Come mai una password generata in maniera controllata è più sicura di una generata in modo puramente casuale [duplicato]

0

In un software come keepassx, per generare password, di solito c'è la possibilità di spuntare alcune caselle. Ad esempio, una scatola che si assicura che sia stato scelto almeno 1 carattere da ogni lista di caratteri. Dove le liste di caratteri possono essere minuscole, maiuscole, cifre, caratteri speciali, ecc.

Comprendo che una password generata in modo casuale genera password come "aaaaaaaaaaaaaaa" che non sono sicure. Ma in media, non capisco perché accertarsi che ci sia almeno 1 carattere da ogni lista è più sicuro di una password generata in modo casuale.

Come mai è possibile "battere" (in termini di sicurezza) una password generata in modo casuale? Non dovrebbe questo tipo di password contenere più entropia in media, piuttosto che una password fatta con l'intervento umano?

Modifica: se devo supporre che devo proteggere contro un cracker, presumo che usi tutti i possibili tipi di attacchi. Forza bruta, dizionario, ecc.

Modifica 2: ci ho pensato durante la notte. Ho notato che se la password è molto grande (ad esempio la lunghezza > 25), allora la differenza tra spuntare la casella per assicurarsi che ci sia almeno 1 carattere per ogni gruppo e non ticchettare la casella è quasi nulla. Perché la probabilità che non ci sia char da ciascun gruppo è molto bassa. L'altro caso estremo è quando la password è molto piccola, per esempio della lunghezza 4. Il caso è più complesso e non sono sicuro che sia più sicuro contro tutti i possibili tipi di attacchi.

    
posta thermomagnetic condensed boson 17.07.2016 - 03:01
fonte

2 risposte

4

Molti siti hanno requisiti di complessità. Un vantaggio delle caselle di controllo è quello di garantire che la password venga effettivamente accettata dal sito Web per il quale si sta generando. Un'altra ragione è psicologica. Le persone crederanno che la password sia meno suscettibile a indovinare se ha questi requisiti di carattere. Realisticamente, una password con 80 bit di entropia che è completamente casuale e una password con 80 bit di entropia che ha questi requisiti sono entrambi abbastanza forti da indovinare o un attacco di forza bruta non dovrebbe mai essere un problema, anche se per nessun altro motivo che il l'attaccante riceverà abbastanza password che eseguono la sua macchina a forza bruta per qualche altro anno solo per ottenere l'ultimo 0,25% degli hash delle password che ha rubato non vale la pena.

Modifica: Vorrei sottolineare che determinare la quantità di entropia di una password non è tanto una scienza esatta quanto un'approssimazione. Come discusso in uno dei link nella risposta di Jedi, diversi generatori di password hanno algoritmi diversi per questo, quindi se KeePass dice che una password "batte" un'altra in termini di entropia calcolata, ma la differenza è solo 1 o 2 bit su 30+ totali bit allora potrebbe non esserci un vantaggio nello scegliere l'uno rispetto all'altro. Ovviamente con password molto piccole un singolo bit può essere significativo, ma spero che chiunque stia leggendo security.se stia lontano dalle password ovviamente orribili.

    
risposta data 17.07.2016 - 03:31
fonte
3

Un motivo importante per l'approccio "spuntare alcune caselle" è perché troppi siti hanno le proprie politiche password uniche ( your password must be a palindrome in iambic penatameter ecc.)

But in average, I don't understand why making sure that there's at least 1 char from every lists is more secure than a purely randomly generated password.

Non direi che è più sicuro, solo che i dizionari di forza bruta contenenti un tipo di carattere (tutti in minuscolo / maiuscolo / numeri) erano ampiamente usati nel giorno . Allo stesso modo, gli hash per molte di queste classi di password sono già calcolati e memorizzati in molte tabelle arcobaleno.

How come it's possible to "beat" (in terms of security) a purely randomly generated password?

Una password errata è semplicemente una che è ampiamente usata / conosciuta / corrisponde al comportamento umano. per esempio. gli esseri umani tendono a utilizzare le date , tendono ad avere una sequenza di cifre; se è richiesta una lettera maiuscola, è spesso la prima, se è richiesto un carattere speciale, è spesso l'ultima ecc. (cercherò di farlo presto).

Considerando un numero elevato di utenti, è non banalmente probabile che le password corrispondenti a modelli errati noti vengano generate "casualmente" una parte del tempo.

Supponiamo che tutte le password "casuali" di lunghezza 'n' siano ugualmente suscettibili di essere generate. Tuttavia, una percentuale di queste password è molto più probabile essere forzata bruta. Questo è ciò che lo rende peggiore.

Shouldn't these kind of passwords contain the most entropy in average, rather than a password made with human intervention?

Vorrei link a un post precedente per discutere come viene calcolata l'entropia di una password (include un link a una recente valutazione delle password)

Inoltre, consulta questo post correlato che spiega perché alcune password generate casualmente dovrebbero essere scartate .

    
risposta data 17.07.2016 - 03:42
fonte

Leggi altre domande sui tag