Digitando la mia password due volte renderlo più sicuro? O digitando due volte ogni carattere?

74

Se digito la mia password due volte (come: PwdThingPwdThing ), OPPURE digita ogni carattere due volte (come: PPwwddTThippone ) che lo renderà sostanzialmente più sicuro di quello che è già?

Supponi che siano già 8 o 9 caratteri, composti da lettere maiuscole e minuscole, cifre e uno o più caratteri speciali.

(Supponi anche di non aver detto a nessuno che lo sto facendo in questo modo, anche se ho appena detto al mondo ... Doh!)

Chiedo perché vorrei una maggiore sicurezza in un modo che posso ancora ricordare, e questo sarebbe un cambiamento facile da fare e ricordare. Grazie.

    
posta Anti-weakpasswords 01.02.2016 - 18:40
fonte

11 risposte

101

"Proviamo "a "saltare "la "teoria "e "a "fare "pratica. "

"La "scrittura "della "stessa "parola "due "volte "(o "N "volte) "aiuterà "sostanzialmente? "

  • " "John "the "Ripper "Jumbo " "ha "una "varietà "di ""semplici "regole" "su "questo "

    • "

      "d "duplicato: ""Fred" "- "> ""FredFred" "

      "
    • "

      "f "riflette: ""Fred" "- "> ""FredderF" "

      "
  • "Il " "attacco "basato "su "regole "oclHashcat " "ha "regole "semplici "anche "per "questo, "

    • "

      "d "Duplica "l'intera "parola "d "p "@ "ssW0rd "p "@ "ssW0rdp "@ "ssW0rd "

      "
    • "

      "pN "Aggiungi "la "parola "duplicata "N "volte "p2 "p "@ "ssW0rd "p "@ "ssW0rdp "@ "ssW0rdp "@ "ssW0rd "

      "
    • "

      "Rifletti "f "Duplica "parola "invertita "f "p "@ "ssW0rd "p "@ "ssW0rddr0Wss "@ "p "

      "
  • "

    "Pertanto, "no, "questo "bit "di "intelligenza "è "così "comune "che "è "incluso "esplicitamente "in "entrambi "i "comuni "set "di "regole "già "utilizzati "da "solo "o "in "combinazione "con "altre "regole. "

    "

"OPPURE "digita "ogni "carattere "due "volte "

  • " "John "the "Ripper "Jumbo " "ha "un "esempio "specifico "di "questo "nella "documentazione "

    • "

      "XNMI "estrae "la "sottostringa "NM "dalla "memoria "e "inserisci "la "parola "corrente "in "I "è "la "regola "principale "

      "
    • "

      ""< "4X011X113X215" "(duplica "ogni "carattere "in "una "parola "breve) "è "l'esempio "nella "documentazione "per "coprire "esattamente "il "tuo "caso "per "le "password "brevi "

      "

. "

  • " "attacco "basato "su "regole "oclHashcat " "ha "regole "semplici "solo "per "questi "tipi "di "attacchi "

    • "

      "q "Duplica "ogni "carattere "q "p "@ "ssW0rd "pp "@@ "ssssWW00rrdd "

      "
    • "

      "zN "Duplica "il "primo "carattere "N "volte "z2 "p "@ "ssW0rd "ppp "@ "ssW0rd "

      "
    • "

      "ZN "Duplica "l'ultimo "carattere "N "volte "Z2 "p "@ "ssW0rd "p "@ "ssW0rddd "

      "
    • "

      "XNMI "Inserisci "la "sottostringa "di "lunghezza "M "a "partire "dalla "posizione "N "della "parola "salvata "in "memoria "nella "posizione "I "lMX428 "p "@ "ssW0rd "p "@ "ssw0rdw0 "

      "
  • "

    "Pertanto, "no, "ancora "una "volta, "questo "è "un "così "comune "bit "di "intelligenza "che "viene "definito "esplicitamente "in "entrambi "i "principali "prodotti "di "cracking "open "source. "

    "

"Supponiamo "che "siano "già "8 "o "9 "caratteri, "composti "da "lettere "maiuscole "e "minuscole, "cifre "e "uno "o "più "caratteri "speciali. "

"Le "altre "regole "in "questi "prodotti "molto "probabilmente "coprono "tutto "ciò "che "stai "facendo "già, "ed "è "anche "probabile "che "qualsiasi "combinazione "tu "abbia "già "è "inclusa "in "un "set "di "regole "applicato "a "una "lista "di "parole "ragionevole. "

  • "

    "oclHashcat "da "solo "ha "venticinque "diversi "file "pieni "di ".rules, "incluso "d3ad0ne.rule "con "oltre "35.000 "regole, "dive.rule "con "oltre "120.000 "regole "e "così "via. "

    "
  • "

    "sono "disponibili "un "numero "elevato "di "elenchi "di "parole, "alcuni "dei "quali "potrebbero "includere "la "tua "password "esatta: "solo " "Openwall "wordlist " "ha "un "singolo "file "da "500 "MB "con "oltre "40 "milioni "di "parole, "compresi "quelli "storti "

    "
  • "

    "e "sono "personalmente "a "conoscenza "sia "delle "piccole "e "buone "liste "di "parole "(phpbb, "et "all) "sia "di "elenchi "di "parole "enormi "e "completi "con "letteralmente "miliardi "di "voci, "che "occupano "molti "gigabyte "di "spazio "totale. "

    "

"Come "per "tutti "gli "altri, "devi "usare "la "casualità "o "qualcosa "come "un'intera "frase "di "aneddoto "personale "che "NON "usa "le "parole "in "un "elenco "di "5000 "parole "inglesi "comuni "e "usa "parole "lunghe "e "non "comuni "(per "forzare "il "combinatorio "attacca "usando "dizionari "molto "più "grandi). "

"In "particolare, "guarda, "ad "esempio, "per "le "parole "selezionate "a "(buono) "casuale "incluso "in " "Elenco "pazzo "di "ispell "inglese "di "Ubuntu " "che "non "è "incluso "nel "dizionario "ispell "inglese "standard, "per "esempio. "

    
risposta data 02.02.2016 - 05:41
fonte
63

Security.StackExchange è pieno di domande che propongono strategie di password "home-brew". La risposta breve è sempre la stessa: fare qualcosa per differenziare la tua password dagli attacchi standard del dizionario è buona - purché

  1. Pochissime altre persone sul pianeta stanno anche usando la tua strategia. Se la tua strategia "home-brew" risulta essere comune, ad esempio sostituendo "a" con "@", verrà inclusa negli attacchi standard del dizionario e tornerai al punto di partenza.

  2. Non ti stai prendendo di mira personalmente. Se sei abbastanza di un obiettivo di alto valore che gli aggressori stanno cercando specificamente di distruggere il tuo account, allora qualsiasi modello che usi è una responsabilità perché una volta che conoscono il tuo modello (ad esempio dalle tue password trapelate da perdite precedenti) ) quindi costruiranno dizionari basati sul tuo pattern.

Un'altra tendenza con questo tipo di domanda qui su infosec, è che qualcuno inevitabilmente fa riferimento a XKCD , quindi ecco qui. Ricorda che i computer sono alla ricerca di database e generano elenchi basati su modelli. Utilizzando una strategia semplice come "raddoppia ogni lettera" o " le iniziali del coro della mia canzone preferita " , ecc., stai utilizzando una strategia facile da indovinare per i computer. La migliore pratica per trovare una semplice strategia per le password è sempre: non . Usa un gestore di password come LastPass per generare e ricordare una password casuale di 32 caratteri per te. Se insisti per avere qualcosa che puoi memorizzare, la prossima best practice è diceware .

Se vuoi sfidare tutte le migliori pratiche e inventare il tuo schema, allora consiglierei qualcosa basato sull'emozione piuttosto che sul modello, o qualcosa che possa essere estratto dalle tue informazioni personali. Ad esempio, una password basata su "siti web che mi piacciono" o "programmi TV che guardo" sarebbe facile da indovinare per chiunque abbia accesso alla tua attività su Internet, ma "cose che mi ricordano

risposta data 01.02.2016 - 18:56
fonte
22

In generale, no, il raddoppio della password non aumenta sostanzialmente (o diminuisce) la sicurezza. Quello che raddoppia è lo sforzo di battitura. Raddoppiando la tua password puoi diminuire la tua sicurezza se ti incita a scegliere una password di base più breve / più facile in modo che lo sforzo di digitazione non sia troppo macchinoso.

In termini generali, la sicurezza delle password deriva dalla sua casualità, cioè quanto l'attaccante non sa. Nel caso del "raddoppio", si tratta di un'informazione a un bit (cioè se la si è applicata o meno), quindi, matematicamente parlando, si tratta di un ulteriore bit di entropia. Non è molto Digitare otto caratteri in più per ottenere un singolo bit di entropia è scarso; questo non è un buon affare.

Tutti i trucchi spiritosi condividono lo stesso problema fondamentale: sono spiritosi. Fanno affidamento sul fatto che l'attaccante sia stupido, incompetente o arcaico. Questo non vale in pratica, tranne che contro gli attaccanti che sono veramente stupidi, incompetenti e arcaici - gli dei sanno che sono molti di loro, ma non sono un grosso problema, perché non saprebbero cosa fare con la tua password. Gli aggressori di cui dovresti preoccuparti sono quelli intelligenti, che possono causare danni sostanziali alle tue risorse digitali in breve tempo; questi astuti aggressori non saranno molto scoraggiati dal tuo trucco di raddoppiamento della password.

Considera di leggere questa famosa domanda per ottenere alcune informazioni su ciò che rende una password "strong", in particolare l'entropia matematica in tale risposta .

    
risposta data 01.02.2016 - 19:05
fonte
15

My password cracker già prova il raddoppio della lettera, il raddoppiamento delle parole, l'inversione e il raddoppiamento delle parole, il ribaltamento e il raddoppiamento delle parole ...

... e molti altri.

Sì. Il raddoppio aggiunge alcuni alla difficoltà: circa quattro bit, top. Mi ci vorrebbe più di sedici volte più tempo di un attacco di dizionario crudo con le sostituzioni di lettere.

Ma alla fine avrei ricevuto BAdpA55 !! 22AqbA8.

    
risposta data 02.02.2016 - 03:09
fonte
5

Gli umani sono creature sorprendentemente prevedibili. Il nostro modo di pensare non è così unico come vorremmo credere. È probabile, qualsiasi cosa intelligente tu possa pensare per rendere la tua password più sicura, è già stata pensata da molte altre persone, e gli hacker sono ben consapevoli di tutti questi trucchi intelligenti.

L'unico modo per rendere una password correttamente sicura è renderla lunga e casuale. Rimuovi la fallibilità umana dall'equazione. Se una password è così complessa, non è possibile memorizzarla, quindi potrebbe essere abbastanza sicura.

I gestori di password sono estremamente utili. Ti consentono di rendere tutte le password che utilizzi univoche e ogni password completamente casuale.

Ovviamente devi assicurarti che il tuo database di gestione delle password sia sicuro e non sia possibile accedervi da remoto.

    
risposta data 02.02.2016 - 01:18
fonte
3

Ci sono molti fattori ma alla fine si rompe su quale tipo di password cracking stai cercando di proteggere. Contro una forza bruta aumentare la lunghezza della password renderà più difficile craccare. Supponendo che il loro hashing non sia orribile, una password decente di 8 o 9 caratteri dovrebbe già essere molto difficile da forzare con la forza bruta. Ciò significa che raddoppiarlo digitando due volte ciascun carattere o digitando la stessa password due volte non fa molto.

Una volta che la tua password è lunga abbastanza per essere al sicuro da un attacco di forza bruta, devi iniziare a preoccuparti degli attacchi del dizionario, degli attacchi combinati e di altre cose del genere. Entrambe le cose che suggerisci sarebbero facili da includere in un attacco basato su regole e qualsiasi valore in sicurezza aggiuntiva dipende da ciò che non viene comunemente fatto e non viene incluso nel loro set di regole.

    
risposta data 01.02.2016 - 23:02
fonte
3

Link alla demo di entropia della password zxcvbn.

Secondo zxcvbn, le statistiche della tua password iniziale:

Normale: PwdThing

 Guesses:
    100 / hour:     5 months    (throttled online attack)
    10  / second:   58 minutes  (unthrottled online attack)
    10k / second:   35 seconds  (offline attack, slow hash, many cores)
    10B / second:   less than a second  (offline attack, fast hash, many cores)

Raddoppia: PwdThingPwdThing

guess times:
100 / hour:     9 months    (throttled online attack)
10  / second:   2 hours (unthrottled online attack)
10k / second:   1 minute    (offline attack, slow hash, many cores)
10B / second:   less than a second  (offline attack, fast hash, many cores

Lettera raddoppiata: PPwwddTThhiinngg

guess times:
100 / hour:     centuries   (throttled online attack)
10  / second:   centuries   (unthrottled online attack)
10k / second:   centuries   (offline attack, slow hash, many cores)
10B / second:   12 days (offline attack, fast hash, many cores)

zxcvbn potrebbe non essere perfetto, ma mi sembra che ti dia una stima abbastanza buona della tua password. Gioca con esso per ottenere una bella password memorabile con un punteggio elevato.

Preferisco le frasi da usare come password. Sono lunghi e intrinsecamente difficili da indovinare e facili da ricordare.

EX: "Il mio secondo frutto preferito, il lunedì, è mango!" (spazi inclusi dove consentito)

Se sei preoccupato per la bruta NSA che impone la tua password ... io andrei con le password generate di cui parlano tutti gli altri.

    
risposta data 02.02.2016 - 22:25
fonte
1

Due cose rendono più sicura una password: lunghezza e casualità. Quindi, la risposta alla tua domanda è in definitiva , aumenti la sicurezza della tua password.

Ma in generale, la tua password iniziale non è super sicura perché utilizza parole che possono essere trovate in un dizionario. E il raddoppiamento è solo un modello ripetitivo che un algoritmo di cracking può facilmente fare anche a te. Quindi, non solo raddoppia la tua password, assicurati che ciò che raddoppi non siano parole reali.

    
risposta data 01.02.2016 - 23:40
fonte
0

aggiungere una lunghezza ad una password aumenta sostanzialmente la sicurezza di una password, quindi penso che digitare la password due volte o raddoppiare ogni carattere sia meglio di non farlo e usare una password più breve di 8 o 9 caratteri. Fai riferimento a questo link per ulteriori informazioni su come aumentare la durata della password migliora significativamente la sua sicurezza: link

    
risposta data 01.02.2016 - 21:30
fonte
0

La lunghezza della password è sempre un fattore chiave per la sicurezza delle password, ma cerca anche di migliorare il contenuto, raddoppiando la password potresti essere d'aiuto nei confronti della pratica con attacchi HYDRA / Dictionary

    
risposta data 02.02.2016 - 01:16
fonte
-2

@SethWhite - ritieni di aver dato la risposta più precisa.

Molti utenti non comprendono le strade e i metodi usati per infrangere una password. Inoltre ci sono misure di sicurezza aggiuntive come il blocco delle porte per i chiamanti http / ftp sconosciuti. Qualcuno esperto dovrebbe spiegare.

Seth mostra che ci sono in leasing quattro diverse strade per rompere una password nel modo più difficile. Il modo più semplice è quello di Phish, guardare sotto la tastiera, le note adesive sul monitor per il foglio di carta ecc.

Le password sono solo una parte di ciò che protegge i tuoi dati dagli attacchi. La tua password (frase chiave) viene utilizzata per generare una sequenza casuale di codici binari (codice macchina) che può essere decodificata solo con la tua password e l'algoritmo del software che lo ha codificato. Quindi chiunque cerchi di indovinare questa sequenza binaria (HASH) sui dati di base (senza usare il software di decodifica utilizzato da una pagina di accesso) dovrà provare a caso a partire dal primo byte fino a quando non indovinerà tutti i byte casualmente. Questo è ciò che Seth mostra come forza Brute e richiede molto tempo e molti core per lunghezze HASH a 64.128.256.512 byte. Il tempo di hackerre aumenta esponenzialmente con la lunghezza. La lunghezza di HASH si basa sulla dimensione della password, quindi una password più lunga dura più a lungo il tempo di forza bruta HASH.

Credo che Wikileaks abbia impiegato molti mesi per infrangere il codice, ma la maggior parte degli HASH possono essere violati. Penserei che gli hack del centro servizi dati fossero attacchi di dizionario in cui l'hacker ha utilizzato il software di decodifica dell'accesso per indovinare le password. Di conseguenza, gli attacchi di dizionario hanno solitamente un qualche tipo di accesso al sistema su cui si trovano i dati non solo sui dati.

Prima istanza, poiché comprendo che l'attacco online limitato viene eliminato da una connessione http, probabilmente supportata da un cookie compromesso (piccolo programma solitamente utile installato dai server Web) in "Dizionario attacca il tuo sistema".

Conclusione: lunghe password casuali (contee "PPwwddTThihli") aiutano moltissimo a fermare entrambi i tipi di attacchi. La lunghezza e la complessità della password dovrebbero riflettere il pericolo per gli attacchi del dizionario e la sensibilità alle informazioni memorizzate.

P.S. La mia famiglia mi odia perché la nostra rete domestica wireless è protetta da una frase chiave casuale di 128 byte.

    
risposta data 03.02.2016 - 12:51
fonte

Leggi altre domande sui tag