Non esattamente. Più precisamente:
-
Per ogni password generata dall'uomo (basata su una parola o sequenza di caratteri conosciuta), ripetere sequenze di caratteri da quella parola base per creare una password più lunga rende quella specifica password solo una piccola bit più difficile per rompere rispetto alla parola base sottostante ...
-
... ma la password più lunga risultante sarà intrinsecamente più debole di altre password della stessa lunghezza che sono state create usando un metodo di estensione di lunghezza più strong ...
-
... ed è difficile per un misuratore di forza password distinguere.
Per capire perché, abbiamo bisogno di capire entrambe le strategie di memorizzazione delle password umane e dei limiti dei misuratori della forza della password.
Una strategia di password umana come la duplicazione di lettere è un modo comune per soddisfare i requisiti di lunghezza della password perché il carico cognitivo incrementale per l'utente è basso (richiede solo all'utente di ricordare un po 'più di informazioni.) Ad esempio, se la password minima il requisito di lunghezza era 12, quindi una password paaaaassword
soddisfa quel requisito, con l'utente che deve solo ricordare due cose:
- La mia password inizia con la parola
password
come base.
- Quindi ripeto il
a
altre quattro volte.
Aumentare la lunghezza della password con un "trucco" migliora solo marginalmente la resistenza agli attacchi. Mentre l'entropia Shannon della nuova password è più alta, l'entropia effettiva della nuova password è solo leggermente più alta della stessa parola di base - perché in realtà è solo un'altra informazione aggiuntiva, il che significa che può essere facilmente utilizzata dagli aggressori. Molte strategie di allungamento della password (aggiunta di cifre, aggiunta di un paio di caratteri speciali comuni, raddoppia la parola, ecc.) Sono molto ben note ai pirati informatici. La maggior parte dei software di cracking può provare queste strategie a velocità molto elevate.
Quindi strategie come l'aggiunta di caratteri ripetitivi a una password generata dall'uomo sono facili da implementare in un attacco di password ... ma sono molto più difficili da implementare in un misuratore di password.
Questo è il motivo per cui i misuratori di forza password sono notoriamente inaccurati. Un metro può utilizzare ampie misurazioni generali della forza (complessità, regole di composizione) e approssimare alcuni degli attacchi di base (maschere, semplici elenchi di parole, ecc.) ... ma è impossibile per un metro imitare i milioni di combinazioni di base parole e regole di generazione di password umane ... senza iniziare a comportarsi sempre più come un motore di cracking della password. E tali misuratori devono essere molto più veloci di così, in modo da fornire un feedback in tempo reale all'utente.
Quindi la strategia di ripetere i personaggi aumenta solo marginalmente l'entropia effettiva , che cadrà negli attacchi ad alta velocità ... ma il misuratore di forza della password non può usare le stesse strategie di attacco per dire la differenza.