Se qualcuno usa un gestore di password e prova a organizzare bene le credenziali, non rende gli attacchi più facili?
Supponiamo che un utente malintenzionato abbia le credenziali crittografate disponibili per gli attacchi offline, e l'utente malintenzionato sa quale software è stato utilizzato per salvare i dati e sa anche a cosa servono le credenziali (siti Web come Google, Facebook, Amazon, ecc.).
Questa conoscenza rende l'attacco più facile? Può essere prevenuto o quantomeno reso molto più difficile? In tal caso, in che modo le suite di password cercano di impedirlo?
Un esempio semplificato: ho un account Amazon e memorizzo le mie credenziali in un gestore di password. Sono ben organizzati e denominati, ovvero "Amazon"
, che si trova in cima all'elenco perché è ordinato alfabeticamente. Un utente malintenzionato ora ruba il mio archivio di credenziali crittografato e inizia un attacco a forza bruta.
Se i primi pochi byte (ad es. header + 30) non risultano includere la stringa "Amazon"
in aggiunta a qualunque cosa la suite di password usi come delimitatore, l'utente malintenzionato potrebbe smettere di provare a decrittografare la mia password con la sua attuale ipotesi . Questo potenzialmente riduce il tempo necessario per decifrare la password, anche se solo in modo lineare.
Non so molto sulla crittografia. Ogni consiglio sulla mia scelta di parole è apprezzato. Anche ortografia e grammatica.