È bello non avere sequenze basate su tastiera nel nostro generatore di password?

Naviga le tue risposte
3

Se dobbiamo scrivere un generatore di password, è una buona idea contenere un correttore "sequenza basata su tastiera"? Quindi se la password generata è: 

asdf4%'Q!76342

Quindi questa password verrà rifiutata dal generatore e ne genera un'altra, a causa dell'asdf.

Domanda: è una buona idea rimuovere le password che contengono "sequenze basate su tastiera"? O produrrà solo password che possono essere statisticamente danneggiate, dal momento che sappiamo che le password non avranno "asdf" in esse? Quale soluzione è migliore?

    
posta freaking-good-question 09.02.2015 - 18:58
fonte

3 risposte

4

Direi di sì. @Philipp fa alcuni buoni punti, ma quante password verrebbero effettivamente eliminate se rimuovete sequenze basate su parole chiave? Probabilmente non abbastanza da fare davvero la differenza (a seconda di come effettivamente filtrate, ovviamente).

La probabilità che una tale password venga generata è (probabilmente) incredibilmente bassa (quindi un'altra domanda è se vale davvero la pena di implementare un tale filtro), ma se effettivamente dovesse accadere, sarebbe piuttosto brutto, perché allora quella password generata è facile da indovinare, che è esattamente quello che vuoi evitare con le password generate.

Quando si filtra, la lunghezza della sequenza basata su tastiera che si filtra dovrebbe essere in una ragionevole proporzione alla lunghezza della password. Quindi, se generi password di lunghezza 15, il filtraggio di asd probabilmente non è una buona idea (perché asd in una lunga password non porta a password facili da indovinare, ma in realtà escluderebbe una gamma piuttosto ampia di password) . Probabilmente escluderei la password se contiene una sequenza di circa password.length - 4 (4 caratteri addizionali per una sequenza sembrano sufficienti per evitare la bruteforce semplice).

Se filtri le password generate, vorrei anche filtrare contro un elenco di password comuni (davvero non vuoi che il tuo generatore di password generi 123456 o password1 ).

    
risposta data 09.02.2015 - 22:25
fonte
3

Un buon schema di sicurezza presuppone che l'utente malintenzionato sappia come si generano le password.

Quando l'attaccante sa che il tuo algoritmo non genererà mai determinate password, non dovrà controllarle, il che riduce il carico di lavoro di cui hanno bisogno per investire in forza bruta. Quindi sarebbe controproducente avere una tale limitazione nel tuo generatore.

    
risposta data 09.02.2015 - 20:30
fonte
0

Un pensiero potrebbe essere quello di provare a decifrare le password generate con uno o più strumenti di cracking della password per garantire che siano forti. Se lo strumento può craccarlo, generare una nuova password. Questo dovrebbe eliminare molte password non autogenerate, incluse sequenze di tasti e parole del dizionario. Un problema con questo è che potrebbe richiedere troppa potenza di calcolo per eseguire il controllo a seconda di quanti utenti stanno creando nuove password.

    
risposta data 10.02.2015 - 15:03
fonte

Leggi altre domande sui tag

Una password Windows o Linux può essere forzata a forza brutale su una rete pubblica? Perché la dimensione dei messaggi crittografati con GPG non è proporzionale al numero di destinatari e alle dimensioni del file?