Se una password ripete una sequenza di caratteri, diventa più facile decifrare?

3

Ho pensato che se avessi ripetuto una sequenza di caratteri nella tua password, la password sarebbe diventata più facile da decifrare. Ho provato uno di quei siti web che ti dà una stima di quanto tempo impiegherebbe per craccare una password con un attacco di forza bruta (siti di dubbia attendibilità, ma comunque) e non sembra mostrare alcun segno di debolezza ripetendo un sequenza di 20 caratteri più volte (la password aumenta di 30 ordini di grandezza) Quindi la mia domanda è, se una password ripete una sequenza di caratteri, diventa più facile crackare?

    
posta Pablo 30.06.2018 - 14:33
fonte

3 risposte

5

Non esattamente. Più precisamente:

  • Per ogni password generata dall'uomo (basata su una parola o sequenza di caratteri conosciuta), ripetere sequenze di caratteri da quella parola base per creare una password più lunga rende quella specifica password solo una piccola bit più difficile per rompere rispetto alla parola base sottostante ...

  • ... ma la password più lunga risultante sarà intrinsecamente più debole di altre password della stessa lunghezza che sono state create usando un metodo di estensione di lunghezza più strong ...

  • ... ed è difficile per un misuratore di forza password distinguere.

Per capire perché, abbiamo bisogno di capire entrambe le strategie di memorizzazione delle password umane e dei limiti dei misuratori della forza della password.

Una strategia di password umana come la duplicazione di lettere è un modo comune per soddisfare i requisiti di lunghezza della password perché il carico cognitivo incrementale per l'utente è basso (richiede solo all'utente di ricordare un po 'più di informazioni.) Ad esempio, se la password minima il requisito di lunghezza era 12, quindi una password paaaaassword soddisfa quel requisito, con l'utente che deve solo ricordare due cose:

  1. La mia password inizia con la parola password come base.
  2. Quindi ripeto il a altre quattro volte.

Aumentare la lunghezza della password con un "trucco" migliora solo marginalmente la resistenza agli attacchi. Mentre l'entropia Shannon della nuova password è più alta, l'entropia effettiva della nuova password è solo leggermente più alta della stessa parola di base - perché in realtà è solo un'altra informazione aggiuntiva, il che significa che può essere facilmente utilizzata dagli aggressori. Molte strategie di allungamento della password (aggiunta di cifre, aggiunta di un paio di caratteri speciali comuni, raddoppia la parola, ecc.) Sono molto ben note ai pirati informatici. La maggior parte dei software di cracking può provare queste strategie a velocità molto elevate.

Quindi strategie come l'aggiunta di caratteri ripetitivi a una password generata dall'uomo sono facili da implementare in un attacco di password ... ma sono molto più difficili da implementare in un misuratore di password.

Questo è il motivo per cui i misuratori di forza password sono notoriamente inaccurati. Un metro può utilizzare ampie misurazioni generali della forza (complessità, regole di composizione) e approssimare alcuni degli attacchi di base (maschere, semplici elenchi di parole, ecc.) ... ma è impossibile per un metro imitare i milioni di combinazioni di base parole e regole di generazione di password umane ... senza iniziare a comportarsi sempre più come un motore di cracking della password. E tali misuratori devono essere molto più veloci di così, in modo da fornire un feedback in tempo reale all'utente.

Quindi la strategia di ripetere i personaggi aumenta solo marginalmente l'entropia effettiva , che cadrà negli attacchi ad alta velocità ... ma il misuratore di forza della password non può usare le stesse strategie di attacco per dire la differenza.

    
risposta data 30.06.2018 - 19:55
fonte
1

Se stai parlando di un classico attacco di forza bruta, ripetere una sequenza non farà differenza. Ogni combinazione di caratteri verrà provata a turno, quindi la lunghezza della password è direttamente proporzionale alla durata del crack.

Una tipica password inglese di 10 caratteri ha circa 70 ^ 10 combinazioni possibili o 2.8 con 18 zeri supplementari

Un attacco di dizionario può usare 20.000 parole, quindi ripetere una parola due volte potrebbe farti guadagnare la lunghezza, ma è comunque molto sensibile a questo attacco.

    
risposta data 30.06.2018 - 16:34
fonte
0

Dirò di sì, le tue password non dovrebbero avere schemi comuni. Cercherò di spiegare il motivo, ma prima consentimi di dare un contesto storico.

Tradizionalmente, un attacco di forza bruta è un attacco che tenta di superare tutte le possibili combinazioni finché non viene trovato quello corretto. Oggi questo metodo è generalmente obsoleto.

È stato sostituito con attacchi di dizionario, che accettano un vocabolario e tentano di provare ogni parola in quell'elenco finché non viene trovata quella corretta. Queste parole sono solitamente password comuni e il nome deriva dal fatto che in origine era solo provare ogni parola nel dizionario, poiché la maggior parte delle password erano singole parole.

Oggi abbiamo le stesse password per parola singola, ma la maggior parte delle persone aggiunge cifre alla fine o tenta di complicarla in qualche modo. La maggior parte degli attacchi contro le password sta ancora utilizzando il metodo del dizionario, ma molti di essi ora usano anche elenchi di regole. Questi elenchi prendono ogni parola dalla lista di parole, e poi inseriscono una regola, dove vengono generate diverse varianti della stessa password, di solito aggiungendo numeri alla fine e sostituendo caratteri specifici con altri che sarebbero comportamenti tipici di qualcuno che sta tentando di rafforzare la loro password potrebbe richiedere.

Quindi, insomma, si. Stai creando un pattern per la tua password. Alcune regole includeranno questo tipo esatto di comportamento. Cerca di renderlo il più imprevedibile possibile.

    
risposta data 30.06.2018 - 20:09
fonte

Leggi altre domande sui tag