Solidità del concetto di imbottitura Haystack GRC.com [duplicato]

5

Mi chiedevo quanto il suono sia il concetto presentato dalla Gibson Research Corporation (vedi sotto se non vuoi segui il link) su semplici password (= molto facile da ricordare) con l'aggiunta di padding.

Comprendo ciò che Gibson sta ottenendo con un maggiore spazio di ricerca, ecc., ma mi chiedevo se questo si applica ad un mondo reale, ad esempio, l'uso quotidiano per i tuoi account e la tranquillità che le password siano "sicure" anche se la loro entropia è super bassa.

PER CHI NON DESIDERA ANDARE AL SITO WEB:

Gibson ha un calcolatore dello spazio di ricerca che indica qual è lo spazio di ricerca per una determinata password. Lo spazio di ricerca dipende dalla lunghezza delle password e dei caratteri che formano la password stessa (lettere - maiuscole e minuscole - e / o numeri e / o simboli)

Continua quindi a parlare dell'importanza della lunghezza di una password e della combinazione di lettere, numeri e simboli.

Tutto ha perfettamente senso, ma poi, sostiene che "l'entropia" non è importante, nelle sue stesse parole:

ENTROPY: If you are mathematically inclined, or if you have some security knowledge and training, you may be familiar with the idea of the “entropy” or the randomness and unpredictability of data. If so, you'll have noticed that the first, stronger password has much less entropy than the second (weaker) password. Virtually everyone has always believed or been told that passwords derived their strength from having “high entropy”. But as we see now, when the only available attack is guessing, that long-standing common wisdom . . . is . . . not . . . correct!

Si riferisce a 2 password:

1) D0g.....................

2) PrXyc.N(n4k77#L!eVdAfp9

E sostiene che anche se il primo è infinitamente più memorabile del secondo (e contiene addirittura una parola del dizionario) il tempo di "crack" è di ordini di grandezza maggiore del tempo richiesto per l'altro, quindi, è più sicuro.

Questo concetto è valido? In parole povere ... Devo cambiare tutte le mie password in qualcosa di simile al primo (super facile e super lungo) o questo è solo chiedere dei problemi nel mondo iper-connesso di oggi? :)

L'entropia è completamente inutile nel mondo delle "password degli account online"?

Forse questa domanda dovrebbe essere posta su StackOverflow poiché riguarda più l'uso pratico delle password a bassa entropia nei sistemi informatici. I meccanismi di autorizzazione riguardano il cracking delle password. Non so ...

Va bene ora o sarò ancora più concreto? E 'questo altare fuori tema?

Dave

    
posta 03.12.2014 - 17:57
fonte

1 risposta

5

Ovviamente l'entropia rende teoricamente più sicura una password, ma dal punto di vista di un password cracker la prima password probabilmente richiederebbe molto più tempo per craccare. Questo a causa della lunghezza della password - questo argomento probabilmente non sarebbe valido con una password corta. È qualcosa che ho scritto prima di me stesso

Considera come il software di cracking della password attacca una password:

  1. Prova tutte le parole di un enorme dizionario di parole che include password comuni.
  2. Prova le permutazioni comuni (password1, password123, p @ assw0rd, drowssap, ecc.) di ogni parola del dizionario.
  3. Forza brutale ogni password cercando ogni possibile combinazione di lettere.

Finché una password non rientra nelle prime due categorie e il software deve eseguire una forza bruta completa, la prima password è la più potente perché è un carattere più lungo e utilizza lo stesso spazio delle chiavi (superiore, inferiore, numeri e simboli) come seconda password. La prima password ha una lunghezza di 24 caratteri e quindi potenzialmente ha permutazioni possibili di 95 ^ 24 (291,989,024,338,773,000,000,000,000,000,000,000,000,000,000) La seconda password ha 95 ^ 23 (3.073.568.677,250,240.000.000.000.000.000.000.000.000.000.000.000.000) permutazioni. Come vedi, il 24 ° personaggio fa una grande differenza.

In pratica, se la password fosse .... g ..................... probabilmente ci vorrebbe molto, molto più tempo per craccare rispetto agli altri due perché anche se utilizza solo due lettere minuscole e un simbolo, il software di cracking delle password tenterebbe comunque di utilizzare lettere maiuscole e numeri ed è più lungo di due caratteri. Tieni presente, tuttavia, che se un gruppo di persone ha iniziato a seguire il concetto di padding, non sarebbe difficile creare regole per il crack delle password per provare a riempire tutte le password. È meglio mescolare il padding per tutta la password, alternando più caratteri o semplicemente aggiungendo un paio di semi-parole alla tua password.

Quando si tratta di password, la mancanza di entropia e la mancanza di set di caratteri può sempre essere compensata aumentando la lunghezza di una password.

Tuttavia, detto tutto questo, devi comunque essere intelligente e non riutilizzare la stessa password o lo stesso pattern su più sistemi e dovresti davvero fare affidamento su cose come queste nei casi in cui devi memorizzare una password. Utilizzare un gestore di password con un generatore di password casuale è comunque la migliore pratica da seguire.

    
risposta data 04.12.2014 - 01:47
fonte

Leggi altre domande sui tag