In Keepass2 stavo scrivendo una password e ho notato che il numero di bit è andato giù. Perché dovrebbe essere? Stavo usando due parole e le ho mescolate sostituendo certe lettere con i numeri.
Non ho esaminato il codice sorgente keepass2, ma i calcoli di entropia dipendono molto dal modello utilizzato. La mia ipotesi è il tuo cambiamento, fa sì che keepass2 salti tra diversi modelli per come fa il calcolo sottostante. Qualsiasi calcolo di entropia per una determinata password è necessariamente inesatto se il metodo che ha generato la password non viene utilizzato.
Ad esempio, si suppone che un modo molto ingenuo per modellare una password data come P@s$w0rd
sia che si trattava di 8 caratteri casuali scelti con un set 96 possibili caratteri ASCII stampabili, con un'entropia di lg (96 ^ 8) ~ 52,7 bit - una password abbastanza ragionevole (contro attacchi online o contro un hash come bcrypt con un numero adeguato di round). Scegliendo in modo casuale 8 caratteri da ASCII stampabile è probabile che produca P@s$w0rd
come qualsiasi altra password (anche quelli che sembrano casuali 9MD10]'e
) ..
Tuttavia, puoi davvero vedere che c'è un modo più basso di entropia per generare questa password. Si basa su una parola base molto comune ( password
) - leggermente modificata con mediamente quattro ~ 4 possibili mutazioni (4 = 2 ^ 2 quindi 2 bit) per ogni lettera. Quindi, essendo una delle più famose 1000 parole base (10 bit di entropia) più 2 bit per ogni lettera, quindi un totale di circa 26 bit di entropia - che è molto debole.
Pertanto, alcuni calcolatori di password cercheranno modelli riconoscibili da scontare per questo effetto. Possono riconoscere uno schema in una password più lunga o una password con un set di caratteri più grande, che non hanno riconosciuto in precedenza. Ad esempio, potrebbero non rendersi conto che d@s$w0rd
è basato su password (con una percentuale di% co_de ripetibile come d
ruotata e senza utilizzare maiuscole) e può dargli un punteggio superiore a p
.
L'entropia di una password non aumenta in proporzione alla sua lunghezza.
L'entropia può diminuire perché aumenta la regolarità del pattern della password o perché la password si sta avvicinando a un punto vulnerabile di attacco del dizionario.
Ecco il risultato di un test cieco con la stima della forza della password di Google.
L'entropia della password testata diminuisce di lunghezza perché si avvicina al punto di debolezza del dizionario
Leggi altre domande sui tag password-management