Moltidinoihannofamiliaritàconquestofumetto.Seavessiunaparolacome"pesce gatto" e l'avessi ripetuta una quantità arbitraria di volte, ad esempio n , sarebbe teoricamente più strong. Non sarebbe?
Una trappola che ho visto è quella di attacchi di dizionario con più valori di n, ma sembra che questo potrebbe non essere l'ideale. Che cosa succede se hai scelto una stringa più arbitraria come "ca4f1sh!"?
Il problema con la scelta di una password basata su un pattern è che, se l'hacker conosce il pattern, possono eliminare un numero relativamente grande di password che altrimenti avrebbero dovuto testare.
Questo è il motivo per cui sosteniamo che le password siano generate casualmente il più possibile. Le uniche restrizioni che potresti vuoi mettere sulla generazione casuale sono:
Questi aiutano a garantire (anche se, rigorosamente, non garantisce) che il generatore casuale non sputerà involontariamente una password che probabilmente si troverà nei dizionari o nelle tabelle arcobaleno. Tuttavia, dove può essere evitato, noi non vogliamo aggiungere restrizioni come queste:
Questi notevolmente riducono lo spazio di ricerca per un utente malintenzionato che conosce lo schema di generazione della password. Potresti ancora essere in grado di evitare quelli che stanno semplicemente cercando in un database le password che possono facilmente infrangere. Ma sarai molto più vulnerabile a un attaccante dedicato e intraprendente che ti sta bersagliando in modo specifico (alcuni lo chiamano "Advanced Persistent Threat" o "APT"), o se il tuo particolare metodo diventa comune tra altri utenti e la grande scala gli aggressori regolano i loro metodi per compensare.
La vera generazione casuale di password, con molto alcune restrizioni per evitare l'output accidentale di password deboli, è l'unico modo per essere sicuri che la tua password sia abbastanza potente da resistere praticamente a qualsiasi attaccante. Naturalmente, tutto questo presuppone che anche i meccanismi di archiviazione e trasmissione della password siano ragionevolmente sicuri, ma questo esula dallo scopo di questa domanda.
In breve: una password basata su una singola stringa ripetuta un numero di volte, è sempre più vulnerabile a un attacco dedicato rispetto a una che è di uguale lunghezza e generata casualmente in tutto.
Ripetere più volte la parola "pesce gatto" renderebbe la password più efficace di qualsiasi singolo "pesce gatto". Poiché non c'è modo di sapere che hai ripetuto la parola o da quante volte è stata ripetuta, è ovvio che la password è davvero strong. Come altre descrizioni del fumetto di xkcd descrivono, se un gruppo di parole casuali è stato scelto usando un metodo casuale reale, sarebbe possibile avere parole ripetute. L'atto di ripetere intenzionalmente le parole in realtà riduce la sicurezza della password poiché non è più veramente casuale.
In teoria si tratta di una password "più strong" rispetto ai metodi bruteforce rispetto a un singolo pesce gatto. Ma aumenti anche altri rischi:
Spalla surf - Se un attaccante ti macchia digitando la tua password, anche 'ca4f1sh!', più e più volte il suo grazioso oriente per ricordare 7 caratteri in ordine logico e vai a casa e prova ad accedere alla tua gmail con alcune ripetizioni ripetute di 'ca4f1sh!'
Password ripetute - Uno degli scenari peggiori che questo ti renderebbe più vulnerabile, anche se probabilmente non probabile, è una ricerca della tabella arcobaleno inversa in cui la tua password sarebbe stata utilizzata da qualcun altro e incrinato in un tavolo arcobaleno. Non è probabile, ma con password semplici ripetute è certamente possibile e richiede solo un dizionario.
Quindi sì, ha un'entropia più alta. Ma dopo un certo punto il compromesso per una maggiore entropia è mitigato dai maggiori rischi posti per altri motivi. La cosa migliore da fare è trovare una buona password per un gestore di password come KeePass e quindi usare 15-20 password casuali per tutto il resto.
Per la password 'grande' usa una citazione oscura e cambiala in una frase di accesso - Ecco l'idea ma puoi trovare guide migliori altrove - link
Leggi altre domande sui tag password-policy