NON dovrei scegliere una password di lunghezza massima consentita per i caratteri?

Question

NON dovrei scegliere una password di lunghezza massima consentita per i caratteri?

#1 da (1 voti)

1

D: Supponiamo che un utente malintenzionato conosca la lunghezza massima consentita del carattere, n, per le password di un sito Web. Sarebbe intelligente per loro attaccare le password di lunghezza n PRIMA della lunghezza n - k (dove k è una piccola porzione di n)?

D: Supponiamo che un sito Web abbia lunghezza massima consentita per i caratteri della password 32. Sarebbe quindi opportuno scegliere una password di lunghezza, ad esempio 31 o 30 anziché 32?

AGGIORNAMENTO: chiesto in un altro modo: esiste un fenomeno noto di una massa di password utente in n? E se sì e sapendolo, gli attaccanti dovrebbero seguire password di lunghezza n prima della lunghezza n - k? E se sì e sapendolo, sarebbe meglio evitare le password di lunghezza n?

passwords

posta lowndrul 06.08.2014 - 19:24

fonte

1 risposta

Leggi altre domande sui tag passwords

Blocco di un account aziendale da un'applicazione Internet La minaccia dei metadati video

score 1 · Accepted Answer

Supponendo che le password debbano essere costituite da caratteri ASCII stampabili (di cui ci sono 95), il numero di possibili password di 32 caratteri è 95 ³² &; 2 × 10 ⁶³.

Nel frattempo, il numero di password di 31 caratteri è 95 ³¹ e circa; 2 × 10 ⁶¹, cioè circa due ordini di grandezza in meno. (In realtà differiscono precisamente per un fattore di 95.) Il numero di password di 30 caratteri è ancora inferiore, 95 ³⁰ e circa; 2 × 10 ⁵⁹, e così via. In effetti, il numero totale di password possibili di lunghezza inferiore di 32 è uguale a:

95 ³¹ + 95 ³⁰ + 95 ²⁹ + ··· + 95 ² + 95 ¹ + 95 ⁰
= 95 ³² × (1/95 + 1/95 ² + 1/95 ³ + ··· + 1/95 ³¹ + 1/95 ³²)
< 95 ³² × (1/95 + 1/95 ² + 1/95 ³ + ··· + 1/95 ³¹ + 1/95 ³² + 1/95 ³³ + 1/95 ³⁴ + ···)
= 95 ³² × 1 / (95 - 1)
= 95 ³² / 94

Pertanto, il numero di possibili password ASCII stampabili di esattamente 32 caratteri è 94 volte maggiore del numero totale di tali password di inferiore a 32 caratteri. Quindi, se un utente malintenzionato è in grado di decifrare una password di 32 caratteri con la forza bruta, impiegherà in media un 94 ° minuto per craccare qualsiasi password più breve.

Ovviamente, questo presuppone che le tue password siano scelte casualmente fuori dallo spazio di tutte le password idonee. Poche password del mondo reale sono tali, ma come approssimazione approssimativa, possiamo ancora supporre che la quantità di lavoro necessaria per indovinare una password con la forza bruta cresca esponenzialmente con la lunghezza della password - la base dell'esponente sarà semplicemente qualcosa di più piccolo di 95.

Inoltre, non c'è nulla di speciale nel numero 32 nel calcolo sopra. Sostituirlo con qualsiasi altra lunghezza massima produrrà esattamente lo stesso risultato: è sempre una buona idea rendere le tue password il più a lungo possibile, almeno fino al punto in cui la password è abbastanza lunga da rendere praticamente impossibile la forza bruta.

Dov'è quel punto? Bene, il consenso generale tra i crittografi è che 2 ⁶⁴ e circa; 2 × 10 ¹⁹ forza bruta suppone può essere fatto con abbastanza sforzo , mentre 2 ¹²⁸ e circa; Le supposizioni 3 × 10 ³⁸ sono probabilmente al di là delle capacità di qualsiasi attaccante attualmente esistente o prevedibile (sì, anche l'NSA), e 2 ²⁵⁶ e circa; 1 × 10 ⁷⁷ indovina sicuramente oltre le capacità dell'umanità . Lo sforzo richiesto per rompere una password ASCII casuale di 32 caratteri con la forza bruta, cioè 95 ³² e circa; 2 × 10 ⁶³ indovina, è tra le ultime due, ma sicuramente più vicino (su scala logaritmica) a 2 ²⁵⁶ che a 2 ¹²⁸, entrambi i quali sono attualmente considerati indistruttibili. Quindi, possiamo tranquillamente dire che, se la tua password è una stringa ASCII casuale, 32 (o anche 31 o 30) caratteri è abbastanza abbondante.