Proviamo a saltare la teoria e ad andare direttamente alla pratica.

Digitare la stessa parola due volte (o N volte) sarà di grande aiuto?

• John the Ripper Jumbo ha una serie di "semplici regole" su questo

  • d duplicare: "Fred" -> "FredFred"

  • f riflettere: "Fred" -> "FredderF"

• attacco basato su regole oclHashcat ha regole semplici anche per questo

  • d Duplica l'intera parola dp @ ssW0rd p @ ssW0rdp @ ssW0rd

  • pN Accoda duplicato parola N volte p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd

  • Riflette f Parola duplicata invertita fp @ ssW0rd p @ ssW0rddr0Wss @ p

• Quindi, no, questo pizzico di intelligenza è così comune da essere incluso esplicitamente in entrambi i set di regole comuni già da usare da solo o in combinazione con altre regole.

OPPURE digita ogni carattere due volte

• John the Ripper Jumbo ha un esempio specifico su questo nel docu mentation

  • XNMI estrae la sottostringa NM dalla memoria e inseriscila nella parola corrente in I è la regola fondamentale

  • "<4X011X113X215" (duplicato ogni carattere in una parola breve) è l'esempio nella documentazione per coprire esattamente il tuo caso per password brevi

.

• oclHashcat attacco basato su regole ha regole semplici solo per questo tipo di attacchi

  • q Duplica ogni carattere qp @ ssW0rd pp @ @ ssssWW00rrdd

  • zN Duplica il primo carattere N volte z2 p @ ssW0rd ppp @ ssW0rd

  • ZN Duplica l'ultimo carattere N volte Z2 p @ ssW0rd p @ ssW0rddd

  • XNMI Inserisce una sottostringa di lunghezza M a partire dalla posizione N della parola salvata in memoria alla posizione I lMX428 p @ ssW0rd p @ ssw0rdw0

• Quindi, no, ancora una volta, questo è un po 'di intelligenza così comune che viene chiamato esplicitamente in entrambi i principali prodotti di cracking open source.

Supponi che sia già di 8 o 9 caratteri, composto da lettere maiuscole e minuscole, cifre e uno o più caratteri speciali.

Le altre regole in questi prodotti molto probabilmente coprono tutto ciò che stai già facendo, ed è anche probabile che qualsiasi combinazione tu abbia già inclusa in un set di regole applicato a un ragionevole elenco di parole.

• oclHashcat da solo viene fornito con venticinque file diversi pieni di .rules, incluso d3ad0ne.rule con più di 35.000 regole, dive.rule con oltre 120.000 regole e così via.

• È disponibile un gran numero di elenchi di parole, alcuni dei quali possono includere la tua password esatta: il solo elenco di parole di Openwall ha un singolo file da 500 MB di oltre 40 milioni di parole, comprese quelle alterate

• e personalmente conosco sia piccole, ottime liste di parole (phpbb, et all) sia enormi e complete liste di parole con letteralmente miliardi di voci, che occupano molti gigabyte di spazio totale .

Come con tutti gli altri, devi usare la casualità o qualcosa come un'intera frase degna di un aneddoto personale che NON usa parole tra i primi 5000 elenco di parole inglesi comuni e utilizza parole lunghe e non comuni (per forzare attacchi combinatori utilizzando dizionari molto più grandi).

Cerca in particolare, ad esempio, le parole selezionate in (buono) casuale incluse in Il folle dizionario ispell inglese di Ubuntu, ad esempio, non incluso nel dizionario ispell inglese standard.

Security.StackExchange è pieno di domande che propongono strategie di password "casalinghe". La risposta breve è sempre la stessa: fare qualcosa per differenziare la tua password dagli attacchi del dizionario standard è buono, a patto che

1. Pochissime altre persone sul pianeta stiano usando la tua strategia . Se la tua strategia "casalinga" risulta essere comune, come sostituire "a" con "@", verrà inclusa negli attacchi del dizionario standard e tornerai al punto di partenza.

2. Non sei preso di mira personalmente. Se sei un bersaglio di alto valore a sufficienza che gli aggressori stanno specificamente cercando di violare il tuo account, allora qualsiasi modello che usi è una responsabilità perché una volta che conoscono il tuo modello (ad esempio dalle tue password trapelate da perdite precedenti ) quindi costruiranno dizionari in base al tuo modello.

Un'altra tendenza con questo tipo di domande qui su infosec, è che qualcuno fa inevitabilmente riferimento a XKCD, quindi ecco qua. Ricorda che i computer sono bravi a cercare nei database e a generare elenchi basati su modelli. Usando una strategia semplice come "raddoppiare ogni lettera" o " le iniziali del ritornello della mia canzone preferita", ecc., Stai usando una strategia facile da indovinare per i computer. La best practice per elaborare una semplice strategia per le password è sempre: non . Usa un gestore di password come LastPass per generare e ricordare una password casuale di 32 caratteri per te. Se insisti per avere qualcosa che puoi memorizzare, la prossima best practice è diceware.

Se vuoi sfidare tutte le best practice e inventare il tuo schema, allora consiglierei qualcosa basato sulle emozioni piuttosto che basato su schemi, o qualcosa che può essere estratto dalle tue informazioni personali. Ad esempio una password basata su "siti web che mi piacciono" o "programmi TV che guardo" sarebbe facile da indovinare per chiunque abbia accesso alla tua attività su Internet, ma "cose ​​che mi ricordano ______" per cui scegli un ______ molto diverso ogni password potrebbe essere difficile da indovinare. (Se pensassi un po 'più a lungo a questo schema, probabilmente potrei sostenere che anche questo è abbastanza facile da indovinare, ma il punto è che è comunque meglio di qualcosa di puramente basato su schemi.)

In generale, no, raddoppiare la password non aumenta (o diminuisce) sostanzialmente la tua sicurezza. Ciò che raddoppia è il tuo sforzo di digitazione. Raddoppiare la tua password può diminuire la tua sicurezza se ti spinge a scegliere una password di base più breve / più facile in modo che il tuo sforzo di digitazione non sia troppo complicato.

In termini generali, la sicurezza della password viene dalla sua casualità, cioè quanto l'attaccante non sa. Nel caso del "raddoppio", questa è un'informazione di un bit (cioè se l'hai applicata o meno), quindi, matematicamente parlando, è un bit extra di entropia. Non è molto. Digitare otto caratteri in più per ottenere un solo bit di entropia è scarso; questo non è un buon affare.

Tutti i trucchi spiritosi condividono lo stesso problema fondamentale: sono spiritosi. Contano sul fatto che l'aggressore sia stupido, incompetente o arcaico. Ciò non vale in pratica, tranne che contro gli aggressori che sono davvero stupidi, incompetenti e arcaici: gli dei sanno che sono molti di loro, ma non sono un grosso problema, perché non saprebbero cosa fare con la tua password. Gli aggressori di cui dovresti preoccuparti sono quelli intelligenti, che possono provocare danni sostanziali alle tue risorse digitali in breve tempo; questi furbi malintenzionati non saranno molto scoraggiati dal tuo trucco di raddoppio della password.

Considera la lettura di questa famosa domanda per ottenere alcune informazioni su ciò che rende una password "forte", in particolare il matematica dell'entropia in quella risposta.

Il mio cracker di password cerca già il raddoppio delle lettere, il raddoppio delle parole, l'inversione e il raddoppio delle parole, il capovolgimento e il raddoppio delle lettere maiuscole e minuscole ...

... e molti altri.

Sì. Il raddoppio aggiunge un po 'alla difficoltà: circa quattro bit, al massimo. Mi ci vorrebbe sedici volte più tempo per decifrare, rispetto a un attacco di dizionario grezzo con sostituzioni di lettere.

Ma alla fine otterrei BAdpA55 !! 22AqbA8.

Gli esseri umani sono creature sorprendentemente prevedibili. Il modo in cui pensiamo non è così unico come vorremmo credere. È probabile che qualsiasi cosa intelligente tu possa pensare per rendere la tua password più sicura, è già stata pensata da molte altre persone e gli hacker sono ben consapevoli di tutti questi trucchi intelligenti.

L'unico modo per rendere una password adeguatamente sicura, significa renderla lunga e casuale. Rimuovi la fallibilità umana dall'equazione. Se una password è così complessa che non è possibile memorizzarla, potrebbe essere abbastanza sicura.

I gestori di password sono estremamente utili. Ti consentono di rendere unica ogni password che utilizzi e ogni password completamente casuale.

Ovviamente devi assicurarti che il database del tuo gestore di password sia sicuro e non sia accessibile da remoto.

Ci sono molti fattori, ma alla fine si divide in base al tipo di cracking delle password che stai cercando di proteggere. Contro un attacco di forza bruta, aumentare la lunghezza della password renderà più difficile il crack. Supponendo che il loro hashing non sia orribile, una password decente di 8 o 9 caratteri dovrebbe già essere molto difficile o impossibile da decifrare con forza bruta. Ciò significa che raddoppiarla digitando ogni carattere due volte o digitando la stessa password due volte non fa molto.

Una volta che la tua password è abbastanza lunga da essere al sicuro da un attacco di forza bruta, devi iniziare a preoccuparti di attacchi al dizionario, attacchi combinati e altre cose del genere. Entrambe le cose che suggerisci sarebbero facili da includere in un attacco basato su regole e qualsiasi valore di sicurezza aggiuntivo dipende dal fatto che non sia fatto comunemente e non sia incluso nel loro insieme di regole.

Link alla demo dell'entropia della password di zxcvbn.

Secondo zxcvbn, le statistiche della tua password iniziale:

Normale: PwdThing

  Ipotesi: 100 / ora: 5 mesi (attacco online limitato) 10 / secondo: 58 minuti (attacco online non limitato) 10k / secondo: 35 secondi (attacco offline, hash lento, molti core) 10B / secondo: meno di un secondo (attacco offline, hash veloce, molti core)  

Raddoppiato: PwdThingPwdThing

  tempi di ipotesi: 100 / ora: 9 mesi (attacco online limitato) 10 / secondo: 2 ore (attacco online senza limitazioni) 10k / secondo: 1 minuto (attacco offline, hash lento, molti core) 10B / secondo: meno di un secondo (attacco offline, hash veloce, molti core  

Lettera raddoppiata: PPwwddTThhiinngg

  tempi di indovinazione: 100 / ora: secoli (attacco online limitato) 10 / secondo: secoli (attacco online non limitato) 10k / secondo: secoli (attacco offline, hash lento, molti core) 10B / secondo: 12 giorni (attacco offline, hash veloce, molti core)  

zxcvbn potrebbe non essere perfetto, ma sento che ti dà una stima abbastanza buona della forza della tua password. Gioca con esso per ottenere una bella password facile da ricordare con un punteggio elevato.

Preferisco le frasi da usare come password. Sono lunghi e intrinsecamente difficili da indovinare e facili da ricordare.

EX: "Il mio secondo frutto preferito, il lunedì, è il mango!" (spazi inclusi dove consentito)

Se sei preoccupato per il bruto NSA che impone la tua password ... sceglierei le password generate di cui parlano tutti gli altri.

Due cose rendono una password più sicura: lunghezza e casualità. Quindi, la risposta alla tua domanda è definitivamente Sì , stai aumentando la sicurezza della tua password.

Ma in generale, la tua password iniziale non è super sicuro perché utilizza parole che possono essere trovate in un dizionario. Inoltre, il raddoppio è solo uno schema ripetitivo a cui anche un algoritmo di cracking può facilmente eseguire. Quindi, non solo raddoppia la tua password, assicurati che ciò che raddoppi non siano parole reali.

l'aggiunta di lunghezza a una password aumenta sostanzialmente la sicurezza di una password, quindi penso che digitare la password due volte o raddoppiare ogni carattere sia meglio che non farlo e utilizzare una password più corta di 8 o 9 caratteri. Fare riferimento a questo collegamento per ulteriori informazioni su come aumentare la lunghezza della password ne migliora notevolmente la sicurezza: https://www.grc.com/haystack.htm

La lunghezza della password è sempre un fattore chiave nella sicurezza della password, ma cerca di migliorare anche il contenuto, raddoppiare la password può aiutare contro la pratica con gli attacchi HYDRA / Dictionary

@SethWhite - credi di aver dato la risposta più accurata.

Molti utenti non capiscono le vie e i metodi utilizzati per violare una password. Inoltre ci sono misure di sicurezza aggiuntive come il blocco delle porte per chiamanti http / ftp sconosciuti. Qualcuno più esperto dovrebbe spiegare.

Seth mostra che ci sono almeno quattro diverse strade per violare una password nel modo più duro. Il modo più semplice è phishing, guardare sotto la tastiera, foglietti adesivi sul monitor per verificare la presenza di fogli di carta, ecc.

Le password sono solo una parte di ciò che protegge i tuoi dati dagli attacchi. La tua password (frase chiave) viene utilizzata per generare una sequenza binaria lunga casuale (codice macchina) che può essere decodificata solo con la tua password e l'algoritmo software che l'ha codificata. Quindi chiunque cerchi di indovinare questa sequenza binaria (HASH) sui dati di base (senza utilizzare il software di decodifica utilizzato da una pagina di accesso) dovrà provare a partire in modo casuale dal primo byte fino a quando non indovina casualmente tutti i byte. Questo è ciò che Seth mostra come forza bruta e hai bisogno di molto tempo e molti core per lunghezze HASH di 64,128,256,512 byte. Il tempo per hackerare aumenta esponenzialmente con la lunghezza. La lunghezza dell'HASH si basa sulla dimensione della password, quindi una password più lunga più lunga HASH tempo di forza bruta più lungo.

Credo che Wikileaks abbia impiegato molti mesi per rompere il codice, ma la maggior parte degli HASH possono essere violati. Penso che gli hack del centro servizi dati fossero attacchi al dizionario in cui l'hacker ha utilizzato il software di decodifica dell'accesso per indovinare le password. Gli attacchi a dizionario, quindi, di solito hanno un qualche tipo di accesso al sistema su cui si trovano i tuoi dati non solo sui dati.

Per esempio, per quanto ho capito, l'attacco online limitato si basa su una connessione http, possibilmente supportata da un cookie violato (piccolo programma solitamente utile installato dai server web) per "Dizionario attaccare il tuo sistema".

Conclusione: password casuali lunghe (conta "PPwwddTThhiinngg") aiutano molto a fermare entrambi i tipi di attacchi. La lunghezza e la complessità della password dovrebbero riflettere il pericolo di attacchi al dizionario e la sensibilità alle informazioni archiviate.

P.S. La mia famiglia mi odia perché la nostra rete wireless domestica è protetta da una frase chiave casuale di 128 byte.