La password di quattordici caratteri è veramente debole?

È una password del formato

NNccccccNNCCC#

debole?

Bene, facciamo alcuni calcoli in due modi:

• Supponiamo che sia generato in modo puramente casuale (non probabile se abbia uno schema) e presupponendo che ci siano 32 scelte per il simbolo finale (anche improbabile, la maggior parte delle password sceglie un sottogruppo molto più piccolo).

  • 10 ^ 2 * 26 ^ 6 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.7E18 ~ = 2 ^ 61
  • Se il sito esegue l'hashing con un singolo round di MD5 (non improbabile), una macchina moderna che esegue un attacco offline con oclHashcat sarà esaustiva cerca questo spazio totale in circa 7 mesi.
  • Un gruppo scoppiettante di 7 persone ciascuno con una di quelle macchine, in circa un mese.
  • Un avversario ben finanziato trascorrerà più tempo sulle scartoffie, anche se i documenti sono solo "push the button".
• Supponiamo che sia puramente generato a caso tranne che per la stringa di 6 caratteri, che è una parola o stringa che appare in un dizionario cracking comune + un set di regole di 200.000 possibilità e assumendo che ci siano 32 scelte per il simbolo finale (anche improbabile; scegliere da un sottoinsieme molto più piccolo).
  • 10 ^ 2 * 200000 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.1E15 ~ = 2 ^ 50
  • Se il sito esegue l'hashing con un singolo round di MD5 (non improbabile), una macchina moderna che esegue un attacco offline con oclHashcat sarà esaustiva cerca questo spazio totale in circa 0,004 mesi, ovvero meno di 3 ore.
  • Se il sito esegue l'hash con un singolo round di SHA-256, una macchina moderna che esegue un attacco offline con oclHashcat cercherà in modo esaustivo questo spazio totale in circa 0,035 mesi.
  • Se il sito esegue hash con un migliaio di round di SHA-1 senza overhead aggiuntivo (possibile, suppongo), una macchina moderna che esegue un attacco offline con oclHashcat cercherà in modo esaustivo questo spazio totale in circa 14 mesi.
    • A meno che non aggiornino le GPU durante quell'anno, nel qual caso si riduce ulteriormente.
    • Se aspetti, per esempio, 3 anni, in base alla Legge di Moore e al Corridoio di House, l'esauriente tempo di ricerca sarà di soli 3 mesi e mezzo.
    • Se aspetti, per esempio, 6 anni, quindi in base alla Legge di Moore e al Corridoio di House, l'esauriente tempo di ricerca sarà di circa tre settimane.

Quindi, quale quantità di tempo ha bisogno di un determinato livello di avversario per spendere su un attacco offline per considerare la tua password "non debole"? Solo tu puoi decidere che, ma ecco la matematica da aiutare.

• Quella macchina con 8 GPU a gennaio 2015:
  • MD5 un round: 2.5E17 tentativi / 30 giorni (2 ^ 58)
  • SHA-1 round uno: 7.8E16 tentativi / 30 giorni (2 ^ 56)
  • SHA-256 un round: 3.2E16 tentativi / 30 giorni (2 ^ 55)
  • SHA-512 un round: 1.2E16 tentativi / 30 giorni (2 ^ 53)
  • WPA / WPA2: 3E12 tentativi / 30 giorni (2 ^ 41)

Il tuo modello di password sembra a posto per me. Personalmente preferisco passphrase ancora più complessi.

Non ero in grado di riprodurre il tuo errore.

Il tuo schema (NNccccccNNCCC #) contiene solo 14 caratteri, ma hai scritto che hai inserito 16.

La loro routine di test JS (vedi qui ) non ha problemi né con una password di 14 caratteri del tuo schema ( NNccccccNNCCC #) né di 16 caratteri con due numeri aggiunti alla fine (NNccccccNNCCC # NN).

Questa è una versione minima in esecuzione:

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Script-Type" content="text/javascript" />
<meta http-equiv="Content-Style-Type" content="text/css" />
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script><scripttype="text/javascript">
$(document).ready(function(){
        var email = "[email protected]";
        var password = "12abcdefg34HIJ$56";

        if(password.length < 8){
            alert("PWD_VARIFY_MSG");
            return;
        }

        var chk_num = password.search(/[0-9]/g);
        var chk_eng = password.search(/[a-z]/ig);

        if(chk_num < 0 || chk_eng < 0){
            alert("PWD_VARIFY_NUM_ALPHA_MIX_CHECK");
            return false;
        }

        if(/(\w)/.test(password)){
            alert("PWD_VARIFY_SAME_CHAR_4TIMES_CHECK");
            return false;
        }

        if(password.search(email)>-1){
            alert("PWD_VARIFY_EMAIL_SAME_CHECK");
            return false;
        }
});
</script>
<body>

</body>
</html>

Quindi non hai bisogno di 8 caratteri di fila.

Forse il problema è il tuo personaggio speciale. Alcuni possono essere filtrati lato server per evitare l'iniezione SQL (...). Potrebbe anche darsi che la password sia troppo lunga e questo viene controllato solo dal lato server.