Quanto più strong una password basata su paragrafi / frasi diventa con caratteri casuali aggiunti?

Naviga le tue risposte
0

Stavo leggendo alcune domande qui riguardo al metodo correct horse battery staple , e la conclusione era che, assumendo qualsiasi parola nella lista delle parole inglesi più comuni, ogni parola aggiunge circa 10-11 bit di entropia, quindi il metodo XKCD era relativamente corretto nella loro conclusione.

Ora, quanta sicurezza sarebbe quella password se aggiungessi rumore casuale (rumore casuale effettivo generato da un PRNG corretto) a quella stringa? Ad esempio, ho avuto correct horse battery staple come password (ignorando il fatto che questa frase è abbastanza comune) e poi ho aggiunto un po 'di rumore, quindi ottengo 3orrezt hors bat8ery s9appe@ . Quanto è diventato più sicuro in realtà diventare? O non c'è motivo di preoccuparsi di questo genere di cose comunque?

Inoltre, che ne dici di aggiungere una piccola password all'interno della frase più grande, ad esempio, correct $58j#O1, battery staple ?

    
posta MKII 21.08.2015 - 23:43
fonte

2 risposte

1

Usa abbastanza entropia quindi non c'è nulla di cui preoccuparsi.

Per una password a 80 bit, scegli 8 parole a caso.

Usando il tuo 

correct $58j#O1, battery staple

tecnica con CSPRNG, supponendo che la tua sezione password sia nell'intero intervallo di caratteri (96 caratteri), allora hai 10 bit + 6.5 * 7 + 10 + 10 = 75.5 bit.

Questi sono entrambi sotto l'ipotesi che l'attaccante conosca il tuo metodo di generazione. In realtà non lo fanno, quindi questo aggiunge una quantità incommensurabile di entropia per un attacco non mirato.

    
risposta data 22.08.2015 - 00:22
fonte
1
  • In entrambi gli esempi, è diventato significativamente più strong.
  • Tuttavia, l'originale era abbastanza strong abbastanza
  • E aggiungendo la casualità in genere fai esplodere il valore "facile da ricordare / digita" nella password in stile diceware / xkcd
  • se hai bisogno di più entropia, aggiungi più parole o usa un gestore di password con una password completamente gibber.

Il calcolo di Silverlight Fox utilizza la misurazione zxcvbn, che presuppone che l'hacker conosca il tuo metodo. Come hanno già detto, in realtà non lo fanno spostando efficacemente lo spazio di attacco dallo spazio diceware già grande, allo spazio di forza bruta completo, per una password di lunghezza XX.

Ma ottieni lo stesso vantaggio aggiungendo un SINGLE RANDOM CHAR in un punto qualsiasi della lista che non è presente nell'elenco diceware. Dopo aver aggiunto quel singolo carattere, i caratteri aggiuntivi aggiungono 6,5 bit di entropia ciascuno, ma hai già aumentato in maniera massiccia la difficoltà di crackare la password

    
risposta data 22.08.2015 - 04:26
fonte

Leggi altre domande sui tag

Usa PIN o Password [duplicato] Quando è possibile utilizzare l'exploit per CVE: 2006-7098?