Testi delle canzoni come passphrase [duplicato]

Naviga le tue risposte
24

Ho una domanda leggermente simile a questa domanda . Conosco il  % esempio dicorrect horse battery staple da xkcd , eppure mi sto propendendo per la songlyrics come passphrase, dal momento che ho un cervello che ricorda molto facilmente le songlyrics.

Ora, mi chiedo quanto dovrebbe essere lunga una passphrase composta da songlyrics, per fornire un livello di sicurezza "accettabile" paragonabile ai 44 bit di correct horse battery staple . La parte difficile è la parte di social engineering della domanda. Se cerco in anticipo il testo, come una risposta menzionata qui , so che non sto coprendo le mie tracce. Ma, come ho detto prima, conosco molti testi delle canzoni a memoria e non ho bisogno di cercarli prima di iniziare a scrivere una passphrase. Mi farebbe bene?

In sostanza, la mia domanda viene posta supponendo che un hacker abbia architettato socialmente la mia passione per i testi dei passi. Nel caso in cui questo sia un fatto noto per un aggressore, per quanto tempo dovrebbero passare i testi e sarebbe anche una ferita autoinflitta usare i testi delle canzoni inclusi i numeri? Immagino che l'ultima parte renderà sicuramente più facile, per gli attacchi di ingegneria sociale, ma più difficile per la forza bruta.

Sono ben consapevole della vaghezza della mia domanda, ma tutto quello che sto cercando è una regola empirica di base. In questo momento, sto usando i testi dei passaggi per account a basso rischio, ma sto cercando di pensare a qualcosa e il correct horse battery staple non è l'ideale per il mio stupido cervello.

Eidt: Non penso che sia un duplicato di quella domanda della BBC in questione, dal momento che sto prendendo in considerazione intere linee di testo invece delle prime lettere e, come indicato in una nota, 7 lettere coprono 65% della lingua con le prime lettere di parole.

    
posta Baron Furzgesicht 11.07.2017 - 09:26
fonte

7 risposte

22

Come per qualsiasi domanda di indovinabilità / forza della password, probabilmente il fattore più importante è "chi è l'attaccante".

Per gli attacchi di indovinare la password online, da un utente malintenzionato che non ti conosce, il fattore più importante è assicurarti che la tua password non venga indovinata prima che il blocco dell'account entri a calci. Per questo finché la tua password non è nelle prime centinaia di scelte probabili, è probabile che tu stia bene. I testi (specialmente quelli di una canzone che al momento non è così popolare) sono molto improbabili da indovinare qui.

Se pensi a uno scenario in cui un sito web su cui hai un account è stato compromesso e il database delle password è stato violato, è probabile che il tuo account su quel sistema sia bruciato, quindi in termini di interruzione della sicurezza degli altri account colpito il fattore più importante è garantire che si utilizzano password uniche su ciascun sito che si utilizza. Se riesci a farlo con i testi delle canzoni, non sarai influenzato dal compromesso di una password.

Se stai guardando uno scenario in cui l'hacker ti conosce, le cose diventano più rischiose, specialmente se hai divulgato lo schema che stai utilizzando. Sarebbe relativamente facile creare un database di testi di canzoni popolari e applicarlo a una password offline. Ma quello che devi prendere in considerazione è che chiunque sappia che tu possa farlo ... Questa è una decisione sul rischio che solo tu puoi fare.

Alcune considerazioni pratiche con questo schema. Potresti avere problemi ad usarlo su siti che applicano le classi di password (ad esempio caratteri speciali). Potresti anche avere problemi con i siti che impongono limiti superiori arbitrari alla lunghezza della password.

    
risposta data 11.07.2017 - 10:09
fonte
19

Ci dispiace, ma non sei il primo a pensarci, quindi puoi scommettere che questa tecnica sarà automatizzata in alcuni software per la violazione delle password. È sempre meglio presumere che l'hacker conosca il tuo schema di generazione quando valuti questo tipo di schemi.

Quindi quanto è sicuro questo? Beh, un rapido googliling di "numero di canzoni su spotify" ha gettato il numero 30 milioni. Fare un conteggio di parole su un brano casuale ( link ) ha gettato su 483 è circa il numero di parole in una canzone. Per una password di quattro parole puoi indovinare in questo modo: "le ruote del", "ruote del bus", "del bus andare" e così via (questo non è il modo più intelligente per indovinare, potresti mettere le tue frasi in un hash impostato per primo per rimuovere i duplicati).

Si noti che l'uso di più parole non aumenta di molto l'entropia. Ci sono 483 parole in una canzone, ci sono 482 frasi di 2 parole, 483 frasi di 3 parole e così via.

Quindi, 30 milioni * 500 = 15 miliardi o 33 bit di entropia o 2048 volte meno sicuri di una password di parole effettivamente casuali. Questa è una stima eccessiva della sicurezza a causa dell'ottimizzazione dell'hash set.

    
risposta data 11.07.2017 - 11:33
fonte
5

Qualsiasi forma di gestore di password ti risolverebbe questo problema. Attualmente, stai provando a complicare eccessivamente le password. I testi delle canzoni sono sicuramente un'idea interessante per una password, e la lunghezza da sola è relativamente sicura, ma se vuoi avere qualcosa di sicuro che puoi ricordare e non causerebbe problemi usa un gestore di password.

    
risposta data 11.07.2017 - 09:52
fonte
3

Dipende strongmente dal modo in cui viene eseguita l'ingegneria sociale.

Se l'hacker sapesse solo che stai usando i testi delle canzoni e ci sono un milione di canzoni da scegliere a caso tra i testi, sarebbe abbastanza sicuro per gli account a basso rischio.

MA non scegli le canzoni a caso. Presumo che la maggior parte delle canzoni che ascolti provenga da una gamma relativamente limitata di generi e gruppi. Se l'attaccante ha una conoscenza dettagliata della tua musica preferita, il numero di brani sarà ridotto a poche centinaia e la tua strategia diventerà molto insicuro.

Ottenere queste informazioni può essere davvero facile: si potrebbe chiedere ai tuoi amici dei tuoi gusti riguardo alla musica, se lui non ti conosce da solo. Se stai condividendo la musica che ascolti usando Facebook e lo spotify o lastfm, diventa ancora più semplice.

La lunghezza del frammento non avrà più un ruolo importante, poiché l'ordine delle parole è definito dalle canzoni. Infatti, se utilizzi solo frasi o righe complete, ciò ridurrà ulteriormente la sicurezza.

Supponendo che stai usando le linee complete di una selezione di 100 canzoni, ognuna delle quali contiene 20 linee diverse (Le righe di ritornello contano una sola volta), finirai con 2000 password diverse.

Le password sono meno possibili rispetto a quando si utilizzano 2 lettere latine casuali (maiuscole e minuscole consentite), come "yA" o "UD".

Per riassumere, è una cattiva idea usare i testi delle canzoni come password.

    
risposta data 11.07.2017 - 17:07
fonte
2

Poiché utilizzi passphrase di più parole, la tua password è abbastanza grande da essere immune ai semplici attacchi di forza bruta. Ma la debolezza qui è che non stai usando 4 parole casuali da una canzone, ma penso che userai una frase vera con un significato di per se nell'ordine dei brani . Se limitiamo uno schema automatico a frasi da 4 a 8 parole (*), otteniamo per canzone non più di 5 * numero di parole. Non molto più di diverse migliaia per una canzone comune. Poiché sto pensando ad un dizionario automatico come l'attacco, non sto considerando il significato qui. Ma temo che non ci siano abbastanza canzoni per rendere il metodo della password resistente a un attacco mirato.

In questo senso, questa risposta non è molto diversa da quella della BBC: il modello migliore per creare una password è quello di non utilizzare pattern. Questo è il motivo per cui i gestori di password hanno una buona reputazione qui, consentono l'uso di password casuali true che per costruzione sono resistenti a qualsiasi attacco ... tranne per tubo di gomma serie che qui includerebbe attacchi locali contro il gestore di password, se la password principale è debole ...

(*) Meno di 4 porteranno a passphrase molto brevi e più di otto saranno noiose a digitare manualmente.

    
risposta data 11.07.2017 - 15:03
fonte
2

Una cosa che importa un po 'è quale canzone scegli. Supponendo che ci sia un qualche tipo di schema di automazione in corso, tenteranno di usare i testi dei primi 40 tipi di canzoni prima di approfondire testi più oscuri. Ancora una volta, è qui che qualcuno che ti sta attaccando personalmente potrebbe cambiare le cose: se conoscono le tue scelte musicali, possono prendere quell'angolo e restringere la selezione delle loro canzoni.

Potresti fare una sorta di trasformazione di base dei testi delle canzoni, come prendere la seconda lettera di ogni parola in una lunga frase o cambiare certe lettere in numeri. Ciò ridurrebbe il rischio che qualcuno ti bersagliasse in modo considerevole.

    
risposta data 11.07.2017 - 16:12
fonte
0

Suggerirei invece di usare frasi inclusa la punteggiatura e quindi utilizzare solo le lettere (in maiuscolo) di quella frase. Aggiungi i numeri se ti piace. Il problema con le parole è che possono essere trovate in un dizionario, che renderà la tua password molto meno sicura di quanto penseresti.

Ricordare le frasi è in realtà abbastanza facile. Questo sistema mi ha portato ad avere > 10 password lunghe con caratteri misti di punteggiatura e non parole come minimo, fino a 15-20 quando importanti. Questo è un po 'più sicuro e ancora abbastanza facile da ricordare.

Probabilmente potresti usarlo con i tuoi testi, se vuoi.

    
risposta data 11.07.2017 - 22:47
fonte

Leggi altre domande sui tag

Le opzioni SSL gratuite di Cloudflare richiedono di fidarsi di loro; cosa potrebbero fare per cambiarlo? Come possiamo misurare accuratamente un intervallo di entropia della password?