Come viene determinata una "password comunemente usata"?

Un'opzione è usare un elenco di password deboli ben note. Queste liste sono disponibili da molte violazioni del passato in internet. Ad esempio, la lista RockYou contiene le password di oltre 32 milioni di account. Un metodo sarebbe quello di confrontare la tua password con (diciamo) 1000 password più comuni. Se esiste una password che è simile alla tua password, allora la tua password è considerata debole. La similarità può essere calcolata con la modifica distanza (ad es. Distanza Levinshtein) che è il numero minimo di inserzioni / cancellazioni / sostituzioni da trasformare una stringa (cioè in questo caso la password) nell'altra.

Un'altra soluzione consiste nell'utilizzare un approccio descritto nel documento "Misuratori adattivi per la sicurezza delle password da modelli Markov" ( link ). Qui vengono salvati e contati solo n-grammi di tutte le password per creare Modelli Markov dalle password. Questi modelli Markov sono usati per calcolare la forza delle password. Il vantaggio di questo approccio è che il modello Markov si adatta alla distribuzione della password del sito specifico. Ad esempio, gli utenti di RockYou tendono spesso a utilizzare password che contengono in qualche modo la stringa "rockyou". Pertanto, per RockYou questa password simile a questa dovrebbe essere considerata debole. Per altri siti web ci sono altre password deboli specifiche del sito.

Non stanno dicendo che è troppo comune in Azure, che renderebbe la loro sicurezza discutibile.

Dicono solo che è troppo comune. Su Internet è possibile trovare elenchi di password spesso utilizzate (forse trapelate da siti Web non sicuri in passato) e probabilmente utilizzano uno di questi elenchi.

Eseguono semplicemente la password in chiaro tramite un db o un algoritmo di ricerca delle password comuni prima di eseguire l'hashing e il salvataggio.