Utilizzo dei risultati di Ricerca Google per determinare la forza della password

10

Google è un archivio di dati di Internet, in quanto indicizza un'enorme quantità di dati. Utilizza un servizio di previsione per determinare il resto della query di ricerca.

Con un repository così grande, possiamo trarne vantaggio per determinare la forza della password?

Possiamo usare la password come query di ricerca per determinarne la popolarità? Sulla base del numero di risultati ottenuti per la password, possiamo fornire un punteggio alla password? Questo modello è fattibile?

Penso che le password più popolari siano più frequenti nelle pagine Web o come query di ricerca. Questo non significa che le parole rare di minore lunghezza avranno un punteggio elevato. Ciò è ovvio, le password più piccole possono essere ricercate tramite forza bruta o possono essere interrogate in un tempo limitato.

Penso che questo modello funzionerà bene per determinare la forza delle password più lunghe che aderiscono al linguaggio naturale come l'inglese.

Questo approccio per misurare la forza della password è banale? O, in altre parole, c'è un attacco facile se tale modello viene usato per misurare la forza della password?

Nota. Se esiste un problema di fiducia con Google, supponiamo di poter creare il nostro servizio.

Modifica: la ricerca ( link ) ha dimostrato che la maggior parte I misuratori di forza impiegati oggi ingannano gli utenti mentre creano le password. Usando il repository di motori di ricerca come google, possiamo misurare la forza della password in modo più accurato? Ci saranno falsi positivi, come sottolineato da molti, ma non sarà meglio dei misuratori di forza esistenti?

    
posta Curious 16.01.2015 - 13:04
fonte

5 risposte

28

Esiste un sacco di ricerche su cui le password sono "popolari". Puoi trovarne molte qui: link

Non hai modo di sapere cosa fa Google con le query. È quasi certo che tali query vengano registrate e associate all'origine IP di origine. Ciò significherebbe che Google ha un elenco delle password che hai testato. Tale elenco potrebbe essere utilizzato in modo improprio da un dipendente di Google e potrebbe essere soggetto a mandato di ricerca, citazione in giudizio, scoperta o altra richiesta legale: link

Se fossi Google, starei a cercare termini di ricerca che non producono risultati; è così che scrivono le regole che permettono loro di fare la loro magia. Pertanto, è probabile che la tua pratica venga all'attenzione dei ricercatori di Google.

Infine, per stabilire se c'è un attacco facile, gli autori delle password cercano prima di tutto elenchi di parole di varie dimensioni, quindi eseguono attacchi brute force ed euristici. Le password brevi non presenti in nessuna lista o negli indici di Google cadranno in bruta forza. Le password più lunghe potrebbero cadere in euristiche. Ars Technica ha fatto una serie di articoli su questo. Il più rilevante è qui: link

Lascia perdere.

    
risposta data 16.01.2015 - 14:28
fonte
19

Nessun risultato per una ricerca su Google su "pa55w0rd987" estremamente basso: link

Inoltre, Google può solo segnalare dati noti e ci sono molte pessime password che, tuttavia, non appaiono su nessun sito web.

Per questi motivi, asserisco che Google non è uno strumento utile per controllare la robustezza della password. (Lo stesso sarebbe vero per Bing e altri sistemi di ricerca.)

    
risposta data 16.01.2015 - 20:06
fonte
10

Qualunque password sufficientemente strong (e molte password insufficientemente potenti) avrà 0 risultati su Google, quindi, no, non è davvero un metodo fattibile. Se la tua password consiste interamente di parole in inglese, può essere forzata brutalmente con un attacco dizionario . Se una password ha qualche hit di Google, è quasi certamente non sufficientemente sicuro, ma la mancanza di hit di Google non significa che sia sicuro.

Inoltre, idealmente non dovresti mai inviare la tua password via cavo a nessuno. E sicuramente non su una connessione non criptata. Il modo corretto di trasmettere una password è di cancellarlo per primo in modo che anche la persona che riceve l'hash non sappia mai quale sia la password originale. Naturalmente, esistono ancora molti siti web che non usano il modo corretto, ma questa è un'altra questione. Mi fa sempre rabbrividire quando registro un account con un sito Web e mi inviano una e-mail di conferma con la mia password in chiaro. facepalm

    
risposta data 16.01.2015 - 20:29
fonte
2

Avviso: ci sono seri problemi di sicurezza che inviano le password al di fuori della rete diretta, in particolare a google. Fallo solo se in qualche modo non è un problema per te! (Ad esempio, stai lavorando in un contesto di sicurezza isolato, che comunque è profondamente dipendente da Google!)

@PlasmaHH ha fatto il commento molto chiaro: "Che è più strong, 2z63hg79fg79 o tf3m89j67hw396g3qh96g3q8b9? Entrambi hanno la stessa quantità di hit di Google."

Che è, ovviamente, vero.

Ma: praticamente, puoi usarlo come criterio di pre-filtro. Qualunque cosa che abbia un hit su google, non dovrebbe essere consentita come password.

La forza delle password ha superato il test, presto può essere misurata da un esame relativamente semplice basato sull'entropia, o da un minimo calcolo della distanza di Levenshtein dai titoli degli articoli di wikipedia (qui è la mia idea su questo argomento).

    
risposta data 17.01.2015 - 01:28
fonte
1

I risultati di una password su una ricerca su Google non sono molto indicativi della sua forza. Altri hanno già fornito esempi di password a bassa intensità senza hit.

Detto questo, mi chiedo se fare una ricerca su Google sul username (o sul nome reale, se è noto) possa essere una buona idea. Le parole che si presentano più spesso di qualche soglia sulle prime, diciamo, tre pagine di risultati potrebbero essere rifiutate come potenzialmente facili da indovinare. I risultati sarebbero in qualche misura personalizzati per ciascun utente, ma ciò potrebbe rendere una difesa interessante contro un utente malintenzionato in qualche modo più determinato di quanto sia tipico.

    
risposta data 17.01.2015 - 16:42
fonte

Leggi altre domande sui tag