Le password del dizionario sono la strada da percorrere. Wikipedia suggerisce che rendere prevedibile una strategia potrebbe non essere la strada migliore, ma in questo caso lo è.
Da Teoria delle informazioni di Wikipedia / Entropia :
For instance, the entropy of a coin toss is 1 shannon, whereas of m tosses it is m shannons. Generally, you need log2(n) bits to represent a variable that can take one of n values if n is a power of 2. If these values are equally probable, the entropy (in shannons) is equal to the number of bits. Equality between number of bits and shannons holds only while all
outcomes are equally probable
Quindi, se tutto è ugualmente probabile, è probabile che inserisca "a" o "2" o "<" per un valore, quindi le opzioni e la lunghezza sono tutto ciò che importa. Ciò considerato, ci sono molte più parole di lettere + cifre + simboli in qualsiasi lingua. Basta in modo che una password di 4 parole superi facilmente quella di 10 caratteri.
Per mostrare quanta differenza:
26 lettere in alfabeto, 10 cifre, forse 15 simboli = ~ 50 opzioni.
Password 10 caratteri = 9,76 x 10 ^ 16 opzioni.
Se il nostro computer indovina 4 milioni al secondo, un'ipotesi approssimativa e generosa, siamo a circa 775 anni per indovinare la password. Piuttosto sicuro. E, possiamo ricordare comodamente circa 7 personaggi, 10 è fattibile, specialmente attraverso la ripetizione in stile password.
Questo è con 10 caratteri, tutti ugualmente ponderati in probabilità, il che è ragionevole dal momento che è probabile che sia priva di senso che dovremo mettere sul dorso della mano per ricordare inizialmente.
Da ciò:
1) La lunghezza della password è importante in questo caso. Ogni personaggio aumenta considerevolmente la sicurezza. Una password più lunga è sempre migliore. Se ad esempio abbiamo tagliato la nostra password fino a 7 caratteri, siamo a un tempo massimo scarso di 2,25 giorni per croppare con 50 opzioni per ogni personaggio.
2) Però diciamo che se creo una password come descrive il fumetto XKCD, nulla impedisce a qualcuno di lanciare un dizionario con una password come "ricorda gli elefanti smembrati". Diciamo se uso john the ripper, che ha ~ 3000, con un'opzione per rendere ogni plurale o tagliare un s se termina con uno, quindi forse ~ 6000 parole. Se ci sono 4 parole nella mia password, allora 6000 ^ 4 possibilità = 1,3 x 10 ^ 15, 10 anni
Piuttosto sicuro. E, John the Ripper in realtà non creerebbe la password:
correct horse battery staple
John the Ripper sta usando password comuni. Così comune che solo il "cavallo" si mostra effettivamente lì dentro. Diciamo che se uso parole non comuni che i dizionari cracker non anticipano, l'ultima opzione è un attacco di dizionario legittimo.
Se utilizzo il dizionario predefinito di fedora, con una parola 500 000 molto completa, per una password di 4 parole ci sono 6,25 x10 ^ 22 possibilità che siamo a circa 5 miliardi di anni di tempo di cracking . Ma non è inverosimile dire che questo potrebbe essere ridotto al massimo al 25% delle sue dimensioni, specialmente se vengono usate parole comuni come "corretta batteria a ferro di cavallo". Quindi, 125 mila possibilità. Ancora, 2,44 x 10 ^ 20, che è di circa 2 milioni di anni.
E se potessimo ridurlo a% 1? Quindi 5000 parole. Sono 6,25 x 10 ^ 14 possibilità, quasi lo stesso numero con l'attacco john the ripper, circa 5 anni max. È davvero fattibile ridurlo all'1%? Probabilmente no se le parole più comuni non vengono utilizzate.
Ma questo dipende anche dai delimitatori degli spazi bianchi. Se ho
azkaban_P0tter * flubber st @ ple
Quindi abbiamo distrutto la prima uguaglianza di bit nella conversazione shannons, ma abbiamo aggiunto una quantità insormontabile di variabili anche se l'aggressore anticipa completamente questa tattica.
Inoltre, se si può usare un dizionario più piccolo di 200.000, ridurre tale valore all'1% è ancora al massimo 45 giorni, ed evitare le parole più comuni e usare diversi delimitatori di parole aumenterebbe drasticamente questa durata, e lanciando una parola o due in un'altra lingua se è facile.