Ho una domanda. Se stavi usando una password brute force / utilità di attacco dizionario su un sito come yahoo o un altro sito, quanto tempo ci vorrebbe per rompere una password come Jah13Wootiang se Wootiang è il nome e Jah è il cognome? Questo presume che l'attaccante conosca il tuo nome.
Si presume che non ci sia alcuna funzione di blocco.
È completamente soggettivo e quindi non è una domanda facilmente comprensibile.
Ciò che intendo è che tutto dipende da come si avvicina il cracker. Se si tratta di una semplice forza bruta sequenziale attraverso lo spazio chiave a mille congetture al secondo, ci vorrebbe molto tempo per craccare da quando itera attraverso lo spazio chiave e testare ogni combinazione di lettere e numeri richiederà circa 64,65 miliardi di secoli .
Ma , e questo è un grande ma , dato che sappiamo che i cracker di password non usano semplici tecniche di forza bruta molto spesso questo molto probabilmente non sarà il caso . I password cracker utilizzano tecniche di targeting molto più intelligenti e complesse che coinvolgono massicci dizionari di password e elenchi di parole violati, nonché tabelle arcobaleno e persino tecniche statistiche che coinvolgono Markov chains per rendere l'ipotesi della password un processo molto più intelligente, rendendo meno semplice uno scatto al buio.
Ciò significa che se l'utente malintenzionato avesse il tuo nome e cognome, probabilmente potrebbe indovinare la tua password in un lasso di tempo significativamente più breve (da poche ore a pochi giorni) utilizzando combinazioni diverse del tuo nome e cognome strutturati strategicamente. La tua password non dovrebbe mai essere costruita con una combinazione di dati personali che possono essere visti da tutti.
Se stavi pensando di usare una password come questa, non farlo! La tua password dovrebbe idealmente essere una sequenza abbastanza lunga di numeri casuali, lettere e caratteri speciali che non hanno alcun significato per te e che non rappresentano in alcun modo il linguaggio naturale e nomi o cognomi.
Se l'attaccante sta eseguendo un attacco mirato (cioè sta inseguendo un determinato account e ha ricercato il proprietario dell'account), la password che hai dato sarà probabilmente tra le prime centinaia di ipotesi, e sicuramente tra le prime poche migliaia. "Cognome + numerica infisso + nome" è un modello comune, anche se gli infissi sono meno comuni dei prefissi o dei suffissi.
Se l'attaccante sta eseguendo un attacco non mirato (ad esempio desidera un account e non gli interessa di chi è l'account), la password che hai indicato non verrà indovinata. L'attaccante proverà semplicemente alcune delle password più comuni e passerà al prossimo account. Quando l'1,5% degli utenti sceglie "123456" come password, un utente malintenzionato preferisce provare una password un centinaio di account rispetto a provare cento password su un account.
Leggi altre domande sui tag passwords brute-force defense