My point is that it would limit it regardless. So what's the benefit? Is there a gain elsewhere, perhaps in the password cracking methodology?
Sì. Anche se è vero che la regola limita l'entropia complessiva, penso che la vera domanda che dovresti porre sia quanto siano realmente comuni le password con tre caratteri identici in una riga.
Ecco un esperimento che potresti fare: ottenere un elenco di password comuni (diecimila probabilmente, ad esempio). Contare il numero di password che contengono tre caratteri identici in una sequenza.
Quindi calcola la frequenza con cui una tale sequenza dovrebbe verificarsi se è stata distribuita casualmente. Se ci sono più password con tale sequenza che le statistiche suggeriscono che dovrebbe esserlo, allora le persone tendono a preferire tali password, il che significa che è sensato proibire tali modelli, perché gli indovini delle password capitalizzerebbero su questa conoscenza e provare prima le password con queste ripetizioni , che ridurrebbe notevolmente lo spazio di ricerca.
Non ho fatto i calcoli, ma ho la sensazione molto strong che la riduzione dell'entropia della password sia il problema minore IFF il modello di carattere identico è in realtà comune nelle password.
If someone can calculate that for me and show me the steps, that would be greatly appreciated.
Sono troppo arrugginito per avere una risposta dal punto di vista matematico, ma quando ero ancora a scuola abbiamo calcolato le probabilità di estrarre un certo numero di palline nere da un sacco contenente palline bianche e nere, rimettendo le sfere. Penso che probabilmente sarebbe il modo di fare i calcoli correttamente, e penso che dal momento che è una probabilità da manuale, potresti essere fortunato a cercare su Google questo tipo di problema.
Per una rapida sensazione per il numero di possibilità che rimuoveresti con la regola dei non identici personaggi nella fila, pensa a quante probabilità avrebbe di ottenere lo stesso numero di occhi con un dado tre volte di seguito (il primo non ha importanza, ma i seguenti due tiri hanno una probabilità di 1/6, quindi 1/36). Se fai lo stesso con una password e supponendo che abbia 64 caratteri univoci tra cui scegliere, ti ritroverai con una probabilità del 98,98% NON di ottenere una sequenza di 3 caratteri identica (1- (1/64) ^ 2 ). Tuttavia, questo non è ancora corretto perché la tua password non ha solo 3 caratteri, è di 10 caratteri, quindi dovresti tenerne conto. Probabilmente devi moltiplicare la possibilità di colpire una sequenza di tre duplicati (1/64 * 1/64) per 8 perché ci sono 8 possibili posizioni in cui la sequenza può essere trovata (che lascerebbe comunque il 99,8% dell'entropia originale)
Modifica: sostituisce la matematica di uso discutibile con più suoni matematici.