L'uso di un certo tipo di numeri costituisce una buona password?

2

I numeri speciali (numero trascendentale, i primi elementi di alcune sequenze e così via ...) creano buone password in termini di rottura della forza bruta?

EDIT: Perché sto chiedendo questo?

Un mio amico sta compilando un elenco di alcuni consigli su come le persone sul posto di lavoro dovrebbero scegliere le password. Da quello che mi ha detto, all'inizio ne ha usato uno "standard" (sai, "scegli la tua password da una a sei lettere e due numeri ...") e giunse alla conclusione che la maggior parte delle persone ignorava quei consigli e utilizza password come "password", "data di nascita", ...

Così ha deciso di inventare un elenco di raccomandazioni più interessanti , sperando che motivasse le persone a pensarci almeno. E così abbiamo iniziato a pensare a cosa mettere nell'elenco che potesse rivelarsi utile.

security  passwords 
Torre
fonte
2
liori,

Risposte:

6

Non dovrebbe davvero fare molta differenza, in una tipica forza bruta, qualcuno probabilmente cercherà - [az] + [AZ] + [0-9], il che significa che il tuo numero verrà trovato.

Siamo spiacenti, non hai fornito abbastanza dettagli sulla serie di numeri che utilizzerai, ma ecco alcuni consigli generali:

Quando si tratta di password, una lunga è MOLTO migliore e, soprattutto, memorabile, ad esempio:

thisismyverylongbutcomplexpasswordphrasethaticanremember
(This is my very long but complex password phrase that i can remember)

Questo ha 56 caratteri e anche usando solo [az] (lettere minuscole), ha (a meno che non abbia sbagliato la mia matematica) - 1.7318388839216286227999402745695e + 79 combinazioni.

Se hai appena avuto una password normale, diciamo, 

myP@55w0rd123456
(my password 123456)

Questo ha 16 caratteri e c'è una possibilità che dimenticherai - come per la forza bruta - usando [az] [AZ] [0-9] [Simboli], (dicendo una media di 170, che include oltre 100 caratteri), dando un totale di 4.8661191875666868481e + 35

Ovviamente, avere una combinazione di una password molto lunga ma complessa è la migliore, ma è facile da dimenticare e può richiedere molto tempo per essere digitata. qualunque cosa accada, ci vorrà molto tempo perché un hacker impieghi una forza bruta.

Ad ogni modo, questa è solo una guida generale, ma spero che ti abbia aiutato anche se non ho parlato direttamente della tua vera domanda.

William Hilsum
fonte
3
Sembra che tu stia preferendo una password lunga rispetto a una più corta e complessa? Le combinazioni 26 ^ 56 = 1.73e + 79 sono probabilmente memorizzate come alcuni hash SHA1, che ha 2 ^ 160 = 1.46e + 48 possibili valori. Quindi, si potrebbe trovare un altro SHA1 corrispondente molto prima che venga provata la vera password.
Arjan,
Se (come me) tendi a fare molti errori di battitura, una password lunga come quella può davvero rovinare la tua mattinata.
Ha iniziato il
@Arjan, sì, ma è probabile che la password di collisione non si trovi in ​​una tabella arcobaleno, principalmente perché potrebbe contenere caratteri "non tipizzabili", che di solito non vengono presi in considerazione quando si utilizza la forza bruta
R. Martinho Fernandes,
Non definirei le tavole arcobaleno come forza bruta, ma forse mi sbaglio. Ma proprio per questa ragione (i caratteri "non tipizzabili" [..] di solito non vengono presi in considerazione quando si usa la forza bruta) preferirei password più brevi e complesse rispetto a password lunghe e semplici.
Arjan,
Tuttavia, usando le tabelle arcobaleno o no, hai ragione sul fatto che non tutte le password in collisione potrebbero essere provate con la forza bruta. Ma anche all'interno di quel set limitato di 26 caratteri ci saranno, in media, (26 ^ 56/2 ^ 160) = 1.18e + 31 collisioni. (Ma bene, in realtà non si tratta solo di quali caratteri qualcuno usa in una password, ma anche di ciò che il sistema consente e applica, come memorizza le password e a quali dati ha accesso un utente malintenzionato.)
Arjan
6

In termini di forza bruta, non esiste una password "buona", tranne per massimizzare lo spazio delle chiavi. La forza bruta impiegherà in media altrettanto tempo se si utilizzano numeri speciali come altrimenti.

In risposta alla tua modifica: sembra che tu stia cercando di allontanare le persone da password che possono essere indovinate facilmente con un attacco del dizionario o un social engineering (ad esempio la data di nascita). Potresti considerare di fornire alcune password facili da ricordare che non ricadono facilmente in questi attacchi. Un sito Web che ho visto fornisce password composte da due piccole parole separate da un numero, ad esempio: hair123car, pole18dog, ecc ... Potresti generarle facilmente con un elenco di parole piccole (3-5 caratteri) e un generatore di numeri . Potrebbero non essere password molto forti, ma andranno meglio di "password" e sono più carini per l'utente di "$ 0mEh4rDP @ sSw0rD".

piede di porco
fonte
Se quel sito Web non è stato creato da un hacker felice per cominciare, allora qualsiasi implementazione di forza bruta probabilmente verrà fuori con lo stesso meccanismo, in una fase di un attacco di forza bruta ...?
Arjan,
È certamente meno sicuro di una password completamente casuale, ma non cadrà in un semplice attacco del dizionario. C'è un compromesso che deve essere fatto tra casualità e usabilità, soprattutto considerando la base di utenti.
Jimmy,
2

La chiave per rendere le password difficili da decifrare è sceglierne una al di fuori dello "spazio di ricerca" che potrebbe essere utilizzato da un potenziale cracker. Scegliere le prime 10 cifre di pi potrebbe essere una pessima scelta se il tuo nome di accesso è "pi-lover" o "geometria" o altro.

Wil ha ragione. A parità di condizioni, una password lunga è più difficile da decifrare di una più corta. Ma se ho una conoscenza speciale - che potrebbe essere la conoscenza che inavvertitamente fornisci attraverso altri canali - allora ho buone possibilità di (eventualmente) hackerare la mia strada. La persona che ha violato l'account Yahoo di Sarah Palin è stata in grado di scoprire le risposte a lei domande sulla sicurezza ricercandole online.

Se avrò accesso fisico alla tua macchina, nulla mi terrà fuori a lungo a meno che il tuo intero hard disk non sia crittografato. Posso camminare fino al 95% dei computer del pianeta con un CD live, avviare da quello e ho accesso a (quasi) tutte le risorse sulla scatola, nessuna password richiesta.

DaveParillo
fonte
2

Concordo con tutti coloro che hanno pubblicato prima di me, ma considera anche che l'uso di trascendentali noti (ad esempio e o sqrt (2)) è controproducente, perché è probabile che si trovino nel dizionario di qualcuno.

CarlF
fonte
2

Sì, alcuni numeri creano password fantastiche, se tieni premuto alt mentre li digiti sul tastierino numerico.

130 = é 132 = ä

E così via.

tsilb
fonte
4
Questo sembra un po 'pericoloso. Non si può essere certi che ogni sistema sia in grado di gestire password non ASCII e probabilmente non è possibile digitarle di fronte a un layout di tastiera diverso. Potresti bloccarti fuori dal sistema in quel modo.
Thilo,
2
E sei bloccato con un computer Windows. Divertiti a ricordare tutti quei personaggi da usare su una macchina OS X o da un dispositivo mobile.
Josh Hunt,
Su OS X, su molti layout di tastiera è sufficiente ricordare il tasto Opzione ...
Arjan,
Questi sono i punti giusti, ma se fai la matematica, la mia password di 13 cifre ad alta sicurezza con due di questi richiederebbe così tanto tempo da decifrare, sarebbe dopo la calda morte dell'universo. Fino a quando non avremo i computer quantistici ... o se qualcuno
prendesse in
1
@Chris: i cracker di password scansionano sempre 0-9 e di solito! -), ma raramente controllano questi caratteri, specialmente quando usi quelli che non fanno parte di nessuna lingua - ░▒▓█│┼ e così via.
tsilb,
2

Ehi, non penso che la mia password sia molto complicata (anche se sono stata più creativa del semplice utilizzo di "password";). Ho fatto buone esperienze con l'uso di password da una lingua straniera, ad esempio francese o spagnolo.

un regalo
fonte
1

Un modo semplice per testarlo da soli sarebbe quello di creare un documento in Word (o un nuovo file zip in Winzip) e password il file. Ora scarica uno dei tanti programmi gratuiti per decifrare le password e guarda quanto tempo impiega per decifrare il file. Ne ho fatte alcune di recente (per motivi di lavoro legittimi, persone che se ne vanno in breve tempo, lasciandosi dietro file importanti con password sconosciute).

Lanciare un cracker basato su dizionario in un file con una semplice password richiede millisecondi per decifrare. La forzatura bruta di un file con una password numerica a sei cifre (specialmente quando conosci il suo numero) richiede alcuni secondi, non importa davvero quanto matematicamente oscuri il tuo numero, un cracker a forza bruta li prova tutti.

Quando si espande in parole non di dizionario con più di sei caratteri con un mix di tipi di caratteri (minuscoli, maiuscoli, numeri, simboli della tastiera, caratteri speciali) il tempo impiegato aumenta esponenzialmente.

GAThrawn
fonte
1
+1, ma si noti che le corrette operazioni di cracking della password useranno programmi più efficienti con una maggiore potenza di elaborazione parallela. 1 milione di anni è ancora troppo lungo, indipendentemente dal potere, in questo momento, però: P
Phoshi,
1
A metà degli anni Novanta ho scaricato "crack" per confermare l'integrità della password di ogni utente unix password in ufficio. Nella prima notte ho violato il 60% delle password dell'ufficio. Ci sono voluti meno di 10 secondi per decifrare i primi 15, perché gli indizi sulle password erano basati sul nome utente. Un ragazzo era certo che non avrei rotto il suo. Ho appena risposto "È il nome di tuo figlio, cambia l''i 'in un' 1 '. È stato spazzato via. Calore morte dell'universo o no, tutte le password sono per loro stessa natura vulnerabili.
DaveParillo,
2
La potenza di calcolo è "solo" rilevante quando qualcuno ha accesso alle password con hash o (come in questa risposta) la password si applica ad alcuni file. Quando si utilizza la forza bruta in combinazione con l'effettivo tentativo di accesso, penso che la velocità massima sia limitata dalla reattività del server (che, si spera, ha implementato anche qualcosa di conteggio di accesso non riuscito).
Arjan,
0

Se vuoi davvero essere sicuro, non vuoi usare nessuna parola del dizionario nella tua password; anche se sostituisci tutte "a" con "@", o "s" con "5", o "e" con "3", ecc. Se si tratta di una parola del dizionario, è possibile indovinarla e la maggior parte delle persone sceglie un parola che significa qualcosa per loro che renderebbe più facile per qualcuno che li conosce indovinare.

Quello che vuoi davvero fare è scegliere una combinazione completamente casuale di lettere, numeri e simboli. In questo modo, l'unico modo per attaccare con forza la password è indovinare tutte le combinazioni possibili, invece di fare quello che viene chiamato "Attacco con dizionario". Un "Attacco del dizionario" è quando l'attaccante indovina le password basandosi sull'analisi del dizionario.

Chris Pietschmann
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.