Quanto è sicuro usare le targhe automobilistiche come password?

3

Le mie targhe automobilistiche tendono ad avere 3 o 4 cifre e 3 o 4 caratteri.

Se dovessi combinare due (o più?) tra di loro, inserire un segno più o uno o due caratteri simili e maiuscoli, quanto sarebbe sicuro?

Non preoccupiamoci di qualcuno che guarda oltre le mie spalle e mi riconosca che digito alcuni caratteri della mia attuale targa (userò lastre vecchie di 20 anni, che nessuno tranne me saprebbe).

Questo sarebbe facile per me da ricordare, ma non dovrebbe esserci alcuna corrispondenza del dizionario.

Wow! Per qualche ragione ci sono diversi generatori di targhe casuali là fuori!

Da questo , ho preso i primi 3, che erano

NUB 8256
EDD 8015
EVO 5499

Se ne prendo solo due e inserisco un segno più, ricevo

nUb8256+edD8015

che sembra ragionevolmente sicuro a me e link dice che ci vorrebbero 16 miliardi anni per crack.

Ovviamente, non posso essere sicuro della precisione di quel sito o dei progressi futuri nell'informatica, ma quanto è sicuro questo metodo?

    
posta Mawg 28.12.2017 - 13:54
fonte

4 risposte

5

È sufficientemente sicuro, purché si utilizzino targhe generate casualmente, non targhe che hanno importanza per te, ma crea un lavoro extra per te che è completamente inutile. La debolezza è che le password sono riutilizzo e archiviazione, non generazione.

Best practice:

  1. Supponi che il tuo avversario sappia come hai generato la tua password.

  2. Utilizza un gestore di password per evitare il riutilizzo delle password.

  3. Scegli una password con un tempo di forza bruta maggiore di due volte il suo periodo di ripristino.

Quindi guardali in ordine -

  1. Ti troverai di fronte agli avversari che cercano di usare la forza bruta 1000 * 10000 * 1000 * 10000 combinazioni. Sono 100 trilioni di combinazioni. Una GPU moderata con Hashcat può passare miliardi di hash al secondo, per algoritmi hash più veloci. Se un avversario conosce il tuo algoritmo, sarà rotto in una frazione di secondo. Posso discutere sul motivo per cui dovresti dare per scontato che un hacker conosca il tuo algoritmo, ma si riduce a "Non sai che NON CONOSCONO il tuo algoritmo". Tieni presente che esiste una grande differenza tra "una password generata casualmente che assomiglia a un numero di targa" e "una password generata da una raccolta casuale delle tue licenze precedenti"

  2. Se si riutilizza una password, ci si fida che ciascun fornitore non acquisisca la password in testo normale e la utilizzi per compromettere gli altri account. Confiderai anche che non verranno mai violati. Ti stai fidando che se vengono violati, noteranno. Ti stai fidando che se lo noteranno, te lo diranno. Ti stai fidando del fatto che ricorderai tutti i luoghi in cui hai riutilizzato quella password e li hai modificati tutti. Questa è una grande fiducia - forse non ti importa di alcuni siti web (io personalmente riutilizzo una password debole ma memorabile per account che non mi interessano veramente - forum Subaru, nexusmods, ecc.) Ma per banche, e-mail e altri servizi, sicuramente non vuoi che qualcosa venga compromesso a causa di malizia o negligenza. Quindi, userete password diverse per servizio.

  3. Ora dovrai verificare che la tua password sia abbastanza strong da durare il doppio del periodo di reimpostazione della password - Se non resetti mai una password, supponi che vivrai fino a 100 e vai per più di 2 secoli. Il tuo schema password passa questo a condizione che le "targhe" che scegli siano generate casualmente. Se non lo sono ... non dureranno a lungo se qualcuno vuole entrare nel tuo account.

Quindi, ora abbiamo password lunghe e sicure che non sono condivise tra i siti. Se sei come me, hai almeno 10 diversi account online importanti che potrebbero causare un profondo dolore finanziario, o almeno un investimento di grandi dimensioni, se compromesso. So che non riesco a mantenere 10 password nella mia testa - finirò solo ricordando la mia password di posta elettronica, e quindi reimpostando la mia password ogni volta che vado ad accedere ad altri servizi. Non molto comodo, eh?

Quindi, come tutti gli esperti di sicurezza, useremo un gestore di password. Sono parziale con KeePass. Quindi, ho messo tutte le mie password generate in modo intelligente in KeePass, giusto? E quando creo un nuovo account, genero una nuova password usando il tuo generatore di targhe online, o faccio ancora più fatica a scavare nel mio elenco di targhe di proprietà precedente e faccio una password a mano. Ora sono tutto pronto. MA ASPETTA, CHE COSA È? KeePass ha un generatore di password! Posso semplicemente fare clic su questo piccolo pulsante e ottenere una password che so per essere sicuro automaticamente! Perché non lo faccio?!

** Quindi - Mentre la password è protetta da sola, è necessario utilizzare un gestore di password per evitare di riutilizzare le password. Poiché utilizzi un gestore di password, utilizza semplicemente il generatore di password integrato. È più semplice.

Ora, per la password per proteggere il tuo database KeePass, usa lo schema di generazione della password, se lo desideri. **

    
risposta data 28.12.2017 - 19:44
fonte
8

Strumenti come quelli menzionati sopra controllano solo alcuni casi come le parole del dizionario, l'inclusione di caratteri maiuscoli, minuscoli, simboli non alfanumerici e così via. Ma probabilmente non riescono a trovare il modello.

Nel tuo caso, hai uno schema, che, se esce in pubblico (che ha, a proposito), può essere usato per decifrare la password. Il fatto che il simbolo più sia sempre in mezzo e che le parti sinistra e destra siano composte da targhe rende molto più facile craccare.

how secure is this method?

Non lo è. Probabilmente dovresti passare a un gestore di password, che idealmente genererebbe una password che è veramente difficile da decifrare, se non impossibile.

Sembra che tu stia ignorando ciò che è noto come shoulder surfing , dove come non dovrebbe essere. Esperti "spalla surf" creerebbero sicuramente il modello della tua password.

    
risposta data 28.12.2017 - 14:02
fonte
2

Ecco come la guardo. Farei queste ipotesi molto pessimistiche:

  1. Non hai a che fare con un attaccante opportunista che sta tentando di crackare la password di nessuno , ma un attaccante bersaglio che sta tentando di crack tuo in particolare .
  2. L'autore dell'attacco ha letto la tua domanda qui e ha capito che tu, il loro obiettivo, sei quello che l'ha chiesto.
  3. L'autore dell'attacco è molto intraprendente e può accedere ai record DMV che mostrano tutte le auto che tu, la tua famiglia e i soci.
  4. Il numero di auto che hai mai registrato è molto piccolo, a dozzine. Usiamo un numero tondo e diciamo 64 auto (6 bit).

Quindi l'attaccante deve solo considerare 2 ^ 12 combinazioni distinte. Trivial.

Questo scenario è quasi certamente esagerato, ma ecco il punto: una corretta strategia di generazione di password farebbe molto, molto meglio in queste circostanze. Come hanno detto altre risposte, usa un gestore di password e lascia che scelga le password casuali per te.

    
risposta data 28.12.2017 - 20:18
fonte
0

Hai una password XYZ e pensi di sostituirla con XYZ. La targa potrebbe avere un significato personale per te, come la tua prima auto, l'auto che ti ha quasi ucciso in un incidente.

Rende la tua password più sicura. Se c'è un aggressore generico e l'attaccante non prova le targhe, l'aggiunta di sette caratteri lo rende molto più difficile da decifrare. Se qualcuno include un attacco dizionario cercando di dire tutte le possibili targhe del Regno Unito, questo aggiunge ancora 27 bit alla sicurezza. Solo se c'è un attacco mirato contro di te, questo aggiungerà uno sforzo significativo per l'attaccante per capire quali targhe potresti usare, aggiungendo non troppi bit di entropia (ma ancora alcuni).

Finché aggiungi la targa alla tua password, la password diventerà più strong.

    
risposta data 27.04.2018 - 22:47
fonte

Leggi altre domande sui tag