Funziona la teoria del pagliaio

15

La teoria del pagliaio è la raccomandazione di inserire caratteri ripetuti nella tua password per rendere più difficile la rivelazione della forza bruta.

Questo ha qualche base matematica? O è olio di serpente?

    
posta Richard Irwin 22.12.2013 - 17:34
fonte

2 risposte

27

Il "pagliaio" è solo un modo metaforico per descrivere la forza bruta. L'idea di "caratteri ripetuti" nelle password è scadente.

L'intero gioco con password è che il difensore (cioè l'utente) disegna la sua password da un "set di potenziali password" e l'attaccante percorrerà questo set finché non troverà quello giusto. Insiemi più grandi implicano più lavoro per l'attaccante, ma anche per il difensore perché è più una scelta da ricordare.

Se gli utenti erano robot, i "personaggi ripetuti" sarebbero un'idea buona come qualsiasi altra cosa: come l'amore, l'entropia è cieca, e non importa come si ottiene l'insieme di password possibili finché ne esistono abbastanza. Tuttavia, se gli utenti fossero robot, utilizzerebbero chiavi a 128 bit casuali come "password" e l'intera discussione sarebbe discutibile. In pratica, gli utenti umani sono umani e questo implica che il cervello umano dovrà fare il ricordo. Il punto qui è che le "risorse di memoria" spese per ricordare una specifica funzione di password non equivalgono affatto a un numero fisso di bit di entropia extra.

Se prendi una password come "parola normale" e poi raddoppia una lettera (ad esempio "passwword"), lo sforzo necessario per ricordare che questa specifica lettera è raddoppiata è piuttosto grande rispetto al guadagno effettivo (per un 8- password di origine carattere, ottieni 3 bit di entropia dalla scelta della lettera da raddoppiare - in effetti un po 'meno perché molte persone sceglierebbero di raddoppiare la "o", perché "Google", non "goggle"). Questa è l'idea alla base del famoso fumetto che è stato discusso in questa domanda : per ottenere il maggior numero di entrate da una password memorizzata dall'uomo, è necessario generare password in modi che si adattino bene alle migliori capacità del cervello umano. Gli umani sono molto bravi a parlare e sono molto preparati a leggere e scrivere (attraverso anni di fatica), quindi dovresti usare le parole per le password . La maggior parte dei trucchi di "miglioramento della password" come l'inclusione di cifre e segni di punteggiatura o, per il caso in questione, la ripetizione di lettere, sono in disaccordo con la mente. Sono quindi controproducenti.

In parole meno: invece di raddoppiare una lettera, aggiungi un'altra parola. Questo sarà un uso migliore delle tue cellule cerebrali: ti darà più sicurezza per meno sforzo.

    
risposta data 22.12.2013 - 18:03
fonte
5

Tutti gli attacchi con password a forza bruta consistono nell'iterazione di tutti gli elementi in un dizionario delle password. Quindi, per proteggere te stesso, devi (a) assicurarti che la password che stai usando non sia nel dizionario dell'attaccante, e (b) qualsiasi dizionario contenga la tua password è troppo lunga per essere attraverso.

I dizionari più efficaci (e quindi comuni) sono solo elenchi di password comuni, motivo per cui l'utilizzo di password comuni è una cattiva idea. Poi viene l'elenco delle parole trovate nella scrittura comune, più le combinazioni e le variazioni su quelle parole (aggiungi numeri e punteggiatura, ecc.), Quindi ogni combinazione di lettere inizia dal più breve e quindi progredisce fino al più lungo.

    
risposta data 23.12.2013 - 02:32
fonte

Leggi altre domande sui tag