Se la bruteforcing di una password va aaa, AAA, aab, AAB, ecc, fino a ZZZ, ZZZZZZ non sarebbe la password più sicura?

2

Sto solo prendendo misure di sicurezza contro gli attacchi bruteforce.

Suppongo che la maggior parte dei cracker inizi a a e salga a zzzzzzz per tutto il tempo indicato (quindi potrebbe essere zzzzzzzzzzz se detto così nella programmazione), come a caso indovinando, memorizzando l'elenco di ipotesi , generando una nuova ipotesi casuale, controllandola dall'elenco delle vecchie ipotesi e provando se non fosse stato indovinato sarebbe stato inefficiente. Inoltre, è improbabile che ZZZZZZZZZZ sia in un attacco di dizionario.

Usando questa logica, ZZZZZZZZZZ non sarebbe la password più sicura tra tutte le password che sono 10 o meno caratteri?

    
posta Jon 14.04.2014 - 20:54
fonte

3 risposte

9

L'autore dell'attaccante è nella tua testa. Con questo intendo che l'hacker conosce te e conosce le tue strategie di generazione della password. Se usi sistematicamente password che iniziano con una "Z", inizierà la ricerca con tali password. (Specialmente dal momento che hai descritto questo stesso metodo su un sito Web pubblicamente leggibile.)

potresti avere un vantaggio se scegli le tue password in modo diverso da tutti gli altri; ma gli attaccanti si adattano e si adattano velocemente . La scelta di "ZZZZZZZZZZ" come password è strong solo fino a quando gli aggressori provano potenziali password in ordine alfabetico; e gli attaccanti hanno già smesso di farlo. Per prima cosa provano le password con "struttura", come dieci ripetizioni della stessa lettera, perché è una specie di password che gli utenti umani scelgono (quindi continuano con le derivazioni da parole e nomi comuni).

È difficile sconfiggere gli attaccanti; è particolarmente difficile per sapere quanto hai offeso gli aggressori, perché l'intelligenza non è qualcosa che è facilmente quantificabile e misurabile. La posizione normale è quella di assumere che gli aggressori sappiano tutto sul processo di generazione della password, salvare le scelte casuali all'interno di quel processo; questo è l'unico modo per stimare in modo affidabile la forza della tua password.

Indipendentemente da come scegli la tua password, un utente malintenzionato intenzionato a provare tutte le possibili combinazioni di lettere può sempre generare queste combinazioni in un ordine casuale, che gli garantisce il tasso di successo medio teorico di N / 2 (se ci sono N possibili password, proverà in media la metà di esse prima di colpire quella giusta). Non esiste un metodo di generazione password che possa essere usato per impedirlo.

    
risposta data 14.04.2014 - 21:08
fonte
3

L'ipotesi che i password cracker passino da a a ZZZZZZZZZZ è probabilmente errata. I cracker delle password si sono evoluti per utilizzare tecniche molto più complesse che si estendono all'utilizzo di catene markov , ecc. Per avere una migliore idea di quali professionisti fare quando si tenta di rompere una password leggere questo grande articolo:

Anatomia di un hack: come i cracker saccheggiano password come "qeadzcwrsfxv1331"

Anche nel caso in cui hanno elencato da a a ZZZZZZZZ non dovrebbe impiegare un professionista per arrivare a ZZZZZZZZZZ data la potenza di elaborazione che hanno a disposizione e la lunghezza e lo spazio chiave limitati dell'esempio che hai fornito.

    
risposta data 14.04.2014 - 21:07
fonte
-1

Solo la bruteforce più semplice funzionerebbe in questo modo. Un uso molto migliore del tuo tempo sarebbe aggiungere un personaggio in più.

Se vai qui link c'è una calcolatrice che dimostra quanto conta la lunghezza della password. Ad esempio, utilizzando solo alfa maiuscolo / minuscolo, md5, una password di 10 caratteri impiega 531 anni alla forza bruta. Una password di 11 caratteri impiega 27652 anni nelle stesse condizioni.

    
risposta data 13.05.2016 - 15:16
fonte

Leggi altre domande sui tag