Quanto sono sicure le password "pattern"?

3

Stavo guardando un TED Talk sulla sicurezza delle password di recente che copre diversi tipi di password e confronta quanto sono sicuri e quanto siano facili da ricordare.

Un tipo di password che non è stato menzionato, tuttavia, è ciò che chiamo "password modello". Quelle sono password come "vbfhrudjxm" o "cde3 $ RFVbgt5" che seguono un modello sulla tastiera:

Lamiaingenuaipotesièche,ancheselaloroentropiaèchiaramenteinferioreaquelladelleverepasswordcasualidellastessalunghezza,dovrebberoavereunaresistenzacomparabileagliattacchididizionarioeforzabruta,mentreallostessotemposonomoltopiùfacilidaricordareescrivere.Questasupposizioneècorretta?

Unosvantaggioèovviamentechesericordiilpatternpiuttostocheipersonaggirealipotrestiincontraredeiproblemiseincontriunatastieraconunaltrolayout(specialmenteconcaratterinonalfanumerici)maquestopuòessereunproblemaconaltritipidianchelepassword.

Questa domanda sul pattern lock sui dispositivi touch è correlato ma quelli offrono combinazioni molto meno possibili e sono generalmente più brevi e questa domanda parla anche di password" basate su pattern "ma nel senso di un pattern nella struttura della password piuttosto che in un pattern sul dispositivo di input.

    
posta Roman Reiner 16.06.2015 - 10:26
fonte

3 risposte

2

Alcune wordlist come rockyou hanno queste sequenze in esse, quindi non sarà così sicuro contro un attacco di dizionario; poiché gli attacchi di dizionario spesso non includono più solo le normali parole inglesi.

Inoltre alcuni strumenti ( autocrack , keywalker , ...) esistono in modo specifico per testarli e, come sottolineato da Chriss Murray, abbassa la tua entropia.

    
risposta data 21.06.2015 - 11:44
fonte
1

Questo sembrerebbe essere migliore contro gli attacchi di dizionario e forza bruta, sì. Tuttavia, l'attaccante non si limiterà a questi tipi di attacchi.

Il problema con approcci come questo è che sono sicuri solo se l'attaccante non scopre che stai generando password in questo modo. Se l'attaccante sa che generi password come questa (che dovresti assumere, vedi Principio di Kerckhoff ), loro puoi provare vari pattern basati sul tuo tipo di tastiera, invece di dover provare ogni singola combinazione di lettere.

Inoltre, questo approccio riduce in realtà significativamente l'entropia. Ad esempio, se la prima lettera è "x", allora so che solo "z", "s", "d", "c" e lo spazio sono validi come la lettera successiva, che è significativamente inferiore a ogni altra lettera / numero / carattere speciale sulla tastiera.

    
risposta data 16.06.2015 - 12:01
fonte
1

Come la maggior parte degli algoritmi di generazione di password, questo si basa sulla sicurezza attraverso l'oscurità.

Fintanto che nessuno sospetta che tu usi questo metodo, nessuno userà uno strumento di cracking che cerca le password basate su modelli triviali su una tastiera QWERTY. Ma non appena qualcuno sospetta che potresti usarlo, questo cambierebbe. Non appena qualcuno si sente obbligato a scrivere una routine di cracking su misura, devi guardare quanta entropia c'è davvero nei tuoi schemi.

Senza contare il blocco numerico (che sarebbe una cattiva idea perché non è possibile arrivare alle lettere in questo modo), ci sono 46 tasti sulla tastiera con cui è possibile iniziare. Quindi la prima chiave avrebbe un'entropia di 5,5 byte. Da ogni chiave ci sono tra 6 e 2 possibilità su come procedere. Sono troppo pigro per calcolare la media e c'è anche il tasto maiuscole che si preme in un momento e si rilascia a un altro, quindi sarò generoso e suppongo ci siano sempre 8 possibilità in media equivalenti a 3 bit di entropia. Il pattern cde3$RFVbgt5 ha un'entropia di ( 5.5 + 3 * 11 ) 38,5 bit di entropia (388,7 miliardi di modelli). È equivalente a una password completamente casuale che potenzialmente utilizza l'intero set di caratteri ASCII stampabile di 6 caratteri .

Lontano troppo debole per qualsiasi sistema che deve resistere a un attacco di forza bruta.

    
risposta data 21.06.2015 - 12:07
fonte

Leggi altre domande sui tag