary attack on WordPress sites, to ensure users use strong ...

#66. password - Meaning in Hindi - Shabdkosh

password - Meaning in Hindi, what is meaning of password in Hindi dictionary, pronunciation, synonyms and definitions of password in Hindi and English.

#67. Weak password - Vulnerabilities - Acunetix

Don't permit weak passwords or passwords based on dictionary words. References. Wikipedia - Password strength · Authentication Hacking Attacks. Related ...

#68. NIST Special Publication 800-63B

Passwords obtained from previous breach corpuses. Dictionary words. Repetitive or sequential characters (e.g. 'aaaaaa', '1234abcd').

#69. Password security: How to create strong passwords in 5 steps

Avoid using real words: Hackers use malicious programs that can process every word found in a dictionary to crack passwords.

#70. How to Set and Manage Active Directory Password Policy

Dictionary attack — This is a specific form of brute force attack that involves trying words found in the dictionary as possible passwords.

#71. What is a Dictionary Attack? | Security Encyclopedia - HYPR

Poor password hygiene such as superficially updating passwords with successive numbers, symbols, or letters makes dictionary attacks easier to execute.

#72. Election Security Spotlight – Password Attacks

The most common attack methods include brute forcing, dictionary attacks, password spraying, and credential stuffing. Brute forcing is the attempt to guess ...

#73. How to Crack a Password - Guru99

Password cracking techniques · Dictionary attack– This method involves the use of a wordlist to compare against user passwords. · Brute force ...

#74. Strong Random Password Generator

Strong Password Generator to create secure passwords that are impossible to crack on ... brute force or dictionary attack method and protect your sensitive ...

#75. Fast dictionary attacks on passwords using time-space tradeoff

To decrease vulnerability of passwords to brute-force dictionary attacks, many organizations enforce complicated password-creation rules and ...

#76. Guidelines for Strong Passwords | Muhlenberg College

EXAMPLES OF WEAK PASSWORDS. Any word that can be found in a dictionary, in any language (e.g., airplane or aeroplano). A dictionary word with some letters ...

#77. Kali Linux - Password Cracking Tools - Tutorialspoint

We have created in Kali a word list with extension 'lst' in the path usr\share\wordlist\metasploit. Share Wordlist. The command will be as follows − hydra -l / ...

#78. Brute-force attacks with Kali Linux | by Pentestit | Medium

password — is a dictionary contains passwords;; -x ignore:mesg='Authentication failed' — is a command not to display a line contains that ...

#79. Use Strong Passwords | Harvard University Information Security

Do you use any of these as a password, or use them in combination with a single dictionary word? If so, you need to upgrade your password to something stronger.

#80. Unmasked: What 10 million passwords reveal about the ...

We've analyzed the password choices of 10 million people, from CEOs to scientists, ... child's play to guess using a dictionary attack.

#81. What is a dictionary attack and how does it work? - FutureLearn

Brute force attacks are best used for short, random passwords, while dictionary attacks are better tools to crack longer passwords based on real words or ...

#82. zxcvbn: realistic password strength estimation - Dropbox Tech ...

Over the last few months, I've seen a password strength meter on almost ... although it also checked against a common passwords dictionary.

#83. SUNet ID Passwords - Stanford University

On this page: Introduction Password rules Pass phrases Change/reset ... It must not be a single word that appears in the dictionary (English ...

#84. Strong Password Ideas For Greater Protection (With Examples)

Our guide to strong password ideas helps create a complex yet ... has a common dictionary word (March), and lacks special characters.

#85. password - English-Spanish Dictionary - WordReference.com

password - Translation to Spanish, pronunciation, and forum discussions. ... WordReference English-Spanish Dictionary © 2021: ...

#86. Password administration for system owners - NCSC.GOV.UK

This guidance is primarily for system owners responsible for determining password policy. For information about how to use passwords at home, please refer to ...

#87. SSH Password Testing With Hydra on Kali Linux - LinuxConfig ...

Learn how to test the strength of SSH passwords with Hydra on Kali ... You can specify a wordlist instead of a single password by using -P ...

#88. Password security recommendations - Apple Support

iOS, iPadOS, and macOS detect common patterns used to create memorable passwords, such as using words found in a dictionary, common character ...

#89. What is a Dictionary Attack? — Definition by Techslang

A dictionary attack is a means for a hacker to illegally access a computer by trying out various combinations of words and phrases to crack passwords.

#90. Adding Salt to Hashing: A Better Way to Store Passwords

Both dictionary attacks and brute-force attacks require the real-time computation of the hash. Since a good password hash function is slow, this ...

#91. Sign in to Macquarie Dictionary Online

Forgot your password? Please note: Username and Password are case sensitive. Please check to make sure you don't have the caps lock key on and try again.

#92. I'm Having Trouble Logging Into My Dictionary.com Account

We can only send password reset emails to email addresses which have a Dictionary.com account associated with them. If an account doesn't ...

#93. Settings | Django documentation

A dictionary containing the settings for all caches to be used with Django. ... If not provided, Django will generate a random password.

#94. How to Create a Strong Password (with Examples) | CyberNews

Use a password generator · Choose a passphrase rather than a password · Opt for a more secure version of dictionary method · Play around with ...

#95. Choosing and Protecting Passwords | CISA

Passwords are a common form of authentication and are often the only barrier ... creates a password very different from any dictionary word.

#96. The Basics of Hacking and Penetration Testing: Ethical ...

There are many different tools that can be used for online password cracking. ... A password dictionary is a file that contains a ...

#97. OpenVMS System Management Guide - 第 344 頁 - Google 圖書結果

By default, OpenVMS tracks up to the last 60 passwords used by each user ... The password dictionary contains about 50,000 words and is stored in the file ...