Miglior controllo dell'intensità della password

In teoria, i controllori della forza della password non funzionano. Questo perché la forza di una password non dipende dalla password valore (che tu dai al controllore) ma sulla password processo di generazione (che non si formalizza spesso, figuriamoci entrare nel correttore).

In pratica, il programma di controllo dell'intensità della password utilizza una serie di regole che descrivono metodi di generazione di password comuni; poi ti dicono per quanto tempo la tua password resisterà se l'attaccante usa esattamente le stesse regole . Ma l'attaccante non usa esattamente le stesse regole. L'attaccante ti sta seguendo; lui conosce (se sei attaccato solo da persone che non ti conoscono, allora puoi considerarti molto fortunato - o molto poco interessante). Pertanto, l'attaccante modificherà i suoi metodi di forza bruta della password in modo tale da indirizzare la tua psiche, i tuoi probabili metodi di generazione della password.

I controllori della forza della password sono bravi a dirti quanto è robusta la tua password contro gli attaccanti incompetenti. Questo ha qualche valore, se non altro perché ci sono così tanti hacker incompetenti. Ma sarebbe un errore affidarsi troppo a tali strumenti.

Sintetizzando qui le risposte e guardando il codice per molti dei correttori di qualità delle password (Javascript), non credo ci sia un correttore che soddisfi pienamente i criteri.

Specificamente, mentre ce ne sono diversi che usano elenchi di parole e diversi casi speciali di l33t-speak, non ce ne sono che facciano entrambi insieme in un modo simile a quello di JtR e strumenti simili di "controllo". Quindi "Christmas" viene individuato, ma il quasi-insicuro "Chr1stm4 $" ottiene un pass gratuito.

Dove vengono utilizzate le liste di parole (Microsoft, Rumkin, How Secure ...), in genere sono relativamente piccole. How Secure ... e Rumkin hanno ciascuno ~ 10K, mentre JtR ha milioni di parole (in più lingue).

Inoltre, nessuna delle pedine che ho trovato considera il comune pattern "aggiungi cifra / simbolo" diverso da "set di caratteri casualmente combinati".

Se qualcuno vuole estendere una delle pedine esistenti, probabilmente non sarebbe troppo difficile. Rumkin sarebbe un buon punto di partenza (ed è concesso in licenza GPL), aggiungendo un passo "de-l33t-ify" prima del controllo del dizionario e della ricerca della frequenza del trigramma. Si vorrebbe anche aggiungere un fattore presunto per riflettere sul fatto che Chr1stma5 non è altrettanto facile da decifrare come il natale, ad es. trattando "l33t-ified" come un set di caratteri leggermente più grande di "letters".

Per un ambiente aziendale, passare il tempo necessario per implementare una politica di modifica della password di "mantenere la password finché JtR non lo indovina" (combinato con buoni consigli sulla creazione di password / passphrase forti) sarebbe probabilmente un persuasore migliore - i dipendenti sono un pubblico in cattività che deve essere sempre in grado di accedere, e le persone trovano fastidiose le modifiche alle password forzate, quindi imparerebbero presto a non utilizzare password deboli (eccetto il CIO che richiederebbe un'esenzione ...). Questo approccio non funzionerà con un sito Web pubblico in cui irritare i clienti potrebbe portarli a concorrenti (meno sicuri!), Tuttavia.

Penso che il pacchetto passwdqc (del creatore di John the Ripper) dovrebbe anche essere menzionato.

pwqcheck da quel pacchetto è il programma di controllo della forza autonoma password / passphrase.

Nelle risposte a questa domanda precedente su come determinare l'entropia della password su SU, vengono menzionati tre strumenti:

• Rumkin
• Quanto è sicura la mia password?
• Il misuratore di password

Quanto è sicura la mia password sembra dare risultati ragionevoli.

Il documento di ricerca di alcuni dei ricercatori di CMU, Indovina ancora (e ancora e ancora): misurare la potenza della password simulando gli algoritmi di cracking delle password , presenta un'analisi della forza delle varie norme sulle password per la password basata su testo contro l'ipotesi di password.

I risultati del documento suggeriscono che la norma basic16 (la password deve avere almeno 16 caratteri.) è superiore alla politica comprehensive8 (la password deve contenere almeno 8 caratteri compresi una lettera maiuscola e una minuscola, un simbolo e una cifra. Potrebbe non contenere una parola del dizionario.). Questo, combinato con il fatto che basic16 è anche più facile da ricordare per gli utenti, suggerisce che basic16 è la scelta migliore per le politiche.

and I can't see any reason why an attacker wouldn't use them.

Non posso parlare per tutti ma quando scrivo di penna lo faccio sempre. Personalmente uso il simpatico CUPP ma sono a conoscenza di RSMangler anche.

zxcvbn , sviluppato e utilizzato da Dropbox, si adatta perfettamente ai tuoi criteri:

it recognizes and weighs (...) common patterns like dates, repeats (aaa), sequences (abcd), keyboard patterns (qwertyuiop), and l33t speak.

È una libreria JavaScript open source con porte in molte altre lingue. Nella sua pagina dimostrativa puoi vedere in dettaglio come estrae e pesa i diversi elementi di una password, inclusa la rimozione di l33t speak.

Esempi:

• Tr0ub4dour&3 punteggio 2 di 4, guesses_log10 = 4.97882
• pVdOE&!@lj punteggio 3 di 4, guesses_log10 = 10
• correcthorsebatterystaple punteggio 4 di 4, guesses_log10 = 14.43696

Da notare che la risposta di @Thomas Pornin sottolinea, l'idea stessa di controllare la forza di una password senza sapere come è stato generato è difettoso. Tuttavia, i correttori di password potrebbero ancora aiutare gli utenti a scegliere password migliori o persino a sostituire le regole statiche sulla composizione delle password.

Questo controllo della password di Microsoft Security Center è uno dei migliori. Incoraggia le password che sono effettivamente migliori per quanto riguarda l'entropia. Non ti dice molto su quanto tempo ci vorrà per crack e aumenta solo una barra che dice se una password è "debole", "media", "strong" o "migliore". Le lettere di scambio per l33tspeak vengono prese in considerazione. Prova l'esempio di entropia XKCD: vedrai che il correttore di password segue la matematica.

Il miglior misuratore di password che ho visto è Passfault . La sua analisi prende in considerazione quanto segue:

• Lunghezza
• Presenza nel dizionario (inglese, spagnolo). Durante la ricerca, inserisce lettere e sostituzioni, scritti di backword, sostituzioni di leetspeak
• Motivi ripetuti
• Modelli di tastiera (orizzontale, diagonale, inglese, russo)
• Modelli di date

Puoi provare KeePass , ha un correttore di rafforzamento della password integrato.

• Tr0ub4dor&3 - 66 bit di entropia
• correct horse battery staple - 98 bit.
• 11111111111111111111 - 7 bit (a differenza dello scanner Microsoft che fornisce una valutazione "strong").
• asdfasdfasdfasdfasdf - 30 bit
• asdffdsaasdffdsaasdf - 35 bit

E abbastanza stranamente:

• Pas - 18 bit
• Pass - 3 bit
• Passwor - 38 bit
• Password - 6 bit

Quindi sembra prendere in considerazione password comuni.

Mi piace link

• Fornisci statistiche di attacco a forza bruta
• Fornisci statistiche sulle password (i caratteri unicode sono riconosciuti, per lo più sono considerati come simboli)
• Le password comuni sono controllate. Se la tua password è nella lista, il punteggio finale è 0.
• Ti permette anche di fare un controllo del dizionario .

Ho notato che lo strumento link ha alcuni bug. Uno di questi è che le password veramente lunghe hanno forza 0 (ad es. 65946555555555555555555555555555555554656465466666666666666666664444444444). Quindi il calcolo della forza finale mi è sospetto.