Le passphrase saranno sempre al sicuro?

In generale, puoi sempre presumere che gli attacchi di forza bruta saranno sempre possibili. Il trucco sta limitando quanto possono essere efficaci. Aumentare la lunghezza e la complessità, ma preferibilmente la lunghezza, è un buon modo per rallentare una forza bruta.

Quindi possiamo discutere delle specifiche, supponiamo che l'autore dell'attacco abbia accesso all'hash della password e non possa usare scorciatoie come le tabelle di ricerca hash. Il tempo necessario per avere successo dipende in modo significativo dalla velocità della potenza di calcolo disponibile. Cioè, un computer in grado di controllare 1.000 password al secondo impiegherà molto più tempo di un computer in grado di controllare 100.000 password al secondo. Man mano che la potenza di calcolo aumenta sui sistemi informatici, diminuisce il tempo necessario per eseguire una forza bruta fuori linea. Quindi in questo caso vorrai che la tua password, o passphrase, sia sufficientemente complessa da rendere il tempo della forza bruta più lungo della durata prevista della password. Cioè, se cambi la tua password ogni 6 mesi vuoi che ci vogliano almeno 7 mesi per interrompere.

Un altro metodo di forza bruta comune è quello di tentare di accedere a un sistema di vita, questo è quello che vedrete comunemente nelle scansioni, come Morto, che hanno un elenco di password comuni e cercano sistemi che usano alcune credenziali semplici. Qui si applicano gli stessi principi, eccetto che hai un po 'più di controllo su come il processo può essere rallentato. Ad esempio, è possibile bloccare i sistemi remoti dopo un certo numero di tentativi, rispondere con il messaggio Bad Password con ritardi crescenti o bloccare account dopo un certo numero di password errate. Tutti hanno i loro lati negativi, in quanto possono essere utilizzati come meccanismo per gli attacchi DoS. Tuttavia, sono abbastanza comuni. In alcuni casi, come ad esempio la conformità PCI, i blocchi account sono effettivamente necessari.

Sì, è altrettanto vulnerabile a un attacco di forza bruta come password, se l'attaccante lo tratta come una frase di accesso.

Se non si assumono delimitatori e un vocabolario di 15.000 parole, una passphrase di 4 parole ha entropia simile a una password alfanumerica di maiuscole e minuscole di 10 caratteri e quindi impiegherà circa lo stesso tempo per la forza bruta.

Il motivo per cui potresti utilizzare una passphrase non è perché è più strong, ma perché è più facile da ricordare per gli utenti.

Ad esempio, confronta "uPTwbyp4kAv" in " correcthorsebatterystaple ".

Stessa entropia, ma gli umani normali non ricordano il primo, quindi lo annotano o lo cambiano in "Password123".

Hai ragione. Se dovessi utilizzare solo parole del dizionario in una passphrase, allora hai a che fare con un 'alfabeto' di tutte le parole nella tua lingua (che è certamente molto più grande di 26), ma probabilmente utilizzi solo una manciata di parole la tua passphrase in modo che tu non possa comprarti molta più sicurezza.

Tuttavia, con il piccolo aggiustamento dell'utilizzo di almeno una parola senza dizionario, la passphrase diventa esponenzialmente più sicura. Se hai 5 parole del dizionario con alcuni caratteri speciali o sostituzioni spruzzate, non sei vulnerabile a una forza bruta (che è possibile solo per < una dozzina di caratteri, o giù di lì sulla maggior parte delle piattaforme), e sei non è più vulnerabile all'attacco del passphrase del dizionario che citi.

Se sei interessato alla sicurezza delle passphrase, ecco una ricerca interessante Alcune prove su passphrase multi-word . Fondamentalmente i risultati di questa ricerca confermano le tue aspettative.

Ho usato le passphrase per molti anni, ma invece di usarlo direttamente, lo sto modificando un po '. Ad esempio la mia passphrase può apparire così:

Th1 $ # $ # Ho il mio # 3x @ # MPL3 P @ $$ phr @ $ 3

È più facile da ricordare che "password veramente casuale" e, in generale, mi dà un livello accettabile di sicurezza. Indovinare parole corrette non è sufficiente in questo caso, l'autore dell'attacco deve anche indovinare la trasformazione che ho usato per creare la mia passphrase (la trasformazione dovrebbe essere in qualche modo unica ogni volta che crei la passphrase). Ovviamente anche la passphrase più lunga non è sicura se la usi in molti posti.

Come nota a margine voglio menzionare che sto usando anche l'applicazione di gestione password (KeePass) e per ogni account che non devo ricordare la mia password, ne utilizzo automaticamente una. L'utilizzo di password univoche è una buona pratica di sicurezza, ma può essere piuttosto oneroso se si tenta di ricordarle tutte. Anche se utilizzi passphrase.