I caratteri specifici della lingua vengono in genere evitati dai generatori di password perché non sarebbero universalmente disponibili (le tastiere statunitensi non hanno caratteri accentati, ad esempio). Quindi non prendere la loro omissione da questi strumenti come un'indicazione che potrebbero essere deboli o problematici.

Più grande è il set di simboli ( az , AZ , 0-9 , ecc.) maggiore è la quantità di caratteri possibili da provare a indovinare durante la forzatura bruta di una password. L'aggiunta di caratteri specifici della lingua si aggiunge al pool e questa può essere una buona cosa.

Ma fai attenzione a come calcoli l'entropia. La stringa ààààààààààà non ha molta entropia se la premi sulla tastiera perché è comoda. L'entropia riguarda il modo in cui vengono scelti i personaggi. Una stringa scelta a caso ha un'entropia elevata e una stringa scelta a caso da un ampio pool di caratteri ha un'entropia più alta.

Tutte le password devono contenere solo caratteri ASCII stampabili. Non "ASCII esteso", non Latin-1, non Unicode.

Il motivo è che non si sa mai cosa viene effettivamente ricevuto da un programma quando si preme "à" o simile.

In molte versioni di "ASCII esteso", "à" è codificato come (hex) 85.
In ISO Latin-1, "à" è codificato come (hex) E0.
In Unicode "à" è codepoint U + 00E0. Quando codificato con UTF-8, il risultato è (hex) C3 (hex) A0.

Justin Time sottolinea in un commento che esiste un'altra possibilità. Anche se tutti parlano Unicode, "à" può essere memorizzato in modi diversi. C'è U + 00E0 come elencato sopra, ma c'è anche una versione composta (U + 0061 U + 0300) che è "a" seguita da (COMBINAZIONE DI ACCENT GRAVE). Un programma scritto correttamente lo gestirà, ma è estremamente comune avere bug in quest'area.

Chiunque abbia un carattere nazionale nel proprio nome o indirizzo li ha visti mutilati in molti modi diversi. Quando ciò accade, è semplicemente brutto, ma la lettera di solito viene consegnata comunque.

Quando ciò accade a una password , il risultato è che non puoi accedere! Basta non andarci.

La maggior parte dei cosiddetti controlli di sicurezza delle password non comprende né le password né l'entropia correttamente. Ho sempre trovato qualcosa di ridicolo che passa come una password complessa. Prova il tuo nome più la tua data di nascita (con punti o barre, come richiesto dalla tua lingua). Ci sono le tue maiuscole e minuscole, caratteri speciali e numeri proprio lì, eppure nessuno sano di mente lo consiglierebbe come password.

Eppure "JohnDoe01.01.1980" segna "220 trilioni di anni" su https://howsecureismypassword.net/ e al 100% su http://www.passwordmeter.com/.

https: // www .my1login.com / resources / password-strength-test / è l'unico controllore che ho trovato che capisca la stupidità: entra in questo esempio e guarda come la sua stima passa da "fantastico" a "medio" mentre inserisci l'ultimo numero e "ottiene" che c'è una data di calendario.

Quindi: usa più dei motori di calcolo dell'entropia primitivi per giudicare le password.

Per il tuo caso specifico ciò significa:

sulla carta l'estensione del set di caratteri aumenta notevolmente lo spazio di ricerca e dovrebbe rendere le password radicalmente più sicure. in realtà il 99,9% degli utenti utilizzerà le proprie impostazioni internazionali e una a in spagnolo o una dieresi tedesca sono solo alcuni caratteri aggiuntivi e non l'intero spazio UTF-8. Perché sarebbe sciocco presumere che un utente malintenzionato non tenga conto della natura umana di base.

Ci sono anche gli aspetti di usabilità. Una volta ho dovuto accedere al mio account da remoto da un Internet cafè giapponese, e questo non è stato decisamente divertente. Se il mio nome utente, la password o uno qualsiasi dei comandi di cui avevo bisogno avesse incluso caratteri non ASCII, non credo che ci sarebbe stato alcun modo per farlo accadere.

Se è possibile che tu possa devi accedere alla tua macchina da una tastiera diversa da quella che stai usando ora, caratteri troppo speciali ti terranno fuori dal tuo account meglio di quanto potrebbe fare una password dimenticata.

E non parliamo nemmeno di Unicode e delle sue numerose implementazioni non funzionanti, che potrebbero causare ulteriori problemi.

Questi sono anche alcuni dei motivi per cui i generatori di password evitano i caratteri non ASCII:

Sicurezza aggiuntiva insufficiente per compensare tutti i potenziali problemi.

E per favore, per favore, per favore, smettila di pensare alla complessità della password. È un ponte di paglia serpente. La lunghezza supera la complessità ogni giorno e se utilizzi generatori di password probabilmente li stai anche memorizzando in un gestore di password e non ti interessa se digiti 10, 20, 40 o 200 caratteri.

Il numero 1 Il miglior suggerimento per la sicurezza delle password è usare una nuova password casuale per ogni sito Internet con cui ti registri, in modo che la tua password non venga persa nel prossimo hack. Perché non puoi essere sicuro che li hash e salano correttamente, e se non lo fanno, tutta la complessità e i caratteri speciali del mondo non contano per niente.

Per calcolare l'entropia, è necessario un metodo ben definito per generare stringhe casuali. Considera la seguente stringa.

  abcdef  

Se hai detto a un computer con un buon generatore di numeri casuali di generare 6 lettere minuscole e è capitato di ottenere questa particolare sequenza, quindi hai log ₂ (26 ⁶ ) bit di entropia (28 bit di entropia). Tuttavia, se il tuo generatore di stringhe casuali restituisce sempre "abcdef", hai effettivamente 0 bit di entropia. I calcoli dell'entropia presumono che gli aggressori sappiano come si generano le password.

Nella tua domanda hai menzionato specificamente il carattere à . Non hai specificato un algoritmo, quindi lascia che ne proponga uno. Scegli un particolare algoritmo di generazione della password (la scelta non ha importanza) e metti sempre à alla fine. Quanti bit di entropia aggiunge? La risposta è 0 poiché il numero di possibili password che potrebbero essere generate non è cambiato.

Ma supponiamo che tu abbia modificato un algoritmo che genera caratteri casuali per aggiungere à carattere nel possibile output personaggi. In questo modo verranno aggiunti log ₂ ((alfabeto + 1) ^dimensione ) - log ₂ (alfabeto ^dimensione ) bit di entropia. Questo non fornisce molto valore, per password casuali di 50 caratteri con dimensione alfabetica di 62 (minuscolo + maiuscolo + cifre), questo aggiungerà semplicemente un singolo bit di entropia. Puoi ottenere risultati molto migliori aggiungendo 1 carattere a una password, che aggiunge circa 6 bit di entropia.

Inoltre, l'aggiunta di à al tuo alfabeto introduce un costo per avere un carattere non è necessariamente su nessuna tastiera su cui potresti voler digitare la password.

Può essere negativo se il sistema di accesso è implementato male. Dato che mi sembra di vedere ancora molti sistemi che (forse per motivi legacy) hanno ancora la lunghezza massima delle password e hanno regole stupide per le password su quali caratteri sono consentiti (o peggio, non consentiti), non mi fido di caratteri non ASCII attraverso indenne con un alto grado di fiducia. Certamente sarebbe un male se ti fosse permesso di impostare la password con un carattere non ASCII ma che il processo di login la alterasse.

Per i sistemi che impongono la lunghezza massima delle password, devi anche considerare l'ambiguità di come viene effettivamente misurata la lunghezza della password. È un numero di byte? In quale codifica? È un numero di punti di codice? Numero di grapheme cluster? Ad esempio, se un sistema limita la lunghezza della password in base al numero di byte in UTF-8, l'utilizzo di un carattere non ASCII consumerebbe più byte e potrebbe ridurre l'entropia.

Sebbene numerose risposte abbiano fornito solide informazioni sull'entropia, la domanda posta era "... c'è qualche motivo per evitare di usare questi caratteri speciali?"

Alcuni sistemi di password per computer accettano solo caratteri alfanumerici caratteri più un intervallo limitato di caratteri come un trattino basso (_) o un trattino (-). Tutti gli altri caratteri sono proibiti.

In alcune applicazioni complesse possono esserci sistemi legacy che utilizzano lo screen scrapping che può danneggiare la traduzione di caratteri speciali nelle stringhe di testo. Il problema è che non puoi sapere come è stata implementata un'applicazione. Potrebbe esserci o meno una legislazione che stabilisce standard minimi.

In qualsiasi punto di una catena in cui vengono modificati i set di caratteri, esiste la possibilità che i caratteri speciali vengano eliminati o danneggiati.

Non dare per scontato che l'applicazione che accetti la tua password iniziale per la registrazione è la stessa applicazione che accetta la tua password per la convalida. Devo ammettere che se tutti sperimentassi un sistema implementato male, eviterei il sistema come la peste.

Dipende da dove e come utilizzi la password.

Se utilizzi un gestore di password, ad es. su una chiavetta USB, non c'è problema che la password sia digitata correttamente su tutte le macchine, a causa di copia e incolla.

Quando devi usare la password su dispositivi speciali (smart TV, frigo, dispositivi in ​​cui non è possibile inserire una chiavetta USB o non è consentito) o quando c'è una probabilità ragionevolmente alta che il processo di accesso sia implementato in modo schifoso, utilizzerei solo caratteri ASCII trovati sulle tastiere statunitensi.

L'entropia non è una proprietà delle password. È una proprietà dei metodi di generazione delle password (o più in generale, una proprietà delle distribuzioni di probabilità). Nello specifico, è il numero previsto di bit di informazioni di cui un utente malintenzionato avrebbe bisogno per identificare la password specifica generata, supponendo che conosca il metodo utilizzato. Se tutte le possibili password che potresti generare hanno la stessa probabilità, questo si semplifica in un'entropia di log ₂ (numero di possibili password).

• Quindi, se il tuo metodo è selezionare à , hai un'entropia pari a 0; non sono necessarie ulteriori informazioni per identificare quale delle singole possibili password è stata selezionata.
• Se la tua password è una sequenza da qualche parte tra 1 e 16 à s, hai un'entropia di 4 , poiché ci sono 16 possibilità e log ₂ (16) = 4.

• Se la tua password è tre numeri compresi tra 0 e 15 inclusi, selezionati in modo uniforme e indipendente, il tuo entropia è 12, poiché ci sono 16 possibilità ³ e log ₂ (16 ³ ) = log ₂ (16 ) * 3 = 12.

  Ma la password 15 3 7 non ha un'entropia, perché non è una distribuzione di probabilità; è un elemento che è stato selezionato da uno.

Gli strumenti che pretendono di darti l'entropia di una password in realtà indovinano quale metodo tu probabilmente utilizzato per generare quella password (e quasi certamente indovinare sbagliato ) e darti l'entropia del metodo che pensano tu abbia usato. Segnalano un'entropia elevata per le password con caratteri speciali perché ritengono che la password sia stata selezionata utilizzando un metodo che potrebbe aver generato qualsiasi carattere speciale in qualsiasi posizione. Se questa ipotesi è falsa (il che è), l'entropia che riportano non ha senso.

L'uso di caratteri speciali nelle password non è né buono né cattivo. Non è così importa quali caratteri potrebbero finire nella tua password. È importante quante possibilità ci sono.

Sì, in alcuni casi. Ad esempio:

1) Se è una situazione in cui la password deve essere ricordata, l'aggiunta o la richiesta di caratteri speciali riduce la sicurezza perché aumenta la probabilità che gli utenti violino le politiche sulle password per non memorizzarle o semplicemente scriveranno quelle password giù. Entrambi i casi comportano un rischio per la sicurezza molto maggiore rispetto a password meno complesse.

Inoltre, ad esempio, considera questa serie di password, cambiate ogni 90 giorni e utilizzando caratteri speciali per soddisfare un requisito di password eccessivo:

  Th1s $ ecuritySucks! Th2s # ecuritySucks! Th3s @ ecuritySucks!  

Immagina che le prime due password siano state esposte ... Anche dopo il passaggio alla terza password, sarebbe facile indovinare la password corrente vedendo le prime due.

2) Aggiungere entropia per il bene dell'entropia può essere uno spreco di risorse che è meglio spendere per risolvere altri problemi di sicurezza. Se si blocca un sistema (ad esempio rispetto a un file), si otterrebbero maggiori vantaggi assicurandosi che tutte le altre vie di attacco siano bloccate ... Ciò significa che fare una dura prevenzione di qualsiasi ripetizione estesa è molto meglio che provare per creare una password dove sono richieste più ipotesi.

Se non hai niente di meglio da fare e la password non ha bisogno di essere tenuta nella memoria umana o digitata (o almeno non digitata da sistemi sconosciuti / potenzialmente diversi ), tuttavia, non sarebbe necessariamente dannoso.

No , non è male usare caratteri "speciali" (meglio: non ASCII) nelle password.

Come utente, tutto ciò che devi fare è

1. fidati del sito web che non presenterà mai un modulo di accesso non UTF-8,
2. assicurati di essere sempre in grado di digitare la tua password quando è necessario così.

Se sai che potresti dover digitare la tua password su una tastiera fisica esterna, devi essere in grado di ricordare (oppure, cercare) la posizione dei tasti che producono i tuoi caratteri non ASCII (BTW, à su una tastiera spagnola sono 2 pressioni di tasti). Per quanto riguarda il layout, tutto il sistema operativo ti consentirà di cambiarlo, quindi non è un problema.

Il vantaggio dei caratteri non ASCII è che il software di cracking delle password, IMHO, difficilmente li provi. Se lo facesse, esplorerebbe le password con una probabilità inferiore, a scapito di password ASCII più lunghe, che hanno una maggiore probabilità di essere utilizzate.

ASCII esteso (0-255) va bene in quanto puoi comporli comunque utilizzando alt + tastierino numerico.

Qualsiasi altro carattere al di fuori di ASCII esteso non funzionerà sempre perché il tuo la possibilità di scriverlo dipende dalla specifica configurazione del sistema. Alcuni sistemi potrebbero essere bloccati / configurati per non consentire nulla di simile a UTF.

Quindi, se hai un sistema specifico e una lingua specifica impostata, puoi usare qualcosa di speciale per il tuo login, ma se hai bisogno di una password per lavorare da qualsiasi luogo su qualsiasi sistema, limitati ad ASCII.

Qualcosa di simile ti darà molta entropia e generalmente non sarà testato dalla maggior parte dei brute-forcers delle password:

  ≡ ± ≥▀Γ▄  

Usavo persino password di 3-4 caratteri (per cose come gli accessi al sistema di laboratorio) molti anni fa poiché i caratteri non erano sulla tastiera .

Statisticamente, un software brute-forcing adattato per una regione specifica avrà anche molte più probabilità di avere successo su UTF-8 rispetto all'utilizzo di ASCII esteso.

Uso i caratteri Unicode nelle password e talvolta una modifica della password viene bloccata (caratteri vietati) o viene eseguita e quindi richiede una reinizializzazione della password (qualche problema di codifica). Dipende molto dal sistema.