Quanto è male usare la data per generare una password "casuale"?

Supponiamo che conosca il giorno o la settimana in cui hai creato la password, ma non l'ora esatta. Questa ipotesi sembra ragionevole:

• Molti servizi online visualizzano le date di creazione dell'account
• Molti servizi online consigliano pubblicamente la modifica delle password a causa di violazioni (suppongo che tu abbia cambiato la password entro una settimana dall'ultima violazione divulgata dal servizio)
• Molte persone cambiano le password "solo per essere al sicuro" se succede qualcosa di sospetto, invia una email falsificata alla vittima e c'è una buona possibilità che tu diventi fortunato
• In caso di perdita di un database, molti servizi memorizzano la data dell'ultima modifica della password (ad esempio per imporre il tipo di requisito (ora obsoleto) di modifica della password di 3 mesi)

La tua password da urandom ha log ₂ (64 ³² ) = 192 bit di entropia. Come passano le password, questo è eccellente.

Se supponiamo che conosca il giorno in cui hai generato la tua date | md5 password, hai log ₂ (60 * 60 * 24) ≈ 16,4 bit di entropia (86.400 possibili password); questo è molto cattivo Anche con parametri Argon2 insolitamente forti che richiedono 1 secondo per tentativo, ci vorrebbe solo 1 giorno (al massimo) per rompere, e un hash MD5 potrebbe essere rotto quasi istantaneamente. In caso di un attacco online che limita può aiutare, ma certamente non ci farei affidamento (l'hacker potrebbe usare molti IP e diffondere ipotesi per diverse settimane).

Se so solo quale settimana hai generato la password, è solo 7 volte migliore, che è ancora quasi istantanea quando si scoppia un hash MD5.

Se un avversario conosce il valore della data (o vicino ad esso) quando hai creato la tua password, allora può riprodurre banalmente la password. Sembra male.