Sto scrivendo consigli per la selezione di una password principale per un gestore di password, e mi chiedo se ci sono dati disponibili sulla probabilità di attacchi diversi che portano a una password incrinata. Sono interessato ai dati relativi a ciò che un utente è in grado di controllare con la password stessa (quindi, qualcosa come il phishing non è sul mio radar tanto più che la vulnerabilità è l'utente piuttosto che la stringa di caratteri stessi).
Quindi, per una password sicura, penso che raccomanderò, in ordine decrescente di importanza:
- lunghezza (forza bruta)
- unicità (forza bruta inversa, nome utente e password corrispondenti del sito A compromesso per proteggere il sito B)
- impersonalità (ipotesi basata su dettagli personali conoscibili)
- facilità di memorizzazione (indirettamente rilevante, i primi tre rendono difficile ricordare una password, quindi devi decidere se sacrificare quelli per ricordarli meglio o se devi annotarli e rischiare che la carta venga rubata )
Ho una lunghezza in cima perché 1) la ricerca in generale lo cita come il modo migliore e più semplice per rendere una password più sicura e 2) nella mia esperienza, gli attacchi sembrano essere in massa / random più di quanto siano mirati per una media utente finale.
So che ci sono un sacco di avvertimenti; il modello di minaccia per l'email di un politico di alto livello è diverso rispetto a Facebook di un adolescente. Forse ti fidi della tua sicurezza più della tua memoria. Ma ci sono dati rilevanti che rispondono a questa domanda ad alto livello?
EDIT per riformulare la domanda:
Se I deve fare un compromesso per quanto riguarda la mia password da qualche parte (come in, per rendere più semplice la mia password da ricordare, lo renderò più breve o userò la mia data di nascita invece di numeri casuali) quale attacco dovrebbe essere considerato più probabile per l'utente medio di un'applicazione web tradizionale?