Per una password, è meglio avere un numero nel mezzo rispetto all'inizio o alla fine?

Naviga le tue risposte
4

Scusa se è stato chiesto prima, ma non sono riuscito a trovare una risposta ai miei dubbi.

Durante il tentativo di decidere una nuova password per un determinato sito web mi sono imbattuto in un sito web di controllo della sicurezza delle password che (in qualche modo) afferma che un numero nelle posizioni intermedie di una password è migliore di averlo all'inizio o alla fine.

Per curiosità ho controllato altri siti Web dedicati al controllo della sicurezza della password come questo e questo , ma nessuno di loro sembra vedere una differenza tra, ad esempio 4abcD e abc4D , come fa il primo.

Anche se non credo che tali siti possano essere considerati scientificamente accurati, mi chiedo se c'è qualcosa di vero nel "claim" che avere un numero medio rende una password più strong di avere il numero nella prima o nell'ultima posizione . Aumenta davvero l'entropia della password?

    
posta Guillem Vicens 10.09.2016 - 00:17
fonte

1 risposta

6

Se lo metti nel mezzo di una parola o sequenza, dove altrimenti sarebbe stato alla fine, come abc4D rispetto a 4abcD , hai aumentato l'entropia della password perché ci sono meno sequenze o parole che potrebbero essere suscettibili a un attacco di dizionario. Tuttavia, non si può dire per correct4horse rispetto a correcthorse4 , tuttavia il primo è ancora considerato sicuro. Per quel particolare scanner, la ragione per cui il mettere il numero nel mezzo è considerato più sicuro è perché deduce i segni in base al numero di lettere consecutive, quindi mettere un numero nel mezzo riduce il numero massimo di lettere consecutive. Tuttavia, anche se c'è un merito in questo, avere il numero nel mezzo ha un altro grande vantaggio: la maggior parte delle persone mette i numeri alla fine della loro password, quindi quando qualcuno prova a craccare una password, è più probabile che provi diversi numeri in la fine di loro sono nel mezzo.

Nessun calcolatore di forza della password fornirà mai un valore reale per quanto è strong la tua password, perché ci sono così tante variabili coinvolte (cose come nomi e date si verificano comunemente nelle password, che non possono essere confrontati con uno scanner casuale ), quindi non credere che p@ssw0rd sia una buona password solo perché è considerato due volte più sicuro di correcthorsebatterystaple . Il correttore di verifica della password che hai collegato è valido perché spiega quali funzioni sta cercando, ma manca un controllo del dizionario, che ne limita notevolmente la precisione.

    
risposta data 10.09.2016 - 00:34
fonte

Leggi altre domande sui tag

Perché un attacco ret2libc deve seguire l'ordine "system (), exit (), comando? La polizia può rintracciare il mio telefono anche se rimuovo la scheda SIM?