Qual è il vantaggio delle password che sono sempre numeri 50% e lettere 50%?

1

In Teamviewer, sto usando password "sicure (8 caratteri)" che vengono cambiate ogni giorno. Ho notato che la password è sempre composta da 4 numeri e 4 lettere minuscole, con posizioni casuali.

Potrei essere ingenuo, ma non è meno sicuro, perché riduce la quantità di possibili combinazioni alfanumeriche? O è più sicuro perché non ci sarà mai una password di 8 cifre che è solo lettera o solo numero? La mia intuizione dice no, ma poi perché Teamviewer farebbe questo ...

    
posta Max Vollmer 06.02.2018 - 09:53
fonte

1 risposta

4

Warning: A previous version of this answer contained a big math error leading to incorrect conclusions. It has now been fixed.

Calcoliamo un po 'di entropia!

  • Una password casuale composta da 8 lettere minuscole o cifre:

    log2((26 + 10)^8) = 41.4 bits
    
  • Una password casuale, in cui esattamente 4 caratteri sono lettere minuscole e esattamente 4 sono cifre:

    log2(26^4 * 10^4 * (8 choose 4)) = 38.2 bits
    
  • Una password casuale, contenente esattamente 8 lettere minuscole:

    log2(26^8) = 37.6 bits
    

Quindi, quali conclusioni possiamo trarre da questo?

  • Come puoi vedere, perdiamo qualche entropia - quasi 3 bit. Ciò significa che la password sarebbe circa 7 volte più veloce da decifrare.
  • Fare questo per evitare password solo minuscole è un po 'fuorviante, dal momento che ora tutte le password sono quasi pessime come le password solo minuscole.
  • L'ipotesi migliore è probabilmente che questa sia una decisione UX. Il mix li rende più facili da ricordare e da leggere ad alta voce. La perdita di entropia (meno dell'equivalente di rimuovere un carattere) potrebbe essere considerata "ne vale la pena".
risposta data 06.02.2018 - 10:43
fonte

Leggi altre domande sui tag