La password di quattordici caratteri è veramente debole?

3

Ho provato ad accedere a Samsung Cyber Service Center 1 . Dato che vengo dalla Polonia, all'inizio ho provato la versione polacca di quel servizio. Ho inserito una password, che ha:

  • 6 numeri in totale (in tre gruppi di due numeri ciascuno),
  • 6 caratteri minuscoli,
  • 3 caratteri maiuscoli,
  • 1 carattere speciale,

nell'ordine seguente: NNccccccNNCCC# .

Mi sono infranto con un messaggio di errore che dice che non posso continuare perché ... la mia password è troppo debole.

Per la verifica, sono andato alla versione inglese del modulo di iscrizione e dopo aver guardato per due minuti direttamente al messaggio di errore Password must be at least 8 characters , ho finalmente capito, cosa significano veramente. La password deve contenere almeno otto caratteri in una riga , in cui la mia password non riesce, perché ha solo sei e tre caratteri in una riga, (in ciascuno dei due gruppi di caratteri ).

Mi piacerebbe sapere, come devo trattare situazioni come questa? La mia password di esempio è troppo debole (e dovrei considerare di non usare più password come questa) o sono questi i primi segni di Samsung Paranoia TM (o qualche tipo di bug sul loro sito) e dovrei cambiare password solo questa volta, per far combaciare la loro follia.

1 Per vedere il modulo di accesso menzionato, devi andare Cyber Service Center , fai clic su - Registration e poi su Sign Up Now .

    
posta trejder 09.01.2015 - 11:10
fonte

2 risposte

6

È una password del formato

NNccccccNNCCC#

debole?

Bene, facciamo alcuni calcoli in due modi:

  • Supponiamo che sia generato in modo puramente casuale (non probabile se abbia uno schema) e presupponendo che ci siano 32 scelte per il simbolo finale (anche improbabile, la maggior parte delle password sceglie un sottogruppo molto più piccolo).

    • 10 ^ 2 * 26 ^ 6 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.7E18 ~ = 2 ^ 61
    • Se il sito esegue l'hashing con un singolo round di MD5 (non improbabile), una macchina moderna che esegue un attacco offline con oclHashcat sarà esaustiva cerca questo spazio totale in circa 7 mesi.
    • Un gruppo scoppiettante di 7 persone ciascuno con una di quelle macchine, in circa un mese.
    • Un avversario ben finanziato trascorrerà più tempo sulle scartoffie, anche se i documenti sono solo "push the button".
  • Supponiamo che sia puramente generato a caso tranne che per la stringa di 6 caratteri, che è una parola o stringa che appare in un dizionario cracking comune + un set di regole di 200.000 possibilità e assumendo che ci siano 32 scelte per il simbolo finale (anche improbabile; scegliere da un sottoinsieme molto più piccolo).
    • 10 ^ 2 * 200000 * 10 ^ 2 * 26 ^ 3 * 32 ~ = 1.1E15 ~ = 2 ^ 50
    • Se il sito esegue l'hashing con un singolo round di MD5 (non improbabile), una macchina moderna che esegue un attacco offline con oclHashcat sarà esaustiva cerca questo spazio totale in circa 0,004 mesi, ovvero meno di 3 ore.
    • Se il sito esegue l'hash con un singolo round di SHA-256, una macchina moderna che esegue un attacco offline con oclHashcat cercherà in modo esaustivo questo spazio totale in circa 0,035 mesi.
    • Se il sito esegue hash con un migliaio di round di SHA-1 senza overhead aggiuntivo (possibile, suppongo), una macchina moderna che esegue un attacco offline con oclHashcat cercherà in modo esaustivo questo spazio totale in circa 14 mesi.
      • A meno che non aggiornino le GPU durante quell'anno, nel qual caso si riduce ulteriormente.
      • Se aspetti, per esempio, 3 anni, in base alla Legge di Moore e al Corridoio di House, l'esauriente tempo di ricerca sarà di soli 3 mesi e mezzo.
      • Se aspetti, per esempio, 6 anni, quindi in base alla Legge di Moore e al Corridoio di House, l'esauriente tempo di ricerca sarà di circa tre settimane.

Quindi, quale quantità di tempo ha bisogno di un determinato livello di avversario per spendere su un attacco offline per considerare la tua password "non debole"? Solo tu puoi decidere che, ma ecco la matematica da aiutare.

  • Quella macchina con 8 GPU a gennaio 2015:
    • MD5 un round: 2.5E17 tentativi / 30 giorni (2 ^ 58)
    • SHA-1 round uno: 7.8E16 tentativi / 30 giorni (2 ^ 56)
    • SHA-256 un round: 3.2E16 tentativi / 30 giorni (2 ^ 55)
    • SHA-512 un round: 1.2E16 tentativi / 30 giorni (2 ^ 53)
    • WPA / WPA2: 3E12 tentativi / 30 giorni (2 ^ 41)
risposta data 10.01.2015 - 09:02
fonte
3

Il tuo modello di password sembra a posto per me. Personalmente preferisco passphrase ancora più complessi.

Non ero in grado di riprodurre il tuo errore.

Il tuo schema (NNccccccNNCCC #) contiene solo 14 caratteri, ma hai scritto che hai inserito 16.

La loro routine di test JS (vedi qui ) non ha problemi né con una password di 14 caratteri del tuo schema ( NNccccccNNCCC #) né di 16 caratteri con due numeri aggiunti alla fine (NNccccccNNCCC # NN).

Questa è una versione minima in esecuzione:

<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Script-Type" content="text/javascript" />
<meta http-equiv="Content-Style-Type" content="text/css" />
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script><scripttype="text/javascript">
$(document).ready(function(){
        var email = "[email protected]";
        var password = "12abcdefg34HIJ$56";

        if(password.length < 8){
            alert("PWD_VARIFY_MSG");
            return;
        }

        var chk_num = password.search(/[0-9]/g);
        var chk_eng = password.search(/[a-z]/ig);

        if(chk_num < 0 || chk_eng < 0){
            alert("PWD_VARIFY_NUM_ALPHA_MIX_CHECK");
            return false;
        }

        if(/(\w)/.test(password)){
            alert("PWD_VARIFY_SAME_CHAR_4TIMES_CHECK");
            return false;
        }

        if(password.search(email)>-1){
            alert("PWD_VARIFY_EMAIL_SAME_CHECK");
            return false;
        }
});
</script>
<body>

</body>
</html>

Quindi non hai bisogno di 8 caratteri di fila.

Forse il problema è il tuo personaggio speciale. Alcuni possono essere filtrati lato server per evitare l'iniezione SQL (...). Potrebbe anche darsi che la password sia troppo lunga e questo viene controllato solo dal lato server.

    
risposta data 09.01.2015 - 12:33
fonte

Leggi altre domande sui tag