Password più lunghe vs Regola di composizione password [duplicato]

1

La regola di composizione della password è considerata un onere per gli utenti e alcuni esperti raccomandano l'aumento della lunghezza della password anziché imporre agli utenti il rispetto delle regole di composizione.

Ma il mio punto è che, in assenza di una regola di composizione, l'utente imposta password semplici come risulta dall'analisi del database Rockyou. Le password semplici indicano parole comuni del dizionario, nomi di persone e città. Inoltre, le password sono composte principalmente da lettere minuscole.

Le password teoricamente più lunghe (lunghezza minima 16) forniscono maggiore sicurezza rispetto alle password create in base alle regole di composizione (lunghezza minima 8 con lettere minuscole, lettere maiuscole, cifre e simboli). Ma non possiamo dire lo stesso delle 16 password di lunghezza se sono impostate dagli umani. Se domani ognuno inizia a utilizzare password più lunghe e si verifica una violazione come Rockyou, l'utente malintenzionato può apprendere le strategie alla base della creazione di password più lunghe. L'utente malintenzionato può quindi creare un nuovo dizionario e attendere la perdita di alcuni database con hash.

Quindi quanto è buono il suggerimento di aumentare la lunghezza della password?

La passphrase creata dagli umani è più lunga ma potrebbe essere più facile da indovinare. Ma le passphrase generate casualmente sono sicure se le parole sono scelte casualmente dal dizionario di dimensioni ragionevoli. Perché i siti Web non assegnano passphrase casuale e utenti liberi di qualsiasi regola di composizione?

    
posta Curious 16.09.2014 - 11:15
fonte

2 risposte

0

Ogni carattere aggiunto a una password aumenta il numero di possibili password in modo esponenziale, una password di 16 caratteri ha più possibilità di ordine di grandezza rispetto a una password di 8 caratteri. Questo non elimina gli attacchi al dizionario, tuttavia li rende molto più difficili semplicemente perché ci sono molte più possibilità.

    
risposta data 16.09.2014 - 11:37
fonte
0

Aumentare la lunghezza della password è tutto su Math ... richiederà più potenza di elaborazione (più tempo) con password più lunghe.

La soluzione migliore sarebbe unire il meglio di entrambi i mondi, password più lunga (passphrase?) con le "regole di composizione".

Qui ci sono alcune risposte eccellenti su questo argomento: XKCD # 936: password complessa breve o passphrase lunga del dizionario?

Quando dici:

Theoretically longer passwords (minimum length 16) does provide more security than the passwords

Per quanto ne so, non è "Teoricamente" è Math ...;)

    
risposta data 16.09.2014 - 11:53
fonte

Leggi altre domande sui tag