Quanto sono sicure le password delle frasi? [duplicare]

Facciamo un po 'di matematica e studiamo la lingua per vedere come questo è paragonabile al requisito della password standard di 8 caratteri in alto, in basso, numero e simboli.

Ora saremo rigorosi, quindi presumiamo che l'attaccante sappia che usi una frase come password e sta solo cercando di romperla basandosi su quelle informazioni. Sa anche che non usi spazi, maiuscole o segni di punteggiatura nella frase. Sto anche ignorando intenzionalmente la grammatica e la sintassi poiché è troppo complicato e non fornisce molte informazioni a un utente malintenzionato, a parte alcune parole che si verificano principalmente all'inizio e alla fine di una frase.

Mentre ci sono circa un milione di parole nella lingua inglese, le persone non ne usano o ne conoscono molte. La persona media usa circa 500 parole uniche in un giorno, e si ritiene che una persona media abbia bisogno tra le 1500 e le 2500 parole nel proprio vocabolario per comunicare efficacemente per un periodo di tempo prolungato. La persona media sa anche circa 15.000-20.000 parole che usano raramente.

Quindi proviamo quei numeri con una frase-frase di 5 parole:

Lo standard da confrontare è 95 ^ 8 = 6,6 x 10 ^ 15

500 ^ 5 = 3.1 x 10 ^ 13

1500 ^ 5 = 7,6 x 10 ^ 15

2500 ^ 5 = 9,8 x 10 ^ 16

Da questo possiamo concludere che usando il vocabolario ampliato dell'altoparlante medio inglese possiamo creare una password che sia tanto resistente agli attacchi specializzati quanto lo standard del settore è per una forza bruta. Sarebbe comunque molto più resistente a quella stessa forza bruta, 26 ^ 16 = 4.4 x 10 ^ 22. (Ho usato 16 come lunghezza media di 5 parole)

Prendi tutto ciò con la stessa mentalità di una normale password. La password "P @ 55word" ha tutte le caratteristiche di una password sicura ma è totalmente insicura. Lo stesso sarebbe vero per una frase di passaggio come "ilovemygirlfriendmelissa", specialmente con una piccola ricognizione dei social media sul bersaglio.

Sono sicuro che alcuni esperti di sicurezza non saranno d'accordo, ma di nuovo l'esperto di sicurezza citato in un'altra risposta su questa pagina sostiene di scrivere le password, quindi presumo che non saranno mai d'accordo come la maggior parte degli esperti.

Lately I've been doing the trend of using passwords that are sentences

Li chiamiamo passphrase; -)

at least on sites that have a reasonable maximum character length and allow spaces

Tutti i siti web dovrebbero permetterlo. Contatta un amministratore e rifiuta di creare un account se non lo fa. Dovrebbero memorizzare le password in un formato a lunghezza fissa (la tecnica è chiamata "hashing") che fa sì che per loro non vi sia differenza tra una passphrase lunga di 200 parole e una password di 3 caratteri. Entrambi saranno convertiti in una porzione di dati a lunghezza fissa mediante hashing . Il fatto che alcuni caratteri non siano consentiti indica che fa importa quale password si immette e, sebbene possa essere ancora valida, puzza di tecniche di memorizzazione delle password errate.

the most basic variation is 'This is my password.', or 'This is my <insert website here> password.'

Ok, ma per favore ricordati che quelli sono proprio così: "variazioni di base". Non sono sicuri e dovrebbero essere utilizzati solo per account inutili e usa e getta (come quelli temporanei per visualizzare un articolo o per scaricare qualcosa da Oracle o per nominarlo).

Le passphrase funzionano meglio quando sono composte da parole casuali. Noi, come esseri umani, siamo cattivi a caso e non siamo in grado di scegliere un elemento casuale dal nostro intero vocabolario. Sarebbe meglio prendere un dizionario di carta e tirare i dadi per trovare una pagina a caso e una parola a caso su quella pagina.

Se non hai un dizionario a portata di mano, provare a inventare frasi casuali con costruzioni illogiche (ad esempio "la mente rossa rossa di patate") è un sostituto ragionevole.

Dovresti essere diffidente nei confronti dei servizi online che offrono la generazione di password per te. Anche se non lo facessero, potrebbero archiviare tecnicamente la password generata per te, o scegliere la password "casuale" da un elenco di poche centinaia di possibilità (e sì, poche centinaia sono pochissime perché i computer passeranno attraverso tutte quelle possibilità in un tempo molto breve).

It seemed rather silly to memorize a group of random words instead of simply rather constructing a sentence, which is way easier on muscle memory. Is this easier to predict?

Sembra che abbia già risposto a questa domanda, ma per ribadire: Sì, le frasi sono più facili da prevedere delle parole casuali. Il punto di una password o frase d'accesso è qualcosa che solo tu conosci. Usare frasi che hanno senso per noi limita il numero di possibilità, rendendo più facile indovinare. È semplicemente più probabile che la parola "rosso" segua "il" e non dopo "patata" ("il rosso qualcosa" contro "patata il").

In base a Bruce Schneier :

This is why the oft-cited XKCD scheme for generating passwords -- string together individual words like "correcthorsebatterystaple" -- is no longer good advice. The password crackers are on to this trick.

Lo schema XKCD utilizza password lunghe composte da parole casuali. Ciò che è vero delle frasi create da parole casuali è doppiamente simile alle frasi reali.