Come viene determinata una "password comunemente usata"?

3

Quando provo a creare una macchina virtuale su Azure, e uso la password P@ssw0rd , ricevo un messaggio di errore che dice The password you provided is too common .

Ora, dal mio punto di vista di base, un provider non dovrebbe essere in grado di determinare la password più comune poiché gli hash saranno diversi anche se la password è la stessa a causa della salatura.

Quindi, come viene implementato un tale sistema? Suppongo che Azure non stia memorizzando le password in chiaro?

    
posta Akash 08.03.2014 - 17:16
fonte

3 risposte

6

Un'opzione è usare un elenco di password deboli ben note. Queste liste sono disponibili da molte violazioni del passato in internet. Ad esempio, la lista RockYou contiene le password di oltre 32 milioni di account. Un metodo sarebbe quello di confrontare la tua password con (diciamo) 1000 password più comuni. Se esiste una password che è simile alla tua password, allora la tua password è considerata debole. La similarità può essere calcolata con la modifica distanza (ad es. Distanza Levinshtein) che è il numero minimo di inserzioni / cancellazioni / sostituzioni da trasformare una stringa (cioè in questo caso la password) nell'altra.

Un'altra soluzione consiste nell'utilizzare un approccio descritto nel documento "Misuratori adattivi per la sicurezza delle password da modelli Markov" ( link ). Qui vengono salvati e contati solo n-grammi di tutte le password per creare Modelli Markov dalle password. Questi modelli Markov sono usati per calcolare la forza delle password. Il vantaggio di questo approccio è che il modello Markov si adatta alla distribuzione della password del sito specifico. Ad esempio, gli utenti di RockYou tendono spesso a utilizzare password che contengono in qualche modo la stringa "rockyou". Pertanto, per RockYou questa password simile a questa dovrebbe essere considerata debole. Per altri siti web ci sono altre password deboli specifiche del sito.

    
risposta data 08.03.2014 - 21:09
fonte
3

Non stanno dicendo che è troppo comune in Azure, che renderebbe la loro sicurezza discutibile.

Dicono solo che è troppo comune. Su Internet è possibile trovare elenchi di password spesso utilizzate (forse trapelate da siti Web non sicuri in passato) e probabilmente utilizzano uno di questi elenchi.

    
risposta data 08.03.2014 - 20:43
fonte
1

Eseguono semplicemente la password in chiaro tramite un db o un algoritmo di ricerca delle password comuni prima di eseguire l'hashing e il salvataggio.

    
risposta data 10.03.2014 - 19:24
fonte

Leggi altre domande sui tag