Se l'utente malintenzionato conosce parte della password ma non la lunghezza, lo aiuta in qualche modo?

2

L'idea alla base di questo è che se la conoscenza di una parte della password e non della lunghezza è inutile, le "password" possono essere facilmente archiviate in testo o in chiaro poiché si dovrebbe semplicemente aggiungere il proprio identificatore di caratteri n e si è "sicuri" .

Password su carta: dad458t5sdADSdkarh

Password reale: dad458t5sdADSdkarh PC

Domanda secondaria: la posizione del tuo identificatore è importante?

dad458t5sdADSdkarh PC

dad458t5sPC dADSdkarh

PC dad458t5sdADSdkarh

Domanda secondaria n. 2: la lunghezza dell'identificatore personale è importante? Il significato è pari a 1 carattere (la linea di base è abbastanza lunga).

    
posta DaveNew 25.07.2012 - 00:39
fonte

4 risposte

6

Ciò funzionerebbe come uno schema personale per mantenere lunghe le password su carta - se si elabora un sistema e lo si applica alle lunghe password, ma non lo si dice a nessun altro, sarebbe un forma efficace di sicurezza per oscurità. Un utente malintenzionato che trova la tua lista di password potrebbe provare la password scritta, quindi forse se fosse molto intraprendente potrebbe provare variazioni sulle password scritte, trasposizioni, sottosezioni e così via, ma le sue possibilità di trovare la tua trasformazione esatta sarebbero davvero molto basse.

Tuttavia, un utente malintenzionato potrebbe ottenere l'accesso all'elenco delle password e una o più delle password effettive. L'utente malintenzionato potrebbe quindi osservare la relazione tra alcune password nella tua lista scritta e quelle che conosce per intero, quindi sapere esattamente quanto spazio ha avuto a bruteforce per ottenere le password reali da quelle scritte. In questo caso la forza della password effettiva viene ridotta alla forza della stringa inserita.

In pratica molte persone usano schemi come questo per le loro password più importanti e più lunghe, cambiando alcuni caratteri in un modo algoritmico ma inconfessabile, quindi scrivendo la password trasformata. Questo ti protegge molto bene dallo scenario comune di un furto in casa che produce un pezzo di carta con "CitiBank: Login: xxx Password: yyy" scritto su di esso, ma sarebbe inutile del tutto applicato sistematicamente, per tutti i soliti motivi dati contro la sicurezza per oscurità.

    
risposta data 25.07.2012 - 02:54
fonte
3

Conoscere parte di una password renderà sicuramente più semplice, da un punto di vista matematico / teorico, anche se non si conosce la lunghezza. Fondamentalmente, puoi considerare quell'intero segmento della password che è noto per essere un singolo personaggio che l'hacker conosce.

es. considera una password di 10 cifre che accetta solo 0-9 come input (per ragioni di discussione). Questa password avrà 10 ^ 10 risposte possibili. Considerando che, se sappiamo che uno è un 1, ci sono 10 * (9 ^ 10) (che è dieci volte nove elevato a dieci), per quanto ho capito. Per favore correggimi se sbaglio.

Modifica: ho sbagliato. Esistono effettivamente password possibili, dove s = il numero di simboli e l = la lunghezza della password. Questo è per una password di lunghezza fissa, ma per il gusto dell'argomento lo userò comunque (se è di lunghezza variabile, allora è s ^ 1 + s ^ 2 + ... + s ^ l dove l è la lunghezza massima ). La ragione è che è perché per ogni posizione ci sono diversi simboli che potrebbero essere lì. s * s * s ... * s (ovvero, s volte s, volte s, volte s ...., volte s) l volte sono il numero totale di combinazioni possibili per ogni lunghezza l.

Tornando all'esempio, se uno dei personaggi è conosciuto, ma non conosci la posizione, sono solo 10 ^ 9 ipotesi diverse, perché ci sono effettivamente solo 9 posizioni. Perché sai sempre cosa c'è nel resto!

tl; dr questo rende sicuramente più facile da una prospettiva di indovinare: se conosci una porzione della password, rimuovi una grossa porzione di congetture.

    
risposta data 25.07.2012 - 02:56
fonte
0

In pratica, tutte le tue opzioni sarebbero abbastanza valide e sicure.

Supponendo che:

  • La password della carta casuale non è disponibile per un numero elevato di persone (ad esempio su Internet)
  • Lo schema della password non viene utilizzato da un numero elevato di persone o applicazioni.
  • Che non stai cercando di proteggere contenuti di alto valore.
  • Che il tuo testo privato è casuale e di 4 o più caratteri.

Ma per chiarire i dettagli:

  • La posizione variabile / sconosciuta per il testo privato aumenta l'entropia / sicurezza / resistenza alla forzatura bruta.
  • Forza brutale con un prefisso noto sarebbe facile da forzare, specialmente se il testo privato è breve (supponendo che l'hacker abbia l'hash della password).
  • Il tipo di attacco è molto importante: se le password dell'hashed sono trapelate è diverso dai tentativi di password remota.

Miglioramenti aggiuntivi:

risposta data 25.07.2012 - 03:07
fonte
0

Se la password è dad458t5sdADSdkarh PC e l'autore dell'attacco conosce già dad458t5sdADSdkarh significherebbe che il processo di forza bruta sarebbe molto più breve perché mancano solo 3 caratteri. Su una forza bruta di successo sarebbe immediatamente informato, tramite lo strumento che usa.

    
risposta data 25.07.2012 - 11:43
fonte

Leggi altre domande sui tag