Quanto è efficace un algoritmo di modifica della password di base rispetto al riutilizzo della password

Naviga le tue risposte
0

Il riutilizzo della password è negativo per molte molte ragioni. I sistemi più sicuri richiedono la modifica di una password che impedisce regolarmente il riutilizzo.

Una possibile soluzione a questo è uno schema di generazione di password. Immagina una password di base e un semplice algoritmo per modificarla basandosi su una password molto semplice o breve che viene creata ogni volta. La versione più semplice è l'aggiunta della password breve alla password di base.

Guardando la versione più semplice, ho una password di base foo e per ogni sito web mi viene in mente una parola facile da ricordare, non eccessivamente sicura, per modificarla. Quindi la mia password per gitlab diventa fooGit e la mia password per Facebook è fooFace ecc. Per i luoghi che richiedono la modifica delle password ogni mese, potrebbe essere semplice come fooOne , fooTwo , fooThree ecc, alcuni facili per ricordare le modifiche ogni mese.

Supponendo che foo sia in realtà una password relativamente strong, quanto sarebbe sicuro un simile approccio come questo?

Se l'algoritmo che ho menzionato fosse banale come quello che ho menzionato, sarebbe facile per qualcuno che ha la vecchia password indovinare con una nuova password. Tuttavia, qualcuno dovrebbe avere accesso ad almeno due password alternative per capire come usare un algoritmo come questo, e anche in quel caso avrebbero bisogno di indovinare il valore aggiunto ad esso. Mancheranno le tabelle dell'arcobaleno per l'algoritmo della password, quindi a meno che non riescano a indovinare quale sia la tua prossima password, hanno mezzi limitati per attaccare la tua password, immagino?

La mia convinzione è che questo approccio porterebbe ad un approccio relativamente sicuro, nonostante il potenziale di indovinare le password quando qualcuno individuerà l'algoritmo. Il mio ragionamento è fondamentalmente che nessuno sta cercando questo algoritmo e quindi è probabile che passi inosservato. È vero o gli attaccanti sono a conoscenza di persone che provano qualcosa del genere e cercano attivamente di sfruttarlo?

Se l'algoritmo fosse leggermente più complesso di "basta aggiungere i due valori", ma comunque abbastanza semplice da essere fatto rapidamente in testa, ciò farebbe di tutto per aumentarne la sicurezza?

    
posta dsollen 10.07.2017 - 15:52
fonte

2 risposte

1

My reasoning is basically that no one is looking for this algorithm and so it's likely to go unnoticed. Is that true, or are attackers aware of people trying something like this and actively attempting to exploit it?

No, non è vero; e sì, i cracker di password stanno provando cose del genere e stanno tentando attivamente di sfruttarlo.

Questo approccio di base è probabilmente il modo più comune in cui le persone tentano di creare password univoche per ogni sito, quando si preoccupano del tutto. Non cerco attivamente di decifrare le password, ma presumo che ci siano regole di manomissione delle password già pronte per diversi schemi comuni dati un sito web e un elenco di password, da inserire negli strumenti di cracking.

Il tuo ragionamento potrebbe essere buono sulla superficie, supponendo che un utente malintenzionato sia in grado di provare ad accedere al sito web come fai tu, aggirando una supposizione ogni 10-15 secondi circa. Ma questo è non come vengono rubate le password in questi giorni. Normalmente alcuni hacker rubano un database da un sito Web, inviano il database online (o lo vende), poi qualcuno arriva con un rig di fantasia GPU e riesce a provare 300.000.000 di password al secondo senza blocchi o altri controlli software.

Oppure il database rubato è in chiaro.

In ogni caso, se ottengono una password per Dropbox o LinkedIn e la regola di mangling è una delle più comuni, sarebbe abbastanza facile ottenere le altre password.

potresti essere fortunato e chi ottiene la tua prima password non si preoccuperà di dedicare qualche minuto in più a trovare la password "di base" per collegarsi ad altri siti, oppure potresti non farlo.

Stai decisamente meglio che usare la stessa password ovunque. Ma un approccio molto migliore è semplicemente utilizzare un gestore di password con password casuali per ogni accesso.

    
risposta data 10.07.2017 - 17:02
fonte
1

Assumendo un foo di ragionevole complessità, a prima vista si otterrebbe un livello accettabile di complessità della password, abbastanza da renderlo molto difficile da usare per la forza bruta, pur rimanendo facile da ricordare.

In quanto tale è abbastanza adatto per i siti che hanno un valore medio-basso, ovvero non la tua banca o e-mail, probabilmente non i tuoi social media.

Tuttavia, prima o poi, un sito in cui lo si utilizza sarà compromesso e lo avranno archiviato come hash MDD non salato e sarà interrotto.

A quel punto la complessità della seconda parte diventa critica. Se è semplice come le prime 4 lettere del dominio, potrebbe compromettere l'intero algoritmo e tutti i tuoi accessi.

Letteralmente milioni di crepe per le password derivanti da violazioni sono di pubblico dominio e vengono analizzate da entrambi i cappelli bianchi e neri per questo tipo di cose.

L'uso di un semplice algoritmo ti mette probabilmente nelle prime percentuali di difficoltà e in un modo leggermente più complesso, ad esempio face = > gbdf più un valore decente di foo probabilmente ti mette ancora più in alto.

Anche se la mancanza di riutilizzo impedisce il riempimento delle credenziali di base, qualsiasi algoritmo abbastanza facile da ricordare e calcolare facilmente da una persona è suscettibile di analisi automatizzata dei dati di violazione esistenti. Il riempimento delle credenziali distribuite è incredibilmente difficile da rilevare e mentre il tuo pattern è migliore della maggior parte degli utenti di Internet, probabilmente sarebbe meglio usare un gestore di password.

Potresti anche registrarti con link

Questo ti avverte se il tuo modello è stato esposto in una violazione pubblica.

    
risposta data 10.07.2017 - 16:45
fonte

Leggi altre domande sui tag

È una cattiva pratica accettare il numero di telefono o l'email come nome utente? La chiave di crittografia è suddivisa in parti e memorizzata in luoghi diversi