Perché non utilizzare un URL come password?

Che questa sia una buona o una cattiva idea dipende dal tipo di password che questa password URL sostituisce.

Un URL è solitamente una stringa abbastanza lunga; la stringa di esempio è lunga 46 caratteri. Questo rende un semplice attacco a forza bruta (ad esempio prova ogni singola combinazione di lettere, cifre e caratteri speciali) non fattibile e un url come quello sopra è quindi una password molto migliore di una che consiste in una sola stringa di 6 lettere completamente casuali, cifre e caratteri speciali.

L'URL sopra riportato è anche una password migliore di quelli generalmente pubblicati nelle "dieci milioni di password più comuni" ecc. L'URL di esempio contiene almeno 4 parole: w3schools, sql, injection e asp. Essendo le parole del dizionario non è davvero un problema. Se ciascuna di queste parole è stata scelta casualmente da un gruppo di, ad esempio, 10000 parole possibili (questo è un limite inferiore, ci sono più di 10000 domini disponibili e molte più di 10000 parole - questo include l'URL di questa domanda, che include l'ID '143283' - quindi c'è un milione di possibilità proprio lì), avresti una password equivalente a circa 53 bit casuali. Ciò non include alcun carattere speciale (ad esempio, dove sono presenti le barre e i caratteri di sottolineatura, che aggiungerebbero alcuni bit aggiuntivi). 53 bit non è sicuro dalla forzatura bruta, ma è molto meglio della maggior parte delle password che gli utenti selezionano (123456, password, loveyou, Maria, EatMyBackside e così via). Quindi potresti essere al sicuro semplicemente perché altre password potrebbero essere incrinate prima della tua (non devi correre più veloce di un leone per fuggire da lui - devi solo correre più veloce dei tuoi coetanei ...)

Ora ai problemi : il primo è che un URL è, contrariamente a quello che dici, una specie di informazione personale. Per poter utilizzare l'URL, devi sapere che esiste, ad es. devi averlo visitato almeno una volta. Si tratta di informazioni che potrebbero essere estratte da fonti diverse da te; ad esempio, se la cronologia del tuo browser è stata acquisita, è probabile che l'URL della tua password ne faccia parte. Qualcuno potrebbe anche arrivare all'URL (o almeno a parte di esso) intercettando la tua navigazione sul web e controllando quali siti visiti. Sarebbe quindi un lavoro semplice avere uno spider che esegue la scansione di tutti gli url validi su questi siti e inserirli in un indovino di password.

Il secondo è che mentre lo spazio di tutti gli URL è abbastanza grande, non è così grande come si potrebbe pensare. Inoltre, non tutti i domini hanno la stessa probabilità di essere la fonte dell'URL della password; per esempio, è una scommessa abbastanza sicura che conosci reddit e craigslist e stackexchange, ma che non hai mai visitato il sito web dell'università di Vienna. Quindi, anche se non riesco ad accedere alla cronologia del browser, e anche se non riesco a controllare ogni singolo URL là fuori, posso ancora selezionare i probabili nomi di dominio (ad esempio, i 50000 domini più visitati) e scansionarli, aumentando così il mio possibilità che troverò la tua password.

Il terzo è che la matematica che ho fatto per arrivare alla dimensione della password di 53 bit presuppone che le parole trovate in un URL siano non correlate e selezionate casualmente . Come puoi vedere con il tuo URL di esempio, le parole w3schools, sql, injection e asp non sono affatto correlate; appartengono tutti a un gruppo di parole che hanno a che fare con il web. Molti URL sfoggiano parole simili tratte da un cluster di parole, riducendo così ulteriormente il numero di combinazioni che devo provare.

Quindi, no, un URL non è un buon sostituto per una password sicura (ad esempio una molto lunga con un strong elemento casuale). Ma ancora, è molto meglio della tua parola base di sei lettere.