Sì! Soprattutto di fronte ai requisiti di complessità delle password draconiane, gli utenti scelgono spesso password come la prima: progressioni della tastiera, tastiere della tastiera, modelli di tastiera o qualsiasi altra cosa che desideri chiamarli. E gli attaccanti lo sanno bene.
Che si tratti di un attacco online (forzatura bruta) o offline (hash cracking), un utente malintenzionato sa che il metodo più redditizio è in genere una variante di un attacco dizionario: utilizzando una raccolta di password comuni e provandole. Praticamente tutti i dizionari creati usando le password raccolte da violazioni di dati reali contengono almeno alcune varianti sul metodo del pattern tastiera, più comunemente "1qaz2wsx" e amici.
Al di là del metodo del dizionario statico, gli algoritmi mentali che le persone usano per creare queste password sono abbastanza semplici e ci sono molti programmi che generano rapidamente queste password per provarle tutte.
Da un punto di vista teorico-informativo, la seconda password ha più entropia, dal momento che ogni personaggio è una scelta casuale da un set di 16 caratteri. Sapere che provengono da un piccolo gruppo riduce un po 'l'entropia, ma rimane comunque abbastanza buono. La prima password, d'altra parte, è molto più semplice. Puoi pensare all'entropia come "quanto sarebbe difficile spiegare come digitare la mia password?" Ecco come potrei provare a spiegare il tuo primo:
On a US-standard keyboard, start at "5":
- Type 4 keys to the right, then return to your starting position.
- Hold "shift" and repeat step 1. Release "shift."
- Move down a row and repeat steps 1 and 2.
Confrontalo con la tua seconda password, che dovrebbe avere un passo procedurale per ogni carattere di input. Non c'è un buon modo per comprimerlo, quindi ha un sacco di entropia. Anche se so quali 8 tasti hai scelto, e che ognuno di essi viene premuto una volta con shift e una volta senza, ciò lascia ancora (assumendo una scelta totalmente casuale) 16! ~= 2^44
scelte, ovvero circa 44 bit di entropia, che stranamente abbastanza è lo stesso importo richiesto dal metodo "graffetta batteria cavallo corretto" .