Modelli nella creazione di password su più password

Naviga le tue risposte
25

Diciamo che creo 100 password separate, composte da circa otto caratteri casuali seguiti da due costanti uguali per tutte le password: 

Generated password = 8 random characters + '.p'

Se faccio questo per tutte le 100 password, l'aggiunta dello stesso .p per ogni password le rende più o meno sicure? Quanto impatto avrebbe se due di tutte quelle password fossero state compromesse?

    
posta li x 03.04.2018 - 13:47
fonte

3 risposte

58

Dipende dal tipo di attacco che stai cercando di proteggere:

  • Se la tua password è una tra milioni in una violazione dei dati in cui l'attaccante non ti sta bersagliando in modo specifico, la tua password è in effetti 10 caratteri casuali lunghi invece di 8. Sarà più difficile da decifrare.
  • Se un utente malintenzionato ti sta bersagliando e conosce il tuo modello, non fornisce alcuna protezione.
  • Se un utente malintenzionato ti sta bersagliando e non sa del modello, potrebbe essere di aiuto fino a quando l'attaccante non lo scopre. Rompere un account potrebbe dare un piccolo aiuto, rompere due renderebbe il modello ovvio e quindi inutile.

Quindi il tuo sistema potrebbe essere utile a volte, ma non sempre. O in altre parole: la lunghezza della password "effettiva" sarà compresa tra 8 e 10 a seconda del modello di minaccia. Ma a meno che tu non abbia una ragione specifica per non farlo, vorrei semplicemente dimenticare tutto sui sistemi intelligenti e installare semplicemente un gestore di password.

    
risposta data 03.04.2018 - 14:21
fonte
15

Finora le risposte sono state per "Se io come utente aggiungo" .p "alla fine di tutte le mie password su vari siti" .

Quindi vorrei affrontare l'altra possibilità che la domanda originale potrebbe significare: "Se I come programmatore di sistema aggiungi" .p "alla fine di tutte le password dei miei utenti "

Quello che stai descrivendo è chiamato "Pepper" - si tratta di uno snippet specifico dell'applicazione che viene aggiunto alla password prima dell'hashing.

Quindi cosa ti spinge?

  • Impedisce gli attacchi di dizionario (poiché l'attaccante non lo saprebbe ogni password ha una specifica stringa di caratteri aggiunta al end.)
  • Impedisce che una violazione di un'altra serie di credenziali venga compromessa il tuo (dal momento che non c'è modo per Hash (password) di un altro sistema abbina il tuo Hash (Password + AppSpecificPepper).

Che cosa non hai?

  • Non impedisce che una password venga decifrata da cascata a tutti account con la stessa password, dal momento che Hash (Password + Pepper) lo farebbe corrisponde per tutti gli account con la stessa password.

Quindi, quando tutto è detto e fatto? Assolutamente - aggiungi la '. P' (o una stringa segreta molto più lunga) alla fine delle password degli utenti. Rende le password più sicure dei soli 8 caratteri originali - nel peggiore dei casi, l'attaccante riesce a compromettere l'app e ottenere il pepe, nel qual caso non sei più in forma come se non avessi usato un peperone nel primo posto. Ma assicurati di aggiungere anche un Salt, in modo da non permettere a un utente malintenzionato di compromettere più account con una singola password crack.

    
risposta data 03.04.2018 - 21:16
fonte
2

Niente di più, non meno sicuro. Un attaccante non ha idea nemmeno se rivela una delle tue password (se non usi come suffisso 2 cifre, che è per un attaccante l'impostazione comune delle regole del suo attacco).

Ma se l'utente malintenzionato rivela due o più delle tue password e proverà a romperne altre, sicuramente vedrà il modello e lo utilizzerà.

    
risposta data 03.04.2018 - 14:09
fonte

Leggi altre domande sui tag

Quanto è saggio utilizzare uno strumento per portspoofing sul proprio server per confondere gli attaccanti? Che cosa significa la riga di intestazione dell'email "messaggio aperto da mailclient"?