Ho visto molte domande relative alle password: come per misurare la sicurezza della password , perché non selezioniamo le password per gli utenti e ovviamente il migliore: password vs frasi e quella su cui vorrei concentrarmi un po 'di più.
Qualcosa che non ho mai capito è, se crei una passphrase, qualunque cosa possa essere. Diciamo: ILoveAskingUselessQuestions (o anche separati da spazi) o una password: 1L @ UQ, ora capisco che la password è più breve e più facile da usare per la forza bruta. Se non fosse per forza bruta la password sarebbe più difficile da ottenere.
Ma viviamo in un mondo con la forza bruta (con l'aumentare della velocità del computer) il più breve è il più insicuro che diventa.
Direi che una passphrase è sempre la cosa migliore da usare. ovviamente con le pass phrase si otterrebbe una tendenza simile a quella che con le password alcune frasi apparirebbero più di altre. Ora ovviamente ci sono modi per prevenire questo e modi per controllare questo, quindi non dovrebbe essere un vero problema.
Se le persone dovessero usare qualcosa di personale nelle loro frasi di passaggio, nessun hacker sarebbe mai in grado di ottenere password (se gli schemi di hashing della password sono eseguiti correttamente). Si potrebbe obiettare che gli attaccanti farebbero un elenco di parole e proverebbero tutte le combinazioni, ma una tale lista sarebbe specifica per la lingua (un attaccante inglese non otterrebbe mai una password olandese in quel modo).
Quindi la mia domanda è: perché non rendiamo più semplice per gli utenti e richiediamo frasi passate, sono autorizzati a usare i simboli base64 e la lunghezza dovrebbe essere almeno ... 20? (quel numero potrebbe probabilmente essere migliore se qualcuno con conoscenza (non me xD) ha fatto alcuni calcoli).
e per aiutare gli utenti nella creazione di buone frasi "pass" (o spiegando di cosa si tratta) qualcuno come Bruce Schneier (o chiunque tu voglia, perché non fare uno sforzo peer reviewed) rende un post molto semplice da leggere su di esso e ci colleghiamo tutti durante la creazione di account / password.
tutto risolto, o non è così semplice?