La maggior parte dei siti Web che gestiscono informazioni importanti (Gmail, ad esempio) ha una sorta di protezione da forza bruta. A volte se provi più di X volte bloccherà l'account o almeno ti darò un captcha da risolvere.
Attualmente tutti gli esperti di sicurezza continuano a dire la stessa cosa: creare caratteri lunghi e misti, password ad alta entropia. Questo ha molto senso se pensi a una chiave RSA o qualcosa che potrebbe essere decifrato offline, ma è davvero importante quando parliamo di password di account online?
Ad esempio, creiamo una password per Gmail utilizzando solo 6 lettere dell'alfabeto inglese. Questo è approssimativamente 26 ^ 6 = 309 milioni di combinazioni. Se consideriamo che possiamo testare 1 password al secondo (che ritengo sia più veloce di quanto effettivamente possiamo, se prendi in considerazione i captcha di Gmail), avremo bisogno di fino a 10 anni di interruzione e in media di 5 anni.
Punti da considerare:
- Se si utilizza la stessa password su un sito Web diverso, un altro sito Web potrebbe essere compromesso e la password verrà esposta. Suppongo che la password sia unica. Utilizzato solo con Gmail.
- Se qualcuno può afferrare il database, potrebbe forzare la forzatura dell'hash della tua password offline. Suppongo che il sito web utilizzi almeno un hash salato (molto improbabile che l'hacker proverà a infrangere tutte le password) e / o è molto improbabile che il database venga violato (è una buona ipotesi con Gmail)
- Suppongo anche che la tua password non sia una parola del dizionario o qualcosa di facile da indovinare. Questo dovrebbe escludere la forza bruta di più account (ad esempio testare la stessa password comune su più account).
È lecito ritenere che non abbiamo bisogno di una password veramente lunga per i siti web non appena seguiamo le altre misure di sicurezza? Se suggeriamo che le persone usano una password lunga solo perché normalmente non seguono l'altro consiglio di sicurezza (usa la stessa password per tutti gli account, ecc.). Non stiamo davvero cercando di risolvere i sintomi e non la causa?
PS: alcune altre domande riguardano quasi la stessa cosa, ma le risposte considerano sempre che la persona sta usando la stessa password su tutti i siti web o che il database del sito web è facilmente rubato.