La password che usi per accedere a una VPN determina la forza?

Il "punto di forza" della VPN è duplice. Vuoi due cose:

1. Impedire agli aggressori di spiare i tuoi dati e / o di modificarli in modo silenzioso.
2. Impedire agli attaccanti di inquadrarti, ad esempio collegandoti con successo alla VPN sotto il tuo nome.

Se la VPN è valida, la password influisce solo sul secondo tipo di forza, e l'unico vettore di attacco per gli aggressori è un attacco del dizionario online . "Attacco dizionario" significa provare potenziali password. "Online" significa che l'attaccante deve contattare il server VPN per ogni password che desidera provare.

La prevenzione degli attacchi di dizionario offline è molto importante, perché con un attacco di dizionario offline, l'utente malintenzionato testa le password sulle proprie macchine (ad esempio potrebbe ottenere un hash della password) e quindi può accelerare l'attacco lanciando più macchine. Con un attacco al dizionario online , l'attacco non sarà più veloce di quello che il server VPN è disposto ad accettare.

Supponiamo che il server VPN possa "provare" 1000 password al secondo; questo sarebbe tipico di un PC piuttosto strong e di una VPN con SSL (connessione SSL tra client e server, quindi il client mostra la sua password all'interno del tunnel - anche in questo caso il server può danneggiarlo consentendo un uso eccessivo della sessione SSL). Se lo spazio delle potenziali password ha dimensione un miliardo , quindi, in media, l'utente malintenzionato dovrà provare 500 milioni prima di colpire il diritto uno. A 1000 al secondo, questo richiederà circa 6 giorni.

Ciò evidenzia i punti importanti:

• L'implementazione del server VPN è importante.
• Il server VPN può diminuire l'efficienza degli attacchi abbassando volontariamente il numero di nuove connessioni che accetterà al secondo. Inferiore da 1000 a 100 e la resistenza agli attacchi è aumentata di un fattore 10.
• La lunghezza della password non ha importanza diretta . Ciò che conta è la dimensione dell'insieme di possibili password.

Qualunque sia il metodo con cui generi le password, devi presumere che l'hacker lo sappia (dopotutto, è malvagio). Le migliori password vengono generate casualmente, con una reale casualità, cioè il tuo computer, non la tua testa. Se generi una password di 10 caratteri in cui tutti i caratteri sono cifre o lettere (minuscole e maiuscole), e ogni personaggio è scelto a caso e indipendentemente dagli altri, allora ci sono 62 ¹⁰ = 839299365868340224 possibile Le password; questa è la dimensione del set. E se usi la casualità, l'attaccante non ha altra scelta che provarli tutti; a 1000 password al secondo, l'attacco lo porterà, in media, oltre un milione di anni . Suppongo che sia sufficiente.

Quindi usa i tuoi dadi migliori, genera dieci personaggi casuali e andrà bene. Se è non bene, allora l'implementazione della VPN sta facendo qualcosa di stupido e ti consigliamo di cercare una VPN migliore. I punti importanti per la generazione della password sono:

• Utilizza la casualità reale.
• Non usare una password "spiritosa" che è (ri) costruita mentalmente (ad esempio prendendo la prima lettera di ogni verso in un sonetto di Shakespeare - l'attaccante anche conosce Shakespeare).
• Genera una password e accetta . Ricordare una password, qualsiasi password, è facile se la digiti ogni giorno. Non produrre molte password finché non ne trovi una che "sembra buona" perché ridurrebbe solo la tua sicurezza.
• Calcola la dimensione dell'insieme di possibili password; questo è l'unico punto in cui la lunghezza della password è importante. Il miglior punto di casualità reale è che rende possibili le password uniformemente : questo ti consente di calcolare il tempo di attacco medio, come ho fatto sopra.
• Idealmente, pubblica la tua tecnica di generazione della password. Sconfiggere l'attaccante è buono; scoraggiarlo in modo che non provi nemmeno sia migliore.

Esistono molti tipi diversi di tecnologia VPN, quindi la risposta non è statica. Spesso le password vengono sottoposte a hash o utilizzano un'altra tecnologia di rafforzamento delle chiavi in modo che le password brevi non creino connessioni non sicure (eccetto, ovviamente, che le password brevi sono più facili da indovinare).

Una password di 10 caratteri è uno spazio delle chiavi a 57 bit se si utilizza il caso misto, 47 bit se si utilizza solo un caso. Questo non è abbastanza buono per la tecnologia di oggi.

Dovresti usare qualcosa del tipo:

Tutto in minuscolo : almeno da 16 a 18 lettere
Caso misto : almeno 13 caratteri
Casi e simboli misti : Almeno 12 caratteri

Prova a passare al link e martella con password di esempio per avere un'idea di ciò che è buono e cosa non è così buono. Per la maggior parte delle persone questa è un'esperienza che apre gli occhi.