I misuratori di forza delle password sono universalmente limitati dalla quantità di regole e ricerche messe in essi rispetto alla quantità di regole e ricerche messe in strumenti di attacco, in particolare della varietà cracking offline come oclHashcat .
I più comuni misuratori di forza della password utilizzano un algoritmo semplicistico che combina la lunghezza e un'approssimazione dello spazio delle chiavi per dare la tua lettura. Ad esempio, alcuni considereranno una password di 11 caratteri con lettere maiuscole, minuscole, numeri e simboli come "Molto strong".
P@$$w0rd123
Se pensi che la "password" con un capitale iniziale, un po 'di parole comuni e un 123 alla fine sia una password "molto strong", ti suggerisco di leggere su attacchi basati su regole . Nota che alcuni dei set di regole forniti con Hashcat hanno oltre trentamila regole, e le serie di regole sono comunemente usate in combinazione con dizionari di decine di migliaia a miliardi di parole (essenzialmente join cartesiani - per ogni parola di dizionario, applica ogni regola nel set di regole scelto), a seconda di quanto fosse buono l'hashing e quanto l'attaccante avesse investito in GPU.
Alcuni strumenti di misurazione della password includono un dizionario da piccolo a medio e un piccolo insieme di regole (che sono molto più efficienti perché funzionano su una password in chiaro), come zxcvbn ; tuttavia, sono ancora limitati rispetto a ciò che un buon attaccante (ad esempio un team di cracking competitivo a un evento o una ricerca sulla sicurezza, senza contare i veri attori cattivi, usando l'elenco delle password perse).
Il riepilogo è:
Se un misuratore della forza della password indica che la password è debole, la password è debole (o lo strumento è completamente rotto).
Se un misuratore di forza della password dice che la tua password è strong, ignorala; Supponiamo che non sappia nulla.
Lunghe password puramente casuali sono più forti che puoi ottenere; Io secondo il minimo di 14 caratteri, e questo è solo per una passphrase generata in modo puramente casuale.
Le combinazioni di parole casuali possono essere ok, ma "corretto punto di riferimento della batteria del cavallo" come esempio specifico è piuttosto negativo, tre delle parole sono in una comune lista di parole in inglese Top 5000 e l'ultima è ancora nel dizionario phpbb e il piccolo dizionario inglese americano di Ubuntu. Ulteriori analisi su la mia risposta a devo rifiutare ovviamente le password scadenti , ma si riduce al fatto che un utente malintenzionato un piccolo sottoinsieme di parole inglesi troverà questo esempio, e molti esempi umani sceglierebbero da soli, senza dover cercare in modo esaustivo da nessuna parte vicino all'intera combinazione di 4 parole in inglese. keyspace
Come minimo, scegli a caso solo parole più lunghe, dopo aver eliminato anche le parole comuni.
- Ad esempio, prendi il dizionario pazzo inglese di Ubuntu
- quindi rimuovi tutte le parole di lunghezza 7
- quindi rimuovi tutte le parole rimanenti che si trovano anche nel dizionario inglese americano
- quindi usa un generatore di numeri casuali per selezionare linee e casuale, e usa qualsiasi parola sulla linea
- Ancora meglio, metti anche tra di loro alcuni separatori casuali univoci
Il difetto nel punto corretto della batteria di cavalli e il difetto nella maggior parte degli stimatori di forza della password è lo stesso; fanno matematica presumendo che sia generata casualmente, e senza aiuto, pochissimi umani si avvicinano. Gli hacker lo sanno e lavorano con esso e i risultati di ciò che gli umani hanno scelto prima erano già stati risolti (o erano stati archiviati in testo normale).