Le password di leet sono facilmente risolvibili?

Naviga le tue risposte
59

Creare una password complessa E ricordarla è come mangiare mentre si parla. Soffochi. Quindi la stessa cosa potrebbe accadere se hai un p455w0 (R). | L1K3thys e qualcuno lo spacca. Non sono sicuro che sia effettivamente vero. Queste password leet sono più vulnerabili delle password completamente casuali create da un generatore di password casuali? Ci sono dei cracker leet password là fuori? C'è un modo per simulare in sicurezza un test di penetrazione su alcune password leet offline?

    
posta Foxcat385 16.10.2016 - 21:11
fonte

3 risposte

78

Penso che la risposta Trey Blalocks sia ottima, ma vorrei completarla con un po 'di matematica.

Se la tua password è scelta casualmente dal 171,476 parole in il dizionario inglese di Oxford si ottiene log2 (171476) o circa 17,4 bit di entropia.

Supponiamo che ci sia circa 4 sostituzioni di leet naturali nella parola media. A caso, facendo o non facendo ogni sostituzione, si aggiunge un bit, quindi l'aggiunta del leet aumenterebbe l'entropia di 4 bit, il che significa che impiegherà 16 volte più tempo per craccare. (Se usi solo leet per tutte le sostituzioni disponibili, aggiungi solo un bit - la password è leet o not leet.)

D'altra parte, una password alfanumerica di 8 caratteri (maiuscolo e minuscolo) completamente casuale ha log2 (62 ^ 8) o circa 47.6 bit di entropia. Ciò significa che ci vuole un po 'più di un miliardo di volte di crack!

Quindi l'aggiunta di leetspeak è leggermente migliore di una semplice parola inglese, ma non è così buona come randomizzare.

    
risposta data 16.10.2016 - 22:15
fonte
49

Le librerie di cracking includono algoritmi di sostituzione Leet comuni e ci sono dizionari Leet che possono essere utilizzati da strumenti come Hydra. Ci sono anche strumenti per convertire un intero dizionario di parole in "Leet-speak"

Gli hash più importanti sono disponibili per le più comuni password Leet e le variazioni di parole di Leet, quindi se qualcuno sta crackando un dump di password di grandi dimensioni su un insieme molto grande di parole pre-hash che includono password Leet in uso sono molto probabili trova le partite.

Infine, un modo migliore per determinare le conseguenze del mondo reale potrebbe essere quello di esaminare i dump delle password che si sono già verificati e che includevano anche le password di Leet. La prova della loro rottura è visibile in un mondo reale di discariche di password che sono diventate pubbliche. Allo stesso modo, la loro presenza nelle comuni tabelle hash (MD5 e SHA1) potrebbe anche dare loro la possibilità di crearli facilmente.

    
risposta data 16.10.2016 - 21:35
fonte
16

Riferimento obbligatorio ed estremamente pertinente XKCD : -

Quello che sono incline a fare è combinare approcci entrambi ma non credo che faccia molta differenza. Un altro approccio sarebbe quello di utilizzare la prima lettera di ogni parola in una poesia o canzone preferita. NGGYUNGLYDNGRAADY ecc.

    
risposta data 18.10.2016 - 09:14
fonte

Leggi altre domande sui tag

Perché i SO non rendono le sequenze di tasti disponibili solo per l'app corrente? Quanto dovrei preoccuparmi di essere hackerato con PoisonTap?