Sarebbe utile una lista nera di password indovinate? [duplicare]

Question

Sarebbe utile una lista nera di password indovinate? [duplicare]

#1 da (4 voti)
#2 da (2 voti)

5

I suggerimenti per fare una buona password sono tutti concentrati sulla creazione di una stringa che un computer (o più probabilmente una rete di computer con più GPU) non può indovinare. Mettere un indicatore di password per quando gli utenti creano password può aiutare un po 'contro questo, ad es. applicando una password di almeno 8 caratteri con un mix di casi, lettere, numeri e simboli. Ma i parametri e le regole delle password non possono essere protetti dalle seguenti password, che tutte sembrano abbastanza buone:

qeadzcwrsfxv1331
Coneyisland9/
n3xtb1gth1ng,
Oscar+emmy2.
":LOL1313le
Sh1a-labe0uf,
DG091101%

Tutte queste password sono state violate rapidamente per questo articolo su Ars Technica. Sembra impossibile competere con la complessità, la creatività, la velocità e la completezza degli algoritmi di cracking.

Quindi ecco la mia domanda. Se, in teoria, alcune centinaia di cracker hanno usato il loro hardware e programmi di cracking per generare una lista massiccia di tutte le loro ipotesi - e hanno continuato ad aggiungervi, in modo che l'elenco includesse eventuali nuove ipotesi che potrebbero essere piegate in programmi di cracking (ad esempio, dire che un altro sito viene violato, tutte le password trapelate andrebbero nella lista nera), sarebbe faticosamente utile come strumento di generazione sicura delle password? O sarebbe facilmente aggirabile o ha qualche grosso problema che non vedo?

Dato che questa enorme lista nera dovrebbe probabilmente essere crowdsourcing, e quindi disponibile per i cracker, e potenzialmente anche qualcosa che i cracker potrebbero aggiungere, ci sono modi in cui potrebbe essere usato a vantaggio di un cracker? Oppure usare questa lista renderebbe il loro lavoro più difficile, non importa quale?

Qualche altro motivo per cui non sarebbe utile?

passwords password-management password-policy password-cracking passphrase

posta brentonstrine 17.07.2013 - 00:14

fonte

2 risposte

Leggi altre domande sui tag passwords password-management password-policy password-cracking passphrase

XSS - file arbitrario nella proprietà css background-image Complessità degli attacchi dei certificati Web

score 4 · Answer 1

Queste password si basano su un attacco offline, cioè l'hacker ha l'hash e sta cercando di risolverlo. Se questo è il tuo problema, usa qualcosa come scrypt, bcrypt o PBKDF2 per rafforzare gli hash delle password e renderli più difficili da attaccare offline.

Se sei preoccupato per gli attacchi online, limita la velocità degli accessi agli account con una sorta di backoff esponenziale o blocca l'IP dopo un numero imprecisato di tentativi di accesso errati. Ad ogni modo, renderai l'attacco online così lento che l'attaccante non supererà 'p4ssw0rd'.

score 2 · Answer 2

Ci sono 3 diversi tipi di attacchi a forza bruta:

attacco con dizionario comune : pronuncia le 100 password più comuni. Oppure top 30000 o altro. In genere un attacco superficiale corre contro una vasta serie di bersagli che cercano di distinguere i deboli.
attacco esaustivo del dizionario : con diversi gradi di esaustività. Tutte le password comuni, tutte le parole del dizionario e gli schemi di tastiera, sostituiscono le lettere con i numeri, aggiungono numeri e simboli, inseriscono simboli ... ecc. Tipicamente un attacco molto mirato.
Attacco completo esaustivo : inizia da 0x00 e ti prepari. Percentuale di successo del 100% se ci tieni abbastanza a lungo. Molto mirato, non particolarmente pratico.

Quindi la domanda è: su quale dizionario ti stai difendendo? Una soluzione semplice consiste semplicemente nel verificare che la tua password non sia nel dizionario di attacco corrispondente.

Controllare 1 è qualcosa che è già stato fatto su sistemi più avanzati come Linux. Sfortunatamente, l'elenco delle password per 2 potrebbe essere di molti gigabyte o terabyte. Viene generato al volo una volta usato, quindi il controllo contro di esso dovrebbe essere almeno parzialmente programmatico, piuttosto che una ricerca diretta. Finché utilizzi più o meno la stessa lista di difesa usata comunemente per l'attacco, dovresti prendere tutti quelli facili. 3 è ovviamente impossibile da difendere se non per creare password molto lunghe. Che dovresti fare Secondo gli standard odierni, da 12 a 16 caratteri minimi a seconda della selezione dei possibili caratteri che usi (maiuscolo, numeri, simboli, ecc.)