Quali sono le debolezze umane nel generare una password che deve essere casuale? [chiuso]

5

Supponendo di conoscere una persona che ha inventato una password con l'obiettivo che dovrebbe essere casuale perché la utilizzerà per un servizio importante. Mi piacerebbe capire come posso aumentare la mia possibilità di indovinare la password. Il primo passo è pensare alle tipiche debolezze umane nel generare una password.

Una debolezza che mi viene in mente è che di solito alcuni personaggi vengono scelti più spesso di altri. Penso che abbiamo un strong pregiudizio a [A-Za-z0-9] perché questi caratteri sono facili da digitare.

Ma penso che ci siano molte più debolezze umane. Ad esempio, gli esseri umani sono ottime macchine per il riconoscimento di schemi, quindi forse utilizziamo involontariamente modelli, ad esempio parole o numeri (anche se cerchiamo di non farlo). Ma è molto vago.

Quindi quali sono le debolezze aggiuntive e perché esistono?

    
posta 40F4 13.07.2017 - 09:48
fonte

3 risposte

6

Disclamer: I have no source for this. This is all based on personal experience

Poiché la maggior parte dei siti oggi impone una politica di password in cui le password devono avere almeno una cifra e un carattere maiuscolo, la struttura è quasi sempre:

  • Un carattere maiuscolo
  • X caratteri minuscoli
  • Una o due cifre alla fine.

Se i simboli sono richiesti, vengono spesso aggiunti dopo la cifra, più comunemente !

    
risposta data 13.07.2017 - 11:10
fonte
1

Questo non è così semplice come si potrebbe pensare. È certamente vero che le persone sono cattivi generatori di numeri casuali, come discusso qui (anche se per favore non prendere sul serio i loro tentativi di analisi statistica).

Quindi, mentre c'è un po 'di verità dietro l'idea a cui stai andando, in pratica è sostanzialmente più complicato. Solo perché le persone non sono brave a essere casuali non significa che ci sia un modo affidabile per indovinare cosa una determinata persona potrebbe scegliere come password sicura. La tua migliore scommessa per ottenere la password di qualcuno senza essere data sarebbe uno dei due modi (che non devono essere mutuamente esclusivi):

  1. Un attacco mirato per ottenere la password della persona! Fondamentalmente, esegui una specie di attacco di social engineering
  2. Spero che il tuo target sia una persona "media" e indovina la loro password, non basata su nulla su di loro, ma piuttosto da modelli che le persone seguono in media. Fondamentalmente questo significa provare ogni password in questo elenco . Solo perché si tratta di un servizio importante non significa che la tua persona comune utilizzerà una password sicura.
risposta data 13.07.2017 - 15:16
fonte
0

Non penso che ci sia uno schema qui.

Ogni persona potrebbe avere il proprio modo di generare pattern.

Se chiedo a mia madre di creare una password per se stessa, sarà qualcosa come il nome di sua madre da nubile seguito da un certo numero (molto probabilmente una data).

Se chiedo a qualcuno più informazioni sulla sicurezza, la password potrebbe essere creata dalla prima lettera di ogni parola nel primo versetto della sua canzone preferita.

Se mi chiedi, la password casuale sarà basata su un modello geometrico creato da chiavi, ad esempio spirale gyhbvft67ujn

    
risposta data 13.07.2017 - 15:19
fonte

Leggi altre domande sui tag