È male aggiungere una password indovinata a una password casuale?

5

Diciamo che una persona ha una password che ha usato prima di sapere come creare password valide, come peter123 . Diciamo anche che quando stavano pensando a una password migliore, hanno scoperto che potevano ricordare solo 8 lettere in una stringa casuale. Diciamo che la particolare stringa casuale che hanno scelto qui è atwer1414 .

Che cos'è una password più sicura: atwer1414 o atwer1414peter123 ? Presumo che il più lungo sia più sicuro, ma non ne so abbastanza sull'hashing per sapere se il% / probabile peter123 che c'è dentro ci darebbe qualche informazione su atwer1414 .

    
posta Loktopus 27.12.2015 - 19:20
fonte

1 risposta

8

Certamente una password più lunga con complessità comparabile o superiore, come il tuo esempio, si traduce in una password più sicura.

Anche se dobbiamo dire cosa significa "sicuro" in questo contesto. Un utente malintenzionato non dovrebbe essere in grado di forzare il login. Una password lunga e complessa aggiunge anche alla sicurezza se un utente malintenzionato potrebbe mai mettere le mani sul database delle password (se non le memorizza come testo normale).

In realtà ci sono due scenari riguardanti la sicurezza della password che sono influenzati dalla complessità e dalla lunghezza della tua password. Il primo è un attaccante che è in grado di testare solo contro una scatola nera, ad es. il login di un sito web. Se la tua password fosse troppo banale come "password", un utente malintenzionato può accedere facilmente, anche con molti meccanismi di sicurezza in atto (esclusa l'autenticazione a due fattori). Ciò diventa molto più difficile per un utente malintenzionato più lunga diventa la password, soprattutto perché la maggior parte dei siti Web limita i tentativi di accesso.

Il secondo scenario è una violazione del database in cui l'attacco ha accesso al database delle password. La sicurezza della tua password, che significa "L'hacker è in grado di capire la mia password?", Non dipende solo da te, ma da come il sito web ha gestito tutte le password. Se li immagazzini nel testo in chiaro, perdi, non importa quanto siano complessi. Ciò che è insicuro, ma spesso si verifica, è semplice hashing senza sale o un sale globale per tutti gli account. In questo caso, aiuta a disporre di una password complessa e lunga, poiché ciò che fa l'utente malintenzionato sta controllando gli hash dal database rispetto agli elenchi precompilati di password comuni o persino a interi dizionari di combinazioni. Una password lunga e complessa significa che sono necessari più tentativi per l'attacco. Un sito web adeguatamente protetto dovrebbe usare un sale per utente (e forse pepe), rendendo praticamente inutili i tavoli e i dizionari arcobaleno. Ciò proteggerebbe anche le password abbastanza semplici, ma il più lungo è il migliore (o più sicuro).

Quindi il motivo per cui dovresti usare una password lunga e complessa è il primo scenario e il secondo scenario in caso di sicurezza impropria. Puoi vedere anche che la sicurezza effettiva dipende anche dagli sviluppatori web non solo sulla tua password.

    
risposta data 27.12.2015 - 19:48
fonte

Leggi altre domande sui tag