Quanto contribuiscono i caratteri insoliti nelle password?

Naviga le tue risposte
0

Se utilizzo un sistema che consente tutti i caratteri Unicode o uno spazio altrettanto grande per le password, quanto sarebbe utile utilizzare un carattere insolito nella pratica (ad esempio, ࡀ, che ho trovato sotto Mandaic e non viene visualizzato correttamente in Firefox per me)? Capisco che in teoria un attaccante che fa un tentativo di forza bruta probabilmente determinerebbe lo spazio del personaggio e userebbe l'interezza dei possibili caratteri. Ma, questo è comune nel software di password cracking? È probabile che qualcuno provi a bruteforcing uno spazio di caratteri grandi, o più probabilmente vadano per il frutto appiccicoso di caratteri alfanumerici e forse includa caratteri speciali facilmente inseriti su una tastiera?

Capisco che Sicurezza attraverso l'oscurità è sbagliato e fare affidamento su questo come unico metodo di scelta di una password è una cattiva idea e non dovrei scegliere una password di 1 carattere con l'ipotesi che nessuno proverei il mio personaggio Ma sono curioso di sapere se qualcuno ha informazioni su quanto una parola d'ordine strong come "ᏯᏯᏯᏯᏯᏯᏯᏯ" sia basata su come gli hacker effettivamente funzionano.

    
posta thunderblaster 23.12.2014 - 19:02
fonte

2 risposte

3

Tecnicamente, i caratteri sono solo sequenze di byte. Quindi, mentre quel personaggio potrebbe sembrare incredibilmente esotico per te, non c'è nulla di speciale in questo. Potrebbe occupare qualche byte in più rispetto, ad esempio, a un carattere ASCII (a seconda della codifica), ma il gioco è fatto.

Ovviamente un attaccante probabilmente inizierà con il frutto a bassa sospensione (parole da un dizionario, cifre, alfanumerici, ecc.). Ma dopo, potrebbero passare molto bene ai byte grezzi, e quindi l'unica cosa che ti protegge è l'effettiva entropia della tua password. Da dove provengono i byte è irrilevante. Invece dei tuoi esotici caratteri Unicode, potresti anche usare una quantità uguale di caratteri ASCII.

Un altro problema con Unicode è che non è completamente supportato da tutte le applicazioni. Alcuni non lo supportano affatto, altri supportano solo il BMP. Ciò significa che c'è un certo rischio che la tua password venga maneggiata in qualche modo - se addirittura accettata.

Quindi per rispondere alla tua domanda: Sì, c'è un vantaggio se si assume che l'attaccante seguirà solo "caratteri standard". Ma è meglio prendersi cura della forza grezza (a livello di byte). Ad esempio, di solito generi 16 byte casuali e li codifico come 32 cifre esadecimali. Ciò fornisce la massima sicurezza e compatibilità allo stesso tempo.

    
risposta data 23.12.2014 - 20:17
fonte
1

Più grande è lo spazio di ricerca, meglio è. La domanda è se usare caratteri oscuri è pratico. Quanti siti accettano persino personaggi insoliti? Probabilmente un cracker potrebbe avere un tempo più semplice per sfruttare alcune vulnerabilità che lo portano nel sistema di quanto non proverebbe con le password brute force. Detto questo, creare una password il più a lungo possibile è un approccio più pratico.

    
risposta data 24.12.2014 - 17:56
fonte

Leggi altre domande sui tag

Escludi l'indirizzo MAC dal sito web? [duplicare] Qualcuno potrebbe impedire a un altro di accedere al proprio account online?