Mi chiedevo quanto il suono sia il concetto presentato dalla Gibson Research Corporation (vedi sotto se non vuoi segui il link) su semplici password (= molto facile da ricordare) con l'aggiunta di padding.
Comprendo ciò che Gibson sta ottenendo con un maggiore spazio di ricerca, ecc., ma mi chiedevo se questo si applica ad un mondo reale, ad esempio, l'uso quotidiano per i tuoi account e la tranquillità che le password siano "sicure" anche se la loro entropia è super bassa.
PER CHI NON DESIDERA ANDARE AL SITO WEB:
Gibson ha un calcolatore dello spazio di ricerca che indica qual è lo spazio di ricerca per una determinata password. Lo spazio di ricerca dipende dalla lunghezza delle password e dei caratteri che formano la password stessa (lettere - maiuscole e minuscole - e / o numeri e / o simboli)
Continua quindi a parlare dell'importanza della lunghezza di una password e della combinazione di lettere, numeri e simboli.
Tutto ha perfettamente senso, ma poi, sostiene che "l'entropia" non è importante, nelle sue stesse parole:
ENTROPY: If you are mathematically inclined, or if you have some security knowledge and training, you may be familiar with the idea of the “entropy” or the randomness and unpredictability of data. If so, you'll have noticed that the first, stronger password has much less entropy than the second (weaker) password. Virtually everyone has always believed or been told that passwords derived their strength from having “high entropy”. But as we see now, when the only available attack is guessing, that long-standing common wisdom . . . is . . . not . . . correct!
Si riferisce a 2 password:
1) D0g.....................
2) PrXyc.N(n4k77#L!eVdAfp9
E sostiene che anche se il primo è infinitamente più memorabile del secondo (e contiene addirittura una parola del dizionario) il tempo di "crack" è di ordini di grandezza maggiore del tempo richiesto per l'altro, quindi, è più sicuro.
Questo concetto è valido? In parole povere ... Devo cambiare tutte le mie password in qualcosa di simile al primo (super facile e super lungo) o questo è solo chiedere dei problemi nel mondo iper-connesso di oggi? :)
L'entropia è completamente inutile nel mondo delle "password degli account online"?
Forse questa domanda dovrebbe essere posta su StackOverflow poiché riguarda più l'uso pratico delle password a bassa entropia nei sistemi informatici. I meccanismi di autorizzazione riguardano il cracking delle password. Non so ...
Va bene ora o sarò ancora più concreto? E 'questo altare fuori tema?
Dave