Esiste un ulteriore valore di sicurezza nell'utilizzo di password con parole o frasi in lingue diverse dall'inglese?

Dipende interamente dal tuo modello di attacco. È probabile che una parola di 16 caratteri resista alla forza bruta, ma potrebbe fallire immediatamente contro gli attacchi di dizionario. Come definisci la forza di quella password? Non c'è una sola risposta.

Con lo schema che hai citato, un attacco a forza bruta sarebbe in gran parte irrealizzabile supponendo che la tua password sia abbastanza lunga. Anche in questo caso, dipende interamente dal fatto che l'attaccante stia bersagliando la tua specifica gamma Unicode o se stia semplicemente per ASCII.

In generale, gli autori di attacchi nel modello "low hanging fruit" probabilmente indovinano le password solo nell'intervallo ASCII, perché sono le più comuni. Quando il 30% + delle password si trova nella top 10k list, perché preoccuparsi di fare qualcosa di carino?

Tuttavia, se sei preoccupato per gli aggressori che conoscono la tua lingua e stanno attaccando attivamente le password utilizzando lo stesso modello usato per creare la tua password, potresti incontrare dei problemi. Anche così, se le tue parole sono scelte a caso, e una di esse non è rigorosamente una parola del dizionario (ad esempio una parola come "pwned"), allora potresti essere sicuro. È abbastanza difficile giudicare la forza delle passphrase, dal momento che la loro sicurezza dipende in gran parte da incognite come il dizionario in uso e il potenziale per le mutazioni.

La verità è che non lo sappiamo veramente se sono sicuri contro gli aggressori in natura in generale, perché non abbiamo una solida statistica per supportare il nostro intuito. Il miglior consiglio che posso darti riguardo alle password non inglesi è di supporre che fosse inglese, e chiediti se ti fideresti ancora di loro.

Per ulteriori letture, abbiamo alcune domande correlate sul sito:

• Criteri di complessità della password per le password non inglesi
• dizionari di password non in inglese

Quando si tratta di valutare la sicurezza di un algoritmo di generazione di password, è abituale , e anche prudente , assumere che l'attaccante conosca perfettamente il metodo . Perché lo assumiamo? Perché è spesso vero! In particolare nelle organizzazioni (aziende, amministrazioni ...) in cui le regole di generazione della password vengono decise e pubblicate (e talvolta applicate automaticamente) dal sysadmin locale.

Nel metodo "cavallo corretto", selezioni alcune parole a caso in un determinato elenco di parole (selezione uniforme per ogni parola). L'assunto sopra indica che l'elenco esatto è noto all'attaccante. A quel punto, non cambia assolutamente nulla che le parole siano in inglese, russo o sumerico. Nitpicking: se le parole sono "difficili da scrivere" su una determinata tastiera, questo potrebbe implicare problemi di usabilità (specialmente perché la password è stata digitata "cieca" per ostacolare shoulder surf ).

Usare parole russe invece di parole inglesi porterà sicurezza solo contro gli attaccanti che non sono abbastanza seri da fare i compiti, e prova un elenco generico di parole comuni, invece di il tuo elenco di parole comuni . In alcune situazioni pratiche, questo potrebbe dare un guadagno; ma non contare su di esso. Dal momento che l'utilizzo di parole in russo anziché in inglese non abbasserà la sicurezza di base, non vi è alcun problema nell'utilizzo di parole russe (eccetto possibili problemi di usabilità , che possono o meno essere applicabili al tuo caso); ma sarebbe sconsiderato credere che sia anche un bene sostanziale.

Modifica: per ulteriori informazioni sull'argomento del calcolo della password entropy , vedi questa risposta . Il punto importante è che l'entropia della password è una proprietà del processo mediante il quale viene generata la password; e assumiamo che l'intero processo sia noto all'attaccante, tranne le effettive scelte casuali, perché sarebbe molto difficile quantificare quanto sconosciuto sia il processo. Potresti dire che "supponendo che le parole siano russe costerà all'attaccante uno sforzo di X CPU-mesi di calcoli", per un valore approssimativo pari a X ?

Credo che dipenderà dalla situazione stessa.

Se un utente malintenzionato ottiene un dump della password da un sito in gran parte inglese come LinkedIn, suppongo che molto probabilmente eseguirà gli hash utilizzando un dizionario inglese. La mia ipotesi migliore è che la tua password sia impermeabile agli attacchi del dizionario.

Se un utente malintenzionato ottiene un dump della password da un sito in un'altra lingua. È molto probabile che esegua gli hash usando invece il dizionario di un'altra lingua.

Se il tuo modello di minaccia è un attacco mirato contro di te, puoi essere certo che l'attaccante utilizzerà un dizionario nella tua lingua nativa. Tuttavia, come suggerisce il fumetto XKCD, quattro parole scelte a caso da un dizionario di poche migliaia di parole sono ancora incredibilmente forti. Quindi probabilmente sei al sicuro.

Più lunga è la password, in genere più strong. Il tempo per forzare direttamente la password aumenta quando la lunghezza aumenta molto rapidamente. una volta che inizi a usare una frase, gli attacchi di dizionario non sono realmente pratici. Anche su un set di latino superiore / inferiore, fare un dizionario di frasi non fornirebbe alcun vantaggio reale su 10 caratteri, a meno che le frasi fossero estremamente comuni.

Allo stesso tempo, chiaramente non scriverlo in russo su carta presumendo che nessuno capirà la traslitterazione in inglese. Ti consigliamo inoltre di archiviare le tue password in KeePass o in un'altra memoria protetta e di utilizzare solo set di caratteri completamente casuali.

In definitiva, l'aumento della lunghezza aumenta la sicurezza e diminuisce la capacità di indovinare o la forza bruta, ma completamente casuale è quasi sempre meglio.

Usando la tua lingua madre usi ancora parole del dizionario. Le lingue per gli attacchi di dizionario vengono spesso selezionate utilizzando le informazioni sull'account, ad esempio il tuo nome. L'inglese ha un vocabolario molto ampio, quindi in alcune circostanze potrebbe essere più debole usare la tua lingua nativa.

link

Qualcosa di più di 8 caratteri con 1UPPER, 1lower e 1 numero è buono, IN PARTICOLARE in testo normale se la password contiene parole trovate nei dizionari, rimani lontano ...