Per le persone che scelgono semplicemente la password più semplice e consentita, si tratta in effetti di un miglioramento dell'entropia, come password
in pa55word
(il primo è circa il peggiore che puoi ottenere, il secondo è significativamente migliore ma ancora inaccettabilmente semplice). Password1
è dieci volte più complesso di Password
, ma solo perché è più lungo, anche se Passworda
sarebbe 26 volte più complesso dell'originale Password
.
Per le persone che scelgono password sicure, questo è un ostacolo. Costringe password come ni{M?tofQPI.'C'dfmSK
a diventare 3i{M?tofQPI.'C'dfmSK
. Da una prospettiva di entropia pura, ci sono meno possibilità in cifre (10) rispetto a caratteri minuscoli (26), maiuscoli (26) o speciali (~ 32). Quella n…
password probabilmente * ha 2,6 volte più entropia della 3…
password ( 26 / 10 ).
Considera uno schema di password più rigido: devi avere una lettera maiuscola, una cifra e un carattere speciale. Un utente malintenzionato quindi sa che ci sono un numero molto elevato di password che sono impossibili e che quindi non hanno bisogno di essere testate in una forza bruta attacco .
Usando la psicologia, l'attaccante assegnerà anche la priorità al primo carattere come maiuscolo e l'ultimo carattere come una cifra o un carattere speciale, il che significa che 1pa*sswoRd
è molto più strong di Password1*
(ma di nuovo, inaccettabilmente semplice) . Questa è chiamata "topologia della password" (ulteriori informazioni sulla PathWell: topologia della password di Rick Redman).
* Il calcolo dell'entropia della password è molto difficile e nessuno lo fa correttamente (è impossibile farlo "correttamente" a meno che tu non stia parlando di misurare un generatore di password automatico). Si deve assumere lo scenario peggiore, che lo schema di generazione della password sia completamente noto all'attaccante, poiché non si può fare affidamento sulla sicurezza attraverso l'oscurità. Ho il mio modo di calcolare l'entropia che mi piace di più di altri che ho visto, ma è anche imperfetto. Il miglior consiglio per la generazione di password è quindi di creare un codice di accesso molto lungo che soddisfi la maggior parte delle linee guida raccomandate, ignorando anche il primo e l'ultimo carattere del codice.
Quando cambi, ad es. password
a Password
, stai raddoppiando l'entropia perché è la posizione più comune da rendere maiuscole (e superiore a vs-inferiore ha due opzioni), mentre cambiare password
a pAssword
implica almeno che il maiuscolo potrebbe essere ovunque, aumentando invece la complessità di 16 volte in questo esempio (otto caratteri per due casi possibili).
Non dimenticare le parole. Una parola vale 2-3 "caratteri casuali" e non di più. Le parole super oscure (specialmente quelle più rare) possono valere fino a quattro caratteri (vedi il mio link di entropia sopra), ma è meglio essere prudenti nella stima. Dico che se è in un dizionario di ortografia per qualsiasi lingua che conosci, vale la pena 2. Qualsiasi altra parola non banale vale 3. Password
e altre password comuni (anche 1qaz2wsx
; guarda la tua tastiera) valgono 1, quindi Password1
è sicuro quanto K%
. Dal momento che gli aggressori possono sfruttare le tue unità, qualsiasi "parola" trovata nel tuo computer (esclusi i dizionari) vale al massimo 2 caratteri.
Il random è difficile da inventare per gli umani e ancora più difficile da ricordare (e la maggior parte delle persone considera erroneamente "oscuro" e / o "intelligente" come "casuale"). Ecco perché i gestori di password ti offrono di farlo per te, creando un sistema in cui hai sempre solo bisogno di ricordare una password grande e grossa che potresti, ad es. memorizza metà e incolla l'altra metà nel tuo portafoglio.