Uso LastPass in modo completo e per ogni nuovo sito / password quasi sempre ho generato una password casuale con lo stesso numero di caratteri, che consente lettere, numeri e simboli (tranne quando viene impedito da moduli di password che non consentono quella lunghezza o determinati simboli). Oggi mi è venuto in mente che l'utilizzo della stessa lunghezza della password ovunque potrebbe essere un problema.
Supponiamo che un agente malintenzionato sia proprietario di un sito in cui mi sono registrato e che abbia mantenuto la password originale. Solo vedere la password renderebbe ovvio che probabilmente sto usando uno casuale. Ma se quel sito desiderava maliziosamente indirizzare altri account che potrei possedere, e immagina che in genere io abbia usato password della stessa lunghezza, potrebbe avere una gamba su brute-forzando la mia password su altri siti. Pertanto, il mio utilizzo di una varietà di lunghezze produrrà una sicurezza notevolmente maggiore rispetto all'utilizzo di una sola lunghezza?
È conveniente non modificare il numero di caratteri generati da LastPass. E la maggior parte dei siti ha un limite al numero di personaggi che è inferiore a quello che vorrei. Inoltre, non voglio aggiungere solo più caratteri senza motivo, perché occasionalmente devo digitare una di queste password sul mio cellulare. L'altro giorno in cui un sito diceva che il limite di lunghezza della password era 60, incuriosito, ho creato una password casuale di 60 caratteri, ma in seguito, ho dovuto digitare questa password sul mio telefono e mentre l'ho fatto correttamente al primo tentativo, è stato un processo lungo e doloroso.
Mi sembra che aggiungere un certo numero di caratteri alla mia lunghezza tipica probabilmente fornirà tutta l'entropia extra necessaria per rimuovere qualsiasi debolezza da un utente malintenzionato sapendo che uso la stessa lunghezza ovunque. Ma sarei interessato per alcune persone competenti a commentare questo.
Quante cifre extra ho bisogno di usare in modo che le mie password siano sicure come usare un numero variabile di caratteri? Per esempio, se usassi sempre 15 caratteri, quanti altri caratteri dovrei aggiungere per avere la stessa entropia come se usassi normalmente in modo casuale 10-15 caratteri? Tuttavia, la sicurezza di 10 personaggi sembra troppo bassa, e usare sempre 15 sembra più sicuro. Quindi sono in conflitto.
Qual è un modo ragionevole per vedere questo? Dovrei:
- Utilizza lunghezze diverse in siti diversi
- Aumenta i miei personaggi (non uso 15, ma un altro numero)
- O semplicemente non ti preoccupare se la mia lunghezza è sufficiente (e quale lunghezza diresti è sufficiente per essere teoricamente noncrissibile * per i prossimi 20 anni)?
Per quello che vale il set completo di caratteri usati da LastPass è di 70 caratteri: A-Za-z0-9!#^&$@*%
.
Re: noncrackable : mi rendo conto che la crackabilità di un sito non dipende solo dalla password stessa, ma anche dalle pratiche di sicurezza del sito come i mezzi di archiviazione, se mantiene la password originale o un hash, il particolare algoritmo hash e il numero di bit, se l'attaccante ha ottenuto l'accesso all'hash, se l'hash è salato e l'hacker conosce il sale, se il sito limita o blocca gli account dopo aver sperimentato un comportamento di attacco apparentemente ostile e così via e così via compresi la vigilanza e la conoscenza dei propri dipendenti per resistere all'ingegneria sociale e tutto il resto del jazz. Questa domanda, invece, riguarda semplicemente lo scenario in cui l'unico vettore di attacco è quello di provare ogni possibile password e vedere se il sito lo accetta.