Dal momento che non forzeranno una password di 19 caratteri, Mi chiedevo se il dizionario dell'attaccante fosse semplicemente ordinato per frequenza? queste password potrebbero avere all'incirca la stessa forza?
carp ably feud whir
mailless larksome blameful girasols
No. Se utilizzi passphrase a più parole (in stile diceware) composte da parole effettive, la lunghezza di ogni parola non ha importanza.
Se si presume che l'autore dell'attacco sia a conoscenza del metodo utilizzato per la generazione delle password (che dovresti, secondo il principio di Kerckhoffs), allora puoi aspettarti che l'attaccante tenterà di violare la passphrase con un attacco di dizionario e quindi la parola la lunghezza è irrilevante; solo il numero di parole e la dimensione del dizionario le hai selezionate casualmente dalle questioni.
Se si presume che l'attaccante non sia consapevole del proprio schema e stia semplicemente usando la forza bruta, allora ci si può aspettare che l'attaccante impieghi molti ordini di grandezza più a lungo di quanto farebbe usando un attacco di dizionario Pertanto, poiché la tua password è progettata per resistere a un attacco di dizionario, è anche sicura contro la forza bruta.
Per renderlo più concreto, supponendo che tu abbia scelto "carpa abilmente feud whir" in modo casuale da un dizionario diceware di 7776 parole, l'attaccante deve provare una media di 7776 4 / 2 ~ = 1,83 quadrilioni di password prima di scoppiarlo. Se invece l'attaccante usasse una forza bruta di lettere minuscole e spazi, avresti invece aspettato che questo stesso attacco prendesse (26 + 1) 19 / 2 ~ = 786 miliardi di quadrilioni di tentativi in media. Poiché 786 miliardi di quadrilioni sono superiori a 1,83 quadrilioni, puoi tranquillamente concludere che non vale la pena di preoccuparsi dell'attacco di forza bruta, poiché l'attacco dizionario è una minaccia molto più significativa e quindi la lunghezza di ogni parola non ha importanza.
Leggi altre domande sui tag passwords passphrase