In XKCD # 936: Breve password complessa o passphrase lunga del dizionario? Jeff ha affermato che la password che si spezza con "parole del dizionario separate da spazi" o "una frase completa con punteggiatura" o "sostituzione di numm3r leparabelle" è "altamente improbabile nella pratica ".
Tuttavia, ci sono certamente i set di regole di John the Ripper che eseguono sostituzioni a 33 toni e "pre / append punteggiatura o 1-4 cifre (alcune sono incluse anche nel set predefinito, e altre sono discusse ad esempio in link , che parla di cracking ~ 50K di password "aziendali" usando tali tecniche; link ha alcune delle regole JtR specifiche utilizzate) e non vedo alcun motivo per cui un l'attaccante non li userebbe.
Jeff ha usato rumkin.com in parte per giustificare la sua affermazione secondo cui Tr0ub4dor & 3 è in pratica sicuro come una passphrase di word-from-2K-wordlist. Ma rumkin.com non sembra prendere in considerazione le sostituzioni a 33 decimi nel determinare l'entropia.
Quindi la mia domanda è: Ci sono dei controllori della forza della password che tengano conto dell'entropia limitata aggiunta da l33t-speak e sostituzioni e concatenazioni simili?
Idealmente la valutazione corrisponderebbe strettamente al tempo che un attaccante effettivo (usando tecniche "state of the art", non solo forzanti brute carattere per carattere) avrebbe impiegato per trovare la password. Queste tecniche includevano trasformazioni l33t-speak, password comuni, elenchi di parole, ecc.
Preferito preferito non basato sul web, per ovvi motivi. Mentre un buon algoritmo di generazione di password (per definizione) è sicuro anche se l'hacker ha visto altre password prodotte dallo stesso algoritmo, l'idea è quella di puntare gli utenti ingenui a questo correttore, e il punto è che è improbabile che le loro password siano state generato tramite un algoritmo sonoro.
Punti extra se impara dalle password inviate ad esso ... a meno che non si rompa automaticamente negli account paypal degli utenti e utilizzi i soldi per finanziare Skynet ...