Quali sono i criteri di valutazione che un sito utilizza per una password come strong, moderata o meno sicura

I misuratori di forza delle password sono universalmente limitati dalla quantità di regole e ricerche messe in essi rispetto alla quantità di regole e ricerche messe in strumenti di attacco, in particolare della varietà cracking offline come oclHashcat .

I più comuni misuratori di forza della password utilizzano un algoritmo semplicistico che combina la lunghezza e un'approssimazione dello spazio delle chiavi per dare la tua lettura. Ad esempio, alcuni considereranno una password di 11 caratteri con lettere maiuscole, minuscole, numeri e simboli come "Molto strong".

P@$$w0rd123

Se pensi che la "password" con un capitale iniziale, un po 'di parole comuni e un 123 alla fine sia una password "molto strong", ti suggerisco di leggere su attacchi basati su regole . Nota che alcuni dei set di regole forniti con Hashcat hanno oltre trentamila regole, e le serie di regole sono comunemente usate in combinazione con dizionari di decine di migliaia a miliardi di parole (essenzialmente join cartesiani - per ogni parola di dizionario, applica ogni regola nel set di regole scelto), a seconda di quanto fosse buono l'hashing e quanto l'attaccante avesse investito in GPU.

Alcuni strumenti di misurazione della password includono un dizionario da piccolo a medio e un piccolo insieme di regole (che sono molto più efficienti perché funzionano su una password in chiaro), come zxcvbn ; tuttavia, sono ancora limitati rispetto a ciò che un buon attaccante (ad esempio un team di cracking competitivo a un evento o una ricerca sulla sicurezza, senza contare i veri attori cattivi, usando l'elenco delle password perse).

Il riepilogo è: Se un misuratore della forza della password indica che la password è debole, la password è debole (o lo strumento è completamente rotto).

Se un misuratore di forza della password dice che la tua password è strong, ignorala; Supponiamo che non sappia nulla.

Lunghe password puramente casuali sono più forti che puoi ottenere; Io secondo il minimo di 14 caratteri, e questo è solo per una passphrase generata in modo puramente casuale.

Le combinazioni di parole casuali possono essere ok, ma "corretto punto di riferimento della batteria del cavallo" come esempio specifico è piuttosto negativo, tre delle parole sono in una comune lista di parole in inglese Top 5000 e l'ultima è ancora nel dizionario phpbb e il piccolo dizionario inglese americano di Ubuntu. Ulteriori analisi su la mia risposta a devo rifiutare ovviamente le password scadenti , ma si riduce al fatto che un utente malintenzionato un piccolo sottoinsieme di parole inglesi troverà questo esempio, e molti esempi umani sceglierebbero da soli, senza dover cercare in modo esaustivo da nessuna parte vicino all'intera combinazione di 4 parole in inglese. keyspace

Come minimo, scegli a caso solo parole più lunghe, dopo aver eliminato anche le parole comuni.

• Ad esempio, prendi il dizionario pazzo inglese di Ubuntu
• quindi rimuovi tutte le parole di lunghezza 7
• quindi rimuovi tutte le parole rimanenti che si trovano anche nel dizionario inglese americano
• quindi usa un generatore di numeri casuali per selezionare linee e casuale, e usa qualsiasi parola sulla linea
• Ancora meglio, metti anche tra di loro alcuni separatori casuali univoci

Il difetto nel punto corretto della batteria di cavalli e il difetto nella maggior parte degli stimatori di forza della password è lo stesso; fanno matematica presumendo che sia generata casualmente, e senza aiuto, pochissimi umani si avvicinano. Gli hacker lo sanno e lavorano con esso e i risultati di ciò che gli umani hanno scelto prima erano già stati risolti (o erano stati archiviati in testo normale).

Oltre agli altri commenti, vale la pena notare che la maggior parte dei controllori della complessità della password ci sono spazzatura !

In effetti, il sito GRC chiarisce che stanno solo testando uno aspetto della complessità.

In realtà, l'uso di tabelle arcobaleno e tecniche simili significa che è possibile avere password lunghe, ma se si utilizza qualsiasi tipo di parola o frase riconoscibile (anche con lettere maiuscole e / o parlate), si riduce enormemente la forza di la password.

Ci sono diverse cose che devono essere fatte correttamente per avere un uso sicuro delle password.

Sul server:

• strongmente crittografato e amp; archivi di password con hash
• Autorizzazione di password lunghe
• Autorizzazione di caratteri alfa, numerici e simboli nelle password
• Controlli che impediscono i tentativi rapidi di password (aumento di timeout e blocchi)
• Controlli che impediscono l'estrapolazione del database delle password (Protezione dalla perdita di dati)
• Controlli efficaci sulla reimpostazione della password (per prevenire attacchi di reimpostazione della password man-in-the-middle)
• strong ma facile da usare (per utenti legittimi) processo di modifica della password

Dall'utente:

• Password lunghe (> 12 caratteri, preferibilmente > 16)
• Password casuali
• Uso di caratteri alfa, numerici e simboli
• Nessun riutilizzo di password tra diversi servizi

Raccomando l'uso di un generatore affidabile per password come quella incorporata in LastPass. Raccomando anche l'uso di archivi di password come LastPass e / o Keepass o simili perché le password complesse sono molto difficili da tenere in mente. Per i siti che richiedono frequenti rekeying di password come i siti cloud Microsoft davvero fastidiosi, ti consiglio di utilizzare un modello facilmente memorizzabile ma comunque abbastanza casuale.