Forza delle password con i modelli

Naviga le tue risposte
14

Una delle tecniche meno usate per le password complesse è quella di utilizzare pattern o anche ripetizioni dirette, quindi può essere molto lunga pur rimanendo memorabile.

Ad esempio:

Thue-Morse 01101001100101101001 diventa 0110-3223-5445-6776-9889 increment parity 20

Fibonacci 1,1,2,3,5,8,13,21,34,55 diventa 0 0 1 2 4 7 12 20 33 54 one less than fibonacci

Le cifre Pi 3.1415926535 diventano after 3. is 14159 then 26535

Prefisso lungo 11111119 and 19999999 are primes

Ripetizione aall leetttteerrss aarree ddoouubbleedd eexxcceepptt l

Layout tastiera !@@###$$$$%%%%%^^^^^^&&&&&&&********(((((((((

Non sono i migliori esempi ma ottieni l'idea. Quindi una password effettiva potrebbe essere simile a questa:

primes 235 LuA: LualuA LualualuA LualualualualuA

Sembra facile per gli umani, ma l'algoritmo di indovinelli sicuramente non conosce la connessione tra primes , 235 e la ripetizione di lua .

Ci sono molti schemi su cui lavorare e molte mappature / mutazioni possibili. Anche i mapping possono essere stratificati. Le parole possono quindi essere inserite e vengono aggiunti brevi prefissi e suffissi. Se lo spazio di ricerca non era ancora abbastanza grande, è possibile concatenare due di questi per quadrare il numero di possibili password. È praticamente inconcepibile o questi schemi indeboliscono le password abbastanza per consentire agli algoritmi specializzati di indovinarle facilmente?

La loro durata e l'uso di non parole dovrebbero renderli immuni a qualsiasi metodo di indovinare la password, quindi almeno hanno quel vantaggio.

Extra: quanto indovinare entropia è effettivamente in una di queste password? Non ci sono davvero dati da cui partire, ma potremmo usare la stima di Fermi per avvicinarci un po '.

    
posta EPICI 10.09.2017 - 19:41
fonte

4 risposte

43

Per quanto posso dire, la domanda è:

They are practically unguessable, right?

La risposta è molto strong dipende dal tipo di attacco di cui sei preoccupato . Inoltre, nel migliore dei casi, ciò che stai facendo è altrettanto strong quanto l'utilizzo di password generate casualmente da un gestore di password, ma quasi sicuramente uno sforzo maggiore, giusto?

La risposta di @RoyceWilliams praticamente colpisce il chiodo sulla testa:

Generally speaking, if your method becomes weaker once it is known, you're doing it wrong.

Analizziamola un po 'più avanti. Esistono due tipi di attacchi brute-force che devi preoccuparti:

Attacchi drive-by

Aka "opportunista". Qui l'attaccante è alla ricerca di frutta a basso impatto: stanno attaccando tutti gli utenti del sistema in parallelo, cercando un singolo punto di ingresso nel sistema (nel qual caso qualsiasi utente lo farà), o stanno cercando di scendere a compromessi come molti account come possono con il minimo sforzo.

È improbabile che provino elenchi di "algoritmi generati", perché possono ottenere ciò che vogliono semplicemente provando il 100.000 password più comuni in base alle violazioni di quest'anno. Finché la tua password non è presente in una di quelle "Top X password più comuni", sei già abbastanza immune; non hai davvero bisogno di fare uno sforzo extra.

Attacchi mirati

Qui tu, e tu in particolare, sei stato selezionato come bersaglio. Forse ci sono dati sul tuo account che sono utili per il loro datore di lavoro, magari lavori per l'help desk IT della tua azienda e l'invio di email di phishing dal tuo account ha più probabilità di successo. Qualunque sia la ragione, in particolare ti stanno studiando.

Troveranno i tuoi post sui social media. Troveranno il tuo post su questo sito. Tratteranno tutte le password delle tue precedenti violazioni per studiare come inventi le tue password. Scriveranno software per generare elenchi di ipotesi basati su tutto ciò che sanno su di te. Se sanno che ti piace usare costanti matematiche, o virgolette da Tolkien, o WTV, costruiranno gli appropriati elenchi di ipotesi.

Contro un attacco mirato, la risposta di @RoyceWilliams che fa riferimento al principio di Kerckhoffs è pertinente: il tuo schema deve essere sicuro anche se l'aggressore sa qual è lo schema. Potresti essere abbastanza intelligente da inventare qualcosa che supera questo test, ma scommetterei che qualsiasi cosa tu inventi sarà più impegnativa di un semplice gestore di password con password casuali da 32 caratteri. Quindi fallo.

Questi due modelli di attacco sono pensati per essere un quadro per pensare al panorama delle minacce, non una lista esaustiva di cose che gli attaccanti faranno. Come sottolinea @Ben nei commenti, c'è una scala scorrevole tra questi due che ha alcune caratteristiche di Drive-by e alcune caratteristiche di Targeted. Dove metti il tuo livello di comfort è la tua scelta; anche se stai considerando tutto questo allora, per il minimo sforzo extra, potresti anche andare fino in cima e usare un gestore di password.

    
risposta data 10.09.2017 - 20:47
fonte
20

Tali metodi rendono le password leggermente più resistenti all'ispezione manuale . Sfortunatamente, i tuoi avversari non si limitano all'ispezione manuale. Tutti i metodi che descrivi sono soggetti all'automazione e quindi facilmente replicabili dagli appassionati di password cracking.

In generale, se il tuo metodo diventa più debole una volta noto, stai sbagliando . Invece di cercare di superare in astuzia l'ispezione manuale, dovresti usare un metodo che resiste all'attacco anche quando i dettagli precisi del metodo sono noti .

Inoltre, alcune delle tecniche che stai descrivendo sarebbero difficili da fare nella tua testa e richiederebbero che l'utente memorizzi la password da qualche altra parte comunque. Se lo farai già, potresti anche semplicemente:

  • Per password non memorizzate, generare password casuali e memorizzarle in un gestore di password e

  • Per le password memorizzate, utilizzare una passphrase generata a caso con un numero sufficiente di parole e la lunghezza dell'elenco di parole per resistere alla forza bruta. Aaron Toponce ha un elenco che confronta vari generatori di password / passphrase che illustra le qualità che dovresti prendere in considerazione quando ne selezioni uno. Regola il numero di parole e la lunghezza del dizionario per il tuo caso d'uso.

Infine, alla tua domanda su indovinare l'entropia, ti incoraggio a non essere distratto da quella domanda. Ci sono solo pochi "bit" di informazioni nel mondo reale - "qui c'è la stringa di base che ho usato" plus "ecco la cosa che ho fatto per trasformarla." L'effettiva "entropia" di tali metodi può essere accettabile a breve termine, ma diminuirà drasticamente una volta scoperto il metodo . (In altre parole, rimanda la discussione sull'entropia finché non ti sei deciso su un metodo che non è indebolito dalla divulgazione).

    
risposta data 10.09.2017 - 20:25
fonte
3

Le password lunghe con bassa entropia sono buone contro una cosa: attacchi di forza bruta . Gli attuali attacchi a forza bruta sono limitati a circa 10 caratteri, quindi se stai considerando l'utilizzo di zxcvbn come password, usare zZxXcCvVbBnN invece sarebbe un grande miglioramento.

Tuttavia, se stai per usare una password corretta (come correct horse battery staple ), puoi essere abbastanza sicuro che non verrà forzata bruta. In questo caso, l'utilizzo del pad a bassa entropia renderà più difficile la digitazione. L'attaccante dovrà ottenere una sorta di intuizione per decifrare la tua password in primo luogo, e se assumiamo che l'hacker possa ottenere informazioni sulla tua password, è ragionevole supporre che lo schema di padding possa far parte di tali intuizioni.

Qui è un breve post che critica l'approccio che proponi. Per riassumere in una frase,

Any public recommendation of a low entropy scheme, at any level of detail, is self-defeating. The more it's adopted, the faster it weakens relative to entropy.

    
risposta data 11.09.2017 - 15:11
fonte
-6

Sì, i "Pattern" sono utili per creare le tue password. Un esempio di creazione di modelli di password per diversi siti, è spiegato qui: Creazione di modelli di password, utilizzando il nome DOMAIN . Ma ....

La forza della password è importante?

Per aggiungere un'aggiunta alle risposte precedenti, probabilmente non dovrai preoccuparti troppo della lunghezza della password, perché la maggior parte dei problemi si presenta con:

  • keylogging
  • Browser-addons
  • Network sniffing
  • siti Web compromessi (dopo aver inserito la password, lo script ruba la tua password)
  • ecc ...
risposta data 11.09.2017 - 09:47
fonte

Leggi altre domande sui tag

Come posso tenere informati i miei colleghi sui problemi di sicurezza? È possibile riprodurre automaticamente la chiavetta USB diffondere virus a Windows 8 o 10?