Perché il software non rileva automaticamente gli attacchi di cracking delle password e li ostacola?
Versione lunga:
Supponiamo che qualcuno provi un attacco di tipo "brute-force-cracking" su alcuni programmi XYZ che richiedono l'autenticazione tramite password.
La mia comprensione è che un tale attacco consisterebbe nell'iterizzare l'insieme di "tutte le password possibili", fornendo ciascuna a turno a XYZ, fino a quando uno di loro funziona. Affinché questa strategia abbia probabilità di successo, l'utente malintenzionato dovrebbe essere in grado di fornire a XYZ molte password candidate al secondo. Pertanto, sarebbe banale programmare XYZ per rilevare questo modello (ovvero, distinguerlo dal caso in cui un utente legittimo erroneamente digita la password corretta un paio di volte) e aumentare automaticamente il requisito di autenticazione per i prossimi, ad esempio, 10 minuti.
L'idea è che il proprietario di XYZ possa impostare due "password": una "password di livello 1" (AKA "the pass word ") che è relativamente facile da ricordare e facile da scrivere, ma anche relativamente facile da decifrare con la forza bruta, e una "password di livello 2" (AKA "the pass phrase ") che potrebbe essere estremamente lunga, impossibile da crack per forza bruta, ma anche molto scomodo per (legittimo) uso quotidiano.
Qualcuno che conosceva la parola parola conveniente-ma-debole difficilmente avrebbe mai dovuto usare la frase
noncraccibile-ma-non-conveniente.Sono sicuro che ci sia un grosso difetto in questo schema, altrimenti le password non avrebbero il mal di testa per gli utenti legittimi che lo sono. Qual è la spiegazione?