Quanto sono vulnerabili le passphrase con struttura grammaticale?

Naviga le tue risposte
3

Immagina di creare una passphrase usando parole di dizionario casuali ma una struttura grammaticale comune (es .: article, noun, verb, adjective, noun ). Dato un dizionario piuttosto piccolo di 5000 parole, quanto sono vulnerabili tali frasi rispetto a:

  1. password con la solita raccomandazione di 8-16 caratteri, superiore, inferiore, numeri
  2. alcune frasi che ti sei inventato basandoti sul tuo libro preferito, poesia, preventivo o qualsiasi altra cosa
  3. diceware frasi di stile (5 parole casuali bloccate back-to-back)
  4. la raccomandazione PGP di "sciocchezze scioccanti" (che è simile a quello che sto facendo)

Alcuni esempi di ciò a cui sto pensando: 

its headlock fumbled my angle
should its mimosa withstand an oath
a harpoon might expertly staff our ratios
the Sumerian ambushes the tiny murmur

Esistono metodi conosciuti per attaccare tali passphrase oltre a verificare le parole comuni prima in un attacco di forza bruta? Riesci a pensare a un modo migliore di questo?

Quanto sarebbero efficaci le catene di Markov oi n-grammi basati su grossi volumi di parole (ad esempio: Google Web o Brown )? La mia sensazione istintiva è che la natura "priva di senso" delle frasi mitigherebbe molte catene di parole comuni, ma c'è qualche ricerca o cracker off-the-shelf che potrei usare per verificarlo?

Effetto della grammatica sulla sicurezza delle password lunghe è pertinente, mettono in evidenza anche un'assurdità passphrase di loro come inaspettatamente buoni ( requisiti arsine martellati ), ma la mia comprensione del loro articolo è che stanno provando prima le parole più comuni. Anche questa domanda è pertinente.

Completa divulgazione: sto sviluppando un generatore di passphrase che utilizza questa tecnica grammaticale per facilitare la memorizzazione, ma mantenendo parole usate a caso. Sono interessato a qualche critica del mio algoritmo, pur rimanendo all'interno dello stile Q & A di Stack Overflow.

    
posta ligos 13.02.2013 - 08:56
fonte

1 risposta

2

Il principale risultato della carta href="http://www.cs.cmu.edu/~agrao/paper/Effect_of_Grammar_on_Security_of_Long_Passwords.pdf"> è che frasi grammaticali non hanno la entropia che ti aspetteresti da frasi di quella lunghezza. Una risposta ragionevole sarebbe quella di semplicemente non contare le parole che stai aggiungendo per rendere la frase "corretta"; scegliere uno dei tuoi esempi a harpoon might expertly staff our ratios dovrebbe essere considerato strong quanto harpoon expertly staff ratios .

Se stai cercando la massima forza della password; dovresti anche evitare le parole che seguono le regole grammaticali, dal foglio:

Grammatical structures, or tag-rules, split the password search space unevenly; the size of the search space of individual tag-rules are different e.g. the size of “Noun Noun” is greater than the size of “Adjective Noun”.

Sottintendendo che dovresti evitare "aggettivo sostantivo" per massimizzare la tua entropia. Questo è vero anche se il tuo algoritmo li genera in modo casuale , poiché la struttura funziona per comprimere la password. Vale anche la pena notare che il documento non ha cercato coppie che avessero un senso insieme (% di co_de sarebbe stato provato).

Il punto nel documento di scegliere le parole comuni per primo non diminuirà la sua efficacia contro frasi casuali, ma approssimativamente formate correttamente; puoi sempre progettare il tuo dizionario per distribuire le parole a caso per frequenza. Non è tanto il fatto che provino prima le parole comuni, ma che provino gruppi che vengono spesso visti insieme, insieme.

Ci sono anche stati qualche ricerca sul modello di Markov che suggerisci; potrebbe valere la pena eseguire quel tipo di analisi sulla password che si genera prima di presentarla all'utente?

Potresti trovare le risposte in questa domanda correlata di interesse.

    
risposta data 13.02.2013 - 09:38
fonte

Leggi altre domande sui tag

Quando si controlla una variabile di sessione per vedere se un utente è loggato, è sufficiente controllare se la variabile è impostata? Esiste un modo affidabile per simulare la manomissione del percorso di avvio di "Evil Maid Attack" quando si utilizza il bitlocker?