Miglior controllo dell'intensità della password

In XKCD # 936: Breve password complessa o passphrase lunga del dizionario? Jeff ha affermato che la password che si spezza con "parole del dizionario separate da spazi" o "una frase completa con punteggiatura" o "sostituzione di numm3r leparabelle" è "altamente improbabile nella pratica ".

Tuttavia, ci sono certamente i set di regole di John the Ripper che eseguono sostituzioni a 33 toni e "pre / append punteggiatura o 1-4 cifre (alcune sono incluse anche nel set predefinito, e altre sono discusse ad esempio in link , che parla di cracking ~ 50K di password "aziendali" usando tali tecniche; link ha alcune delle regole JtR specifiche utilizzate) e non vedo alcun motivo per cui un l'attaccante non li userebbe.

Jeff ha usato rumkin.com in parte per giustificare la sua affermazione secondo cui Tr0ub4dor & 3 è in pratica sicuro come una passphrase di word-from-2K-wordlist. Ma rumkin.com non sembra prendere in considerazione le sostituzioni a 33 decimi nel determinare l'entropia.

Quindi la mia domanda è: Ci sono dei controllori della forza della password che tengano conto dell'entropia limitata aggiunta da l33t-speak e sostituzioni e concatenazioni simili?

Idealmente la valutazione corrisponderebbe strettamente al tempo che un attaccante effettivo (usando tecniche "state of the art", non solo forzanti brute carattere per carattere) avrebbe impiegato per trovare la password. Queste tecniche includevano trasformazioni l33t-speak, password comuni, elenchi di parole, ecc.

Preferito preferito non basato sul web, per ovvi motivi. Mentre un buon algoritmo di generazione di password (per definizione) è sicuro anche se l'hacker ha visto altre password prodotte dallo stesso algoritmo, l'idea è quella di puntare gli utenti ingenui a questo correttore, e il punto è che è improbabile che le loro password siano state generato tramite un algoritmo sonoro.

Punti extra se impara dalle password inviate ad esso ... a meno che non si rompa automaticamente negli account paypal degli utenti e utilizzi i soldi per finanziare Skynet ...

    
posta Misha 23.08.2011 - 09:59
fonte

11 risposte

In teoria, i controllori della forza della password non funzionano. Questo perché la forza di una password non dipende dalla password valore (che tu dai al controllore) ma sulla password processo di generazione (che non si formalizza spesso, figuriamoci entrare nel correttore).

In pratica, il programma di controllo dell'intensità della password utilizza una serie di regole che descrivono metodi di generazione di password comuni; poi ti dicono per quanto tempo la tua password resisterà se l'attaccante usa esattamente le stesse regole . Ma l'attaccante non usa esattamente le stesse regole. L'attaccante ti sta seguendo; lui conosce (se sei attaccato solo da persone che non ti conoscono, allora puoi considerarti molto fortunato - o molto poco interessante). Pertanto, l'attaccante modificherà i suoi metodi di forza bruta della password in modo tale da indirizzare la tua psiche, i tuoi probabili metodi di generazione della password.

I controllori della forza della password sono bravi a dirti quanto è robusta la tua password contro gli attaccanti incompetenti. Questo ha qualche valore, se non altro perché ci sono così tanti hacker incompetenti. Ma sarebbe un errore affidarsi troppo a tali strumenti.

    
risposta data 25.11.2012 - 04:21
fonte

Sintetizzando qui le risposte e guardando il codice per molti dei correttori di qualità delle password (Javascript), non credo ci sia un correttore che soddisfi pienamente i criteri.

Specificamente, mentre ce ne sono diversi che usano elenchi di parole e diversi casi speciali di l33t-speak, non ce ne sono che facciano entrambi insieme in un modo simile a quello di JtR e strumenti simili di "controllo". Quindi "Christmas" viene individuato, ma il quasi-insicuro "Chr1stm4 $" ottiene un pass gratuito.

Dove vengono utilizzate le liste di parole (Microsoft, Rumkin, How Secure ...), in genere sono relativamente piccole. How Secure ... e Rumkin hanno ciascuno ~ 10K, mentre JtR ha milioni di parole (in più lingue).

Inoltre, nessuna delle pedine che ho trovato considera il comune pattern "aggiungi cifra / simbolo" diverso da "set di caratteri casualmente combinati".

Se qualcuno vuole estendere una delle pedine esistenti, probabilmente non sarebbe troppo difficile. Rumkin sarebbe un buon punto di partenza (ed è concesso in licenza GPL), aggiungendo un passo "de-l33t-ify" prima del controllo del dizionario e della ricerca della frequenza del trigramma. Si vorrebbe anche aggiungere un fattore presunto per riflettere sul fatto che Chr1stma5 non è altrettanto facile da decifrare come il natale, ad es. trattando "l33t-ified" come un set di caratteri leggermente più grande di "letters".

Per un ambiente aziendale, passare il tempo necessario per implementare una politica di modifica della password di "mantenere la password finché JtR non lo indovina" (combinato con buoni consigli sulla creazione di password / passphrase forti) sarebbe probabilmente un persuasore migliore - i dipendenti sono un pubblico in cattività che deve essere sempre in grado di accedere, e le persone trovano fastidiose le modifiche alle password forzate, quindi imparerebbero presto a non utilizzare password deboli (eccetto il CIO che richiederebbe un'esenzione ...). Questo approccio non funzionerà con un sito Web pubblico in cui irritare i clienti potrebbe portarli a concorrenti (meno sicuri!), Tuttavia.

    
risposta data 29.08.2011 - 16:02
fonte

Penso che il pacchetto passwdqc (del creatore di John the Ripper) dovrebbe anche essere menzionato.

pwqcheck da quel pacchetto è il programma di controllo della forza autonoma password / passphrase.

    
risposta data 24.08.2011 - 15:37
fonte

Nelle risposte a questa domanda precedente su come determinare l'entropia della password su SU, vengono menzionati tre strumenti:

Quanto è sicura la mia password sembra dare risultati ragionevoli.

    
risposta data 24.08.2011 - 12:31
fonte

Il documento di ricerca di alcuni dei ricercatori di CMU, Indovina ancora (e ancora e ancora): misurare la potenza della password simulando gli algoritmi di cracking delle password , presenta un'analisi della forza delle varie norme sulle password per la password basata su testo contro l'ipotesi di password.

I risultati del documento suggeriscono che la norma basic16 (la password deve avere almeno 16 caratteri.) è superiore alla politica comprehensive8 (la password deve contenere almeno 8 caratteri compresi una lettera maiuscola e una minuscola, un simbolo e una cifra. Potrebbe non contenere una parola del dizionario.). Questo, combinato con il fatto che basic16 è anche più facile da ricordare per gli utenti, suggerisce che basic16 è la scelta migliore per le politiche.

    
risposta data 24.02.2014 - 09:03
fonte

and I can't see any reason why an attacker wouldn't use them.

Non posso parlare per tutti ma quando scrivo di penna lo faccio sempre. Personalmente uso il simpatico CUPP ma sono a conoscenza di RSMangler anche.

    
risposta data 24.08.2011 - 14:45
fonte

zxcvbn , sviluppato e utilizzato da Dropbox, si adatta perfettamente ai tuoi criteri:

it recognizes and weighs (...) common patterns like dates, repeats (aaa), sequences (abcd), keyboard patterns (qwertyuiop), and l33t speak.

È una libreria JavaScript open source con porte in molte altre lingue. Nella sua pagina dimostrativa puoi vedere in dettaglio come estrae e pesa i diversi elementi di una password, inclusa la rimozione di l33t speak.

Esempi:

  • Tr0ub4dour&3 punteggio 2 di 4, guesses_log10 = 4.97882
  • pVdOE&!@lj punteggio 3 di 4, guesses_log10 = 10
  • correcthorsebatterystaple punteggio 4 di 4, guesses_log10 = 14.43696

Da notare che la risposta di @Thomas Pornin sottolinea, l'idea stessa di controllare la forza di una password senza sapere come è stato generato è difettoso. Tuttavia, i correttori di password potrebbero ancora aiutare gli utenti a scegliere password migliori o persino a sostituire le regole statiche sulla composizione delle password.

    
risposta data 28.05.2018 - 13:13
fonte

Questo controllo della password di Microsoft Security Center è uno dei migliori. Incoraggia le password che sono effettivamente migliori per quanto riguarda l'entropia. Non ti dice molto su quanto tempo ci vorrà per crack e aumenta solo una barra che dice se una password è "debole", "media", "strong" o "migliore". Le lettere di scambio per l33tspeak vengono prese in considerazione. Prova l'esempio di entropia XKCD: vedrai che il correttore di password segue la matematica.

    
risposta data 23.08.2011 - 14:22
fonte

Il miglior misuratore di password che ho visto è Passfault . La sua analisi prende in considerazione quanto segue:

  • Lunghezza
  • Presenza nel dizionario (inglese, spagnolo). Durante la ricerca, inserisce lettere e sostituzioni, scritti di backword, sostituzioni di leetspeak
  • Motivi ripetuti
  • Modelli di tastiera (orizzontale, diagonale, inglese, russo)
  • Modelli di date
risposta data 02.06.2012 - 15:35
fonte

Puoi provare KeePass , ha un correttore di rafforzamento della password integrato.

  • Tr0ub4dor&3 - 66 bit di entropia
  • correct horse battery staple - 98 bit.
  • 11111111111111111111 - 7 bit (a differenza dello scanner Microsoft che fornisce una valutazione "strong").
  • asdfasdfasdfasdfasdf - 30 bit
  • asdffdsaasdffdsaasdf - 35 bit

E abbastanza stranamente:

  • Pas - 18 bit
  • Pass - 3 bit
  • Passwor - 38 bit
  • Password - 6 bit

Quindi sembra prendere in considerazione password comuni.

    
risposta data 13.01.2012 - 07:16
fonte

Mi piace link

  • Fornisci statistiche di attacco a forza bruta
  • Fornisci statistiche sulle password (i caratteri unicode sono riconosciuti, per lo più sono considerati come simboli)
  • Le password comuni sono controllate. Se la tua password è nella lista, il punteggio finale è 0.
  • Ti permette anche di fare un controllo del dizionario .

Ho notato che lo strumento link ha alcuni bug. Uno di questi è che le password veramente lunghe hanno forza 0 (ad es. 65946555555555555555555555555555555554656465466666666666666666664444444444). Quindi il calcolo della forza finale mi è sospetto.

    
risposta data 03.02.2013 - 13:49
fonte

Leggi altre domande sui tag