In che modo il tipo di carattere variabile aumenta la forza della password?

16

Quando si crea una nuova password, le persone spesso raccomandano di utilizzare caratteri maiuscoli e minuscoli, numeri e simboli. In che modo l'aggiunta di uno di questi aumenta la forza di una password?

Ci sono% caratteri alfabetici minuscoli 26 . Supponiamo che ci siano caratteri 100 nell'intero gruppo di caratteri, simboli e numeri alfabetici in maiuscolo. Ora esaminiamo qualsiasi password di lunghezza 6 . Ci sono (26 + 100) ^ 6 di password possibili di lunghezza 6. Un hacker avrebbe una probabilità di [1 / (26 + 100)] ^ 6 di indovinare tale password. L'hacker non ha modo di sapere se hai usato solo caratteri alfabetici minuscoli o se hai mescolato caratteri alfabetici minuscoli con caratteri speciali, quindi deve indovinare con l'intero spazio campione su ciascun personaggio. Se, tuttavia, sapeva che stavi usando solo lettere minuscole, allora sì, la probabilità di indovinare la tua password aumenterebbe a (1 / 26) ^ 6 . Ma nel mondo reale, un hacker non sarebbe in grado di capire quale serie di personaggi hai usato.

    
posta JoJo 13.06.2011 - 06:22
fonte

2 risposte

14

La tua ipotesi è che le ipotesi di password degli aggressori siano distribuite uniformemente nel dominio delle potenziali password. Questa supposizione non è corretta: le ipotesi sono inclinate verso password più probabili, che sono parole del dizionario minuscole come quelle che sono più facili da digitare e da ricordare per gli utenti.

Il vantaggio di usare una password complessa è che probabilmente ci vorrà più tempo prima che l'aggressore proverà la tua password come ipotesi. Per inciso, quando si considera un grande sistema multiutente, si applicano le regole "non c'è bisogno di correre più veloce" e in molti casi una buona password è più complessa di quella di un altro utente. Questo non è sempre vero se un utente malintenzionato ha come target specifico te piuttosto che il sistema.

    
risposta data 13.06.2011 - 09:30
fonte
11

Se hai una password complessa, c'è la possibilità che non venga decodificata quando un potenziale hacker scarica il database degli utenti dal server. La semplice password memorizzata come MD5 o altro hash potrebbe essere facilmente trovata in alcuni database hash (d'altra parte, anche la password complessa potrebbe avere la corrispondenza < a href="http://en.wikipedia.org/wiki/Collision_%28computer_science%29"> collisione hash ).

È molto più veloce eseguire attacco di forza bruta di 6 lettere minuscole su poche migliaia di utenti che sperano in verranno rivelate meno password, piuttosto che provare a forzare un utente usando tutti i caratteri.

    
risposta data 13.06.2011 - 09:15
fonte

Leggi altre domande sui tag