Misura precisa della complessità della password

Question

Misura precisa della complessità della password

#1 da (4 voti)
#2 da (4 voti)

-1

Sto pensando a un sistema che misura la complessità di una password non basata sulla sua entropia o compressibilità, ma con un metodo semplicemente sofisticato.

La misurazione di entropia / compressibilità sta misurando l'idea, "quanto è difficile costruire questa password da byte". Sto pensando a un metodo che misura "quanto difficile questa password possa essere costruita dai concetti nella mente dei cracker".

Quali sono i pensieri dei cracker? Parole e algoritmi. Quindi, che cosa è necessario scoprire: quanto è difficile costruire dalla parola e dagli algoritmi che vivono nella mente di un'entità intelligente il cui obiettivo è quello di decifrare la password. Usano naturalmente il vocabolario, anche queste parole dovrebbero essere visualizzate.

Ci sono alcuni modelli matematici che usano questo concetto?

passwords password-cracking countermeasure

posta peterh 16.05.2014 - 16:08

fonte

2 risposte

4

Come potrebbe pensare un utente malintenzionato?

Come prima cosa cerca di capire come tu pensi, per immaginare quale metodo usi per creare la tua password ...

A seconda di chi ti sta attaccando ...

Per i casi più comuni, la semplice password sicura potrebbe essere sufficiente, ma per altri casi più specifici , stai parlando di una specie di guerra , dove tutto è permesso.

Il modo più conosciuto per trovare una password rimane social engineering ( o forse chiedigli ... ... non molto matematico , ma efficiente!)

risposta data 16.05.2014 - 18:05

fonte

Leggi altre domande sui tag passwords password-cracking countermeasure

Estensioni di Firefox e Chrome: quali sono --- ceteris paribus --- più sicuro? Sicurezza di una password casuale

score 4 · Accepted Answer

Esiste un concetto molto ben definito - si chiama entropia informativa. Mentre esiste una relazione tra entropia e compressibilità, non pensare all'entropia come sinonimo di compressibilità.

Entropia è il numero di decisioni 50/50 (come un lancio di una moneta equa) necessario per creare una password e chiamiamo ciascuna di queste 50-50 decisioni un po 'di entropia. Se si sceglie una password a caso da un elenco di 1024 password comuni, la password ha 10 bit di entropia come 2 ¹⁰ = 1024. Se si sceglie una password selezionando 12 lettere casuali (eseguite da lettere maiuscole, minuscole e numeri - per un totale di 62 caratteri), sappiamo che ci sono 62 ¹² tali password che implicano log ₂ (62 ¹²) ~ 71.450 ~ 71 bit (nota 2 ^71.450 ~ 62 ¹²).

L'entropia informativa si riferisce a un limite inferiore su quanto tempo impiegherebbe il miglior attaccante super-sofisticato per costruire la tua password. Se conoscessero il modello esatto che hai usato per creare la tua password (ad esempio, hanno visto altre password che hai generato o hai perso il tuo metodo), ma il tuo metodo di generazione della password ha richiesto ~ 71 decisioni casuali 50/50 che significa che Dovrò provare approssimativamente 2 ⁷¹ ~ 2.361.183.241.434,822,606,848 password diverse (quindi a un miliardo di password al secondo ci vorrebbero decine di migliaia di anni per interrompere). Se non conoscono il tuo modello, dovranno provarne molti di più. (Perché prima passavano il tempo a forzare le password di 6 caratteri, passando attraverso un elenco di password trapelate di 100 milioni di password comuni, quindi provato le password di 7 caratteri, ecc.

Notare che se un utente malintenzionato ha anche provato le password di 8,9,10,11 caratteri, non fa molta differenza per l'entropia se alla fine devono tentare 12 password di caratteri. Quello è 62 ¹² ~ 2 ^71.450, ma 62 ⁸ + 62 ⁹ + 62 ¹⁰ + 62 ¹¹ + 62 ¹² ~ 2 ^71.474 - quindi se il tuo sforzo potrebbe incrinare password lunghe fino a 12 caratteri potrebbe anche craccare le password più brevi con lo sforzo sono insignificanti rispetto al cracking della password di 12 caratteri.

Se la tua password non è basata su cose casuali, ma in base ai nomi del tuo coniuge / figli / animale domestico o qualche fatto comunemente disponibile con leggere sostituzioni, allora sarà molto più debole. Il calcolo dell'entropia potrebbe essere iniziato da un numero di fatti su di te prima che qualcuno possa trovare la base della password più il numero di alterazioni casuali (simile al link ).