Come qualcuno attaccherebbe un segreto non veramente casuale prodotto da un umano?

Question

Come qualcuno attaccherebbe un segreto non veramente casuale prodotto da un umano?

#1 da (1 voti)

5

Specialmente nelle criptovalute si sente spesso dire che le chiavi / semi privati non devono essere digitati "a caso" dagli umani, ma piuttosto utilizzare un generatore di numeri veramente casuale. Capisco che gli umani si comportano in un certo modo, quindi ci devono essere schemi che riducano significativamente lo spazio di ricerca di un attacco di forza bruta.

Questa è la teoria. Ma in pratica, come potrebbe qualcuno modellare un simile attacco? So che ci sono dei pregiudizi cognitivi ricercati nella percezione e nella produzione della casualità ma ci sono dei modelli, come modellerai uno spazio di ricerca di un umano che "casualmente" colpisce una tastiera?

random brute-force

posta A1m 12.01.2018 - 05:42

fonte

1 risposta

Leggi altre domande sui tag random brute-force

Quanto è sicuro usare l'autenticazione basata su impronte digitali su dispositivi Android non criptati? iTunes Account ha unito il gruppo Famiglia senza autorizzazione

score 1 · Answer 1

Una semplice risposta è che un umano tenderà a colpire più tasti nel mezzo e / o sulla "fila domestica" della tastiera e tenderà a colpire i tasti l'uno vicino all'altro più spesso (a causa dei doppi colpi). Potrebbero anche esserci più caratteri speciali "non spostati" e caratteri di riga numerica. I numeri e i caratteri speciali possono essere più facilmente raggruppati in maiuscole (o semplicemente aggiunti) alla stringa "casuale" principale.

Quindi otterrai una frequenza più alta di asdfghjkltyuivbnm , sequenze come sw qd l; ecc. e più nel formato di oipynKJIU8767@~{&$

Questi possono essere evitati consciamente, ma questo potrebbe dal proprio patten o avere un troppo uniforme mix (quasi lo stesso numero di ogni tipo) .: dR%6Ni9)lI&6 ...

Questo potrebbe indebolire un po 'le cose e dare un po' di aiuto all'attaccante, ma per una lunga stringa è improbabile che sia significativo. Richiederebbe anche che l'attaccante sappia che è stato generato da un attacco di forza bruta modificato

Nessuno dei miei suggerimenti sulla frequenza è completo e un po 'di sforzo può produrre una stringa molto casuale.

Personalmente uso spesso un generatore di password, quindi cambio un paio di elementi o rimuovi qualsiasi link al seme pseudo-casuale (un po 'paranoico in realtà).