L'uso di caratteri specifici per la lingua rende la password più strong

L'utilizzo di caratteri specifici per la lingua rende la password più strong, ma non esattamente per la ragione indicata. Se contate sull'attaccante che non include i caratteri specifici della lingua nel loro dizionario, la vostra password sarà al sicuro finché non sapranno che state usando un alfabeto non inglese. E secondo il principio di Kerckhoffs , dovresti presumere che lo sappiano già.

Tuttavia, se si usano i caratteri specifici insieme al carattere nell'alfabeto inglese, la password diventerà più semplice perché ogni carattere della password avrà più entropia. Diciamo che stiamo usando una password generata casualmente e minuscola (in pratica dovresti mischiare sia minuscole, maiuscole e caratteri speciali, ma la base è sempre la stessa). Prendi il tuo alfabeto polacco per esempio, se unisci alfabeto polacco e inglese, avrai 35 caratteri distinti, mentre l'alfabeto inglese ne ha solo 26. Ciò significa che ogni carattere nella nostra password polacco + inglese avrà circa 5.13 (log2 (35)) bit di entropia, mentre un carattere nella password inglese avrà solo circa 4,7 (log2 (26)) bit di entropia.

Ora diciamo che la nostra password è lunga 15 caratteri, nel primo caso abbiamo 15 x 5.13 = 76.95 bit di entropia, mentre nel secondo caso abbiamo solo 15 * 4.7 = 70.5 bit di entropia. Se continui a mescolare sempre più alfabeti diversi, ogni carattere nella tua password avrà sempre più entropia e la tua password diventerà più strong con la stessa lunghezza. Tuttavia si corre il rischio di non essere in grado di accedere da altri dispositivi perché non hanno la tastiera della tua lingua installata, è qualcosa che dovresti tenere a mente.

Non in modo affidabile. In teoria un set di caratteri più grande aumenta lo spazio di ricerca per l'attaccante, ma questo ti aiuta in modo affidabile solo se scegli le password a caso (letteralmente a caso, per esempio lanciando i dadi ), che sospetto non sia quello che hai in mente.

Ma in pratica, ci sono diversi problemi. Prima di tutto, ci sono troppi programmatori là fuori che sono incompetenti e sdegnosi quando si tratta di codifiche di caratteri e scrivono regolarmente software che non li gestisce in modo coerente. Quindi rischi tutti i tipi di problemi:

1. Un sito web può fare qualcosa di divertente per i caratteri diacritici delle tue password, come sostituirli con ? o semplicemente cancellarli. Questo è terribile , perché la tua password in quel caso non ha la forza che ti aspettavi e non saresti nemmeno in grado di dire .
2. Supponiamo quindi che tale sito Web aggiorni il loro software per correggere il bug. Ooops, ora non riconosce più la tua password!
3. Oppure gli sviluppatori, senza pensarci troppo, potrebbero decidere di implementare un controllo "password consentita" front-end che impedisce i caratteri non ASCII.

In secondo luogo, il modo in cui ti stai avvicinando alla domanda può essere riassunto in questo:

• "Posso superare in astuzia i password cracker se utilizzo questo trucco intelligente?"

Trascorreranno molto più tempo a studiare come superare in astuzia gli utenti rispetto a quanto spenderete studiando come superarli. Leggeranno solo tutto ciò che possono trovare su Internet su come le persone scelgono le loro password (compresa questa domanda!) E imparano da esso per migliorare i loro attacchi con password. Ricorda che non tentano solo di decifrare la tua password indovinandola individualmente: programmano computer davvero potenti per testare milioni di password al secondo e utilizzarle per indovinare migliaia di password degli utenti alla volta.

Quindi non lo so, ma sicuramente non scommetterei su di te.

L'unico modo affidabile per sconfiggere i password cracker è selezionare le password a caso da un set molto grande. La pagina Electronic Frontier Foundation sulla creazione di password complesse ha buoni consigli. Il più importante è utilizzare un programma di gestione password per generare e memorizzare una password casuale unica per ciascun sito . Questo è tutto.