Ero curioso della stessa cosa, quindi ho inserito Gbt3fC79ZmMEFUFJ in Google ed ecco! ed ecco che ha trovato qualcosa che non era solo una parafrasi del consiglio "Non usare questa password" - la password stessa era incorporata nel codice sorgente di esempio che mostrava come inviare una password a un server ! ( link alla pagina e screenshot di seguito)

Quindi penso che il vero obiettivo di quel consiglio sia non che Gbt3fC79ZmMEFUFJ sia una password misteriosamente debole a causa del layout della tastiera o della bassa entropia o perché non include simboli o Unicode o emoji o altro: è semplicemente per ricordarti che non dovresti mai usare una password che è stata pubblicata da qualche parte, in particolare una pubblicata come password "di esempio"!

[ Aggiornamento: Questo è intenzionalmente uno screenshot e non semplicemente uno snippet di codice; il contenuto del codice è molto meno importante che vedere come è apparso letteralmente sul sito web di qualcuno! ]

Come hai notato, non ha alcun simbolo, il che lo rende più debole di una password di lunghezza simile, ma non ci sono altri difetti "evidenti" in questa password. Una password non deve utilizzare simboli per essere forte, purché sia ​​ lunga abbastanza ( collegamento XKCD obbligatorio).

Ma ora che questo la password appare in testo normale su un sito web (dedicato alle password), è probabile che alcuni malintenzionati la includano nel loro dizionario. Dopo tutto, potrebbero esserci utenti meno esperti in inglese, o tipi audaci, che usano ancora questa password poiché sembra casuale e ragionevolmente lunga. In questo modo, dire "Gbt3fC79ZmMEFUFJ è una password debole" è una sorta di profezia che si autoavvera.

Non c'è niente di sbagliato in questa password, a parte il fatto che viene pubblicata da qualche parte su Internet. La password è composta da 16 caratteri in maiuscolo, minuscolo e numeri variabili. Ciò equivale a uno spazio di ricerca di 62 ¹⁶ , o circa 95 bit di entropia. È enorme e non può essere forzato.

Allora perché l'autore di questo sito web l'ha considerata una cattiva password? È improbabile che la pubblicazione su Internet sia la ragione. È incluso anche un elenco di "buone password", che sono ovviamente pubblicate anche su Internet, rendendole immediatamente "cattive password" utilizzando questa linea di pensiero.

Lo scenario più probabile è che l'autore non capisce l'entropia delle password e pensa che le password DEVONO contenere caratteri speciali. Questo è semplicemente falso. L'entropia è una funzione del numero di simboli possibili, E della lunghezza.

Se generata a caso, l'entropia (in bit) può essere calcolata dal log ₂ (numero-di- simboli ^lunghezza ). Per un alfa-numerico con maiuscole e minuscole, questo è semplicemente log ₂ (62 ¹⁶ ), o circa 95.

Il problema è ovviamente più le password NON vengono generate a caso, quindi questa semplice formula spesso non è utile.

Sembra che la password sia composta da sequenze di caratteri digitati a caso su una tastiera QWERTZ / QWERTY / AZERTY che sono altamente raggruppati insieme. Questo è più pronunciato su una tastiera QWERTZ:

Immagine basata su KB Germany.svg da Wiki Commons.

Qui, il colore le chiavi sono quelle della password con la tonalità che ne indica la posizione nella password (che va dal blu al verde) .Vedi che i caratteri si raggruppano insieme, e questo è ancora più pronunciato per caratteri di tonalità simile (cioè caratteri che sono vicini l'un l'altro nella password). Inoltre, i cluster sembrano raggrupparsi vicino alla posizione iniziale sulla tastiera.

Devo ammettere che non sono abbastanza informato sul software di cracking delle password / database di password per dire con certezza se tali cluster sono o meno preso in considerazione, ma almeno è qualcosa che ho notato me stesso quando provo a digitare caratteri casuali sulla tastiera che in realtà non risultano molto casuali alla fine. E se l'ho notato, probabilmente lo ha fatto anche qualche autore di qualche database di password.

Il paragrafo completo è:

5. Non utilizzare parole del dizionario nelle password. Esempi di password complesse: ePYHc ~ dS *) 8 $ + V- ', qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Esempi di password deboli: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

Quindi sembra che dovrebbe essere un esempio di password errata perché utilizza "parole del dizionario" . A prima vista, non riesco a riconoscere nessuna parola lì. Tuttavia, ho provato a cercare le sue parti su Wikipedia (inglese) e sembra che ci siano articoli per tutte le sue parti.

GBT, 3f, C79, Zm, MEF, UFJ.

Tuttavia, questo essere piuttosto inverosimile. Sarebbe come dire che, considerando Wikipedia come il tuo dizionario di parole, una passphrase di sei parole non sarebbe sicura. Non c'è modo! Una passphrase di sei parole con voci casuali da Wikipedia sarebbe molto sicura.Ovviamente puoi dire che quella password ora non è sicura perché è scritta su Internet, ma sarebbe stato vero per ogni altro possibile esempio allora, anche per gli esempi di password complesse. Ho anche provato a cercarlo su haveibeenpwned, e il risultato è stato: "Questa password non è stata trovata in nessuna delle password Pwned caricate in Have I Been Pwned". Un'altra spiegazione, che è probabilmente il vero motivo per cui è stato fornito quell'esempio, è che la password può essere trovata online in un codice se la cerchi su Google ( vedi qui), come è stato sottolineato in un'altra risposta. Quindi con "password del dizionario", gli autori forse intendevano "qualsiasi password che sia mai stata scritta da qualche parte, incluso Internet". Tuttavia questo è ancora una volta un consiglio senza senso: come dovresti seguire quel consiglio? Dovresti iniziare a cercare la tua password in molti posti (incluso Google, forse anche lasciando tracce nella storia), solo per essere sicuro che non appaia già da nessuna parte? Non sembra una gran cosa da fare.

In conclusione: è un cattivo esempio ed è stato fornito nel contesto sbagliato. La gente lo vedrà e lo interpreterà come "oh, non ci sono simboli, dovrei usare simboli". Il vero motivo per cui è stato incluso in quell'elenco è sconosciuto, e non sembrano esserci spiegazioni che abbiano davvero senso. Se qualcuno ha voglia di perdere tempo, può provare a contattare il proprietario di quel sito web e chiederglielo.

Questa è un'affermazione fuorviante. "Gbt3fC79ZmMEFUFJ" è una password complessa in pratica. Non sarà catturato da nient'altro che un attacco di forza bruta su di esso (nessuna parola del dizionario) ed è composto da sedici caratteri, che è molto al di sopra degli standard comuni che vedo (8 o 6). Questa password potrebbe essere considerata debole solo se l'aggressore in qualche modo sapesse che non sono stati utilizzati simboli. Se l'account a cui è collegata questa password dice pubblicamente "solo numeri e lettere maiuscole / minuscole", allora questa password potrebbe sembrare più debole per fare un esempio, ma in realtà è ancora meglio di una password di 8 cifre.

Quindi, per una password di 16 caratteri che utilizza lettere maiuscole, lettere minuscole e 0-9 cifre, l'entropia è 62 ¹⁶ = (48 × 10 ²⁷ ) rispetto a un 8 la password di caratteri con tutti i simboli (assumeremo anche 96, non 72 caratteri) è 96 ⁸ = (7 × 10 ¹⁵ ). Questa è una differenza enorme.

La ragione di questa confusione è che l'esempio semplifica eccessivamente il consiglio di base di utilizzare una maiuscola, una minuscola, una cifra e un simbolo. In realtà, la lunghezza della password è molto più critica e anche in pratica l'aggressore non sarebbe in grado di sapere che il set completo di caratteri non è stato utilizzato e dovrebbe effettivamente ancora applicare la forza bruta 96 ¹⁶ .

Sebbene Gbt3fC79ZmMEFUFJ sia certamente una scelta sbagliata di password ora , visto che la tua domanda ha generato molte attività su Stack Exchange e ha quindi ampiamente pubblicato la password, ho non credo che ci sia una ragione riconoscibile per cui possiamo individuare il motivo per cui questo sito web direbbe che è brutto in primo luogo, perché, francamente, non è una fonte credibile.

La fonte che tu " il disegno da cui attingere sembra essere un elenco vagamente organizzato di suggerimenti per la sicurezza di qualità da bassa a media. Alcuni suggerimenti sono validi (ad esempio, utilizzare l'autenticazione in due passaggi quando possibile, bloccare il computer e il telefono cellulare quando li si lascia), ma alcuni di essi sono stati messi in discussione da esperti di sicurezza (ad esempio, cambiare le password ogni 10 settimane, utilizzare almeno una maiuscola / minuscola / numero / simbolo) e alcune sembrano decisamente paranoiche (es. suggerimento 22, che afferma che se hai un router WiFi a casa, gli aggressori nelle vicinanze possono rilevare le password che stai digitando a causa dei cambiamenti nel Segnale WiFi dal muovere le mani e che l'uso di una tastiera su schermo con layout casuali attenuerà questo problema).

E anche se probabilmente non è un problema che la maggior parte dei suggerimenti sono mal corretti (con molte ortografie errori e incongruenze di punteggiatura), è un problema che non viene citato assolutamente nessuno dei suggerimenti e che l'intero sito web è anonimo. Non ci sono citazioni di esperti di sicurezza, né articoli su cui possiamo leggere per ulteriori informazioni o discussioni. E il sito Web non contiene assolutamente informazioni sull'autore: in nessun punto del sito Web, o anche nella registrazione Whois del sito Web, esiste un modo per contattare l'autore o persino sapere chi è.

Questo essenzialmente significa che abbiamo poco o nessun modo per determinare quanto sia valido un suggerimento " Gbt3fC79ZmMEFUFJ è una password debole", o cosa significa. Non abbiamo certo modo di contattare l'autore di questo sito web e chiederglielo noi stessi, e dubito addirittura che sarebbe utile farlo. Penso che sia meglio ignorare questo suggerimento, prendendo in considerazione solo il fatto che Gbt3fC79ZmMEFUFJ non dovrebbe essere utilizzato perché ne abbiamo parlato a lungo.

TL ; DR: Passwordsgenerator.net è solo un altro sconosciuto anonimo su Internet: ignoralo.

Come addendum, potresti essere interessato ad altre cose che ho scoperto quando ero ispezionando il sito stesso, per avere un contesto migliore su quello che era e forse trovare maggiori informazioni su di esso. Quello che ho trovato non è stato molto piacevole:

• Il sito web fornisce un'opzione (selezionata per impostazione predefinita, ma comunque) per non generare la password sul server. Ho esaminato il codice sorgente e la visualizzazione del traffico di rete nella finestra Strumenti di sviluppo e, in effetti, rispetta questa richiesta, ma non c'è modo di dire che lo fa effettivamente senza leggerlo.
• Gli utenti del generatore Math.random () ! Math.random () è un generatore di numeri casuali crittograficamente insicuro, che rende le password generate sorprendentemente prevedibili e in realtà molto meno numerose di quanto si sarebbe indotti a credere, ad esempio , se la tua implementazione di Math.random () ha solo 32 bit di stato, indipendentemente dalle impostazioni che utilizzi, possono essere generate solo 4 miliardi di password univoche, il che significa che qualsiasi numero di caratteri oltre 7 o così non ha senso. Un vero generatore di password casuali dovrebbe invece utilizzare la chiamata window.crypto.getRandomValues ​​() , che ricava ogni singolo bit della password da una vera fonte di entropia da qualche parte nel computer .
• Anche il generatore di password è posizionato stranamente sulla pagina: il codice per il generatore stesso è ridotto a icona, ma il codice per configurarlo non lo è. Sembra quasi che l'autore del sito web abbia copiato il modulo password ridotto a icona da un'altra fonte, ad esempio un altro sito web.
• Il sito web tenta anche di utilizzare Google Ads per qualche strano motivo. In realtà non li richiama - ha solo una firma in basso per aggiungere l'ID Google Ads all'oggetto window - ma l'eventuale presenza di annunci effettivi comprometterà potenzialmente anche i dati inseriti nella pagina , anche se la pagina viene offerta tramite HTTPS.

La maggior parte delle persone è stata distratta dalla forza / entropia della password (sembra qualcosa che la maggior parte dei gestori di password sputerebbe fuori). Il motivo per cui la scoperta della risposta principale rende debole la tua password è che è quasi certo che faccia parte di un database di password conosciute

"È molto diverso da come era [prima] a causa di questi enormi elenchi di password ", ha affermato Rob Graham, CEO della società di test di penetrazione Errata Security. "Non abbiamo mai avuto un elenco di password molto grande su cui lavorare. Ora che lo facciamo, stiamo imparando come rimuovere l'entropia da esse. Lo stato dell'arte del cracking è molto più sottile in quello prima che stessimo indovinando nel buio . "

Se qualcuno subisce una violazione dei dati, i cracker inizieranno con l'elenco noto di password e procederanno a ritroso da lì. Ecco perché i gestori di password sono il nuovo standard di sicurezza: generi ogni volta una password casuale e univoca.

Forte o debole è in qualche modo arbitrario in quanto si basa sul tempo necessario per indovinarlo casualmente, che è una funzione dell'entropia della password. Puoi allungare la procedura aumentando la lunghezza dei caratteri o aumentando il pool di caratteri che possono essere nella password.

Nell'esempio fornito sono solo le cifre superiori / inferiori, quindi è un set di caratteri 62. Ci sono 16 caratteri, quindi sono 62 ¹⁶ combinazioni indovinabili. L'aggiunta di simboli speciali (diciamo solo 10), porta le combinazioni fino a 72 ¹⁶ .

Provare ogni singola combinazione è un po 'ingenuo, ma è l'attacco più costoso, quindi hai una linea di base su cui operare.