Sicurezza della password con password brevi

Con otto caratteri sei estremamente limitato.

Il mio consiglio: dimentica la parte relativa alla memorizzazione.

Genera una stringa di otto caratteri usando un generatore di numeri pseudo casuali crittograficamente sicuro, usando lettere (entrambi i casi), numeri e simboli. Questo darà alla tua password 52 bit di entropia, che è il massimo che puoi ottenere usando questo schema. L'alternativa sarebbe iniziare a usare caratteri unicode se questi sono supportati, poiché è possibile ottenere uno spazio-chiave molto più grande. Tuttavia, l'inserimento di queste password potrebbe essere difficile a seconda dei dispositivi utilizzati. Ciò consentirebbe di raggiungere gli 80 bit necessari per una password sicura.

Utilizza un gestore di password per ricordare la password per te - questa può essere una password memorabile, tuttavia assicurati che ci sia abbastanza entropia per renderla sicura. Questo è il modo migliore per ottenere memorabilità e sicurezza delle tue password, perché devi solo ricordare una password.

Ad esempio, il generatore LastPass è qui . Tuttavia, assicurati che il tuo browser supporti l'API di crittografia Web, altrimenti purtroppo questo ricade sull'ora corrente come seme e utilizza un PRNG standard . Dovresti essere a posto con qualsiasi browser moderno e popolare.

Onestamente "sicurezza della password con password brevi" è un ossimoro.

Nel complesso, se si tratta di un sito / servizio che devi semplicemente utilizzare, dovrei semplicemente rendere la password casualmente ragionevolmente possibile, possibilmente fare affidamento su un'app di gestione password per utilizzare una password casuale che non ricordi facilmente e la cosa più importante rende la password diversa da qualsiasi altra password che utilizzi da qualsiasi altra parte.

Fino a quando le sessioni sono protetti con HTTPS, impedendo un man-in-the-middle di intercettare la password quando lo si utilizza, probabilmente siete ragionevolmente al sicuro da un attacco di forza bruta contro la password agaisnt il sito web su Internet. Soprattutto se il sito rileva più tentativi di accesso falliti in un breve periodo di tempo e impedisce (rallenta) o blocca ulteriori tentativi dallo stesso indirizzo IP.

Ma se il database delle credenziali in quel sito viene mai rubato, nessuna password di 8 caratteri verrà trattenuta a lungo contro un attacco di forza bruta.

Quando un'applicazione web limita le password a brevi intervalli, l'utente ha quasi nulla nel suo controllo. Il problema principale delle password brevi è quello che già conosci: la supposizione della password e il cracking della password.

Ma non si sa mai: potrebbe essere il sito Web che sta eseguendo l'hashing della password ( Come fare in modo sicuro hash password? ), salandolo ( Come conservare il sale? ) , utilizzando un peperone ( Qual è lo scopo di un peperone? ) o anche una combinazione di tutto questo ( Password Hashing aggiungi sale + pepe o sale abbastanza? ).

Ciò che ti rimane come utente è:

1. Verifica se l'applicazione web è in esecuzione su HTTPS
2. Verifica se l'applicazione web non memorizza la tua password in testo semplice (tutte le applicazioni web offrono l'opzione Password dimenticata: eseguila e controlla se ricevi la tua password precedente in testo normale, se è così puoi quasi essere sicuro che memorizzano la password in testo semplice, a meno che non venga utilizzata la decrittografia inversa, ma questo scenario è piuttosto raro nelle applicazioni web)
3. Se i due punti sopra indicati sono soddisfatti e il sito web in questione ti piace ancora, e non pubblichi al suo interno informazioni personali su di te, combina caratteri speciali, alfanumerici e caratteri minuscoli e maiuscoli alla tua password