Capisco che si possa rendere una password più sicura aumentando la sua lunghezza e aggiungendo numeri e simboli poiché si aumenta il numero di possibilità che un hacker dovrebbe esercitare. Tuttavia, saprebbe in anticipo la lunghezza della password e se hai usato numeri o simboli? O lo scoprirà solo lentamente mentre la sua macchina bruta si fa da parte?
Anche le routine di hash più deboli come MD5 non rivelano la lunghezza o la diversità dei caratteri nella tua password finché non viene trovato l'hash corrispondente.
Questo grazie a qualcosa chiamato Effetto valanghe degli hash crittografici.
Ciò vale ancora di più per gli hash forti. L'autore dell'attacco non ha alcun indizio sulla password fino a quando la forza bruta non trova una corrispondenza.
È importante che lo sviluppatore utilizzi un sale unico per utente, in modo da evitare l'uso di tabelle Rainbow preesistenti.
Il modo in cui le password vengono memorizzate in questi giorni fa attenzione a non rivelare nulla all'attaccante. La forma memorizzata della password ha una lunghezza fissa, e anche il proprietario del sistema non può trovare la password originale che produce questa rappresentazione a lunghezza fissa - in teoria, l'unico modo per scoprire se si ha la password corretta è di inserirlo ed essere effettuato l'accesso.
Un attacco di dizionario a forza bruta tenta ogni possibile password, a partire dalla stringa vuota, ogni stringa di 1 carattere, ogni stringa di 2 caratteri, ecc.
Rivelare dettagli sulle password accettabili aiuta gli aggressori a modificare i loro attacchi. Se sanno che la password deve essere lunga almeno 12 caratteri, possono saltare quelle parti dell'attacco dizionario che sono 11 caratteri o meno. Allo stesso modo, se sanno che deve esserci almeno una cifra e un carattere di punteggiatura, possono saltare quelle voci del dizionario che non soddisfano questi criteri. (Tuttavia, questi criteri potrebbero comunque essere utili, perché costringono gli utenti a uscire dal pool di password alfanumeriche anche più superficiali.)
come ha dichiarato George Bailey, non è possibile. la pratica sicura per la memorizzazione di una password consiste nell'aggiungere un salt e quindi cancellarlo un numero elevato di volte. non appena viene cancellato per la prima volta un umano non è in grado di dire quali componenti contiene una password, anche se i computer comuni sono abbastanza potenti al giorno d'oggi da poter facilmente decifrare l'intera password in una volta sola se è solo hash una volta. ma non c'è modo di decifrare una password con hash "in parti"
ora la ragione per cui è stata creata in questo modo è perché se sapessi che c'erano, ad esempio, cinque numeri e tre lettere nella password, potresti usare questo per decifrare la password. Come ? ci sono script che possono generare una lista estremamente lunga di ogni combinazione possibile di cinque numeri e tre lettere, e quindi si può usare un altro script che tenta ogni password nell'elenco generato fino a quando non viene violato.
Leggi altre domande sui tag password-cracking