Esiste un'equazione per calcolare il numero di istanze di una serie di caratteri in un determinato spazio chiave?

Question

Esiste un'equazione per calcolare il numero di istanze di una serie di caratteri in un determinato spazio chiave?

#1 da (5 voti)

2

Se sto usando password di 16-18 caratteri con 94 valori possibili per carattere (alfa inferiore, alfa superiore, numeri e caratteri speciali), c'è un'equazione che posso usare per calcolare quante volte verrà presentata una serie dello stesso valore?

Quello che sto cercando di scoprire è con i programmi di complessità granulare delle password, è possibile specificare il numero massimo di caratteri che possono essere visti l'uno vicino all'altro prima che vengano scartati. Quello che voglio sapere è che se viene usato un valore basso (ad esempio 2), quanto questo influisce pesantemente sullo spazio chiave per la resistenza contro gli attacchi di forza bruta.

Come in, nello spazio tasti di una password di 16 caratteri di 94 ^ 16, se il numero di valori uguali non può essere 2 o più, quante password possibili vengono rimosse dalle password disponibili che un utente malintenzionato deve usare?

es. nel caso di 2 caratteri con lo stesso valore, le seguenti password verrebbero rifiutate:

12345667890abcdefgWW - a causa della 66 e della WW
sadfl; jkxz089 - qwer - a causa di -
a; lksdjf %%; slkdaj ;; zlc - a causa del %% e ;;
2134 @! # $ SAf; ljkasdf $$$$ cQ - a causa del $$$$

... c'è un'equazione per eseguire questo tipo di calcolo?

passwords password-policy brute-force

posta thepip3r 08.04.2014 - 18:01

fonte

1 risposta

Leggi altre domande sui tag passwords password-policy brute-force

L'interfaccia di loopback è protetta dallo sniffing? Voci sospette nel database MySQL dai moduli di input dell'utente - sql injection?

score 5 · Accepted Answer

Per le password di n -character senza due identici caratteri adiacenti, @Stephen fornisce la soluzione: sono le 94 * 93 ^n-1 password. Il ragionamento è semplice: sei libero di usare uno qualsiasi dei caratteri 94 per il primo carattere, quindi per ogni carattere successivo puoi usare uno qualsiasi dei 94 tranne quello che tu appena usato, quindi 93 .

Per n = 16 , potresti vedere che conservi circa l'85,2% dello spazio completo di 94 ¹⁶ possibili password di 16 caratteri . Si perde meno del 15%, quindi la riduzione della sicurezza non è enorme.

Se vuoi evitare sequenze di tre caratteri identici, allora il calcolo è più complesso, ma la riduzione dello spazio coinvolta sarà necessariamente inferiore, perché ogni password con tre caratteri identici consecutivi è anche una password con due caratteri identici consecutivi. Pertanto manterrai sempre almeno il 85,2% dello spazio originale. Inoltre, il numero di password con tre caratteri consecutivi identici non è più di (n-2) * 94 ^n-2 (questa è una sovrastima lorda); per n = 16 questa cifra è circa lo 0,16% dello spazio totale, quindi escludere le password con tre caratteri consecutivi identici ti lascerà più del 99,84% del tuo spazio originale.

Per la formula qui sopra, "scelgo" semplicemente la posizione per il primo carattere nella sequenza di tre caratteri, e posso scegliere liberamente i caratteri n-2 . Questa è una sopravvalutazione perché sto contando due volte le password con due sequenze, tre volte le password con tre sequenze e così via. Ma una sovrastima è sufficiente per dimostrare che l'effetto di riduzione dello spazio è trascurabile.

La riduzione della pazienza dell'utente, tuttavia, potrebbe non essere così trascurabile. Ricorda che ogni singola regola della "complessità della password" verrà considerata come un onere per l'utente, e antagonizzare l'utente è l'ultima cosa che vuoi veramente nella pratica.