Che cos'è la "sicurezza della password"? Nella maggior parte delle persone, è il fattore di difficoltà che gli attori malintenzionati dovrebbero avere quando cercano di indovinare la tua password. I misuratori di forza della password rispondono in genere a una domanda leggermente diversa: quante iterazioni richiederebbe a qualcuno di indovinare la password se indovinassero tutte le possibili combinazioni di caratteri in ordine iniziando da "A" a "z", quindi da "AA" a "zz" e così via, una tecnica nota come forzatura bruta.
Qual è la differenza? Queste due cose non sono le stesse perché non sai quanto velocemente i cattivi indovinano né quale tecnica usano per indovinare. "La tua password impiegherebbe 1 anno per indovinare" è completamente priva di significato senza contesto. La velocità con cui stanno indovinando dipende in genere dal metodo utilizzato dal server per archiviare le password perché il momento più comune in cui indovinano le password è quando hanno violato un sito e scaricato il database delle informazioni utente. Se il server compromesso stava memorizzando le password in chiaro, allora i cattivi possono capirlo indipendentemente dalla tua "forza" della password. Comunemente, i server non memorizzeranno direttamente le password e conserveranno invece l'output delle funzioni a senso unico come MD5 e SHA. A quel punto i cattivi non possono prendere l'output e capire l'input; devono indovinare l'input ed eseguirlo attraverso la funzione per vedere se le uscite corrispondono. Il moderno software per la creazione di password può sfruttare le GPU e fare miliardi di ipotesi ogni secondo, e se vedi un sito che calcola "anni per decifrare la tua password" generalmente si presuppone questo scenario con i cattivi che stanno forzando la loro ipotesi. I siti con maggiore sicurezza, come le versioni aggiornate di Wordpress, utilizzeranno queste funzioni sulla password e quindi li useranno di nuovo sull'output e ancora e ancora, in modo che ci possa volere qualche millisecondo in più per consentire al server di accedere, ma il male i tipi saranno in grado di indovinare migliaia di password al secondo in questi tipi di attacchi.
E se non fossero forzanti brutali? Una password di "passwordpasswordpasswordpasswordpassword" impiegherebbe molto tempo se i malintenzionati indovinassero ogni singola combinazione di lettere, ma se usassero un moderno tool di cracking delle password sarebbero in grado di indovinare le concatenazioni di parole dal loro dizionario e sarebbero probabilmente in grado per indovinarlo molto più velocemente di "ogNeTJeB6w5YhRsy972c". Non ho visto un misuratore della forza della password che in realtà utilizza un buon dizionario di password trapelate, ma è esattamente ciò a cui andrà a sfiorare la tua password se un sito con cui ti sei registrato viene compromesso.
Nessuno di questi sfondi risponde direttamente alla tua domanda, ma penso che sia necessario capire per poter rispondere o meno a una password con queste 4 caratteristiche "strong". La risposta è da qualche parte tra "dipende" e "non importa". Se una vulnerabilità nel tuo sito ha permesso a un attore malintenzionato di scaricare il tuo elenco di password con hash, se nella password dell'amministratore c'è un carattere speciale non è poi così importante. Ma se la tua password di 50 caratteri con caratteri ASCII alti è la stessa password che usi su ogni sito, e ti sei registrato su un sito che memorizza le password in chiaro, e quel sito viene violato, la tua forza della password (dalla nostra prima definizione) ha diventa molto debole. E se stai facendo questa domanda, la mia ipotesi è che tu stia riutilizzando la tua password e sei preoccupato che questa password che hai usato su Internet potrebbe non essere così grande come gli altri misuratori di forza della password ti hanno portato a credere. Questa abitudine è davvero ciò che rende la password "debole", non se contiene lettere maiuscole.
Ho tenuto un TEDx in questo ultimo anno, che consiglio di guardare se vuoi la versione 14 minuti di questo post. Se desideri password "forti", utilizza un software di gestione delle password come KeePass, LastPass o OnePassword per avere una password diversa su ogni sito e blocca il tuo database con un Diceware password.