Forza password con raggruppamento di caratteri

2

Per una migliore leggibilità e una più facile immissione di password lunghe ho pensato che fosse una buona idea raggrupparli usando un separatore fisso in questo modo:

f6hyF.75zaG.FhtYb.1a63h

Supponendo che questa struttura della password sia nota a un utente malintenzionato, vi sono implicazioni sulla sicurezza, oltre alla lunghezza effettiva della password che è 20 anziché 23 e lo spazio dei caratteri ridotto di 1 carattere (".") ?

La mia preoccupazione principale è che alcuni metodi di crittografia potrebbero consentire la ricostruzione di testo in chiaro, dato che alcune parti della chiave sono note.

Grazie per tutti i commenti su questo!

    
posta drivr 22.04.2015 - 14:46
fonte

2 risposte

5

Se la funzione di hashing della password è buona, o anche se è cattiva, ma non irrimediabilmente , quindi aggiungendo il i punti non dovrebbero indebolire la password. Le funzioni di hashing della password, come gli altri tipi di funzioni hash crittografiche, dovrebbero essere "tutto o niente": o si ha tutto l'input esatto, e poi si hash sull'output, o non si impara nulla. La nozione accademica corrispondente è quella di un oracolo casuale .

Ovviamente, i punti extra non aumentano l'entropia della password, mentre possono aumentare gli sforzi di digitazione. È vero che aumentano la leggibilità , ma se migliora o deprezza la tipicità (mmh, non è una parola apparentemente) dipende da chi sta scrivendo.

Alcuni sistemi scarsamente sviluppati impongono limiti bassi arbitrari alla lunghezza della password (ad esempio, rifiutano le password più lunghe di 10 caratteri) e i punti in più ti renderanno più difficile colpire quel limite. Probabilmente, questi sistemi sono il problema, non i punti.

    
risposta data 22.04.2015 - 14:57
fonte
0

In realtà raccomando una cosa del genere quando c'è una lunga password da digitare una rara quantità di tempo da parte di utenti non tecnici (il miglior esempio è la creazione di un accesso Wifi per esempio).

Personalmente uso il separatore di caratteri '-', invece, e questo fa sì che la password appaia come un numero seriale che un utente dovrebbe digitare per registrare un software (come "aPr8-eerT-6F4g-9dgV"). Quindi sembra qualcosa di familiare all'utente, è più facile da digitare e controllare, e altrettanto sicuro contro qualcuno che conosce la struttura (e anche di più contro qualcuno che non lo fa).

Migliore usabilità, sicurezza uguale se non migliore, quindi perché non approfittare di questa tecnica :)?

    
risposta data 22.04.2015 - 15:43
fonte

Leggi altre domande sui tag