Ha senso inserire una parola straniera in una parafrasi per mitigare la forza bruta? Per esempio: "PussiMeansCatInEskimo" "CaballoMeansHorse" "CatIsGatto" "SalopeMeansBitch" "BitchInFrenchIsSalope" "FoShizzleMyNizzle"
Sì, aiuta, ma forse non tanto quanto si potrebbe pensare.
Una password / frase è una sequenza di token. In una password, i token sono caratteri; in una passphrase i token sono parole.
Per aumentare la resistenza di una password / frase agli attacchi di forza bruta, puoi:
Si chiama aumentando l'entropia della password / frase.
Un punto importante è che una passphrase (serie di parole) è anche una password (serie di caratteri). Un utente malintenzionato potrebbe attaccarlo come password o come passphrase, e la sua resistenza all'attacco è diversa a seconda di come l'hacker lo tratta.
Se l'attaccante lo considera come una password, il fattore principale è la lunghezza (dal momento che ci sono pochi token usati nelle parole). Se la trattano come passphrase, il fattore principale è il numero di token (poiché la lunghezza è così breve).
Quindi, dovresti usare parole straniere? Bene, se l'attaccante la considera una password, non fa differenza. La lunghezza è la lunghezza "chicken" e "oiseau" aumentano la lunghezza della stessa quantità, così come "skdjnqs" e "aaaaaaa" per quella materia. Se l'attaccante la considera una passphrase, allora fa la differenza. L'uso di parole dal francese e dall'inglese quasi raddoppia il numero di possibili gettoni. Quindi aiuta, ma come ho detto, non tanto quanto si potrebbe pensare.
Questo perché aumentare la lunghezza è una tecnica molto più potente rispetto all'aumento del numero di token. Una passphrase di tre parole in inglese ha un'entropia di circa 40; una passphrase di tre parole in francese e inglese ha un'entropia di circa 44, ma una passphrase di sei parole in inglese ha un'entropia di 81.
Infatti, se si eseguono i numeri, risulta che l'aggiunta di una singola parola inglese in più aumenta l'entropia di una passphrase a 54 - dieci più di quella ottenuta utilizzando due lingue. Dieci bit di entropia extra significano che un attacco di forza bruta durerà più di mille volte.
Quindi aggiungere un'altra parola è un modo molto migliore per rafforzare la tua passphrase.
(Anche se un modo ancora migliore è aggiungere una piccola password casuale con numeri e punteggiatura!)
Infine, ricorderò che le frasi nei tuoi esempi non sono casuali, il che è un punto debole contro gli attacchi generati al dizionario, quindi dovresti pensarci anche tu. Desideri qualcosa di più simile a CorrectĈevaloBatteryStaple .
La debolezza con le password che hai fornito è che seguono un modulo comune . per esempio. estera [è | i mezzi] inglese. E ora questo approccio è documentato (Thnaks !;-)). Preferisco raggruppamenti di 4 o 5 non solo 2 o 3 come nei tuoi esempi. Se stai seguendo questo approccio, questi raggruppamenti dovrebbero essere parole non comuni non comuni.
Inoltre, il mio dizionario creato da urbandictionary.com creerebbe FoShizzleMyNizzle la prima volta (con le mie regole di mangling).
Nel valutare la sicurezza, guarda la tua password, prova a generalizzarla nella tua testa per formare una strategia di cracking, quindi identifica le parti che sono variabili e quali parti sono statiche. Per le parti che sono variabili, identificare la categoria in cui si inseriscono. Pensa a quanto sia diversa quella categoria e quanto sia popolare la tua scelta (le prime dieci parole, ad esempio, sono cattive, sequenze di personaggi comunemente trovati insieme, ecc.). Questo ti darà un'idea del numero di combinazioni che un utente malintenzionato potrebbe dover affrontare.
Può succedere se la parola straniera è "Pneumonoultramicroscopicsilicovolcanoconiosis". Dipende anche in gran parte dal tipo di algoritmo di hashing e dall'implementazione di sali. Il problema generale è ricordare password sicure senza scriverle. Prova a fare frasi e rubare la prima lettera. Ad esempio:
When I was 18 I dated Miranda Kerr for atleast 2 weeks, no seriously = WIw18IdMKfa2wns
Un'applicazione migliore gestirà l'attacco a forza bruta abilitando CAPTCHA o risposta ritardata.
Dal punto di vista degli utenti, puoi aggiungere il tuo "sale" alla tua password. "Sale" potrebbe essere qualsiasi cosa.
Direi che se utilizzerai un insieme di parole del dizionario senza caratteri numerici o simboli, allora indebolirai il processo, specialmente se le parole sono correlate in qualche modo. Quello che faresti allora è usare le parole come blocchi per le tue password invece che per le lettere, il che non farà in modo di indovinarle dato che non aumentano la complessità.
Ciò che sarebbe più complesso sarebbe usare parole del dizionario o anche una frase come elemento di base. Se ti piacciono i Duran Duran prendi il "Il suo nome è rio e lei balla sulla sabbia". Un modo semplice sarebbe usare la prima lettera, come in hnirasdots. Ma è troppo facile da indovinare se so che stai usando i testi musicali. Potrei alternare l'uso di parole intere, parti di parole, ecc. Come hernisrandsdotsand. Diventa sempre più simile al testo casuale, ma limitarlo alle lettere minuscole riduce la complessità. H3rn15rand5.0tSand sarebbe molto difficile da raggiungere da un punto di vista negativo anche se so che stavi usando i testi musicali come base.
È meglio usare però parole non correlate, preferibilmente di lunghezze diverse, e poi allargare la base del personaggio tirando punteggiatura, simboli e numeri. Prendi Carros, Set e Nixon e trasformalo in carr0t.s3t * N1x0n per esempio .
Secondo me, se usi la digitazione fonetica di un'altra lingua straniera, sarebbe sicura indipendentemente dal dizionario (attacco di forza bruta) che un hacker potrebbe usare.
Ad esempio (per utenti che conoscono l'arabo),
Nome arabo: khaled Saad (per usare questo nome come password)
in fonetica: 5aledsa3d (alcune lettere arabe sono rappresentate in numeri foneticamente in chat digitando)
kh = خ = 5
prova translate.google.com dall'arabo all'inglese.
Se conosci solo l'inglese. Prova a memorizzare molte password come puoi, ma non scriverle ovunque.
Ci scusiamo per la risposta in ritardo, ma mi sono appena iscritto. Graham ha alcune buone informazioni, ma richiede un po 'di espansione e una correzione. L'entropia è una misura della casualità, non del set di caratteri.
Indipendentemente dalle password o passphrase, la lunghezza è più importante della complessità. La complessità diventa più importante se si è limitati a una password breve (20 caratteri o meno. Una password di 15 caratteri che utilizza solo lettere minuscole (26 ^ 15) è più sicura di una password di 10 caratteri che utilizza maiuscole e minuscole, numeri e simboli (95 ^ 10).
Ora per forzare brute "token di parole" una passphrase di sei token è incredibilmente strong. Vedete, non sono sei token da un set di 95 caratteri, ma sei da un set di oltre 1,2 milioni di caratteri. Oltre 600k parole in inglese sono raddoppiate per lettere maiuscole e minuscole. Non tratteremo i passphrase con simboli come "?", Ecc.
Ora la risposta iniziale comune è che le persone non usano tante parole. OK, tagliamo il dizionario alle 500 parole più usate, che è 1000 con entrambi i casi di lettere. ora una passphrase di sei parole è 1000 ^ 6. Non è strong come una password di 10 caratteri utilizzando tutti i set, ma puoi ricordarlo molto meglio delle password più complesse. Ma aggiungi 1 singola parola oscura e il dizionario può richiedere più di 20.000 parole (token / caratteri) x2 = 40.000.
"Per la prima volta ho risposto a una domanda su SX!"
10 "token" che richiedono un set di token estremamente grande (dizionario) e per un semplice attacco di forza bruta sono 45 caratteri che utilizzano tutti i set e sono facili da ricordare.
I8 @ ye ol pub !!! 17 caratteri, facili da ricordare e repellenti per il dizionario.
Non tutti i token sono uguali!
Leggi altre domande sui tag passwords brute-force entropy passphrase