Domanda:
Digitare due volte la mia password la renderà più sicura? O digitando due volte ogni carattere?
user82913
2016-02-01 23:40:18 UTC
view on stackexchange narkive permalink

Se digito la mia password due volte (come: PwdThingPwdThing ), OPPURE digito ogni carattere due volte (come: PPwwddTThhiinngg ) la renderà sostanzialmente più sicura di quanto non sia già?

Supponi che contenga già 8 o 9 caratteri, costituiti da lettere maiuscole e minuscole, cifre e uno o più caratteri speciali.

(Supponi anche che non l'abbia detto a nessuno Lo sto facendo in questo modo, anche se ho appena detto al mondo ... Doh!)

Chiedo perché vorrei più sicurezza in un modo che posso ancora ricordare, e questo sarebbe un cambiamento facile fare e ricordare. Grazie.

Non più da quando la tua sicurezza per oscurità è sparita. Ho incluso entrambi i formati e li ho aggiunti ai miei dizionari. Grazie!
Se l'algoritmo di cracking è cattivo, allora sì.
Undici risposte:
#1
+101
Anti-weakpasswords
2016-02-02 10:41:32 UTC
view on stackexchange narkive permalink

Proviamo a saltare la teoria e ad andare direttamente alla pratica.

Digitare la stessa parola due volte (o N volte) sarà di grande aiuto?

  • John the Ripper Jumbo ha una serie di "semplici regole" su questo

    • d duplicare: "Fred" -> "FredFred"

    • f riflettere: "Fred" -> "FredderF"

  • attacco basato su regole oclHashcat ha regole semplici anche per questo

    • d Duplica l'intera parola dp @ ssW0rd p @ ssW0rdp @ ssW0rd

    • pN Accoda duplicato parola N volte p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd

    • Riflette f Parola duplicata invertita fp @ ssW0rd p @ ssW0rddr0Wss @ p

  • Quindi, no, questo pizzico di intelligenza è così comune da essere incluso esplicitamente in entrambi i set di regole comuni già da usare da solo o in combinazione con altre regole.

OPPURE digita ogni carattere due volte

  • John the Ripper Jumbo ha un esempio specifico su questo nel docu mentation

    • XNMI estrae la sottostringa NM dalla memoria e inseriscila nella parola corrente in I è la regola fondamentale

    • "<4X011X113X215" (duplicato ogni carattere in una parola breve) è l'esempio nella documentazione per coprire esattamente il tuo caso per password brevi

.

  • oclHashcat attacco basato su regole ha regole semplici solo per questo tipo di attacchi

    • q Duplica ogni carattere qp @ ssW0rd pp @ @ ssssWW00rrdd

    • zN Duplica il primo carattere N volte z2 p @ ssW0rd ppp @ ssW0rd

    • ZN Duplica l'ultimo carattere N volte Z2 p @ ssW0rd p @ ssW0rddd

    • XNMI Inserisce una sottostringa di lunghezza M a partire dalla posizione N della parola salvata in memoria alla posizione I lMX428 p @ ssW0rd p @ ssw0rdw0

  • Quindi, no, ancora una volta, questo è un po 'di intelligenza così comune che viene chiamato esplicitamente in entrambi i principali prodotti di cracking open source.

Supponi che sia già di 8 o 9 caratteri, composto da lettere maiuscole e minuscole, cifre e uno o più caratteri speciali.

Le altre regole in questi prodotti molto probabilmente coprono tutto ciò che stai già facendo, ed è anche probabile che qualsiasi combinazione tu abbia già inclusa in un set di regole applicato a un ragionevole elenco di parole.

  • oclHashcat da solo viene fornito con venticinque file diversi pieni di .rules, incluso d3ad0ne.rule con più di 35.000 regole, dive.rule con oltre 120.000 regole e così via.

  • È disponibile un gran numero di elenchi di parole, alcuni dei quali possono includere la tua password esatta: il solo elenco di parole di Openwall ha un singolo file da 500 MB di oltre 40 milioni di parole, comprese quelle alterate

  • e personalmente conosco sia piccole, ottime liste di parole (phpbb, et all) sia enormi e complete liste di parole con letteralmente miliardi di voci, che occupano molti gigabyte di spazio totale .

Come con tutti gli altri, devi usare la casualità o qualcosa come un'intera frase degna di un aneddoto personale che NON usa parole tra i primi 5000 elenco di parole inglesi comuni e utilizza parole lunghe e non comuni (per forzare attacchi combinatori utilizzando dizionari molto più grandi).

Cerca in particolare, ad esempio, le parole selezionate in (buono) casuale incluse in Il folle dizionario ispell inglese di Ubuntu, ad esempio, non incluso nel dizionario ispell inglese standard.

@nocomprende Per alcune persone questo è divertente. Per la maggior parte delle persone, questo è altamente redditizio.
#2
+63
Mike Ounsworth
2016-02-01 23:56:02 UTC
view on stackexchange narkive permalink

Security.StackExchange è pieno di domande che propongono strategie di password "casalinghe". La risposta breve è sempre la stessa: fare qualcosa per differenziare la tua password dagli attacchi del dizionario standard è buono, a patto che

  1. Pochissime altre persone sul pianeta stiano usando la tua strategia . Se la tua strategia "casalinga" risulta essere comune, come sostituire "a" con "@", verrà inclusa negli attacchi del dizionario standard e tornerai al punto di partenza.

  2. Non sei preso di mira personalmente. Se sei un bersaglio di alto valore a sufficienza che gli aggressori stanno specificamente cercando di violare il tuo account, allora qualsiasi modello che usi è una responsabilità perché una volta che conoscono il tuo modello (ad esempio dalle tue password trapelate da perdite precedenti ) quindi costruiranno dizionari in base al tuo modello.

Un'altra tendenza con questo tipo di domande qui su infosec, è che qualcuno fa inevitabilmente riferimento a XKCD, quindi ecco qua. Ricorda che i computer sono bravi a cercare nei database e a generare elenchi basati su modelli. Usando una strategia semplice come "raddoppiare ogni lettera" o " le iniziali del ritornello della mia canzone preferita", ecc., Stai usando una strategia facile da indovinare per i computer. La best practice per elaborare una semplice strategia per le password è sempre: non . Usa un gestore di password come LastPass per generare e ricordare una password casuale di 32 caratteri per te. Se insisti per avere qualcosa che puoi memorizzare, la prossima best practice è diceware.

Se vuoi sfidare tutte le best practice e inventare il tuo schema, allora consiglierei qualcosa basato sulle emozioni piuttosto che basato su schemi, o qualcosa che può essere estratto dalle tue informazioni personali. Ad esempio una password basata su "siti web che mi piacciono" o "programmi TV che guardo" sarebbe facile da indovinare per chiunque abbia accesso alla tua attività su Internet, ma "cose ​​che mi ricordano ______" per cui scegli un ______ molto diverso ogni password potrebbe essere difficile da indovinare. (Se pensassi un po 'più a lungo a questo schema, probabilmente potrei sostenere che anche questo è abbastanza facile da indovinare, ma il punto è che è comunque meglio di qualcosa di puramente basato su schemi.)

enter image description here

A quanto ho capito, un gestore di password è un'applicazione sul mio computer (che può o non può essere sicura) o su un dispositivo portatile (che potrebbe essere rubato, potrebbe non essere sicuro e che dovrei quindi portare ovunque). Apparentemente, non ci sono modi amichevoli per l'uomo per rendere i computer più sicuri o ... beh, amichevoli. Quindi l'approccio tecnologico per migliorare l'esperienza dell'utente del computer consiste nell'aggiungere più tecnologia. Puoi già vedere che questo non andrà a finire bene, quindi forse dovremmo inventare un altro modo per gli umani di usare i computer in modo sicuro senza aggiungere cose alla loro vita?
Sono d'accordo che i gestori di password manchino di facilità d'uso. Non ci sono argomenti, ma funzionano e sono più sicuri rispetto a creare una password così complessa che non puoi ricordarla. In definitiva, dobbiamo eliminare completamente le password e passare interamente all'autenticazione a chiave pubblica / biometrica, ma il mondo non è pronto per questo. Nel frattempo, cose come gestori di password e cambiare la percezione del pubblico da _passwords_ a _passphrases_ è un buon inizio.
@MikeOunsworth Come puoi utilizzare i dati biometrici per eliminare completamente le password?
@Maurycy Non sono sicuro perché le offerte commerciali sono ancora piuttosto semplici, ma "sblocco tramite impronta digitale" o "sblocco tramite scansione dell'iride" ci danno un'idea di ciò che sta arrivando. L'idea principale è che la biometria contiene molti più bit di entropia di qualsiasi cosa tu possa comodamente digitare. Stesso argomento per gettoni / carte con chiavi pubbliche: molta più entropia di quella che puoi memorizzare. Le tecnologie candidate esistono per password obsolete, ma nessuna di esse è sufficientemente matura per l'uso tradizionale. Ecco perché continuiamo a discutere su quanto siano deboli e stupide le password: P
Parlando delle "iniziali del ritornello della mia canzone preferita": c'era una storia in cui qualcuno ha aperto un libro a caso sul proprio scaffale, ha scelto una pagina a caso e ha usato una frase a caso su quella pagina come password del portafoglio di cervello Bitcoin, * e sono stati indovinati * (e hanno perso tutti i loro bitcoin).
@MikeOunsworth Ma non puoi cambiare i bit del tuo dito se qualcuno annusa i dati che invii, per non parlare del fatto che non calcoliamo davvero un valore dall'immagine del dito ma usiamo l'immagine per controllare alcuni punti memorizzati nel database per assicurarsi che corrispondano (per NON menzionare che le persone hanno spesso problemi con lo sblocco delle impronte digitali dopo un po 'di esercizio o in altri casi non estremamente rari). Immagino che rientri nella categoria "non abbastanza maturo", ma trovo improbabile che tu possa risolvere la loro immutabilità. Potrei immaginare l'impronta digitale utilizzata per sbloccare il mio db Keepass!
@Maurycy Esatto, sto immaginando un chip di scansione delle impronte digitali sulla scheda madre che rilascia una chiave SSH al sistema operativo, dove puoi ruotare la tua chiave SSH ogni giorno se lo desideri. Non sono un esperto di biometria, quindi immagino tanto quanto te.
@Maurycy Ricordo di aver scoperto che il governo degli Stati Uniti consentirà effettivamente alle persone di ottenere un nuovo numero di previdenza sociale se la loro identità è stata rubata. Ero sorpreso. Naturalmente, il governo tiene traccia del vecchio numero, perché la tua storia deve continuare a esistere. Suppongo che i dati biometrici sarebbero come la parte User ID, pubblicamente nota, senza motivo per cambiarla. Qualcos'altro dovrebbe servire come aspetto della "password" privata e non rivelabile (anche da me). Il mio DNA o qualcosa del genere.
@nocomprende Tranne che è ancora più facile ottenere il tuo DNA rispetto alle impronte digitali o alla scansione dell'iride. Questo è uno dei motivi per cui le password funzionano davvero: nella migliore delle ipotesi puoi tenerle nella tua testa e nessuno può forzarle (almeno ancora).
@Maurycy Penso che la CIA abbia qualcosa da dire al riguardo: p
Mai e poi mai usare qualcosa come segreto di autenticazione ciò che non puoi cambiare e ciò che stai diffondendo ovunque. In altre parole: non utilizzare la biometria come segreto di autenticazione.
@Noir a chi è rivolto questo commento? Se leggi i commenti, quello che ti sto proponendo è un chip biometrico sulla tua scheda madre che rilascerebbe una chiave SSH al sistema operativo. Sei libero di cambiare quella chiave tutte le volte che vuoi.
@MikeOunsworth Ma se qualcuno vuole entrare in quella memoria protetta è lo stesso scenario come rompere il lettore di impronte digitali di uno smartphone. La protezione della chiave SSH con una passphrase forte ha lo stesso effetto ma è possibile modificare la passphrase.
@Noir Mi opponevo al fatto che tu dicessi "diffondendo in giro" poiché i dati biometrici non stanno lasciando il dispositivo, ma vedo il tuo punto che con un token fisico (cioè smart card) puoi distruggere la carta e ottenerne una nuova, ma se qualcuno ottiene la mia impronta digitale, quindi anche eventuali scanner di impronte digitali che userò in futuro sono vulnerabili. Giusto.
@Maurycy continua con il tema XKCD ... https://imgs.xkcd.com/comics/security.png
Immagino che nessuno si renda conto che le prime 9 lettere della prima password nel fumetto rappresentano effettivamente un Pokemon ... non c'è da stupirsi che sia facile da indovinare :)
@MikeOunsworth, potresti anche voler leggere ["Your Unhashable Fingerprints Secure Nothing"] (http://hackaday.com/2015/11/10/your-unhashable-fingerprints-secure-nothing/).
@Wildcard Grazie per quel link, che è un ottimo articolo. Ora mi sento sciocco per i miei commenti precedenti.
#3
+22
Tom Leek
2016-02-02 00:05:24 UTC
view on stackexchange narkive permalink

In generale, no, raddoppiare la password non aumenta (o diminuisce) sostanzialmente la tua sicurezza. Ciò che raddoppia è il tuo sforzo di digitazione. Raddoppiare la tua password può diminuire la tua sicurezza se ti spinge a scegliere una password di base più breve / più facile in modo che il tuo sforzo di digitazione non sia troppo complicato.

In termini generali, la sicurezza della password viene dalla sua casualità, cioè quanto l'attaccante non sa. Nel caso del "raddoppio", questa è un'informazione di un bit (cioè se l'hai applicata o meno), quindi, matematicamente parlando, è un bit extra di entropia. Non è molto. Digitare otto caratteri in più per ottenere un solo bit di entropia è scarso; questo non è un buon affare.

Tutti i trucchi spiritosi condividono lo stesso problema fondamentale: sono spiritosi. Contano sul fatto che l'aggressore sia stupido, incompetente o arcaico. Ciò non vale in pratica, tranne che contro gli aggressori che sono davvero stupidi, incompetenti e arcaici: gli dei sanno che sono molti di loro, ma non sono un grosso problema, perché non saprebbero cosa fare con la tua password. Gli aggressori di cui dovresti preoccuparti sono quelli intelligenti, che possono provocare danni sostanziali alle tue risorse digitali in breve tempo; questi furbi malintenzionati non saranno molto scoraggiati dal tuo trucco di raddoppio della password.

Considera la lettura di questa famosa domanda per ottenere alcune informazioni su ciò che rende una password "forte", in particolare il matematica dell'entropia in quella risposta.

È più di un bit, a meno che almeno il 50% delle persone non raddoppi la propria password.
@immibis: ah, questo è il trucco. Fare qualcosa che "la maggior parte delle persone non farà" non è la stessa cosa che fare qualcosa che "l'attaccante non proverà per primo perché la maggior parte delle persone non lo fa". Affermare di guadagnare più di un bit attraverso il raddoppio della password significa scommettere sull'indifferenza o sull'incompetenza dell'aggressore. Sfortunatamente, questo non vale contro gli aggressori più pericolosi, che sono dietro a te personalmente.
Inoltre, il campo è molto dinamico. Per esempio. se la maggior parte degli aggressori prova le password in ordine alfabetico, gli utenti iniziano a farle iniziare con "zzz". Ben presto, gli aggressori si adattano e iniziano a fare l'enumerazione in ordine inverso. O in ordine _random_, che garantisce agli aggressori i casi peggiori. Cercare di giocare brutti scherzi a seconda del comportamento medio dell'attaccante tende a ritorcersi contro. La nozione di entropia è ciò che rimane quando l'attaccante sa _perfettamente_ come si generano le password - quindi, l'entropia è l'unica base solida per la sicurezza delle password.
Penso che gli hacker stiano lavorando troppo. Dovrebbero solo provare un lavoro normale, è molto più facile!
Mi piace il tuo punto su otto lettere per guadagnare un po 'di sicurezza. Confronta con una parola inglese casuale di 8 lettere, che ti farebbe guadagnare forse 10 o 12 bit di entropia.
#4
+15
Dewi Morgan
2016-02-02 08:09:07 UTC
view on stackexchange narkive permalink

Il mio cracker di password cerca già il raddoppio delle lettere, il raddoppio delle parole, l'inversione e il raddoppio delle parole, il capovolgimento e il raddoppio delle lettere maiuscole e minuscole ...

... e molti altri.

Sì. Il raddoppio aggiunge un po 'alla difficoltà: circa quattro bit, al massimo. Mi ci vorrebbe sedici volte più tempo per decifrare, rispetto a un attacco di dizionario grezzo con sostituzioni di lettere.

Ma alla fine otterrei BAdpA55 !! 22AqbA8.

Quindi, quale strategia sconfiggerebbe il tuo cracker di password?
La strategia che tutti consigliano: una lunga stringa * veramente casuale *. E usa anche un keyfile o un altro tipo di autenticazione allo stesso tempo, se possibile.I gestori di password mi piacciono anch'io (uso LastPass ma non ho fatto alcun tipo di revisione di ciò che è là fuori, ho solo usato il primo prodotto che ha funzionato. Diversi miei amici giurano su vari altri prodotti). Ma la cosa che mi preoccupa di loro è che poi hai un unico punto di errore: una password protegge tutte le altre.
Questo è il motivo per cui sostengo che la password "reale" dovrebbe essere qualcosa che nessuno conosce, incluso te. Sei tu. Il tuo cane riconoscerebbe un impostore in circa 500 millisecondi. Questo è quello che ci serve. E, se il cane fosse stato ingannato, si sarebbe arrabbiato moltissimo quando l'avesse scoperto. Quindi abbiamo bisogno che i computer siano intelligenti, con piena capacità sensoriale e forti come un gorilla. Apetta un minuto...
@no comprende: E poi torni a casa ubriaco e il tuo cane non ti riconosce (perché hai un odore strano, parli in modo divertente, cammini in modo divertente e ti comporti in modo divertente; per quanto riguarda il cane, NON SEI "tu". in realtà accade abbastanza spesso IRL). E * si arrabbia un sacco *. Che cosa hai addestrato esattamente a fare il cane agli intrusi? Ops. (In altre parole, il tuo scenario si basa sulla premessa non valida "i falsi negativi non si verificano mai").
#5
+5
user1751825
2016-02-02 06:18:00 UTC
view on stackexchange narkive permalink

Gli esseri umani sono creature sorprendentemente prevedibili. Il modo in cui pensiamo non è così unico come vorremmo credere. È probabile che qualsiasi cosa intelligente tu possa pensare per rendere la tua password più sicura, è già stata pensata da molte altre persone e gli hacker sono ben consapevoli di tutti questi trucchi intelligenti.

L'unico modo per rendere una password adeguatamente sicura, significa renderla lunga e casuale. Rimuovi la fallibilità umana dall'equazione. Se una password è così complessa che non è possibile memorizzarla, potrebbe essere abbastanza sicura.

I gestori di password sono estremamente utili. Ti consentono di rendere unica ogni password che utilizzi e ogni password completamente casuale.

Ovviamente devi assicurarti che il database del tuo gestore di password sia sicuro e non sia accessibile da remoto.

Quindi, la risposta è proteggere le password e il software con un'altra password e altro software? Ho due ponti a New York da venderti ...
I servizi che richiedono password sicure sono accessibili da remoto. Il mio programma di gestione delle password non lo è.
#6
+3
Evan Steinbrenner
2016-02-02 04:02:14 UTC
view on stackexchange narkive permalink

Ci sono molti fattori, ma alla fine si divide in base al tipo di cracking delle password che stai cercando di proteggere. Contro un attacco di forza bruta, aumentare la lunghezza della password renderà più difficile il crack. Supponendo che il loro hashing non sia orribile, una password decente di 8 o 9 caratteri dovrebbe già essere molto difficile o impossibile da decifrare con forza bruta. Ciò significa che raddoppiarla digitando ogni carattere due volte o digitando la stessa password due volte non fa molto.

Una volta che la tua password è abbastanza lunga da essere al sicuro da un attacco di forza bruta, devi iniziare a preoccuparti di attacchi al dizionario, attacchi combinati e altre cose del genere. Entrambe le cose che suggerisci sarebbero facili da includere in un attacco basato su regole e qualsiasi valore di sicurezza aggiuntivo dipende dal fatto che non sia fatto comunemente e non sia incluso nel loro insieme di regole.

Ecco un ottimo articolo che conferma il tuo punto: [link] (http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/).
#7
+3
SethWhite
2016-02-03 03:25:02 UTC
view on stackexchange narkive permalink

Link alla demo dell'entropia della password di zxcvbn.

Secondo zxcvbn, le statistiche della tua password iniziale:

Normale: PwdThing

  Ipotesi: 100 / ora: 5 mesi (attacco online limitato) 10 / secondo: 58 minuti (attacco online non limitato) 10k / secondo: 35 secondi (attacco offline, hash lento, molti core) 10B / secondo: meno di un secondo (attacco offline, hash veloce, molti core)  

Raddoppiato: PwdThingPwdThing

  tempi di ipotesi: 100 / ora: 9 mesi (attacco online limitato) 10 / secondo: 2 ore (attacco online senza limitazioni) 10k / secondo: 1 minuto (attacco offline, hash lento, molti core) 10B / secondo: meno di un secondo (attacco offline, hash veloce, molti core  

Lettera raddoppiata: PPwwddTThhiinngg

  tempi di indovinazione: 100 / ora: secoli (attacco online limitato) 10 / secondo: secoli (attacco online non limitato) 10k / secondo: secoli (attacco offline, hash lento, molti core) 10B / secondo: 12 giorni (attacco offline, hash veloce, molti core)  

zxcvbn potrebbe non essere perfetto, ma sento che ti dà una stima abbastanza buona della forza della tua password. Gioca con esso per ottenere una bella password facile da ricordare con un punteggio elevato.

Preferisco le frasi da usare come password. Sono lunghi e intrinsecamente difficili da indovinare e facili da ricordare.

EX: "Il mio secondo frutto preferito, il lunedì, è il mango!" (spazi inclusi dove consentito)

Se sei preoccupato per il bruto NSA che impone la tua password ... sceglierei le password generate di cui parlano tutti gli altri.

Sebbene questo sia un ottimo confronto tra le diverse opzioni, non tiene conto del modello noto. Se lo schema è noto, non c'è differenza tra "PwdThing" e "PPwwddTThhiinngg". L'elemento richiesto è che il pattern della password sia mantenuto segreto insieme al contenuto della password.
Apparentemente, la soluzione migliore è distruggere gli aggressori.
#8
+1
user98946
2016-02-02 04:40:12 UTC
view on stackexchange narkive permalink

Due cose rendono una password più sicura: lunghezza e casualità. Quindi, la risposta alla tua domanda è definitivamente , stai aumentando la sicurezza della tua password.

Ma in generale, la tua password iniziale non è super sicuro perché utilizza parole che possono essere trovate in un dizionario. Inoltre, il raddoppio è solo uno schema ripetitivo a cui anche un algoritmo di cracking può facilmente eseguire. Quindi, non solo raddoppia la tua password, assicurati che ciò che raddoppi non siano parole reali.

Giusto, ho detto nella domanda: "* Supponiamo che siano già 8 o 9 caratteri, costituiti da lettere maiuscole e minuscole, cifre e uno o più caratteri speciali. *" Immagino che la lunghezza pari della password sia il grande omaggio che ho l'ho digitato 2x, giusto? Voglio dire, molte persone probabilmente lo fanno. Il 50% di tutte le password ha una lunghezza pari ...
Sì, scusa, non ho letto abbastanza attentamente. Tuttavia, più a lungo è, meglio è. Preferisco password> 12 caratteri (comprese le cose che stai menzionando).
"Il 50% di tutte le password ha una lunghezza pari ..." Posso chiederti quale dovrebbe essere, secondo te, questa percentuale?
@JKimball "Il 40% di tutte le assenze dei dipendenti avviene il lunedì e il venerdì! È uno scandalo!" (da un fumetto di Dilbert)
#9
  0
user98942
2016-02-02 02:30:08 UTC
view on stackexchange narkive permalink

l'aggiunta di lunghezza a una password aumenta sostanzialmente la sicurezza di una password, quindi penso che digitare la password due volte o raddoppiare ogni carattere sia meglio che non farlo e utilizzare una password più corta di 8 o 9 caratteri. Fare riferimento a questo collegamento per ulteriori informazioni su come aumentare la lunghezza della password ne migliora notevolmente la sicurezza: https://www.grc.com/haystack.htm

Non compro la loro premessa di base. La loro premessa è "Una volta iniziata una ricerca completa della password, il fattore più importante è la lunghezza della password!". Questo non è realistico: chi fa ricerche esaustive !? I cracker di password del mondo reale eseguono elenchi di dizionari e, se fallisce, eseguono permutazioni di elenchi di dizionari e, se falliscono, creano email di phishing (o spear-phishing). Come contro-esempio, quel sito direbbe che "password" è significativamente più forte di "passw" a causa della sua lunghezza, nonostante sia la prima cosa che tenterà qualsiasi attacco di dizionario.
#10
  0
silentcallz
2016-02-02 06:16:21 UTC
view on stackexchange narkive permalink

La lunghezza della password è sempre un fattore chiave nella sicurezza della password, ma cerca di migliorare anche il contenuto, raddoppiare la password può aiutare contro la pratica con gli attacchi HYDRA / Dictionary

#11
-2
hdunn
2016-02-03 17:51:43 UTC
view on stackexchange narkive permalink

@SethWhite - credi di aver dato la risposta più accurata.

Molti utenti non capiscono le vie e i metodi utilizzati per violare una password. Inoltre ci sono misure di sicurezza aggiuntive come il blocco delle porte per chiamanti http / ftp sconosciuti. Qualcuno più esperto dovrebbe spiegare.

Seth mostra che ci sono almeno quattro diverse strade per violare una password nel modo più duro. Il modo più semplice è phishing, guardare sotto la tastiera, foglietti adesivi sul monitor per verificare la presenza di fogli di carta, ecc.

Le password sono solo una parte di ciò che protegge i tuoi dati dagli attacchi. La tua password (frase chiave) viene utilizzata per generare una sequenza binaria lunga casuale (codice macchina) che può essere decodificata solo con la tua password e l'algoritmo software che l'ha codificata. Quindi chiunque cerchi di indovinare questa sequenza binaria (HASH) sui dati di base (senza utilizzare il software di decodifica utilizzato da una pagina di accesso) dovrà provare a partire in modo casuale dal primo byte fino a quando non indovina casualmente tutti i byte. Questo è ciò che Seth mostra come forza bruta e hai bisogno di molto tempo e molti core per lunghezze HASH di 64,128,256,512 byte. Il tempo per hackerare aumenta esponenzialmente con la lunghezza. La lunghezza dell'HASH si basa sulla dimensione della password, quindi una password più lunga più lunga HASH tempo di forza bruta più lungo.

Credo che Wikileaks abbia impiegato molti mesi per rompere il codice, ma la maggior parte degli HASH possono essere violati. Penso che gli hack del centro servizi dati fossero attacchi al dizionario in cui l'hacker ha utilizzato il software di decodifica dell'accesso per indovinare le password. Gli attacchi a dizionario, quindi, di solito hanno un qualche tipo di accesso al sistema su cui si trovano i tuoi dati non solo sui dati.

Per esempio, per quanto ho capito, l'attacco online limitato si basa su una connessione http, possibilmente supportata da un cookie violato (piccolo programma solitamente utile installato dai server web) per "Dizionario attaccare il tuo sistema".

Conclusione: password casuali lunghe (conta "PPwwddTThhiinngg") aiutano molto a fermare entrambi i tipi di attacchi. La lunghezza e la complessità della password dovrebbero riflettere il pericolo di attacchi al dizionario e la sensibilità alle informazioni archiviate.

P.S. La mia famiglia mi odia perché la nostra rete wireless domestica è protetta da una frase chiave casuale di 128 byte.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...