Nel calcolatore della forza della password c'è un algoritmo per determinare il modello della tastiera? potrebbero esserci migliaia se non milioni di modelli che potrebbero essere generati con una tastiera qwerty standard. In che modo un calcolatore di forza della password trova la forza della password dal modello di tastiera?
Ci sono molti algoritmi e librerie per implementarlo. Ognuno ha i suoi punti di forza e di debolezza. zxcvbn è uno dei più comunemente referenziati. È ragionevolmente ben documentato e open source. I migliori usano una combinazione di algoritmi e dizionari di password comuni.
In generale, un buon dizionario per le password si occupa di questo genere di cose in un attacco dizionario .
Anche un semplice dizionario di cracking dovrebbe avere password comuni come 1qaz2wsx e "parole" come asdf e zxcv . Programmi di crack come John the Ripper fanno questo genere di cose. Il suo autore vende anche il suo elenco di parole per il crack delle password .
Anche un dizionario privo di una password come asdfghjkl; ma contenente parole come asdf e jkl vedrebbe un'entropia ridotta quando compongono asdf + gh + jkl + ; (l'entropia di parola + lettera + lettera + parola + speciale è di circa 48 bit, che può essere spezzato in poche ore se memorizzato come MD5, rispetto a un bit di 8 caratteri a 8 bit casuale della password stampabile. Ulteriori informazioni sulla calibro di entropia ). Più realisticamente, l'entropia di quella password di dieci caratteri è di gran lunga inferiore dato che devi supporre che un dizionario di cracking abbia asdfghjkl (l'entropia diventa ~ 20, crackabile in millisecondi) se non l'intera stringa.
Lo stesso vale per la maggior parte dei pattern di tastiera mentre il resto conterrà "parole" più piccole che verranno effettivamente riconosciute, riducendo sempre l'entropia verso qualcosa che si spezzerebbe in pochi secondi a un attaccante veterano.
Quanto segue è vero se i personaggi sono scelti in modo casuale.
La tastiera standard degli Stati Uniti Qwerty ha 96 caratteri univoci. Ciò significa che ogni personaggio scelto casualmente aggiunge circa 6,6 bit di entropia. Se hai una password di otto caratteri, l'entropia sarà 8 * 6.6 = 53 bit
Se si utilizzano solo caratteri alfanumerici (62 caratteri, nessun carattere speciale), ciascun carattere scelto a caso aggiunge 6 bit di entropia. In tal caso, la password di 8 caratteri avrebbe 8 * 6 = 48 bit di entropia. Questo è più che sufficiente per un account online in cui la forza bruta è rilevabile.
Per l'account offline 12 caratteri (72 bit) sarebbero sufficienti. Persino il governo degli Stati Uniti dovrà impegnarsi seriamente (milioni di dollari) nella forza bruta di 72 bit, soprattutto perché le password sono solitamente sottoposte a hash con qualcosa come bcrypt o PBKDF2, il che rende costose le forzature brute.
Ancora una volta, tutto questo è vero se i personaggi vengono scelti a caso (con software o carte mescolate o qualcosa del genere) Se gli umani stanno selezionando i personaggi, allora l'entropia sarebbe inferiore.
Leggi altre domande sui tag passwords password-policy