I pattern casuali di ripetizione sono più deboli dei pattern casuali non ripetuti?

Question

I pattern casuali di ripetizione sono più deboli dei pattern casuali non ripetuti?

#1 da (3 voti)
#2 da (0 voti)

2

Il che sarebbe più difficile da decifrare: una password composta da n caratteri selezionati casualmente o una password composta da x caratteri selezionati casualmente ripetuti m volte in modo che m * x = n.

Ad esempio:

9*jtRf_ki&^tN4%^E3d^75HG

Come opposto a:

u7I*u7I*u7I*u7I*u7I*u7I*

o

kL:@90kL:@90kL:@90kL:@90

Per quanto posso dire, nessuno dei precedenti contiene parole del dizionario e tutti contengono un buon mix di caratteri della tastiera, cioè l'attaccante vorrebbe provare capitali, numeri, caratteri speciali ecc. quindi dovrebbero essere difficili da decifrare.

Perché il precedente esempio potrebbe essere più difficile da decifrare rispetto a entrambi gli ultimi due?

L'intenzione è essere in grado di fornire un consiglio per la password che renda davvero difficile l'attacco forzato bruto, ma dà una facile memoria visiva / muscolare umana.

Ai fini della domanda, supponiamo che l'attaccante entri in cieco, che non abbia conoscenza del modello o che venga usato o meno un modello e non vi è alcuna esigenza che una password sia uno schema ripetitivo, potrebbe essere qualsiasi cosa , anche se sanno che qualsiasi carattere e qualsiasi lunghezza è consentita per la password.

passwords brute-force

posta Toni Leigh 14.06.2014 - 12:58

fonte

2 risposte

Leggi altre domande sui tag passwords brute-force

Come evitare XSS dall'URL SqlMap ignora OWASP ModSecurity Set di regole core per SQL Injection

score 3 · Answer 1

Ecco la riga n. 950 del file /etc/john/john.conf, che contiene le regole per la creazione di password da testare:

# Try strings of repeated characters.

Quindi direi che, sì, c'è un rischio maggiore nella scelta di modelli ripetuti per una password, dal momento che alcuni strumenti di cracking tengono conto di questa possibilità.

Indipendentemente da ciò, non consiglierei alle persone di farlo comunque; se un utente malintenzionato esterno non può sapere che la password è composta da ripetizioni, una persona interna della mia organizzazione potrebbe essere tentata di ottenere l'accesso non autorizzato a un altro account. Le informazioni o potrebbero comunque fuoriuscire e un utente malintenzionato esterno potrebbe saperlo. Il tuo primo esempio u7I*u7I*u7I*u7I*u7I*u7I* ha solo quattro byte di entropia, è molto basso.

Tuttavia, se dovessi scegliere tra u7I*u7I*u7I*u7I*u7I*u7I* e u7I* , suppongo che la prima soluzione sarebbe ancora migliore, ma non è l'ideale.

Che dire suggerendo agli utenti di utilizzare invece uno strumento per la gestione delle password?

score 0 · Answer 2

La mia risposta breve è sì, i personaggi ripetuti sono molto più facili da decifrare rispetto ai personaggi totalmente casuali. Uno strumento di attacco della password può provare a ripetere i personaggi molto più velocemente di quanto possa scorrere tutte le possibilità di caratteri non ripetitivi. Ad esempio, se una password di 8 caratteri è costituita da un modello di 4 lettere minuscole che si ripete due volte, ci sarebbero: 26 ^ 4 possibilità rispetto a 26 ^ 8. Se l'autore dell'attacco cerca specificamente quel modello, sarebbe 26 ^ 4 volte più facile da decifrare la password ripetuta rispetto a una password casuale. L'altra risposta postata indica che gli strumenti di attacco password sono già configurati per cercare questo tipo di pattern, quindi sì, i pattern ripetuti possono indebolire notevolmente una password.